Mit dem Trend Cloud Computing kommen neue Anbieter auf den IT-Markt. Inwiefern verändert sich die Providerlandschaft?
Thomas R. Köhler: Sowohl etablierte Anbieter von Hosting/RZ-Dienstleistungen als auch neue Player mit ganz unterschiedlichem Background versuchen, das Segement "Cloud Computing" für sich zu besetzen. Auf der Strecke bleibt dabei oftmals der Kunde der sich einer zunehmend unübersichtlichen Vielfalt gegenübersieht. Dabei ist oftmals noch nicht mal klar, was mit "Cloud Computing" genau gemeint ist. Die Vorstellungen der Anbieter wie auch die Definitionen der Analysten differieren hier teils erheblich - noch immer. Insgesamt beobachten wir aber eine zunehmende Reifung des Marktes.
Spannend finde ich in diesem Zusammenhang das Aufkommen neuer Intermediäre. So versucht sich das Berliner Startup "Zimory" - eine Spin-Off der T-Labs, ein Forschungsinstitut der Deutschen Telekom - als eine Art Broker für Cloud-Kapazitäten zu etablieren. Mittelfristig ein spannendes Geschäftsmodell.
Worauf muss ein Anwender bei der Auswahl eines Providers in erster Linie achten?
Köhler: Bei jeder Art von Auslagerungsentscheidung sind Leistungsfähigkeit des Anbieters und Zuverlässigkeit der Leistungserbringung die zentralen Anforderungen. Das ist bei Services die als "Cloud" angeboten werden nicht anders.
Bei Startups besteht die Gefahr, dass das Angebot wieder eingestellt wird
Kann ein Anwender überhaupt überprüfen, wie zuverlässig ein Anbieter und wie nachhaltig sein Angebot ist?
Köhler: Dadurch, dass der gesamte Markt erst am entstehen ist, ist dies nicht durchgängig möglich. Langjährige Erfahrungen mit genau dieser Art der Serviceerbringung etwa, wird man bei keinem Anbieter finden können. Am besten ist man bei im Bereich von Outsourcing / Hosting bei erfahrenen, finanzstarken Anbietern aufgehoben, auch wenn hier das Cloud-Angebot manchmal kaum mehr als "Alter Wein in neuen Schläuchen" ist. Wie man aus der ersten ASP-Welle weiß, sind gerade Startups ohne finanziell gesicherten Background diejenigen, bei denen die Gefahr am höchsten ist, dass das Angebot ohne oder nur mit minimaler Vorwarnung wieder eingestellt wird - zum Schaden des Unternehmens, das darauf setzt.
Welcher Aufwand ist für die Providerwahl einzuplanen?
Köhler: Bei Randthemen, die nur geringes Volumen haben und wenig Risiko für das Unternehmen beinhalten, ist "try and buy" durchaus die richtige Strategie.
Wir würden zudem empfehlen, nach Referenzen - in jedem Fall aus dem gleichen Land und idealerweise aus der gleichen beziehungsweise einer verwandten Branche - zu fragen, und diese dann auch abzuklopfen. Das heißt, sich einen Ansprechpartner dort nennen zu lassen und diesen dann auch anzurufen und nach seinen Erfahrungen zu befragen.
Bei größeren Abschlüssen lohnt es sich zumeist, externen Rat einzuholen. Bei Verträgen jenseits von Standardangeboten würde ich sogar dringend dazu raten, vor allem wenn es um die SLA-Ausgestaltung geht, dem typischen Schwachpunkt der meisten Angebote.
Welche Bereiche eignen sich Ihrer Erfahrung nach heute schon für die Auslagerung in eine sogenannte Cloud?
Köhler: Alles was direkt mit Webanwendungen zu tun hat, ist auf meiner Cloud-Prioritätenliste ganz oben. Hier lässt sich auf kostengünstige Weise Serverkapazität bedarfsgerecht skalieren - die Cloud kann hier ihre Vorteile am besten ausspielen. Auch Systeme zur Speicherung großer Informationsmengen sind - den entsprechenden Anbieter vorausgesetzt - als Cloud-Anwendung gut aufgehoben.
Anwendungen, die ortsübergreifend genutzt werden, wie etwa CRM-Systeme oder Collaborations-Anwendungen sind sinnvolle weitere Schritte.
Besonders schützenswerte Informationen auf keinen Fall auslagern
Was würden Sie auf keinen Fall auslagern?
Köhler: Alles was besonders schützenswerte Informationen meines Unternehmens tangiert. Die berühmten "fünf Prozent" Informationen, die einen Wettbewerbsvorteil darstellen, sollten in jedem Fall besonders gesichert sein. Dies schließt einen Einsatz in jeder Art von Carrier-Cloud meiner Meinung nach aus. Je nach Unternehmen können das die Konstruktionspläne aber auch Kundenbeziehungsdaten oder andere Informationen sein.
Welche technischen Kriterien muss ein Cloud-Anbieter erfüllen?
Köhler: Grundsätzlich ist das ganz einfach: Verfügbarkeit, Skalierbarkeit und Sicherheit sind die zentralen Aspekte jeder Cloud-Infrastruktur. Die zentrale Frage ist, wie erreiche ich das. Letztendlich muss der Kunde den konkreten Weg dem Anbieter überlassen oder seine eigene Cloud-Struktur aufbauen.
Was bei der ganzen Diskussion insgesamt ein wenig zu kurz kommt ist das Thema "Ende-zu-Ende"-Service. Hier wären eigentlich die Telcos prädestiniert, dem Kunden eine entsprechende Garantie bis hin zum Anwender zu schaffen und sich so einen Vorsprung gegenüber Anbietern ohne eigenes Netz zu schaffen, aber entsprechende Angebote muss man bisher mit der Lupe suchen.
Angebote sind heute schon weitgehend ausgereift
Sind die Angebote heute schon ausgereift?
Köhler: Zum großen Teil ja! Wir haben für einige Kunden Tests durchgeführt. Diese verliefen durchweg positiv.
Experten behaupten, dass die Herstellerabhängigkeit aufgrund mangelnder Standards und proprietärer Schnittstellen sehr groß sei. Was bedeutet das für einen eventuellen Anbieterwechsel?
Köhler: In der Tat ist Interoperabilität heute die zentrale Herausforderung. In gewissen Bereichen funktioniert das bereits, aber "vendor lock in" ist noch immer eine starke Motivation bei der Gestaltung von Services. Letztendlich müssen die Anbieter befürchten, bei aus Anwendersicht identischen, weil standardisierten, Services und niedrigen Wechselhürden ähnlich austauschbar zu werden wie die Telcos es heute aus Sicht zahlreicher Kunden bereits sind. Das zeigt die Diskussion um die "bitpipe". Wie bei jedem Outsourcing-Projekt sollte man auch beim Cloud-Computing bereits bei Vertragsabschluss eine klar definierte Vorgehensweise für eine Rückabwicklung vereinbart haben.
Gartner-Analyst Daryl Plummer rät dazu, Services in der Cloud, die nicht sicherheitsrelevant sind, einfach auszuprobieren. Er geht davon aus, dass es Fehler geben wird, aus denen aber alle lernen werden. Wird die technische Entwicklung Ihrer Meinung nach auf dem Rücken der Anwender ausgetragen?
Köhler: Dem kann man für nicht-unternehmenskritische Services durchaus zustimmen. Es ist letztendlich auch eine Frage der Risikoabwägung wann und wie man sich dem Thema nähert. Unbestritten ist Cloud Computing das große Thema für die Weiterentwicklung der Unternehmens-ICT.
Sicherheitsaspekte auszublenden ist grob fahrlässig
Experten raten, nicht blind den Versprechen der Cloud-Provider zu glauben, sondern die Sicherheit ihrer Security-Infrastruktur eingehend zu prüfen. Wie soll das funktionieren?
Köhler: Selbst kann man das nur begrenzt testen, man kann jedoch erwarten, dass der Anbieter sich von unabhängigen Prüf- und Überwachungsorganisationen zertifizieren lässt.
Wir beobachten bei den Anbietern verschiedene Strategien, auf solche Anfragen zu reagieren. Einige setzen auf "Security by Obscurity", das heißt, sie geben nur sehr beschränkt Details nach außen, verraten unter Umständen nicht mal ohne weiteres die Serverstandorte oder beschränken technische Informationen durch NDAs. Andere spielen mit offenen Karten und gewähren detaillierte Einblicke in Technik wie Ausbauplanung - wenn man nur danach fragt.
Die größten Bedenken haben CIOs und IT-Verantwortliche in puncto Sicherheit. Schützenswerte Daten und Informationen virtuell auf Servern oder in Rechenzentren mit anderen teilen - kann das überhaupt gut gehen?
Köhler: Das ist zunächst einmal eine Frage geeigneter technischer Maßnahmen. Leider zeigen Pressemeldungen immer wieder gravierende Mängel auf. Wie oben bereits benannt empfehlen wir daher, besonders werthaltige Informationen nicht in Cloud-Umgebungen zu übertragen, dort zu speichern oder zu bearbeiten. Auch die Frage nach dem Serverstandort und den daraus unter Umständen resultierenden Zugriffsmöglichkeiten fremder Geheimdienste muss dabei berücksichtigt werden. Dies auszublenden, wäre dem Unternehmen, seinen Mitarbeitern und Anteilseignern gegenüber grob fahrlässig.