Getrieben von Datenschutzgrundverordnung (DSGVO) und steigender IT-Abhängigkeit überlegen viele KMU die Nutzung von Cloud-Services, anstatt die IT selbst zu betreiben. Fragen & Antworten dazu.

Fragen zu Cloud Computing

Was ist Cloud Computing eigentlich?

Mit Cloud Computing ist die Verwendung von Informationstechnologie über eine Internet-Verbindung gemeint:

  • Die Nutzung von Applikationen, welche von den Herstellern betrieben werden
  • Die Nutzung von IT-Infrastruktur (Server, Storage, Netzwerk) und IT-Plattformen (z.B. Container-Platform, Development-System, Datenbanken, Application-Server), welche von einem Anbieter in einem Rechenzentrum betrieben werden

Die Verantwortung für den IT-Betrieb hängt von der Art des Cloud Services ab:

  • Infrastructure as a Service (IaaS)
    • Der IaaS Anbieter kümmert sich um
      • Verfügbarkeit von HW und Netzwerk
    • Der Kunde ist verantwortlich für den IT-Betrieb von
      • Anwendungen
      • Middleware, Betriebssystem
      • Daten (Backup etc.)
  • Platform as a Service (PaaS)
    • Der PaaS Anbieter kümmert sich um
      • Verfügbarkeit von HW und Netzwerk
      • Installation und Updates für Betriebssystem, Middleware, Frameworks und sonstiger Plattform-spezifischer SW
    • Der Kunde ist verantwortlich für den IT-Betrieb von
      • Anwendungen
      • Daten (Backup etc.)
  • Software as a Service (SaaS)
    • Der SaaS Anbieter kümmert sich um
      • Verfügbarkeit von HW und Netzwerk
      • Installation und Updates für die Anwendung und alle weitere SW, welche dafür benötigt wird
      • Backup der Daten
    • Der Kunde hat keine Aufgaben für den IT-Betrieb der Anwendungs-Server

Nach ihrer „Öffentlichkeit“ wird die Cloud eingeteilt in:

  • Public-Cloud: Applikationen, welche für alle Internet-Teilnehmern verfügbar sind
  • Private-Cloud: Applikationen und Infrastruktur, welche nur für definierte Benutzer verfügbar sind (Abschottung mit VPN)
  • Hybrid-Cloud: Parallele Nutzung von Public und Private Cloud

Was bringt Cloud Computing einem KMU?

Verfügbarkeit und Datensicherheit

Da Cloud-Service-Anbieter ihre IT-Infrastruktur vielen Nutzern anbieten können, ist eine hoch-verfügbare und sichere IT-Infrastruktur damit auch für KMU leistbar.

Eine hohe IT-Verfügbarkeit und Datensicherheit setzt einiges an Investitionen und Betriebsaufwand voraus:

  • Redundante IT-Infrastruktur (Server, Storage, Netzwerk)
  • Sicherer Rechnerraum bzw. zertifiziertes Rechenzentrum
  • Als Vorbeugung für den Katastrophenfall die Verteilung auf mehrere Rechenzentren
  • Gut ausgebildete und erfahrene IT-Mannschaft mit mind. 5 Personen für einen 7×24 Betrieb
  • Laufendes Monitoring und proaktives Service

Verfügbarkeit neuer IT-Services

Cloud-Services sind typischerweise viel schneller nutzbar als die Implementierung in der eigenen IT-Umgebung.

Z.B. kann man als Cloud-Service-Kunde selbst binnen Minuten einen neuen virtuellen Server einrichten bzw. bei Bedarf mehr Ressourcen einem bestehenden Server zuordnen, wenn man schon einen Cloud-Infrastructure-Pool eingerichtet hat.

Folgende Punkte können die Geschwindigkeit jedoch deutlich reduzieren:

  • Eine notwendige Anpassung der Internet-Anbindung – vor allem, wenn erst Kabel gelegt werden müssen
  • Migration von Daten und individuelle Applikationen

Kostenersparnis

Eine deutliche Kostenersparnis bringt Cloud-Computing potenziell hinsichtlich dieser Aspekte:

  • Sie ersparen sich eine große IT-Mannschaft, wenn Sie 7×24 IT-Verfügbarkeit benötigen
  • Kein Kauf von Server HW und SW-Lizenzen notwendig
  • Sie ersparen sich die Einrichtung und Erhaltung eines sicheren Rechnerraumes, wenn alle Server bzw. Services in einem Rechenzentrum laufen

Ob Cloud-Computing im Allgemeinen günstiger ist, klären wir weiter unten.

Wozu brauche ich Cloud-Services?

Die Antwort ist: Was wollen Sie erreichen?

Sie sollten sich erst über den Sinn und Zweck klar werden und dann dazu Ziele definieren.

Damit können Sie dann klären:

Cloud-Services sind „nur“ Werkzeuge und prinzipiell kann man dasselbe auch mit der eigenen IT bewerkstelligen.

Wie geht ich vor, wenn ich Cloud Computing nutzen will?

Ablauf

  1. Definieren Sie die Ziele für den Einsatz von Cloud Computing
  2. Stellen Sie ein Projektteam zusammen und erstellen Sie einen Projektplan (Projektmanagement-Methoden)
  3. Analysieren Sie den Bedarf
  4. Implementieren Sie organisatorische Änderungen z.B.
    • Anpassung Geschäftsprozesse
    • Anpassung IT Verantwortlichkeiten
    • Überarbeitung der Vereinbarung zur Datennutzung und von Mitarbeitern, Kunden usw. die Zustimmung einholen (Die Zustimmung der Weitergabe von personenbezogenen Daten an Datenverarbeiter ist lt. DSGVO erforderlich)
  5. Finden Sie einen Anbieter
  6. Implementierungsphase: Cloud-Service Einrichtung und initiale Migration von Daten und individuellen Applikationen
  7. Schulung der IT-Mitarbeiter für Administration
  8. Testen der neuen Umgebung
  9. Ggf. Schulung aller Anwender, wenn sich Änderungen in der Bedienung ergeben
  10. Go-live planen und ankündigen
  11. Go-live durchführen
    • Bestehende Server für Veränderungen sperren
    • Datenmigration
    • Mitarbeiter informieren
  12. Aufräumen
    • Nicht mehr benötigte Verträge kündigen
    • Alte HW außer Betrieb nehmen
  13. Projekt abschließen

Ziele definieren

Wenn die Ziele noch unklar sind, dann finden Sie hier Tipps zum Thema Digitalisierung – Das Geschäft effizienter machen.

Bei der Zieldefinition ist es besser, den Weg der Lösung nicht vorzugeben. Es bleibt damit offen, ob Cloud-Services eingesetzt werden.

Klären Sie zu diesem Zeitpunkt auch ein paar strategische Fragen:

  • Welche unserer Daten müssen im Haus gespeichert bleiben?
  • Welche IT-Services sind betriebskritisch und dürfen nicht (bzw. nur mit besonderen Bedingungen) ausgelagert werden?

Berücksichtigen Sie auch die möglichen Stolpersteine bei Cloud Computing (siehe Was muss ich beachten?)

Services, welche sich (zumindest derzeit noch) nicht für Cloud-Services eignen:

  • Produktionssteuerung
  • Echtzeit-Steuerungs-Systeme

Weitere Tipps zur Definition von Zielen finden Sie hier.

Bedarf konkretisieren

Der Bedarf ist die Lücke zwischen der Situation derzeit (Ist) und bei Erreichung der Ziele (Soll).

  1. Analysieren Sie die Ist-Situation und konkretisieren Sie das Soll
  2. Erstellen Sie einen Anforderungskatalog für alle benötigten Services

Zur Zielerreichung können auch organisatorische Änderungen (z.B. Anpassung der Geschäftsprozesse) notwendig sein.

Was muss ich bei Cloud-Services beachten?

Internet-Anbindung

Bei der Nutzung von Cloud-Services kann die Internet-Anbindung zum Flaschenhals werden. Das gilt vor allem für Geschäftsstellen mit vielen Mitarbeitern bzw. hohem Datentransfer-Volumen.

Wenn Sie Cloud-Services zu nutzen oder erweitern wollen, dann sollten Sie auch die Eignung der Internet-Anbindung(en) überprüfen.

Eine hohe Verfügbarkeit der Internet-Anbindung erreichen Sie mit:

  • Redundant ausgelegte Internet-Router mit der Möglichkeit von mehreren Internet-Anbindungen
  • Nutzung mehrerer Transport-Wege für die Internet-Anbindung (z.B. mehrere Kabel, Kabel+Funk)
  • Leitungen von mehreren Internet-Providern mit unterschiedlicher WAN-Infrastruktur

Eine hohe Transfer-Geschwindigkeit erreichen Sie durch:

  • Einsatz von Traffic-Shaping zur Priorisierung des Internet-Datenverkehrs
  • Nutzung symmetrische Internet-Leitungen, vor allem wenn große Datenmengen auf die Cloud-Server geladen werden (z.B. Backups, Bild/Video-Uploads)
  • Anbindungen mit garantierter Mindest-Bandbreite (Business Internet Leitungen)

Echtzeit-Services wie Webmeeting, VoIP und Remote Desktop benötigen auch eine sehr gute Leitungsqualität. Die Qualität der Leitung wird mit Kennzahlen wie Latenz und Jitter gemessen. Business-Leitungen haben meist höhere Qualität als Leitungen für den Privatgebrauch.

Abhängigkeit vom Anbieter

Durch die Nutzung von Cloud-Services entsteht eine Abhängigkeit vom Anbieter.

Zuverlässigkeit und IT-Sicherheitsstand des Anbieters

Cloud-Services zu nutzen bedeutet die IT-Infrastruktur mit anderen zu teilen und die Daten an Dritte zur Verarbeitung weiterzugeben.

Der Cloud-Service-Anbieter sollte daher ausreichend Maßnahmen zur Gewährleistung IT-Sicherheit implementiert haben, z.B.:

  • Abschottung der Cloud-Service-Nutzer untereinander (Nutzung von renommierten Virtualisierungslösungen)
  • Schutz vor Bedrohungen aus dem Internet (Hacking, DDoS, Malware) mit IPS, Firewalls etc.
  • Einrichtung von VPN für verschlüsselten Datentransfer
  • Verschlüsselte Datenspeicherung auf Festplatten (Disk Encryption)

Damit Sie das nicht selbst überprüfen müssen, sollten Sie von Cloud-Service-Anbietern den Nachweis entsprechender Zertifizierungen verlangen, z.B.:

Wenn Sie noch weiter ins Detail gehen wollen: Das BSI bietet einen eigenen Anforderungsforderungskatalog für Cloud-Services.

Möglichkeit den Anbieter zu wechseln

Sie sollten auf den Fall vorbereitet sein, dass Sie bei unlösbaren Problemen oder dauernder Unzufriedenheit den Cloud-Service-Anbieter wechseln können.

Das gelingt eventuell nicht so einfach, wenn Sie exklusive Cloud-Services nutzen.

Für kritische Anwendungen sollten daher nur Cloud-Services genutzt werden, welche von mehreren Anbieter abgedeckt werden. Auch die Nutzung von Containertechnologie (z.B. Docker, Kubernetes) hilft bei einem einfachen Wechsel des Anbieters.

Anbieter aus dem EU-Raum

Das DSGVO erlaubt den Transfer von personenbezogenen Daten an Dritte außerhalb des EU-Raumes, wenn sichergestellt ist, dass die Bestimmungen der DSGVO eingehalten werden.

Für EU-Unternehmen ist eine Bevorzugung von Anbietern aus dem EU-Raum empfehlenswert:

  • Vermeidung des Risikos von politischen Sanktionen und Handelskriegen
  • Auch der Cloud-Service-Anbieter unterliegt dem EU-Recht und damit auch direkt dem DSGVO

Gesetzliche Anforderungen, Datenschutz

Das DSGVO regelt den Umgang mit personenbezogenen Daten und praktisch jedes Unternehmen hat solche Daten von Mitarbeitern und Kunden.

Wenn Sie Cloud-Services nutzen wollen, müssen die betroffenen Personen (Kunden, Mitarbeiter) der Weitergabe der Daten an einen Datenverarbeiter zustimmen. Am besten ergänzen Sie ihre Vereinbarung zur Datennutzung (die sie ja im Sinne des DSGVO sowieso brauchen) um eine solche Klausel.

Auch müssen Sie sich laufend von der Einhaltung des DSGVO durch den Cloud-Service-Anbieter überzeugen, z.B. durch:

  • Zertifikate, welche eine IT-Sicherheit nach dem Stand der Technik bestätigen (Gültigkeitszeitraum prüfen)
  • Konkrete Vereinbarung zur Datenverarbeitung, welche bei Änderungen auch angepasst wird

Weitere Informationen zum Datenschutz finden Sie z.B. unter datenschutz.org oder beim WKO.

Eventuell gibt es für ihr Unternehmen noch weitere Gesetze, welche im Zusammenhang mit Cloud-Services relevant sind (siehe Gesetze im IT-Umfeld).

Ist Cloud-Computing billiger?

Die Kosten für Cloud Computing setzen sich zusammen aus:

  • Einmalige Kosten für Setup, Migration etc.
  • Laufende Kosten für die gebuchten Cloud Services

Ob Cloud-Services billiger sind als die eigene IT zu betreiben, ist im Allgemeinen nicht zu beantworten. Auch meinen wir meist das Preis-Leistungs-Verhältnis, womit man die Kosten der Leistung gegenüberstellen muss.

Für KMU mit hohen Anforderungen an die IT kann die Nutzung von Cloud-Services deutlich billiger als der eigene Betrieb sein, vor allem wenn Sie Standard-Lösungen verwenden.

Den Betrieb von Individual-Software ist mit der eigenen IT günstiger, wobei diese auch auf Servern im Rechenzentrum laufen könnte (IaaS, PaaS).

Im Folgenden ein Vergleich für Implementierung und Betrieb.

Kosten für die Implementierung neuer Services

Vergleich „Eigene IT“ vs. Cloud-Services:

  • Die Investitionskosten sind bei der Nutzung von Cloud-Services geringer, da folgendes wegfällt:
    • Server und Storage HW
    • fixe SW-Lizenzen
    • Rechnerraum, sofern dieser nicht auch für andere Server benötigt wird
  • Investitionskosten für die „Eigene IT“ werden über eine geplante Nutzungszeit abgeschrieben. Eine vorzeitige Ablöse erhöht die Nutzungskosten (TCO).

Kosten für den IT-Betrieb

Kosten beim Betrieb der eigenen IT, welche typischerweise in einem Cloud-Service-Angebot inkludiert sind:

  • IT-Betriebs-Mannschaft (Personalkosten, Ausbildung)
  • Support und Updates (SW, HW) für Server, Storage, Netzwerk
  • Strom für Server, Storage, Netzwerk, Kühlung
  • Reparaturen von Server, Storage, Netzwerk, Rechnerraum-Infrastruktur

Die Kosten für Cloud-Services sind typischerweise höher als die Betriebskosten für die eigene IT, da der Cloud-Service-Anbieter seine Investitionskosten auch weiterverrechnen muss.

Zusätzlich zu den Cloud-Service-Kosten verbleiben folgende Betriebskosten bei Ihnen:

  • Aufwand für IT-Koordination und lokalen IT-Support (Personalkosten, Ausbildung, Consulting)
  • Internet-Anbindung
  • Betrieb des lokalen Netzwerks und der Endgeräte (Personalkosten, HW, SW)

Abrechnung der Cloud-Services

Die großen Cloud-Service-Anbieter wie Amazon (AWS) und Microsoft (Azure) bieten die nutzungsabhängig Abrechnung nach tatsächlichem Verbrauch (CPU-Zeit, Speicherplatz, Datentransfer-Volumen) an. Dieses Angebot ist verlockend, da Sie nur das zahlen, was Sie verbrauchen.

Beachten Sie bei der nutzungsorientierten Abrechnung:

  • Die monatlichen Kosten schwanken, daher sollte im IT-Budget entsprechend Puffer vorhanden sein.
  • Der nutzungsabhängige Tarif ist typischerweise höher als eine Pauschale für die gleiche Leistung
  • Diese Abrechnung ist am sinnvollsten für Services, welche gerade erst im Aufbau sind oder sehr starken Nutzungsschwankungen unterliegen.

Für Produktivsysteme, welche über das Monat ziemlich gleichmäßig ausgelastet sind, ist eine Abrechnung zu vorher vereinbarten Pauschalen (reservierter HW-Pool) meist günstiger.

Wenn Sie derzeit noch nicht beurteilen können, welches Tarifmodell das für Sie bessere ist, dann sorgen Sie für die Möglichkeit den Tarif im laufenden Vertrag auch wechseln zu können.

Wie finde ich den richtigen Cloud-Anbieter?

Die Cloud-Service-Anbieter erwarten, dass Sie ihren Bedarf anhand der angebotenen Cloud-Services benennen können.

Bedarf definieren

Bevor Sie den Bedarf definieren, sollten Sie die Ziele für Cloud Computing definiert haben (siehe Wozu brauche ich Cloud-Services?)

Erstellen Sie dann einen Anforderungskatalog, welcher die benötigten Cloud-Services beinhaltet. Z.B.:

  • Housing-Leistungen (Übersiedelung bestehender Server in ein Rechenzentrum)
  • Hosting-Leistungen
    • Web-Hosting
    • Mail-Hosting
    • Mail-Archivierung
    • Domain-Hosting (DNS)
    • Secure Gateway (Firewall, Web-Filter)
  • IaaS, PaaS
    • Server, Storage (HW Pools)
    • Container-Server (Docker, Kubernetes)
    • Online-Backup
    • Load Balancing
  • SaaS

Marktrecherche

Für die Marktrecherche suchen Sie im Internet mit den Begriffen wie:

  • Cloud-Service
  • Hosting
  • Housing
  • IaaS
  • PaaS
  • Software as a Service
  • Eurocloud
  • Austrian Cloud

Ein paar Anbieter:

Anbieter ProduktAnmerkungenServicesZertifizierungenAbrechnungsmodelle
Amazon AWSDerzeit größter Cloud-Service-Anbieter.Sehr breit:
Iaas (EC2, S3)
PaaS
SaaS
EU-US-Privacy-Shield
ISO 27001
ISO 27017
ISO 27018
und andere
Nutzungsabhängig
Microsoft AzureZweitgrößter Cloud-Service-Anbieter derzeit.
Rechenzentren und Datenspeicherung im EU-Raum.
Sehr breit:
Iaas
PaaS (Windows, Linux),
SaaS
EU-US-Privacy-Shield
ISO 27001
ISO 27017
ISO 27018
ISO 9001
und andere
Nutzungsabhängig,
Pauschale für reservierten HW-Pool
Google CloudAktuell dritte am weltweiten Markt
Fokus auf SaaS und PaaS (z.B. KI-Services)
IaaS
PaaS
SaaS
EU-US-Privacy-Shield
ISO 27001
ISO 27017
ISO 27018
und andere
Nutzungsabhängig
TimewarpÖsterreichischer Cloud-Service-Anbieter mit Housing in zwei RechenzentrenHousing (Co-location)
IaaS
PaaS/Hosting
SaaS
ISO 27001
ISO 27018
AustriaCloud(SA)
Pauschale für vereinbarten Funktionsumfang
DiverseAnbieter mit einem Eurocloud GütesiegelJe nach AnbieterEurocloud CertificatesJe nach Anbieter

Angebotsbewertung und Auftragsvergabe

Viele Anbieter haben auf der Website einen Preiskalkulator, womit Sie selbst eine erste grobe Rechnung anstellen können. Bei ernsthaftem Interesse sollten Sie mit dem jeweiligen Vertrieb in Kontakt treten, um die benötigten Funktionen/Leistungen und auch die Preise nochmals zu hinterfragen.

Falls der Anbieter die Möglichkeit bietet, sollten Sie überlegen auch die Internet-Anbindung und die Wartung der lokalen Netzwerke an Cloud-Service-Anbieter zu übergeben. Damit bekommt der Cloud-Service-Anbieter die Gesamtverantwortung für Netzwerk und Services.

Weitere Tipps zur Angebotseinholung, Bewertung und Vergabe finden Sie hier.