In unserem Artikel 7 Hebel für mehr Souveränität haben wir uns mit den Möglichkeiten einer Steigerung der digitalen Souveränität beschäftigt. Basis dafür sind die sieben Hebel aus unserem Whitepaper "Digitale Souveränität im Cloud-Zeitalter". In diesem Artikel werden wir den zweiten Hebel, die Nutzung von Multi-Cloud, detailliert betrachten. Ziel ist es, den Einfluss von Multi-Cloud auf die von uns definierten Souveränitätsziele (Leistungsfähigkeit und Kontrolle) darzustellen und Vor- und Nachteile zu bewerten.
Warum mehrere Clouds?
Jede Cloud bringt unterschiedliche Leistungs- und Risikoprofile mit sich. Public Clouds gelten als der Benchmark in Punkto Leistungsfähigkeit. Selbstbetriebene Clouds, wie etwa die Bundescloud, erlauben mehr Kontrolle für die Nutzerorganisation. Multi-Cloud-Architekturen hingegen erlauben es die IT-Landschaft gemäß der eigenen Leistungs- und Kontrollanforderungen zu gestalten. Diese Architektur kann Cloud-Dienste verschiedener Anbieter sowie selbstbetriebene Private Clouds enthalten. Vorteile von Multi-Cloud-Konzepten können sein: Unabhängigkeit von einem einzelnen Anbieter, Interoperabilität, höhere Flexibilität und Resilienz. Im Gegenzug steigen in der Regel die Komplexität in Aufbau und Betrieb sowie die Anfälligkeit für Fehler.
Multi-Cloud als Thema
Das Thema Multi-Cloud spielt eine große Rolle in den Medien und Publikationen zur staatlichen IT:
- die Digitalstrategie des Bundes plant eine Multi-Cloud Struktur zu entwickeln. Basis dafür ist die „Deutsche Verwaltungscloud-Strategie“.
- Die Deutsche Verwaltungscloud-Strategie nennt nicht explizit den Begriff „Multi-Cloud“, versucht aber die Clouds des Bundes, der Länder und der Kommunen mit Gaia-X und Public Clouds zu harmonisieren und zu integrieren.
- Alle großen Cloud-Provider und Hersteller sprechen über Multi-Cloud oder haben passende Angebote im Programm (Microsoft, Google, AWS, RedHat, Vodafone, Cisco, VMware).
Empfehlen können wir unseren Artikel „Digitale Souveränität durch Multi-Cloud – geht das?“, der sich mit den Hintergründen beschäftigt und eine Übersicht über das Thema schafft.
Neben der medialen Reichweite ist die parallele Nutzung mehrerer Cloud-Provider bei Firmen schon die Regel. Laut einer Gartner Umfrage nutzen 76% der Befragten schon mehr als eine Cloud. Aber nur, weil eine Firma mehrere Clouds nutzt, führt dies nicht zu einer Steigerung der Souveränitätsfaktoren Leistungsfähigkeit und Kontrolle.
Was bedeutet Multi-Cloud?
Multi-Cloud bezeichnet die parallele Nutzung mehrerer Cloud-Dienste von verschiedenen Cloud-Anbietern in einer einzigen Architektur. Zum Beispiel verschiedene Public und Private Clouds. Mit diesem Konzept können Anwendungen, Services und Daten damit über mehrere Umgebungen verteilt werden und die Flexibilität in Bezug auf Kapazitäten, Kosten und Abhängigkeiten kann gesteuert werden. Beispielhaft auch erklärt bei IONOS.
Multi-Cloud kann auf verschiedenen Ebenen der IT-Wertschöpfung stattfinden:
- IaaS-Ebene: Eine Applikation bleibt in ihrem Kern bestehen, lediglich die zugrundeliegende IT-Infrastruktur (Rechenleistung, Speicher, Netzwerk) wird je nach Bedarf von Azure, AWS oder der Private Cloud bezogen.
- PaaS-Ebene: Die Applikation nutzt meist eine Cloud als Heimat für die IT-Infrastruktur. Einige Platform-Services, wie etwa AI-basierte Übersetzungs-Services, werden von Spezialisten wie DeepL bezogen.
- SaaS-Ebene: Unternehmen beziehen unterschiedliche Softwares von unterschiedlichen Clouds. Für Telefonie wird z.B. Teams von Microsoft genutzt, für Workshops dagegen Miro und für CRM-Systeme Salesforce.
- Landschafts-Ebene: In Summe ergibt sich für Unternehmen eine Multi-Cloud-Realität. In jeder Applikation sind in der Praxis in jeder Ebene Cloud-Services potenziell in Nutzung.
Die Begriffe Multi-Cloud und Hybrid-Cloud werden häufig unscharf verwendet, lassen sich aber klar abgrenzen. Bei Hybrid-Cloud handelt es sich immer um eine Private Cloud, die um, bzw. mit Ressourcen aus der Public Cloud erweitert wird. Beispielsweise liegt die Anwendung in einem ohnehin vorhandenen, eigenen Rechenzentrum. Übersteigt die Nachfrage für kurze Zeit, die dort beschränkt vorhandenen Kapazitäten, werden diese um flexible Rechenleistung und Speicher aus der Public Cloud ergänzt.
Der Einfluss von Multi-Cloud auf die Leistungsziele
Multi-Cloud hat, nach unserer Einschätzung einen gemischten Einfluss auf die Ziele der Leistungsfähigkeit. Grundsätzlich können durch die Kombination mehrere Clouds wie Azure, AWS und StackIT sowie von Services wie Shopify, O365 und Zoom Herausforderungen umfassender adressiert werden. Ein Nutzen lässt sich leicht herstellen, wenn beispielsweise eine Anwendung, die nur in einer Cloud verfügbar ist (Bsp: Office365) mit der IT-Landschaft verbunden wird, die in einer anderen Cloud liegt (Bsp: AWS). Die Nutzung der besten verfügbaren Lösung für eine Aufgabe lässt sich mit einer Multi-Cloud-Strategie gut umsetzen.
Allerdings erzeugt der Einsatz paralleler Clouds eine steigende Komplexität. Sowohl die Verwaltung als auch der Betrieb der Cloud-Infrastruktur werden aufwendiger und es ergeben sich mehr Schnittstellen und Fehlerquellen. Soll eine Anwendung über mehrere Clouds laufen, kann die Fehleranfälligkeit durch mehrere Serviceanbieter und eine höhere Komplexität schnell steigen. Auch eine übergreifende Skalierung einer Anwendung kann in diesem Umfeld schwierig werden.
Im Rahmen unseres Whitepapers haben wir den Einfluss von Multi-Cloud auf jedes Leistungsziel abgewogen:
Hebel / Ziel | Abwägung | Bewertung |
Fachliche Probleme | Der Einsatz mehrerer Cloud-Lösungen, insb. von SaaS, kann die Fähigkeit der Cloud fachliche Probleme zu lösen deutlich erhöhen. Multi-Cloud-Ansätze, die darauf abzielen eine Applikation mit Hilfe von Container-Lösungen kurzfristig zwischen zwei Clouds zu verschieben verzichten hingegen auf proprietäre Middlewares von Clouds und schränken somit deren Fähigkeit etwas ein fachliche Probleme zu lösen. | 3 |
Automatisierung | Multi-Cloud-Lösungen erzeugen Mehraufwand bei der Automatisierung. | -2 |
Schnelle Innovationen | Der Einsatz mehrerer Cloud-Lösungen, insb. von SaaS, kann die Fähigkeit der Cloud schnell zu innovieren deutlich erhöhen. Multi-Cloud-Ansätze, die darauf abzielen eine Applikation mit Hilfe von Container-Lösungen kurzfristig zwischen zwei Clouds zu verschieben verzichten hingegen auf proprietäre Middlewares von Clouds und schränken somit deren Fähigkeit etwas ein schnell zu innovieren. | 3 |
Applikations-Landschaft | Der Einsatz mehrerer Cloud-Lösungen, insb. von SaaS, kann die Fähigkeit der Cloud fachliche Probleme zu lösen deutlich erhöhen. Multi-Cloud-Ansätze, die darauf abzielen eine Applikation mit Hilfe von Container-Lösungen kurzfristig zwischen zwei Clouds zu verschieben verzichten hingegen auf proprietäre Middlewares von Clouds und schränken somit deren Fähigkeit etwas ein fachliche Probleme zu lösen. | 3 |
Einfache Zugänglichkeit | Multi-Cloud hat idR. keinen Einfluss auf die Zugänglichkeit jeder einzelnen Cloud. Wird allerdings versucht über interopable Komponenten (e.g. Kubernetes) Applikationen auf mehreren Infrastrukturen lauffähig zu halten, verlieren die Clouds deutlich an Zugänglichkeit. | -2 |
Skalierbarkeit | Multi-Cloud hat idR. keinen Einfluss auf die Skalierbarkeit jeder einzelnen Cloud. Wird allerdings versucht über interopable Komponenten (e.g. Kubernetes) Applikationen auf mehreren Infrastrukturen lauffähig zu halten, kann das Gesamtsystem an Skalierbarkeit verlieren. | -1 |
Der Einfluss von Multi-Cloud auf die Kontrollziele
Auch bei den Kontrollzielen ergibt sich durch Multi-Cloud ein gemischtes Bild. So können Abhängigkeiten von einzelnen Anbietern vermieden werden, das Risiko eines Gesamt-Ausfalls kann reduziert werden. Entscheidet sich ein Unternehmen bewusst für eine Multi-Cloud-Strategie, kann es mit entsprechendem Aufwand Applikationskomponenten interoperabel gestalten und sich damit vor Lock-In-Effekten schützen. Unter bestimmten Umständen können Unternehmen dann unkompliziert zum jeweils günstigsten Anbieter wechseln. Die Chancen und Risiken beim Umgang mit Lock-in-Effekten hat Gregor Hohpe ausführlich erörtert (Quelle: Don´t get locked up into avoiding lock-in).
Die Nutzung mehrerer Cloud-Provider erhöht die Vielfalt der zu steuernden Nutzer-Zugänge und dazugehörigen Berechtigungen. Diese gesteigerte Komplexität bietet mehr Angriffsfläche für Kriminelle. Die Steuerung des berechtigen Zugriffs auf Daten und die Einhaltung von Compliance-Vorgaben kann durch verteilte Speicherorte und Anwendungen schwieriger zu kontrollieren sein.
Im Rahmen unseres Whitepapers haben wir den Einfluss von Multi-Cloud auf jedes Kontrollziel abgewogen:
Hebel / Ziel | Abwägung | Bewertung |
Physische Gefahren | Mit Hilfe von Multi-Cloud-Konzepten kann der Schutz vor physikalischen Gefahren deutlich verbessert werden. Andererseits bieten auch einzelne Clouds Möglichkeiten lokale Gefahten zu vermeiden. | 5 |
Einzelne Abhängigkeiten | Mit Hilfe von Multi-Cloud-Konzepten können Abhängigkeiten von einzelnen Unternehmen deutlich reduziert werden. | 9 |
Kriminelle | Aufgrund der höheren Komplexität von Multi-Cloud-Architekturen haben Kriminelle grundsätzlich mehr Möglichkeiten Schwachstellen zu finden und auszunutzen. | -3 |
Fremde Legislation | Mit Multi-Cloud-Architekturen können Applikationen erstellt werden, die es ermöglichen kritische Daten an anderer Stelle zu bearbeiten, als weniger kritische Daten. Somit kann der potentielle Zugriff von Drittstaaten verhindert werden. Allerdings ist der nutzbare Umfang von Clouds aus Drittländern damit eingeschränkt. | 3 |
Fremde Geheimdienste | Aufgrund der höheren Komplexität von Multi-Cloud-Architekturen haben Geheimdienste grundsätzlich mehr Möglichkeiten Schwachstellen zu finden und auszunutzen. | -2 |
Geopolitische Krisen | Aufgrund der starken Marktposition von US-Anbietern sowohl in der Private Cloud, als auch in der Public Cloud, sind Multi-Cloud-Umgebungen in der Regel nicht wesentlich unabhängiger gegenüber geopolitischen Krisen. | 1 |
Der Einfluss von Multi-Cloud auf benötigte Ressourcen
Multi-Cloud kann einen großen Mehraufwand erzeugen und benötigt entsprechende Ressourcen und Fachwissen. Die oben genannten Vorteile müssen gegen einen höheren Implementierungs- und Verwaltungsaufwand abgewogen werden. Zusätzlich werden geschulte Mitarbeitende benötigt, um die gesteigerte Komplexität zu managen.
Aus Kostensicht besteht bei Multi-Cloud die Gefahr, dass aufgrund der verschiedenen Cloud-Provider eine übergreifende Übersicht nur mit deutlich erhöhten Aufwänden zu erreichen ist. Zudem kann die erhöhte Anzahl von Verträgen und Services die Kosten-Transparenz senken und effektive Kostensenkungsmaßnahmen erschweren.
Im Rahmen unseres Whitepapers haben wir den Einfluss von Multi-Cloud auf die Ressourcenfaktoren abgewogen:
Hebel / Ziel | Abwägung | Bewertung |
Investitionen | Multi-Cloud-Architekturen bedeuten idR. einen deutlich erhöhten Planungs- und Implementierungsaufwand. | -6 |
Laufende Kosten | Multi-Cloud-Architekturen bedeuten idR. einen erhöhten Betriebsaufwand. | -7 |
Variable Kosten | Multi-Cloud-Architekturen bedeuten in der Regel zusätzliche Kosten für Netzwerktraffic. | -2 |
Qualifiziertes Personal | Multi-Cloud-Architekturen bedeuten idR. einen deutlich erhöhten Bedarf an qualifiziertem Personal. | -7 |
Zusammenfassung
Bei unserer Bewertung bringt Multi-Cloud als Hebel zur Steigerung der Souveränität in Bezug auf Leistungsfähigkeit und Kontrolle ein ausgeglichenes Bild. Der Einsatz von Multi-Cloud kann für beide Ziele eindeutige Vorteile bringen. Dabei darf nicht vergessen werden, dass die Steigerung der Komplexität gemanagt werden muss und der Ressourcenaufwand dementsprechend höher ausfällt.
Mit einer guten Multi-Cloud-Strategie kann ein Verzicht auf zentrale Abhängigkeiten erreicht werden. Bezahlt wird dieser mit mehr Investitionen und mehr Aufwand im Betrieb. Zusätzlich muss mehr Kompetenz und Willen im eigenen Haus vorhanden sein, um Krisenszenarien rechtzeitig zu erkennen und sich rechtzeitig darauf vorzubereiten.
Zur Abwägung des Einsatzes von Multi-Cloud empfehlen wir folgendes Vorgehen:
- Definition des individuellen Bedarfs nach Leistungsfähigkeit und Kontrolle je Fach-Anwendung: Wie wichtig sind die Faktoren Funktionsvielfalt, Geschwindigkeit und Skalierbarkeit? Wie wichtig ist die Verfügbarkeit der Anwendung im Falle einer geopolitischen Auseinandersetzung, etwa mit den USA? Welche Rolle spielt die Verbesserung der Verhandlungsposition gegenüber einem einzelnen Technologielieferanten?
- Bewusste Entscheidung zum Mix aus Fremd- und Eigenleistung: Bei unkritischen Anwendungen können Organisationen die IT-Wertschöpfung vollständig auslagern (Bsp: SaaS). Für Themen mit hohem Kontrollbedarf bedarf es mindestens die Eigenleistung im Bereich Architektur, häufig aber auch für Entwicklung, Betrieb und Infrastruktur.
- Inhaltliche Ausarbeitung der Architektur: Abhängig vom definierten Mix aus Leistungsfähigkeits-/Kontrollzielen wird dann die Applikationsarchitektur entworfen. Zur Absicherung gegenüber geopolitischen Auseinandersetzungen etwa könnten ausschließlich europäische Clouds eingesetzt werden, deren Stack vollständig auf Open-Source-Technologie basiert.
Ausblick
Im nächsten Artikel betrachten wir das Thema Open-Source und bewerten, inwieweit es als ein Hebel zur Steigerung der Souveränität helfen kann.