28.02.2012 (eh) Drucken

Advertorial: Cloud-Computing ist hier rechtlich möglich

  • Inhalt dieses Artikels
  • Deutschland im internationalen Vergleich
  • Zu gute etablierte Rechenzentrumsinfrastrukturen
  • Public-Clouds vs. Outsourcing
  • Das Beste aus beiden Welten vereinen
  • Ökosystem aus Serviceprovidern
  • Hybrid-Cloud für Test und Entwicklung
  • Horrorszenario: Mitarbeiter nimmt gehostete Daten mit
  • Sicherer durch Hybrid-Cloud
  • Fazit
Anzeige

Wegen der undurchsichtigen Rechtslage im Datenschutz sind viele Entscheider verunsichert, ob sie die Vorteile von Cloud-Computing in Deutschland überhaupt nutzen dürfen. Die gute Nachricht: Es gibt durchaus Möglichkeiten, die Vorteile von Cloud-Computing zu nutzen, ohne sich in eine rechtliche Grauzone zu manövrieren.

Von Matthias Schorer, Vmware

Neben der deutschen Vorsichtigkeit ist sicher auch unser komplexes Datenschutzgesetz (BDSG) daran schuld, dass sich Cloud-Computing in Deutschland nur langsam durchsetzt. Gerade erst haben die deutschen Datenschutzbeauftragten des Bundes und der Länder eine Orientierungshilfe zu wichtigen Fragen des Cloud-Computings verabschiedet. Darin wird eingeräumt, dass es zwar für deutsche Unternehmen zulässig ist, Cloud-Services von US-Anbietern zu nutzen, die Anforderungen, unter denen dies erlaubt ist, sind jedoch sehr hoch.

So verbindet sich eine Private- und eine Public-Cloud zu einer Enterprise-Hybrid-Cloud (Bild: Vmware)
So verbindet sich eine Private- und eine Public-Cloud zu einer Enterprise-Hybrid-Cloud (Bild: Vmware)
Der Cloud-Vertrag sollte ausdrücklich vorsehen, personenbezogene Daten ausschließlich in Rechenzentren innerhalb des Europäischen Wirtschaftsraums zu verarbeiten. Der Cloud-Anbieter muss sich zudem zwingend der Geltung des EU-Rechts unterwerfen. Cloud-Anbieter aus den USA müssen sich gegenüber dem US-Handelsministerium zur Einhaltung der Safe-Harbor-Grundsätze verpflichten und zur Kooperation mit europäischen Datenschutzbehörden bereit sein.

Zwischen dem US-Cloud-Anbieter und dem deutschen Unternehmenskunden muss weiterhin eine Vereinbarung zur Auftragsdatenverarbeitung nach deutschem Datenschutzrecht geschlossen werden. Die Entscheidung für oder gegen Cloud-Computing in Deutschland ist also weniger technischer als vielmehr juristischer Natur.

Deutschland im internationalen Vergleich

Die komplexe Gesetzeslage fördert Entscheidungen pro Cloud-Computing nicht gerade und oft wird dann lieber abschlägig beschieden als sich mit allen Details des Datenschutzgesetzes auseinanderzusetzen zu müssen. Allerdings kann man sich des Eindrucks nicht erwehren, dass die Entscheidungen gegen Cloud-Computing viel zu hastig getroffen werden, um sich längere Bedenkzeit für dieses »lästige« Thema zu verschaffen.

In anderen Ländern wird damit wesentlich unbefangener umgegangen. Gemäß einer Erhebung, die Forrester 2010 durchgeführt hat, sind die Pläne zur Einführung von Cloud-Technologien in den sogenannten BRIC-Ländern Brasilien, Russland, Indien, China und Japan mit bis zu 72 Prozent deutlich weiter fortgeschritten als in den klassischen Industrienationen des Westens, in denen die USA und Deutschland übrigens mit 35 Prozent die Schlusslichter bilden.

Zu gute etablierte Rechenzentrumsinfrastrukturen

Wir haben uns bei VMware die Frage gestellt welche weitere Faktoren – neben der unklaren Gesetzeslage – die Adaption der Cloud-Computing-Technologie in den westlichen Industrienationen so langsam voranschreiten lassen, obwohl sie doch Kostensenkung und gesteigerte Agilität verspricht. Unserer Meinung nach gibt es hierfür folgende wesentliche Gründe:
► Im Gegensatz zu Firmen in den BRIC-Ländern haben unsere Kunden in Deutschland eine seit vielen Jahren etablierte Rechenzentrumsinfrastruktur, in die immense Investitionen geflossen sind. Man kann diese nicht einfach abschalten und alles in einer Public-Cloud betreiben. Nicht zuletzt geht es hierbei auch um das bei den Mitarbeitern aufgebaute Know-how und um deren Arbeitsplätze in der IT.
► Nach wie vor gibt es für die Nutzung von öffentlichen Cloud-Angeboten unbeantwortete Fragen bezüglich Compliance, Sicherheit und Kontrolle. Vor allem Cloud-Services von amerikanischen Anbietern haben in letzter Zeit immer wieder für Schlagzeilen gesorgt, denn dem amerikanischen Staat ist es durch den Patriot Act erlaubt, auch dann auf die Daten zuzugreifen, wenn die Cloud-Systeme in Europa gehostet werden.

Public-Clouds vs. Outsourcing

Trotz dieser Faktoren bieten öffentliche Cloud-Angebote viele Anreize, die sie für das Business interessant machen. Ohne Zweifel sind dies die nutzungsabhängige Abrechnung, die günstigen Preise und die Möglichkeit der Selbstbedienung für den Abruf von Cloud-Services. Demgegenüber stehen aber zu Recht die Ansprüche der IT bezüglich Compliance und Sicherheit und die Angst vor möglichem Kontrollverlust.

Über letzteres können vor allem Firmen ein Lied singen, die ihre IT outgesourced haben. Denn Outsourcing geht zwar mit Kosteneinsparungen einher, jedoch nicht mit Innovationsteigerung oder Agilität. Im Gegenteil – oft verharren die Systeme auf dem Stand, in dem sie vor Jahren an den Outsourcer übergeben wurden. Innovative Veränderungen an den Systemen gehen, wenn überhaupt, meist nur sehr schleppend und nach langen Vertragsverhandlungen voran.

Genau hier verspricht aber das Public-Cloud-Paradigma Abhilfe. Denn im Gegensatz zum Outsourcing bleiben Kontrolle und Know-how für den Betrieb und die Weiterentwicklung beim Nutzer des Cloud-Dienstes. Lediglich die Rechenleistung oder die Plattform wird von dem Cloud-Anbieter bezogen. Investitionen in Infrastruktur werden dadurch minimiert, und es fallen fast nur noch Betriebskosten an.

Das Beste aus beiden Welten vereinen

Kunden, die Vmware-Virtualisierung einsetzen, können Investitionskosten um bis zu 60 Prozent, Betriebskosten um 30 Prozent und den Energieverbrauch um bis zu 80 Prozent minimieren. Sie schaffen sich hierdurch aber vor allem eine wichtige Basis für das Cloud-Computing. Denn ohne die Zusammenfassung von vielen einzelnen Computerressourcen zu einem großen virtuellen Pool ist Cloud-Computing nicht möglich.

Mit den Lösungen im aktuellen »vSphere 5«-Portfolio bringen wir nun die restlichen Eigenschaften der Public-Cloud – Selbstbedienung, Automation, Elastizität und nutzungsbasierte Abrechnung – in existierende Rechenzentren. Wir ermöglichen es unseren Kunden somit, basierend auf bereits existierenden Investitionen in Vmware-Technologie eine Private-Cloud zu bauen. Die Kontrolle bleibt im eigenen Rechenzentrum, und bestehende Datenschutzmaßnahmen reichen nach wie vor aus.

Auf der anderen Seite wird es schwierig sein, nur durch die Etablierung einer Private-Cloud noch mehr Kosten einzusparen. Eine Studie von McKinsey belegt, dass erst durch die Verbindung der Private-Cloud mit der Public-Cloud, also der Bau einer sogenannten Hybrid-Cloud, Kosten weiter optimiert werden können.

Ökosystem aus Serviceprovidern

Aber unter welchen Umständen würden unsere Kunden sich wegen der bereits angesprochenen Vorbehalte für dieses Modell entscheiden? Unsere Antwort auf diese Frage ist sehr einfach: Zusammen mit bekannten Serviceprovidern haben wir ein vertrauenswürdiges Cloud-Ökosystem geschaffen. Aus diesem Ökosystem können unsere Kunden Public-Cloud-Leistungen sowohl weltweit als auch dediziert aus Europa, vor allem aber lokal aus Deutschland beziehen. So kann jeder Betreiber einer Private-Cloud entscheiden, welcher Public-Cloud-Anbieter für den Bau seiner Hybrid-Cloud am besten geeignet ist.

Und wie man es von einem solchen Ökosystem erwartet, sind die angebotenen Public-Cloud-Services vollkommen kompatibel. Die Verbindung der Clouds und das Verschieben von Workload in die Public-Cloud, aber auch der Transfer zurück in die Private-Cloud, oder alternativ zu einem anderen Cloud-Provider, wird durch die Standardisierung auf den »VMware vCloud Stack« möglich. Dies bestätigt auch Gartner mit der Aussage, dass »VMware vCloudDirector« bis 2015 der Standard für Interoperabilität in der Cloud sein wird.

Hybrid-Cloud für Test und Entwicklung

Der Hybrid-Cloud-Ansatz spielt seine Stärken beispielsweise im Bereich von Test und Entwicklung aus. Tatsächlich ist es oft die fehlende Verfügbarkeit von Test- und Entwicklungssystemen, die zu Projektverzögerungen führt. Denn da diese Systeme nie für die Produktion genutzt werden, wird bei deren Beschaffung gerne gespart. Dies führt zu Engpässen, weil Projekte sich einige wenige Systeme teilen müssen.

Und gerade weil es so schwierig ist, ein physikalisches Testsystem zu bekommen, werden viele Entwickler Mittel und Wege finden, Ressourcen zu horten. Dies wiederum führt dann zu einer »wundersamen« Server-Vermehrung und somit zu Mehrkosten.

Noch schlimmer aber ist es, wenn Entwickler sich benötigte Ressourcen über externe Clouds beschaffen, wie zum Beispiel Amazon EC2. Denn dadurch wird nicht nur jegliche IT-Kontrolle ausgehebelt, sondern es entstehen auch Sicherheits- und Compliance-Probleme. Es liegen jetzt nicht nur Firmengeheimnisse in einer externen Cloud in den USA, sondern womöglich auch personenbezogene Daten, was definitiv einen Verstoß gegen die deutschen Datenschutzrichtlinien darstellt, außer die personenbezogenen Daten sind anonymisiert.

Horrorszenario: Mitarbeiter nimmt gehostete Daten mit

Die nächste Frage, die sich stellt, ist, was mit den Daten passiert, wenn der Mitarbeiter, der den Server zum Beispiel bei Amazon geordert hat, das Unternehmen verlässt? Da die IT-Abteilung keinerlei Kontrolle über den Server hat, kann der Mitarbeiter alle Daten mitnehmen. Ein Horrorszenario für jeden Datenschutzbeauftragten!

Im Gegensatz hierzu bietet eine Hybrid-Cloud, die in einem »vCloud«-Powered Rechenzentrum betrieben wird, der IT-Abteilung alle Sicherheits- und Kontrollmechanismen, die auch für die private Cloud im eigenen Rechenzentrum gelten. Die IT-Abteilung entscheidet, welche Nutzer Zugriff haben und welchen Nutzern der Zugriff wieder entzogen werden soll.

Sicherer durch Hybrid-Cloud

Der Spielehersteller SEGA hat durch die Nutzung einer Hybrid-Cloud auf Basis der Vmware-Technologie die Sicherheit sogar deutlich erhöhen können. Vor der Implementierung musste SEGA externen Spieletestern mittels VPN Zugriff auf interne Ressourcen geben, wenn neue, zu testende Spiele auf Servern im Firmennetzwerk lagen.

Zur Lösung dieses Problems implementierte ein Vmware Professonal Service Team für SEGA zunächst eine Private-Cloud, um die Bereitstellung von Entwicklungs- und Testsystemen zu beschleunigen. In einem zweiten Schritt wurde diese Private-Cloud dann mit der Public-Cloud aus dem Vcloud-Datacenter der Colt Telecom verbunden. Diese Lösung ermöglicht es SEGA nicht nur, schnell zusätzlich benötigte Ressourcen für Spitzenlastzeiten aus der Public-Cloud zu beziehen, sondern auch einen speziellen Testbereich für externe Tester zu schaffen.

Diese benötigen nun keinen Zugriff auf das interne Netzwerk mehr, sondern arbeiten nur noch auf Systemen in der Public-Cloud. Nach Abschluss der Tests werden diese Systeme einfach wieder dekommissioniert und der Zugriff entsprechend gesperrt. Dies alles erfolgt zentral durch die IT-Abteilung von SEGA ohne Interaktion mit Colt.

Fazit

Cloud-Computing ist in Deutschland unter Einhaltung aller rechtlichen Anforderungen möglich. Vmware-Lösungen und Services für Private-Clouds und das Vcloud-Ökosystem mit deutschen Partnern helfen unseren Kunden, die für sie optimale Cloud-Lösung zu schaffen.

Weitere Informationen
Vmware Global, Inc.
Zweigniederlassung Deutschland
Freisinger Str. 3
D-85761 Unterschleißheim/Lohhof
Tel.: +49 (0) 89 - 3706 17000
Fax.: +49 (0) 89 - 3706 17333