Ziel dieses Beitrags ist es den Einfluss von Public Cloud auf die von uns definierten Souveränitätsziele (Leistungsfähigkeit und Kontrolle) darzustellen und Vor- und Nachteile zu bewerten.
Warum Public Cloud?
Public Clouds gelten als der Benchmark in puncto Leistungsfähigkeit und haben sich in den meisten Branchen durchgesetzt. Das zeigt sich einerseits durch Analysten-Bewertungen (z.B. IDC, Gartner, Statista), aber auch durch den weltweiten Umsatz. Dieser belief sich im Jahr 2022 auf 546 Milliarden Dollar, was eine Steigerung von 23 % zu 2021 bedeutet. Auch ein Vergleich der Börsenbewertungen der Public Cloud-Anbieter (AWS, Microsoft, Google) mit den klassischen Private-Cloud-Anbietern (IBM, VMware) bestätigt das Wachstum:
Im Kern ermöglicht die Public Cloud ihren Kunden die Automatisierung der IT-Wertschöpfung und bietet Organisationen hierzu die Möglichkeit aus einem sehr großen Servicekatalog auswählen zu können, ohne sich mit Aufbau, Betrieb, Investitionskosten und Investitionsrisiko beschäftigen zu müssen. Sie können ihre digitale Transformation dadurch mit hohem Tempo durchführen, global skalieren und zahlen IT-Services in der Regel nur, wenn sie diese auch nutzen.
Public Cloud als Thema
Das Thema Public Cloud spielt in den Medien und auch für die staatliche IT unterschiedlich große Rollen:
- In der Digitalstrategie des Bundes wird die Public Cloud nicht direkt erwähnt. Lediglich über die geplante Multi-Cloud-Struktur in der „Deutschen Verwaltungscloud-Strategie“ ist sie indirekt relevant.
- Die Deutsche Verwaltungscloud-Strategie berücksichtigt in ihren allgemeinen Anforderungen auch die Anbindung der Public Cloud. Das wichtigste strategische Ziel bleibt aber die Reduktion von Abhängigkeiten, insbesondere durch Interoperabilität.
- Der BSI C5-Anforderungskatalog „Cloud Computing Compliance Controls Catalog“ listet verbindliche Mindestanforderungen für die Cloudsicherheit und die Einführung von Public Cloud-Lösungen für deutsche Regierungsbehörden und Organisationen auf, die mit der Regierung zusammenarbeiten. Sowohl Microsoft als auch AWS sind für definierte Regionen C5-zertifiziert.
- Seit 2022 gibt es vertragliche Grundlagen für die Vergabe von Cloud-Leistungen durch die öffentliche Verwaltung. Sie gelten als standardisierte Einkaufsbedingungen für die Beschaffung von Cloudleistungen (EVB-IT Cloud) und somit auch für die Public Cloud.
- Die Bundesregierung hat mit Microsoft über die Entwicklung einer Behörden-Cloud verhandelt. Basierend darauf (aber ohne einen offiziellen Staatsauftrag) ist daraus Delos entstanden, das Joint-Venture von SAP und Arvato Systems mit Microsoft-Cloudtechnologie.
- Microsoft, AWS und Google versuchen unterdessen mit ihren Angeboten gezielt Behörden anzusprechen. Die Nutzung für Behörden bleibt allerdings aus rechtlichen Gründen kompliziert. Viele Datenschützer sind davon überzeugt, dass etwa die Nutzung des Public-Cloud-Dienstes O365 in Deutschland nicht rechtskonform möglich ist.
Die Vorteile der Public Cloud
Die Public Cloud bietet als Weiterentwicklung der traditionellen IT grundsätzliche Vorteile im Vergleich zu den meisten der 50.000 deutschen Rechenzentren bzw. Private Clouds:
- Großer Katalog an Services: Weil Cloud-Leistungen automatisiert bestellt, geliefert und abgerechnet werden können, entfällt der Faktor „Menschliche Beziehung“. Jeder Anbieter kann seine Leistungen zur Verfügung stellen, ohne vorab in Vertriebsmitarbeiter und Auftragsabwickler investieren zu müssen. Für die IT-Kunden führt dies zu einer großen Auswahl direkt verfügbarer Services.
- Konsumierbar in sehr kleinen Einheiten: Benötigt ein klassischer IT-Anbieter 30 Stunden internen Aufwand zur Abwicklung von Bestellung, Lieferung und Abrechnung, wird dieser kaum sehr geringe Bestellmengen (Bsp.: 1GBs Rechenleistung für 0,000014 EUR) erlauben. Die vollständige Automatisierung der Bestellprozesse in der Cloud dagegen ermöglicht es den Hyperscalern, sehr attraktive „Pay-as-you-go“-Konditionen anzubieten.
- Bei Bedarf global skalierbar: Investiert ein Unternehmen in seine eigene Private Cloud, muss es die Kosten für diese Investition vollständig alleine tragen: Gebäude, Kühlanlagen, Netzwerk, Server, Middleware, Personal. Es wird sich dafür genau überlegen, wie groß die Cloud wirklich sein muss. Erreicht genau das gleiche Unternehmen überraschend einen globalen Erfolg, wird die Cloud in jedem Fall zu klein ausfallen. Die Hyperscaler dagegen sind schon global präsent, deren Kunden können mit vergleichsweise wenig Aufwand und ohne eigene Investitionen in Infrastruktur global expandieren.
- Synchronisation von Kosten und Nutzen möglich: Die meisten Services in der Cloud haben nutzungsbasierte Preismodelle. Werden mehr Nutzer, Transaktionen oder Ressourcen benötigt, entstehen mehr Kosten für den Kunden. Weiß dieser die nutzungsabhängigen Preismodelle für sich zu nutzen, kann er seine Applikationen und Geschäftsmodelle entsprechend ausrichten.
Der Einfluss von Public Cloud auf die Leistungsziele
Public Cloud hat, nach unserer Einschätzung, einen sehr positiven Einfluss auf die Ziele der Leistungsfähigkeit. Die einfache Nutzung und die große Auswahl an Services ermöglicht es Organisationen, ihre Produkte und Prozesse schnell zu entwickeln und nutzbar zu machen. Sie können Innovationen und globale Skalierung beschleunigen und Wettbewerbsvorteile in ihrem Marktsegment erzielen. Schlüsselfaktoren dafür sind eine schnellere Umsetzung von Ideen und Geschäftsmodellen durch die große Verfügbarkeit von Services und weniger Investitionsrisiko durch die geringeren IT-Kosten zum Start.
Allerdings werden für die Nutzung der Public Cloud-Potentiale Kompetenzen bei Cloud-Architekturen und Software-Entwicklung notwendig, die im besten Fall in der eigenen Organisation vorhanden ist.
Im Rahmen unseres Whitepapers haben wir den Einfluss von Public Cloud auf jedes Leistungsziel abgewogen:
Hebel / Ziel | Abwägung | Bewertung |
Fachliche Probleme | Insbesondere die Breite Auswahl an fachlich vorgeprägten Services in der Public Cloud verbessert die Fähigkeit, fachliche Probleme schnell zu lösen. Für die tatsächliche Umsetzung sind allerdings immer noch eigene Architekturkompetenz und Development-Fähigkeiten erforderlich. | 8 |
Automatisierung | Die Public Cloud bietet sowohl viele Tools zur Automatisierung als auch viele Schnittstellen zur Anbindung der Automatisierung. Für die tatsächliche Umsetzung sind allerdings immer noch eigene Architekturkompetenz und Development-Fähigkeiten erforderlich. | 9 |
Schnelle Innovationen | Aufgrund der einfachen Zugänglichkeit und Vielfalt der Services in der Public Cloud können neue Features und Innovationen schnell umgesetzt werden. Für die tatsächliche Umsetzung sind allerdings immer noch eigene Architekturkompetenz und Development-Fähigkeiten erforderlich. | 9 |
Applikations-Landschaft | Insbesondere die breite Auswahl an IT-Services in der Public Cloud verbessert die Fähigkeit, umfangreiche Applikationslandschaften abzubilden. | 8 |
Einfache Zugänglichkeit | Die Services des Public Cloud sind sowohl für Endnutzer als auch für Software-Entwickler sehr einfach zugänglich. | 8 |
Skalierbarkeit | Die Services der Public Cloud skalieren umfassend. Für eine wirklich globale Skalierung sind dennoch meist entsprechende Architektur-Veränderungen notwendig. | 8 |
Der Einfluss von Public Cloud auf die Kontrollziele
Bei den Kontrollzielen ergibt sich bei Public Cloud ein gemischtes Bild. Auf der einen Seite können die Public Cloud-Anbieter aufgrund ihrer Marktmacht und Größe immense Summen in die Sicherheit ihrer Services und Infrastrukturen investieren. Dadurch können physische Gefahren besser reduziert und der Zugriff durch Kriminelle verringert werden.
Auf der anderen Seite geraten die Kunden in eine verstärkte Abhängigkeit zu den Public-Cloud-Anbietern mit möglicherweise negativen Einflüssen auf das eigene Geschäftsmodell. Beispiele hierfür sind:
- Die Videostreaming-Anbieter Netflix und Disney+ etwa nutzten beide die Public Cloud von AWS und fielen gleichzeitig mit diesem aus.
- Microsoft erhöhte mehrfach die Preise seiner Cloud-Leistungen. Kunden des Cloud-Dienstleisters fällt es aufgrund des Lock-In-Effekts von O365 schwer, Alternativen für das Angebot zu finden.
- Public Clouds sind der Gefahr ausgesetzt, in geopolitischen Krisen als Druckmittel insbesonder der USA genutzt zu werden. Ein Beispiel hierfür ist die Unterbrechung der Adobe-Cloud-Services in Venezuela aufgrund von Executive Orders der Trump-Administration.
Im Rahmen unseres Whitepapers haben wir den Einfluss von Public Cloud auf jedes Kontrollziel abgewogen:
Hebel / Ziel | Abwägung | Bewertung |
Physische Gefahren | Die Public Cloud hält viele physische Rechenzentren vor, die standardmäßig einen sehr guten Schutz vor physischen Gefahren bieten. | 8 |
Einzelne Abhängigkeiten | Insbesondere durch proprietären Schnittstellen und Services können in der Cloud starke Abhängigkeiten zu Anbietern entstehen. Mit entsprechender Architekturkompetenz können diese in vielen Fällen beherrscht werden. | -4 |
Kriminelle | Die Public Cloud biete standardmäßig einen sehr guten Schutz vor Kriminellen. Auf fachliche Cloud-Services (z.B. SaaS) ist dies nicht zwingend übertragbar. | 6 |
Fremde Legislation | Public Cloud-Services mit Anbietern aus Drittländern stehen meist unter der Pflicht, unter bestimmten Bedingungen Daten an diese Drittländer auszuliefern. Laut Eigenaussage kommen sie dieser Pflicht nach, geben aber nur verschlüsselte Daten heraus. | -6 |
Fremde Geheimdienste | Die Methoden von Geheimdiensten sind sehr umfassend und reichen in alle Formen von IT-Infrastrukturen und Netzwerken hinein. Bezogen auf Geheimdienste fremder Staaten ist davon auszugehen, dass sich der höhere Stand der IT-Sicherheit der Public Cloud eher positiv auswirkt. | 1 |
Geopolitische Krisen | Die Nutzung von Public Clouds aus Drittstaaten stellt ein geopolitisches Risiko dar. Das Basis-Risiko ist vergleichbar mit der Private Cloud, denn dort werden ebenfalls US-Technologien verwenden. Aufgrund des Betriebs der Public Cloud durch Unternehmen aus Drittländern ist der Zugriff allerdings unmittelbarer. | -5 |
Der Einfluss von Public Cloud auf benötigte Ressourcen
Bei den Ressourcen ergibt sich ein positives, bis gemischtes Bild. Die geringen Investitionskosten bei der Nutzung der Public Cloud und die Abrechnung nach tatsächlicher Nutzung wirken sich, zumindest am Anfang, positiv auf die Kosten aus. Durch die Automatisierung der eigenen IT-Wertschöpfung muss weniger geschultes Personal bereitgehalten werden im Vergleich zum Aufbau und Betrieb einer eigenen IT-Infrastruktur.
Allerdings werden Ressourcen und Fachwissen benötigt, um die Public Cloud entsprechend zu nutzen. Auch sollten Organisationen permanente Optimierung an ihrer Cloud-Architektur vornehmen, um die Kosten so gering wie möglich zu halten. Mit steigender Nutzung kann eine Public Cloud teurer werden, als die Nutzung einer Private Cloud. Der E-Mail-Service HEY konnte durch den Wechsel siebenstellige Kosteneinsparungen verwirklichen.
Im Rahmen unseres Whitepapers haben wir den Einfluss von Public Cloud auf die Ressourcenfaktoren abgewogen:
Hebel / Ziel | Abwägung | Bewertung |
Investitionen | Bei Nutzung der Public Cloud kann auf erhebliche Eigeninvestitionen in Hardware und Software verzichtet werden. Demgegenüber stehen Investitionen in Ausbildung sowie eine Umstellung einiger interner Prozesse. | 6 |
Laufende Kosten | Die meisten Services der Public Cloud können abhängig von der tatsächlichen Nutzung oder der benötigten Nutzungslizenzen bezogen werden. In der Praxis großer Organisationen werden die Services dann aber nicht variabel abgerufen, so dass sich die Kosten dann tatsächlich als fest und laufend wahrgenommen werden. | 3 |
Variable Kosten | Die Public-Cloud-Anbieter bieten meist variable Kosten je Nutzung an. Diese sind so kalkuliert, dass der Einstieg günstig und einfach ist, bei einer durchschnittlichen Ausnutzung aber teurer wird als in einer Kaufvariante in der Private Cloud. Zudem gelingt es wenigen Unternehmen mit viel Bestandsapplikationen zeitnah die notwendigen technischen Optimierungen umzusetzen. | -5 |
Qualifiziertes Personal | Im Vergleich zur Eigenleistung ist in der Public Cloud deutlich weniger eingearbeitetes Personal notwendig. Der Schlüssel für eine erfolgreiche Nutzung der Public Cloud sind dennoch entsprechend qualifizierte Cloud-Architekten sowie eine verstärkte Einbindung fachlicher Experten in die IT. | 5 |
Zusammenfassung
Bei unserer Bewertung bringt Public Cloud als Hebel zur Steigerung der Souveränität in Bezug auf Leistungsfähigkeit und Kontrolle ein gemischtes Bild. Einerseits können Leistungsfähigkeit und Geschwindigkeit stark erhöht werden, andererseits sinken häufig der Grad der Kontrolle und sowie Fähigkeit zu unabhängigem Handeln auf der Ebene der IT-Infrastruktur. Der Einsatz der Public Cloud geht dementsprechend einher mit Risiken für die eigene digitale Souveränität.
Aus Ressourcensicht werden andere Fähigkeiten, als beim eigenen Rechenzentrumsbetrieb, benötigt, um das Potenzial der Public Cloud vollständig auszunutzen. Zwar sind die Einstiegshürden und Kosten anfangs gering, dafür kann die Abhängigkeit langfristig deutlich steigen.
Zur Abwägung des Einsatzes von Public Cloud und als Vorgehensweise empfiehlt sich folgender, praxisorientierter Ansatz:
- Definition der strategischen Prioritäten: Möchten Sie früh eine Lösung beim Kunden ausprobieren? Möchten Sie global skalieren können? Haben Sie feste, über Jahre planbare Abnehmer? Welche Rolle spielt eine verbesserte Verhandlungsposition gegenüber einem Technologielieferanten?
- Definition von prototypischen Anwendungen: Überlegen Sie sich aus fachlicher Perspektive ein Anwendungsbeispiel, das Ihre strategischen Prioritäten grob erfüllt.
- Identifikation von Meinungsführern: Mit hinreichender Größe Ihrer Organisation werden Sie intern Anhänger der Private Cloud und der Public Cloud finden. Identifizieren Sie deren Meinungsführer und bilden Sie zwei alternative Teams.
- Alternative Prototypen bauen lassen: Geben Sie beiden Teams die Aufgabe, den Prototypen zu bauen. Wichtig: Beide Teams sollten für Legal/Compliance-Fragen einen eigenen Zugang zu Juristen haben.
- Ergebnisse abgleichen: Die beiden Teams werden unterschiedlich arbeiten und in unterschiedlicher Geschwindigkeit zu aufschlussreichen Ergebnissen kommen.
Anhand der dann entstehenden Diskussionen werden Sie eine gute Entscheidung treffen können.