Diskussion um Cloud-RZ-Standorte
Die deutsche Wolke ist in
Unter Cloud-Service-Providern ist es Mode geworden, ein RZ in Deutschland zu eröffnen, bevorzugter Standort ist Frankfurt am Main. Die Welle neuer Cloud-Angebote kommt hiesigen Unternehmen in puncto Compliance, Informationssicherheit und Latenz entgegen. Aber nach wie vor herrscht große Zurückhaltung, wenn es um das Auslagern interner oder gar kritischer Daten geht. "Cloud Computing" bedeutet deshalb für viele IT-Verantwortliche vor allem eines: den Aufbau einer lokal betriebenen "Private Cloud".Letzten Herbst sorgte Amazon Web Services (AWS), die Cloud-Services-Tochter von Amazon.com, für Schlagzeilen mit der Nachricht, man habe ein neues RZ in Frankfurt am Main eröffnet. Bis dahin war AWS nur über ein Datacenter in Irland auf europäischem Boden vertreten gewesen. Der Cloud-Provider betonte, alle Inhalte würden innerhalb der vom Kunden gewählten Region verbleiben - ein Zugeständnis an Compliance-Anforderungen skeptischer europäischer Kunden. Alle Infrastrukturregionen würden weltweit regelmäßig überprüft, so AWS, um Compliance-Standards wie ISO 27001, SOC 1 (vormals SAS 70) oder PCI-DSS Level 1 zu erfüllen. Man sei konform mit allen relevanten EU-Datenschutzgesetzen und biete Kunden bei Bedarf eine Vereinbarung zur Auftragsdatenverarbeitung an, um diesen zu helfen, EU-Datenschutzanforderungen zu erfüllen. Gleich zum Start konnte der Cloud-Provider mit Talanx auf einen Kunden aus der hoch regulierten Versicherungsbranche verweisen. Invasion der Cloud-Provider "Die neue Cloud-Region von Amazon AWS in Deutschland ist eine strategisch wichtige Entscheidung, um das ernsthafte Interesse am deutschen Markt zu unterstreichen", kommentierte René Büst, auf Cloud Computing spezialisierter Analyst bei Crisp Research. Zudem garantiere dies eine bessere Cloud-Connectivity, unter anderem durch geringe Latenz, um Applikationen performant bereitzustellen. Und last but not least, so Büst: "Deutschen und europäischen IT-Entscheidern kommt Amazon mit dem neuen Standort hinsichtlich Sicherheits- und Compliance-Bedenken entgegen." AWS, global gesehen laut Gartner Marktführer im IaaS-Segment (Infrastructure as a Service), zeigte sich mit diesem Schritt allerdings nicht als Vorreiter, sondern als Teil einer ganzen Welle von Cloud-Anbietern, die nun den europäischen Rechtsraum und in diesem Zusammenhang häufig auch Frankfurt als RZ-Standort für sich entdecken. Schließlich kann Frankfurt mit direkter Nähe zum Internetknoten DE-CIX punkten. Zudem sind dort mit Equinix, Interxion etc. renommierte RZ-Betreiber angesiedelt, die Cloud-Providern moderne und breitbandig angebundene Datacenter-Kapazitäten liefern können. Equinix und Interxion sind per Direct Connect mit dedizierten Links an das AWS-Netzwerk angekoppelt. RZ-Kapazitäten für die Cloud So stellt zum Beispiel der japanische Carrier NTT seit Sommer letzten Jahres vom Equinix-RZ in Frankfurt aus Enterprise-Cloud-Angebote bereit. Jens Leuchters, Regional General Manager Central and Eastern Europe bei NTT Europe, betonte im LANline-Interview, dass ein Administrator für einen Backup-Lauf zwischen zwei Rechenzentren dank SDN-Technik (Software-Defined Networking) temporäre Datenübertragungsrouten einrichten könne, wobei das Unternehmen nur für das übertragene Datenvolumen bezahle. Interoute, laut eigenen Angaben Betreiber von Europas größter Cloud-Services-Plattform, hat zum 1. Dezember 2014 ebenfalls bekannt gegeben, in Frankfurt am Main sein zweites deutsches "Virtual Data Center" (VDC) zu eröffnen. Von seinem VDC in Berlin aus hostet Interoute bereits seit 2012 Cloud-Dienste für seine Kunden. Ebenfalls in Berlin ansässig ist der deutsche IaaS-Spezialist Profitbricks, der zwei Rechenzentren betreibt, eines in Karlsruhe und seit 2014 ebenfalls eines auf der Basis der Frankfurter Equinix-Infrastruktur. Als Lokalmatador betont Profitbricks, die Datenbestände der Kunden seien gemäß deutscher Rechtsprechung geschützt, zudem entsprächen die Datacenter höchsten Sicherheitsanforderungen: Die physische Absicherung des Equinix-RZs erfolgt mittels Sicherheitsglasschleusen, Zugangskontrollen mit Kartenlesegeräten sowie biometrischer Identifizierungssysteme. Für den ununterbrochenen Geschäftsbetrieb sorgt die Kopplung mehrerer Tier-3-Standorte. Auf die Verfügbarkeit der Stromversorgung, der Klimatisierung und der Verbindungen gibt der RZ-Betreiber SLAs (Service Level Agreements) von 99,99 Prozent und mehr. Zudem ist das RZ gemäß ISO 9001, ISO 27001, PCI-DSS und SSAE16/ISAE3402 zertifiziert. Dedizierte RZ-Betreiber bieten hier in aller Regel weit mehr, als das Gros der deutschen Unternehmen sich jemals leisten könnte. Lokale Präsenz, globaler Standard Jüngst reihte sich auch IBM mit seiner IaaS-Tochter Softlayer in die Riege bekannter Anbieter ein, die von Frankfurt aus Cloud-Services bereitstellen: Ende Dezember 2014 hat IBM in Frankfurt am Main das erste deutsche Softlayer-RZ eröffnet - im Fall von Big Blue natürlich per eigenem RZ und nicht als Untermieter eines Colocators. Das RZ ist Teil einer 1,2-Milliarden-Dollar-Investition, die der Konzern derzeit in seine weltweite Cloud-Präsenz steckt. Neben dem Frankfurter Standort betreibt IBM in Amsterdam, London und Paris bereits drei weitere Softlayer-Datacenter in Europa. Die Einrichtung in Frankfurt, so Softlayer-CTO Marc Jones anlässlich einer IBM-Pressekonferenz zum Thema, entspreche IBMs standardisiertem PoD-Design (Point of Delivery) und vereine die Kapazität tausender physischer Server. Softlayer nutzt für seine Cloud-Angebote Bare-Metal-Maschinen von Supermicro, die Provisionierung eines Servers dauert laut Cheftechniker Jones nur 30 Minuten. "Außerdem bietet dies eine bessere Performance als eine VM-basierte Private Cloud, weil man jeden Aspekt der Hardware beeinflussen kann", so der Softlayer-CTO. IBM biete von jedem PoD aus stets ein identische Palette von Softlayer-Cloud-Services an, darunter Bare-Metal-Server, virtuelle Server, Speicher, Sicherheitsdienste und Netzwerktechnik als Private Cloud wie auch als Shared Cloud. Damit könne man die jeweils gewünschte Public-, Private- oder Hybrid-Cloud-Umgebung verwirklichen. Weltweit halte Softlayer rund 180.000 Server vor. Dies sind deutlich weniger als die Bestände, auf die AWS oder Google verweisen können; doch als IBM-Tochter hat Softlayer dafür ein Heer von Cloud-Consultants zur Verfügung, die einem Unternehmen bei der Umstellung von lokaler zu Cloud-basierter IT zur Seite stehen - was durchaus nötig sein kann, man denke nur an den Umzug einer Datenbank in die Wolke. Als Referenzkunde nannte Susan Volkmann, Cloud Leader DACH bei IBM, das Unternehmen Preveniomed, das auf Berufstauglichkeitsprüfungen für Piloten spezialisiert ist und deshalb hohe Datenschutzanforderungen erfüllen muss. Preveniomeds eigene IT im Keller des Unternehmens war laut Volkmann nach heftigen Regenfällen wortwörtlich "abgesoffen", weshalb man sich für den Wechsel zu Softlayer entschieden habe. Alle Daten des Unternehmens sind nun, so Volkmann, laut Vorgaben der Bundesärztekammer verschlüsselt, der Fernzugriff auf die verschlüsselte Datenbank erfolge mittels eines BSI-genehmigten Gateways. Vergleichsweise entspannt betrachtet man derlei Entwicklungen bei Hewlett-Packard, betreibt HP doch bereits seit Jahrzehnten eigene Rechenzentren in Deutschland, über die der US-Konzern deutsche Kunden und teils auch deren ausländische Niederlassungen bedient. "An unserer Cloud-Strategie hat sich nichts geändert", so Klaus Berle, Direktor Cloud Computing bei Hewlett-Packard. "Sie besteht darin, dem Kunden die Wahlmöglichkeit zu geben, von welchem Standort und aus welchem Betriebsmodell er seine Services bezieht." Für jeden Unternehmensstandort und für jede Anwendung gebe es dabei unterschiedliche Auswahlkriterien - etwa hinsichtlich rechtlicher Vorschriften, technischer Anforderungen und Kosten. "Openstack dient dabei als Bindeglied, das ein einheitliches Management solcher hybrider Cloud-Umgebungen ermöglicht", betont Berle im Hinblick auf die andauernde Diskussion um offene versus proprietäre Cloud-Stacks, ist doch die Migration von einer Cloud-Umgebung auf die eines anderen Providers nach wie vor problematisch. Neben den eigenen Ressourcen setzt HP in puncto Cloud stark auf sein Partner-Ökosystem : "Im Rahmen unseres Cloud-Partnerprogramms erbringen sie [HPs Partner, d.Red.] Services auf Grundlage unserer Cloud-Technologien", so Berle. "Der Kunde kann also über HP und sein Cloud-Partnernetzwerk die für ihn passende Mischung aus Cloud-Diensten zusammenstellen." Sinn und Unsinn der Standortfrage Eigentlich ist es erstaunlich, dass die Standortfrage in der Cloud-Diskussion inzwischen eine so große Rolle spielt. Denn Sinn und Zweck der Cloud ist schließlich die flexible und ortsungebundene Bereitstellung von IT-Services. Außerdem gilt, worauf Diethelm Siebuhr, CEO der Nexinto Holding, hinweist: "Der Standortwechsel eines Rechenzentrums bedeutet nicht zwangsläufig, dass die Daten tatsächlich im europäischen Wirtschaftsraum bleiben. Untersteht der Betreiber dem US-Recht, so ist er unter Umständen verpflichtet, auch Daten aus einem deutschen oder europäischen Rechenzentrum an US-Behörden herauszugeben. Cloud-Anwender müssen also ganz genau hinschauen: Nicht nur das Wo ist wichtig, sondern auch das Wer." Als unbedingt notwendige technische Maßnahme raten Experten deshalb einhellig zur starken Authentifizierung in Kombination mit Verschlüsselungsverfahren: Nur die Verschlüsselung von gespeicherten Datenbeständen (Data at Rest) wie auch der verschlüsselte Transportkanal (Data in Flight) können sicherstellen, dass Unbefugten der allzu neugierige Blick verwehrt bleibt. Zwar gilt dies im Prinzip für die lokale IT ebenso wie für die Cloud, doch die sichere Nutzung diverser Cloud-Services durch verschiedene Benutzergruppen im Unternehmen sowie durch Externe stellt die Unternehmens-IT hier vor neue und durchaus komplexe organisatorische Aufgaben. Die Nachfrageseite Der Run von Cloud-Anbietern aus aller Welt (nicht nur aus den USA) auf den deutschen Markt lässt vermuten, dass die Provider große Hoffnungen auf die Nachfrage deutscher oder allgemein europäischer Unternehmen nach ihren Cloud-Services setzen - und dies trotz der notorischen Zurückhaltung deutscher Unternehmen, firmeninterne Daten nach außen zu geben. Während man bei multinationalen Konzernen seit jeher mit Outsourcing über Ländergrenzen hinweg operiert, hat das Vertrauen deutscher Unternehmen in Datensicherheit und Datenschutz nun auch noch durch den NSA-Skandal gelitten, den die Enthüllungen Edward Snowdens losgetreten hatten. Diese Skepsis hat sich, da stimmen die meisten Cloud-Marktkenner überein, zumindest in Teilen auch auf die vorrangig US-amerikanischen Cloud-Service-Provider übertragen - obschon die meisten Unternehmen wohl eher um Industriespionage besorgt sein dürften als um Abhörmaßnahmen ausländischer Geheimdienste (was sich allerdings nicht gegenseitig ausschließen muss). Konkrete Zahlen zur aktuellen und künftigen Nachfrage nach Cloud-Services zu erhalten ist nicht einfach. Denn erstens wurde der Begriff "Cloud" durch den Marketing-Hype gezielt verwaschen: Public-Cloud-Spezialisten wie AWS oder Google meinen damit ausschließlich dynamisch hochskalierende, extern gehostete und per Web-Interface nach Bedarf buchbare Dienste (im Sinne einer "IT aus der Steckdose", also der eigentlichen, engen Definition von Cloud-Services); unternehmensorientierte Anbieter wie VMware hingegen rücken gerne den Begriff "Private Cloud" in den Mittelpunkt (also virtualisierte, automatisiert betriebene und damit ebenfalls dynamisch skalierbare, aber meist lokale Server- und Storage-Landschaften). Public-Cloud-Services tauchen dann höchstens noch in der Mischvariante der "Hybrid Cloud" auf. Für viele Fachabteilungen in Unternehmen wiederum ist "die Cloud" schlichtweg gleichbedeutend mit SaaS-Angeboten (Software as a Service) wie Salesforce oder Dropbox - während im Consumer-Segment Cloud-Services schon so alltäglich sind, dass die Endanwender sie kaum mehr als solche wahrnehmen. Entsprechend nur mit Vorsicht zu genießen sind deshalb in der Regel alle Untersuchungen mit dem Ziel, die Nachfrageseite des Cloud Computings zu beschreiben. Als Beispiel sei die Studie "Arbeitsplätze in der Wolke?!" [1] des Analystenhauses PAC vom Oktober 2014 genannt. Die Studie beinhaltet die stolze Zahl von 61 Prozent deutscher Unternehmen, die interne oder externe Cloud-Lösungen "nutzen, planen und diskutieren". Ganz abgesehen davon, dass bei solchen Umfragen wie erwähnt jeder Befragte unter "Cloud" potenziell etwas anderes versteht, machen Vermengungen wie "nutzen, planen und diskutieren" stutzig: Die Zahl von Lottogewinnern ist schließlich auch deutlich kleiner als die Anzahl jener Menschen, die "im Lotto gewonnen haben, dies planen oder darüber diskutieren". Und in der Tat zeigt ein näherer Blick auf die Studienergebnisse: Die Frage "Was ist/wäre die bevorzugte Bereitstellungsvariante für eine einheitliche IT-Arbeitsumgebung?" beantworteten nur fünf Prozent der Befragten mit "Cloud-basiert extern". Das Cloud-Prinzip der "IT aus der Steckdose" hat also noch mit erheblichen Akzeptanzproblemen zu kämpfen. Dies veranschaulichen auch zwei weitere Antworten aus der Umfrage: 82 Prozent der Befragten sind nicht bereit, Daten außer Haus zu geben, während 57 Prozent ein Rechenzentrum des Cloud-Providers in Deutschland fordern. Dennoch kommt der IT-Branchenverband Bitkom auf der Basis von Berechnungen der Experton Group praktisch zeitgleich (im November 2014) zu dem Ergebnis, dass der deutsche Cloud-Computing-Markt 2014 um stolze 46 Prozent auf rund 6,4 Milliarden Euro anwachsen werde und weiterhin fröhlich gedeihen soll. [2] "Die NSA-Affäre hat das Wachstum des Cloud-Marktes nur geringfügig gebremst", erklärte Bitkom-Präsident Prof. Dieter Kempf. Ursprünglich war der Bitkom für 2014 von einem 50-prozentigen Umsatzanstieg auf 6,9 Milliarden Euro ausgegangen. "Allerdings ist die Cloud-Technologie so attraktiv, dass es in den kommenden Jahren weiter ein hohes zweistelliges Wachstum geben wird", ist sich Kempf sicher. Bis 2018 soll das Volumen des Cloud-Markts in Deutschland auf rund 19,8 Milliarden Euro ansteigen. Prinzip Hoffnung Solche Prognosen schüren Hoffnung auf weiteres Wachstum im Cloud-Markt, sei es durch fortschreitende Automation im softwaregesteuerten Datacenter (SDDC, also Private Cloud), vermehrt Compliance-gerechte Public-Cloud-Services oder eine Mischform beider Szenarien unter der Überschrift "Hybrid Cloud". Denn schließlich weiß man um den wachsenden Kostendruck auf Seiten der Anwenderunternehmen, um die dank des enormen Konkurrenzdrucks auf Anbieterseite weiterhin fallenden Preise für Public-Cloud-Services sowie um den Umstand, dass sich früher oder später Antworten auf juristische und Compliance-Fragen finden lassen. Insbesondere deutsche Cloud-Service-Provider wie Profitbricks, Kamp, die Telekom oder auch 1&1 können vor diesem Hintergrund auf reges Interesse bauen. So berichtet Frank Roth, Vorstand des Cloud-Beratungshauses Appsphere und Gründer der Initiative "Cloud Services Made in Germany": "Die Initiative ,Cloud Services Made in Germany? erfreut sich - erst recht seit den Enthüllungen von Edward Snowden - weiterhin eines hohen Interesses, und die Mitgliederzahl steigt kontinuierlich. Die hohen Datenschutzanforderungen in Deutschland gewinnen Vertrauen bei den Anwendern zurück und geben den Unternehmen das Gefühl, den höchstmöglichen Schutz ihrer Daten zu erhalten." Die Nachfrage nach Public-Cloud-Services sieht Roth differenziert: "Das Public-Cloud-Business - speziell SaaS - wird weiter wachsen. Während die Unternehmen ihre Standardanwendungen sicherlich weiterhin in der Private Cloud betreiben, werden vor allem neue Anwendungen primär als Cloud-Service bereitgestellt und genutzt werden." Auch Crisp-Research-Analyst René Büst resümiert mit Blick auf das Cloud-Jahr 2015: "Die Zeiten der Hungerspiele sind vorbei." [3] Nach seinen Berechnung haben derzeit 18,7 Prozent der deutschen Unternehmen Cloud-Services im Einsatz, während sich 25,6 Prozent der Unternehmen der Cloud verweigern. René Büsts Fazit: "Deutsche Anwenderunternehmen befinden sich derzeit mitten im Cloud-Transformationsprozess."
Der Autor auf LANline.de: wgreiner
Lesen Sie mehr zum Thema
