Der Wettlauf zwischen der Private Cloud und der Public Cloud um den Preis für das zukunftsträchtigste IT-Architekturkonzept scheint vorerst entschieden. Der Sieger: beide – aber nur im intelligenten Zusammenspiel in Form einer sogenannten Hybrid Cloud. Also alles eitel Sonnenschein in der Wolkenwelt? Nicht so ganz, denn angesichts des vom Europäischen Gerichtshof gekippten Safe-Harbor-Abkommens mit den USA sorgen Datenschutzbedenken ein weiteres Mal für einige Turbulenzen am Wolkenhimmel.Manch ein IT-Verantwortlicher mag es schon nicht mehr hören: Wie toll sie doch ist und wie einfach sie das Computing macht, diese Cloud! Mit „Cloud“ gemeint ist in solchen Fällen meist die Public Cloud, am prominentesten vertreten durch eine Handvoll US-amerikanischer Cloud-Service-Provider (CSPs) mit ihren Hyperscale-Rechenzentren, darunter Amazon Web Services (AWS), Facebook, Google und Microsoft. Die Wolke dieser Ausprägung verspricht Ressourcen per Mausklick und praktisch grenzenlose Skalierung, vor allem aber Kostenersparnisse durch den Wegfall von Investitionskosten und Abrechnung rein nach Nutzung.
Das Problem dabei: Um die dynamische Skalierung einer Cloud-Umgebung voll ausschöpfen zu können, muss eine Anwendung für die Cloud programmiert („Cloud-nativ“) sein; denn die Legacy-Applikation klassischer Bauart mag es nicht, wenn man ihr Ressourcen wie Arbeitsspeicher mal bereitstellt, mal wieder entzieht. Vor diesem Hintergrund hat sich ein Nebeneinander von Legacy-Applikationen und der neuen Cloud-Apps-Generation herausgebildet, vom Analystenhaus Gartner „bimodale IT“ genannt. „Bimodale IT“ ist somit die Kapitulationserklärung des Anspruchs, moderne Cloud-Apps könnten den Altbestand an Applikationen in absehbarer Zeit ablösen: Streiche „entweder… oder“, schreibe „sowohl… als auch“.
Da der deutsche IT-Leiter den Betrieb kritischer IT-Ressourcen nur äußerst ungern außer Haus gibt (und schon gar nicht an anonyme Konzerne jenseits des großen Teichs), konzentrierte sich die Cloud-Diskussion hierzulande jahrelang stark auf die „Private Cloud“. Dieser Begriff meint nichts anderes, als mittels Server-, Storage- und Netzwerk-Virtualisierung sowie durchgängiger Prozessautomation möglichst nahe an das CSP-Betriebsmodell heranzukommen. So sollen die im Hause erbrachten IT-Services auch im Cloud-Zeitalter konkurrenzfähig bleiben.
„In den letzten zwei Jahren war eine Veränderung festzustellen: Unternehmen sehen sich im eigenen RZ gezwungen, ihre Virtualisierungsumgebung umzustrukturieren, sodass sie mehr Cloud-Merkmale bekommt“, erläutert Matthias Pfützner, Cloud Solution Architect bei Red Hat. „Es geht heute nicht mehr um eine virtualisierte Umgebung auf dedizierter Hardware, sondern um Cloud-Aspekte wie eine Shared Infrastructure für mehrere Projekte, On-Demand-Bereitstellung, Self-Service und Leistungsverrechnung nach Nutzung.“
Marktkenner berichten hierbei immer wieder von zwei wesentlichen Problemen: Erstens sind offenbar nur wenige IT-Abteilungen in der Lage, ihren an den traditionellen Silos (Server, Storage, Netzwerk, Applikationen) ausgerichteten IT-Betrieb übergreifend so komplett zu automatisieren, wie der Cloud-Begriff dies impliziert. Zweitens sind selbst im vollständig virtualisierten und automatisierten Unternehmens-RZ die verfügbaren Ressourcen zwangsläufig erheblich begrenzter als im Datacenter-Verbund eines Hyperscale-Providers. Die Private Cloud spielt also letztlich immer in der Regionalliga.
 
Die Cloud nach Snowden
Wenn über Cloud-Varianten diskutiert wird, geht es aber oft nur nachrangig um Automation und Skalierung. Vielmehr driftet die Konversation meist sehr schnell zum Thema Datensicherheit. Denn der gemeine IT-Leiter neigt generell dazu, die Interna seines Unternehmens im eigenen RZ besser verwahrt zu wähnen als in „fremden Händen“ – selbst wenn zahlreiche der fremden Hände hochqualifizierten Security-Spezialisten gehören, die eine IT-Umgebung rund um die Uhr überwachen.
Denn die jüngere Geschichte der Informationssicherheit teilt sich in eine Zeit vor und eine nach Edward Snowden. Cloud-Skeptiker konnten sich durch Snowdens Enthüllungen und den dadurch ausgelösten NSA- (und GCHQ- und BND-) Skandal bestätigt sehen: Wesentlich mehr Hände haben Zugriff auf die bei Cloud-Providern gelagerten Datenbestände, als deren Eigentümern lieb sein kann – zumal neben dem Motiv der Terrorabwehr seitens der US-Geheimdienste auch schnell der Verdacht der Wirtschaftsspionage im Raum stand, zuletzt bestätigt durch Ermittlungen des NSA-Untersuchungsausschusses des Bundestags.
Und so konzentrierte sich die Aufmerksamkeit der Öffentlichkeit zeitweise stark auf Spione, während andere Angreifer für das Gros deutscher Unternehmen (außerhalb sensibler Bereiche wie der Rüstungsindustrie) potenziell gefährlicher sind: wirtschaftlich motivierte Bösewichte. Diese agieren mal zum Zweck der Wirtschaftsspionage, mal zur Bekämpfung einer ungeliebten Marke durch Bloßstellung und Schädigung (wie im Fall des Sony-Hacks letztes Jahr) oder auch einfach mit dem Ziel der illegalen Bereicherung (Stichwort: Ransomware, also Erpressersoftware, mit der Kriminelle Datenbestände verschlüsseln und sie erst gegen Lösegeldzahlung – wenn überhaupt – wieder freigeben). Ob die Unternehmensdaten hier im lokalen RZ besser aufgehoben sind als „in der Cloud“, dürfte stark vom Einzelfall abhängen.
Zwar hat man in deutschen Unternehmen längst erkannt, dass die Public Cloud wirtschaftliche und technische Vorteile bietet; doch zugleich hat das Misstrauen gegen den typisch US-amerikanischen Mangel an Datenschutz jüngst durch ein Urteil des Europäischen Gerichtshofs (EuGH) neuen Schwung erhalten: Anfang Oktober dieses Jahres hat der EuGH das seit 2000 gültige Safe-Harbor-Abkommen für ungültig erklärt.
 
Unsicherer Hafen
Dieses Abkommen bildete bislang die rechtliche Basis für die Unbedenklichkeit des Datenaustauschs mit den rund 5.500 US-Unternehmen, die dem Abkommen beigetreten waren – darunter eben auch die namhaften CSPs. Und diese waren auch Ziel der Kritik: So war der hemmunglos Nutzerdaten sammelnde Konzern Facebook das Objekt jener Klage des Österreichers Max Schrems, die zum EuGH-Urteil führte. Seit das Gericht diese Regelung gekippt hat, gelten Cloud-Provider wie Facebook, Amazon oder auch Google wieder als Firmen aus einem „unsicheren Drittland“ – ein Begriff, der die USA aus der Sicht deutscher Datenschützer durchaus treffend beschreibt.
Während immer mehr Leaks von Snowden (wie auch weiteren Quellen) ans Licht kamen und die Klage von Max Schrems ihren Weg durch die Instanzen nahm, entwickelte sich allerdings zeitgleich auch die Cloud-Service-Welt weiter: Wie im Fall der „bimodalen IT“, so hat man auch im Fall der Frage „Public vs. Private Cloud“ bemerkt, dass ein „sowohl… als auch“ produktiver ist als eine endlose Diskussion um das „entweder… oder“: Die Branche schießt sich immer mehr darauf ein, unter dem Namen „Hybrid Cloud“ die Kombination aus lokalen (virtualisierten oder Private-Cloud-) Ressourcen und Public-Cloud-Services zum Maß aller Dinge zu erklären. Denn die Hybrid Cloud, so heißt es immer wieder, vereine „das Beste aus zwei Welten“ – was allerdings eine durchdachte Integration von Public Cloud und Private Cloud ebenso voraussetzt wie eine problemlose Migration von Datenbeständen. Gerade letztere ist aber in der Public-Cloud-Welt nach wie vor problematisch – die alten Silos hat man allzu oft einfach durch neue, Cloud-basierte ersetzt.
Dessen ungeachtet argumentieren die Hybrid-Cloud-Verfechter wie zum Beispiel der Storage-Anbieter Netapp, dass eine intelligent konzipierte hybride Umgebung die einschlägigen Sorgen um die Informationssicherheit beseitigen kann – bis hin zur gesetzeskonformen Datensicherheit trotz gekippter Safe-Harbor-Vereinbarung. Denn Hybrid-Cloud-Konzepte sehen in aller Regel vor, dass sensible Unternehmensdaten (also nicht nur die Baupläne der nächsten Produktgeneration, sondern auch das Active Directory und die Datenbank mit dem Kundenstamm) auf gesicherten Datenspeichern im Unternehmen verbleiben; hinzugezogen werden dann lediglich Rechenkapazitäten für die Verarbeitung dieser Daten mittels Public-Cloud-Ressourcen (etwa für Big-Data-Analysen oder zur Skalierung in Spitzenlastzeiten).
Diese Cloud-basierte Verarbeitung lokal gespeicherter Daten, so betont Netapp in seinem Hintergrundpapier „Zwei Fliegen mit einer Klappe“ (Oktober 2015), sei rechtskonform: Ein Unternehmen nehme hier „lediglich den Vorgang des ,Computing‘ selbst, aber keine Speicherressourcen der Cloud an sich in Anspruch.“
 
Rechtskonforme Nutzung von Cloud-Ressourcen
Im Rechtssinne finde daher zu keinem Zeitpunkt eine „Datenübermittlung“ in die Cloud statt. Denn die Daten blieben schließlich stets auf dem Server im Unternehmen. Es handle sich damit um „eine Art blinde Datenverarbeitung“: „Die Datenverarbeitung erfolgt also mit flüchtigen Prozessen und unter überwiegender Verwendung des Arbeitsspeichers. Dies erlaubt die Betrachtung, dass sich ein Unternehmen die Rechenleistung ins eigene Haus holt und nicht die Cloud als eine Art Outsourcing-Service nutzt.“
Von solchen juristischen Spitzfindigkeiten abgesehen ist ein Hybrid-Cloud-Konzept in technischer Hinsicht zwar komplex, aber reizvoll, will man die Produktivität der hauseigenen IT nach Cloud-Manier flexibel und auf Abruf, aber doch abgesichert steigern können. Dies gilt umso mehr, wenn der beteiligte Cloud-Dienstleister ebenfalls im deutschen Rechtsraum tätig ist, was hilft, die juristischen Hürden ebenso zu überwinden wie die technischen (Stichwort: Latenz bei Weitstreckenverbindungen).
 
Hybride Wolke im Tresor
Ein solcherart gestricktes „Private Storage as a Service“-Angebot hat der Darmstädter RZ-Betreiber Darz auf der Basis von Netapp-Technik aufgesetzt. Damit, so verkündet man bei Darz mit stolzgeschwellter Brust, verfüge man über „die europaweit erste echte Hybrid-Cloud-Architektur“. Für ein hohes Maß an Zutrittssicherheit sorgt dabei der Umstand, dass der Anbieter das ehemalige Tresorgebäude der Hessischen Landesbank nutzt. Der IT-Sicherheit dienen zudem Verschlüsselung und eine dedizierte Glasfaserinfrastruktur.
Der Kunde hat dabei laut Darz stets die volle Kontrolle über seine Daten, er könne jederzeit die an der Hybrid Cloud beteiligten Anbieter wechseln. Neben dem Storage Housing und Managed Services im eigenen Haus bis hin zum Full-Service-Betrieb bieten die Darmstädter auch noch eine (auf Wunsch ebenfalls gemanagte) Anbindung an mehrere Hyperscale-Provider, darunter AWS, IBM Softlayer und VMware. Die Datenbestände eines Kunden, so betont der Dienstleister, verbleiben im deutschen Rechtsraum und unterliegen somit nicht dem Patriot Act (wie dies bei US-Unternehmen der Fall ist, selbst wenn sie Standorte im Ausland unterhalten).
 
Mehr als nur Datenschutz
Das Darz-Beispiel verdeutlicht, dass es beim Thema Hybrid Cloud noch weit mehr Sicherheitsaspekte zu beachten gilt als nur den Datenschutz. „Für ein hohes Maß an Sicherheit in der Hybrid Cloud ist zunächst zur altbewährten Risikoanalyse zu raten“, kommentiert Marco Schmid, Country Manager DACH bei Rackspace. „Diese sollte auch Fragen einschließen wie: ,Wenn ich zum Beispiel Microsoft als Hersteller meines Betriebssystems vertraue, warum sollte ich dem gleichen Anbieter nicht auch als Cloud-Service-Provider trauen?’“ Neben der Frage der Informationssicherheit in der Cloud seien noch zahlreiche andere Security-Aspekte von Bedeutung: Firewalls, VPNs, Application Firewalls, DDoS-Mitigation etc. „Wir treten hier selbst als Managed Security Service Provider auf, etwa für das laufende Threat Monitoring, nutzen aber auch die Kompetenz von Partnern für unsere MSSP-Angebote“, so Schmid.
Orientierung zur Sicherheitsausstattung und -kompetenz eines CSPs können Zertifizierungen liefern. Zu nennen sind hier vorrangig ISO/IEC 27001 oder auch der noch recht junge Datenschutzstandard ISO/IEC 27018. Dieser regelt die datenschutzrechtlichen Anforderungen an Cloud-Service-Provider und umfasst Richtlinien für Maßnahmen zum Schutz personenbezogener Daten. Der Cloud-Provider Kamp aus Oberhausen betont, er habe diese Konformitätsbescheinigung für seine Angebote Virtual Core und Dynamic Hardware Pool erhalten – als einer der ersten Cloud-Anbieter nach Schwergewichten wie Microsoft (für Office 365) und Dropbox (für Dropbox for Business).
„Die Qualität der Internetanbindung ist nach den Sicherheitsbedenken ein wichtiges Argument gegen den Einstieg in die hybride Welt“, kommentiert Peter Knapp, Geschäftsführer von Interxion Deutschland. „Wird die Private Cloud über das öffentliche Internet an die Public Cloud angebunden, entstehen Nachteile wie Performance-Verluste oder zusätzliche Herausforderungen für die Datensicherheit.“ Er rät deshalb für Hybrid Clouds zur Nutzung von Colocation-Services. Denn Colocation-Anbieter wie Interxion lösten dieses Problem durch direkte Verbindungen des Kunden zu seinem Cloud-Provider innerhalb desselben RZs. „Das bringt immense Vorteile für Verfügbarkeit, Performance und Sicherheit“, so Knapp – und zudem könne man so auch die Netzwerkkosten senken.
 
Speed und Skalierbarkeit
Da auch eine Hybrid Cloud ihre Skalierungsvorteile vor allem bei Cloud-nativen Anwendungen ausspielen kann, eignet sie sich nach Ansicht mancher Experten vorrangig für den Betrieb neuartiger und damit meist nach dem Devops-Prinzip entwickelter Anwendungen. Derlei Apps laufen dann oft nicht in Virtual Machines auf VMware- oder Microsoft-Basis, sondern nutzen Openstack und Linux-Container, erläutert Cloud-Architekt Pfützner von Red Hat: „Container-Technologie ist deshalb ein so heißes Thema, weil heute viele Entwickler Cloud-Anwendungen in Python oder Ruby – also Linux-artigen Programmiersprachen – erstellen.“ Dank der Open-Source-Software Docker seien die Linux-Container für diese Anwendungen leichter handhabbar geworden. „Ergänzend ist jedoch Openshift (Red Hats PaaS-Lösung, d.Red.) erforderlich, da erst Openshift Docker unternehmenstauglich macht, indem es zum Beispiel hilft, Versionierungskonflikte zu vermeiden“, so der Red-Hat-Experte.
In der Automobilindustrie zum Beispiel gebe es IT-Organisationen, die eine Openshift-Umgebung im RZ aufbauen, um für die Datenflut des Internet of Things und der vernetzten Autos gerüstet zu sein. „Openshift“, so Pfützner, „erleichtert hier das Hinzufügen neuer Komponenten und ermöglicht somit eine einfache Skalierung über eine Hybrid Cloud hinweg.“
Die zahlreichen Neuerungen im Cloud-Umfeld und das Thema Devops sind für IT-Organisationen große Herausforderungen, meint auch Rackspace-Manager Schmid: „IT-Organisationen kommen angesichts laufender Veränderungen – wie im Augenblick der große Push bei der Container-Technologie – mit dem Aufbau von internem Know-how kaum mehr nach. Angesichts der zahlreichen Changes kann man von ,Continuous Architecting‘ sprechen.“ Deshalb sei laufende Cloud-Beratung durch Managed-Service-Provider (MSPs) wie Rackspace gefragt – für Security und Compliance ebenso wie für die Frage des optimalen Cloud-Betriebs.
 
Unerledigte Hausaufgaben
Eigentlich bietet also die Diskussion um NSA-Überwachung und Safe Harbor einen fruchtbaren Boden für deutsche Hosting-Anbieter, MSPs und Systemintegratoren. Doch anders als beispielsweise Darz, Kamp oder auch Profitbricks haben diese leider noch längst nicht alle ihre Hausaufgaben gemacht, moniert René Büst, Senior Analyst und Cloud Practice Lead bei Crisp Research: „Zunächst sollte der Großteil der deutschen Managed-Service-Provider und Systemintegratoren überhaupt erst einmal mit der eigenen Cloud-Transformation beginnen und das Grundverständnis dafür aufbringen, dass der Feind umarmt werden muss, wenn er nicht zu besiegen ist“, so Büst. Denn dies sei kritisch für hohe Akzeptanz auf Anwenderseite.
„In Bezug auf das aktuelle Safe-Harbor-Urteil“, so der Cloud-Analyst, „müssen transformierte MSPs und Systemintegratoren genau jetzt ihre Chancen nutzen, um davon selbst zu profitieren. Die EU wird sich früher oder später wieder auf einen neuen Rechtsrahmen mit den USA einigen. Aber bis dahin sollte dieser Vorsprung zugunsten deutscher Anbieter ausgenutzt werden.“

„Unternehmen sehen sich im eigenen RZ gezwungen, ihre Virtualisierungsumgebung umzustrukturieren, sodass sie mehr Cloud-Merkmale bekommt“, so Matthias Pfützner, Cloud Solution Architect bei Red Hat. Bild: Red Hat

Der Darmstädter RZ-Betreiber Darz bietet eine datenschutzkonforme Hybrid-Cloud-Infrastuktur auf der Basis von Netapp-Speichertechnik. Bild: Darz

LANline.