Was ist die Cloud? Wer diese Frage an fünf Personen stellt, wird wohl mindestens fünf verschiedene Antworten erhalten. Es ist zu einem Schlagwort geworden, dem sich auch das Marketing gerne bedient. Oft wird versprochen, dass mit der Wolke alles einfacher, schneller und günstiger wird – kurzum: Viel besser.
Doch stimmt das wirklich? Welche Arten von Clouds gibt es und wodurch unterscheiden sie sich? Dieser Beitrag soll einen Überblick zu den Grundlagen des Themas verschaffen. Und zwar grundsätzlich, ohne dabei lediglich auf bestimmte Produkte wie z.B. AWS oder Azure einzugehen.
Was ist eine Cloud?
Cloud ist wie Arbeit ein sehr allgemeiner Begriff: Grundsätzlich werden Ressourcen über das Internet bereitgestellt, die skalierbar sind und von einem Dienstleister verwaltet werden. Dabei kann es sich beispielsweise um Programme, Datenbanken, Server oder Speicher handeln. Die Wolke symbolisiert dabei, wie die Kontrolle über konkrete physische Systeme verschwimmt: Aus Kundensicht weiß man nicht mehr, wo genau in der Wolke die eigenen Daten oder Systeme liegen. Im eigenen Rechenzentrum ist dagegen klar, welcher physische Server eine bestimmte Anwendung bereitstellt.
Diese vier Kategorien unterscheiden sich in abnehmender Freiheit, dafür wird zunehmend Verwaltungsarbeit an den Cloudanbieter ausgelagert. Das hat Vor- und Nachteile, dazu später mehr. Da die Spannbreite so groß ist, kann man Clouddienste grob in vier Kategorien einteilen:
Infrastruktur als Dienst (IaaS)
Der Dienstleister bietet virtuelle Infrastruktur wie Server oder Speicher an. Dies ist noch am ehesten mit klassischen virtualisierten Servern vergleichbar. Daher hat man als Kunde hier noch die meisten Einflussmöglichkeiten und die geringste Abhängigkeit von einem Hersteller: Auf einem GNU/Linux Server kann man eine gewünschte Software eben so installieren, wie auf einer selbst betriebenen Maschine im Rechenzentrum oder Heimnetz.
Plattform als Service (PaaS)
Der Betreiber stellt eine bestimmte Laufzeitumgebung bereit – beispielsweise für Python, PHP, .NET, NodeJS und weitere. Als Kunde kann man nur diese Umgebung nutzen, hat aber keinen vollen Serverzugriff. Dies ist vergleichbar mit dem klassischen Webspace/Webhosting, bei dem man z.B. einen Webspace mit PHP bekommt. Darauf kann man fertige Programme installieren oder selbst entwickeln. Der Unterschied zur Cloud ist in beiden Fällen die Skalierung. Dies ist beim Webhosting nur vereinzelt und ggf. eingeschränkt möglich.
Anwendung als Dienst (SaaS)
Eine komplette Software wird vom Cloudbetreiber bereitgestellt. Dies können proprietäre Programme sein wie z.B. Google Drive oder OneDrive. Aber auch quelloffene Software wie NextCloud. Als Nutzer bezahlt man für die komplette Bereitstellung und muss sich weder um Aktualisierungen, noch um Wartung kümmern.
Dafür hat man wenig bis gar keinen Einfluss. Wenn sich der Dienstleister für das Einspielen eines Updates entscheidet, können beispielsweise Funktionen eingeschränkt oder entfernt werden. Sollte der Anbieter sein Angebot einstellen, ist der Dienst nicht mehr nutzbar. Im schlechtesten Fall hat man danach nur unvollständig oder gar keinen Zugriff mehr auf die gespeicherten Daten.
Funktion als Service
Oft auch als Serverless Computing vermarktet. Eine noch striktere Form von PaaS, bei dem man sich nur auf die Geschäftslogik der Anwendung konzentriert. Server, Laufzeitumgebung, Netzwerk, Speicher werden extern bereitgestellt. Die Anwendung ist damit zustandslos und kann leicht skaliert werden. Das kann beispielsweise eine Single-Page Anwendung sein.
Der Nutzerkreis von Clouds
Darüber hinaus gibt es verschiedene Nutzerkreise, wem eine Cloud bereitgestellt werden kann.
Öffentliche Cloud (Public Cloud)
Ein Dienstleister bietet seine Ressourcen über das Internet der Öffentlichkeit an. Dazu dürften die meisten Clouddienste gehören, welche ihr kennt: Bei Amazon, Google, DropBox & co. kann sich jeder anmelden und Ressourcen mieten. Wer dort einen virtuellen Server mietet, liegt vielleicht auf der physischen Maschine zusammen mit einem Konzern.
Private Cloud
Wie bei einer geschlossenen Gesellschaft wird diese Cloud nur von einer Organisation oder einem Unternehmen verwendet. Beispielsweise kann die zentrale IT unabhängig und eigenständig private Clouddienste für andere Abteilungen bereitstellen. Dadurch tritt die IT-Abteilung schnell als Dienstleister auf.
Gemeinschaftliche Cloud (Community Cloud)
Ähnlich wie die private Cloud ist der Nutzerkreis bekannt. Beispielsweise können das Behörden einer Stadt sein, Universitäten die gemeinsam Arbeiten oder Unternehmen innerhalb einer Unternehmensgruppe.
Hybride Cloud (Hybrid Cloud)
Die beiden vorherigen Modelle werden miteinander kombiniert. Etwa, wenn man bestimmte Dienste in die Cloud verlagern möchte, jedoch nicht komplett alle. Anstelle der privaten Cloud können auch On-Prem Installationen stehen, d.H. komplett selbst betrieben inklusive eigenem Rechenzentrum.
Mischformen
Darüber hinaus lassen sich die zuvor genannten Formen auch mischen: Bei einer Virtuellen Privaten Cloud (Virtual Private Cloud) betreibt man eine eigene Cloud auf öffentlicher Infrastruktur. Ein Beispiel dafür wäre ein Kubernetes-Cluster, der auf gemieteten virtuellen Servern eines Hosters läuft. Um beispielsweise Abhängigkeiten zu reduzieren, lassen sich mehrere Clouddienste bündeln – man spricht dann von einer Multi-Cloud.
Worin unterscheiden sich diese von bisherigem Hosting?
Grundsätzlich ist vieles davon aber nicht neu. Bereits seit Jahren bieten Systemhäuser und andere Dienstleister an, ein System für euch zu verwalten: Es gibt also einen oder mehrere Server, auf denen eure Programme laufen. Das Unternehmen kümmert sich um Aktualisierungen und andere Wartungsarbeiten. Dies wird Verwalteter Server (Managed Server) genannt.
Per Definition unterscheiden sich Clouddienste dadurch, dass man als Kunde automatisiert mehr Leistung buchen kann. Teils skalieren die Systeme auch selbstständig und erhöhen etwa den Speicher bei hoher Auslastung. All das wird überwacht und protokolliert – denn die Abrechnung erfolgt bei Clouddiensten nicht pauschal nach Server, sondern möglichst exakt nach der gebuchten Leistung. In der Praxis heißt das meist Stundengenau, teils sogar auf die Minute.
In der Skalierung liegt auch der Ursprung der Clouds: Großkonzerne wie Amazon hatten Anfang der 2000er Jahre das Problem, zu skalieren. Zu Lastspitzen wie z.B. Weihnachten war die Last X Mal so hoch, wie im Alltag. Amazon entwickelte daher zunächst eine Community Cloud für den eigenen Konzern. Ein paar Jahre später wurde dies in AWS ausgegliedert und als öffentliche Cloud für jeden angeboten.
Belegt etwa ein Bilderdienst mehr Speicher, kostet quasi jedes Bild mehr Geld. Auf einem klassischen Server bleiben die Kosten gleich, bis die Festplatten voll sind und neue einmalig nachgekauft werden.
Mehrere/indirekte Clouds?
Einige Clouddienste nutzt man indirekt, ohne dass es einem vielleicht so richtig bewusst ist. Netflix ist beispielsweise 2016 in die Amazon Cloud (AWS) umgezogen. Auch Atlassian betreibt seine Infrastruktur nicht selbst, sondern ist wiederum Kunde bei AWS. Wer also beispielsweise Clouddienste von Atlassian nutzt, der muss nicht nur Atlassian vertrauen, sondern auch Amazon als Dienstleister.
Vorteile und Nachteile
Preise und Flexibilität
Die Flexibilität ermöglicht es, innerhalb kurzer Zeit per Mausklick größere Mengen an Speicher oder Rechenleistung abzurufen. Zumindest meistens, denn wenn zu viele Kunden den Cloudanbieter parallel nutzen möchten, kann der auch mal voll sein. Dafür müsste man mit eigenem Rechenzentrum erst Hardware kaufen. Gerade bei der Skalierung kann dies zudem schwierig werden.
Das kann in der Cloud von Vorteil sein, aber meist nur, wenn man die Skalierung benötigt und sich nicht selbst darum kümmern möchte. Für die zahlt man nämlich oft drauf. Ein dauerhaft gemieteter virtueller Server ist in der Cloud meist teurer, als auf klassischem Wege. Und das nicht zu knapp: Das Unternehmen Prerenderer wechselt von der Amazon AWS Cloud auf eigene Server. Die jährlichen Serverkosten wurden dadurch um satte 80 % reduziert, von ehemals 1 Million US-Dollar auf 0,2 Millionen. Der Grund dafür liegt neben den höheren Preisen auch in versteckten Kosten, etwa für Datenverkehr.
Aufwand
Je nach Art der Cloud werden mehr oder weniger Aufgaben auf den Anbieter ausgelagert – etwa das Einspielen von Aktualisierungen. Vor allem für kleinere Unternehmen, die nicht ausreichend Mannstärke für die Verwaltung haben, ist das lukrativ. Oder Privatpersonen, die z.B. Speicherplatz benötigen, aber kein NAS selbst betreiben möchten oder können. Ob man wirklich weniger Aufwand hat, hängt jedoch auch von der konkreten Anwendung ab. Gerade umfangreiche Anwendungen als Dienst (SaaS) können die Komplexität sogar erhöhen und damit auch den Aufwand für Migration sowie Betrieb – ein Beispiel dafür ist Microsoft 365, ehemals Office 365. Hier holt man sich ggf. neue Probleme wie z.B. schlechte Performance ins Haus. Zumal man zunächst Geld in eine Migration investieren muss.
Google ist außerdem damit aufgefallen, dass sie solche proprietären Dienste schnell als veraltet markieren. Der Kunde muss dann in kurzer Zeit Änderungen vornehmen. Die erzeugen so viel Arbeit, dass ein ehemaliger Google- und Amazon-Mitarbeiter seine Infrastruktur auf eigenen Servern mit quelloffener Software betreibt. Das mache zwar Arbeit, aber immer noch deutlich weniger, als Google hinterher zu laufen.
Abhängigkeit (und Preise)
Die Abhängigkeit zum Anbieter steigt, je mehr Arbeit man an ihn abgibt. Großkonzerne wissen das zu nutzen und versuchen diese Abhängigkeit durch proprietäre Dienste zu maximieren. Per Vendor-Lockin wird es dem Kunde erschwert, zu einem anderen, günstigeren Anbieter zu wechseln. Das mag vielleicht im Moment irrelevant erscheinen. Doch wenn etwa die Preise erhöht oder Funktionen geändert/abgeschaltet werden, sieht das schnell anders aus.
Und das ist keine Seltenheit, sondern wird zunehmend zur weltweiten Cloud-Inflation – das Mieten von Cloud-Ressourcen wird somit immer teurer. Im Folgenden ein paar Beispiele aus der jüngeren Vergangenheit:
- Die Google-Cloud kündigte zum 01. Oktober 2022 Preiserhöhungen von bis zu 50 % an
- Amazons Preise haben sich 2022 stark erhöht, da diese Abhängig von der Nachfrage automatisch steigen. Die Alternativen „Spot“ Instanzen verkaufen ungenutzte Rechenleistung günstiger – doch dafür behält sich Amazon das Recht vor, diese mit 2 Minuten Vorwarnzeit zu kündigen, falls die Nachfrage steigt. Wer dieses Risiko nicht eingeht, zahlt deutlich mehr.
- Atlassian nutzt seine Monopolstellung, um die Preise für Cloudprodukte Ende 2021 zwischen 5 % und 40 % anzuheben
- Der Deutsche Softwarekonzern SAP kündigte nicht nur eine einmalige Preiserhöhung an, sondern möchte fortan jedes Jahr 3,3 % auf die Preise aufschlagen
- Adobe Creative Cloud verlangt 2022 für bestimmte Pakete mehr Geld
Sicherheit
Große Rechenzentren mögen zwar physisch besser geschützt sein, als ein Server im Keller oder kleinen Betrieben. Doch viele Gefahren lauern woanders. Wer kümmert sich beispielsweise um Backups? Viele denken, die Cloud ist ein Rundum-Sorglos-Paket. Für manche mag das zutreffen – viele Anbieter stellen jedoch primär nur die Infrastruktur bereit. Dazu gehört im besten Falle noch die Ausfallsicherheit. Die Verantwortung für die Daten wird gerne auf den Kunde übertragen.
Ein bekanntes Beispiel ist Microsoft/Office 365: Es schützt nicht vor Angriffe durch Schadsoftware, versehentliches oder vorsätzliches Löschen oder zur langfristigen Archivierung. Gerade bei Unternehmen ist letzteres wichtig, wenn bestimmte Daten über Jahre oder Jahrzehnte rechtssicher aufbewahrt werden müssen.
Aber auch Privatpersonen sollten das Thema nicht vernachlässigen. Jüngst wurden beispielsweise ältere Bilder in der Google Cloud beschädigt. Solch ein Verlust mag zwar keine hohen Geldbeträge kosten. Dennoch ist es sehr ärgerlich, da Erinnerungen zumindest einen hohen persönlichen und ideellen Wert haben.
Daten in falschen Händen?
Grundsätzlich sollte einem klar sein: Der Cloudanbieter hat Zugriff auf die Daten, sofern sie nicht auf dem Client wirksam verschlüsselt werden. Und sie liegen im Internet. Das bietet Vorteile und macht manches einfacher – etwa braucht es keinen VPN-Zugang mehr. Doch das erhöht die Angriffsfläche. Wird etwa ein Cloudanbieter angegriffen, können Daten in die Hände unbefugter gelangen. Diese Risiken lassen sich durch verschiedene Maßnahmen deutlich reduzieren. Etwa durch Verwendung einer privaten Cloud bzw. grundsätzlich eigenen Servern, die gar nicht öffentlich erreichbar sind, falls das nicht nötig ist.
Wer Clouddienste verwenden möchte oder muss, der kann den Schutz durch Clientseitige Verschlüsselung sicherstellen. Dies ermöglichen kostenfreie, quelloffene Programme wie beispielsweise Cryptomator. So wird auch verhindert, dass Dateien automatisiert geprüft und ggf. an Ermittlungsbehörden weitergeleitet werden.
Entsprechende Beispiele gibt es mittlerweile einige: Bereits ein fragwürdiges Bild führte etwa zu Hausdurchsuchungen bei Nutzern aus Deutschland. In der Schweiz werden die Behörden mit privaten Bildern überlastet, die große Internetkonzerne wie Facebook oder Google entdeckt haben. 90 % der Bilder sind dabei völlig legal und wurden ohne Zustimmung der Betroffenen weitergegeben.
Datenschutz
Wie gut sind meine Daten geschützt? Spätestens seit dem globalen Überwachungs- und Spionageskandal sollte sich die Frage grundsätzlich stellen. Schließlich wurde dadurch der breiten Öffentlichkeit bekannt, dass Staaten und andere Akteure massenhaft Daten sammeln. Das geschieht nicht nur zur Abwehr von Terrorismus, sondern beispielsweise auch zur Wirtschaftsspionage. Oder gezielten Diskreditierung, auch von Privatpersonen. Bereits vor über 20 Jahren rechtfertigte das der ehemalige CIA-Direktor vor allem in der EU damit, dass europäische Unternehmen „eine nationale Kultur der Bestechung“ hätten. Die USA sind hier zwar führend, doch auch andere Länder versuchen an Daten zu kommen.
Mit der Datenschutzgrundverordnung (DSGVO) wurde ein Mindestmaß an einheitlichem Datenschutz geschaffen. Der Sitz des Unternehmens ist damit entscheidend, ein Ranking findet man hier. Für Unternehmen schreibt die DSGVO außerdem vor, dass Daten nur dann in ein Drittland übertragen werden dürfen, wenn dort ein angemessener Datenschutz gewährleistet werden kann. Eben das ist in den USA nicht gegeben – dort befinden sich zahlreiche große Cloudanbieter wie unter anderem Amazon, und Google: Die USA erlauben verschiedenen Behörden weitreichende Macht zur Überwachung. Transparenz oder gar Kontrolle gibt es dabei kaum.
Der Europäische Gerichtshof (EuGH) hat daher bereits zum zwei Mal festgestellt, dass die exzessiven Überwachungsgesetze in den USA gegen EU-Recht verstoßen. Beim zweiten Urteil 2020 zum „Privacy Shield“ abkommen sprach das Gericht von einer Verletzung des „Wesensgehalt“ der EU-Grundrechte. Anfang 2022 wurde eine Einigung versprochen, zu der bis heute keine konkreten Informationen vorliegen. Um sich an EU-Recht zu halten, müssten die USA die Massenüberwachung stark Einschränken sowie eine Rechtsstaatliche Prüfung einführen. Dies geschah jedoch bislang nicht und gilt als Unwahrscheinlich.
Dies betrifft nicht nur Unternehmen. Aus den Enthüllungen von Snowden geht hervor, dass Geheimdienste auch private Daten nutzen und missbrauchen. Beispielsweise werden Nacktbilder gesammelt und unter den Kollegen verteilt. Bei unseren Nachbarn wird die Polizei bereits mit privaten Bildern geflutet, die unverschlüsselt über Dienste von z.B. Google und Facebook übertragen wurden.
Fazit
„Die Cloud“ gibt es nicht – es gibt sehr viele Arten, Ausprägungen und Dienstleister, die sich stark voneinander unterscheiden. Daher ist es unmöglich, dieses Thema pauschal zu bewerten. Den Vorteilen stehen jedoch eine ganze Reihe an Nachteilen entgegen. Pauschal günstiger und einfacher wird es jedoch nicht – teils ist sogar das Gegenteil der Fall. Ich sehe daher auch im Cloudzeitalter gute Gründe, seine Infrastruktur ganz oder zumindest teilweise selbst zu betreiben.
Schlussendlich sollte man nicht versuchen, eine pauschale Strategie für alles zu finden. Eine öffentliche Homepage setzt beispielsweise andere Anforderungen an die Sicherheit, als sensible und persönliche Nutzerdaten. Somit kann es durchaus sinnvoll sein, bestimmte Arten von Clouddiensten nur für einzelne Anwendungszwecke einzusetzen – getreu dem Motto Das richtige Werkzeug für einen bestimmten Zweck.
Wer Clouddienste einsetzt, sollte auf den Unternehmenssitz achten und seine Daten selbst schützen – statt sich auf den Anbieter zu verlassen, der sich darum oft nur rudimentär oder sogar gar nicht kümmert.