Auch bei KMU spricht alles für die Cloud
Quelle: Pixabay

Auch bei KMU spricht alles für die Cloud

Von Florian van Keulen

Wenn Eigentümer, Geschäftsführer, IT-Leiter oder Administratoren von KMU überlegen, ihre IT-Infrastruktur und Anwendungslandschaft weiter zu entwickeln, spielt Cloud Computing mittlerweile eine zentrale Rolle.

Artikel erschienen in Swiss IT Magazine 2019/10

     

Leider gibt es noch immer kein Patentrezept für eine ideale KMU-IT-Architektur. Dafür sind die unternehmerischen Anforderungen an die IT viel zu unterschiedlich. Bei der Entscheidung für oder gegen den Einsatz einer Cloud spielt es beispielsweise kaum eine Rolle, wie viele Mitarbeiter ein Unternehmen beschäftigt. Relevanter sind die Fragen, welche Rolle den Daten und Informationen zukommt, die das Unternehmen verarbeitet, oder welche Prozesse für das Kerngeschäft und den Erfolg entscheidend sind.

Studien zur Nutzung von Cloud Computing helfen Unternehmen und Organisationen, die Marktrelevanz, den Nutzungsgrad sowie die Vor- und Nachteile des Cloud-Einsatzes einzuschätzen. Leider helfen sie aber dem einzelnen CEO oder CIO nicht dabei, die spezifischen Fragen hinsichtlich seines individuellen, optimalen IT-Konzepts zu beantworten.


Erschwerend kommt hinzu, dass auch Cloud Computing in den vergangenen 20 Jahren immer komplexer geworden ist. Diese Komplexität ist aber gerade der Individualisierung von Lösungen geschuldet, um eben speziellen Kundenanforderungen und dem steigenden Kostendruck auf die IT-Abteilung gerecht zu werden. Massgeschneiderte Cloud-Konzepte sind für Unternehmen jeder Grösse möglich.

Die Cloud macht auch für KMU Sinn

Grundsätzlich stehen drei Möglichkeiten der Cloud-Nutzung zur Auswahl: Private Cloud, Public Cloud sowie die Mischform Hybrid Cloud. Die grundlegenden Entscheidungen, die es bei einem Cloud-Projekt zu treffen gilt, sind: Welches Modell und welchen Anbieter wähle ich? Public Cloud Services von den grossen, etablierten Playern im Markt - wie beispielsweise Microsoft, Amazon, Google oder Oracle - sind hoch standardisiert. Für den Nutzer bedeutet dies, dass er eine Rechenzentrums-Infrastruktur nicht komplett selbst aufbauen und pflegen muss. Die Angebote sind darüber hinaus bei Bedarf beliebig skalierbar und wachsen mit der technischen Entwicklung mit. Eine Public-Cloud-Lösung kann innerhalb kürzester Zeit in den Live-Betrieb gehen, ohne sich mit der zugrundeliegenden Technologie-Infrastruktur beschäftigen zu müssen. Die Client-­seitige Verbindung zur Cloud, sowie das nicht triviale Management der Cloud-Dienste, liegen dabei allerdings nach wie vor auf Unternehmensseite. Und das ist der Grund, weshalb die Vorteile der Cloud von KMU oft nicht voll ausgeschöpft werden können: Grosskonzerne schaffen es, ein Cloud-Projekt teilweise noch mit ihren internen Mitarbeitenden umzusetzen, für kleinere und mittlere Unternehmen ist dies meist schon rein personell nicht zu stemmen.
Trotz dieser Voraussetzungen ist es auch für KMU mit weniger als 250 Mitarbeitenden, die in der Schweiz 99 Prozent aller Unternehmen ausmachen, von Vorteil, die mannigfachen ­Chancen einer Cloud-Integration intensiv zu prüfen. Damit diese Evaluation am Ende auch präzise den jeweiligen Anforderungen gerecht wird und langfristig trägt, sollten sich KMU von herstellerunabhängigen Cloud-Experten beraten und durch den gesamten Migrationsprozess begleiten lassen. So kann durch eine sorgfältige und strukturierte Integration der einzelnen, erforderlichen Services das ganze Potenzial der Cloud ausgeschöpft werden, wie beispielsweise die Verbesserung der Effizienz von Geschäftsprozessen, die Steigerung der IT-Sicherheit, eine höhere Verfügbarkeit und planbare Kosten für IT-Ressourcen. Auch bei der Datenspeicherung, -analyse und -auswertung kann die Cloud mit ihrem nahezu unbegrenzten Speicherplatz und hoher Rechenleistung punkten. Neue Geschäftsideen und Marktchancen, die aus verfügbaren Daten abgeleitet werden, lassen sich damit schneller und einfacher identifizieren.

Die Vorteile des Cloud Computing für KMU sind in drei Worten grob kategorisiert: Kosten, Flexibilität und Know-how. Dem stehen bedingte Nachteile gegenüber, die mit den Begriffen Sicherheit, Abhängigkeit und Anwendung umrissen sind.

Eingeschränktes Contra: Cloud funktioniert nur bedingt in sicherheitssensiblen Bereichen

Forschung und Wissenschaft, Energieversorger, Verteidigung, Staatsicherheit, öffentliche Einrichtungen, Spitäler und andere sicherheitssensible Unternehmen und Organisationen tun sich mit der Auslagerung von Daten auf Systeme von Drittanbietern schwer. Die Auslagerung an Dritte ist nicht unmöglich, aber es kommt bei privatwirtschaftlichen Firmen darauf an, welche Sicherheitsbestimmungen im Vertrag mit dem Kunden geregelt sind. Schliesst der Kunde eines KMU zum Beispiel kategorisch aus, dass die Geschäftsdaten bei Dritten gehostet und verarbeitet werden, hat sich die Cloud-Lösung von selbst erledigt. Doch auch in diesen Fällen gibt es Ausnahmen, die dadurch ermöglicht werden, dass ein Service Provider gewählt wird, welcher die regulatorischen und gesetzlichen Bestimmungen einhält und das Kunden-Unternehmen somit die geforderten Compliance-­Pflichten erfüllt. Das geht bis dahin, dass Cloud Provider physische Standorte im Land des Unternehmenssitzes anbieten.

Bei Cloud-Projekten ist es von elementarer Bedeutung, die gesetzlichen, unternehmensinternen und vertraglichen Richtlinien, die sogenannten Compliance-Anforderungen, zu kennen und einzuhalten. Ein Managed Service Provider kennt sich mit allen aktuellen Regularien und Verordnungen aus und verfügt über umfassende Erfahrung bei der Beratung von Unternehmen zu strategischen und technologischen Fragen. Aktuelle Vorgaben von Kunden, Partnern oder dem Gesetzgeber werden bei Projekten zuverlässig umgesetzt.

Unentschieden: Ausfallsicherheit in der Cloud

Wenn eine 24×7-Verfügbarkeit von Applikationen, Netzwerk und Rechenleistung garantiert sein muss, so gilt es für KMU zu bedenken, dass die Ausfallsicherheit des Internets Schwankungen ausgesetzt ist. Zwar verfügen die grossen Cloud Provider über immense Schutzvorkehrungen bei Stromausfall, allerdings können auch sie nicht zu 100 Prozent garantieren, dass im Fall von Sabotage oder technischer Störungen Downtimes des Internets verhindert und somit der Betrieb der Anwendungen vollumfänglich aufrechterhalten wird.

Für den Grossteil der Unternehmen sind die IT-Systeme Grundlage für den störungsfreien Ablauf der Geschäftsprozesse und damit als geschäftskritisch einzuschätzen. Ihr Ausfall würde zu einem Umsatz- und Produktivitätsausfall führen, ist also mit enormen Kosten verbunden, die Unternehmen bei längeren Ausfallzeiten schnell an den Rand ihrer Existenz bringen können. Das Verfügbarkeitsmanagement der IT ist daher von zentraler Bedeutung. Bei einer Auslagerung der IT-Infrastruktur in die Cloud an einen externen Partner ist die Absicherung des Ausfallrisikos oft mindestens im selben, wenn nicht sogar in höherem Ausmass gegeben als bei der internen IT. Schliesslich ist das Kerngeschäft des Cloud Provider der Betrieb und die Verfügbarkeit seiner Cloud.


Eine nahezu 100-prozentige Verfügbarkeit einer Cloud-Anwendung durch redundante und verteilte Auslegung aller Komponenten, einschliesslich der Kommunikationsinfrastruktur zu erzielen, ist, auch as-a-Service, mit erheblichen Kosten für Aufbau und Betrieb verbunden. Dieser Aspekt ist also bei der Prüfung der Konditionen im Provider-Vertrag zu berücksichtigen.

Pro: Der Nutzen von Cloud Computing gemäss Compliance

Selbst bei speziellen Sonderfällen ist Cloud Computing für das Gros der Firmen sehr nützlich. Die Auslagerung der IT-Infrastruktur und der Verwaltung von Anwendungen an Dritte, an einen Service Provider, bietet viele Vorteile. Die Gewichtung der Pro-Argumente definiert sich gemäss dem jeweiligen Geschäftsinhalt und -Gegenstand unterschiedlich: Während es für das eine Unternehmen unerlässlich ist, dass es zu jedem Zeitpunkt Anwendungen und Rechenleistung unterschiedlich hinzukaufen kann, also die Skalierbarkeit braucht, kann es für eine andere Firma ein zentrales Kriterium sein, dass die regulatorischen, internationalen Anforderungen der Compliance sowie die adäquate Lizenzierung im Mittelpunkt stehen.


IT-Compliance nimmt den CEO in Haftung. Deshalb ist die Einhaltung von Gesetzen, Normen und Regeln für Unternehmen jeglicher Grösse essentiell. Verstösse können so teuer werden, dass es im schlimmsten Fall zur Betriebsschliessung kommen kann. Deshalb ist die Verlagerung der Pflicht, gesetzliche Regeln einzuhalten, auf einen Dritten, einen Provider, ein gangbarer Weg, um sich um diesen Aspekt keine Sorgen machen zu müssen und sich auf das Kerngeschäft konzentrieren zu können. Die Verantwortung verbleibt letztlich aber immer beim Haftenden im Unternehmen. Allerdings kann er die praktischen Vorkehrungen im Sinne der Gesetze überantworten und sich durch korrekte IT-Verträge schadlos halten. Darüber, welche Aspekte konkret zu berücksichtigen sind, sollte er sich von Experten im Bereich von Managed Services beraten lassen.

Cloud Computing: anspruchsvolle Herausforderung für CxO

Ob diese Kriterien tatsächlich so wichtig sind wie gedacht und wie sich diese Anforderungen in der Praxis umsetzen lassen, entscheidet immer der haftende Unternehmensleiter. Er kennt sich zwar mit seinen Produkten, deren Technologien, dem Vertrieb, dem Markt und seinen Kunden bestens aus, ist aber weit davon entfernt, ein IT-Experte zu sein. Also sucht er Rat bei seinem hausinternen IT-Spezialisten, dem CIO. Doch Cloud Computing, wenn es stimmig zum Unternehmen aufgesetzt sein soll, führt dazu, dass die Angebote von lokalen, regionalen, nationalen und internationalen Providern überprüft und miteinander verglichen werden müssen. Nur so gelingt die massgeschneiderte und langfristig tragfähige IT in der Kombination aus Kostensenkung, Flexibilität, intakter Anwendungs- und Prozess-Steuerung einerseits und der gleichrangig wichtigen Entlastung der internen IT-Mitarbeiter andererseits.


Pro: Kosten senken und transparent kalkulieren

Geteilte Anwendungen und Rechenleistung sind halbe Kosten, könnte man in Kürze sagen. Provider, die sich auf die Bereitstellung von immenser Rechenleistung und Speicher spezia­lisiert haben, können diese IT-Komponenten natürlich günstiger anbieten, als es die hausinterne IT-Abteilung jemals kann. Betriebswirtschaftlich betrachtet gehen Investitionskosten für die IT-Anlagegüter als CAPEX in die Bilanz ein, die monatliche Cloud-Miete hingegen als OPEX. Mehr als die Anschaffungskosten jedoch schlagen sich die laufenden Wartungs- und Pflegeaufwände, wie die Aktualisierung der Hardware, Sicherheits-­Patches, Administration von Zugangsrechten, Miete für die klimatisierten Rechenzentrums-Räume, Stromverbrauch und vieles mehr zu Buche. Die IT auf dem neuesten Stand der Technik zu halten, hat nicht nur funktionale Performancegründe, sondern ermöglicht es auch, von Garantie- und Service­ansprüchen zu profitieren. Cloud Computing hingegen macht die Kosten betriebswirtschaftlich plan- und überschaubar, da durch eine monatliche Gebühr sämtliche Leistungen abgegolten sind.

Pro und Contra: Daten- und Informationssicherheit

Der Charakter der Daten und die Stufe der Geheimhaltung von Informationen entscheidet darüber, welche Daten und Anwendungen auf Servern von Cloud-Anbietern verarbeitet werden dürfen. Der Aspekt der Datensicherheit ist der wohl kritischste in der Abwägung der Wahl von Private Cloud, Public Cloud oder Hybrid Cloud. Grundsätzlich ist jedes Netzwerk, jede IT-Organisation korrumpierbar und vor Angriffen nicht gefeit. Die international führenden Cloud Provider wie Amazon, Google, IBM, Microsoft, Oracle, Salesforce oder SAP wissen, dass sie für kriminelle Hacker ein bevorzugtes Ziel sind. Doch verfügen sie über die finanziellen, personellen und strukturellen Mittel, maximale Sicherheitsvorkehrungen zu treffen.

Daten- und Informationssicherheit ist also ein Pro und Contra zugleich. Verlegt man nun Daten in eine Cloud, die für Kriminelle ein attraktives Angriffsziel darstellt, wo aber zugleich Sicherheitsmechanismen implementiert sind, die sich ein KMU nicht leisten kann? Sind dort die eigenen Daten vielleicht nicht doch geschützter als in der hauseigenen IT? Und letztlich steht infrage, wie viel personellen und finanziellen Aufwand ein kleines Unternehmen aufbringen müsste, um eine annähernd vergleichbare Informationssicherheit zu gewährleisten.

Fazit: Cloud ja, aber mit Experten

Die Integration von Cloud Services ist ein anspruchsvolles Unterfangen, das nur mit einem strukturierten Vorgehen gelingt. In der Umsetzungsphase einer Cloud-Services-Integration gilt es, fünf Punkte zu berücksichtigen: Management und Identity sowie Data, Compute und Access. Damit aber das gesamte Potenzial von Cloud Services, wie die Verbesserung der Effizienz von Geschäftsprozessen, Steigerung der IT-Sicherheit, höhere Verfügbarkeit und planbare Kosten für IT-Ressourcen, ausgeschöpft werden kann, ist eine sorgfältige und strukturierte Integration der einzelnen Services notwendig – von der Planung bis zur Umsetzung.

Der Autor

Florian van Keulen, Solution Architect & Head of Product Design for Cloud/Cloud Security bei Trivadis Germany, ist ein erfahrener Lösungsarchitekt mit einer langjährigen Laufbahn in der IT-Branche. Er ist Bildungsexperte mit Fachkenntnissen in den Bereichen Cloud & Security, Identity & Access Management, Cloud Architecture & Design sowie Technology Integration.


Artikel kommentieren
Kommentare werden vor der Freischaltung durch die Redaktion geprüft.

Anti-Spam-Frage: Welche Farbe hatte Rotkäppchens Kappe?
GOLD SPONSOREN
SPONSOREN & PARTNER