Gegen zentrale externe Cloud-Dienste

- 30.12.2013
von Thomas Windscheif / Microlinc



UPDATE (09.03.2017):
Es ist eine Weile her als ich die Liste der Gründe gegen externe Cloud-Dienste angelegt habe, heute sehe ich einige Dinge anders und würde diese nun gerne darlegen:

  • Der Betrieb einer hochverfügbaren standortübergreifenden Onpremise-Infrastruktur die für extern verfügbar gemacht wird, ist zumindest aus Infrastruktursicht mittlerweile für viele Unternhemen nicht mehr bezahlbar. Hersteller wie z. B. Microsoft heben die Preise für Lizenzierung wie OPEN jährlich an und gleichzeitig sind die Office365-Lizenzen höherwertiger (z. B. vom Funktionsumfang) und günstiger. Außerdem ist man extrem flexibel. Office365-Abo-Lizenzen lassen sich als Betriebskosten direkt umlegen und auch jederzeit up- bzw. downgraden und sogar monatlich kündigen. OEM-Lizenzen bieten hier leider keinen Ausweg, da viele Lizenzmerkmale hierbei im Vergleich zu OPEN-Lizenzierung und Office365 nicht existieren (Nutzbarkeit für einen Benutzer auf mehreren Devices, Nutzung auf Terminalservern, etc.).

  • Es mangelt an Personal diese Systeme zu warten. Mittlerweile werden mindestens quartalsweise Serverupdates herausgebracht. Diese müssen getestet und anschließend in die Produktion. eingespielt werden. Wenn man diese Prozesse ernsthaft durchführt ((Dritt-)Herstellerabfrage ob kompatibel, Prüfung der Backups, Release-Notes, Abhängigkeiten zu Add-Ons, Änderungen am Updateprozess, Dokumentation der Änderungen, Abnahmetests, etc.), dann ist das von einer Person bei einem Dienst der bei hochverfügbaren Umgebungen mindestens auf 5 oder mehr Systemen läuft in einer Woche kaum zu schaffen.

  • Es mangelt an Support. Hersteller wie Microsoft bauen immer weiter den Support für Onpremise-betriebene Produkte ab. Gleichzeitig wird viel Personal in den Support von z. B. Office365 gesteckt. Prüfen Sie doch mal ob Sie für OnPremise Exchange 2013 oder 2016 als Microsoft Partner noch Advisory-Hours bekommen ;).

  • Es mangelt an Wissen um neue Features zu konfigurieren und auszurollen. Der normalsterbliche Administrator hat i. d. R. keine Zeit sich neben den gefühlt 1000 parallelen Projekten (meist mit externen Beratern) mal eben noch ein nettes Feature für die Benutzer anzuschauen und den Rollout hierfür zu "planen".

  • Wenn Sie nicht eine eigene IT-Security-Abteilung aufgebaut haben und dort tatsächlich eben solche Spezialisten sind, haben Sie eigentlich keinen ausreichenden Schutz für Ihre Umgebung. Die fast täglich auftretenden Sicherheitslücken, teils auch in IT-Sicherheitssystem können bei einem vielfältigen Portfolio von externen Diensten die Sie selbstverständlich ultra mobil und transparent für Ihre Benutzer (natürlich ohne VPN etc.) mit Bring your own Devices anbieten niemals von Ihnen alleine überwacht werden. Um ein Mindestmaß an Sicherheit zu gewährleisten haben Sie ein MDM und MAM für Ihre mobilen Endgeräte im Einsatz, hochverfügbare Reverseproxies mit einer OTP-Appliance für Multifaktorauthentizierung (ggf. mit App-Anbindung oder mit SMS-Gateway), einen mehrschichtigen Firewall-Perimeter, eine SIEM-Lösung für die Erfassung und Analyse von sicherheitsrelevanten Ereignissen usw.

  • Durch die Auslagerung von Systemen in die Cloud sparen Sie ernome Mengen von Zeit. Durch die Reduzierung der Serversysteme fällt ein großer Teil des Asset-Managements weg. Sie haben bei kritischen Systemen an Wochenenden keine Bauchschmerzen mehr, weil Sie die Systeme ausgelagert haben.


Aus meiner Sicht gehören Dienste wie Exchange und nicht vollständig (durch Drittanbieter) modifizierte Sharepoint-Umgebungen sowie Skype for Business in die Cloud. Die Menge an Systemen und die Komplexität der Systeme ist zu hoch um diese OnPremise zu betreiben.

Eine Sache bereitet mir allerdings bei dem Cloudthema immer Bauchschmerzen:
Um einen reibungslosen Ablauf aller Cloudzugriff zu gewährleisten ist eine performante Internetverbindung unabdingbar. Viele Kleine bauen da häufig nur auf einen Anbieter und nur einen Internetleitungstyp. Es muss unbedingt in die Verfügbarkeit der Internetverbindung investiert werden.
Und vorallem beim großen deutschen Telekomunkationsanbieter sind Sie häufig verraten und verkauft. Trotz definierter Enstörzeiten und entsprechenden Business-Tarifen, wird Ihnen häufig nicht fristgerecht geholfen. Daher: Immer mindestens zwei Leitungen von zwei verschiedenen Anbietern am Besten mit verschiedenen Übetragungstechnologien (z. B. VDSL und Koaxial).

- Original von 2013 -
Gründe die gegen zentrale externe Cloud-Dienste für Unternehmen (aber auch für Privathaushalte) sprechen:

  1. Manche Anwendungen wie weniger verbreitete aber geniale Branchen-Software lassen sich nicht als cloud-Anwendungen anwenden

  2. i. d. R. nicht individuell anpassbar

  3. eine extrem hohe Verfügbarkeit der Internetleitung und -Bandbreite (UP- & Download) muss an jedem Standort vorhanden sein (kostspielige Failover-Lösungen mit Standby-Kosten)

  4. zentrale Dienste = zentrale Angriffsstelle, wird ein Anbieter im schlimmsten Fall durch eine Sicherheitslücke oder durch mangelhafte Einhaltung von Sicherheitsrichtlinien "gehackt" sind i. d. R. nicht nur Einer sondern Alle davon betroffen.

  5. Wenn der Anbieter Tarife oder Bedingungen ändert, ist man ihm mehr oder weniger ausgeliefert. (Oder wollen Sie alle zwei Jahre cloud-Umzug durchführen mit den entsprechenden Risiken?)

  6. Man kann nicht einfach den Stecker ziehen (wie bei einem lokalen Server) wenn man Datentransfers verhindern will.

  7. Datenschutzproblematik (auch wenn der TÜV alles zertifiziert hat, wer garantiert die zukünftige tägliche Einhaltung?; wer bürgt für Mitarbeiter bei Anbietern die der "dunklen Seite der Macht dienen"?)

  8. Wer prüft als unabhängige Stelle ob die Daten im Inland bleiben, welche Behörden zugreifen?

  9. Mal abgesehen von Mitarbeitern bei den cloud-Anbietern, wie sieht es mit der Umgang von Benutzernamen und Passwörtern bei Ihren Mitarbeitern aus? Wenn Sie bspw. eine serhr freie Rechtevergabe praktizieren und die MA aus Versehen die Zugangsdaten liegen lassen oder sich unerlaubter Weise die Daten irgendwo am Heimarbeitsplatz notieren und der Rechner in der Familie von anderen mitbenutzt wird (Malware-Befall, bösartige Nachbarskinder/Freunde etc.)?

  10. global betrachtet: Mehr Fachkräfte sammeln sich bei den jeweiligen großen Providern bzw. an den jeweiligen Orten, hierdurch gehen Kompetenzen an vielen anderen Orten verloren bei denen man früher mit ehrgeizigen ITlern tolle Projekte entwickeln konnte (hierdurch wird auch die Monopolisierung der Anbieter verstärkt und man macht sich weiter abhängig, außerdem gehen dann durch Wegfall der Individual-Lösungen die Kompetenz der System-Universalisten/Generalisten verloren, der überwiegende Teil der Fachkräfte werden zu "Fachidioten", die zwar z.B. SAP hervorragend bedienen können, aber keine Serverlogbücher mehr analysieren können)

  11. Wie sehen die Failover-Strategien für die anbieterseitigen Rechenzentren aus? Wenn z. B. eine Überschwemmung naht oder schwere Gewitter drohen oder der Netzanbieter einfach mal den Strom kappt. Anbieter die sich über Backup-Rechenzentren Gedanken machen und solche umsetzen kosten auch mehr Geld. Natürlich kann dies auch Ihnen passieren, aber wenn bei Ihnen die Firma absäuft oder der Strom weg ist, können Sie auch bei cloud-hosted Services nicht mehr arbeiten und Sie werden sich in dem Moment nicht über Ihre Kundenaufträge Gedanken machen. Außerdem können Sie bei sauberer Datensicherung i. d. R. je nach System schnell wieder auf ein Backup-System im Notbetrieb umsatteln.


Diese Liste ist längst nicht vollständig und darf gerne erweitert werden. Vorteile dürfen auch genannt werden, hierfür reicht aber schon ein Link zu den jeweiligen Anbietern.




MICROL!NC - URL zum Artikel: http://microlinc.homeip.net/index.php?lev1=13&lev2=10&id=204 - Ausdruck vom 25.04.2024