Cloud Computing
Durch Cloud Computing können Unternehmen passgenaue Soft- und Hardware nutzen, ohne selbst diese Produkte anschaffen und verwalten zu müssen. Dadurch können eine deutlich höhere Flexibilität hinsichtlich Umfang und zeitlicher Nutzung von Soft- und Hardware erzielt sowie Kosten eingespart werden.
Aber was genau ist diese Cloud eigentlich und wie funktioniert sie? Welche Varianten der Cloudnutzung gibt es und welche davon ist für das eigene Unternehmen geeignet? Wie sicher sind in der Cloud gespeicherte Daten und wie sieht es mit Datenschutz und IT-Sicherheit aus? Worauf muss ein Unternehmen achten, wenn es seine Daten und Prozesse in die Cloud bringen möchte? Diese und viele weitere Fragen gilt es zunächst zu klären.
Inhaltsnavigation
- Was ist Cloud Computing?
- Welche Arten von Cloud gibt es?
- Unterscheidung nach Cloud-Computing-Diensten
- Unterscheidung nach Cloud-Bereitstellungsmodellen
- Cloud & IT-Sicherheit
- Cloudausfälle: Redundanz und zusätzliche Kosten
- GAIA-X: Das Projekt zur europäischen Daten-Souveräntität
- Nachbericht: Cloud für Unternehmen vom 2. Februar 2023
Was ist Cloud Computing?
Cloud Computing zählt zu den Schlüsseltechnologien für Unternehmen. Doch was steckt genau dahinter?
Unter dem Ausdruck Cloud wird die „Datenverarbeitung in der Wolke“ verstanden. Mit anderen Worten werden IT-Dienste nicht vor Ort sondern von extern über eine Internetverbindung zur Verfügung gestellt. Je nach Geschäftsmodell können dazu sowohl Software, Datenbanken, Speicherplatz, Server und weitere Dienste zählen.
Vorteile von Cloud Computing
- Einsparungen: Unternehmen können bequem Hard- und Software nach Bedarf mieten und müssen diese nicht selbst anschaffen und betreiben. Unternehmen erhalten die Möglichkeit IT-Dienste nach Umfang, Nutzungsdauer und Anzahl an Nutzern und Nutzerinnen zu mieten. Dies führt auch zu einer effizienteren Technologienutzung, da im Vergleich eigene Hardware-Ressourcen oft nicht voll ausgelastet werden oder sogar stillstehen.
- Skalierbarkeit: Die benötigten Computingressourcen werden von Cloudanbietern elastisch skalierbar über das Internet angeboten. Das heißt sie werden in genau der Menge angeboten, wie sie benötigt werden.
- Produktivitätssteigerungen: Eigene Server bzw. Rechenzentren müssen betrieben, gekühlt und gewartet werden, was für Unternehmen zeit- sowie kostenintensiv ist. Der Cloudanbieter übernimmt diese Leistungen, was nicht nur mehr Komfort und Qualität liefert, auch können eigene IT-Fachkräfte für andere wichtige Projekte eingesetzt werden.
- IT-Sicherheit: Durch moderne Technologien und entsprechende Richtlinien und Gesetze zählen Cloud-Dienste heute als besonders sicher. Daten, Anwendungen und Infrastrukturen werden vor Cyber- und Information-Security-Gefahren geschützt.
- Ortsunabhängigkeit: Auf Daten kann von überall und via jedem Gerät zugegriffen werden, vorausgesetzt eine Internetverbindung ist vorhanden.
Unterscheidung nach Cloud-Computing-Diensten
Es gibt vier verschiedene Servicemodelle für Cloud Computing-Dienste:
- Infrastructure as a Service (IaaS):
Über IaaS-Anbieter erhalten Nutzer passgenau zugeschnittene Infrastruktur angeboten und dadurch einen Remote-Zugriff auf IT-Ressourcen wie Computer (virtuelle oder dedizierte Hardware), Netzwerke und Speicher. Dieser Service bietet flexibel skalierbare Hardwareressourcen, ohne das Verwaltungs- oder Wartungsaufwände entstehen. - Platform as a Service (PaaS):
PaaS-Modelle bieten einen Zugang zu Programmier- oder Laufzeitumgebungen mit flexiblen, dynamisch anpassbaren Rechen- und Datenkapazitäten. Dazu zählen Datenbanken, Middleware, Betriebssysteme und Server – ohne die damit verbundene Komplexität der Verwaltung. Mit PaaS entwickeln Nutzer eigene Software-Anwendungen oder lassen diese hier ausführen. Der Service-Provider stellt die Softwareumgebung bereit. - Software as a Service (SaaS):
Bei SaaS wird dem Nutzer der Zugang zu einem fertigen Softwareprodukt geboten, welches vom Service-Provider betrieben und verwaltet wird. Meistens handelt es sich hier um Endbenutzeranwendungen. SaaS wird oft auch als "Software on Demand", sowie die Software als "Webservices" bezeichnet. - Function as a Service (FaaS):
FaaS stellt eine gesonderte Art der Cloud-Bereitstellung dar. Hier werden nur einzelne Funktionsinhalte über die Cloud zur Verfügung gestellt, bspw. sehr häufig genutzte Funktionen oder solche, die eine hohe Rechenleistung benötigen.
Unterscheidung nach Cloud-Bereitstellungsmodellen
Neben den Cloud-Services gilt es zwischen den Hauptmodellen für die Bereitstellung von Cloud Computing zu differenzieren:
- Public Cloud:
Public Clouds gehören mit zu den bekanntesten Lösungen und können sowohl kostenlos als auch kostenpflichtig genutzt werden. Zu diesen gehören bspw. namentlich bekannte Dienste wie Dropbox, Google-Docs, SAP Business by Design und Microsoft Office 365. Die Verantwortung der Wartung und Verwaltung der Systeme liegt beim Anbieter. Die Infrastruktur steht öffentlich zur Verfügung und wird von vielen Kunden geteilt. Häufig befindet sich diese Infrastruktur nicht in Europa, sodass die DSGVO hier oft keinen Einfluss hat. Für Unternehmen entfallen bei Private-Cloud-Architekturen die hohen Vorlaufkosten für Kauf, Verwaltung und Wartung von Soft- und Hardware. Zudem prägen die schnelle Bereitstellung und die nahezu unbegrenzte Skalierbarkeit das Bild bei den Vorteilen der Public Cloud. - Private Cloud:
Die Infrastruktur wird bei der privaten Cloud entweder im eigenen Unternehmen betrieben (On Premise) oder in einem Rechenzentrum eines externen Dienstleisters. Die Vorteile der Private Cloud decken sich in vielen Bereichen mit denen der Public Cloud, insbesondere was Skalierbarkeit angeht. Zudem besteht hier eine höhere Kontrolle über die Anpassung der Dienste, sowie ein höheres Maß an Sicherheit und Datenschutz. Dies ist allerdings im Gegenzug in der Regel mit entsprechenden Kosten verbunden sowie einer längeren Bereitstellungsdauer. - Hybrid-Cloud:
Die Hybrid-Cloud verbindet die Vorteile der Private und der Public Cloud. Dadurch wird die gemeinsame und nahtlose Nutzung von Daten und Anwendungen zwischen beiden Umgebungen ermöglicht.
Cloud & IT-Sicherheit
Viele Unternehmen stehen dem Modell Cloud-Computing skeptisch gegenüber. Die eigenen Daten einem Dritten zu überlassen ruft Unbehagen hervor, insbesondere wenn es sich um sensible Daten handelt, die Betriebs- und Geschäftsgeheimnisse beinhalten. Das Problem der Datensicherheit in der Cloud ist von erheblicher Bedeutung für Unternehmen. Sind die Daten in der Cloud von Zugriffen Dritter geschützt? Wer hat tatsächlich Zugriff auf diese Daten? Wie kann ein sicherer Zugriff auf die Cloud durch die Unternehmensmitarbeiter erfolgen?
Was jedoch oft übersehen wird ist, dass auch IT-Infrastruktur im eigenen Unternehmen durch einen Fremdzugriff gefährdet ist, insbesondere wenn diese mit dem Internet verbunden ist und ein aktueller Schutz nicht vorliegt. Immer häufiger sind Cloud-Anbieter die sicherere Alternative, da hier hohe Kompetenzen im Bereich des Datenschutzes und ausgeklügelte Sicherheitsvorkehrungen vorliegen.
Viele Cloud-Dienstleister bieten heute bereits eine Zwei-Faktor-Authentifizierung an, welche die Sicherheit beträchtlich erhöht. Nutzer und Nutzerinnen müssen sich hier neben Kennwort und Benutzername zusätzlich mit einem weiteren Merkmal – bspw. einem gültigen Zugangscode – identifizieren.
Eine entsprechende Verschlüsselung der in der Cloud abgespeicherten Daten ist ebenfalls essenziell für einen guten Schutz. Einige Cloud-Anbieter nutzen heute bspw. Verfahren, bei denen Datensätze nicht nur einfach oder mehrfach verschlüsselt werden, sondern teils sogar in Fragmente aufgesplittet und in unterschiedlichen Rechenzentren mit einer jeweils eigenen Verschlüsselung gespeichert werden. Dies macht es Dritten besonders schwierig, den Zugang zu gespeicherten Daten zu erhalten. Die korrekte Umsetzung und tatsächliche Sicherheit dieser Maßnahmen können Nutzer jedoch meist nicht überprüfen. Am sichersten ist es daher, wenn Nutzer und Nutzerinnen eine eigene Verschlüsselung der Daten durchführen und den Schlüssel bei sich speichern. Dies bringt jedoch Nachteile im Bereich der Bequemlichkeit mit sich, denn die verschlüsselten Daten sollten nicht in der Cloud, sondern nach dem Herunterladen lokal entschlüsselt werden, um weiter an ihnen arbeiten zu können.
Aus datenschutzrechtlicher Sicht handelt es sich bei der Nutzung von Cloud-Computing-Diensten um eine klassische Auftragsdatenverarbeitung, wie sie in § 11 Bundesdatenschutzgesetz (BDSG) geregelt ist. Ein Fall von Auftragsdatenverarbeitung liegt immer dann vor, wenn durch einen Dienstleister im Auftrag eines Unternehmens personenbezogene Daten erhoben, gespeichert und/oder genutzt werden sollen. Der Auftraggeber, hier der Cloud-Nutzer oder die Cloud-Nutzerin, bleibt jedoch weiterhin für die Daten verantwortlich, und somit auch für die Einhaltung der datenschutzrechtlichen Vorschriften. Besondere Probleme ergeben sich zudem, wenn der Cloud-Anbieter und/oder der Server seinen Sitz im EU-Ausland hat. Auch deutsche Unternehmen können ihre Server im Ausland betreiben, die dann der dortigen Rechtsprechung unterliegen. Um einen näheren Überblick zu Datenstandort und anwendbares Recht von Cloud-Anbietern bzw. -Diensten zu erhalten, empfiehlt sich bspw. die Webseite des gemeinnützigen Vereins „Kompetenznetzwerk Trusted Cloud“, für welches das BMWi die Schirmherrschaft übernommen hat.
Cloudausfälle: Redundanz und zusätzliche Kosten
Unternehmen versprechen sich durch die Verlagerung von Anwendungen in die Cloud nicht nur niedrigere Kosten, sondern auch eine höhere Ausfallsicherheit. Doch Probleme und Ausfälle sind nie komplett vermeidbar, egal ob dies an technischen Problemen oder menschlichen Fehlern gebunden ist. Wenn die Technik nicht mehr funktioniert und der Zugriff auf einen Großteil von Daten und Systemen nicht mehr gewährleistet ist, kann schnell der komplette Betrieb stillliegen. Durch Redundanz, also bspw. die Verteilung von virtuellen Maschinen auf unterschiedliche Rechenzentren oder Regionen, kann hier Sicherheit geschaffen werden. Doch Sicherheit ist in der Regel auch mit höheren Kosten verbunden. Wie Redundanz mit Kosten in Verbindung stehen, das hat das US-amerikanischen Uptime Instituts 2022 in dessen Studie „Public cloud costs versus resiliency: stateless applications“ untersucht.
In der Studie werden drei unterschiedliche Szenarien auf Basis einer WordPress-Applikation betrachtet: Der Ausfall einer virtuellen Maschine (VM), einer Zone (ein oder mehrere Rechenzentren) und einer Region (bspw. West-Europa). Zusätzlich dazu wird noch ein Failover-Szenario (fällt eine VM aus ersetzt eine parallellaufende VM diese Instanz, was eine Ausfallzeit von bis zu 15 Minuten bedeuten kann) sowie ein Active-Active-Szenario (neue Instanz übernimmt ohne Ausfallzeit) betrachtet.
Im Vergleich zu einer einfachen VM kann ein Szenario mit zwei aktiven VMs und einem LoadBalancer (Active-Active) bereits Mehrkosten von 43 Prozent mit sich bringen; unabhängig ob die zweite VM in der gleichen oder einer anderen Zone läuft. Für zwei VMs in der gleichen Zone wird am Beispiel AWS eine Verfügbarkeit von 99,95 Prozent angegeben und für zwei unterschiedliche Zonen sogar 99,99 Prozent.
Kostenintensiver wird es, wenn die Instanzen auf zwei Regionen verteilt werden. Muss die VM in Region 2 erst noch hochgefahren werden, so liegen die Mehrkosten hier bei 51 Prozent. Ist diese hingegen bereits aktiv und kann ohne Wartezeit sofort genutzt werden (Active-Active), so muss mit zusätzlichen Kosten von bis zu 111 Prozent gerechnet werden. Die Ausfallsicherheit steigt dadurch allerdings auch auf 99,999999 Prozent, was weniger als eine Sekunde Ausfall pro Jahr bedeutet.
GAIA-X: Das Projekt zur europäischen Daten-Souveräntität
Was ist GaiaX?
Die Idee hinter GAIA-X ist eine offene, transparente europäische Dateninfrastruktur, die von Vertetern und Vertreterinnen aus Wirtschaft, Wissenschaft und Politik entwickelt wird – ein Projekt von Europa für Europa, und darüber hinaus. Diese Dateninfrastruktur soll zum einen Daten schützen und zum anderen innovative, auf Daten basierende Geschäftsmodelle fördern und Kooperationen gewährleisten.
Unternehmen sowie Nutzer und Nutzerinnen sollen Daten sammeln und miteinander teilen und stets die Kontrolle über diese Daten behalten. Sie sollten selbst festlegen, was mit den eigenen Daten passiert und wo diese gespeichert werden.
Gaia-X basiert auf dem Prinzip der Dezentralisierung, sodass die Architektur sich aus zahlreichen individuellen Plattformen zusammenstellt, die alle einem gemeinsamen Standard folgen - dem Gaia-X-Standard. Gemeinsam wird so eine Dateninfrastruktur entwickelt, die auf den Werten Offenheit, Transparenz und Vertrauen basiert. Somit entsteht ein vernetztes System, welches viele Cloud-Service-Anbieter miteinander verbindet.
Wo liegt das Problem?
Unternehmen müssen Informationen, geschäftskritische Unternehmenssoftware und persönliche Daten schützen. Mit der Verlagerung der Daten in die Cloud gehen viele Vorteile einher, allerdings sind die Infrastrukturen vieler großer Cloud-Anbieter teilweise nicht mit der europäischen Datenschutz-Grundverordnung konform.
Die Mission
- Datenhoheit: digitale Souveränität von Wirtschaft, Wissenschaft, Staat und Gesellschaft stärken
- Schaffung digitaler Dateninfrastrukturen und eines Ökosystems für Innovation
- Erhöhung der Transparenz und Attraktivität digitaler Dienste
- Reduzierung von Abhängigkeiten (branchenspezifische sowie Abhängigkeiten von privaten und gewerblichen Verbrauchern und Verbraucherinnen zu einzelnen Anbietern)
Vorteile von GAIA-X
- Maximale Datensicherheit: Nutzer der im GAIA-X angesiedelten Dienste profitieren von den Prinzipien Security by Design und Privacy by Design. Eine sichere Datenspeicherung und -verarbeitung nach EU-Standards wird gewährleistet.
- Mitgestaltungsmöglichkeiten: Bei der Entwicklung von GAIA-X können Unternehmen und Verbände eigene Expertise in Arbeitsgruppen einbringen.
- Innovation ermöglichen: Durch GAIA-X können Systeme in Zukunft nahtlos zusammenarbeiten, was zahlreiche Innovationsmöglichkeiten birgt.
- Datenmengen verwalten und nutzen: Wachsende Datenmengen führen in Unternehmen zu steigenden Anforderungen an Infrastruktur und Software. Cloud-Anwendungen und digitale Plattformen ermöglichen die Datennutzung und Speicherung mit geringen Anfangsinvestitionen.
Weitere umfassende Informationen zum Projekt GAIA-X finden Sie auf der offiziellen Homepage.
Nachbericht: Cloud für Unternehmen vom 2. Februar 2023
Um Unternehmen das Thema Cloud Computing greifbarer zu machen, fand am 2. Februar 2023 die Online-Veranstaltung "Cloud für Unternehmen" statt.
Neben einer Einführung in das Thema Cloud, in der auch die unterschiedlichen Cloud-Modelle erklärt und Fragen aufgezeigt wurden, die sich Unternehmen stellen sollten, durften sich Teilnehmer auch auf einen Vortrag zum Thema Datenschutz und ein Best Practice Beispiel freuen. In diesem Rahmen zeigten zwei Unternehmen sowohl aus Dienstleister- als auch aus Anwendersicht, wie eine Cloud-Migration funktionieren kann. Weiterhin wurden Einblicke in Problemstellungen, Projektumsetzung, zu Kosten und die Vorteile der Nutzung der Cloud gegeben.
Cloud für Unternehmen: So gelingt der Weg in die Wolke
Präsentationen der Vorträge zum Download:
- Einführung Cloud: Private-, Hybrid- & Multi-Cloud, Cloud Native oder doch Serverless?
- Datenschutz: Cloud? Ja, aber (rechts-)sicher!
- Best Practice Teil 1: "Migration in die Cloud": Qualitätssicherung für Baustellen (Anwender-Unternehmen)
- Best Practice Teil 2: "Migration in die Cloud": Qualitätssicherung für Baustellen (Dienstleister)
Video-Mitschnitt: Cloud für Unternehmen - So gelingt der Weg in die Wolke (YouTube)