Obwohl Cloud Computing in den vergangenen Jahren zunehmend an Popularität gewonnen hat, halten sich einige Vorurteile und Missverständnisse dazu hartnäckig. Im Interview zeigt Gernot Gutjahr, Partner, Consulting, Fragen auf, die CEOs zum Thema Cloud mit ihrer IT-Abteilung besprechen sollten. Gernot Gutjahr leitet den Bereich CIO Advisory bei KPMG in Deutschland. Sein Team fokussiert sich auf Cloud, Digitalisierung, IT-Effizienz, IT-Sourcing und IT-Transformation.
Lieber Herr Gutjahr, warum sollten sich CEOs überhaupt für Cloud Computing interessieren?
Gernot Gutjahr: CEOs erwarten von der IT-Infrastruktur ihres Unternehmens in der Regel drei Dinge. Erstens wollen sie, dass die IT agiler wird – sowohl was die Anpassung von Leistungsmengen als auch die Übernahme von neuen Technologien angeht. Zweitens soll die IT einfacher werden und unnötige Komplexität, wo auch immer, abbauen. Drittens geht es darum, sie kostentransparenter und -effizienter zu gestalten sowie strukturell Kosten zu reduzieren.
Cloud Computing adressiert alle drei genannten Punkte. Zentral dabei ist die sofortige Bereitstellung von Infrastrukturen durch die Cloud. Moderne Infrastrukturen werden, gemäß des Modells Infrastructure as a Service (IaaS), in genau der Menge zur Verfügung gestellt, die Unternehmen zu dem Zeitpunkt benötigen. Cloud Computing reduziert unnötige Komplexität, indem sie auf Standardprodukte setzt, interne IT-Ressourcen freispielt und diese anschließend auf Wachstum fokussiert. Cloud Computing kann auch kosteneffizienter sein. Dies ist in der Realität aber komplex und auch nicht immer gegeben.
Kosteneffizienter ist die Cloud also nicht immer. Wie teuer ist denn Cloud Computing?
Gernot Gutjahr: Das ist die interessante Frage: Wo können Cloud-Lösungen Kosten reduzieren? Es gibt da die einfachen, die mittel-komplexen und die anspruchsvollen Fälle. Im einfachsten Fall minimiert Cloud Computing zunächst mal die Opportunitätskosten. Dadurch wird das Experimentieren mit neuen Anwendungen und neuen Geschäftsmodellen zu geringeren Kosten möglich, weil man die Infrastruktur nur insoweit bereitstellen muss, wie diese abgerufen wird.
Der mittel-komplexe Fall betrifft nicht die neuen Anwendungen, sondern die bereits existierenden Anwendungen und Infrastrukturen. Der On-Premise-Betrieb, also die Nutzung serverbasierter Computerprogramme, ist inhärent ineffizient. Das liegt daran, dass diese teuren Technologien überwiegend manuell betriebsgeführt und nicht mit der vollen Kapazität genutzt werden. Cloud-Provider hingegen verfügen über eine nahezu hundertprozentige Automatisierung des Betriebs. Das heißt, Betriebskosten fallen weg und die Auslastung wird gesteigert, weil die teure Ressource auf mehrere Kunden umgelegt wird.
Ein einfaches „lift and shift“ – also ein Verschieben der Anwendungen vom eigenen Rechenzentrum in ein Cloud-Rechenzentrum, egal ob öffentliche oder private Cloud – führt jedoch nur eingeschränkt zu mehr Aktualität, Simplifizierung und Einsparung. Denn: Um die Cloud-Dienste nachhaltig für bestehende Anwendungen nutzen zu können, muss man auch die Anwendungen nachrüsten. Nur so können Unternehmen sicherstellen, dass diese in der Cloud effizient laufen.
Im dritten Fall stellt sich dann die Frage: Wie entwickeln sich die Einsparungen durch Cloud Computing langfristig – sowohl bezüglich der neuen als auch der bestehenden Anwendungen? Rückblickend war es für die Cloud-Anbieter früher sehr einfach, Einsparungen zu liefern, dank neuer Technologie, einer höheren Ausnutzung und einem guten Einkauf. Mittlerweile hat sich das relativiert. Das ist alles eingepreist. Preismodelle und -entwicklungen sind komplexe Themen, zu denen wir Kunden häufig beraten. Denn Cloud-Strategien, -Geschäftsmodelle, -Preismodelle und -Lizenzmodelle werden komplizierter.
Neben den Kosten ist die Sicherheit das relevante Thema beim Cloud Computing. Wie sicher sind Kundendaten in der Cloud?
Gernot Gutjahr: Unsere Erfahrung hat gezeigt, dass in der Cloud und durch die Cloud die Cybersicherheit gegenüber dem Eigenbetrieb verbessert werden kann.
In der Cloud ist die Cybersicherheit grundsätzlich höher als “on premise“. Zum einen investieren die Cloud-Anbieter mehr in die Verteidigung, als dies ein einzelnes Unternehmen leisten könnte. Zum anderen können bestehende Sicherheitslücken in vielen Fällen schneller geschlossen werden als im Eigenbetrieb, weil ein Teil der Cloud-Provider die Software selbst produziert und diese auftretende Sicherheitslücken zügig identifizieren können.
Gleichzeitig kann die Cybersicherheit durch die Cloud erhöht werden. Cloudbasierte Dienste sind zunehmend unverzichtbar, wenn es darum geht, Cyberangriffe abzuwehren. Denn es gibt Dienste wie Cloudflare, die darauf spezialisiert sind, sogenannte Denial-of-Service-Attacken abzuwehren. Zudem halten cloudbasierte Backup-Dienste die Daten von Nutzern auch nach Ransomware-Attacken verfügbar. Die entsprechenden Kopien liegen außerhalb des Zugriffs der Angreifer.
Trotzdem gibt es beim Cloud Computing noch viel zu tun. Alles, was digitalisiert ist, wird über kurz oder lang auch attackiert. Die Frage ist nur, wann und wie aggressiv. Erforderlich ist deshalb eine Umstellung von einem Burgen-und-Burggraben-Ansatz auf einen sogenannten Hotel-Ansatz. Dieser geht davon aus, dass es in jeder IT sowohl öffentliche Zonen gibt (wie in der Lobby eines Hotels) als auch private Zonen und dass all diese Zonen nur mit Ausweisen betreten werden können – ebenfalls wie im Hotel. Cloud-Dienstleister waren Vorreiter darin, diese Umstellung und auch den sogenannten Zero-Trust-Ansatz umzusetzen. Das führt dazu, dass man die Compliance-Anforderungen abstufen kann. Dementsprechend sollten Unternehmen sich spezifische Strategien und Architekturen zulegen, die der Compliance Genüge tun. Es bleibt also ein dynamischer Bereich.
Gibt es Beispiele von Cloud Computing und Compliance bei Unternehmen aus Ihrem Berateralltag?
Gernot Gutjahr: Natürlich. Schauen wir uns die zu Recht stark regulierten Bereiche an. Das betrifft unter anderem Versicherungsunternehmen, weil sie sehr sensible Daten halten – Krankenversicherer zum Beispiel. Ein durch uns beratener Versicherer hat seine 140 Rechenzentren zu sechs auf verschiedenen Kontinenten zusammengeführt. Dadurch hat er eine Verbesserung in der Anwendungslandschaft erzielt. Dank der Stabilisierung der Anwendungen konnte er in einem zweiten Schritt Daten besser verschlüsseln und somit in Summe die Compliance verbessern. Das heißt: Durch Standardisierung gibt es weniger Varianten, die dann besser zu schützen sind, beispielsweise durch Verschlüsselung.
Wenn ich als CEO in meinem Unternehmen Cloud Computing einführen wollte, würde ich befürchten, mich von den Anbietern und der Software komplett abhängig zu machen. Ist die Sorge berechtigt?
Gernot Gutjahr: Ohne eine geeignete Multi-Sourcing- und Multi-Cloud-Strategie ist das sicherlich ein sehr hohes Risiko. Spannend in diesem Zusammenhang ist ein Blick über den Ozean ins Silicon Valley zu den Firmen, die sich im Kern mit IT beschäftigen und sogenannte Software-as-a-Service (SaaS) anbieten, also Cloud-Anwendungen.
Einige der Unternehmen sind dort einen drastischen Schritt gegangen, indem sie einen Teil ihrer Anwendungen zurück in ihre eigenen Rechenzentren, auf ihre eigenen Server überführt haben – das wird Repatriation genannt. Dazu gehören Unternehmen wie Dropbox oder andere, die mehr als nur einen Cloud-Dienstleister hatten, wie CrowdStrike oder Zscaler. Zur Einordnung: Dropbox gewährleistet mit einer Webanwendung einen Datenaustausch in und zwischen Unternehmen, CrowdStrike und ZScaler sind cloudbasierte Sicherheitsdienste für Unternehmen.
Alle drei Unternehmen sind seit mehr als zehn Jahren am Markt, erzielen in der Cloud Milliardenumsätze und können somit ihre Entwicklung sehr gut einschätzen. Im Geschäftsbericht von Dropbox kann man nachlesen, dass durch die Umstellung Einsparungen im Umfang von 75 Millionen Dollar erreicht wurden. Ein Großteil davon resultiert aus der Rückführung von Workloads aus der Public Cloud.
Noch ein paar weitere Zahlen dazu: Für DAX-40- oder Fortune-100-Unternehmen liegen die Listenpreise der größten Cloud-Anbieter für die Bereitstellung der Software häufig beim Drei- bis Fünffachen der Kosten für den Betrieb des Rechenzentrums. Durch Preisnachlässe aufgrund von Nutzungsverpflichtungen und Volumina sinkt zwar der tatsächliche Erlös. Dennoch bleibt für die Anbieter der Cloud eine Marge von 30 Prozent. Das spiegelt sich auch in den Zahlen der eben thematisierten Repatriation wider. Das Preisgefüge der Anbieter sind also so komplex geworden, dass die Strategien und sinnvolle Geschäftsszenarien wirklich Beratung bedürfen.
Sie haben gerade von Unternehmen berichtet, die sich schon seit Jahren mit Cloud Computing und der Cloud auseinandersetzen. Wann ist denn der beste Zeitpunkt für die Cloud?
Gernot Gutjahr: Im Silicon Valley gibt es eine einfache Regel: „You‘re crazy if you don’t start in the cloud; you’re crazy if you stay on it“. Das heißt: Die Cloud ist ein guter Mechanismus zum Experimentieren und zur Reduktion von Opportunitätskosten. Neue und digitale Anwendungen gehören erstmal dorthin. Für die Skalierung und den Umgang mit alten Anwendungen benötigen Unternehmen aus meiner Sicht aber zwingend Multi-Sourcing- und Multi-Cloud-Strategien. Wie man die entwickelt und umsetzt, ist aber ein Thema für sich.
Danke für das Gespräch.
Das Interview gibt es auch als KPMG on air Podcast. Jetzt anhören auf Spotify, Deezer, iTunes und Soundcloud.