header_corporate-blog_2019_1920x559px

Was steckt hinter Cloud Computing?

trivadis_kontakt_impressum_gerald-klump_1xUnsere Interviews mit Gerry, Co-CEO von Trivadis, drehten sich bisher um das Vertrauen, dass wir in die Cloud haben können sowie um die möglichen Bedrohungen. Heute wollen wir Gerry und die beiden Trivadis-Experten Christian Golz und Stefan Lengacher, beide Program Manager, zum Thema Cloud Computing befragen. Sie sind für das Portfolio Management Cloud Computing bei Trivadis zuständig.

Sabine: Zuerst einmal würde uns interessieren, wie man sich sicher in die Cloud bewegen kann und worauf es zu achten gilt?

Gerry: Ganz wichtig ist an dieser Stelle, den Weg in die Cloud nicht nur technisch zu betrachten, sondern gesamtheitlich, das bedeutet also auch die Organisation des relevanten Unternehmens, seine Strategie, die langfristigen Ziele sowie die Prozesse. Natürlich sind Business-Anforderungen noch besonders wichtig, um für den einzelnen Fall richtig planen zu können.

Stefan: Auf dem Weg in die Cloud ist am Anfang die Frage zu klären, welche Form der Migration Sinn macht: ein kompletter Umzug in die Cloud oder nur ein teilweiser? Die einfachste, aber kostspieligste Variante ist das sogenannte lift & shift: Daten und Infrastruktur werden 1:1 in die Cloud überführt. Erst nach der Migration wird damit begonnen, die verschiedenen Applikationen anzupassen. Diese Variante ist nur sinnvoll, wenn der Umzug schnell gehen muss und alle Anwendungen sofort benötigt werden.

Mit den weitaus besseren Varianten von replatforming & refactoring werden Deine Anwendungen auf die neue Plattform angepasst. Hierbei gibt es keine grundlegenden Änderungen des Codes. Diese Variante empfehlen wir, denn bei der Entwicklung entstehen Kenntnisse, die Du auch weiter nutzen kannst. Wenn es sich um selbstentwickelte Software handelt, wird sie auf diese Weise modernisierst. Mit diesen Varianten nutzt Du sinnvoll die Ressourcen und auch die Kosten werden optimiert.

Christian: Bisher hat man mittels Cloud-First-Strategie versucht alles, aber auch wirklich alles in die Cloud zu bringen. Mit der Cloud-Smart-Strategie versucht man genauer zu schauen, ob ein Business Case überhaupt für die Cloud geeignet ist z.B. über die Kriterien FEVER (Faster, Easier, Valuable, Efficient and Repeat). Mit diesem Ansatz wird auch berücksichtigt, dass gewisse IT-Systeme vielleicht aufgrund von Compliance-Vorgaben nicht in die Cloud sollten oder aufgrund höherer Kosten einen Betrieb in der Cloud gar nicht rechtfertigen.

Ob sich eine komplette Migration in die Cloud für Dein Unternehmen lohnen kann, hängt auch von folgenden Aspekten ab:

  1. Skalierbarkeit: Du buchst so viel Rechenleistung und Speicherplatz wie notwendig, so kannst Du grössere Auftragsspitzen abfangen, ohne die eigenen Server weiter aufrüsten zu müssen.
  2. Kostenoptimierung: Mit der Auslagerung Deiner Daten und Anwendungen in eine Cloud benötigst Du keine teure Hardware mehr. Durch Abschaffung des Data Centers könnte auch das Facility- und Data Center Management entfallen oder zumindest reduziert werden.
  3. Zeiteinsparung: Dein Unternehmen spart Zeit für Updates von Hard- und Software ein und die Mitarbeiter*innen können sich um andere, wichtige Themen kümmern.
  4. Automatisierung: Sind alle Daten und Anwendungen in die Cloud migriert, kannst Du viele Prozesse automatisieren und so sogar ganze Lösungen oder auch IT-Infrastrukturen automatisieren und versionieren.
  5. Mobilität: Alle Anwendungen und Daten sind auch von unterwegs (beim Kunden, im Homeoffice, im Hotel etc.) nutzbar. Früher musste ich mich per VPN einwählen. Heute gehe ich auf ein Portal und habe alle Applikationen, die ich brauche und muss mich nur einmal authentifizieren und das inklusive Multi-Faktor-Authentifizierung (MFA).

Wie kann Trivadis dabei helfen, das Thema Cloud Computing strukturiert anzugehen?

Gerry: Eine sorgfältige Vorausplanung der Cloud-Migration ist Pflicht. Zum Start sollte man die Prioritäten und Ziele des gesamten Prozesses festlegen und den Ist-Zustand aufnehmen. Wichtig ist innerhalb der Cloud-Strategie mögliche Risiken im Voraus zu beachten (Bsp.: Ausfallzeiten, schlechte Kundenerfahrungen, Sicherheitslücken). Zu diesem Zweck haben wir unser kostenloses Angebot, das Cloud-Readiness Assessment entwickelt, das wir zurzeit am Markt vortesten. Hierbei ist es egal, ob Du das Ende des Lebenszyklus einzelner Hard- resp. Software-Komponenten erreichst oder bereits erste Cloud Services nutzt.

Ganz wichtig ist ja das Thema Datenschutz beim Cloud Computing. Was könnt Ihr hierzu unseren Lesern raten?

Christian: Natürlich entstehen durch die Nutzung externer Dienstleister und Rechenzentren, auch die vom Cloud Provider, zusätzliche Risiken. Die Speicherung von Daten auf fremden Systemen zwingt zur Einhaltung der datenschutzrechtlichen Anforderungen. Der Zugriff auf die Systeme kann unter der Voraussetzung der Kenntnis der Zugangskennung prinzipiell von überall aus über das Internet erfolgen. Dazu sind wir im Detail auch schon im Blog zu den Bedrohungen der Cloud eingegangen.

Cloud Services werden von mehreren Parteien genutzt. Das hat Einfluss auf die Aspekte des Datenschutzes. Es entstehen Beziehungen zwischen dem Cloud Provider, dessen Unterauftragnehmer und dem Cloud-Nutzer (das Unternehmen welches die Cloud nutzt) sowie dem Anwender/Kunden des Unternehmens, deren Datenschutzrechte als Dritte betroffen sind.

Grundsätzlich lassen sich die Anforderungen an den Datenschutz nur erfüllen, wenn neben der  Einhaltung der Datensicherheit auch der Datenschutz durch den Cloud-Anbieter gegeben ist, viele Cloud-Provider können daher ein DS-GVO Zertifikat nachweisen. Zu beachten ist jedoch, dass es sich hierbei um eine geteilte Verantwortlichkeit handelt. Denn der Cloud-Anwender bleibt verantwortlich dafür, dass die personenbezogenen Daten korrekt erhoben wurden, also die Forderungen nach Informationspflicht, Transparenz, Zweckmäßigkeit, etc. eingehalten sind.

Auch bleibt der Cloud-Nutzer dafür verantwortlich, die vom Cloud Provider bereitgestellten Datensicherheitstechniken korrekt und im erforderlichen Umfang einzusetzen. Es stehen beispielsweise Verschlüsselungstechniken, besondere Authentifizierungsmethoden, kontinuierliches Monitoring, Intrusion Detection und Intrusion-Prevention-Systeme, Sandboxing-Technologien und Firewall-Komponenten zum Einsatz bereit.

cloud-gerry

Und wie genau sieht es mit der rechtlichen Seite des Datenschutzes aus?

Christian: Die rechtlichen Aspekte des Datenschutzes können sich, dank der DS-GVO, nur noch in den Öffnungsklauseln von Land zu Land unterscheiden. Die DS-GVO gibt damit ein Minimum an Datenschutz vor und die einzelnen Länder können über die Öffnungsklauseln einzelne Artikel weiter konkretisieren, dürfen dabei aber das von der DS-GVO festgelegte Niveau nicht unterschreiten. In Deutschland sind sie Vorgaben zum Datenschutz durch das Bundesdatenschutzgesetz und EU-Vorschriften geregelt.

Wichtig ist es, zu wissen, dass beim Cloud Computing der Cloud-Nutzer im Aussenverhältnis zu Dritten die Verantwortung für die Sicherheit der Daten und die Einhaltung für den Datenschutz trägt. Zwischen dem Cloud-Anbieter und dem Cloud-Nutzer regelt ein Vertrag zur Auftragsdatenverarbeitung die Einzelheiten. Jeder Cloud-Nutzer kann sich z.B. über Zertifikate die Einhaltung bestimmter Anforderungen zusichern lassen und erfüllt somit seine Kontrollpflicht. Dem Nutzer sind die Rechte zum Anbieterwechsel inklusive der Portierung der Daten einzuräumen. Dies schliesst die Portierung der Daten ein. Wird der Vertrag beendet, erfolgt die Löschung der Daten beim Cloud-Anbieter.

Wie gestaltet sich das Thema Datenschutz im Ausland?

Christian: Bei der Verarbeitung von personenbezogenen Daten von Personen aus EU ergeben sich Besonderheiten, wenn Daten ausserhalb der EU gespeichert und verarbeitet werden. Viele grosse Cloud Provider betreiben z.B. ihre Rechenzentren in den USA. Ein Auftragsdatenverarbeitungsvertrag für die Einhaltung der datenschutzrechtlichen Anforderungen zwischen Cloud-Nutzer und Cloud Provider reicht hier nicht aus. Cloud Provider aus den USA sind heute nach dem Cloud Act gesetzlich dazu verpflichtet, auf Anforderung Daten an amerikanische Behörden zu liefern. Unsere Handlungsempfehlung ist in diesem Fall eine Risiko-Analyse, bevor ich Daten in die USA verschiebe, und der Einsatz von Verschlüsselungen (BYOK = Bring Your Own Key).

Für Unternehmen, die die Cloud nutzen möchten und sicherstellen wollen, dass sie die europäischen Datenschutzrichtlinien einhalten, sollten europäische Cloud-Anbieter mit einem Rechenzentrum in der EU wählen. Wir empfehlen generell die Daten möglichst im Heimatland zu belassen.

Was gibt es noch innerhalb des Unternehmens zu beachten, das eine Cloud-Migration vornimmt?

Gerry: Wichtig ist wie bei vielen unternehmensübergreifenden Projekten: Du solltest sicherstellen, dass alle beteiligten Stakeholder das Vorgehen mittragen, um einen grösstmöglichen Erfolg garantieren zu können. Schritt für Schritt sollten dann auch alle anderen Mitarbeiter*innen, die nicht direkt im Projekt dabei sind, an die neue Arbeitsweise herangeführt werden, damit beim späteren Arbeiten in den Systemen alle Schritt halten können.

Stefan: Nach der Migration ist die Erfolgskontrolle im laufenden Betrieb eine Herausforderung: Dazu müssen die betriebswirtschaftlichen und technischen Kennzahlen geprüft und mit den Zielvorgaben der Cloud-Migration abgestimmt werden. Zu den Kennzahlen gehören Nutzererfahrung, Serviceleistung, Kosten und der Verbrauch an Ressourcen. Die Analyse dieser Daten (Application Performance) ist wichtig für die Gewährleistung zufriedenstellender Software und kann für Entwicklungsprognosen genutzt werden.

Die KPIs, die durch das Cloud Computing verbessert werden können, sind offensichtlich: Die Business-Prozesse werden schneller, Tools können schneller integriert werden und die digitale Transformation wird vorangetrieben.

Die vertragliche und rechtliche Seite spielen beim Cloud Computing ebenfalls eine wichtige Rolle (Compliance/Governance). Das Unternehmen muss in der Lage sein, Vertragsprozesse online abzuwickeln – von der Vertragsprüfung bis zu finalen Agreements.

Könnt Ihr uns noch eine Prognose geben, wie die Zukunft des Cloud Computings aussieht?

Stefan: Unternehmen nutzen das Cloud Computing um ihre Kosten zu optimieren, schnell skalieren zu können und agil Cloud Services deployen zu können (KI, Sprachsteuerung, Alexa usw.). Diese Services können auch von unterwegs und über mobile Endgeräte genutzt werden, da sie nicht standortgebunden sind. Die immense Innovationsgeschwindigkeit der Public-Cloud-Anbieter, die laufend neue Services auf den Markt bringen, lässt den Einsatz der Cloud noch effizienter, zielgerichteter und performanter für den Kunden werden.

Christian: Derzeit können wir beobachten, dass hybride Cloud-Systeme (on-premise/public) und Cloud-only bevorzugt gewählt werden. In Zukunft möchte man durch sogenannte Container Services sogar Interoperabilität zwischen den Cloud Providern erzielen. Das würde unserer Empfehlung, möglichst zwei Cloud-Anbieter zu nutzen, um ein Vendor-Lock-in zu vermeiden, sehr entgegenkommen. Laut Gartner werden 45 Prozent der Ausgaben der Unternehmens-IT bis 2024 in die Cloud verlagert werden.

Gerry: Und mit unserem Cloud Readiness Assessment weisst Du, wie der Weg in die Cloud für Dich weitergeht. Da wir in allen Clouds daheim sind und auf unzählige erfolgreiche Cloud-Projekte zurückgreifen können, beraten wir umfassend und pragmatisch auf Basis bewährter Frameworks!

Weiterhin wäre sehr interessant zu besprechen, inwieweit die Cloud als Motor für die digitale Transformation dienen kann?

Gerry: O ja, aber darüber reden wir in unserem nächsten Blog!

Herzlichen Dank Gerry, Christian, Stefan: Das war eine spannende Runde!

Quellen:

https://www.computerweekly.com/de/ratgeber/Sieben-Faktoren-fuer-eine-erfolgreiche-Cloud-Migration

https://www.cloudcomputing-insider.de/worauf-man-bei-der-cloud-migration-achten-sollte-a-682251/

https://www.cyberdyne.de/blog/cloud-migration/

 

Interesse an der Microsoft Cloud mit Trivadis?

 

Topics: Cloud Computing Data Privacy