Der Abteilungsleiter benötigt einen neuen Mail-Service für seine Mitarbeiter. Der interne IT-Provider des Unternehmens bietet ein Exchange-Postfach für 5 Euro pro Nutzer und Monat an, bereitgestellt innerhalb von 2 Tagen.
Der Manager ist fassungslos: Privat hat er sich vor kurzem einen neuen Mail-Service auf Cloud-Basis zugelegt - für nur 1,60 Euro monatlich, freigeschaltet innerhalb einer Stunde, und eine Homepage ist im Preis auch noch enthalten! Er fragt seinen IT-Ansprechpartner: Warum könnt Ihr das nicht? Warum seid Ihr so teuer? Warum braucht Ihr so lang?
Im Unternehmen stimmt er ein in den Chor anderer Kollegen aus den Fachbereichen: Warum setzen wir nicht endlich auf Cloud? Wir könnten enorme Kosten einsparen, wesentlich flexibler werden und als Fachabteilung selbst die IT-Kapazitäten bestellen, die wir gerade brauchen.
Kostensenkungen bis zu 30 Prozent wecken Begehrlichkeiten
Situationen wie diese spielen sich in vielen Unternehmen ab. Cloud ist ein neuer Hype - genährt durch Erfahrungen aus dem privaten Bereich ebenso wie dem Marketing von Providern entsprechender Services und vielen einschlägigen Publikationen. Potenzielle Kostensenkungen bis zu 30 Prozent wecken natürlich Begehrlichkeiten.
Die IT gerät so unter permanenten Rechtfertigungsdruck. Oft werden im Rahmen dieses Hypes sogar Architekturen als Cloud-Lösung angepriesen, die das gar nicht sind; eine alte Umgebung (beispielsweise aus der Kategorie Shared Service) erhält einfach eine neue Überschrift.
Consumer-Sektor bestimmt die Cloud-Erwartungen
Leider wird meist übersehen, dass nicht nur die Erwartungen an Cloud Computing durch den Consumer-Sektor bestimmt werden, sondern diese Services bisher auch primär für diese Zielgruppe entwickelt wurden. Die Flexibilität bei der Zuordnung von Ressourcen und die signifikante Kostenreduktion wurden vor allem durch hochgradige Automatisierung und Standardisierung erreicht.
Der größte Kostenblock in der IT - das Personal - wurde eliminiert, wo immer möglich. Als Folge sind solche Cloud Services wenig anpassbar, und bei besonderen Herausforderungen gibt es kaum Ansprechpartner.
Für den Privatnutzer reicht das meist aus. Die professionelle IT-Welt - vor allem in Großunternehmen - stellt jedoch deutlich höhere Anforderungen. Hier sollte zunächst einmal die Public Cloud - von der viele Kostenerwartungen geprägt sind - generell kein Thema sein, da die gesamte Infrastruktur öffentlich zugänglich ist.
Eine Hybrid Cloud als Mischform mag angehen für bestimmte Community-Lösungen wie etwa Branchenportale, die keine sonderlich vertraulichen Inhalte beherbergen. Für die Unternehmens-IT kommt meist nur eine Private Cloud in Frage, bei der die Infrastruktur dem Kunden exklusiv zur Verfügung steht und auch der Zugang über private Netze erfolgt.
Aber selbst hier gilt: Für viele Zwecke in Großunternehmen ist Cloud bislang kein ausgereifter Service. Jeder geplante Einsatz muss deshalb individuell analysiert und bewertet werden - ob nun die Infrastruktur (IaaS), die Plattform (PaaS) oder die Software (SaaS) flexibel aus der "Wolke" bezogen werden sollen. Dabei gibt es aus unserer Sicht mindestens fünf K.o.-Kriterien:
1. Datenschutz
2. Verfügbarkeit und Performance
3. Fehlerbehebung und Sicherheit
4. Demand- und Kapazitätsmanagement
5. Interoperabilität
1. Datenschutz
Personenbezogene Daten dürfen schon aus gesetzlichen Gründen nicht einfach aus dem Unternehmen gegeben werden. Viele Cloud Provider können dieses Problem in ihrem Standardangebot nicht befriedigend abdecken. Bei sensiblen Unternehmensdaten wie etwa Finanzdaten, Informationen zu Innovationen und Patenten sind die meisten Unternehmen ihrerseits sehr restriktiv.
Wenn hier Cloud überhaupt in Betracht gezogen werden soll, kommen nur individuelle, angepasste Lösungen in Frage. So hat etwa die zweitgrößte spanische Bank die Arbeitsplätze der 35.000 inländischen Angestellten auf Google Apps umgestellt. Die Mail-Applikationen stellt der Provider als SaaS zur Verfügung, aber die lokalen Daten liegen beim Kunden.
Dazu musste eine andere, vom Standard abweichende Architektur aufgebaut werden. Bei solchen individuellen Projekten sollte man sich allerdings von Kostenvorstellungen verabschieden, die von Preismodellen aus dem Bereich Consumer / Public Cloud geprägt sind.
2. Verfügbarkeit und Performance
Die Anzahl der SLA-Parameter ist bei Cloud in der Regel streng limitiert. Monitoring und Reporting fehlen im Standardangebot. Zwar werben einige Provider gezielt mit dem Versprechen einer hohen Verfügbarkeit. Doch bei genauerem Hinsehen erweist sich dies oft als reine Marketingaussage. Die Zusage gilt für Systeme, die per se eine hohe Verfügbarkeit haben, da sie zum Beispiel in großen Umgebungen mit sehr vielen Nutzern laufen und Cluster-Architektur, Load Balancing etc. nutzen. Ein Beispiel ist MS Office 365.
Unternehmen sollten berücksichtigen, dass Verfügbarkeit nicht identisch ist mit Performance. Bei Letzterer sind Engpässe gravierender, weil deutlich schwerer zu steuern. Zu Zeiten einer Spitzenbelastung braucht die CPU länger, um Prozesse abzuarbeiten. Die Queue kann sich stauen und die Antwortzeiten werden deutlich länger - was nicht selten vorkommt, da die Systeme oft überbucht sind. Die vertragliche Leistung (Verfügbarkeit) ist zwar formal erfüllt - das nutzt jedoch nichts, wenn zum Beispiel am Schalter die Kundenschlange immer länger wird, weil das Buchungssystem nicht antwortet. Für zeitkritische Applikationen sind Standard-Cloud-Services heute nicht akzeptabel.
Unternehmen müssen deshalb ihren Bedarf genau prüfen und ihre SLA-Anforderungen vorgeben. Mit solchen Anpassungen wird der Cloud Service wiederum zu einer individuellen Lösung, die nicht unbedingt zu geringeren Kosten führen muss. In einem konkreten Projekt mit relativ kleinem Datenvolumen, aber hohen Anforderungen an Verfügbarkeit und Performance wäre der angedachte Cloud Service letztendlich sogar teurer geworden als die klassische dedizierte IT-Lösung.
3. Fehlerbehebung und Sicherheit
Cloud Services setzen ein großes Vertrauen in Prozesse des Dienstleisters voraus. Man kann nicht - wie bei dedizierten Lösungen - vorab viele mögliche Szenarien testen. In der hochautomatisierten Cloud-Umgebung, die fast vollständig von Software gesteuert wird, sind kaum noch Menschen involviert. Ein Support-Center, das Problem kurzfristig in zugesicherten Zeiten löst, ist - zumindest beim preiswerten Basisbetrieb - nicht vorhanden.
Gibt es beispielsweise Probleme mit der Applikationslogik, kann der Kunde bei klassischen IT-Lösungen direkt entsprechende Fachleute am Service Desk ansprechen, die sich mit der Anwendung auskennen und den Fehler in vereinbarten Eskalationsstufen kurzfristig beheben. Das ist bei Cloud heute nicht garantiert.
Auch die Sicherheit weist Schwachstellen auf. So vermisst man die sichere Trennung unterschiedlicher Kunden-Infrastrukturen meist ebenso wie eine Historie aller Änderungen an den Systemen und hinreichende Vorkehrungen zu Disaster Recovery. Kritische Applikationen, die hohe Anforderungen an Zuverlässigkeit, Ausfallzeiten und schnelle Fehlerbehebung stellen, werden deshalb auf absehbare Zeit keine Cloud Services werden.
Bietet der Provider dedizierte Service Desks an, sind die Kosten oft weniger kalkulierbar als zuvor, womit ein Hauptargument für Cloud - transparente Preismodelle - wieder wegfällt. Der Kunde muss diese Beratung entweder separat bezahlen, was als Zusatzleistung kostspielig werden kann, oder ein teureres Preismodell wählen. Da er aber er vorab nicht weiß, wie oft er einen Ansprechpartner brauchen wird, besteht die Gefahr, dass er entweder zu wenig oder zu viel Beratungskapazität bestellt. Im ersten Fall entstehen ihm zusätzliche, nicht geplante Kosten; im zweiten Fall hat er doch wieder überdimensioniert.
4. Demand- und Kapazitätsmanagement
Eines der Cloud-Essentials ist ein Self Service Portal, an dem der Kunde die benötigte Leistung bestellt und selbst seine Umgebung generiert. Er muss seinen Leistungsbedarf kennen - etwa erwartete "Peaks" am Monatsende - und dafür die Verantwortung übernehmen. Dazu braucht er ein Kapazitätsmanagement, das dafür sorgt, dass die benötigten Ressourcen bereitgestellt werden.
Diese Spezialisten können entweder in der Fachabteilung oder zentral im Unternehmen angesiedelt sein. Auf jeden Fall wird ein Service zum Kunden zurückverlagert, dessen Kosten in die in die Gesamtrechnung einbezogen werden müssen.
Stellt der Provider diesen Service zur Verfügung, bildet auch dies einen zu berücksichtigenden Kostenblock. Auch müssen die entsprechenden Governance-Prozesse zwischen den Fachabteilungen und dieser Organisationseinheit definiert sein und funktionieren.
Zudem müssen große Unternehmen in ihrer Gesamtheit lernen, Cloud Services zu managen. Deren spezifische Stärke - das schnelle Anpassen an einen veränderten Bedarf - kommt nur zum Tragen, wenn die Bestellprozesse diesen neuen Anforderungen Rechnung tragen und eine rasche Umsetzung zulassen. Das bedeutet hohe Flexibilität, kurzfristiges Buchen und Abbestellen von Kapazitäten sowie eine entsprechend schnelle Abrechnung.
Die wenigsten großen Firmen sind heute schon so agil, dass sie diese Anforderungen etwa auf Tagesbasis managen können. Ist beispielsweise für eine Applikation ein Testsystem aufgebaut worden, kann in der Regel nicht eine Person allein bestimmen, dass es nicht mehr benötigt wird, sondern mehrere Entscheidungsträger aus unterschiedlichen Abteilungen sind einzubeziehen. Bevor sie einen Cloud Service sinnvoll nutzen können, benötigen große Unternehmen durchgängig neue, weniger komplexe Prozesse für Bestellungen, Freigabe von Mitteln, Kapazitätsänderungen und Definition der spezifischen Qualitäts- und Sicherheitsanforderungen.
5. Interoperabilität
Nimmt man alle kritischen Punkte zusammen, lässt sich generell sagen: In großen Unternehmen sind Cloud Services heute für Produktionsumgebungen nur sehr eingeschränkt geeignet. Diese müssen stabil laufen, und ein schneller und zuverlässiger Support muss gewährleistet sein. Zwar gibt es hier immer wieder Spitzenlasten, für deren Abdeckung sich Cloud Services im Prinzip anbieten würden. Allerdings ist dann eine Interoperabilität zwischen beiden Welten erforderlich, das heißt Cloud- und dedizierte Legacy-Lösungen müssen miteinander kommunizieren können.
Dazu sind beide Seiten heute noch nicht in der Lage, da die notwendigen Schnittstellen fehlen. Cloud-Lösungen sind in sich abgeschlossen und besitzen nur eine Export/Import-Schnittstelle. Eine Verzahnung mit Mainframe- und Unix-Applikationen ist nicht möglich.
Eine Cloud-Umgebung eignet sich deshalb allenfalls für Insellösungen mit einfachen Import/Export-Schnittstellen wie Test- und Entwicklungsumgebungen. Diese werden teilweise nur an wenigen Tagen im Monat genutzt, so dass die hohe Flexibilität der Cloud hier deutliche Vorteile bringt. Ähnliches gilt für F&E-Abteilungen. Diese könnten zum Beispiel von speziellen Spot-Angeboten einiger Provider profitieren, die - ähnlich dem Prinzip einer Nachtspeicherheizung - die Nutzung in verkehrsarmen Zeiten durch günstigere Preise honorieren. Sie könnten in diesen Zeiten umfangreiche Berechnungsläufe durchführen.
2 Lehren für Anbieter und Anwender
Bevor Cloud ein Service für Großunternehmen werden kann, müssen alle Seiten noch eine Lernkurve durchlaufen.
-
1. Cloud-Anbieter müssen neue Konzepte anbieten, um ihre Services stärker am individuellen Bedarf von Großunternehmen auszurichten, speziell in den hier genannten Gebieten. Ihre Lösungen benötigen eine bessere Interoperabilität für den schnellen Datenaustausch; dabei sollten sie eventuell mit Applikations-Herstellern kooperieren. Letztere wiederum müssen Unternehmens-anwendungen entwickeln, die die Cloud-Architektur berücksichtigen.
-
2. Die Unternehmen brauchen einen gewissen Reifegrad ihrer Prozesse, bevor sie an die Einführung von Cloud Services denken sollten. Dazu gehören das bereits skizzierte Demand- und Kapazitätsmanagement, die Bestellprozesse und auch neue Governance-Regeln. Denn wenn die Fachseite beliebig Kapazitäten bestellen kann, könnte auch der IT-Kostenblock wachsen - was den versprochenen und erwarteten Cloud-Effekten zuwiderläuft. Für all diese angepassten Prozesse sollten sie geeignete Governance-Strukturen aufbauen, die wiederum neue Skills und Kennzahlen erfordern.
Alexander Müller-Herbst ist Partner und Managing Director bei der Compass Deutschland GmbH.
Checkliste für die Cloud-Readiness in Unternehmen
1. Governance |
|
|
|
|
2. Qualität |
|
|
|
|
3. Leistungsfähigkeit |
|
|
|
|
4. Sicherheit |
|
|
|
|
|
5. Technologie |
|
|
|
|
|