Werde Teil unseres Teams und sorge für mehr Digitale Souveränität!
- Teamleiter IT – Kundenprojekte (m/w/d)
- IT Consultant (m/w/d)
- Senior Backend / Software Developer Python (m/w/d)
- u.v.m.

Wie können Cloud und Managed Service Provider Unternehmenskunden helfen, entschiedener und schneller in die Cloud zu kommen? Diese Frage ist für das Wachstum von CSPs und MSPs von großer Bedeutung und ihre Beantwortung ist eine wichtige Voraussetzung für jeden Provider, der gegenüber den großen Playern im Markt wettbewerbsfähig bleiben will.
Die Ausgangsfrage ist natürlich: „Wollen Organisationen überhaupt in die Cloud? Insbesondere mit intern betriebenen Anwendungen wie Groupware oder ERP-Systemen?“
Die Antwort ist: „Ja, wenn…“. Einerseits gibt es extrem hohe Erwartungen, so ermittelte die „Future of Cloud Computing“ Studie“ in 2015 eine RoI-Erwartung von weniger als drei Monaten.
Andererseits gibt es viele unentschiedene oder skeptische Entscheider, obwohl generell eine positive Grundstimmung zugunsten von Cloud Computing besteht, wie die folgende Studie von BITKOM und KPMG zeigt:
Die Vorbehalte lassen sich drei Gruppen zuordnen: Sicherheit, Interoperabilität und Vendor Lock-in. Ich möchte auf jeden kurz eingehen:
Viele Cloud-Applikationen wie Salesforce oder Office 365 gibt es nur als fest integrierte Pakete bestehend aus Infrastruktur, Software, Service-Level, Gerichtsstand und weiteren Dingen. Man kann sie entweder komplett einsetzen oder gar nicht. Was man nicht kann, ist beispielsweise Software und Rechenzentrum unabhängig voneinander auswählen. Auch dann nicht, wenn man mit einem Provider zusammenarbeiten möchte, weil er vielleicht passendere Service Level anbietet oder der Gerichtsstand sich im selben Land befindet wie man selbst.
Für eine Organisation bedeutet dies: Sobald ihre Daten zu einem Cloud Service verlagert und die Geschäftsprozesse dort integriert sind, ist die Organisation eng an den spezifischen Anbieter gebunden. Das hat Jeremy King, CTO von Walmart Global eCommerce, den „Hotel California Effekt“ genannt. „You can check-out any time you like / But you can never leave.“
Natürlich gab es schon früher ähnliche Lock-in-Effekte mit klassischer proprietärer Software. Aber in der Cloud sind die Konsequenzen viel gravierender: War man früher wenigstens im physischen Besitz seiner Daten, ist das in der Cloud nicht mehr der Fall. Dadurch können Anbieter den Zugang zu Daten ihrer Kunden kontrollieren und so einfach bestimmen, wann sie Wettbewerber zulassen und wann nicht. Das führt zum zweiten Vorbehalt: Interoperabilität.
Ein gutes Beispiel dafür sind Identity Management und Single Sign-on, denn damit haben derzeit viele Organisationen zu kämpfen. Für die meisten Organisationen ist Microsoft Active Directory der De-facto-Standard, um Nutzer, Zugangsrechte und Berechtigungen zu verwalten. Sobald Organisationen aber zunehmend Cloud-basierende Applikationen einsetzen, brauchen sie Möglichkeiten, diese Applikationen, die möglicherweise von verschiedenen Anbietern kommen, mit ihrem Active Directory zu verbinden. Aber das eigene Active Directory externen Anbietern zugänglich zu machen oder etwa Schemaerweiterungen für diese Dienste zu implementieren, ist etwas, was die meisten Administratoren vermeiden möchten.
Wenn Organisationen andererseits aber kein einheitliches Management von Identitäten und Berechtigungen erstellen können, läuft es für ihre Anwender darauf hinaus, dass sie sich in jeden Service manuell einloggen müssen. Das führt schnell zu einer Situation, in der Organisationen vollständig den Überblick über Zugangsrechte und Berechtigungen verlieren.
Nicht nur deshalb ist Sicherheit der dritte, wichtige Vorbehalt. Besonders in Europa, aber zunehmend auch in anderen Regionen, sind Organisationen sehr verunsichert. Sie haben Bedenken, ihre Daten in der Cloud zu speichern bzw. ihre Prozesse dort laufen zu lassen, da sie nicht wissen, ob ihre Daten in der Cloud sicher sind oder ob Kriminelle, Wettbewerber oder ausländische Regierungen dort darauf zugreifen können.
Diese Verunsicherung ist kein Zufall. Und sie ist durch die Snowden-Enthüllungen nochmal kräftig verstärkt worden.
Was wir heute sicher wissen ist: Erstens sammeln Regierungsbehörden so viele Daten, wie sie nur können. Nicht nur die NSA, sondern wahrscheinlich auch chinesische und – natürlich – auch deutsche Behörden. Und zweitens gibt es viele Hintertüren in Software, von denen manche versehentlich eingebaut sind. Andere jedoch wurden absichtlich geschaffen, um Sicherheitsbehörden Zugang zu privaten Daten zu ermöglichen. Und natürlich werden so gewonnene Daten nicht nur im Interesse der „nationalen Sicherheit“, sondern häufig auch für Zwecke der Wirtschaftsspionage genutzt.
Als Reaktion darauf bringen viele Unternehmen entweder ihre Daten überhaupt nicht in die Cloud oder sie arbeiten nur mit lokalen Providern zusammen, die unter derselben Rechtsprechung wie sie selbst und im eigenen Land operieren. Für deutsche Unternehmen heißt das: Viele arbeiten nur mit Providern mit Rechenzentren und Sitz der Muttergesellschaft in Deutschland. Amazon AWS beispielsweise, mit einem Rechenzentrum in Frankfurt, aber dem Sitz der Muttergesellschaft in Seattle, erfüllt diese Anforderungen nicht.
Für global agierende Cloud Service Provider wie Amazon oder Microsoft ist das eine enorme Herausforderung. Sie versuchen das Problem zu umgehen. Entweder, indem sie den Vorschriften in den USA nicht entsprechen, Gerichtsbeschlüsse anfechten oder indem sie lokalen Rechtsträgern den Betrieb ihrer Cloud Stacks überlassen, so wie es Microsoft in Deutschland mit der Deutschen Telekom als Treuhänder macht. Ob es aber so möglich ist, das grundsätzliche Problem zu lösen, bleibt offen. Für lokale Provider ist das eine große Chance.
Denn lokale Provider operieren unter lokaler Gesetzgebung. Sie können nicht einfach gezwungen werden, die Daten einer im gleichen Land ansässigen Organisation einem anderen Land zu übergeben. Und auch rechtlich ist es für Unternehmen in der EU kein Problem, Daten an Provider in der EU zu übergeben. Ob hingegen der „EU-US Privacy Shield“, die neue Vereinbarung zwischen der EU und den USA, trägt, muss als offen betrachtet werden.
Unter sicherheitstechnischen und rechtlichen Gesichtspunkten haben also lokale Cloud oder Managed Service Provider einen gewaltigen Vorteil gegenüber ihren global operierenden Wettbewerbern. Das allein wird aber nicht ausreichen, um Kunden zu überzeugen. Auch auf die übrigen Bedenken, wie Interoperabilität, Vendor Lock-in und Hintertüren in Software müssen Antworten gefunden werden.
Vendor Lock-in bei SaaS-Anwendungen können wirkungsvoll reduziert werden, wenn Applikationen eingesetzt werden, für die die entsprechende Software auch unabhängig vom SaaS-Angebot erhältlich ist, sodass verschiedene, möglicherweise konkurrierende Cloud Service Provider sie anbieten können. Dies ermöglicht auch, dass Anwenderorganisationen die Applikation wieder in ihr eigenes Rechenzentrum bringen können. Das verschafft Wahlmöglichkeiten und Vertrauen. Interessanterweise nützt diese Wahlmöglichkeit auch den Providern selbst. Das mag zunächst widersinnig klingen, ist aber wahr. Niemand würde für sein Haus ein Dach unter der Bedingung kaufen, dass nur dieser Lieferant in den nächsten 30 Jahren irgendwelche Services oder Reparaturen durchführen darf. Das ist es aber, was viele große Provider aktuell anbieten.
Die beste Maßnahme gegen Lock-ins sind Open Source-lizenzierte Applikationen, denn sie können vollständig unabhängig vom Anbieter eingesetzt werden.
Aber das ist nicht alles. Meines Erachtens ist eine der wichtigsten Eigenschaft von Open Source, dass sie vollständige Transparenz mit sich bringt. Und Transparenz ist zwingende Voraussetzung für wirkliche Sicherheit der Software. Denn mit Open Source muss man sich nicht allein auf den Softwareanbieter verlassen, um zu beurteilen, ob die Software sicher ist oder ob sie irgendwelche Hintertüren hat. Man kann sie selbst überprüfen oder durch jemanden überprüfen lassen, dem man vertraut. Und wenn ein Loch gefunden wird, kann jeder es stopfen.
Schauen wir einmal auf die großen Player: Für Firmen wie Google, Facebook, Amazon oder Walmart ist es absolut entscheidend, sichere Anwendungen in einem sicheren Netzwerk zu betreiben, das jederzeit auf jedes Problem hin überprüft werden kann. Es ist für diese Firmen lebenswichtig, dass jedes Sicherheitsproblem sofort behoben werden kann. Außerdem können diese Giganten für ihr Wachstum keine Lock-ins anderer Anbieter tolerieren. Das sind gewichtige Gründe, warum diese und viele andere Unternehmen strategisch auf Open Source Software setzen.
Um es zusammenzufassen: Softwareanwendungen zu verwenden, die unabhängig vom Cloud Service sind, reduziert Vendor Lock-ins erheblich. Gleichzeitig werden die meisten rechtlichen Anforderungen gelöst, wenn Provider unter derselben Gesetzgebung wie ihre Kunden arbeiten. Und schließlich ist Open Source auf alle Fälle die beste Voraussetzung für eine vertrauenswürdige IT.
Aber was ist mit dem Problem der Interoperabilität? Lokale Cloud und Managed Service Provider sind oft kleinere Unternehmen, denen die Möglichkeiten fehlen, umfassende Stacks integrierter SaaS-Anwendungen anzubieten.
Um diese Lücke zu schließen und auch kleinere Cloud Service Provider in die Lage zu versetzen, Lösungs-Stacks anzubieten, die Kunden nicht binden und gleichzeitig einen Wettbewerb zwischen den Softwareherstellern zu ermöglichen, haben wir die Open Cloud Alliance ins Leben gerufen. Mit dabei sind Cloud und Managed Hosting Provider genauso wie etliche Softwareanbieter.
Wir bieten eine Open Source Plattform, um Enterprise-Anwendungen in der Cloud und On-Premise einzurichten, zu betreiben und zu administrieren. Diese Anwendungen sind in ein einheitliches Managementsystem integriert, das auf einem einzigen Identity- und Zugangsmanagement basiert. Man kann es sich als eine Art „verteiltes Android für Server“ mit integriertem IAM und einem App Center mit Dutzenden von Enterprise-Anwendungen vorstellen. All das ist natürlich Open Source Software.
Wir sind noch in einer frühen Phase, aber das System wird von Cloud Service Providern bereits benutzt, etwa um Groupware und Collaboration-Software, ERP- und DRM-Lösungen, File-Sharing-Software und vieles mehr in einer integrierten und administrierbaren Form anzubieten. Ein gewichtiger Grund für das Vertrauen, das uns damit entgegengebracht wird, ist sicherlich auch, dass diese Plattform auf unserer heute bereits in Tausenden von Unternehmen im Einsatz befindlichen Lösung „Univention Corporate Server“ aufbaut.
Wichtige Eigenschaften unserer Plattform für Cloud Anbieter sind:
Wir denken, dass dies die einzige, wirklich offene App-Plattform ist, die Dutzende Enterprise-Applikationen mit einem einheitlichen Identity Management System integriert. Sie macht es möglich, Anwendungen sowohl in vielen Clouds als auch On-Premise zu betreiben.
Die offene Plattform der OCA schließt die oben beschriebene Lücke nicht nur für kleinere, regional agierende Cloud und Managed Service Provider und ermöglicht es, Angebote zu schaffen, die auf die Bedenken der Anwender bezüglich Sicherheit, Vendor Lock-ins und Interoperabilität Rücksicht nehmen. Damit sind Anbieter bestens gerüstet, um im Wettbewerb mit auch sehr großen Konkurrenten mitzuhalten.
Wir freuen uns, mit Ihnen zusammen die Zukunft in der Cloud offen, wettbewerbsfähig und sicher zu gestalten.
Peter H. Ganten ist Gründer und Geschäftsführer von Univention.