Cloud-Technologien: Wann der Weg in die Wolke sinnvoll ist

Anfang März gab Microsoft bekannt, dass Sicherheitslücken in der weltweit verbreiteten E-Mail-Software „Exchange Server“ entdeckt wurden. Gleichzeitig wurden einige Security-Patches (IT-lerisch für Sicherheitsupdates) herausgegeben inklusive der Warnung, dass bereits Angriffe registriert worden seien. In den nächsten Tagen wurde dann bekannt, dass bis zu 250.000 Konten von dem Hack betroffen sein könnten. Ironie des Schicksals: Deutschland ist von dem Hackerangriff laut IT-Sicherheitsexperten deshalb besonders betroffen, weil viele deutsche Unternehmen Cloud-Computing aus Sicherheitsbedenken scheuen.

Der cloudbasierte Service „Exchange Online“ war laut Microsoft im Gegensatz zu der lokal installierten „Exchange Server“-Software nicht von dem Hack betroffen. Bedeutet das, dass Cloud-Systeme am Ende gar sicherer sind als On-Premises-Installationen? Laut unserem IT-Experten Thomas Droste ein klares „Jein“. Denn wie immer im Leben ist es auch bei der Abwägung zwischen lokal installierter Software und gehosteten Cloud-Diensten: Schwarz-Weiß-Denken bringt uns nicht weiter, denn es gibt sinnvolle Anwendungsbereiche genauso für das eine wie für das andere.

Das große Problem bei dem jüngsten Microsoft-Sicherheitsleck war die zeitliche Verzögerung beim Aufspielen der durch Microsoft zur Verfügung gestellten Sicherheitsupdates. Das Computer-Notfallteam des Bundes, der CERT-Bund, verkündete in einem Twitter-Tweed, dass selbst acht Tage nach der Veröffentlichung der Patches von 65.000 betroffenen „Exchange Server“-Konten noch 25.000 weiterhin verwundbar waren. Das bedeutet, dass nach über einer Woche rund 38% der installierten Software noch nicht gepatcht worden war.

Bei Cloud-Systemen übernimmt hingegen der Provider selbst die Installation von Patches. Die deutlich höhere Geschwindigkeit der Updates erhöht die Daten-Sicherheit, da Verzögerungen wie im Microsoft-Fall, wo die Patches durch die unternehmenseigenen Administrator:innen jeweils individuell installiert werden mussten, entfallen.

Während sich die Sicherheit vor ungepatchten Lecks beim Cloud-Computing erhöht, verringert sich der administrative Aufwand für das unternehmensinterne IT-Team. Denn die technische Wartung der Cloud-Server übernimmt genauso wie die Updates der jeweilige Provider. Betrachten wir beispielsweise die Überwachung der Patchlevel (d.h. des Aktualitätsgrades): Diese für jede installierte Software durchzuführen, ist sehr zeitintensiv. Nicht alle Sicherheitslücken werden so öffentlich diskutiert und sind damit so offensichtlich wie die von Microsoft, weshalb hierfür regelmäßige und sorgfältige Recherchen erfolgen müssen.

Und auch die notwendige interne Infrastruktur wird durch Cloud-Computing reduziert. Es müssen nicht mehr sicherheitshalber viel mehr Serverleistungen eingekauft werden, die dann einen Großteil der Zeit ungenutzt bleiben, nur um Überlastungsspitzen aufzufangen. Stattdessen mietet und zahlt man in der Regel bei Cloud-Lösungen nur das, was man auch wirklich nutzt und der Puffer für Spitzenlasten wird hinsichtlich der Kosten auf alle Cloud-User verteilt.

Die Wirtschaftlichkeit von Cloud-Lösungen ist auch zurückzuführen auf die meist sehr unproblematische Skalierbarkeit. Denn Cloud-Dienste sind in der Regel innerhalb kürzester Zeit anpassbar an die dynamischen Bedürfnisse der Anwender:innen. Soll beispielsweise ein weiteres Team in einen Cloud-Workflow integriert werden, so sind die meisten Lösungen auf Basis von Cloud-Technologien mit wenigen Klicks erweiterbar. Und auch umgekehrt lassen sich Lizenzen häufig einfach wieder abbuchen, wenn sie nicht mehr benötigt werden.

Auch beim Umweltschutz kann die Cloud bisweilen punkten. Denn häufig lohnt es sich, auf einen eigenen Server zu verzichten. Unser IT-Leiter Jens Thienhaus hat dazu einen guten Vergleich parat:

Außerdem kann die Abwärme, die in den Cloud-Servern entsteht, weiterbenutzt werden, z.B. für das Beheizen von Bürokomplexen. Es gibt außerdem CO2-neutrale Server, deren Nutzung einen einfachen Start in das Thema „Green IT“ ermöglichen. Und schließlich, das ist uns während des Pandemie-Jahres aufgefallen, entlastet Remote-Arbeit über Cloud-Dienste auch unsere Autobahnen und schont damit das Klima.

Den derzeit offensichtlichsten Pluspunkt für Cloud-Technologien haben wir uns bis zum Schluss aufgehoben: die Zusammenarbeit ohne Zwang zur physischen Präsenz. Durch Cloud-Lösungen werden geografische Grenzen bei der Zusammenarbeit überwunden. Von überall kann jederzeit auf die Daten zugegriffen werden, Dokumente und Dateien können gemeinsam bearbeitet werden und die Videotelefonie mit zusätzlichen Funktionen wie dem Teilen des Bildschirms oder einem digitalen Whiteboard ist spätestens seit der Covid-19-Pandemie ein Must-have für Unternehmen. All das ermöglicht eine Zusammenarbeit von Teammitgliedern, die der Kollaboration in lokaler Präsenz zwar in der sozialen Nähe, nicht aber in der Funktionalität nachsteht. Auch die Grenzen zwischen Unternehmen verschwimmen hierbei, da die Kommunikation zwischen den jeweiligen Mitarbeiter:innen potenziell erleichtert ist, zum einen durch Videokonferenzen, zum anderen durch Zusammenarbeit in cloudbasierter Unternehmenssoftware. Dies ist auch für New-Work-Ansätze in der Arbeitswelt relevant.

Um die Ecke gedacht: Durch die vielfältigen Kommunikations- und Kollaborationsmöglichkeiten können Unternehmen auch dem gegenwärtigen Fachkräftemangel effektiv begegnen. Denn gerade im Bereich der Wissensarbeit können viele Positionen auch problemlos remote (IT-lerisch für „aus der Ferne“) besetzt werden, wenn die notwendigen Cloud-Systeme im Einsatz sind. Und so ist man auf einmal bei der Fachkräftesuche nicht mehr auf den direkten geografischen Umkreis limitiert, sondern es steht potenziell die ganze Welt der qualifizierten künftigen Mitarbeiter:innen zur Verfügung.

Auch wenn wir oben gesagt haben, dass Cloud-Systeme bisweilen schneller gepatcht werden: Der Transfer und Verbleib geschäftskritischer Daten auf einen Cloud-Server ist und bleibt ein Sicherheitsrisiko. Bei einer lokal installierten Software bleiben alle Daten vor Ort beim Unternehmen. Damit wird entsprechend dieses Risiko reduziert und man behält eine größere Kontrolle über seine Daten. Daher kann es sinnvoll sein beim Umgang mit geschäftskritischen Daten, beispielsweise mit sensiblen Kundendaten oder Softwarequellcode, die On-Premises-Variante zu bevorzugen. Überwiegen für den Anwendungsbereich (zum Beispiel in kollaborativen Prozessen) die Vorteile einer Cloud-Lösung, ist man gut beraten, sich genau bei zertifizierten, seriösen Providern über deren Sicherheitsstandards zu informieren.

Werden im Arbeitsprozess große Datenmengen erzeugt, erfolgt die Verarbeitung derselben in der Regel vorzugsweise auf lokal installierter Software. Ob es sich dabei um die Produktion von Videoinhalten oder große Datenbanken handelt, die regelmäßig bewegt werden: die Transfergeschwindigkeit ist im lokalen Netz meistens um ein Vielfaches höher. Auch im Bereich der Anbindung von Maschinen und Software ist Cloud-Technologie meist (noch) nicht in der Lage, diese mit der notwendigen Geschwindigkeit zu verbinden. Steuern beispielsweise Sensoren einen Produktionsprozess, sollte diese Steuerung möglichst schnell erfolgen. Wenn also geringste Latenzen gefordert sind, ist die Nutzung des lokalen Netzes sinnvoller.

Die physische Kontrolle des eigenen Servers kann Gold wert sein. Zum einen kann man den eigenen Server vor Ort sehen und anfassen, er ist haptisch greifbar und vermittelt dadurch ein sicheres Gefühl. Zum anderen kann die eigene IT-Fachkompetenz des Unternehmens unabhängige Entscheidungen darüber treffen, was mit der installierten Software geschieht. Die Zeit für Wartungsarbeiten kann individuell festgelegt werden und bei Updates liegt die Entscheidung über das „Wann“, aber auch über das „Ob“ der Installation beim unternehmenseigenen Administrator. Das kann gerade im Bereich hoch regulierter Prozesse ein entscheidendes Kriterium sein. Ein Beispiel ist hier die Medizintechnik, in der regulierte, speziell abgenommene Prozesse auch eine bestimmte Version einer Software beinhalten. Bei einem Update muss der gesamte Prozess neu validiert werden, weshalb hier eine Kontrolle über die Update-Tätigkeit absolut notwendig ist. Mehr zu Normen und Qualitätsmanagement in der Medizintechnik lesen Sie auch im Artikel Qualität ist Leben.

Außerdem ist bei On-Premises-Software eine Einstellung des Dienstes durch den Provider (beispielsweise bei Insolvenz oder Neuausrichtung) anders als bei Cloud-Technologien keine Gefahr; die installierte Software kann (im Rahmen der Lizenzbedingungen) potenziell für immer genutzt werden.

Nutzt man eine Software auf dem eigenen PC, ist man logischerweise nicht auf das Internet angewiesen. Diesen Faktor sollte man bei der Entscheidung zwischen Cloud-Dienst oder On-Premises-Software nicht unterschätzen. Denn selbst in Großstädten ist die Internetverbindung nicht immer so stabil, wie wir es uns wünschen würden. Daher sollte unbedingt abgewogen werden, ob ein plötzlicher Abbruch der Verbindung kritisch für die betrieblichen Abläufe wäre. Fun Fact: Auch bei stabiler Internetverbindung kann die Übertragung an einen Cloud-Server schon einmal haken. So geschehen beim Schreiben dieses Artikels; ich habe dann noch einmal von vorn angefangen …

Für die Datensicherung sind lokal installierte Lösungen meist besser geeignet. Denn bei Cloud-Diensten gibt es keinen Rohdatenzugriff und eine Vollsicherung des gesamten Servers ist natürlich auch nicht möglich, da man ja gar keinen Server gekauft, sondern lediglich einen Teil desselben gemietet hat. Back-ups sind hier Teil des Services seitens der Anbieter, doch leider sparen viele Cloud-Provider laut Patrick Ruppelt, Gründer und Geschäftsführer von ITK Security, im Artikel Cloud vs. On-Premises ausgerechnet bei der Datensicherung und sorgen nur unzureichend für den Schutz der bei ihnen hinterlegten Daten. Aufgrund der Verteilung von diversen Unternehmen mit ihren Daten auf einem Server ist ein umfassendes Back-up aber auch technisch kaum möglich. Das ist nicht nur für die regelmäßige Datensicherung ein Problem, sondern führt bei einem Providerwechsel auch meist zu einem umfassenden Datenverlust, da der Zugriff auf den Datenbestand nach dem Ende des Abonnements nicht vorgesehen ist. Dadurch gerät man auf Anwenderseite schnell in eine Abhängigkeit von einer bestimmten Cloud-Lösung, einen sogenannten Vendor-Lock-in, der verhindert, dass ein Unternehmen flexibel zu einer anderen Cloud- oder On-Premises-Software wechseln kann. Bei einem eigenen Server mit installierter Software kann hingegen ein umfassendes Back-up aller Daten eingerichtet werden und auch bei einem Wechsel zu einer anderen Software eine Archivversion der alten Anwendung erstellt werden.

Ein Flickenteppich von Lösungen kann für die Durchlässigkeit innerhalb der eigenen Systemlandschaft schnell zu Problemen führen. Natürlich sollte der Datenaustausch zwischen den Systemen gewährleistet sein, doch leidet dabei schnell die Sicherheit. Die Vernetzung verschiedener lokal installierter Software ist meist einfacher als eine hybride Verknüpfung von Cloud-Services und On-Premises-Software. Doch auch hier gibt es massive technische Fortschritte, die sich in letzter Zeit abzeichnen.

Gerade wenn einem ein hoher Individualisierungsgrad und die Anpassung auf die eigenen Prozesse wichtig ist, bieten lokal installierte Softwarelösungen noch häufig eine größere Bandbreite an Customizing-Optionen.

Eine Kollegin aus der Softwareentwicklung sieht sich beispielsweise mit anderen Herausforderungen bezüglich Datensicherheit und Verarbeitung von Datenmengen konfrontiert als der Kollege aus dem Marketing. Daher ist für eine ausgewogene, allen Teams dienende Systemlandschaft eine Sache essenziell: die interne Kommunikation. Als IT-Verantwortlicher auf der Suche nach der Antwort „Cloud-Technologien oder On-Premises-Software?“ ist es die erste Aufgabe, die Anforderungen der verschiedenen Abteilungen zu sammeln, zu verstehen und dann anhand einer individuellen Beratung (die dieser Artikel natürlich nicht ersetzen kann) mit Bedacht abzuwägen, an welcher Stelle die eine, an welcher Stelle die andere Technologie vorzuziehen ist.

Mehr Tipps zur Digitalisierung von Unternehmen lesen Sie im Artikel 7 häufige Fehler bei der Digitalisierung während Corona.