18.12.2019 (kfr)
4 von 5, (7 Bewertungen)

Cloud-Speicher: Für und Wider und die Wirklichkeit

  • Inhalt dieses Artikels
  • Cloud-Speicher: Für und Wider und die Wirklichkeit
  • Gründe für eine Private-Cloud
  • Gründe für eine Public-Cloud
  • Nachteile von privaten Cloud-Speichern
  • Nachteile von Public-Cloud-Speichern
  • Herausforderungen einer Private-Cloud
  • Herausforderungen einer Public-Cloud
  • Private-Cloud und die Wirklichkeit
  • Public-Cloud und die Wirklichkeit
  • DSGVO in Cloud-Umgebungen
  • Cloud: Nur mit definierter Data-Governance
  • Public-Cloud mit der DSGVO nur bedingt vereinbar
  • Cloud: Die IT-Struktur bleibt trotzdem komplex
  • Vortrag von Carsten Haak auf der Storage2Day

Cloud-Speicher stehen für Flexibilität und Skalierbarkeit. Eine Public-Cloud soll zudem die Kosten reduzieren, weil die Beschaffung einer eigenen Infrastruktur entfällt, sondern diese »nur« bedarfsgerecht angemietet wird. Bei einer lokalen Private-Cloud bleibt alles weiterhin in Unternehmenshand, inklusive der Anschaffungskosten. Die Gründe für eine Cloud sind vielfältig, die Wirklichkeit in der Praxis oft nicht so wolkenlos, wie versprochen…

Es spricht vieles für die Cloud, aber es gibt auch eine Wirklichkeit... (Bild: speicherguide.de)Es spricht vieles für die Cloud, aber es gibt auch eine Wirklichkeit... (Bild: speicherguide.de)Unternehmen, die ihre Daten auf einem Storage-System, lokal in ihrem eigenen Rechenzentrum oder zumindest in den eigenen Räumlichkeiten speichern, haben alles in der eigenen Hand. Man ist von niemanden abhängig und muss sich nicht auf Dritte verlassen. Wird mehr Speicher benötigt, muss in der Regel irgendwann neue Hardware angeschafft werden, auch wenn die Anforderungen nur kurzfristig oder sporadisch bestehen.

Cloud-Speicher sind hier zweifelsfrei eine Alternative. Anbietern zufolge führt an der Cloud kein Weg vorbei. Angeblich gehe es schon lange nicht mehr darum, ob und wie man in die Cloud gehe, sondern nur noch »wie schnell«. Nicht nur hinter vorgehaltener Hand finden sich genug kritische Stimmen. Viele Projekte scheitern an einer unrealistischen oder überzogenen Erwartungshaltung. Die versprochene Kostenersparnis ist meist nur eine Kostenverlagerung und wer seine Daten wieder aus der Cloud herausholen möchte, sieht sich oft mit einer regelrechten Kostenexplosion konfrontiert.

Im Vorfeld gilt es zunächst die Motivationen zu klären, warum Cloud-Speicher eingesetzt werden sollen. Und welche Ansätze zum eigenen Unternehmen und den vorhandenen Anforderungen passen. Auch sollte man die Herausforderungen kennen, die mögliche Lösungsansätze mit sich bringen.

Gründe für eine Private-Cloud

Die Motivation für interne Cloud-Lösungen (Private-Cloud) liegt im Vergleich zu herkömmlichen Installationen, vor allem im Wunsch nach mehr Flexibilität. Diese sollen durch erhöhte Leistungen bei Durchsatz und Kapazität, aber auch bei der Art des Laufwerkschutzes liegen.

Die Handhabung des Speichers soll durch einfachere und flexiblere Zuteilung zu den Anwendungen und Benutzern erleichtert werden. Hierzu zählt auch eine einfachere Zuteilung von unterschiedlichen Schutz- und Leistungsklassen.

Die Hauptmotivation für eine Veränderung des Betriebsablaufs ist natürlich die Hoffnung auf Kosteneinsparungen. Dies wären hier zunächst monetäre Verbesserungen durch Verringerung des Energieverbrauches, den Bedarf an Klimatisierung und nicht zuletzt den kleineren Platzbedarf im Rechenzentrum. Worüber kaum bzw. gar nicht offen gesprochen wird: Die mögliche Verringerung der Personaldecke und damit die Verkleinerung des Gehaltsanteiles am Budget.

Gründe für eine Public-Cloud

Der Hauptauslöser für eine externe Public-Cloud-Lösung ist meist der Überlauf der konventionellen Speichersysteme oder der Ablauf der Garantie bzw. des Leasings. Danach wird bei der Einführung neuer Lösungen nach Möglichkeiten der Wandlung des Budget-Anteiles von CAPEX nach OPEX (oder im Bedarfsfall in die andere Richtung) gesucht. Zur Verringerung des Budget-Anteiles werden aber meist auch, wie bereits angeführt, die Verringerung des zum Betrieb nötigen Personals, der Energie, des Klimas und des Platzbedarfs herangezogen.

Als Argumente für eine Public-Cloud gelten zudem eine möglicherweise erhöhte Systemleistung, höhere Speicherkapazitäten sowie deren flexible Zuteilung.

Nachteile von privaten Cloud-Speichern

Die Begründung zur Einführung interner Cloud-Lösungen ist meist, wie schon seit langem, die »Herrschaft« über die eigenen Daten im eigenen Rechenzentrum. Zur Errichtung der Umgebung sind allerdings die Einführung gänzlich neuer Prozesse oder aber der Bau eines neuen Rechenzentrums auf der »grünen Wiese« vonnöten. Die Einführung von Cloud-Umgebungen in bestehende Installationen scheitert in vielen Fällen an der über Jahre oder Jahrzehnte gewachsenen Komplexität.

Ein großer Nachteil der Einführung von lokalen Cloud-Umgebungen ist, dass diese Installation immer auf den Höchstlastfall vorbereitet sein muss. Das heißt, sie muss auf die maximal nötige I/O-Last ausgelegt sein und die maximal benötigte Kapazität vorhalten. Dies erfordert im Grunde den Einkauf der größten erhältlichen Speichersysteme, die dann allerdings im größten Teil des Betriebes nur unter geringer Last arbeiten werden – zumindest im Anfangsstadium. Zudem gilt es Energie, Klima und Stellplätze weiterhin und vielleicht sogar in erhöhtem Maße zur Verfügung zu stellen.

Der Betrieb der privaten Cloud-Speicher muss zudem auch von der eigenen Mannschaft durchgeführt werden, welches dann wiederum die angestrebte Verringerung der Personaldecke verhindert. Eine Möglichkeit wäre der Einsatz von Dienstleistern für diese Aufgabe, allerdings verlagert sich die Belastung des Budgets dann nur, Einsparungen sind kaum zu erzielen.

Nachteile von Public-Cloud-Speichern

Die Nutzung externer Public-Cloud-Lösungen hilft, alle lokalen Kosten zu verringern oder sogar gänzlich zu eliminieren. Im Extremfall lassen sich alle lokalen Speichersysteme, deren Energieversorgung, Klimabedarf und Stellplätze einsparen. Auch das Fachpersonal zum Betrieb der Storage-Infrastrukturen reduziert sich eventuell drastisch. Auch hier allerdings lässt sich die Verlagerung zu einem externen Dienstleister nur durchführen, wenn neue Prozesse eingeführt oder eben ein Rechenzentrum neu auf der »grünen Wiese« errichtet wird. Gängige Meinung aus der Praxis: Bisher sind Ansätze, einmal lokal eingeführte Prozesse durch externe Speicher abzulösen, früher oder später gescheitert.

Ein weiterer großer Vorteil der externen Lösung ist, neben dem Betrieb durch nicht betriebszugehörige Mitarbeiter die Vereinbarung zu bestimmten Service-Level-Agreements (SLAs) und die Einhaltung dieser durch den Dienstleister. Notwendig für die Einführung solcher Lösungen ist vor allem das Vorhandensein einer entsprechend breit ausgelegten, externen Netzwerkanbindung.

Herausforderungen einer Private-Cloud

Die Herausforderungen zur Einführung einer lokalen Cloud sind vielfältig: Zunächst gilt es die benötigte Hardware zu beschaffen, zu warten und zu betreiben. Das bedeutet Ausschreibung, Tests, Inbetriebnahme und dann wohlmöglich schon wieder Ausschreibung. Des Weiteren müssen Stellplatz, Energie und Klima geliefert werden und das Fachpersonal nun in drei Schichten, an sieben Tagen vor Ort sein. Außerdem ist eine passende Netzwerk-Infrastruktur nötig, genauso wie das dazugehörige Backup und Archiv der Kapazitäten. Darüber hinaus müssen SLAs für alle Komponenten verhandelt und kontrolliert werden, auch die Übereinstimmung mit der DSGVO gilt es zu beachten.

Herausforderungen einer Public-Cloud

Für eine Public-Cloud gelten andere, allerdings nicht weniger komplexe Herausforderungen: Zunächst einmal muss der günstigste Anbieter gefunden, das heißt, ausgeschrieben und getestet, und danach schnellst möglich »befüllt« werden. Danach gilt es, die Systemleistungen des Anbieters ständig zu überprüfen und im Notfall zu justieren. Erst dann kann das Fachpersonal verringert bzw. verlagert werden, sofern dies gewollt ist. Außerdem muss die externe Netzwerkanbindung redundant und »breit« genug sein.

Mit dem Anbieter zusammen gilt es die Lösungen für Backup und Archiv zu definieren, wenn diese ebenfalls das eigene Rechenzentrum verlassen sollen. Für alle Komponenten müssen SLAs verhandelt und eingehalten werden, genauso wie die DSGVO. Eine der größten Herausforderungen wird, dass der Wechsel des Anbieters jederzeit möglich sein muss und sollte ein ganz klares Entscheidungskriterium sein.

Private-Cloud und die Wirklichkeit

Die Wirklichkeit sieht für lokale Lösungen allerdings wesentlich komplexer aus als in den Prospekten der Anbieter: Zunächst einmal muss die Hardware beschafft, gewartet und betrieben werden. Das heißt, ein Lastenheft ist zu schreiben, die Ausschreibung durchzuführen, ebenso ein ausgiebiger Test, erst dann kann die eigene Cloud in Betrieb gehen. Danach muss das ganze vermutlich zeitnah schon wiederbeginnen, um in zwei oder drei Jahren mit neuen Systemen ablösen zu können. Im Betrieb müssen Stellplatz, Energie, Klima und Netzwerk-Infrastruktur geliefert werden, dazu gehört auch die Abrechnung aller Komponenten mit den nutzenden Abteilungen sowie die Einrichtung einer passender Backup- und Archivlösungen. Ist ein Rund-um-die-Uhr-Betrieb vorgesehen, bedeutet dies, dass auch das Fachpersonal vor Ort sein muss, in drei Schichten, sieben Tage, an Wochenenden und Feiertagen.

Begleitend sollten SLAs für alle Komponenten verhandelt und eingehalten werden, dazu gehören Verhandlungen zwischen Fachabteilungen und Rechenzentrum über die Verfügbarkeit und die Leistung der Angebote und deren jeweilige Kosten. Auch zu der Frage, wer die Einhaltung kontrolliert, und wer bei Nichterfüllung zahlt.

Außerdem muss auch die Speicherung in der Private-Cloud die DSGVO berücksichtigen. Das heißt, auch hier sollte der Datenschutzbeauftragte hinzugezogen werden und, was zu empfehlen ist, ein Data-Security-Officer. Neben einem Sicherheitsplan empfiehlt es sich, einen Meldeprozess zu etablieren, bei interner und externer Nichteinhaltung.

Public-Cloud und die Wirklichkeit

Für die Public-Cloud gilt eine andere, allerdings nicht weniger komplexe Wirklichkeit: Zunächst gilt es den günstigsten Anbieter zu finden und zu »befüllen«, dazu gehören unter anderem Lastenheft, Ausschreibung, Test und Betrieb. Die Systemleistungen des Anbieters müssen ständig überprüft und justiert werden, allerdings erst nach der Definition der gewünschten Leistungen sowie dem Einrichten von Überwachungs- und Anpassungsprozessen.

Die externe Netzwerk-Anbindung muss redundant und »breit« genug sein, aus geographisch unterschiedlichen Richtungen und möglichst von zwei unterschiedlichen Versorgern erfolgen. Auch hierzu sind vorausgehend ein Lastenheft, Ausschreibung und Test nötig.

Zum externen Betrieb gehört die detaillierte Definition der gewünschten Leistungen sowie das Einrichten von Überwachungs- und Anpassungsprozessen. Sollte dies gewünscht sein, ergänzen die Definition der Lösungen für Backup und Archiv (extern, intern), deren Lastenheft, Ausschreibung, Test und Betrieb die Installation.

Darüber hinaus muss das IT-Management SLAs für alle Komponenten definieren und mit dem Anbieter verhandeln. Zudem gilt es Überwachungs- und Anpassungsprozessen festzuhalten, inklusive der Frage, wer bei Nichterfüllung haftet und zahlt.

Auch extern muss die DSGVO eingehalten werden. Unternehmen benötigen eine schriftliche Zusage des Anbieters, eine regelmäßige Überprüfbarkeit dieser Zusagen durch einen Datenschutzbeauftragten.

Der Wechsel des Anbieters, aus welchen Gründen auch immer, muss jederzeit möglich sein. Hierzu gehört die Überprüfung der Kündbarkeit des Vertrages, ein zugesicherter Transport aller Daten zum neuen Anbieter, und natürlich eine Datenlöschung nach DSGVO. Und dies selbstverständlich 24 Stunden am Tag und 365 Tage im Jahr.

DSGVO in Cloud-Umgebungen

Sehr vereinfacht ausgedrückt regelt die Datenschutz-Grundverordnung (DSGVO) den Umgang mit personenbezogenen Daten und entsprechenden Datenschutzverletzungen und räumt Betroffenen umfangreiche Rechte ein. Gleichzeitig hat der Datenerfasser, sprich das Unternehmen, diverse Pflichten zu erfüllen.

Im Sinne der Datenspeicherung bedeutet dies, dass nur berechtigte Personen Zugriff auf sensible bzw. personenbezogene Daten haben dürfen. Dies ist grundsätzlich nicht neu, weil auch schon vor der DSGVO nicht jeder alles sehen sollte. Die Betroffenen haben nun aber ein Anrecht darauf, dass dies eingehalten wird. Das heißt, es sollten regelmäßige Sicherheitsüberprüfungen stattfinden, möglichst mit Einbruchs- und Leckagekontrollen sowie Bedrohungsanalysen.

Auch gilt es den Datenabfluss zu überwachen, inklusive einer Unterscheidung zwischen Öffnen, Löschen, Versenden und Kopieren, für alle internen und aller externen Datennutzer.

Die DSGVO räumt den Betroffenen ein Recht auf Widerruf und »Vergessen werden« ein. Das heißt, die Einstellungen für einzeln erfasste Personen müssen jederzeit änderbar und alle Daten einzeln erfasster Personen jederzeit löschbar sein.

Cloud: Nur mit definierter Data-Governance

Kritiker sehen darin eine nicht unerhebliche Verkomplizierung der Handhabung der gespeicherten Daten, sowohl bei lokaler als auch bei externer Speicherung. Unternehmen sollten die Inhalte ihrer Daten nachvollziehen können, was auch den Bereich der »Dark Data« betrifft. Eine »Data-Governance« muss definiert, eingesetzt, überwacht und durchgesetzt werden. Zudem sollte nachprüfbar sein, welcher Anwender auf persönlichen Daten zugreifen kann und wer dazu autorisiert ist.

Das Recht, »vergessen zu werden« klingt simpel, lässt sich aber in der Realität kaum zur Gänze umsetzen. Unternehmen sollten daher »zeitgerecht« ihre Backup- und Archivierungsprozesse anpassen. Obwohl speziell einige Hersteller Angst- und Panikmache betreiben, geht die aktuelle rechtliche Auffassung dahin, dass keine Daten aus bestehenden Backups zu löschen sind. Wichtig ist, dass bei einer Datenwiederherstellung die zu löschenden Daten nicht wieder in Umlauf gebracht werden.

Der DSGVO ist es grundsätzlich egal, ob Daten On-Premises oder auf einem wie auch immer gearteten Cloud-Storage gespeichert werden. Hauptsache, der Zugriff ist geregelt und die Daten lassen sich rechtssicher überschreiben bzw. löschen. Für die Cloud sollte eine Data-Governance eingeführt werden, die unter anderem die dedizierte Autorisierung aller Anwender sowie die Abschirmung des Anbieter-Personals beinhaltet.

Experten empfehlen zudem eine automatische Klassifizierung der Daten, beispielsweise durch regelmäßige Prozesse zur Bewertung aller gespeicherten Daten. Dazu gehört auch eine regelmäßige, automatische Bewertung der Inhalte aus E-Mails, Ordnern, Instant-Messaging, sozialen Kanälen und geteilten Umgebungen und nicht zuletzt »das Recht, vergessen zu werden«. Alle Regularien, die personenbezogene Daten betreffen, müssen regelmäßig zwischen allen Fachabteilungen ausgetauscht und abgestimmt werden.

Public-Cloud mit der DSGVO nur bedingt vereinbar

Kritiker führen an, dass die DSGVO-gerechte Nutzung von Public-Clouds in »normalen« Umgebungen annähernd unmöglich ist. Die Fragen, ob die Speicher- und Verwahrorte im RZ des Anbieters verfolgbar sind, ob eine vollständig verschlüsselte Kommunikation möglich (und leistungsfähig genug) ist, ob die rechtssichere Löschung nach Nutzungsende garantiert und der physische Zugriff auf die Daten gesichert und unterbunden wird, lässt sich mit einem externen Anbieter kaum vollständig klären. Hinzu kommt das Problem, ob die Daten im Backup und Archiv des Anbieters nach der DSGVO behandelt werden.

Gleichzeitig gilt aber auch so etwas wie eine Unschuldsvermutung, vor allem bei den großen Cloud-Providern. Im Grunde genügt es, einen Auftragsverarbeitungsvertrag (AVV) mit dem Provider abzuschließen. Die USA gilt datenschutztechnisch als unsicheres Drittland, womit eigentlich alle US-Anbieter auszuschließen wären, außer, sie besitzen ein Privacy-Shield-Zertifikat. Damit sind alle bekannten US-Provider wieder im Amazon, Google, Dropbox und Microsoft Spiel.

Cloud: Die IT-Struktur bleibt trotzdem komplex

Für die Entscheidung, ob öffentliche oder private Cloud, müssen Unternehmen für sich durchaus komplexe Fragen beantworten: Zunächst einmal muss der Prozess des Testens, Rechnens, der Statistik, der Preise und SLAs durchlaufen werden. Die Frage, wieviel der externe Anbieter beim Thema DSGVO liefern kann und will, kommt noch obendrauf. Die Gesamtkostenrechnung betrifft unter anderem Kosten für Personal, Infrastruktur, Verfügbarkeit, Datenschutz und Datenverlegung.

Aus der Praxis kommen eigentlich nur zwei Antworten:

  1. Eine Cloud-Lösung ist viel zu komplex, um preiswerter als die herkömmlichen Installationen zu sein.
  2. Es hat noch nie ein erfolgreiches Cloud-Projekt gegeben, es sei denn, auf der grünen Wiese oder bei Einführung komplett neuer Prozesse.

Demgegenüber gibt es natürlich auch Firmen, die zufrieden mit ihren Cloud-Lösungen sind. Von einer sinkenden Komplexität berichten aber die wenigsten. Natürlich lassen sich bei AWS und Azure zusätzliche Services, auf Knopfdruck, hinzubuchen – einfacher geht’s kaum. Trotzdem bleibt vieles Stückwerk und gewachsene Strukturen lassen sich nur mühsam bis gar nicht auflösen. Lokale Speicher bleiben auch weiterhin fester Bestandteil der IT-Abteilungen, aber in hybrider Begleitung diverser Cloud-Services.