Cloud in Unternehmen: Zeit, sich von einigen Mythen zu verabschieden
Während Privatpersonen die Clouds diverser Anbieter hierzulande ausgiebig nutzen, sind deutsche Unternehmen deutlich zurückhaltender. Sie haben viele Vorbehalte gegenüber Clouddienstleistern und machen sich Sorgen um die Sicherheit ihrer Daten. Im europäischen Vergleich lagen deutsche Firmen 2020 beim Einsatz von Cloud Computing im Mittelfeld und sogar drei Prozentpunkte unter dem EU-Durchschnitt(öffnet im neuen Fenster) - eine Entwicklung, die Sorgen machen kann, weil die umständliche IT-Infrastruktur die Geschäfte vieler Unternehmen hemmt.
Dabei sind die Bedenken der Firmen vielfach unbegründet, denn Sicherheitsrisiken lassen sich mit der richtigen Hard- und Software deutlich reduzieren. Komplett von der Außenwelt fernzuhalten sind Firmendaten heutzutage ohnehin nicht mehr - auch nicht mit einem noch so lokalen Netzwerk. Aus Sicht des Autors, eines Entwicklers, der sich schon viele Jahre mit IT-Strukturen in Unternehmen befasst, auch als Geschäftsführer einer Beratungsfirma unter anderem für Cloud Computing, liegen die Vorteile der Cloud auf der Hand: Sie ist bei Einrichtung, Kosten, Wartung und Nutzung effizienter und nützlicher als jede lokale Lösung.
Warum zögern so viele Unternehmen in Deutschland?
Häufig sind es Sicherheitsbedenken, die Unternehmen davon abhalten, Clouddienste zu nutzen. Der Austausch vertraulicher Daten mit dem Clouddienstleister bereitet vielen hierzulande großes Unbehagen.
Hinzu kommen oftmals fehlendes Vertrauen in Firewalls und die Angst vor Sicherheitslücken, Softwarefehlern und technischen Ausfällen. Durch die aufgedeckten Datenskandale großer Anbieter aus den USA, wie Facebook und Microsoft , wurde das Vertrauen in die großen Cloudanbieter geschwächt.
Dabei erfährt der Umgang mit Unternehmensdaten vom Gesetzgeber her besonderen Schutz. Es gelten spezielle Vorgaben bei der digitalen Datenarchivierung, ähnlich wie bei den Vorgaben zur Ablage von analogen Papierdokumenten.
Mit der Datenschutz-Grundverordnung (DSGVO)(öffnet im neuen Fenster) existieren zudem strenge Vorgaben zum Datenschutz.
Lokale Datenkontrolle ist eine Illusion
Zur Erfüllung der gesetzlichen Vorgaben zur Datenhaltung und Archivierung verlassen sich viele Unternehmer nicht gern auf andere. Doch nicht nur deswegen, sondern auch wegen der Wahrung von Geschäftsgeheimnissen tendieren sie häufig dazu, Daten innerhalb ihrer lokalen IT-Struktur zu halten.
Die eigenen Daten im lokalen Netz der Firmeninfrastruktur als sicher und vom Internet besser separiert zu betrachten, ist jedoch heutzutage überholt. Die Zeiten, als das Internet im Geschäftsbetrieb für den E-Mail-Austausch oder spezielle terminalbasierte Dienste genutzt wurde, gehören der Vergangenheit an.
Nahezu jede Firma ist heute mit dem Internet verbunden und technisch gesehen aus dem Internet genauso erreichbar wie die Cloudanbieter. Der Unterschied besteht darin, wie man den Zugriff aus dem öffentlichen Netz auf die privaten Daten geschützt zur Verfügung stellt beziehungsweise den Zugriff unterbindet.
Die Absicherung und Trennung des lokalen Netzwerkes vom Internet übernehmen im Allgemeinen Router mit integrierter Firewall, eine Kombination aus Router und Firewall oder eine Sicherheitsinfrastruktur aus mehreren Routern, Firewalls und einer DMZ-Umgebung - wobei DMZ für Demilitarized Zone steht und ein speziell kontrolliertes Netzwerk bezeichnet, das sich zwischen dem externen Netzwerk (Internet) und dem internen Netz befindet. Es stellt eine Art Pufferzone dar, die die Netze durch strenge Kommunikationsregeln und Firewalls voneinander trennt.
Nicht alle Router eignen sich
Oft werden einfach nur die vom Internetprovider gestellten Geräte eingesetzt und ihnen blind vertraut. Einige Internetprovider bieten Business-Internetzugänge mit festen IP-Adressen und schnelleren Servicezeiten an. Allerdings sind die gestellten Router in Sachen Sicherheit und Funktionsumfang oft nicht für den Unternehmensbedarf geeignet.
Häufig hat man es mit umgelabelten Geräten von AVM zu tun, die für den Heimeinsatz geeignet sind, bei speziellen Firmenanforderungen aber schnell an ihre Grenzen stoßen. Aus sicherheitstechnischer Sicht besitzen diese Geräte oft nicht die Robustheit, den Funktionsumfang und die Anpassbarkeit wie Geräte von unabhängigen Sicherheitsproduzenten wie Cisco, Lancom, Palo Alto oder Fortinet.
Der Unterschied besteht darin, dass "normale Router" für den einfachen Einsatz als Firewall meist nur eine sogenannte Stateful Inspection Firewall im Einsatz haben. Hierbei handelt es sich um ein Basis-Firewall-System. Es hat sich in den letzten Jahrzehnten bewährt und basiert auf einer Nachhaltung von TCP/IP-Verbindungen (Erfassung, wer welche Verbindung in welche Richtung aufgebaut hat), die dann zugelassen oder verweigert werden.
Bestehende (zugelassene) Verbindungen werden durchgelassen. In der einfachsten Form wird jeder Verbindungsaufbau von innen nach außen durchgelassen und von außen nach innen verweigert - es sei denn, der eingehende Datenstrom gehört zu einer Antwort einer bestehenden Verbindung (die vorher von innen nach außen aufgebaut und erfasst wurde).
Die Geräte der gängigen Firewall-Hersteller für den Business-Bereich gehen mit den sogenannten Next Generation Firewalls (NGF) ein Stück weiter. Als Basis bieten alle beschriebenen Stateful Inspection Firewall an. Darüber hinaus sind häufig zusätzliche Dienste wie Intrusion Prevention (IPS), Intrusion Detection (IDS) sowie Threat Detection Systeme mit an Bord.
Tief in den Datenstrom hineinblicken
Diese Dienste überwachen nicht nur die Verbindungszustände, sondern analysieren auch das Verhalten der Kommunikationspartner. Hier wird zum Beispiel über vom Hersteller gepflegte Listen von Angriffsvektoren Verbindungsverhalten der Kommunikationspartner ausgewertet und - im Falle von IPS - weitere Verbindungsversuche eines Angreifers unterbunden.
Ähnliches gilt bei IDS für bestehende Verbindungen - und das nicht nur für solche von außen; auch interne, eventuell infizierte Systeme können erkannt werden. Threat Detection Systeme können - sofern eine Verbindung mit Software Agents oder Antivirus-Programmen besteht - mit Firewalls diese Computersysteme vom Rest des Netzwerkes isolieren.
Darüber hinaus bieten NGFs Möglichkeiten, tiefer in den Datenstrom hineinzuschauen, die Applikationen und das Verhalten der Protokolle zu analysieren und die Daten auf Viren zu untersuchen. Bei solchen Diensten muss der Datenstrom vorab verschlüsselt werden, bevor er an sein Ziel weitergeleitet wird - ein Vorgang, den diese Firewall-Systeme auch erfüllen können.
Weitere Funktionen wie VPN-Verbindungen, Hochverfügbarkeitslösungen, volle Programmierbarkeit, Modularfähigkeit und viele mehr kommen noch hinzu. Die heutigen Firewalls sind inzwischen sehr weit entwickelt und haben einen recht großen Funktionsumfang. Ihre Sicherheitssysteme müssen vom Hersteller ähnlich wie Antivirus-Software gepflegt und ständig aktuell gehalten werden, wobei der Hardware-Ressourcenbedarf hoch ist.
Sichere Router sind teuer
Das hat natürlich seinen Preis und fängt ungefähr bei den fünffachen Kosten einer Fritzbox an. Für größere Netzwerke bei vollem Funktionsumfang kann das zigtausende Euro oder mehr kosten. Oftmals beinhaltet dies zusätzlich noch einen Pflegevertrag.
Bei Unternehmen, die ihre IT komplett lokal betreiben, wird zudem die Notwendigkeit immer größer, ihren Mitarbeitern Zugriff von außen zu ermöglichen - sei es für das Homeoffice, sei es, um Vertriebsmitarbeitern oder Mitarbeitern im Außendienst die Arbeit zu ermöglichen.
In solchen Fällen muss man sich mit seiner Unternehmens-IT in gewisser Weise eine private Cloud aufbauen. Aber auch hier gilt: Wenn Zugriffe von außen möglich sein sollen, muss für eingehenden Datenverkehr aus dem Internet immer geöffnet werden.
VPN geht manchmal, manchmal aber auch nicht
Bei der Sicherheitsstruktur der Unternehmens-IT liegt der Fokus auf der Sicherheitstechnik des eingehenden Verkehrs und auf deren strukturellem Aufbau. Einfachste Form sind (Port-)Weiterleitungen vom Internetrouter direkt zur internen Anwendung am Server.
Allerdings sind sie nicht zu empfehlen, da die Anwendung so direkt im Internet steht und bei Zero-Day-Sicherheitslücken ein Einfallstor ins interne Netz bietet. Am 2. März 2021 veröffentlichte Microsoft wichtige Sicherheitsupdates für Microsoft Exchange Server, mit denen sieben Schwachstellen behoben wurden, darunter vier Zero-Day-Exploits, die bereits von mehreren Bedrohungsakteuren seit einigen Wochen ausgenutzt worden waren.
Empfehlenswert ist der Einsatz einer VPN-Firewall und eine VPN-Einwahl mit starker Verschlüsselung vorzuschalten. Jedoch ist das nicht immer praktisch anwendbar, da es Fälle gibt, wo Anwendungen direkt ohne VPN erreichbar sein müssen. Das kommt bei gemischten Client-Typen wie Mobilgeräten häufig vor, die aus Netzwerksicht auf verteilte Anwendungsserver zugreifen müssen.
Dann kommen normalerweise Sicherheitsstrukturen zum Zuge wie mehrstufige Firewalls, DMZ mit Loadbalancern und Reverseproxys, die sicherheitstechnische Aufgaben logisch aufteilen und die eingehenden Verbindungen vorfiltern, segmentiert lassen, authentifizieren und an die entsprechenden Serveranwendungen indirekt weiterleiten.
Aus sicherheitstechnischer Sicht ist dies der Implementierungsstandard, sobald man eingehende Verbindungen von außen (Internet) nach innen (lokales Netz, private Cloud, Public Cloud) zulassen muss. Diese Struktur in einem lokalen Netz umzusetzen, ist mit erheblichen Kosten verbunden oder schlicht und einfach ineffizient, wenn der Betrieb nur eine Anwendung für wenige Mitarbeiter zur Verfügung stellen möchte.
Sicherheit im lokalen Netz ist sehr aufwendig
Aus Effizienz- und Sicherheitssicht fangen hier die Vorteile zentraler Public-Cloudumgebungen an. Die Umgebung für einen Clouddienst ist von vornherein für diesen Zweck konzipiert und nach diesen Sicherheitsstandards aufgebaut. Selbst wenn ein Clouddienst nur wenige Nutzer hat, sind die Infrastruktur und der Sicherheitsaufbau Bestandteil des Dienstes. Als Nutzer muss man sich zumindest über die Implementierung und Umsetzung der Sicherheitsstruktur keine Gedanken mehr machen.
Das Vertrauen in den Anbieter steht auf einem anderen Blatt. IT-Technologie gehört in den meisten Fällen für Unternehmen nicht zum Kerngeschäft und muss daher ausgelagert werden. Sei es über eine eigene Abteilung mit IT-Fachpersonal oder über externe Firmen, die die Verwaltung der IT übernehmen.
In allen Fällen gilt: Dieses Personal hat administrativen Zugriff auf die Unternehmensdaten. Häufig sind bei der Geschäftsführung tiefergehende IT-Kenntnisse nicht vorhanden, um selbst überwachen oder beurteilen zu können, was mit den Daten eigentlich geschieht.
Immer auch Vertrauenssache
Bei einer Datenadministration über Dritte ist Vertrauen der Schlüssel - sei es zu den eigenen Mitarbeitern, dem beauftragten Systemhaus oder dem Cloudanbieter. Man muss sich darauf verlassen, dass diese Institutionen die Vorgaben zu Datenhaltung und Datenschutz umsetzen und einhalten. Der Cloudanbieter ist also kein Novum, er ist nur eine weitere Vertrauensdomäne.
Der Unterschied ist die Lokalität. Im eigenen Unternehmen ist die physikalische Datenablage bekannt, in der Cloud ist dies nicht der Fall.
Dass die Daten in der Cloud nicht direkt greifbar sind beziehungsweise dass innerhalb des Cloudanbieters nicht kontrolliert werden kann, wer Zugriff hat, wirft berechtigte Sorgen auf. Die Infrastruktur der Cloud, die oft besser zur Datenabsicherung, Datenablage und Segmentierung geeignet ist als eine eigene lokale Infrastruktur, ist mit vielen Tools zur Absicherung und Rechteverwaltung der eigenen Mitarbeiter oder Abteilungen ausgestattet.
Doch wie sieht es mit dem Schutz vor Einsicht des Cloudproviders aus? Er stellt die Plattform zur Verfügung und hat natürlich administrativen Zugriff auf das System und somit indirekt auch auf die Kundendaten. Jedoch gibt es technische Hilfsmittel, die die Daten zumindest für den Provider unbrauchbar machen. So lassen sich zum Beispiel Daten über Verschlüsselungen für andere nicht einsehbar, aber verwaltbar machen. Stellt man dem Provider den Entschlüsselungskey nicht zur Verfügung, können die Inhalte von Dritten nicht eingesehen werden.
Darüber hinaus gelten gesetzliche Datenschutzbestimmungen natürlich auch für Cloudanbieter - und die Bestimmungen für den Geschäftsbereich sind recht streng gehalten.
Was die Lokalität der Daten angeht, gibt es in den Gesetzesvorlagen Bestimmungen, dass Daten deutscher/europäischer Kunden in Deutschland beziehungsweise Europa gehalten werden müssen. Natürlich beruht dies auf einem gewissen Vertrauensvorschuss, da man sich darauf verlassen muss, dass die Bestimmungen vom Anbieter eingehalten und gewissenhaft umgesetzt werden.
Ein Restrisiko bleibt
Vor dem Wechsel zu einem Anbieter sollte man sich den Umgang im Hinblick auf die Datenschutzbestimmungen und der eigenen Richtlinien genau anschauen. Es gibt inzwischen einige Anbieter, die über die gesetzlichen Bestimmungen hinausgehen. Sie haben den Bedarf und die Wichtigkeit des Schutzes von Unternehmensdaten erkannt und versuchen, damit Kunden zu gewinnen.
Aber: Ein Restrisiko bleibt. Dies gilt nicht nur für die Cloud, sondern für alle IT-basierten Geräte mit geschlossenem Betriebssystem. Schon in den frühen Internetzeiten kam einmal heraus, dass Microsofts Windows XP gerne "nach Hause telefoniert".
Eine lokale Datenhaltung ist aufwendiger zu pflegen und die Umsetzung lokaler Sicherheitsrichtlinien, sofern man heutige Standards einhalten möchte, ist immens aufwendig. Bei der Einhaltung solcher Richtlinien geht es nicht nur um Willensbekenntnisse. Dieses Thema kann in Versicherungsfällen oder rechtlichen Angelegenheiten wichtig werden.
Versicherung? Gesetze? Alles komplizierte Themen ...
Beim Abschluss einer IT-Versicherung sind etwa nicht nur die Datenschutzbestimmungen von Bedeutung, sondern auch die Absicherung und Pflege der gesamten IT. Das beinhaltet Datensicherung und Aufbewahrung der Sicherung an einem anderen Ort, Sicherungsüberwachung, Wartung der IT-Systeme und Betrieb in einer geeigneten Umgebung sowie Feuerschutz und die physische Zutrittsregelung des eigenen Personals zu den Hardwaresystemen.
Seitdem digitale Dokumente vom Gesetzgeber auch als rechtskräftige Dokumente anerkannt werden, gelten außerdem Vorgaben zur Datenarchivierung. Darüber hinaus kann ein Versicherer bei nicht fachgemäßer Datenhaltung schnell Fahrlässigkeit unterstellen und so die Auszahlung von Leistungen verweigern.
... die der Cloudprovider übernehmen kann
Die Vorteile des Cloudbetriebs treten hier klar zum Vorschein. Denn die meisten dieser Aufgaben werden auf den Cloudprovider übertragen. Die physischen Inhalte wie Zutrittsregelung, Feuerschutz und Betriebsumgebung erledigen sich.
Die Datenpflege und Wartung kann je nach genutztem Clouddienst und Anbieter variieren, in den meisten Fällen ist der Betrieb auf hochverfügbaren Systemen und eine automatisierte Datensicherung enthalten. Es gilt, einen vertrauenswürdigen Anbieter zu finden, der den zu erfüllenden Vorgaben entspricht.
Wofür eignet sich die Cloud besonders - und welche genau?
Einen passenden Cloudanbieter zu finden, ist von der Vorgehensweise ähnlich wie bei der Neuanschaffung von IT-Systemen oder Software. Ratsam ist es, sich auf Erfahrungen und Beratung, etwa von Systemhäusern, zu stützen, Testversionen zu prüfen und abzuwägen.
Generell gilt in der Zusammenarbeit mit einem Systemhaus in der Beratungsphase, erst die Unternehmensziele zu erörtern und im Anschluss die passende Lösung zusammen auszuarbeiten. Entsteht das Gefühl, in eine Richtung gepusht zu werden und sollte Angst als Entscheidungshilfe eingesetzt werden, handelt es sich um den falschen Partner.
Es ist nicht zwingend notwendig, auf die großen Anbieter wie Microsoft, Amazon oder Google zurückzugreifen. Sie haben zweifelsohne die größten Cloudplattformen, jedoch gibt es inzwischen eine Menge anderer Betreiber mit Cloudplattform-Angeboten.
Die großen Cloudanbieter sind überraschend häufig Quereinsteiger. Google war mal nur Suchmaschine, Amazon E-Commerce-Anbieter. Microsoft war und ist noch immer vor allem ein Softwareunternehmen und im Geschäftsbereich sind seine Betriebssysteme und Office-Software im Client-Server-Einsatz weiterhin marktführend. Das Unternehmen ermöglicht durch Service-Provider-Lizenzierung (Services Provider License Agreement, SPLA) anderen Anbietern, ihre Software im Cloudeinsatz ihren Kunden zur Verfügung zu stellen.
Das ermöglicht anderen Anbietern, eine Cloudplattform mit Microsoft-Produkten aufzubauen. Berücksichtigt man die Vergangenheit von Microsoft, ist diese Offenheit etwas überraschend, aber auch erklärbar. Denn Microsoft hat eine Sonderstellung: Einst reiner Softwareanbieter, jetzt auch großer Cloudanbieter - Microsoft fährt damit zweigleisig. Zum einem wird die eigene Cloud präferiert, zum anderen profitiert man weiterhin vom Lizenzgeschäft.
Lokale Anbieter wie Terra Cloud oder Gridscale
Möchte man als Cloudbetreiber Microsoft-Produkte an Kunden weitergeben, ist das die einzig erlaubte Lizenzform. SPLA ist die Voraussetzung und gilt für alle, egal ob großer Konzern oder kleiner Betreiber. Möchte ein Firmenkunde Microsoft-Produkte in der Cloud nutzen, ist er nicht auf die Großen angewiesen, auch lokale Anbieter kommen infrage. Dies wären zum Beispiel die Terra Cloud der deutschen Firma Wortmann (vormals PC-Produzent) und Gridscale.
Die Anbieter unterscheiden sich in ihrem Angebot und Funktionsumfang. Dabei gibt es zwei große Anwendungsfälle, von denen man als Unternehmen besonders profitiert: die Verlagerung der kompletten IT-Infrastruktur und der Einsatz komplexer Anwendungen.
Fall 1: Komplette Infrastruktur in die Cloud
Die Verlagerung kompletter Infrastrukturen wird durch den Einsatz von Virtualisierungstechnologien ermöglicht. Betriebssysteme laufen losgelöst und unabhängig von der unterliegenden Hardware. Dadurch wird die Ortsabhängigkeit zum Beispiel eines Servers aufgelöst und so der Betrieb standortunabhängig ermöglicht. Es lassen sich nahezu alle Komponenten einer IT-Infrastruktur virtuell abbilden.
Hier kommt es auf die Plattform des Anbieters an: Er muss die nötige Infrastruktur für die Verwaltung und den Betrieb der Systeme anbieten. Oder der Anbieter betreibt die Infrastruktur als Full-Service-Dienstleistung. "Full-Managed" bringt natürlich die größte Erleichterung, bedarf jedoch einer vertrauensvollen Geschäftsbeziehung.
Bei einem plattformbasierten System wie Microsoft Azure oder Amazon Web Services lässt sich über ein Webinterface die Infrastruktur aufbauen und verwalten. Alle Server laufen als virtuelle Instanz in der Cloud, das darunterliegende Virtualisierungssystem ist nicht bekannt und wird vom Betreiber bereitgestellt. Die virtuellen Server werden über eine Verwaltungsoberfläche gesteuert.
Da es sich um ein Virtualisierungssystem handelt, können auch andere Gerätetypen implementiert werden. Unter dem Fachbegriff Software Defined lassen sich alle möglichen Geräte als virtuelle Instanz einbinden, zumeist Systeme, die zur Bildung einer IT-Infrastruktur dienen. So erhält man eine komplette virtuelle Infrastruktur mit allem, was dazugehört, Subnetzen, Routern, Firewalls und so weiter.
Wenn die Serverinfrastruktur in der Cloud liegt und alle angebundenen Clients lokal darauf zugreifen müssen, kann bei einer größeren Benutzeranzahl oder bei Zugriff von größeren Datenmengen die Internetleitung schnell zum Flaschenhals werden. Heutige Internetleitungen sind zwar leistungsfähig und bezahlbar zu bekommen, jedoch sind die möglichen Bandbreiten eines lokalen Netzwerkes immer noch deutlich höher.
So ist es häufig sinnvoll, die Benutzerumgebung der Mitarbeiter, also die Client-Systeme ebenfalls in die Cloud zu verlagern. Dies geschieht in Form von virtuellen Desktops.
Doch wie können virtuelle Desktops das Problem auflösen? Hier hilft ein Blick darauf, wie diese Technologien im Vergleich im Netzwerk arbeiten. Bei einer Standardverbindung - also Clients lokal im Netz und Server in der Cloud - wird jeder Zugriff von jedem Client, je nach Daten, direkt vom Server abgerufen.
Wenn mehrere Mitarbeiter mit Office-Dateien oder dateibasierten Datenbankanwendungen arbeiten möchten, werden diese Dateien bei jedem Öffnungs- und Speichervorgang komplett vom oder zum Server übertragen. Unabhängig davon, wie gering die Änderungen an den Dateien sind, wird beim Speichern immer die komplette Datei hochgeladen.
Das kann bei größeren Dateien und vielen gleichzeitigen Benutzern schnell die Internetleitung überlasten, auch weil viele Office-Anwendungen periodisch eine automatische Speicherung im Hintergrund machen, um Datenverluste zu vermeiden. Darüber hinaus sind viele Internetverbindungen heutzutage immer noch asynchron, also im Upload langsamer als im Download.
Virtuelle Desktops oder Remotedesktops funktionieren anders. Der Remotedesktop liegt wie der Rest der Infrastruktur in der Cloud. Zum lokalen Client werden nur Bilddaten des Remotedesktops übertragen. Das geschieht in hoch komprimierter und optimierter Art und Weise.
Es funktioniert ähnlich wie ein Videostream, nur dass weniger Bandbreite verwendet wird, da man für den Office-Betrieb nicht den Detailgrad eines Videos benötigt. So kann zum Beispiel das Remotedesktop-Protokoll von Microsoft oder Citrix grafische Standard-Desktop-Objekte des Windows-Betriebssystems cachen, so dass sie nicht mehr übertragen werden müssen. Durch Ausblenden von Hintergrundbildern oder über eine geringere Farbdarstellung sind weitere Optimierungen möglich.
Abstriche bei der Ästhetik
Bei der Ästhetik des Desktops müssen hierbei Abstriche gemacht werden. Die Datenübertagungseffizienz hat höchste Priorität und wer einen hübschen Desktop erwartet, wird enttäuscht sein. Für Animationen ist das Remotedesktop-Protokoll auch nicht sonderlich gut geeignet.
Allerdings lässt sich bei Remotedesktop-Verbindungen sehr viel einfacher die nötige Bandbreite pro Benutzer berechnen, da die Übertragung des Remotedesktops zum Client relativ konstant bleibt. Die nötige Bandbreite pro Nutzer ist recht niedrig und beim Upload noch niedriger, da hier nur die Steuerdaten des Benutzers, also Tastatur und Mauseingaben, hochgeladen werden.
Ein Beispiel für Arbeiten mit und ohne Remotedesktop: Wenn bei der herkömmlichen Arbeitsweise 20 Benutzer eine Access-Datenbank mit 50 MB Größe gleichzeitig öffnen, müsste 1 Gigabyte Daten vom Server über die Internetleitung übertragen werden. Würden diese 20 Benutzer das per Remotedesktop machen (davon ausgehend, dass jede Remotedesktop-Verbindung 2 Mbit verbraucht), würden nur 40 Mbit/s Bandbreite benötigt werden. Zusätzlich würde die Access-Datenbank in der Cloud über die vorliegende Infrastruktur geöffnet.
Remotedesktops gibt es als VDI (virtuelle Client-Computer) von Microsoft, VMWare (Horizon) oder als Terminal-Server zum Beispiel von Citrix oder Microsoft. Ein Terminal-Server ist ein normaler Windows-Server, der im Terminal-Modus mehrere Benutzer-Desktops gleichzeitig zur Verfügung stellen kann.
Es arbeiten mehrere Benutzer auf einem Computersystem und teilen sich die Ressourcen. Die Nutzer in der Firma bekommen durch diese Verbindung nur die Darstellung des Desktops aus der Cloud übertragen, alles andere läuft zentral in der Cloud ab.
Vorteile des Client-Desktop-Systems
Vorteil ist: Die zentrale Lage des Client-Desktop-Systems ist bei der Verbindung zum Serversystem uneingeschränkt und schnell. Der lokale Computer des Benutzers benötigt keine hohen Anforderungen an die Hardware, es reicht ein System mit rudimentärem Netzwerk und Grafikdarstellung. Die Server- und Client-Systeme in der Cloud lassen sich bei Bedarf dynamisch auf eine höhere Ressourcenleistung umstellen.
Der Terminal-Server selbst hat den Vorteil, dass er für mehrere Nutzer einfacher zu verwalten ist. Installiert man eine Anwendung auf dem Terminal-Server, steht sie direkt allen zur Verfügung.
Nachteile
Nachteil ist, dass sich die Nutzer die Ressourcen dieses Terminal-Servers teilen, wodurch ein Nutzer eine hohe Last erzeugen kann, worunter die anderen leiden.
Wenn ein Terminal-Server ausfällt, sind alle Nutzer, die an dem Server arbeiten, betroffen. Durch Ausfallsicherheitstechniken und Lastverteilungen wird diese Problematik in größeren Umgebungen in der Regel über einen Terminal Server Cluster aufgefangen.
Die Remote-Arbeit in der Cloud macht eine bestehende Internetverbindung zur Voraussetzung. Jedoch ist man nicht auf das Firmen-Internet angewiesen, sondern kann jede beliebige Form der Internetverbindung nutzen.
Wenn von unterwegs gearbeitet wird, kann die Internetverbindung jedoch auch mal unstabil oder ganz weg sein. Zwar besteht die Möglichkeit, recht einfach vom Remotedesktop Dateien für den Offline-Betrieb per Copy and Paste auf den Rechner zu kopieren. Das kann aber mühevoll sein - oder bei bestimmten Anwendungen gar nicht möglich.
Remotedesktop-Anwendungen sind nicht für jeden Einsatzzweck geeignet. Durch den Datentransfer und den stark komprimierten Datenstrom der Bilddarstellung gibt es beim Bildaufbau immer noch eine leichte Verzögerung, auch bei einer schnellen Leitung. Hinzu kommt, dass viele Menschen in Deutschland kein schnelles oder stabiles Internet besitzen. Das ist zwar für die meisten Office-Anwendungen unerheblich, für professionelle Bildbearbeitungen mit hohen Auflösungen oder bei aufwendigen Animationen oder Videos kann das aber problematisch werden - wobei es jedoch die Möglichkeit gibt, GPUs serverseitig als Beschleuniger für die Terminal-Dienste zu verwenden.
Fall 2: Komplexe Anwendungen in der Cloud
Ein anderer Cloudanwendungsfall ist die Nutzung komplexer oder stark ressourcenverbrauchender Anwendungen. Insbesondere, wenn diese Anwendung von wenigen Benutzern genutzt wird.
Das ist eine Effizienzfrage, denn Client-Server-Software für den Geschäftsgebrauch ist häufig auf eine größere Nutzerzahl ausgelegt und wurde dementsprechend entwickelt. Daraus resultiert, dass eine Grundinstallation solcher Anwendungen mitunter kompliziert und aufwendig ist.
Darüber hinaus kann der Betrieb der Anwendung schon im Leerlauf sehr hohe Ressourcen verbrauchen und die Wartung viel Zeit in Anspruch nehmen. Auch der technisch-administrative Umgang mit solchen Anwendungen bedarf häufig eines gewissen Know-hows oder Schulungen und Ausbildungen.
Nehmen wir zum Beispiel den aktuellen Microsoft Exchange Server, der im Geschäftsbereich für gruppenbasiertes Arbeiten und die Organisation von Terminen, Kontakten und für E-Mail sehr weit verbreitet ist. Er gehört nicht zu den schwierigsten Anwendungen, doch wenn man sich die aktuellen Hardwareanforderungen von Microsoft für die Version 2019 ansieht, wird man feststellen, dass so ein Server mindestens 128 Gigabyte Arbeitsspeicher benötigt. Das ist für kleine Firmen oder geringe Nutzerzahlen kaum geeignet.
Die Vorteile von Anwendungen aus der Cloud
In solchen Fällen ist es sinnvoller, eine Anwendung aus der Cloud zu nutzen. Dort läuft die Software auf entsprechend dimensionierten Systemen und wird entsprechend ihres Einsatzzweckes genutzt.
Den technischen Betrieb und die Hardwareressourcen stellt der Provider, somit ist auch das nötige Know-how an entsprechender Stelle vorhanden. Als Kunde konzentriert man sich nur noch auf die Nutzung der Anwendung. Hierbei ist es nicht notwendig, die Software aus der Cloud vom Softwarehersteller selbst zu beziehen. Es gibt viele Softwareanbieter, die ein Service-Provider-Programm zur Verfügung stellen, so dass man die Software von einem Cloudanbieter seiner Wahl nutzen kann.
Die Nachteile
Nachteil ist wieder der Teilverlust der administrativen Kontrolle über die Anwendung - und dass man auf die Verwaltungstools oder Einschränkungen des Betreibers angewiesen ist.
Die Kosten werden überschaubarer
Die Nutzung von Hard- und Software in der Cloud geht mit einer starken Abstraktion der unterliegenden Systeme einher. Das ist gewollt und einer der Kernaspekte, so dass sich die Kunden auf die Nutzung der gewählten Dienste konzentrieren können.
Durch den technischen Ansatz ist die Finanzierung im klassischen Betrieb von IT-Anlagen nicht mehr machbar. Im lokalen Ansatz musste die IT-Ausstattung auf die übliche Weise angeschafft und finanziert werden. Also: Kauf von Client-Server-Hardware, Softwarelizenzen und Netzwerkausstattung.
Im wiederkehrenden Zyklus von wenigen Jahren sind Neuanschaffungen vieler Systeme notwendig, bedingt durch höhere Systemanforderungen, samt neuer Hardwaresysteme aufgrund neuerer Softwareversionen. Die richtige Lizenzierung von Software im Unternehmen kann eine Herausforderung sein. Das verhält sich in der Cloud anders.
Bezahlung nach Service
In der Cloud sind Softwarelizenzen nicht an die Hardware gebunden, was dazu geführt hat, dass sich Lizenzierung nach Leistung durchgesetzt hat. Die Clouddienste werden als Service betrachtet und auch so abgerechnet. Entsprechende Begrifflichkeiten aus dem Bereich sind zum Beispiel IAAS oder SAAS (Infrastructure as a Service, Software as a Service).
Die Bezahlung erfolgt auf monatlicher oder jährlicher Basis für die in der Cloud aktivierten Dienste. Je nach Art des genutzten Dienstes wird entweder pro Benutzer, pro Softwareinstanz oder, bei reinen "Computing"-Diensten, nach Rechenzeit bezahlt.
Die Vorteile gegenüber der klassischen Kauf-/Anschaffungsvariante liegen auf der Hand: Die Lizenzierung ist einfacher und die Übersicht besser. Hohe Erstanschaffungskosten entfallen ebenso wie Update-/Upgrade-Kosten. Bei monatlicher Abrechnung lässt sich die Anzahl von User-Lizenzen erhöhen oder herabsetzen, zusätzlich können die nötigen Rechenressourcen erhöht werden.
Hierbei handelt es sich um laufende Kosten, über die man eine bessere Kostenübersicht erhält, was letztendlich auch der Buchhaltung zugutekommt.
Fazit
Cloudnutzung ist aus Unternehmenssicht aufgrund der gesetzlichen Vorgaben zur Datenhaltung mitunter kritisch zu betrachten, jedoch gilt das allgemein für den Umgang mit Daten in deutschen Unternehmen. Von ein paar Mythen sollte man sich verabschieden. Dazu gehören:
- Lokale Datenhaltung ist sicherer als in der Cloud.
- Die Kontrolle über Unternehmensdaten in der Cloud geht verloren.
- Cloudbetreiber geben Daten an Dritte weiter.
Man darf nicht den Fehler machen, den Umgang mit Unternehmensdaten mit dem Umgang von Daten in sozialen Netzwerken zu verwechseln.
Cloudeinsatz bietet Unternehmen Entlastung, verbessert den Betrieb und die Verwaltung der Unternehmens-IT, skaliert bei Wachstum besser, bietet neue technische Möglichkeiten sowie eine transparentere IT-Kostenübersicht und mehr Flexibilität.
Auf der anderen Seite stehen Verlust der alleinigen Datenhoheit, erhöhte Abhängigkeit von Drittanbietern, weniger Flexibilität im Umgang mit Softwarelizenzen.
Generell überwiegen jedoch die Vorteile und der Cloudeinsatz kann neue Möglichkeiten eröffnen. Verpasst man als Unternehmen den Anschluss, wird man es in Zukunft schwer haben, da IT-Anbieter und Hersteller ihre Geschäftsmodelle entsprechend umstellen.
Adam Jaskowiec ist IT-Infrastruktur-Experte und Entwickler. Er ist Geschäftsführer einer Beratungs- und Dienstleistungsfirma für IT und Cloud Computing. Jaskowiec ist im Windows-Server-Segment unterwegs, bei Virtualisierungstechnologien, Linux- und Cloud-Architekturen. Zudem ist er zertifizierter Netzwerk-Professional für Enterprise- und Datacenter-Netzwerke und er ist Full-Stack-Entwickler - von Assembler über Microcontroller zu IoT, Kerneltreiber, Linux- und Windows-Anwendungen sowie User Interfaces.
IMHO ist der Kommentar von Golem.de [IMHO = In My Humble Opinion (Meiner bescheidenen Meinung nach)]