Die Wahrheit über Cloud Computing

Die Begriffsverwirrung um das Hype-Thema Cloud Computing ist groß. Fast täglich bringen Hersteller und selbsternannte Experten neue Varianten und entsprechende Dienstleistungsangebote ins Spiel (siehe auch: Die geplante Revolution und FAQ Cloud Computing). Das Düsseldorfer Analystenhaus Kuppinger Cole hat eine eigene Sicht auf das Thema entwickelt. Die gängige Definition, Cloud Computing als den Bezug von Diensten aus dem Internet anzusehen, halten die Auguren nicht für korrekt. Der wesentliche Aspekt des Cloud Computings liege darin, IT als Services zu betrachten, die flexibel bezogen und konfektioniert werden könnten, um die Anforderungen des Business zu erfüllen. Weil Dienste auch intern erbracht werden können, sei der Bezug über das Internet kein differenzierendes Merkmal, argumentiert Analyst Martin Kuppinger in einer aktuellen Studie, wohl aber "die Standardisierung sowohl der Transportmechanismen als auch der Servicebeschreibungen und der Services selbst".

Alles in allem ist Cloud Computing nichts grundsätzlich Neues, so Kuppinger weiter, sondern das Ergebnis einer längeren historischen Entwicklung. Die Tendenz, Dienste auszulagern, sei schon seit etlichen Jahren erkennbar und beispielsweise im Falle der Buchhaltungs- und Steuerdienste der Nürnberger Firma Datev seit langem etabliert. Mit immer höheren und zugleich billigeren Bandbreiten eröffneten sich nun aber neue Möglichkeiten, Dienste in die "Cloud" zu verlagern. Erst standardisierte und hoch skalierbare Services erlaubten es, Effekte der Massendegression zu nutzen. Damit könnten sich viele Unternehmen nun Dienstleistungen wie redundante externe Backups leisten, die früher kaum bezahlbar gewesen wären. Zum besseren Verständnis unterteilt Kuppinger die inzwischen verfügbaren Cloud-Dienste in sechs Kategorien, die sich am Aufbau von IT-Infrastrukturen insgesamt orientieren (siehe Grafik).

Der Nutzen von Cloud Computing

Geht es um den wirtschaftlichen Nutzen des Cloud Computings, nennt Kuppinger, wie viele andere Analysten auch, an erster Stelle mögliche Kostenersparnisse. Er unterscheidet dabei vier Aspekte:

1. Niedrigere Gesamtkosten der IT: Hier kommt erneut auf das Gesetz der Massendegression zur Sprache, sprich die Tendenz, dass eine größere Menge an Leistungen bezogen auf die Leistungseinheit günstiger zu erbringen ist. Diese Aussage gilt für fast sämtliche Kostenarten in Zusammenhang mit der IT, von den Infrastrukturkosten über Software- und Projektkosten bis hin zu Supportaufwendungen. Ein klassisches Beispiel kommt aus dem Storage-Bereich: Bei einer vergleichbaren Servicequalität kostet der Betrieb von großen Speichersystemen pro Terabyte in der Regel weniger als der von kleineren Systemen. Ein Cloud-Provider mit entsprechend mächtigen Infrastrukturen kann demnach theoretisch günstigere Storage-Dienste erbringen als die interne IT-Abteilung (siehe auch: Storage in der Cloud- Was Anwender beachten müssen).

2. Bessere Leistung zum gleichen Preis: Bei vergleichbaren Kosten können Cloud-Nutzer laut Kuppinger höhere Service-Levels erwarten als mit der eigenen IT. Beispielsweise bieten Cloud-Provider Backup-Dienste oft in besonders leistungsstarken und abgesicherten Rechenzentren an. Von der damit einhergehenden hohen Verfügbarkeit könnten gerade mittelständische Unternehmen profitieren, die die Kosten für eine stabilere eigene IT scheuen.

3. Minimierte Projektkosten: Auch dieser Aspekt dürfte für Mittelständler besonders interessant sein. Nutzen Unternehmen eine vordefinierte IT-Umgebung eines Cloud-Anbieters für neue Projekte, entfallen die Kosten für den Aufbau und die Anpassung der eigenen Infrastruktur. Unterm Strich könnten IT-Verantwortliche so die Projektkosten zuverlässiger kalkulieren und erlebten im Nachhinein keine bösen Überraschungen.

4. Zuverlässige Kalkulierbarkeit: Was für Projektkosten im Besondern gilt, lässt sich auch für die allgemeinen IT-Kosten anführen: Bei gleicher Nutzung kosten Cloud-Services in der Regel auch gleich viel. IT-Verantwortliche haben damit eine sichere Kalkulationsgrundlage. Von der internen IT kann man das oft nicht behaupten.

Business-Treiber für Cloud Computing

Zu den Treibern des Cloud Computing zählt Kuppinger neben Kostenaspekten auch die niedrigren Markteintrittshürden für neue Anbieter. Insbesondere in der Frühphase des Marktes könnten sich Dienstleister mit relativ geringem Aufwand Sichtbarkeit verschaffen. Aus der Konsolidierung diverser Services, die sich über das Internet beziehen lassen, ergäben sich insbesondere Chancen für Nischenanbieter, die mit spezialisierten Angeboten Lücken füllen könnten. Beispielsweise fänden sich im Bereich Identity Management in der Cloud bereits Startup-Unternehmen, die sich auf solche ergänzende Angebote konzentrierten. Mit der zunehmenden Popularität der Wolken-IT wachse andererseits der Druck auf etablierte IT-Anbieter, entsprechende Dienste feilzubieten. Oft versuchten Hard- und Softwarehersteller auf diese Weise auch, sinkende Umsätze in ihrem Kerngeschäft zu kompensieren. Kuppinger sieht diese Entwicklung kritisch: Bei solchen Konzepten sei Vorsicht geboten, "da viele der Anbieter versuchen, heute bestehende Abhängigkeiten von Kunden auch in der Cloud umzusetzen". Offenheit, Standardisierung und damit ein flexibler Wechsel von Anbietern sind nach seiner Einschätzung aber Kernelemente der Cloud (siehe auch: Die wichtigsten Cloud-Computing-Anbieter).

Cloud Computing und die Risiken

Den grundsätzlichen Chancen des Cloud Computings, die IT zu flexibilisieren und bei einer höheren Servicequalität die Kosten zu reduzieren, stehen laut den Analysten erhebliche Risiken gegenüber. Kuppinger nennt die folgenden Faktoren:

1. Verfügbarkeit von Cloud-Diensten: Zwar zähle die Verfügbarkeit zu den kleineren Risiken beim Cloud Computing, da die Anbieter auf diesen Aspekt großen Wert legten. Allerdings kämen aus Sicht der Anwender weitere Komponenten wie die Internet-Verbindung hinzu, die dazu führen könnten, dass sich die Gesamtverfügbarkeit der Cloud-Services eben doch als Herausforderung erweise. Der Analyst verweist zudem auf einen speziellen Aspekt in diesem Kontext: die Verfügbarkeit des Anbieters als solchem. Wenn dieser seinen Betrieb aus wirtschaftlichen Gründen einstelle, könne für Kunden der Zugriff auf die ausgelagerten Daten und der Ersatz von bisher aus der Cloud bezogenen Services durchaus zum Problem werden.

2. Flexibilität von Anwendungen: Sowohl die Flexibilität bezüglich der Anpassbarkeit von Applikationen als auch hinsichtlich eines Anbieterwechsel ist aus Sicht der Experten ein Risikofaktor. Viele Cloud-Services sind nur in standardisierter Form verfügbar und nicht oder nur mit hohem Kostenaufwand anpassbar, argumentiert Kuppinger. Ferner müssten Kunden damit rechnen, bei einem Wechsel des Cloud-Anbieters alle spezifischen Anpassungen zu verlieren. Letztere bergen demnach grundsätzlich das Risiko der Abhängigkeit von einem Provider (Vendor Lock-in).

3. Flexibilität bei der Anbieterwahl: Eine weitere Herausforderung sehen die Analysten in den Komplikationen, die ein möglicher Anbieterwechsel mit sich bringen kann. Nicht jeder Provider stelle Schnittstellen bereit, um die in der Cloud abgelegten Informationen einfach auszulesen. Zudem sei davon auszugehen, dass Kunden schon aufgrund von Unterschieden in Anwendungen und Datenformaten bei einem Anbieterwechsel manuell eingreifen müssten, um beispielsweise Daten zu konvertieren. Die Flexibilität bezüglich des Zugriffs auf die eigenen Daten sei daher ein wesentliches Kriterium bei der Auswahl von Cloud-Anbietern.

4. Integration: Viele Cloud Services verfügen nur über sehr eingeschränkte APIs, die eine Integration mit eigenen internen Anwendungen oder anderen Cloud-Services nicht oder nur mit Einschränkungen erlauben. Zudem sind die meisten der verfügbaren APIs proprietär, was wiederum einen zusätzlichen Aufwand beim Wechsel von Cloud-Services bedeuten kann.

5. Security: Hier verweisen die Analysten auf die ihrer Meinung nach notwendige einheitliche Authentifizierung gegen definierte Authentifizierungssysteme und eine übergreifende, einheitliche Steuerung der Autorisierung bis hin zu Cloud Service-übergreifenden SoD-Regeln (Segregation of Duties). Solche Mechanismen seien derzeit kaum umsetzbar. Zumindest aber habe sich die Unterstützung von Standards wie SAML und teilweise auch SPML (Service Provisioning Markup Language) bei Cloud Services verbessert.

6. Nachvollziehbarkeit: Um Compliance-Anforderungen zu erfüllen, müssen Unternehmen ihre Prozesse und Services hinreichend nachvollziehen können. Dies aber ist in einer verteilten IT-Infrastruktur, die sich über unterschiedliche Cloud Services mehrere Anbieter erstreckt, schwierig umzusetzen, so Kuppinger. Besonders gravierend sei das Problem, solange viele Cloud-Anbieter keine oder nur eingeschränkte Schnittstellen für den Zugriff auf solche Informationen böten.

Unterm Strich sehen die Experten im Bereich Cloud Computing noch erheblichen Standardisierungsbedarf. Dies gelte sowohl im Hinblick auf die Schnittstellen für das Management von Cloud-Umgebungen als auch für die Datenformate auf Anwendungsebene.

Organisatorische Herausforderungen

Mit dem Beachten der diversen Risiken des Cloud Computings ist es indes nicht getan. Kuppinger sieht darüber hinaus große organisatorische Herausforderungen, vor denen Unternehmen stehen, wenn sie IT-Ressourcen in der Wolke nutzen wollen. Die größte bestehe darin, dass Cloud Computing, mehr noch als klassische Outsourcing-Vorhaben, die IT-Organisation grundlegend verändere. Ein Beispiel: Im Zuge von Outsourcing-Vorhaben übernehme üblicherweise der Outsourcer die administrativen Mitarbeiter. Wer dagegen in großem Umfang auf Cloud-Services umstelle, brauche offensichtlich weniger interne Mitarbeiter. Hinzu komme, dass sich die Anforderungen an die interne IT veränderten. Deren Schwerpunkt liege nicht mehr auf dem IT-Betrieb und der Administration, sondern auf der Steuerung und Kombination von Services aus der Cloud, sowohl zwischen Cloud Services als auch innerhalb der internen IT. Damit, so Kuppinger, sei ein grundlegender Umbau und in der Konsequenz eine Verschlankung der IT-Organisation zumindest in Teilbereichen unverzichtbar.

Ebenso wichtig sind laut der Studie rechtliche Aspekte beim Nutzen von Cloud-Diensten. Hier stellt sich erneut das Problem der Nachvollziehbarkeit bezüglich diverser Compliance-Anforderungen. Hinzu kommen unterschiedliche gesetzliche Vorgaben zum Thema Datenschutz. Die Analysten raten deshalb zur Vorsicht: In der jetzigen Entwicklungsphase des Cloud Computings sollten Unternehmen insbesondere in Bereichen mit hoher Compliance-Relevanz, beispielsweise bei Finanzdaten und personenbezogenen Daten, genau prüfen, ob die bisher an die interne IT gestellten Anforderungen auch mit Cloud-Services erfüllt werden können.