cloud 1 minonne jul12

Zu Beginn gilt es klar festzuhalten: Cloud Computing ist keine Technologie und keine Modeerschei-nung, sondern in den Grundsätzen ein relativ simples Konzept, respektive ein Computing-Modell. Die unten stehende Definition des US National Institute for Standards and Technology (NIST), welche mittlerweile in der Szene akzeptiert ist, zeigt dies deutlich:

“Cloud computing is a model for enabling ubiquitous, convenient, on-demand network access to a shared pool of configurable computing resources (e.g. networks, servers, storage, applications, and services) that can be rapidly provisioned and released with minimal management effort or service provider interaction.”

 

Vom Personal-Computing zum Cloud-Computing

Im Zuge der Entwicklung des Personal-Computings zum Cloud-Computing wandert immer mehr Ver-arbeitungs- und Speicherkapazität vom PC ins Netz. Auf die Ressourcen in der Cloud wird über ent-sprechende Dienste (Services) zugegriffen. Diese werden entweder selbst betrieben (Private Cloud) oder flexibel von dedizierten Service-Providern bezogen (Public Cloud). Die Public Cloud ist somit eine Form des IT-Sourcings. Das Modell hinter den Services bezeichnet man u.a. als Software-as-a-Service (SaaS). Der Begriff Software steht in diesem Kontext als synonym für Applikation. Der Begriff Service hingegen bezieht sich auf eine – in der Regel – vermarktbare Dienstleistung, für welche ein Anwender oder eine Anwender-Organisation bereit ist, ähnlich wie beim Stromkonsum, nutzungsab-hängig zu zahlen. Die Diskussion rund um das Preismodell ist im Modell des Cloud-Computings (ge-mäss NIST) nicht adressiert. Doch wird erwartet, dass die Nutzung der Leistung laufend überwacht, gesteuert und darüber entsprechend berichtet wird. Das legt eine Bezahlung in Form eines “pay as you use” nahe. In dieser Art von Preismodellen werden Investitionen in die IT (CAPEX) konsequent in laufende, periodengerecht anfallende Ausgaben (OPEX) umgeformt. In dieser Hinsicht ist die nut-zungsabhängige Leistungsverrechnung auch dem klassischen Lizenzmodell überlegen. Microsoft unterscheidet heute beim eigens implementierten SaaS-Modell folgende vier Reifegrade:

cloud tabelle minonne jul12 600

 

Erst ein Service auf der vierten und höchsten Stufe darf mit Recht als cloudbasierter Service bezeich-net werden. Als solcher zeichnet er sich durch beliebige Skalierbarkeit und durch seine Mandantenfä-higkeit (Multi-Tenancy) aus. Ersteres sorgt dafür, dass beliebig viele Benutzer einen Service beliebig stark beanspruchen können. Kein Benutzer spürt zu keiner Zeit eine Einbusse an Performanz. Der Lastenausgleich funktioniert grundsätzlich weltweit und in Form eines Infrastructure-as-a-Service (IaaS) auch zwischen unterschiedlichen Providern. Die Mandantenfähigkeit sorgt für eine sauber ge-trennte Verarbeitung und Speicherung der Daten, welche Eigentum der Kunden des Service-Providers und damit der Anwender bleiben. Dies bedingt u.a. ein System zur Verwaltung der Berechtigungen und zur Identifizierung der Benutzer. Fragen der Datensicherheit im weiteren Sinne sind in der Regel nicht Teil des SaaS-, beziehungsweise des Cloud-Computing-Modells. Es sieht jedoch vor, dass An-wender die Benutzerverwaltung und die Parametrisierung der betroffenen Applikation in Eigenregie tätigen. Die Interaktion mit dem Dienstleistungsangebot des Providers erfolgt automatisiert. Bei einfa-chen, standardisierten Diensten schliesst dies auch den Vertragsabschluss ein. Das im Hintergrund laufende System-Management des Service-Providers sorgt für einen zeitnahen Lastenausgleich, in-dem es je nach Nachfrage (Demand) flexibel Ressourcen zu- oder abschaltet. Erreicht wird diese zentrale Errungenschaft mit Virtualisierungs-Technologien. Beim Bezug einer Vielzahl von Diensten unterschiedlicher Provider gewinnt das Service-Management zunehmend an Gewicht. Dieses hat für eine Integration der “fremdbezogenen” Services in die bestehende IT-Infrastruktur der Organisation zu sorgen. Wie die Datensicherheit, ist auch das Service-Management “nicht” Teil des Cloud-Computing-Modells. Es ist jedoch eine Notwendigkeit, um eine hohe Benutzerakzeptanz zu erreichen. Dank Sin-gle-Sign-On (SSO) und einer einheitlichen Oberfläche bemerkt der Benutzer die heterogene Herkunft der Services kaum. Heute lösen Portale dieses Problem grundsätzlich. Je nach Anbieter gelten nach wie vor entsprechende Restriktionen.

Das NIST sieht neben SaaS zwei weitere Service-Modelle vor:

  • Platform as a Service (PaaS): Der Anwender entwickelt und verwaltet die Applikationen selbst. Der Provider stellt die Programmierumgebung zur Verfügung und verantwortet alle IT-Infrastruktur-Schichten unterhalb der Applikationsschicht.
  • Infrastructure as a Service (IaaS): Der Anwender ist über das PaaS-Modell hinaus verantwort-lich für die Betriebssysteme und evtl. Netzwerkkomponenten wie die Firewall. Der Provider ist tendenziell für den Betrieb der Hardware zuständig.

 

Die Treiber des Cloud-Computing

Gegenwärtig gibt es ein Nebeneinander verschiedener Computing-Modelle. In vielen Unternehmen scheint das Client-Server-Modell nach wie vor zu dominieren. Die Bedeutung des Cloud-Computing-Modells scheint jedoch rasch zu wachsen. Es stellt sich die Frage, was die Treiber hinter dieser Ent-wicklung sind.

Als zentraler Faktor kann in diesem Kontext die Industrialisierung der IT identifiziert werden. Diese kann in folgenden vier Dimensionen gemessen werden:

  • Standardisierung und Standards (CoBIT, ITIL)
  • Reife der Prozesse (Gleichbleibende Qualität)
  • Grad der Spezialisierung (Sourcing)
  • Grad der Automatisierung

Weitere Treiber sind:

  • Die steigende Regulierungsdichte (Datenschutz, Transparenz)
  • Die technologische Entwicklung (Virtualisierung, IPv6, Digitale Unterschrift, Sensorik)
  • Management-Konzepte wie SOA und BPM

Mit den Standards ITIL und CoBiT hat die Prozessorientierung und damit das Business Process Ma-nagement (BPM) nun definitiv Einzug in die IT gehalten. ITIL ist der gängige Standard für das IT Ser-vice Management. Klar definierte und dokumentierte Prozesse waren die Grundlage für die erste Wel-le von Auslagerungen (BPO). Die Prozessdokumentation erlaubte es, die erwarteten Leistungen und deren Qualität z.B. vertraglich festzuhalten. So hat sich ITIL zweifellos zur Abbildung der Schnittstelle von Unternehmen zu externen IT-Dienstleistern etabliert. Ein umfassendes IT Service Management ist in ein IT Governance Framework (wie CoBiT) eingebunden. Der Standard CoBIT war ursprünglich für die IT-Revision (Audit) ausgelegt. Er hat sich jedoch zu einem Werkzeug zur Steuerung der IT und zur Sicherstellung der Compliance entwickelt. Die Standardisierung von Hard- und Software ist in den Unternehmen weitgehend umgesetzt.

 

SOA als Mittel zum Zweck

Vielerorts wird nun versucht, die IT nach den Ideen der Service-Orientierten Architektur (SOA) zu for-men, denn die Standardisierung von Hard- und Software zusammen mit den klaren Definitionen der Prozesse gemäss ITIL schaffen eine gute Voraussetzung für eine SOA. SOA wiederum erlaubt eine effektive Umsetzung von Software-as-a-Service (SaaS). Der Zweck einer SOA ist u.a. die Wiederver-wendung eines Dienstes in unterschiedlichen Prozessen. In einer SOA werden die Services auf vier Ebenen mit steigendem Abstraktionslevel klassifiziert. Die Services auf der obersten Ebene entspre-chen Leistungen eines Sourcing-Modells und können somit eigenständig von Dritten genutzt, bzw. von Service-Providern erbracht werden. Sie integrieren auch manuelle Tätigkeiten (→ HuaaS: Human as a Service). Die mit SOA verbundene Modularisierung und Standardisierung der IT-Infrastruktur ist letzt-endlich eine gute Basis, um IT-Prozesse zu automatisieren. Eine auf organisationale Zwecke begrenz-te Standardisierung erschliesst ähnlich wie eine Private Cloud nur einen Teil des möglichen Nutzenpo-tenzials. Service-orientierte Architekturen unterstützen an sich vernetzte Geschäftsmodelle. Dies be-dingt entsprechende Standards und Referenzmodelle. Darum ist deren Definieren und Implementieren als Teil der Standardisierung im weiteren Sinne zu betrachten. Auch in dieser Hinsicht ist in der Praxis schon viel getan worden. Heute mangelt es jedoch an Standards, welche die Besonderheiten von Cloud-Computing betreffen. Die Distributed Management Task Force will durch standardisierte Cloud-Management-Protokolle, Packaging-Formate und Sicherheitsmechanismen Interoperabilität fördern. Die Organization for the Advancement of Structured Information Standards (OASIS) ist aktiv zu Themen wie SOA, Security und Netzmanagement. So stammen Standards für das Identitätsmanage-ment von dieser Gruppe. Erst diesen Januar hat das Gremium The Open Group zwei neue Standards als Grundlage für eine internationale, herstellerneutrale Standardisierung erlassen. Sie scheinen rich-tungsweisend zu sein:

  • Die „SOA Reference Architecture” ist eine Referenzarchitektur, welche als Vorlage dienen kann, um SOA-Lösungen zu konzipieren und zu beurteilen. Darüber hinaus soll sie als Ar-beitsgrundlage für Standardisierungsgremien dienen.
  • Das „Service-oriented Cloud Computing Infrastructure Framework” beschreibt die Konzepte und architektonischen Bausteine, die für Infrastrukturen nötig sind, um SOA- und Cloud-Initiativen zu unterstützen.

Die in Zukunft bereits absehbaren Treiber für das Cloud-Computing sind in der technologischen Ent-wicklung zu suchen. Mit dem Internet-Protokoll IPv6, welches IPv4 ablösen wird, lässt sich jedes be-liebige Objekt auf dieser Welt mit einer eindeutigen IP-Adresse versehen. Dies erlaubt jedem Objekt, über das Internet mit Cloud-Services, andern Objekten oder Menschen zu kommunizieren. IPv6 öffnet den Weg zum Internet der Dinge. Die gesetzliche Anerkennung der digitalen Signatur erlaubt, über das Internet Verträge abzuschliessen. In der Schweiz ist dies seit 2010 unter dem Label suisseID möglich. Die digitale Signatur erlaubt die Eliminierung von Medienbrüchen und damit u.a. die vollstän-dige Digitalisierung bisher papierbasierter Prozesse. Ein Beispiel dafür wäre das elektronische Grund-buch. Gegenwärtig läuft dazu ein internationales Pilotprojekt der SIX Terravis. Mehr Sachzwang als Treiber sind die steigenden Anforderungen und der administrative Aufwand zur Sicherstellung der Compliance. Gerade die KMUs werden dadurch mehr und mehr finanziell und organisatorisch über-fordert. Zertifizierte Cloud Services, welche compliant sind mit den geltenden rechtlichen Bestimmun-gen, könnten ein Ausweg für dieses Problem sein.

 

Risiken und Hemmschwellen

Zentrale Hemmschwellen für einen raschen Durchbruch der Cloud-Economy sind neben fehlenden Standards und trägen IT-Infrastrukturen der hohe Kapitalbedarf auf Seiten der Service Provider, die fehlende Vertraulichkeit, mangelhafte Rechtssicherheit und fehlende Zertifikate.

Das dem Cloud Computing zugrundeliegende SaaS-Modell ist für den Service-Provider mit erhebli-chen Risiken verbunden. Die Margen der industriell organisierten Service Provider sind tendenziell tief und der Kapitalbedarf ist hoch. Entscheidend in dem Geschäft sind die Skaleneffekte. Die Entwicklung der Cloud Services, der Aufbau der zugrundeliegenden Infrastruktur und das Marketing erfordern ho-he Anfangsinvestitionen. Diese amortisieren sich durch die regelmässigen Nutzergebühren nur lang-sam. Salesforce.com, zum Beispiel, brauchte rund zehn Jahre, um profitabel zu werden. Durchschnitt-lich dauert es ein Jahr, um die Vertriebskosten für einen SaaS-Kunden zu erwirtschaften. Eine Studie von Bain & Company aus dem Jahre 2010 kam vor diesem Hintergrund zum Schluss, „dass sich der SaaS-Markt vergleichsweise schnell auf wenige Anbieter je Software-Segment konsolidieren wird. Die Differenzierung der Branche in Hardware-, Software- und Service-Anbieter beginnt sich aufzulösen. Integrierte IT-Anbieter erleben eine Renaissance (Beispiele: HP, SAP, IBM, Apple).

Die Sicherstellung der Datensicherheit ist ein zentrales Problem im Cloud Computing. Regelmässig gehen Meldungen von Sicherheitspannen durch die Medien. Meist geht es um fehlende Verfügbarkeit der Dienste aufgrund technischer Probleme. Noch mehr Aufsehen erregen Hackerangriffe, aufgrund derer vertrauliche Informationen entwendet werden. Dem Vertrauen in Public Cloud Services sind solche Ereignisse abträglich wie auch Umfrageergebnisse zur Genüge zeigen. Die Cloud ist schwer fassbar und weckt daher bei vielen Menschen nur wenig Vertrauen. Cloud wird mit Nebel assoziiert. Die Vorstellung, die IT-Infrastruktur nicht mehr „vor Ort” zu haben, löst Ängste bezüglich Kontrollver-lust aus. Doch die Bedenken wegen sinkender Datensicherheit sind unbegründet. Ein erfahrener Cloud Provider setzt zur Absicherung seiner Rechenzentren definierte Prozesse, geschulte Leute sowie state-of-the-art Technologien ein. Er erzielt so eine weitaus höhere Sicherheit bei tieferen Kos-ten, als dies den meisten Unternehmen je möglich wäre. So nutzen die meisten erfolgreichen Hacker-angriffe bereits bekannte Schwachstellen aus. Cloud-Lösungen sind diesbezüglich immer up-to-date. Das sicherste Indiz für eine hohe Cloud-Qualität ist die Zertifizierung nach dem ISO 27001-Standard verbunden mit der Bereitschaft zur Transparenz. Zudem werden in der Praxis Informationen klassifi-ziert (öffentlich, intern, vertraulich, geheim). Es gilt zu bedenken, dass die grosse Masse der operati-ven Daten interner Natur ist. Diese haben bei Verletzung der Vertraulichkeit für einen Angreifer eher geringen Wert.

Aufwendige Sicherheitsanforderungen stellen lediglich die wirklich vertraulichen und geheimen Informationen. Die echten Bedrohungen sind strategischer Natur. Spätestens seit der Ent-hüllung geheimer US-Depeschen durch die Internetplattform Wikileaks gilt es im Westen als offenes Geheimnis, dass China seit 2002 mit Cyber-Spionage im grossen Stil die beiden Wirtschaftsräume EU und USA ausspäht. Konfrontiert mit Anschuldigungen weist China stets jede Schuld von sich. „Die grösste Cyber-Bedrohung für dieses Land richtet sich nicht gegen das Militär, sondern gegen die Wirt-schaft”, sagt der britische Generalmajor Jonathan Shaw, der als Cyberchef im Verteidigungsministeri-um dient. Gemäss Symantec belaufen sich die weltweiten Schäden aus Cyber-Kriminalität auf 388 Milliarden Dollar im Jahr. So ging das britische Unternehmen Warrington Pleite, nachdem Hacker die Blaupausen für seine neueste Windturbine stahlen und sie dann billig in China fertigen liessen. Auch beim Untergang von Nortel scheint die fehlende Vertraulichkeit geheimer Daten eine Schlüsselrolle zu spielen. Auffallend am Fall von Nortel ist der unerwartet schnelle technische Fortschritt der chinesi-schen Rivalen im letzten Jahrzehnt. Dabei dominierte Nortel den Markt und war immer sehr stolz auf seine grossen Investitionen in Forschung und Entwicklung. Der kanadische Netzwerkausrüster ging 2009 Pleite. Bei einer Attacke auf einen US-Energieversorger Ende 2011 wurden Sicherheitsventile so lange geöffnet und wieder geschlossen, bis sie nicht mehr funktionierten.

Fehlende Transparenz und mangelndes Vertrauen sind immer noch entscheidende Hindernisse für den Durchbruch der Cloud Economy. Die Rahmenbedingungen müssen verbessert werden. So gibt es erstaunlicherweise in den USA bislang keine festgeschriebenen Richtlinien zum Datenschutz! In einigen Staaten können die Behörden jederzeit und ohne Vorwarnung Daten abfangen oder darauf zugreifen. Dank der europäischen Datenschutz-Richtlinie steht die EU besser da. Doch weil sie in jedem Land unterschiedlich umgesetzt wurde, muss ein Cloud Provider, der in mehreren EU-Ländern tätig ist, sich mit mehreren Gerichtsbarkeiten und unterschiedlichen nationalen Datenschutzgesetzen auseinandersetzen. Mittels einer EU-Verordnung wären die Bestimmungen direkt in den 27 Mitglied-staaten anwendbar. Für die neue Regelung sollte das Recht der Mitgliedstaaten massgeblich sein, in denen der Cloud Provider seinen Sitz hat. Dieser Grundsatz sollte für Vertragsverhältnisse aller mit der Datenverarbeitung beauftragten Unternehmen gelten. Eine solche EU-Verordnung würde Klarheit schaffen in Bezug auf den geltenden Datenschutz. Unternehmen müssen jedoch dafür geradestehen, dass diese Bestimmungen auch eingehalten werden. Ein Service Provider hat nachzuweisen, dass seine Cloud Services mit dem für seine Kunden geltenden Recht übereinstimmen. Die existierenden Audits und Zertifikate berücksichtigen keine globalen Liefermodelle. Solche sind für skalierbare Cloud Services jedoch notwendig. Auf der Basis eines harmonisierten Rechtsrahmens sollte deshalb ein Standard erstellt werden, schlägt Roland Berger vor. Inhalt wären gemeinsame und messbare Krite-rien sowie Zertifikate, die von unabhängigen Prüfern vergeben werden. Auf diese Weise können Nachfrager Angebote besser bewerten und nachprüfen, ob alle Rechtsvorschriften eingehalten wer-den. Der Standard soll die zentralen Bedenken der Nutzer in den Vordergrund rücken: Vertrauen, Sicherheit und Compliance. Im Standard zu berücksichtigen sind die Themen: Datensicherheit, Da-tenschutz, Data Portability (Kunden bekommen Daten in einem Format zur Verfügung gestellt, das von allen Anbietern in der Cloud gelesen werden kann) und Service-Mindestanforderungen (Service Level Agreements).

 

Der zaghafte Weg in die Cloud

Heute setzen Unternehmen wegen ihrer Bedenken in Bezug auf die Vertraulichkeit bei geschäftskriti-schen Daten vorerst auf die Private Cloud. Dies erlaubt die unternehmensinterne Umsetzung vom Cloud-Modell. Doch die grossen Kosten- und Nutzeneffekte, welche Public Cloud verspricht, lassen sich damit nicht realisieren. Der nächste logische Schritt ist eine hybride Cloud. Dieses Modell lässt es zu, die Kapazitäten der internen Server auf Normallast auszulegen. Bei Spitzenlast zieht man flexibel Rechnerkapazitäten als Infrastructure-as-a-Service (IaaS) hinzu. Der an Standards und Referenzmo-dellen ausgerichtete Aufbau einer Service-Orientierten Architektur führt zu einer grossen Offenheit der IT-Infrastruktur und steigert damit die eigene Agilität. Das in gewissen Branchen bereits heute zu be-obachtende Aufbrechen der Wertschöpfungskette gewinnt an Momentum. Standardisierte und schnell implementierte Cloud Services erweitern den Spielraum von Sourcing-Strategien. Dank Cloud Sour-cing entstehen flexible Wertschöpfungsnetzwerke, auch in der Finanzindustrie. Compliance ist in die-ser stark regulierten Branche ein zentrales Thema. Industrieweit standardisierte Commodity Services werden hier tendenziell in sogenannte Transaktionsbanken ausgelagert. Aus den bekannten Univer-salbanken werden Vertriebsbanken mit Kernkompetenzen im Vertrieb von Finanzprodukten und -dienstleistungen. Dies bedingt, dass die teilnehmenden Netzwerk-Partner Service-Orientierte-Architekturen (SOA) aufsetzen. Diese SOAs haben sich an netzwerkweit gültigen Referenz-Architekturen auszurichten. Nur so können die Schnittstellen-Probleme gelöst werden. Der Verarbei-tung von Transaktionen mit Kundendaten ausserhalb der Bank sind enge Grenzen gesetzt. Kunden-daten sind den Banken heilig, schon aus Datenschutzgründen und wegen des Bankgeheimnisses. Der Zahlungsverkehr ist in der Beziehung weniger kritisch. Keine Kundendaten im Spiel sind bei insti-tutionellen Anlegern (wie Versicherern oder Pensionskassen). Es spricht wenig dagegen deren Kapi-talanlage-Prozess in einem Netzwerk enger zu Verzahnen. Denkbar ist zum Beispiel die Valoren- und Marktdaten über einen vom Anwender selbst konfigurierbaren Cloud Service vom Provider für Fi-nanzmarktdaten zu beziehen. Durch die nahtlose Integration in die Kapitalanlage-Applikation des An-wenders entfällt die mühsame lokale Replikation von Marktdaten. Anspruchsvoller ist die Realisierung eines Cloud Service für die Depotführung. Analog wäre hier das Ziel, sich die Replikation der Finanz-transaktionen in der lokalen Kapitalanlage-Applikation zu ersparen.

 

Fazit

Cloud-Computing steht gegenüber dem Personal-Computing für einen Paradigmenwechsel. In dieser Bedeutung hat Cloud-Computing einen grossen Einfluss auf allen Ebenen der Unternehmens-IT. Die angeführten Sicherheitsbedenken sind gewiss ernst zu nehmen. Ganz besonderen Schutz verdienen sensible personenbezogene und geschäftskritische Daten. 99 % der verarbeiteten Daten sind jedoch mehr oder weniger operativer Natur. Allen Versprechungen der IT-Industrie zum Trotz, bleiben IT-Strukturen eher starre Gebilde. Nur mit intelligenten Architekturen (SOA) und allgemein akzeptierten Standards lassen sich die grossen Potenziale von Cloud Computing nutzen. Der Weg in die Cloud erfordert einen langen Atem, auf Nachhaltigkeit ausgerichtetes Denken und Teamwork. Dabei gilt es die Unternehmensgrenzen zu sprengen und den Horizont auf Zusammenarbeit in einem Netzwerk zu erweitern. Vielfältige Formen und Konstellationen von Zusammenarbeit sind denkbar. Cloud Services können nur über einen breiten Konsens zwischen Anwendern, Lieferanten, Service Providern und sogar Wettbewerbern ihr volles Potenzial entfallen. Dies gilt gerade für Services mit einer technisch anspruchsvollen Schnittstellen wie Marktdatenversorgung oder Depotführung. Auch die öffentliche Hand spielt durch die Schaffung von geeigneten Rahmenbedingungen eine wesentliche Rolle. Es braucht einen Master Plan. Schliesslich waren es nicht das Auto oder das Rad, welche die Welt ver-ändert haben, so fundamental diese Erfindungen waren. Unser Zusammenleben wurde durch das Netz von Strassen revolutioniert. Analoges gilt wohl beim Computing. Auch die zu bewältigenden Her-ausforderungen sind vergleichbar, wenn sie auch unvergleichbar höher sind.

 

Zu den Autoren:
Thomas Schildknecht ist Absolvent des Studiengangs MAS Business Analysis der ZHAW School of Management an Law. Nach seinem Studium an der HSG etablierte er sich als SAP Finance Berater in der Finanzindustrie. Heute ist er für die Unternehmensberatung eines führenden Wirtschaftsprüfers tätig.

Dr. Clemente Minonne ist Organisationsberater, Wissenschaftler und Dozent am Zentrum für Wirt-schaftsinformatik der School of Management and Law der Zürcher Hochschule für Angewandte Wis-senschaften. Er lehrt und forscht Prozessmanagement sowie Knowledge und Information Management.

SHARE