Plädoyer für Cloud-Services "Made in Germany"
Cloud-Provider geschickt auswählen
Der Markt für Cloud-Dienstleistungen wird täglich größer - und schwerer überschaubar. Vor allem Anbieter aus den USA wie Apple, Amazon oder Salesforce gelten in Deutschland als Marktführer und locken mit günstigen Offerten. Doch günstig kann im Ernstfall ganz schön teuer werden, vor allem, wenn es um hoch sensible Unternehmensdaten geht. Immer größerer Beliebtheit erfreut sich daher die deutsche "Wolke".
Die datenschutzrechtlichen Aspekte der Cloud wurden besonders vor dem Hintergrund nachrichtendienstlicher Überwachungsprogramme wie Prism, Tempora und Xkeyscore viel diskutiert. Besondere Brisanz gewinnt das Thema dadurch, dass von der Überwachung amerikanischer oder ebenso britischer Geheimdienste auch solche Unternehmen und Personen betroffen sind, die keine Dependance in den USA oder Großbritannien unterhalten und womöglich nicht einmal in diesen Märkten tätig sind: Nämlich dann, wenn sie Cloud-Dienstleistungen wie Hosting oder Cloud-Speicher von dort in Anspruch nehmen.
Entscheidend ist dabei nicht allein der Standort des Rechenzentrums, sondern ebenso der des Providers selbst. Denn auch wenn das Rechenzentrum des amerikanischen Anbieters in der EU sitzt, ist dieser gemäß US Patriot Act dazu verpflichtet, die Daten auf Anfrage an die US-Regierung weiterzugeben. Dies gilt für jedes Datacenter weltweit. Zwar existieren Abkommen mit besonderen Auflagen wie „Safe Harbor“ zwischen der EU und den USA, dennoch ist der Unterschied in den rechtlichen Regelungen immens.
Viele sehen diese Überwachung als Präventivschutz vor terroristischen Angriffen. Doch man muss sich fragen, ob Firmendaten und -Know-how nicht genauso das Ziel von Angriffen durch andere Länder oder Unternehmen sein können. Laut einer Studie der Münchner Sicherheitsfirma Corporate Trust aus dem Jahre 2012 haben 20 Prozent aller deutschen Unternehmer schon einmal einen Spionageangriffe der Konkurrenz erlebt, weitere 33 Prozent erlebten einen Informationsabfluss aus dem Unternehmen, ohne die Spionage belegen zu können.
Der Schaden durch Spionage steigt und verursacht jährlich Kosten in Milliardenhöhe. Bei der Wahl des richtigen Cloud-Providers ist daher Sorgfalt gefragt. Vordergründig haben derzeit zwar amerikanische Anbieter die „Nase vorn“, was Cloud-Anwendungen vom virtuellen Rechenzentrum bis zur Groupware-Lösung angeht, doch bei genauer technischer und wirtschaftlicher Betrachtung sind die Vorteile von Lösungen „Made in Germany“ nicht von der Hand zu weisen und gehen weit über datenschutzrechtliche Aspekte hinaus.
Wenig Toleranz für Latenz
Auf Anbieter- wie auf Kundenseite ist es ein erklärtes Ziel, mit Cloud-Lösungen die herkömmliche Herangehensweise der Ausführung von Programmen auf einem lokalen Server oder Client abzulösen. Dies kann jedoch nur funktionieren, wenn die Cloud-Software die vom Benutzer gestellten Anforderungen an die Benutzbarkeit erfüllt.
Ein zentrales Kriterium ist daher die Reaktionszeit der Anwendung auf Aktionen des Benutzers, zum Beispiel die Anzeige von Tastatureingaben auf dem Bildschirm oder das Öffnen und Schließen von Fenstern. Diese ist bei herkömmlichen Desktop-Anwendungen üblicherweise nicht spürbar und liegt im unteren Millisekundenbereich. Bei Web-basierten Anwendungen wird sie jedoch von mehreren Faktoren maßgeblich beeinflusst – unter anderem auch von der physikalischen Latenz bei der Übermittlung der Netzwerksignale.
Hier sind Cloud-Provider, deren Infrastruktur netztopologisch und geographisch möglichst nahe am Kunden liegt, klar im Vorteil. Die physikalische Latenz bei einer Übermittlung von Daten über wenige hundert Kilometer liegt – Latenzen durch zwischengeschaltete Netzwerkkomponenten einbezogen – bei einem Zehntel der Reaktionsverzögerung einer Interkontinentalverbindung.
Gerade bei Infrastrukturdiensten wie dem Hosting von Applikations- und Datenbank-Servern werden oft mehrfach Daten zwischen den beteiligten Servern hin- und hergeschickt – um etwa einen Kundendatensatz aus der Datenbank auszulesen, mit externen Informationen zu verknüpfen und dann im CRM-System (Customer-Relationship-Management) anzuzeigen. Eine hohe Verweildauer zwischen den einzelnen Komponenten kumuliert somit schnell zu einer hohen Gesamtlatenz, die für den Nutzer störend ist und zu Umsatzeinbußen führen kann.
Der Online-Buchhändler und Cloud-Provider Amazon stellte schon vor Jahren im Experiment fest, dass eine Erhöhung der Gesamtladezeit seiner Webseite um nur 100 Millisekunden – das entspricht etwa der Zeit, die ein IP-Paket von Frankfurt nach New York benötigt – bereits einen Umsatzrückgang von einem Prozent verursachte. Google vermeldete sogar einen 20-prozentigen Rückgang des Anzeigenumsatzes, wenn die Anzeige der Suchergebnisse eine halbe Sekunde länger dauerte als üblich (siehe tinyurl.com/o3rqtvc).
Auch bei Cloud-basierten Kommunikationsdiensten wie Videokonferenzen oder Voice-over-IP-Anwendungen spielt die Latenz eine wichtige Rolle. Ihre Toleranzgrenze liegt für Videoübertragungen bei zirka 200ms, für Sprachanwendungen bei 500ms. Verzögert sich die Reaktion eines Gesprächspartners über diesen Zeitraum hinaus, wird das als störend wahrgenommen und führt zu Kommunikationsproblemen („Hallo-Effekt“).
Ein weiteres Schlüsselkriterium für den Erfolg vieler Cloud-Anwendungen ist die erzielbare Datenrate. Besonders Videokonferenzen und -Streaming, Download-Angebote oder Remote Desktops benötigen nicht nur eine hohe Peak-Datenrate (Download-Geschwindigkeit innerhalb eines kurzen Zeitraums), sondern auch eine gleichbleibend hohe Dienstgüte, um zuverlässig und ohne Verbindungsabbrüche arbeiten zu können.
Hier sind Dienstleister im Vorteil, die über breitbandige Anschlüsse am DE-CIX, dem größten Internetknoten Deutschlands, sowie über Verschaltungen zu den großen DSL-Anbietern verfügen. Da sich die Wahrscheinlichkeit für Routing-Probleme zudem proportional mit der zurückzulegenden Entfernung erhöht, gilt zudem: Je kürzer die räumliche Entfernung zum Rechenzentrum, desto besser.
Service, Support und Sicherheit
Neben diesen harten, technisch begründeten Entscheidungskriterien, sprechen auch Aspekte wie Service, Support und Sicherheit für die Wahl eines deutschen Providers. Bei vielen großen Cloud-Anbietern in den USA beschränkt sich der Support auf E-Mail-Formulare oder seltene Unterstützung per Telefon. Ein „Schnäppchen“ kann sich so schnell als Kostenfalle entpuppen. Denn gerade preisstarke Anbieter rationalisieren die technische Unterstützung bisweilen derart, dass außer einer „Knowledge Base“ und automatischen Hilfesystemen kaum Möglichkeiten bestehen, mit dem Support-Personal in Kontakt zu treten.
Selbst wenn die Kontaktaufnahme gelingt, birgt die Zeitverschiebung weitere Tücken. Ist ein deutscher Anbieter in aller Regel kostenlos während der Bürozeiten für Service-Anfragen zu erreichen, ist bei einem US-Anbieter ein SLA mit 24-Stunden-Erreichbarkeit abzuschießen. Bei nicht dringenden Support-Anfragen ist zudem stets ein Versatz von einem Arbeitstag zwischen Anfrage und Reaktion einzukalkulieren. Schnell vergehen so zwischen sieben und neun Stunden, um eine vormittags am Arbeitsplatz in Deutschland auftretende Frage zu klären.
Dies kann erfahrungsgemäß gerade bei kritischen Fehlern fatal sein, besonders wenn wegen eines Ausfalls beim Cloud-Provider der eigene Geschäftsbetrieb komplett lahm liegt. Der daraus resultierende finanzielle Schaden in Kombination mit dem entstehenden Vertrauensverlust kann sich schnell zu hohen Beträgen summieren. Dies geht mit verheerenden Auswirkungen auf die Gesamtbetreibskosten (TCO) einher, die auch bei Cloud-basierten Lösungen das Maß aller Dinge sein sollten.
Eine Frage des Vertrauens
Nicht nur in puncto Datenschutz besetzt Deutschland EU- sowie weltweit eine Vorreiterrolle. Auch die Standardisierungs- und Prüfpraxis in allen Bereichen der IT ist vorbildlich. So steht mit den BSI-Grundschutzkatalogen ein umfassendes Werk zur Verfügung, anhand dessen RZ- und Cloud-Betreiber das eigene Sicherheitsniveau prüfen können.
Der TÜV Süd vergibt das „Trusted Cloud“-Siegel, und der Branchenverband Eco e.V. verfügt mit seinem Datacenter Star über ein beliebtes Prüfsiegel für Rechenzentren, ohne deren Plattform auch in der als immateriell wahrgenommenen Compute Cloud nichts geht. International anerkannte Zertifizierungen wie ISO27001 und SAS70 sorgen zudem für eine Vergleichbarkeit mit Wettbewerbern aus dem Ausland.
Zusammenfassend lässt sich festhalten: Nicht nur die NSA und Prism sind gute Argumente, Cloud-Services „Made in Germany“ zu nutzen. Auch handfeste technische und wirtschaftliche Gründe sprechen dafür, den Weg über den großen Teich zu meiden. Schließlich sind Cloud-Angebote aus deutschen Landen preislich meist genauso attraktiv wie ihre amerikanischen Pendants – misst man sie an der TCO, oft sogar deutlich günstiger.
Lesen Sie mehr zum Thema
