Cyberbedrohungen
Jedes Unternehmen braucht eine Cloud-Strategie
Kein Unternehmen kann sich technologisch und wirtschaftlich heutzutage leisten, ungeprüft eine „No Cloud“-Haltung einzunehmen. Für die Strategie muss erst entschieden werden, ob ein Hyperscaler oder ein Cloud Provider den Anforderungen entspricht.
Die Erfahrungen, die ich im Laufe meiner Berufstätigkeit als Berater im Cloud- und Rechenzentrumsumfeld sammeln konnte, haben klar gezeigt: JEDES Unternehmen braucht heute eine Cloud-Strategie. Natürlich ist es möglich, dass die Cloud-Strategie im Unternehmen die Nutzung von gewissen Ressourcen, Regionen oder generell externer Datenhaltung einschränkt oder gar untersagt. Aus technologischer und wirtschaftlicher Sicht kann sich ein Unternehmen eine nicht-geprüfte „No Cloud“-Haltung kaum mehr leisten. Eine bewusste, regelmäßig überprüfte Strategie jedoch ist etwas anderes als eine generell ablehnende Cloud-Haltung.
Der Siegeszug der Hyperscaler und die kontinuierliche Verdrängung von On-Premise Ressourcen lassen sich durch die fortschreitende Digitalisierung einfach erklären: Jedes Unternehmen optimiert seine digitalen Prozesse oder entwickelt sogar neue, auf Digitalisierung basierende Produkte, Dienstleistungen oder gar ganze Geschäftsmodelle.
Hierbei geht es nicht nur um Automobilhersteller, die am autonomen Fahren arbeiten oder die Millionen von weltweit verteilten Fahrzeugen „over-the-air“ auf aktuellstem Stand halten wollen. Zwar kommen die Vorteile einer weltweiten Präsenz von Hyperscalern in solchen Szenarien besonders zum Tragen, da diese Unternehmen ihre Cloud-Rechenzentren nahezu rund um den Globus verteilt haben und somit die Nähe der Computing-Ressourcen zu ihren Workloads sicherstellen können. Hier scheint ein Aufbau eigener Rechenzentren auf der ganzen Welt für diese Zwecke scheint kaum zweckdienlich.
Auch der Mittelstand profitiert davon, IT nicht ausschließlich selbst zu betreiben. In Zeiten des Fachkräftemangels ist es denkbar, einfach seine vertikale Fertigungstiefe zu reduzieren und sich IT-Ressourcen von Dienstleistern oder Hyperscalern zu beschaffen. Diese Ressourcen werden nur nach Bedarf abgerechnet und es ist nicht das komplette Know-How für Aufbau und Betrieb der genutzten Plattformen vorzuhalten. Der Grad der Digitalisierung wächst auch hier in nahezu allen Bereichen und Industrien. Beispiele dafür sind die innovativen IT-gestützten Videoanalysen am Fließband, die die Produktion überwachen und die Lieferkette mit weniger defekter Ware belasten, oder auch Stadien und Museen, die ihren Besuchern digitale Dienste anbieten. Der öffentliche Sektor, der unter starkem Zugzwang steht, Bürgern digitale Dienste bereitzustellen, wird sich kontinuierlich verbessern müssen. Dieser Komfort wird zum Standard und damit zur Erwartungshaltung an die Dienstleister der heutigen Zeit. Wer dieser Art des Dienstangebotes nicht folgt, wirkt schnell antiquiert und wird - wo möglich - gemieden.
Wie funktionieren Hyperscaler?
IT Provider und Systemhäuser feilen an ihren Cloud-Services oder bereiten Dienste vor, um sich vom klassischen Lizenz- und Hardware-Vertrieb hin zum Service-Provider zu transformieren. Doch das Differenzierungsmerkmal „Wir sind günstiger als die Konkurrenz, denn wir haben die Erfahrung!“ gilt im Vergleich zu Hyperscalern nicht mehr. Lokale Nähe zum Kunden, lokale Datenschutzkonformität, ein spezialisiertes Service-Angebot für einzelne Industriesegmente und Veredlung durch Managed-Services sind sicher Faktoren, die sich tatsächlich von Hyperscaler-Angeboten unterscheiden lassen.
Das primäre Interesse der Hyperscaler ist es, eine möglichst breite Masse zu adressieren. Einen Preiskampf gegen Hyperscaler? Ein Blick auf das Marketingmodell Amazon Flywheel (Wachstum durch Skalierung) zeigt, warum lokale Unternehmen hier wenige Chancen haben. Hyperscaler bieten eine Auswahl an attraktiven Services, arbeiten konsequent an guter Kundenzufriedenheit und erhalten so gesteigerten Zulauf, der sich in zunehmender Ressourcen-Auslastung äußert. Die steigende Auslastung erhöht den Ressourcenbedarf, der wiederum genutzt wird, um attraktivere Beschaffungskonditionen bei den Hardware-Herstellern oder direkt in den Fabriken auszuhandeln. Somit erzielt man Einsparungen bei den Produktionskosten, aber auch bei den Kosten für die Endkunden. Zeitgleich wachsen die Hyperscaler zunehmend entlang ihrer eigenen Supply Chain, um weitere Kostenvorteile zu realisieren – dieses Rad dreht sich weiter und weiter… Gegen diese Preisstruktur, getrieben durch die Economy-of-Scale, werden kleinere Unternehmen bei gleichem Serviceangebot mit ein paar Rechenzentren in Deutschland oder Europa nicht mit einer Differenzierung über „Wir sind günstiger“ bestehen.
Auch kontinuierliche Bestrebungen zu Datensouveränität, Unabhängigkeit und gesteigerter lokaler Resilienz mit eigenen Lösungen scheitern häufig an gegenläufigen Interessen der teilnehmenden Parteien – oder schlicht, weil am Ende die Kunden die Preisunterschiede zu bestehenden, marktweit bekannten Hyperscaler-Angeboten genauer abwägen und sich für diese entscheiden.
Kostengünstig durch Masse
Hyperscaler, deren Kerngeschäft IT-Betrieb und -Vertrieb ist, meistern dies exzellent durch extrem hohe Investitionen in Selfservice/Automation/Orchestrierung/Customer-Experience, sowie durch Unabhängigkeit von großen kommerziellen Software-Suiten im Basisbetrieb und sehr effiziente 24/7 Betriebsmodelle. Alle Hyperscaler haben von VM-as-a-Service (IaaS) über Speicher- und Netzwerkdienste bis hin zu Plattform-as-a-Service (PaaS) und zunehmend Software-as-a-Service Suiten im Angebot. Diese Angebote unterscheiden sich natürlich von IaaS zu PaaS zu SaaS dadurch, dass sie sich gerade in den zuletzt genannten mehr und mehr an die Standards anpassen müssen, die sie dort vorfinden – während die Konsumenten ihre eigenen operativen Ressourcen auf den Konsum und die Veredlung der Services konzentrieren, statt den Aufbau und Betrieb der Plattform selbst in die Hand zu nehmen.
Die Ressourcen der Hyperscaler stehen den Konsumenten gefühlt für die Kosten ihrer Mail Adresse und Kreditkarteninformationen zur Verfügung. Diese Vielfalt an Fähigkeiten können On-Premise IT Betreiber kaum mehr unter wirtschaftlichen Bedingungen und nur mit höchstem personellem Aufwand generieren. Lokale IT Betreiber können sich also durch einen Mix oder eine ausgeprägte Public-Cloud Nutzung den Aufwand für die Beschaffung von Standort/Rechenzentrum, über Power/Cooling bis hin zur Bestückung mit Einzelkomponenten (Racks, Server, Netzwerk, Storage, Software, Software, Software, Sicherheitsstrukturen im Gebäude, …) schlicht sparen, zumindest dort, wo sie Cloud-Ressourcen als Ersatz finden. Sie kommen durch den Ersatz lokaler IT und Cloud-Ressourcen zum gleichen Ergebnis wie zuvor: produktiv nutzbare Business Services. Der Unterschied ist aber, dass sie deutlich schneller am Ziel sind und ggfs. schon nachjustieren und optimieren, wo andere noch nicht einmal den ersten Schritt geschafft haben ihre eigene IT aufzubauen. Aus heutiger Sicht stellt sich also die Frage, ob diese Situation (eine lokale / selbst aufgebaute und betriebene IT Infrastruktur) langfristig gesehen Fluch oder Segen ist; belastet die IST Situation die Unternehmens P&L also in solchem Ausmaß, dass die Flucht in die Cloud die benötigte Entlastung darstellt? Dies mag wie ein Loblied auf die Hyperscaler klingen, doch lässt sich die Situation auch von der anderen Seite betrachten.
Die Public Cloud: Fluch oder Segen?
Fürsprecher für die (Public) Cloud würden vermutlich der oben genannten Argumentation gern folgen und für eine Cloud-Transformation in ihrem Unternehmen plädieren. Doch es gibt auch eine Reihe von Faktoren, die kritisch zu betrachten sind – deshalb bedarf es einer Cloud-Strategie.
Hypothese 1: Die Cloud treibt Unternehmen in den Vendor-Lock: Ein spannendes Thema. Die Kosten für IaaS und PaaS Services, die nahezu bei jedem Cloud-Provider in sehr ähnlicher Form bereitgestellt werden, differenzieren sich tatsächlich kaum. Sobald man aber einen Blick in die herstellereigenen serverless Funktionen, spezielle Funktionen und SaaS Services, wirft, sieht man sinkende Preise auf Kosten der Portabilität zu einem anderen Anbieter. Führt dies in den Cloud-Vendor-Lock? Nun, die Auswahl der Services, die ein Anwender nutzen will, ist im überlassen, und natürlich gilt es abzuwägen, welche Services das sind. Ziel muss es sein, eine passende Governance-Struktur darüber anzuwenden. Wenn Portabilität eines der eigenen Architekturprinzipien ist, werden nur solche Services ausgewählt und genutzt, auf die der Anwender bei Bedarf auch bei anderen Anbietern aufsetzen kann. Außerdem ist das Szenario eines Wechsels des Hyperscalers heute auf morgen wohl doch eher eine Seltenheit.
Hypothese 2: Die Public-Cloud ist unsicher: Ohne es an dieser Stelle mit konkreten Zahlen zu untermauern, stellen wir doch mal einen hemdsärmlichen Vergleich an. Stellen Sie sich vor, Sie sind ein 200-Mann-Betrieb in der Fertigung im gesunden deutschen Mittelstand. Ihre IT-Abteilung wird von sechs Kollegen zu 8x5 verwaltet, nutzt Technologien wie Virtualisierung, Firewalls, etc. und Sie haben sie nach bestem Gewissen konfiguriert. Die Cloud nutzen Sie vielleicht nicht, denn es ist nicht Ihr eigenes Rechenzentrum und da haben Sie keine Kontrolle wer ein- und ausgeht. Durch die Presse ist uns natürlich allen klar, dass heutzutage jedes Unternehmen Opfer eines gezielten Cyberangriffs werden kann, aber warum sollte es gerade Sie treffen. Glauben Sie, dass der lokale Betrieb konkurrieren kann mit einem Hyperscaler, der ein 24/7/365 Security-Operations-Center (SOC) für seinen Teil des Shared-Responsibility-Modells etabliert hat? Stellen Sie sich bitte die ernsthafte Frage: „Was ist unser Kerngeschäft, was sind unterstützende Funktionen?“ Fakt ist: Die Hyperscaler perfektionieren ihre SOC-Strukturen immer mehr, denn IT ist ihr Kerngeschäft und das gilt es zu schützen.
Hypothese 3: Die Cloud ist zu teuer: Die Cloud kann sehr teuer werden. Das stimmt für den Fall, dass alle Workloads 1:1 in die Cloud geschoben werden, ohne dass sich das Anwenderunternehmen Gedanken um das Konstrukt macht, die Vorteile der Cloud nicht ausschöpft und die Fähigkeiten der Cloud nicht nutzt. Denn dann gibt es den gleichen Service wie zuvor, aber zu höheren Kosten. Die Kostenstruktur beinhaltet hier nicht nur die Subscription beim Hyperscaler, sondern natürlich auch die internen Personal- und Infrastrukturkosten. Die Cloud ist eben nicht nur das Rechenzentrum eines Dienstleisters – sie bietet Services, mit denen IT effizienter und skalierbarer gestaltet werden kann – nein muss. Wer dafür keinen Bedarf hat oder es nicht nutzen kann, benötigt keine Cloud. In diesem Fall muss das Unternehmen am Reifegrad der IT Organisation und der Prozesse arbeiten und bewusst handeln, anstatt überstürzt die Cloud-Adoption-Ratio zu erhöhen.
Hypothese 4: Es muss jetzt alles in die Cloud: Nein, jeder (Business-)Service ist gesondert zu bewerten. Gelten beispielsweise Prinzipien wie die Autarkie eines Standortes oder einer Produktionsstraße bei Netzwerkausfall, so wird die Public Cloud hier nur Teile oder gar keine Services beisteuern können.
Vielleicht einfach starten, statt ewig planen
Am Ende steht wieder die Aussage: JEDES Unternehmen braucht eine Cloud Strategie.
Meine Meinung mag zum Teil etwas kontrovers oder schwarz/weiß sein und muss nicht zwangsläufig die Meinung von Trend Micro widerspiegeln.