So einfach das Prinzip der Cloud auch scheint, so sehr ist es für Geschäftsführer und Behördenleiter notwendig, sich eingehend mit dem Thema zu beschäftigen. Jürgen Kolb, Geschäftsführer von Antares-NetlogiX, beschreibt in einem Gastbeitrag, wie etwa versteckte Kosten oder verdeckte Gefahren die Freude über Cloud-Services trüben können. [...]
Es klingt zu gut, um wahr zu sein: Skaleneffekte führen zu Kosteneinsparungen, von denen auch die Cloud-Kunden profitieren. Auch eigene Mitarbeiter empfehlen den Gang in die virtuelle Welt. Der Fachkräftemangel in der IT lässt zudem keine andere Wahl, als sich noch mehr auf das Kerngeschäft zu fokussieren und den Betrieb der IT-Anwendungen auszulagern. Warum gibt es dennoch so viele Skeptiker, viele Hybridlösungen und den starken Trend zur Private Cloud? Warum forciert sogar die EU den Datenschutz und warnt vor den Gefahren der vielen praktischen Clouds?
Die versteckten Kosten der Clouds
Cloud-Backup-Services verursachen natürlich zusätzliche Kosten. Ähnlich verhält es sich mit der IT-Security, da im Vergleich zur On-Premise-Lösung weitere beziehungsweise anders priorisierte Investitionen notwendig sind: Sichere Datenübertragung und Verschlüsselung sind genauso zu bedenken wie Multifaktor-Authentifizierung und ein rigoroses Passwort-Management. Während man sich bei Inhouse-Lösungen bereits im Kern der Unternehmenssicherheit befindet, ist man bei Cloud-Lösungen naturgemäß sehr schnell zu „verborgenen Schätzen“ vorgestoßen. Diese Verantwortung kann man natürlich nicht auf den Cloud-Anbieter abwälzen – spätestens bei einem Incident werden sich Mitarbeiter und Kunden bzw. Bürger sehr rasch an die richtige Stelle wenden und das wird gewiss nicht die Zentrale eines Anbieters in den USA sein.
Eine einfache Kosten-Nutzen-Rechnung gibt es also nicht, man muss sich einer ehrlichen Betrachtung unterziehen und dabei auch organisatorische beziehungsweise menschliche Eigenheiten berücksichtigen. Baut man das eigene Datacenter aus, hat man die Kosten im Griff und kann sie argumentieren bzw. einer Kostenstelle oder einem Projekt zurechnen. Das ist wesentlich schwieriger, wenn Admins nach Bedarf Cloud-Dienste nutzen und hunderte Dienste verschiedener Anbieter einsetzen. Zudem ist diese Schatten-IT intransparent und birgt viele Risiken, auch wenn sie von Profis betrieben wird. Nicht zuletzt steht die Buchhaltung, die sich über den Aufwand mit unzähligen Abbuchungen oft kleiner Beträge ärgert, die monatlich anfallen und meist auch nicht wieder annulliert werden. Ein gutes Controlling ist demnach sehr hilfreich, verursacht aber wieder interne Kosten.
Die verdeckten Gefahren der Clouds
Die typischen Gefahren, die auch für Vorstände und Geschäftsführer relevant sind, umfassen vor allem die Nutzung von Clouds, die von Drittstaaten betrieben werden:
- unsichere Datenschutz-Rechtslage
- unsichere technische Umsetzung hinsichtlich Geschäftsgeheimnissen
- schwierige Forensik und Nachverfolgung
- Kostenüberschreitungen
- unsichere Lage nach Beendigung der Services
- unsichere Lage hinsichtlich der Verantwortlichkeiten
- „böse Buben“ nutzen dieselben Clouds
Bei genauerem Hinsehen ergeben sich diverse Schwierigkeiten, die im Vorfeld geklärt werden sollten. Dies gestaltet sich noch schwieriger, wenn der Cloud-Anbieter rechtlich nicht richtig greifbar ist.
Es ist sicher empfehlenswert, seine Aktivitäten auf mehrere Cloud-Anbieter zu verteilen. Infrastruktur und Security könnte ein nationaler Anbieter effektiver durchführen als ein internationaler Konzern. ERP- und CRM-Clouds werden oftmals ebenso von den Software-Herstellern angeboten. Auch sollten gelegentliche Checks der Anbieter, wie sie Verträge oft vorsehen, durchgeführt werden. Da diese Clouds auch selbst präferierte Angriffsziele sind, weil sich das kriminelle Handeln einfach auf tausende Cloud-Kunden skalieren lässt, ist es ratsam, sich der Private Cloud zu widmen. Sie kann auch von einem internationalen „Multi“ oder einem Spezialanbieter betrieben werden, ist aber unter der (exklusiven) Kontrolle der eigenen Organisation. In der IT-Security gelten die Regeln von Zero Trust – vertraue niemandem! Außerdem müssen Rechte so verwaltet werden, dass jeder nur über einen Zugang beziehungsweise über Rechte verfügt, die er unbedingt benötigt. Dies gilt vor allem für die Nutzung in einer intransparenten Cloud.
Ist die kleine Wolke gefährlicher als die große?
Wie auch in der Meteorologie können viele kleine Wölkchen eine größere Gefahr bedeuten als wenige große. Unzählige Apps im Store oder Anbieter von Speziallösungen wie für Human Resources oder in der Unternehmensorganisation nehmen es oft mit der Sicherheit und dem Datenschutz nicht so genau und erhöhen lieber die „Burn-Rate“ für Neukunden statt für die Absicherung des Geschäftsmodells. Selbst Finanzanwendungen oder technische Tools sind oft in der Kernfunktionalität führend, aber nicht bei den im Hintergrund laufenden Anwendungen und Prozessen.
Conclusio der Cloud-Entscheidung
Geschäftsführer oder Behördenleiter sollten sich neben Rabatten und Fixpreisen (für möglichst lange Zeit) vor allem für verdeckte Kosten und Zusatzaufwände beziehungsweise Risiken interessieren. Es hilft wenig, wenn die Hardware-Aufwände signifikant sinken, aber Rechtsberatung und Migrationskosten steigen und immaterielle Werte – Image, Patente, Vertrauen – gefährdet werden.
*Jürgen Kolb ist Gründer und Geschäftsführer von Antares-NetlogiX.
Be the first to comment