Viele Menschen verwenden das Wort "Cloud" wie selbstverständlich. Aber es scheint, als wüssten die Wenigsten, was es meint. "Cloud" ist etwas sehr Abstraktes, meint nicht eine Sache, sondern viele Dinge. Dieser Artikel möchte einmal die verschiedenen fachlich/inhaltlichen und auch technischen Aspekte aus Sicht eines Technikers und Unternehmers beleuchten. Von der Frage, was die verschiedenen Arten "Cloud" technisch sind, bis hin zu wirtschaftlichen Chancen und Risiken und der Frage nach dem Schutz von (persönlichen) Daten‥

Intro

So um das Jahr 2010 dachte ich, dass mit der "Cloud" sei nur ein Marketing-Buzzword und das ganze Thema wäre schnell wieder verschwunden. Ich lag selten so daneben. Dass es damals nicht mehr als ein Buzzword war, daran halte ich fest, aber es ist nicht verschwunden, sondern über die letzten Jahre eine feste Größe in der IT-Welt geworden. So werde ich regelmäßig gefragt: "Pablo, was ist das eigentlich mit der Cloud?" Viele haben eine mehr oder weniger vage Vorstellung, aber fast niemand hat ein klares Bild oder traut seiner eigenen Einschätzung richtig. Daher möchte ich mit diesem Artikel ein wenig zur Aufklärung beitragen. Er soll sich an Menschen richten, die sich für IT interessieren, damit vielleicht auch professionell zu tun haben, die aber in das Thema "Cloud" noch nicht so tief eingestiegen sind.

Buzzword-Cloud
Buzzword-Cloud

Allgemeine Definition der Cloud

Wenn man den Begriff "Cloud" möglichst weit fassen möchte, dann ist damit die Möglichkeit gemeint, IT als Dienstleistung zu beziehen: Software mieten, statt kaufen; rechnen lassen, statt sich selbst Computer zu kaufen; Daten nicht auf der eigenen Festplatte zu speichern, sondern auf denen anderer; Software betreiben lassen, statt sie selbst zu betreiben. Eine Definition, die zum Beispiel auch die "Adobe Creative Cloud" umfasst, hier werden die "alten" Programme für Windows und macOS, welche auf dem eigenen PC laufen, nur gemietet statt gekauft.

Eine etwas engere Definition ist, dass bei "Cloud"-Diensten Dinge grundsätzlich woanders passieren, also nicht auf dem eigenen Computer, sondern "irgendwo" im Internet, wie z.B. bei "Office 365" von Microsoft, "Salesforce", Google Cloud oder iCloud von Apple.

Ein Eindruck, mit dem ich jedoch gerne aufräumen möchte: "Cloud" ist nicht irgendwas Diffuses oder Unverständliches, sondern es sind anderleuts Computer: Server von Microsoft, Google oder Salesforce und nicht der eigene Server oder der eigene PC. Aber da es nichts Magisches ist, können dort genauso Daten verloren gehen, wie auf dem eigenen Computer. Die Systeme können ausfallen, der Anbieter kann pleite gehen oder den genutzten Dienst einstellen. Man sollte auch nicht von "der Cloud" sprechen, sondern besser von "Cloud" oder "einer Cloud", denn eigentlich sind es ganz viele Wolken verschiedener Anbieter und nicht ein großes Gebilde.

Die Fachleute unterscheiden bei "Cloud"-Angeboten vor allem drei Bereiche:

Infrastructure-as-a-Service (IaaS)

IaaS ist die grundlegendste Variante von "Cloud", hierbei miete ich Computer-Kapazität wie Rechenleistung, Speicherplatz und Bandbreite. Also eine Möglichkeit entweder Programme auszuführen und/oder Daten zu speichern und zu übertragen. Rechenleistung wird dabei meist als virtuelle Maschine bereitgestellt, also etwas das sich verhält wie ein Computer, wobei aber mehrere Betriebssysteme auf einer Hardware laufen. Damit ist es den "Cloud"-Anbieter möglich, Dienstleistungen für verschiedene Kunden auf einem physischen Server anzubieten, ohne dass diese viel voneinander sehen. Dazu kann man diese virtuellen Maschinen zwischen physischen Computern verschieben und damit auf neue Hardware oder andere Ressourcenanforderungen reagieren. Hierbei muss der Kunde/Nutzer keine eigene Hardware kaufen, ein Betriebssystem kommt auch meist mit, aber man braucht immer noch einen Admin der Software einrichtet, sich um Sicherheitsupdates oder einen Paketfilter (Firewall) kümmert. Ein typisches Angebot für solche Leistungen ist AWS, der "Cloud"-/IaaS-Dienst von Amazon.

Speicherdienste: Eine andere häufig verwendete Variante von "Cloud"/IaaS, sind Dienste wie Dropbox, welche vor allem ein Online-Speicher sind. Da sie häufig verwendet werden und mit als erstes als "Cloud" bezeichnet wurden, wird diese Art scheinbar auch von einigen Menschen synonym mit "Cloud" verstanden. Was aber verwirrend ist, wenn man weiß, dass "Cloud" fast alles sein kann.

Platform-as-a-Service (PaaS)

Die nächste Ausbaustufe nach IaaS ist PaaS. Platform meint an dieser Stelle, dass ich nicht nur einen "nackten" (virtuellen) Computer bekomme, sondern das dort schon alles läuft, was ich brauche, wie z.B. Monitoring (Überwachung, ob alles so funktioniert wie gewünscht) oder eine Laufzeitumgebung wie die Java-Virtual-Maschine (JVM), Ruby oder Python und ich meine Anwendung entsprechend verpacke, dort hin lade und diese für mich ausgeführt wird. Das heißt, ich muss mich z.B. um das Betriebssystem und seine Sicherheitsupdates oder eine Netzwerkkonfiguration nicht kümmern. Dies ist wohl am besten vergleichbar mit einer App auf dem Handy/Smartphone. Ich habe ein Programm, das alles Wichtige bereits weiß, wie z.B. auf welchem Gerät es funktioniert, welche Funktionen und Berechtigungen es braucht oder wie groß es ist. Der Anwender braucht sich damit nicht mehr beschäftigen, braucht keine Einstellungen vorzunehmen, ein "Installer" entfällt. Oft sind PaaS-Angebote Dienste, die auf dem Container-Konzept basieren, in diesem Zusammenhang sind Technologien wie CoreOS, Docker, MesOS oder Nix(OS) zu nennen. Typische Anbieter sind etwas Google (App Engine), Giant Swarm und Heroku.

Software-as-a-Service (SaaS)

Die stärkste Abstraktion vom eigentlichen Computer bietet SaaS. Hierbei wird nicht direkt Computerkapazität gemietet, sondern ein Programm bereitgestellt. Das kann etwas "Einfaches" sein wie eine Mailanwendung im Web (wie etwa Google Mail), etwas Komplexeres wie Google Docs oder auch etwas sehr Großes, wie ein vollständiges ERP-System für größere Unternehmen, das bekannteste Beispiel hierfür ist wahrscheinlich (hosted) SAP. In der Regel erfolgt der Zugriff auf die Software dabei über den Webbrowser, so ist das ganze auch noch plattformunabängig und kann von eigentlich allen Desktopbetriebssystemen wie etwa Windows, macOS oder einem auf Linux basierenden System genutzt werden. Neuere Anwendungen unterstützen meist auch Tablets und Smartphones in besonderer Weise und auch dabei ist es in der Regel egal, ob es die eher weit verbreiteten Systeme wie Android oder iOS oder eher die Nische wie Windows (Phone) oder Blackberry (OS) ist.

IaaS, Paas und Saas im Vergleich.
IaaS, Paas und Saas im Vergleich.

Sicherheit in der Cloud

Sicherheit ist ein großes Problem hinsichtlich der "Cloud"-Dienste. Anwendungen laufen nicht mehr in einem relativ kleinen abgeschotteten Netzwerk, sondern prinzipiell für jeden zugreifbar über das Internet. Es werden nicht mehr die Daten eines Einzelnen oder eines Unternehmens gespeichert, sondern die vieler Unternehmen auf einmal. Damit gibt es mehr Angriffsmöglichkeiten und das Angriffsziel wird auch noch attraktiver. Potentielle "Angreifer" sind vielfältig, das können zum Beispiel Computerkriminelle sein, Wettbewerber, aber auch ausländische oder inländische Geheimdienste.

Verschlüsselung

Wenn es um "Cloud" und Sicherheit geht, wird oft von Verschlüsselung gesprochen. Dabei muss man grundsätzlich zwischen zwei Ansätzen unterscheiden, das eine ist die Ende-zu-Ende-Verschlüsselung und das andere ist die Transport- und Datenträgerverschlüsselung.

Ende-zu-Ende-Verschlüsselung

Bei der Ende-zu-Ende-Verschlüsselung werden die Daten auf dem Computer des Sender verschlüsselt und erst wieder bei einem Empfänger entschlüsselt. Beispiele hierfür sind z.B. Kryptomessenger wie Signal, Threema oder sayHEY (eine Entwicklung der bevuta IT GmbH). Dabei hat der Anbieter keinen direkten Zugang zu den Daten, doch leider ist diese Form der Verschlüsselung bei "Cloud"-Angeboten noch die große Ausnahme. Man sollte keinesfalls einfach annehmen, dass ein Angebot Ende-zu-Ende-Verschlüsselt ist. Wenn irgendwo nur mit "Verschlüsselung" geworben wird, ist es meist nur eine einfache Transport- und/oder Datenträgerveschlüsselung (s.u.). Wenn man sich unsicher ist, um welche Variante es sich handelt, sollte man dies mit einem Fachmann klären. Nur im Fall der Ende-zu-Ende-Verschlüsselung können die Daten weder vom Anbieter noch von Angreifern oder staatlichen Stellen einfach im Klartext eingesehen oder kopiert werden.

Transport- und Datenträgerverschlüsselung

Wenn mit "Verschlüsselung" geworben wird, dann geht es dabei meist um eine Verschlüsselung der Verbindung zwischen dem Computer des Anwenders und dem Anbieter bzw. zwischen Unternehmen. Manchmal geht es zusätzlich um eine Datenträgerverschlüsselung, welche aber nur wirksam ist, wenn man nicht auf das laufende System Zugriff hat. Denn dann sind in beiden Fällen die Daten auf dem System im Klartext lesebar, anders als bei oben beschriebener Ende-zu-Ende-Verschlüsselung. Damit schützt dies zwar gegen das Abfangen der Daten auf der Leitung oder beim Diebstahl des Servers, aber nicht gegen einen Zugriff durch den Dienstanbieter bzw. seine Mitarbeiter, Kriminelle oder staatliche Stellen. Diesen liegen die Daten prinzipiell offen vor genau so und so einfach wie auf dem PC des Anwenders für den Anwender selbst. Beispiele für solche Angebote bei denen andere mitlesen können, sind Facebook, die E-Maildienste von Telekom/Google/Microsoft, Online-Banking oder das "klassische" DE-Mail.

Datenschutz

Da Unternehmen oft auch mit Kundendaten umgehen, muss man sich darüber bewusst sein, dass im Falle der Nutzung von "Cloud"-Diensten diese Daten der Kunden (wie z.B. Adressen, Zahlungsdaten, Kauf-/Konsumverhalten oder persönliche Nachrichten) einer weiteren Partei, nämlich dem "Cloud"-Anbieter, zugänglich werden und dass wahrscheinlich, ohne dass dies den Kunden bewusst ist.

Abhängigkeit

Ein weiteres ggf. großes Problem ist die Abhängigkeit vom Anbieter. Macht der Anbieter ein Update, muss ich mitgehen. Fallen beim Anbieter die Server aus, habe ich keine Möglichkeit, selbst etwas zu unternehmen (siehe Amazon). Stellt der Anbieter den Dienst ein (passiert etwa im Fall von Google Reader und Google Wave), stehe ich ohne die entsprechende Software da. Geht der Anbieter pleite, ist u.U. von heute auf morgen ohne Vorwarnung alles weg, virtuelle Computer, Anwendung und Daten. Hier sollte das Mindeste ein regelmäßiges Backup der Daten zum Anwender oder ins Unternehmen sein, in einem Format, welches auch von anderen Programmen gelesen werden kann - all das ist leider heute die Ausnahme und längst nicht die Regel und bedeutet auch, dass ich doch wieder Technik im eigenen Haus brauche (On-Premis).

Anderleuts Computer.
Anderleuts Computer.

Skalierung

Insbesondere bei SaaS und IaaS wird oft suggeriert, dass das, was in einer "Cloud" läuft, unbegrenzt skaliert, sich das System an die Kapazitätsanforderungen, wie die Menge der übertragenen Daten oder die Anzahl der Zugriffe, anpasst. Es sei also egal, wie intensiv die Nutzung der Anwendung ist, es würde möglicherweise nur etwas teurer werden, sonst sei aber nichts weiter zu tun. Das ist leider eine Wunschvorstellung vieler Anbieter und auch Anwender. IaaS und PaaS bedeuten meist relativ kleine Einheiten: relativ viele virtuelle Computer mit begrenzter Rechenleistung, welche erst zu vielen zusammengeschaltet schlagkräftig werden. Wenn die Software darauf ausgelegt ist, kann das sehr gut, also in weiten Lastbereichen (Stärke der Nutzung) und sogar automatisch passieren, aber dies ist die Ausnahme und nicht die Regel.

Horizontale Skalierung

Eine Anwendung auf mehrere (Cloud-)Server zu verteilen um mehr Anfragen bedienen zu können nennt man horizontale Skalierung. Diese ist der typische Cloud-Ansatz. Meist muss dies von Anfang an beim Design von Software berücksichtigt werden, eine spätere Anpassung ist gerade bei komplexer Software kaum mit vertretbarem Aufwand möglich. Dazu erhöht die Verteilung die Komplexität von Software, da man spätestens an diesem Punkt ein verteiltes System hat (https://de.wikipedia.org/wiki/Verteiltes_System), welches immer schwieriger zu verstehen und damit zu entwickeln ist als ein monolithisches System.

Vertikale Skalierung

Die Alternative zur horizontalen Skalierung ist die sogenannte vertikale Skalierung, bei der man einfach einen leistungsstärkeren Computer nimmt, statt viele leistungsschwache. Oft ist es günstiger eine stärkere "Maschine" zu kaufen, als die ganze Software neu zu schreiben. Dies widerspricht aber den "Cloud"-Konzepten und wir gar nicht angeboten oder ist bei "Cloud"-Anbietern besonders teuer.

Kosten

Anfangsinvestitionen

Hier punktet das "Cloud"-Konzept klar, denn meist hat man gar keine initialen Kosten auf Seiten des "Cloud"-Hosters, man zahlt nur nach Nutzung. Beratung und ggf. Anpassung der Software kostet trotzdem Geld.

laufende Kosten

Die Kosten pro Rechenzeit oder Speichereinheit sind in einer"Cloud" oft teurer als bei dedizierten Servern. Wenn man die Software geschickt auslegt, nutzt sie in einer"Cloud" nur die Ressourcen die gerade wirklich nötig sind, dann kann der Betrieb unter dem Strich günstiger sein. Oft erhöht dies aber die Kosten bei der Entwicklung.

wirtschaftliche Risiken

Die Abhängigkeit von einem Anbieter und ggf. auch von dessen Schnittstellen. Eine größere Angriffsfläche für Angreifer, welche sich zum Beispiel auf dem gleichen Server einmieten können und dort mehr Möglichkeiten haben als von außen, unzuverlässige/kriminelle Mitarbeiter beim Anbieter oder staatliche Stellen - man gibt seine Daten aus der Hand, was im Informationszeitalter katastrophale Folgen für ein Unternehmen haben kann.

Abschliessende Worte zur Cloud

Wenn man sich das Konzept "Cloud" im Detail anguckt, ist es weit mehr als ein Buzzword, sondern eine Reihe mehr oder weniger komplexer technischer Konzepte, die man aber verstehen und auch beherrschen kann. Eine "Cloud" bietet große Möglichkeiten, z.B. hinsichtlich Skalierbarkeit (wenn es zu Anwendung passt) und Größe der Anfangsinvestitionen, man sollte den "Cloud"-Angeboten jedoch nicht einfach blind vertrauen.Wenn Sie jetzt das Gefühl haben, schlauer zu sein als vorher, aber vor dem eigenen "Cloud"-Projekt Beratung zu wünschen oder gleich einen Partner für die Umsetzung suchen, würde ich mich sehr freuen von Ihnen zu hören.