In diesem zweiten Teil des Faktenchecks widmen wir uns den am häufigsten genannten Nachteilen der Cloud und was davon nach genauerer Betrachtung übrig bleibt.
1. Kompliziertes Shared-Security-Modell
Es ist sehr schwierig, lokale Rechenzentrums-Ressourcen mit einer Public-Cloud zu verbinden und die Sicherheit aufrecht zu erhalten.
Faktencheck: Richtig ist, dass ein Shared-Security-Modell deutlich schwieriger aufzusetzen ist und mehr Fachwissen erfordert. Durch Veränderungen der IT-Umgebung oder neue Software-Versionen können zudem neue Lücken entstehen, ein wachsames Auge ist also nötig. Bei fachmännischem Setup und regelmäßigen Reviews ist ein relativ sicherer Betrieb mit der Cloud jedoch möglich. Dabei kommt es allerdings auf die jeweiligen Umstände an.
2. Verlust der Datenhoheit
Da die Kundendaten außerhalb der Kontrolle und Verwaltung des eigenen Unternehmens liegen, verliert man die Souveränität über die eigenen Daten. Zudem lassen sich Anpassungen an die eigenen Anforderungen nicht umsetzen, da die Anwendungen weitgehend standardisiert sind.
Faktencheck: Es ist tatsächlich richtig, dass man die Souveränität über die eigenen Daten aufgibt. Das ist eine schwierige und weitreichende Entscheidung, deren Folgen manche Unternehmen aus unserer Erfahrung noch nicht richtig einschätzen. Es ist daher wichtig, die Zuverlässigkeit des Anbieters zu verifizieren und vorab zu prüfen, ob man mit den Risiken leben kann. Bei den Einschränkungen infolge der Standardisierung ist zu prüfen, ob sich die eigenen Geschäftsmodelle ausreichend genau abbilden lassen.
3. Komplexes Preismodell mit hohen operativen Kosten
Die Preismodelle von volumenbasierten Cloud-Diensten können sehr komplex werden, selbst bei einfachen SaaS-Ansätzen entstehen hohe Kosten im Betrieb.
Faktencheck: Das ist richtig. Vor einer Entscheidung sollte man auf jeden Fall die Cloud-Kosten mit plausiblen Annahmen für die Nutzung über einen Zeitraum von drei bis fünf Jahren abschätzen und diese mit den Kosten on prem vergleichen. Damit lässt sich zumindest evaluieren, welche Finanzmittel jeweils im Vergleichszeitraum abfließen.
4. Komplette Abhängigkeit von Internet-Konnektivität
Die Nutzung von Cloud-Angeboten hängt davon ab, dass eine funktionierende Internetverbindung zur Verfügung steht. Ist dies nicht der Fall, kann das ganze Unternehmen nicht mehr arbeiten.
Faktencheck: Das ist richtig. Insofern ist zu prüfen, ob wirkliche Redundanzen hinsichtlich der Anbindung geschaffen werden können. Wenn mehrere Netzanbieter mangels Alternativen die gleiche physische Leitung in das Büro nutzen, sind drahtlose Ansätze wie LTE oder 5G zusätzlich zu installieren.
5. Projektkosten und Folgekosten
Die Migration in die Cloud verursacht hohe einmalige Kosten, behindert den IT-Betrieb und bindet Personal. Der IT-Betrieb erfordert in der Folge viel Cloud-spezifische technische Expertise innerhalb des Unternehmens, die erst aufgebaut und dann gepflegt werden muss. Andernfalls lassen sich neu auftretende Sicherheits- und Integrationsanforderungen nicht bewältigen.
Faktencheck: Das ist richtig. Die Aufwände für die Migration in die Cloud sind erheblich. Zum Beispiel kann der Umzug eines Exchange-Servers in die Cloud aufgrund der Datenmengen viele Wochen dauern.
Auch der Aufbau des erforderlichen Know-hows bei den Mitarbeitern für den operativen Betrieb dauert und erzeugt hohen Aufwand.
6. Vendor-Lock-in
Daten und Anwendungen sind nur schwer wieder aus der Cloud zu migrieren. Das gilt insbesondere für mittelständische und große Unternehmen, die riesige Datenmengen bei einem Cloud-Anbieter speichern. Bei Problemen mit dem Anbieter ist eine Migration schwierig, da die Konvertierung und Bewegung sehr großer Datenmengen dauert und die damit ausgelösten Komplexitäten für eine ganze Zeit den IT-Betrieb beeinträchtigen.
Faktencheck: Das ist richtig und viele Unternehmen berücksichtigen das nicht ausreichend in ihren Überlegungen. Meist sind nicht einmal gangbare Wege dokumentiert, wie Unternehmen ihre Anwendungen und Daten wieder aus der Cloud oder zu einem alternativen Anbieter migrieren können. Hinzu kommen Kompatibilitäts- und Konvertierungsprobleme, sowie zum Teil lange Vertragslaufzeiten, die sowohl die Flexibilität als auch die Migration zusätzlich behindern.
7. Unternehmens-Risiken
Was geschieht bei Insolvenz eines Cloud-Anbieters, ist der Weiterbetrieb gewährleistet und wie kommen Unternehmen an ihre Daten? Was geschieht bei Zahlungsschwierigkeiten des eigenen Unternehmens – wird der Zugriff auf benötigte Daten gesperrt? Beides kann eine Insolvenz des eigenen Unternehmens auslösen.
Faktencheck: Meist gibt es keine vertraglichen Regelungen für den Insolvenzfall, es kommt somit auf glückliche Umstände und einen vernünftigen Insolvenzverwalter an. Bei eigenen Zahlungsschwierigkeiten kann man davon ausgehen, dass der Anbieter die Zugänge sperrt, insbesondere bei amerikanischen Unternehmen. Wir haben das jedenfalls schon bei einem Kunden erlebt, der Adobe-Produkte nutzte.
8. Kundensupport weit weg und nicht immer individuell und gut
Im Gegensatz zu Inhouse-Support oder lokalen Dienstleistern ist der Kundensupport für die Cloud-Nutzung sehr weit entfernt und oft nur über Portale erreichbar anstatt per Telefon. Eine individuelle Betreuung ad-hoc ist nicht vorgesehen.
Faktencheck: Das ist richtig. Cloud-Anbieter sitzen am längeren Hebel und haben den natürlichen Drang, die Kosten für Service und Support möglichst gering zu halten. Das ist in den meisten Fällen ein Ärgernis, aber kein Problem. In Notfällen, die eine sehr zeitnahe Reaktion erfordern, kann es zu einer digitalen Katastrophe führen.
9. Keine Update-Kontrolle
Cloud-Anbieter rollen Updates für Anwendungen nach eigener Planung aus. Die Anwender haben keine Kontrolle über das Timing, dadurch werden auch kritische Updates mit funktionalen Änderungen ausgerollt.
Faktencheck: Stimmt. Der Anwender muss jede Änderung der Funktionalität mitnehmen. Zudem hat er keinen Einfluss auf Kompatibilitätsprobleme mit Software on prem und muss im Zweifel seine lokale Software auf Kompatibilität trimmen. Die Aufwände für die Kompatibilität der Anwendungen on-prem mit den Cloud-Anwendungen sind nicht vorhersehbar.
10. Sicherheitsaspekte nicht selbst lösbar
In die Cloud zu gehen bedeutet, die Kontrolle über vertrauliche Informationen komplett einer Drittfirma zu übertragen. Zahllose, zum Teil spektakuläre Security Leaks in der Vergangenheit belegen, dass Hacker immer wieder in der Lage sind, bei Cloud-Anbietern einzubrechen und Daten zu stehlen. Beispiele sind Einbrüche bei Dropbox, Apples i-Cloud, Adobe oder Codespace. Das letztgenannte Unternehmen musste den Betrieb einstellen, weil ein Hacker alle Kundendaten gelöscht hatte.
Faktencheck: Die Sicherheit in der Cloud ist ein Risiko, das man selbst nur begrenzt beeinflussen kann und ein Hauptargument gegen Cloud-Dienste. Hier hilft nur die Wahl eines etablierten – deutschen – Anbieters und sichere Ende-zu-Ende-Verschlüsselung. Aufgrund der Skaleneffekte sind Clouds ein lohnendes Angriffsziel für Cyberkriminelle.
Best Practice
Nach den vielen Hintergründen, Pros und Cons, Vorurteilen und Fakten in den ersten drei Artikeln erarbeiten wir im kommenden vierten Teil unserer Serie Guidelines und Szenarien für mittelständische Unternehmen. Ausgehend von tatsächlich vorhandenen Problemen und Lösungen, Anforderungen und Features überlegen wir, wann sich die Cloud eignet und wann traditionelle Technologien mehr Vorteile zeigen.