Generische Lösungen

Getrieben von Datenschutzgrundverordnung (DSGVO) und steigender IT-Abhängigkeit überlegen viele KMU die Nutzung von Cloud-Services, statt die IT selbst zu betreiben. Fragen & Antworten zu diesem Thema.

Fragen zu Cloud Services

Was ist Cloud Computing eigentlich?

Cloud Computing ist die Nutzung von Informationstechnologie über eine Internet-Verbindung:

  • Anwendungen, welche vom Software-Anbieter oder einem Partner betrieben werden
  • IT-Infrastruktur (Server, Storage, Netzwerk) und IT-Plattformen (z.B. Container-Platform, Development-System, Datenbanken, Application-Server), welche von Cloud-Service-Anbietern bereitgestellt werden.

Die IT-Betriebsverantwortung ist dabei unterschiedlich geregelt:

  • Infrastructure as a Service (IaaS)
    • Der Cloud-Service-Anbieter kümmert sich bei IaaS nur um die Sicherstellung der Verfügbarkeit von HW und Netzwerk
    • Der Kunde ist verantwortlich für den IT-Betrieb von
      • Anwendungen
      • Middleware, Betriebssystem
      • Daten (Backup etc.)
  • Platform as a Service (PaaS)
    • Der Cloud-Service-Anbieter kümmert sich bei PaaS um die
      • Verfügbarkeit von HW und Netzwerk
      • Installation und Updates für Betriebssystem, Middleware, Frameworks und sonstiger plattformspezifischer SW
    • Der Kunde ist verantwortlich für den IT-Betrieb von
      • Anwendungen
      • Daten (Backup etc.)
  • Software as a Service (SaaS)
    • Der Cloud-Service-Anbieter kümmert sich bei SaaS um alle Aufgaben zum Betrieb der Anwendungen, wie
      • Verfügbarkeit von HW und Netzwerk
      • Installation und Updates für die Anwendung und alle weitere SW, welche dafür benötigt wird
      • Backup der Daten
    • Der Kunde hat keine Aufgaben für den IT-Betrieb dieser Anwendung

Nach ihrer „Öffentlichkeit“ werden Cloud-Services eingeteilt in (Cloud Deployment):

  • Public-Cloud: Anwendungen, welche für alle Internet-Teilnehmern verfügbar sind
  • Private-Cloud: Anwendungen und Infrastruktur, welche nur für definierte Benutzer verfügbar sind (Abschottung mit VPN)
  • Hybrid-Cloud: Parallele Nutzung von Public und Private Cloud.

Ein Cloud Computing Ressourcenpool ist eine sehr gängige Art der Beschaffung. Dabei wird eine definierte Menge an IaaS/PaaS-Ressourcen (CPU, Memory, Storage, Transfervolumen, Datenbanken) vom Cloud Service Anbieter für einen Kunden reserviert. Der Kunde kann den Ressourcenpool eigenständig verwalten, in einzelne virtuelle Systeme aufteilen und bei Bedarf schnell zwischen den Systemen verschieben.

Nur am Rande zu Cloud-Computing zählt das sogenannte Housing, wobei man als Kunde seine eigenes IT-Equipment in eine Rechenzentrum stellt. Der Housing-Anbieter stellt damit nur den Platz in einem sicheren Rechenzentrum sowie die Internet-Anbindung zu Verfügung.

Was bringt Cloud Computing einem KMU?

Verfügbarkeit und Datensicherheit

Da Cloud-Service-Anbieter ihre IT-Infrastruktur vielen Nutzern anbieten können, ist eine hoch-verfügbare und sichere IT-Infrastruktur damit auch für KMU leistbar.

Hohe IT-Verfügbarkeit und Datensicherheit setzen einiges an Investitionen und Betriebsaufwand voraus:

  • Redundante IT-Infrastruktur (Server, Storage, Netzwerk)
  • Sicherer Rechnerraum bzw. zertifiziertes Rechenzentrum
  • Als Vorbeugung für den Katastrophenfall die Verteilung auf mehrere Rechenzentren
  • Gut ausgebildete und erfahrene IT-Mannschaft mit mind. 5 Personen für einen 7×24 Betrieb
  • Laufendes Monitoring und proaktives Service

Verfügbarkeit neuer IT-Services

Cloud-Services sind typischerweise viel schneller nutzbar als die Implementierung in der eigenen IT-Umgebung, wenn dafür IT-Equipment installiert werden muss. Mit einem Cloud-Infrastructure-Pool kann man als Kunde selbst binnen Minuten einen neuen virtuellen Server einrichten bzw. bei Bedarf mehr Ressourcen einem Server zuordnen.

Es gibt aber auch Situationen, wo es länger dauert bis eine neue Cloud-Applikation verfügbar ist:

  • Die Internet-Anbindung muss angepasst werden bzw. erst eingerichtet werden
  • Daten und individuelle Applikationen müssen vorher migriert werden

Kostenersparnis

Cloud-Computing kann helfen Kosten zu sparen:

  • Sie ersparen sich eine große IT-Mannschaft, wenn Sie 7×24 IT-Verfügbarkeit benötigen
  • Kein Kauf von Server HW und SW-Lizenzen notwendig
  • Sie ersparen sich die Einrichtung und Erhaltung eines sicheren Rechnerraumes, wenn alle Server bzw. Services in einem Rechenzentrum laufen

Ob Cloud-Computing im Allgemeinen günstiger ist, klären wir weiter unten.

Wozu brauche ich Cloud-Services?

Cloud-Services sind „nur“ Werkzeuge und prinzipiell kann man dasselbe auch mit der eigenen IT bewerkstelligen. Sie brauchen Cloud-Services damit nicht unbedingt, aber manche Aufgaben kann man damit besser bzw. kostengünstiger umsetzen (siehe Was bringt’s).

Services, welche sich zumindest derzeit noch nicht für Cloud-Services eignen:

  • Produktionssteuerung
  • Echtzeit-Steuerungs-Systeme

Wie geht ich vor, wenn ich Cloud Computing nutzen will?

Ablauf

  1. Definieren Sie die Ziele für den Einsatz von Cloud Computing
  2. Stellen Sie ein Projektteam zusammen und erstellen Sie einen Projektplan (Projektmanagement-Methoden)
  3. Analysieren Sie den Bedarf
  4. Implementieren Sie organisatorische Änderungen, z.B.
    • Anpassung Geschäftsprozesse
    • Anpassung IT Verantwortlichkeiten
    • Überarbeitung der Vereinbarung zur Datennutzung und Information zur Datennutzung alle betroffenen natürlichen Personen
  5. Wählen Sie einen Anbieter
  6. Implementierungsphase: Cloud-Service einrichten, Daten und individuellen Applikationen erstmalig migrieren
  7. Schulung der IT-Mitarbeiter für Administration
  8. Testen der neuen Umgebung
  9. Ggf. Schulung aller Anwender, wenn sich Änderungen in der Bedienung ergeben
  10. Go-live planen
  11. Go-live durchführen
    • Bestehende Server für Veränderungen sperren
    • Datenmigration (Update)
    • Mitarbeiter informieren
  12. Aufräumen
    • Nicht mehr benötigte Verträge kündigen
    • Alte HW außer Betrieb nehmen
  13. Projekt abschließen

Ziele definieren

Wenn die Ziele noch unklar sind, dann finden Sie hier Tipps zum Thema Digitalisierung – Das Geschäft effizienter machen.

Es ist besser mit den Zielen die Lösung nicht vorzugeben. Damit bleibt offen, ob Cloud-Services eingesetzt werden.

Klären Sie mit der Zieldefinition auch:

  • Welche unserer Daten müssen im Haus gespeichert bleiben?
  • Welche IT-Services sind betriebskritisch und dürfen nicht (bzw. nur mit besonderen Bedingungen) ausgelagert werden?

Berücksichtigen Sie die möglichen Stolpersteine bei Cloud Computing (siehe Was muss ich beachten?)

Weitere Tipps zur Definition von Zielen finden Sie hier.

Bedarf konkretisieren

Der Bedarf ergibt sich aus der Lücke zw. Ist- und Soll-Situation:

  1. Analysieren Sie die Ist-Situation und konkretisieren Sie das Soll
  2. Erstellen Sie einen Anforderungskatalog für alle benötigten Services

Denken Sie daran: Auch organisatorische Änderungen (z.B. Anpassung der Geschäftsprozesse) können die Lösung sein.

Was muss ich bei Cloud-Services beachten?

Internet-Anbindung

Bei der Nutzung von Cloud-Services kann die Internet-Anbindung zum Flaschenhals werden. Das gilt vor allem für Geschäftsstellen mit vielen Mitarbeitern bzw. hohem Datentransfer-Volumen.

Wenn Sie Cloud-Services zu nutzen oder erweitern wollen, dann sollten Sie auch die Eignung der Internet-Anbindung(en) hinsichtlich Verfügbarkeit, Qualität und Geschwindigkeit überprüfen.

Eine hohe Verfügbarkeit der Internet-Anbindung erreichen Sie mit:

  • Redundant ausgelegte Internet-Router
  • Mehrere Anbieter bzw. Transport-Wege für die Internet-Anbindung (z.B. mehrere Kabel, Kabel+Funk)

Eine hohe Internet-Geschwindigkeit erreichen Sie durch:

  • Priorisierung des Internet-Datenverkehrs (Traffic-Shaping)
  • Symmetrische Internet-Leitungen, vor allem wenn große Datenmengen auf die Cloud-Server geladen werden (z.B. Backups, Bild/Video-Uploads)
  • Internet-Leitungen mit garantierter Mindest-Bandbreite (Business Internet Leitungen)

Echtzeit-Services wie Webmeeting, VoIP und Remote Desktop benötigen auch eine sehr gute Leitungsqualität. Die Qualität der Leitung wird mit Kennzahlen wie Latenz und Jitter gemessen. Business-Leitungen haben meist höhere Qualität als Leitungen für den Privatgebrauch.

Abhängigkeit vom Anbieter

Durch die Nutzung von Cloud-Services entsteht eine große Abhängigkeit vom Anbieter, womit Sie seine Zuverlässigkeit vorab prüfen sollten.

Zuverlässigkeit und IT-Sicherheitsstand des Anbieters

Cloud-Services zu nutzen bedeutet, die IT-Infrastruktur mit anderen zu teilen und die Daten an Dritte zur Verarbeitung weiterzugeben.

Der Cloud-Service-Anbieter sollte daher Maßnahmen zur Gewährleistung IT-Sicherheit implementiert haben, z.B.:

  • Abschottung der Cloud-Service-Nutzer untereinander (Virtualisierungslösung)
  • Schutz vor Bedrohungen aus dem Internet (IPS, Firewalls, Malware-Scanner etc.)
  • VPN für verschlüsselten Datentransfer
  • Verschlüsselte Datenspeicherung (Disk Encryption)

Ein Nachweis für solche Maßnahmen sind entsprechende IT-Sicherheits-Zertifizierungen, z.B.:

Noch mehr Informationen dazu bietet das BSI im Anforderungsforderungskatalog für Cloud-Services.

Wechsel des Anbieters

Sie sollten den Fall bedenken, dass Sie es zu unlösbaren Problemen kommt oder Sie mit dem Cloud-Service-Anbieter ständig unzufrieden sind. Damit steht ein Wechsel des Anbieter an.

Für kritische Anwendungen ist es besser, nur Standard-Cloud-Services zu nutzen (mehrere Anbieter am Markt).

Auch die Nutzung von Containertechnologie (z.B. Docker, Kubernetes) hilft den Wechsel des Anbieters zu vereinfachen.

Anbieter außerhalb der EU

Eine Bevorzugung von Anbietern aus dem EU-Raum ist empfehlenswert:

  • Vermeidung des Risikos von politischen Sanktionen und Handelskriegen
  • Auch der Cloud-Service-Anbieter unterliegt dem EU-Recht und damit auch direkt dem DSGVO

Das DSGVO erlaubt den Transfer von personenbezogenen Daten an Dritte außerhalb der EU, wenn sichergestellt ist, dass die Bestimmungen der DSGVO eingehalten werden.

Gesetzliche Anforderungen, Datenschutz

Das DSGVO regelt den Umgang mit personenbezogenen Daten. Praktisch jedes Unternehmen hat solche Daten von Mitarbeitern und Kunden.

Wenn Sie Cloud-Services nutzen, dann müssen Sie die betroffenen natürlichen Personen (Kunden, Mitarbeiter, Lieferanten, Partner usw.) darüber informieren. Eine ausdrückliche Zustimmung dieser ist nicht erforderlich, da es sich hierbei um ein berechtigtes Interesse des Unternehmens handelt.

Weitere Informationen zum Datenschutz finden Sie z.B. unter datenschutz.org oder beim WKO.

Eventuell gibt es für ihr Unternehmen noch weitere Gesetze, welche im Zusammenhang mit Cloud-Services relevant sind (siehe Gesetze im IT-Umfeld).

Kosten für Cloud-Computing

Für KMU mit hohen IT-Anforderungen kann die Nutzung von Cloud-Services billiger als der eigene Betrieb sein. Dabei muss der Cloud-Service-Anbieter aber auch alle Betriebsaufgaben übernehmen (wie bei Software-as-a-Service), womit auf KMU-Seite keine bzw. nur mehr eine kleine IT-Betriebsmannschaft benötigt wird.

Den Betrieb von IT-Infrastruktur ist mit einer bereits vorhandenen IT-Betriebsmannschaft im Vergleich zu den IaaS-Angeboten großer Anbieter in der Regel günstiger. Um den Aufwand für ein eigenes sicheres Rechenzentrum zu vermeiden, kann ein Server-Housing-Angebot genutzt werden.

Für einen guten Kostenvergleich von „Eigene IT“ vs. Cloud-Service müssen die Gesamtkosten über die geplante Nutzungsdauer (TCO) betrachtet werden:

  • Implementierungskosten: Einmalige Kosten für Setup, Migration etc.
  • Betriebskosten: Laufende Kosten für die Cloud Services

Kosten für die Implementierung neuer Services

Vergleich „Eigene IT“ vs. Cloud-Services:

  • Die Investitionskosten sind bei der Nutzung von Cloud-Services geringer, da folgendes wegfällt:
    • Server und Storage HW
    • fixe SW-Lizenzen
    • Rechnerraum, sofern dieser nicht auch für andere Server benötigt wird
  • Investitionskosten für die „Eigene IT“ werden über eine geplante Nutzungszeit abgeschrieben. Eine vorzeitige Ablöse erhöht die Nutzungskosten (TCO).

Kosten für den IT-Betrieb

Kosten für den Betrieb der eigenen IT, welche typischerweise bei einem Cloud-Service inkludiert sind:

  • IT-Betriebs-Mannschaft (Personalkosten, Ausbildung)
  • Software-Abos
  • Support und Updates (SW, HW) für Server, Storage, Netzwerk
  • Strom für Server, Storage, Netzwerk, Kühlung
  • Reparaturen von Server, Storage, Netzwerk, Rechnerraum-Infrastruktur

Bei Cloud-Computing haben Sie:

  • Die laufenden Kosten für das Cloud-Service (nutzungsbasierte Abrechnung oder Pauschale für reservierte Services)
    • Kosten der Kern-Services
    • Kosten für Zusatz-Services (IT-Security, erhöhte Redundanz etc.)
  • Aufwand für IT-Koordination und lokalen IT-Support (Personalkosten, Ausbildung, Consulting)
  • Internet-Anbindung
  • Betrieb des lokalen Netzwerks und der Endgeräte (Personalkosten, HW, SW)

Die dauerhafte Nutzung von Cloud-Services nach dem pay-per-use (nutzungsbasierten) Prinzip ist um ein mehrfaches teurer als reservierte Services (Pauschale).

Abrechnung der Cloud-Services

Die großen Cloud-Service-Anbieter wie Amazon (AWS) und Microsoft (Azure) bieten die nutzungsabhängige Abrechnung nach tatsächlichem Verbrauch (CPU-Zeit, Speicherplatz, Datentransfer-Volumen) an. Dieses Angebot ist verlockend, da Sie nur das zahlen, was Sie verbrauchen.

Beachten Sie bei der nutzungsorientierten Abrechnung:

  • Die monatlichen Kosten schwanken, daher sollte im IT-Budget entsprechend Puffer vorhanden sein
  • Der nutzungsabhängige Tarif ist typischerweise höher als eine Vollbetriebs-Pauschale für die gleiche Leistung
  • Diese Abrechnung ist am sinnvollsten für Services, welche gerade erst im Aufbau sind oder nur kurze Zeit benötigt werden
  • Die Kosten fallen an, wenn das Service zu Verfügung steht (z.B. eine virtuelle Maschine ist aktiviert), unabhängig davon ob sie auch tatsächlich genutzt wird
  • Seien Sie vorsichtig mit der Annahme, dass ungenutzte Services von den Mitarbeitern deaktiviert werden. Rechnen Sie damit, dass alle gebuchten Services permanent laufen und damit Kosten verursachen.

Für Produktivsysteme, welche über das Monat ziemlich gleichmäßig ausgelastet sind, ist eine Abrechnung zu vorher vereinbarten Pauschalen (reservierter HW-Pool) günstiger.

Wenn Sie derzeit noch nicht beurteilen können, welches Tarifmodell das für Sie bessere ist, dann sorgen Sie für die Möglichkeit den Tarif im laufenden Vertrag auch wechseln zu können.

Wie finde ich den richtigen Cloud-Anbieter?

Bedarf definieren

Die Cloud-Service-Anbieter erwarten, dass Sie ihren Bedarf konkret benennen können.

Erstellen Sie dazu einen Anforderungskatalog:

  • Housing-Leistungen (Übersiedelung bestehender Server in ein Rechenzentrum)
  • Hosting-Leistungen
    • Web-Hosting
    • Mail-Hosting
    • Mail-Archivierung
    • Domain-Hosting (DNS)
    • Secure Gateway (Firewall, Web-Filter)
  • IaaS, PaaS
    • Server, Storage (HW Pools)
  • SaaS

Marktrecherche

Passende Lösungen finden Sie mit einer Internet-Suche nach:

  • Cloud-Service
  • Hosting
  • IaaS
  • PaaS
  • Software as a Service
  • Eurocloud
  • Austrian Cloud

Ein paar Anbieter:

Anbieter ProduktAnmerkungenServicesZertifizierungenAbrechnungsmodelle
Amazon AWS Derzeit größter Cloud-Service-Anbieter weltweit.Sehr breit:
Iaas (EC2, S3)
PaaS
SaaS		EU-US-Privacy-Shield
ISO 27001
ISO 27017
ISO 27018
und andere 		Nutzungsabhängig
Microsoft AzureWeltweit zweitgrößter Cloud-Service-Anbieter.
Rechenzentren und Datenspeicherung im EU-Raum. 		Sehr breit:
Iaas
PaaS (Windows, Linux),
SaaS		EU-US-Privacy-Shield
ISO 27001
ISO 27017
ISO 27018
ISO 9001
und andere		Nutzungsabhängig,
Pauschale für reservierten HW-Pool
Google CloudPlatz 3 am Weltmarkt
Fokus auf SaaS und PaaS (z.B. KI-Services)		IaaS
PaaS
SaaS		EU-US-Privacy-Shield
ISO 27001
ISO 27017
ISO 27018
und andere		Nutzungsabhängig
TimewarpÖsterreichischer Cloud-Service-Anbieter mit Housing in zwei RechenzentrenHousing (Co-location)
IaaS
PaaS/Hosting
SaaS		ISO 27001
ISO 27018
AustriaCloud(SA)		Pauschale für vereinbarten Funktionsumfang
DiverseAnbieter mit einem Eurocloud GütesiegelJe nach AnbieterEurocloud CertificatesJe nach Anbieter

Das US-Privacy-Shield Abkommen wurde mittlerweile ebenfalls für ungültig erklärt, womit Sie als Auftraggeber sog. alternative Regelungen (Standardschutzklauseln) vereinbaren müssen. Nähere Informationen finden Sie bei der WKO.

Angebotsbewertung und Auftragsvergabe

Die meisten Anbieter haben auf ihrer Website einen Preiskalkulator für eine erste Abschätzung der Kosten. Achten Sie hier jedoch auf die Bedingungen von kostengünstigen Versionen, denn diese sind ggf. nicht anwendbar oder zeitlich beschränkt.

Bei ernsthaftem Interesse sollten Sie den Verkauf des Anbieters kontaktieren, um ein spezifisches Angebot zu erhalten.

Die Übergabe der Verantwortung für die Internet-Anbindung an den Cloud-Service-Anbieter ist sinnvoll, da Sie damit nur einen Ansprechpartner haben.

Weitere Tipps zur Angebotseinholung, Bewertung und Vergabe finden Sie hier.

Cloud Computing als Ergänzung

Die Entscheidung für den Einsatz von Cloud Computing sollte nicht als „ganz oder gar nicht“ verstanden werden:

  • Cloud Computing wird gerne als kostengünstiger vermarktet, das ist aber nur bedingt richtig. Eine eigene IT ist oft kostengünstiger, vor allem wenn die IT-Mannschaft für den Betrieb schon vorhanden ist.
  • Cloud Computing kann für bestimmte IT-Services sinnvoll sein. Software-as-a-Service Angebote wie Office365 sind sinnvoll und ev. kostengünstiger als der eigene Betrieb.