Chancen und Risiken von Cloud-Diensten

«Meine unternehmerische Freiheit und Kontrolle gebe ich mit dem Gang in die Cloud ab», sagt der Patron eines mittleren KMU aus dem Kanton Luzern. Namhafte Cloud-Anbieter suggerieren eine Scheinsicherheit. Versprochen werden 99,9 Prozent Verfügbarkeit, freie Skalierbarkeit und Flexibilität bei der Finanzierung. Vernachlässigt wird aber das finanzielle Risiko, welches bei Liquiditätsengpässen in der eigenen Unternehmung entsteht.

Service-Angebote in der Cloud

Seit 1999 Salesforce.com den Grundstein für das Cloud-Computing gelegt hat, werden die Dienste immer weiter ausgebaut. Bei Cloud-Computing werden Dienste eines Anbieters für Benutzer zur Verfügung gestellt. Diese können von reiner Rechnerleistung (Cloud-Computing) bis hin zu Programmen (Software as a Service, SaaS), wo ganze CRM- oder ERP-Systeme im Serviceangebot stehen, von den Endanwendern genutzt werden. Dabei stehen vielfältige Finanzierungsmöglichkeiten zur Verfügung. Abhängig vom Zeitraum, Funktionsumfang, Benutzerzahl oder Transaktionen, können verschiedene Modelle gewählt werden. Alle enden aber schlussendlich immer in einem zeitlich begrenzten Miet- beziehungsweise Verbrauchsmodell.

Es müssen im Vorfeld keine Investitionen getätigt werden. Durch die hohe Standardisierung der Angebote sind die Betriebskosten meist niedriger. Die grossen Public-Cloud-Anbieter (Hyper Scaler) profitieren von ihrer enormen Grösse und können dadurch ihre Dienste sehr kosteneffiziegnt anbieten (Economy of Scale). Renommierte IT-Analysten wie IDC sagen voraus, dass sich die weltweiten Investitionen in die Public-Cloud-Infrastrukturen und -Software von 70 Mrd. USD im 2015 auf 141 Mrd. USD im 2019 erhöhen werden. Aus solchen Zahlen kann abgeleitet werden, dass in Zukunft kaum mehr grosse Investitionen in die Erweiterung bestehender Data Center im KMU-Bereich getätigt werden.

Risikobetrachtungen

Bei der Einführung von Cloud-Diensten in einem KMU dominieren im Grunde drei verschiedene Risikobetrachtungen. Es stehen betriebliche, rechtliche und finanzielle Themen im Vordergrund.

Bei der betrieblichen Risikobeurteilung stehen Faktoren wie der zuverlässige Zugriff auf die Cloud auf der Prioritätenliste. Sehr wichtig ist in diesem Zusammenhang die Internetanbindung des KMU. Gegebenenfalls muss diese redundant ausgelegt werden. Der Vertraulichkeit, Integrität, Verfügbarkeit der Daten muss grösste Aufmerksamkeit geschenkt werden. Heikle Daten sind unbedingt verschlüsselt in der Cloud zu speichern.

Ein aktuelles Thema auf der rechtlichen Seite ist die neue Datenschutz-Grundverordnung der EU (DSGVO), welche 2018 in Kraft tritt. Es geht um den Schutz von personenbezogenen Daten. Diese EU-Richtlinie ist zwar für die Schweiz nicht direkt gültig. Wer jedoch Daten von in der EU lebenden Personen bearbeitet, muss trotzdem einiges beachten. Die Verpflichtungen gelten für den Bearbeiter der Daten sowie für den Cloud-Anbieter. Eine Revision des Schweizer Datenschutzgesetzes, welches der EU-DSGVO Rechnung trägt, wurde vom Bundesrat bereits in Auftrag gegeben.

Finanzielle Risiken

Die finanzielle Beurteilung ergibt, neben den vielen Vorteilen wie einem geringen Investitionsrisiko, transparenten IT-Kosten und einer Verringerung der IT-Prozesskomplexität, auch ein paar erhebliche Nachteile. Diese Nachteile werden von den Dienstleistungsanbietern gerne aus der Betrachtung genommen. Dabei sind es genau diese Faktoren, welche entscheidende Auswirkungen auf die KMU haben können. Auf der einen Seite stehen sicherlich die Risiken, die bei einem Ausfall des Dienstes zu Buche schlagen. Vor allem wenn geschäftskritische Anwendungen wie ERP-Systeme aus der Cloud bezogen werden. Schon ein Ausfall von wenigen Stunden ohne Lagerinformationen, Fertigungssteuerung oder ähnlicher Szenarien können mehrere hunderttausend Franken Schaden verursachen.

Selbstverständlich ist die Eintrittswahrscheinlichkeit eines solchen Ausfalls mit den heutigen modernen IT-Mitteln eher gering. Die wachsende Komplexität der Systeme wird aber im Gegenzug auch immer anfälliger auf Störungen. Schon einzelne Anwender, wie aktuelle Vorkommnisse klar aufzeigen, können ein System zum Absturz bringen. Die Produkte werden immer komplexer und damit auch anfälliger für unvorhersehbare Ausfälle.

Industrie 4.0

Die industrielle Digitalisierung, auch Industrie 4.0 genannt, wird noch vermehrt dazu beitragen, Prozesse zu digitalisieren und in die Systeme zu integrieren. Je mehr digitale Prozesse umgesetzt sind, desto grösser wird auch der mögliche Schaden, welcher bei einem Ausfall entsteht. Da sich das Risiko aus dem Produkt von Eintrittswahrscheinlichkeit und möglichem Schaden berechnet, bedeutet das also auch eine direkte Erhöhung des Ri­sikos.

Durch den Bezug der Dienstleistungen aus der Cloud kann aber die angestrebte Standardisierung gerade die viel geforderte Individualität der Unternehmen stark einschränken oder sogar verunmöglichen. Innovationen werden so fast verunmöglicht und stellen ein enormes Risiko dar. Freie Entscheidungen wie zum Beispiel die Durchführung oder Nicht-durchführung eines Software-Updates werden plötzlich zu einem Thema. Der Anbieter entscheidet weitgehend über den Zeitpunkt. Wenn noch lokale Systeme, wie spezielle Lager- oder Kassa­systeme, an das Cloud-System mittels Schnittstellen angebunden sind, müssen diese unter Umständen gleichzeitig migriert werden. In vielen Fällen bedeutet dies eine enorme Investition, welche nicht direkt vom Unternehmen bestimmt werden kann.

Finanzielle Unabhängigkeit

Eine weitaus grössere Herausforderung, welche immer wieder vergessen geht, ist die finanzielle Unabhängigkeit. Alle Mietmodelle basieren auf dem gleichen Prinzip. Wenn die Miete nicht mehr bezahlt wird, erfolgt auch keine Leistung. Sollte ein KMU aus Liquiditätsproblemen heraus einmal nicht in der Lage sein, die Mieten zu bezahlen, wird der Dienst eingestellt (siehe Box «Microsoft-Online-Abonnement-Vertrag»). Eine weitere Produktion wird verunmöglicht und das Fortbestehen der Unternehmung ist gefährdet.

Liquiditätsprobleme sind heutzutage in KMU keine Seltenheit mehr. Die restriktive Kreditvergabe der Banken zwingt KMU immer mehr dazu, an die Grenzen der liquiden Belastung zu gehen. Kurzfristig müssen Mittel für Vorfinanzierungen von Produktionsaufträgen bereitgestellt werden. Hohe monatliche Fixkosten verhindern ein agiles Vorgehen am Markt. Die unternehmerische Freiheit wird stark eingeschränkt und die Kontrolle kann verloren gehen.

Die Problematik bei einer solchen Aussetzung ist, wie hier am Beispiel Microsoft, dass KMU innert 90 Tagen ihre Daten aus der Cloud sichern können. Sollte die Firma die Daten nicht sichern, können diese vom Anbieter ohne Aufbewahrungspflicht gelöscht werden. Für eine Unternehmung wären das fatale Auswirkungen, die irreversible Schäden verursachen können.

Evaluation aller Risiken

Sollte ein KMU eine Cloud-Lösung in Betracht ziehen, empfiehlt sich eine sorgfältige Evaluation aller Risiken. Insbesondere die versteckten Risiken sind mit einzubeziehen. Folgende Vorgehensempfehlung soll helfen, eine möglichst risikoarme Cloud-Nutzung zu ermöglichen:

1. Erarbeiten einer Cloud-Strategie für das Unternehmen

In den wenigsten Anwendungsfällen macht heute eine Strategie Sinn, welche vorsieht, alles in die Cloud zu verschieben. Einzelne Anwendungen verbleiben lokal oder werden bei Bedarf in die Cloud verschoben. Man spricht dann von einer Hybrid-Cloud-Lösung. Durch die Bewertung der Daten und Anwendungen soll evaluiert werden, welche Anwendungen und Daten sich für die Cloud eignen und welche nicht. Gründe, warum eine Anwendung nicht Cloud-tauglich ist, können neben vorhandenen Sicherheitsbedenken auch die Performance sein.

Wichtig ist, dass von Beginn an eine «uncloud»-Strategie erarbeitet wird, das heisst Überlegungen, wie aus der Cloud wieder in lokale Systeme migriert werden kann oder was es zu berücksichtigen gibt, wenn zu einem anderen Anbieter gewechselt werden soll.

2. Eine strategische Auswahl möglicher Anbieter

Eine Unterscheidung kann wie folgt vorgenommen werden: Hyper Scaler (z. B. Amazon AWS, Microsoft Azure oder Google), nationale Grossanbieter oder regional verankerte IT-Anbieter. Kleinere Anbieter dürften eher flexibel auf Sonderwünsche reagieren, zum Beispiel Anpassung der AGB. Für die Schweiz ist speziell zu beachten, dass bei einem Konkurs des Cloud-Anbieters ab dem ersten Tag der Insolvenz alle Geschäftsaktivitäten eingestellt werden müssen. Der Zugriff auf die Daten bleibt in diesem Fall für
Wochen verwehrt.

3. Sorgfältige Abklärung der Um-setzungsdetails mittels Checklisten

Im Internet finden sich inzwischen zahlreiche umfassende Checklisten, zum Beispiel auf govcloudforum.ch. Wer in dem Thema nicht so versiert ist oder darin nicht gerade seine Kernkompetenzen erkennt, dem empfehlen wir dringendst den Zuzug von externen, neutralen Spezialisten. Zusätzlich sollte eine weitere Möglichkeit der vertraglichen Absicherung in Betracht gezogen werden. Vereinbarungen, wie lange eine SaaS-Dienstleistung noch zur Verfügung stehen soll, auch wenn die Zahlung nicht mehr erfolgt, sollten da explizit getroffen werden. Viele Anbieter haben diese Problematik schon erkannt und bieten entsprechende Lösungen an. Hier muss aber ausdrücklich darauf geachtet werden, dass viele Public-Cloud-Anbieter ihren Rechtssitz nicht in der Schweiz haben und somit auch kein Schweizer Recht herangezogen werden kann. Rechtsansprüche müssen im jeweiligen Land geltend gemacht werden. Für ein KMU ist dies kaum praktikabel. Allerdings ist aktuell ein Trend zu erkennen, dass auch Hyper Scaler alles daran setzen, nationale Angebote vorzubereiten, um vorhandene rechtliche und sicherheitstechnische Bedenken ihrer potenziellen Kunden zu entschärfen.

In Summe wird die Gesamtkomplexität der Unternehmens-IT mit einem Gang in die Cloud zwar reduziert, jedoch entstehen zusätzlich ganz neue Herausforderungen für eine Unternehmung. Es geht nun darum, den vorhandenen Kontrollverlust mit den betriebswirtschaftlichen Vorteilen genau zu untersuchen sowie alle weiteren Risiken und Erfolgsfaktoren mit in die Betrachtung zu integrieren. Wenn die beschriebenen Empfehlungen beachtet werden und entsprechende Risiken bewusst eingegangen werden können, erachten wir für unseren eingangs erwähnten Patron den Gang in die Cloud als machbar.