Tag: Cloud


Exklusiv: openQRM 5.1 wird um Hybrid Cloud Funktionalität erweitert und bindet Amazon AWS und Eucalyptus als Plugin ein

Bald ist es soweit. Noch in diesem Sommer wird openQRM 5.1 erscheinen. Projektmanager und openQRM-Enterprise CEO Matt Rechenburg hat mir vorab bereits ein paar sehr interessante neue Features verraten. Neben einem vollständig überarbeiteten Backend-Design wird die Open-Source Cloud Infrastruktursoftware aus Köln um Hybrid-Cloud Funktionalität erweitert, indem Amazon EC2, Amazon S3 und deren Klon Eucalyptus als Plugin eingebunden werden.

Neue Hybrid-Cloud Funktionen in openQRM 5.1

Ein kleiner Überblick über die neuen Hybrid-Cloud Funktionen in der kommenden openQRM 5.1 Version:

  • openQRM Cloud spricht transparent mit Amazon EC2 und Eucalyptus.
  • End-User innerhalb einer privaten openQRM Cloud können sich per Self-Service vom Administrator ausgewählte Instanz-Typen bzw. AMI's bestellen, die dann von openQRM Cloud in Amazon EC2 (oder Amazon kompatiblen Clouds) automatisch provisioniert werden.
  • Benutzerfreundliches Password-Login für den End-User der Cloud per WebSSHTerm direkt im openQRM Cloud Portal.
  • Automatisches Applications Deployment mittels Puppet.
  • Automatische Kostenabrechnung über das openQRM Cloud-Billingsystem.
  • Automatisches Service Monitoring via Nagios für die Amazon EC2 Instanzen.
  • openQRM High-Availability auf Infrastrukturebene für Amazon EC2 (oder kompatible Private Clouds). Das bedeutet: Fällt die EC2 Instanz aus oder tritt in einer Amazon Availability Zone (AZ) ein Fehler auf, wird eine exakte Kopie dieser Instanz neu gestartet. Im Falle eines Ausfalls einer AZ wird die Instanz sogar automatisch in einer anderen AZ derselben Amazon Region wieder hochgefahren.
  • Integration von Amazon S3. Daten lassen sich direkt über openQRM auf Amazon S3 speichern. Beim Erstellen einer EC2 Instanz kann ein Skript, welches auf S3 abgelegt ist mit angegeben werden, was z.B. weitere Befehle beim Start der Instanz ausführt.

Kommentar: openQRM erkennt den Trend genau zur richtigen Zeit

Auch openQRM-Enterprise zeigt mit dieser Erweiterung, dass die Hybrid Cloud ein immer ernst zunehmender Faktor beim Aufbau von Cloud-Infrastrukturen wird und kommt mit den neuen Features genau zur richtigen Zeit. Das Unternehmen aus Köln orientiert sich dabei nicht überraschend am aktuellen Public Cloud Marktführer Amazon Web Services. Damit lässt sich openQRM ebenfalls in Kombination mit Eucalyptus und anderen Amazon kompatiblen Cloud-Infrastrukturen nutzen, um eine massiv skalierbare Hybrid-Cloud Infrastruktur aufzubauen. Dabei setzt openQRM auf sein bewährtes Plugin-Konzept und bildet Amazon EC2, S3 und Eucalyptus genau so ab. Amazon und Eucalyptus werden, neben eigenen Ressourcen aus einer privaten openQRM Cloud, damit zu einem weiteren Ressourcen Provider, um schnell und unkompliziert mehr Rechenleistung zu erhalten.

Zu den absoluten Killerfeatures gehören meiner Ansicht nach das automatische Applications Deployment mittels Puppet, mit dem End-Nutzer sich bequem und automatisiert EC2 Instanzen mit einem vollständigen Softwarestack selbst bereitstellen können, sowie die Berücksichtigung der Amazon AZ-übergreifenden High-Availability Funktionalität, die von vielen Cloud-Nutzern aus Unwissenheit immer wieder vernachlässigt wird.

Viel Beachtung hat das Team ebenfalls der Optik und dem Interface des openQRM-Backends geschenkt. Die vollständig überarbeitete Oberfläche wirkt aufgeräumter und dadurch übersichtlicher in der Handhabung und wird die Bestandskunden positiv überraschen.



Application Lifecycle Engine: cloudControl veröffentlicht Private Platform-as-a-Service

Der Platform-as-a-Service (PaaS) Anbieter cloudControl hat mit der Application Lifecycle Engine einen Private PaaS auf Basis der Technologien seines Public PaaS veröffentlicht. Das Unternehmen aus Berlin möchte damit Unternehmen die Möglichkeit geben, auch im eigenen Rechenzentrum einen selbstverwalteten PaaS zu betreiben, um damit mehr Kontrolle über den Speicherort der Daten zu bekommen und den Zugriff auf die jeweiligen Daten zu regeln.

cloudControl Application Lifecycle Engine

Die cloudControl Application Lifecycle Engine leitet sich technologisch aus dem eigenen Public-PaaS Angebot ab und dient seit 2009 als Grundlage für den Cloud-Service.

Die Application Lifecycle Engine ist als Middleware zwischen der grundlegenden Infrastruktur und der eigentlichen Applikationen zu verstehen (PaaS Konzept) und bietet eine vollständige Laufzeitumgebung für Anwendungen. Damit erhalten Entwickler die Möglichkeit, sich auf die Entwicklung ihrer Applikation zu konzentrieren und können unbequeme Prozesse und die Bereitstellung übernehmen lassen.

Die nun veröffentlichte Application Lifecycle Engine soll es großen Unternehmen ermöglichen, einen eigenen Private PaaS in einer selbstverwalteten Infrastruktur zu betreiben, um sich damit die Vorteile der Cloud auch in die eigenen vier Wände zu holen. Die Plattform setzt dazu auf offene Standards und verspricht damit einen Vendor-Lock-in zu vermeiden. cloudControl spannt zudem eine hybride Brücke, indem bereits auf cloudControls Public PaaS entwickelte Anwendungen im Private PaaS und umgekehrt betrieben werden können.

Weiterhin adressiert cloudControl mit der Application Lifecycle Engine Service Provider, die selber ein PaaS Angebot aufbauen möchten und damit ihre bestehenden Services und Infrastrukturleistungen bündeln können.

Trend zu Private und Hybrid Lösungen verstärkt sich

cloudControl ist nicht das erste Unternehmen, dass den Trend hin zum Private PaaS erkannt hat. Dennoch zeigt die aktuelle Sicherheitslage, dass Unternehmen viel bewusster im Umgang mit der Cloud werden und abwägen, wo sie ihre Daten speichern bzw. verarbeiten lassen. Aus diesem Grund kommt cloudControl genau zur richtigen Zeit, um Unternehmen die Möglichkeit zu bieten, mehr Kontrolle über ihre Daten zurückzugewinnen und das Bewusstsein zu stärken, wo sich ihre Daten tatsächlich befinden. Gleichzeitig ermöglicht cloudControl Unternehmen damit aber auch, die eigene selbstverwaltete IT-Infrastruktur mit einer echten Cloud-DNA aufzuwerten, indem IT-Abteilungen den Entwicklern einen unkomplizierten Zugriff auf Ressourcen gewähren können und damit schneller und produktiver Ergebnisse liefern können. Weiterhin können IT-Abteilungen die Application Lifecycle Engine als eine Chance nutzen, sich innerhalb des Unternehmens als partnerschaftlicher Service-Broker für die Fachabteilungen zu positionieren.

Nicht zu vernachlässigen ist die Möglichkeit, cloudControls Angebot im Hybrid-Betrieb zu nutzen. Es kann durchaus, relativ schnell, zu dem Umstand kommen, dass nicht mehr ausreichend lokale Ressourcen (Rechenleistung, Speicherplatz) zur Verfügung stehen, die für den Private PaaS benötigt werden. In diesem Fall kann über die homogene Architektur der Application Lifecycle Engine auf den Public PaaS von cloudControl ausgewichen werden, um Projekte und den Fortschritt der Entwicklungsaktivitäten nicht zu beeinträchtigen.



Cloud Computing ist ein gutes Mittel gegen die Schatten-IT

Cloud Computing wird immer als ein großer Förderer der Schatten-IT dargestellt. Das hat weiterhin seine Richtigkeit und auch ich habe das Thema immer wieder stark propagiert. Mit der richtigen IT-Strategie lässt sich die Schatten-IT aber sogar durch Cloud Computing präventiv verhindern, eindämmen und beseitigen. Das ist kein einfacher Weg, der sich aber für alle Beteiligen lohnt.

Gründe für eine Schatten-IT

Schatten-IT ist kein Phänomen des Cloud Computing. In jedem größeren Unternehmen hat der eine oder andere Entwickler seinen Server unterm Tisch stehen oder IT-Projekte haben irgendwo selbst installierte MySQL Datenbanken, im schlimmsten Fall außerhalb des Unternehmens bei einem Hoster. Nutzer haben, solange sie die entsprechenden Rechte für die Installation besitzen, eigene Softwarelösungen im Einsatz, mit denen sie produktiver arbeiten können, als mit den ihnen vorgesetzten Lösungen. Was sind Gründe für eine Schatten-IT?

  • Unzufriedenheit der Mitarbeiter mit eingesetzten Technologien.
  • IT-Technologien erfüllen nicht den gewünschten Zweck.
  • IT-Abteilungen sind zu langsam.
  • IT-Abteilungen liefern nicht entsprechend der gewünschten Anforderungen.
  • Aus Kostendruck werden Ressourcen gestrichen.

Wie kommt Schatten-IT zum Ausdruck?

  • Eigener Server unter dem Tisch.
  • Workstation wird zum Server.
  • Einsatz von Cloud Infrastrukturen
  • Eigene Kreditkarte wird genutzt und anschließend über Spesen verrechnet.
  • Nicht angemeldete oder genehmigte selbst installierte Software.
  • Nutzung von Cloud-Services und -Software.

Wie hilft Cloud Computing?

Man muss nur die Gründe der Mitarbeiter betrachten, um zu verstehen, warum zu Mitteln der Schatten-IT zurückgegriffen wird. Die Rebellen unter uns mal beiseite gelassen, geht es in erster Linie um die Unzufriedenheit und die Hilflosigkeit der Mitarbeiter, die ihre Arbeit produktiver erledigen möchten. Unterm Strich geht es, unabhängig von einer Technologie, um Kommunikation und Gegenseitiges Verständnis. Dass eine IT-Abteilung nicht die Geschwindigkeit haben kann wie zum Beispiel ein Public Cloud Anbieter ist ganz normal und sehr gut nachvollziehbar, sonst könnte die IT schließlich gleich der Anbieter sein und nicht der Konsument. Aber es gibt Mittel und Wege den Anschluss an den Markt nicht zu schnell zu verlieren.

  • Nicht alles verbieten und offen auf Wünsche eingehen.
  • Kommunizieren und von den Mitarbeitern Ideen einfordern.
  • Think Tanks und Innovations-Teams etablieren, die ständig neue Trends in das Unternehmen treiben.
  • Eigenen Self-service anbieten.
  • Ähnlich schnellen Zugriff auf Ressourcen ermöglichen wie Public Cloud Anbieter.
  • Middleware als Service Portal für Mitarbeiter, über die auf interne und externe Cloud Services Zugriff gewährt wird.

Cloud Computing ist für die Schatten-IT nicht die Non-plus Ultra Lösung und auf jeden Fall ein Treiber dieses Problems. Aber gleichzeitig kann Cloud Computing dabei helfen, diesem über die Jahre gewachsenen Phänomen entgegenzuwirken. Die entsprechenden Konzepte und Technologien stehen bereit und müssen nun umgesetzt werden.

Ein vielversprechender Ansatz ist der Aufbau eines eigenen Service Portals für die Mitarbeiter, über welches diese kontrolliert auf interne und externe Cloud Services zugreifen. Dabei kann es sich sowohl um Infrastruktur (virtuelle Server und Speicherplatz) als auch um Software und Plattformen handeln. Die IT-Abteilung wird dadurch immer mehr zum Service Broker und kann durch die Nutzung externer Ressourcen (hybrid Modell) sicherstellen, dass die Mitarbeiter mit einer hohen Servicegüte rechnen können. So lässt sich einem Entwickler zum Beispiel ein Server anstatt in mehreren Wochen, innerhalb von fünf Minuten bereitstellen.



Die IT-Abteilung stirbt nicht aus – Aber sie wird sich verändern müssen

Vor kurzem machte ein Artikel in der englischen Computerworld die Runde, in der die These aufgestellt wurde, dass die IT-Abteilungen bis zum Ende dieser Dekade verschwinden könnten. Ingo Notthoff von T-Systems stellte daraufhin auf Facebook die Frage zur Debatte, ob "Die IT-Abteilungen aussterben werden.". Ich hatte dazu eindeutig geantwortet, dass sie nicht aussterben, sondern sich zum Service Broker wandeln. Diese Diskussion hat Ingo wiederum in einem Blogbeitrag niedergeschrieben. Ich möchte an dieser Stelle das Thema noch einmal aufgreifen und meinen Standpunkt ausführlich darlegen.

Trotz Consumerization of IT fehlen die wichtigen Kenntnisse

Auch wenn ich alles sehr begrüße, was in jeder Form verspricht disruptiv zu sein. Es gibt Dinge, die werden auch in Zeiten des massiven Einsatzes von Technologien und Self-Services benötigt. Ich rede vom Menschen.

Ich weiß und es ist richtig, dass Cloud-Services per Self-Service quasi von jedem im Unternehmen genutzt werden können, um die Ziele nach den persönlichen Anforderungen zu erreichen ohne jedes Mal auf die IT-Abteilung warten zu müssen. Aber ist das auch vernünftig? Kann jeder, nur weil er ein iPhone oder eine SaaS-Applikation bedienen kann, ebenfalls darüber entscheiden, welche Services wertvoll und wichtig für das Unternehmen sind. Im Zweifelsfall wird das Wissen dann zu 100% von externen Beratern eingeholt, was nicht zwangsläufig immer von Vorteil ist. Kosten für Personal sparen ist schön und gut, aber irgendwann hört es auf. Denn wo hierfür Kosten eingespart werden, müssen andere dafür mehr arbeiten. Die Line of Business Manager werden sich bedanken.

Außerdem muss man einfach mal in die Unternehmen reinhören. Selbstverständlich möchten die meisten, dass die IT schneller funktioniert, aber möchten sie neben ihren Hauptaufgaben auch noch dafür die Verantwortung übernehmen? Nein. Das funktioniert sicherlich für ein paar Bereiche im Unternehmen, aber den meisten Mitarbeitern werden die Kenntnisse, Lust und Zeit dafür fehlen.

IT-Abteilungen müssen sich neu erfinden

Nachdem ich meine Lanze für die IT-Abteilungen gebrochen habe, muss auch hier Kritik geäußert werden. Hat sich nicht jeder schon über die langsame, der Zeit hinterherhängende IT-Abteilung geärgert? Wie kann es sein, dass man auf die Hardware für ein Testsystem(!) bis zu 3 Monate warten muss und am Ende stellt sich heraus, dass es doch nur eine virtuelle Maschine ist. Solche Erfahrungen füttern natürlich diejenigen, welche die IT-Abteilungen am liebsten von heute auf morgen abschaffen möchten. In diesem Fall sogar zurecht.

Trotzdem ist jede gute IT-Abteilung sehr wertvoll für jedes Unternehmen. Die Extrembeispiele bestätigen glücklicherweise nicht die Regel. Allerdings darf keine IT-Abteilung so weitermachen, sondern sich über einen strukturellen Wandel Gedanken machen und diesen letztendlich auch umsetzen. Durch die Cloud hat sie ihre zentrale Position für den Einkauf und Betrieb von IT-Lösungen verloren. Schatten-IT ist hier das bislang bewährte Mittel der Mitarbeiter, um sich an der IT-Abteilung vorbei, schnell und nach Bedarf IT-Services zu besorgen.

Diesen Umstand gilt es zu beseitigen. Schatten-IT ist nicht unbedingt etwas sehr schlechtes. Zumindest hilft sie dabei, dass Mitarbeiter ihre Aufgaben schnell und auf ihre Art zu arbeiten erledigen. Für jeden Entscheider und IT-Verantwortlichen ist sie allerdings vergleichbar mit einem Gang über glühende Kohlen. Es gibt in einem Unternehmen nichts Schlimmeres, wenn die linke Hand nicht weiß was die rechte macht oder wenn IT-Lösungen zu einem unkontrollierten Wildwuchs ausufern. Das lässt sich nur durch eine zentrale Organisation handhaben. Bei der sich die IT-Abteilungen nicht wieder in ihren Elfenbeinturm zurückbegeben sollen, sondern pro-aktiv mit den Mitarbeiten der Fachabteilungen kommunizieren, um deren Bedürfnisse und Anforderungen zu verstehen. Die IT-Abteilung ist der interne IT-Dienstleister der Mitarbeiter und Fachabteilungen und so gehört sie auch ins Unternehmen eingeordnet. Broker-Plattformen sind in Zeiten von internen und externen (Cloud)-Services die Werkzeuge mit denen sie die Koordination für die Mitarbeiter regeln.

Koordination ist enorm wichtig

Wo wir abschließend noch einmal zu dem Thema IT-Verantwortung innerhalb des Unternehmens kommen. Je nachdem welcher Studie man Glauben schenken soll, ist die Private Cloud derzeit die bevorzugte Cloud-Form im Unternehmen. Immerhin sagen das 69 Prozent der Befragten. Darüber hinaus treffen in 80 Prozent aller Fälle die IT-Abteilungen die Entscheidungen über den Einkauf von IT-Lösungen. Das hört sich im ersten Moment nach dem Erhalt des Status Quo an. Wird auf Grund der aktuellen politischen Entwicklungen aber wohl vorerst die Realität bleiben. Nichts desto trotz ermöglichen auch echte Private Cloud Lösungen den Unternehmen eine flexible Zuweisung von Ressourcen über einen Self-Service an ihre Mitarbeiter.

Doch wer soll diese Private Cloud Infrastrukturen aufbauen und wer soll sie koordinieren? Es können nur die IT-Abteilungen machen. Allen anderen Mitarbeitern fehlen dazu die notwendigen Kenntnisse und die Zeit. IT-Abteilungen müssen von den Anbietern in der Public Cloud lernen und den Fachabteilungen auf einem ähnlichen Weg einen schnellen und vor allem unkomplizierten Zugriff auf IT-Ressourcen ermöglichen. Das funktioniert nur, wenn sie sich als Service-Broker für interne und externe IT-Services aufstellen und sich als partnerschaftlicher Dienstleister verstehen.



Der Cloud Computing Markt in Deutschland 2013

Die Bedeutung des Cloud Computing nimmt in Deutschland immer weiter zu. Glaubt man lokalen Marktforschern, ist das Interesse an on-Demand Services weiterhin ungebrochen und nimmt sogar stetig zu. Gleiches lässt sich von der Anbieterseite sagen. In regelmäßigen Abständen erscheinen neue Services oder gar Anbieter am Markt. Insbesondere der Software-as-a-Service (SaaS) Markt erfreut sich in Deutschland wachsender Beliebtheit. Infrastructure-as-a-Service (IaaS) Anbieter sind ähnlich gut vertreten, sollten jedoch nicht die gleichen Fehler machen wie ihr internationaler Mitbewerb. Für Platform-as-a-Service (PaaS) Anbieter ist noch ausreichend Platz.

Cloud-Nachfrage in Deutschland mit stetigem Wachstum

Vertraut man auf die Zahlen der Marktforscher von Techconsult, nutzen bereits ein Drittel aller kleineren deutschen Unternehmen Lösungen aus der Cloud. Die größte Nachfrage kommt dabei aus dem Mittelstand bevorzugt dem Handel, der Banken- und Versicherungsbranche. Konzerne und große Mittelständler gehören zu den führenden Unternehmen beim Einsatz, aber auch die kleinen holen stark auf. Haben im vergangenen Jahr nur acht Prozent der kleinen- und mittelständischen Unternehmen geplant Cloud Lösungen einzusetzen, sind ist in diesem Jahr bereits 24 Prozent.

29 Prozent der Unternehmen aus dem Handel interessieren sich für Cloud Computing. Das sei ein Anstieg um satte 21 Prozent im Vergleich zum Vorjahr. Im Dienstleistungssektor setzt jedes vierte Unternehmen auf Cloud Services, zum Vorjahr ein Anstieg von über zehn Prozent. Das größte Interesse kommt aus dem Umfeld der Banken und Versicherungen. 33 Prozent der Unternehmen aus diesen Branchen setzen demnach auf Cloud Technologien, obwohl die Cloud im Vorjahr noch eher skeptisch betrachtet wurde.

Ähnliches Verhalten zeigen die Konferenzen

Auf dem ersten Amazon Web Services Summit im Jahr 2010 in der Berliner Kalkscheune konnten noch überschaubare 150 Teilnehmer gezählt werden. Mittlerweile ist Amazon in das Berlin Conference Center umgezogen und erreichte mit 1.500 Teilnehmern so viele, dass außerhalb Monitore aufgestellt werden mussten. Ähnlich verhält es sich mit Salesforce. Das als SaaS-CRM Anbieter bekanntgewordene Unternehmen konnte auf seiner diesjährigen Customer Company Tour 13 nach eigenen angaben 1.800 Besucher begrüßen.

Im Vergleich zu den Massen, die regelmäßig auf US-amerikanische Konferenzen stürmen, sind das zwar eher Peanuts. In Deutschland jedoch sehr gute Quoten.

Verteilung der Cloud Computing Anbieter in Deutschland

Was die Beispiele von Amazon und Salesforce sehr gut zeigen: Beide Unternehmen sind Cloud-Service Anbieter und handeln nicht mit virtuellen Ressourcen. Auch wenn Amazon der erste IaaS Anbieter am Markt war und als Paradebeispiel gilt, sind es die Web Services um die Infrastruktur herum, die den Kunden den eigentlichen Mehrwert liefern. Genau so verhält es sich bei Salesforce. Als Mischform aus SaaS- und PaaS-Anbieter gestartet, richtet der CRM-Anbieter seine Plattform für die Zukunft und Themen wie The Internet of Things aus.

Bei den beiden oben genannten Punkten straucheln die meisten deutschen Cloud-Anbieter allerdings. Der IaaS Markt in Deutschland ist sehr ausgeprägt. Neben vielen Tochterfirmen internationaler Unternehmen, suchen immer mehr Anbieter aus Deutschland ihren Platz in diesem Cloud Segment. Allerdings setzen dabei alle auf dieselbe Strategie und machen denselben Fehler wie viele internationale Anbieter auch, um IaaS Marktanteile zu gewinnen. Erstens wird sich ausschließlich darauf konzentriert, virtuelle Ressourcen (Rechenleistung, Speicherplatz) anzubieten und keine Mehrwert-Services drum herum, vgl. Amazon AWS. Zweitens werden ausschließlich Unternehmenskunden angesprochen. Entwickler werden nicht berücksichtigt. Das ist aus finanzieller Sicht attraktiver, führt aber dazu, dass Entwickler zwangsläufig auf US amerikanische Anbieter ausweichen müssen, da es keine ähnlichen deutschen aber auch europäischen Alternativen gibt.

Den größten Cloud-Markt in Deutschland stellen die SaaS-Anbieter. Hier gesellen sich viele bekannte IT-Größen aber auch vermehrt junge Unternehmen mit innovativen Ideen. Getrieben werden SaaS-Angebote vor allem durch Marktplätze von großen Anbietern wie dem der Telekom oder Fujitsu. Beide fassen damit, die ihrem befinden nach, qualitativ hochwertige Services unter einem Dach zusammen und sorgen für ein sortiertes Angebot, auf das Unternehmen zurückgreifen können. Besonderes Merkmal von vielen deutschen SaaS-Lösungen ist die Tatsache, dass diese sich lieber selbst um den Aufbau der notwendigen Cloud-Infrastruktur kümmern und bewusst auf ein deutsches Rechenzentrum zurückgreifen. Themen wie Zukunftssicherheit der eigenen Lösung und Vertrauen durch den Kunden sind dabei die Hauptentscheidungskriterien.

Der Markt für PaaS-Anbieter ist weiterhin sehr offen. Die Zahl der Anbieter die direkt aus Deutschland heraus gestartet sind, lässt sich an einer Hand abzählen und ist sehr überschaubar. Zudem setzen zwei der drei auf IaaS Angebote US-amerikanischer Anbieter. Hier bietet sich neben einigen internationalen Mitbewerbern noch Möglichkeiten für einen PaaS, der direkt in Deutschland betrieben wird. Allerdings sind dafür die großen (deutschen/ europäischen) IaaS Anbieter gefragt, um jungen Unternehmen und Entwicklern die Möglichkeit zu geben, schneller so eine Lösung zu entwickeln.

Deutschland ist auf einem guten Weg in der Cloud

Unterm Strich kann man sagen, dass der deutsche Cloud Computing Markt ein gut ausbalanciertes Verhältnis von XaaS Lösungen hat, allerdings noch einige Potentiale auf der Strecke bleiben, indem die wichtige Gruppe der Startups und Entwickler nicht mit für sie geeigneten Services angesprochen werden und diese daher zu Anbietern aus Übersee zurückgreifen müssen.

Die aufstrebenden Zahlen hinsichtlich der Cloud-Nutzung in Deutschland zeigen, dass das Vertrauen in die Anbieter stetig wächst und das Verständnis für den Mehrwert von Cloud-Services angekommen ist. Es zeigt aber auch, dass die Anbieter selbst an sich gearbeitet haben und die Bedenken und Kritiken ihrer potentiellen Kunden bereit sind zu beseitigen.



Infrastruktur ist Commodity! Vertikale Services sind die Zukunft der Cloud.

Im Jahr 2014 erwartet der Infrastructure-as-a-Service Markt weltweit ein Gesamtumsatz von geschätzten 6 Milliarden Dollar. Ein guter Grund in diesem Cloud Segment sein Glück zu versuchen. Zahlreiche Anbieter sind in den letzten Jahren auf diesen Zug aufgesprungen und versuchen dem Platzhirsch Amazon Web Services (AWS) Marktanteile abzunehmen. Keine leichte Aufgabe, da sich die Innovationskurve der meisten Verfolger im Vergleich zu AWS eher flach verhält. Ein Grund besteht in dem versteiften Festhalten an dem Wort Infrastruktur in Infrastructure-as-a-Services. Argumente, wegen einer deutlich höheren Performance von AWS zu einem Mitbewerber zu wechseln hören sich im ersten Moment verlockend an. Aber unterm Strich zählt der Reifegrad des Portfolios und der Blick über das gesamte Angebot und nicht nur ein kleiner Bereich, in dem man sich einen technologischen Vorsprung verschafft hat.

Infrastructure-as-a-Services meinen tatsächlich Services

Auch wenn die Amazon Web Services der erste IaaS Anbieter am Markt war, nimmt das Wort „Web-Services“ eine zentrale Rolle in der Philosophie des Unternehmens ein. Gestartet mit den grundlegenden und zentralen Services Amazon EC2 (Rechenleistung, virtuelle Maschine) und Amazon S3 (Speicherplatz) wurden in sehr kurzen Zeiträumen immer weitere neue Services ausgerollt, die mit Infrastruktur nur im weitesten Sinne etwas zu tun haben. Services wie Amazon SQS, Amazon SNS, Amazon SWF oder Amazon SES helfen AWS-Kunden dabei, die Infrastruktur zu nutzen. Das Starten einer einzigen Amazon EC2 Instanz ist nämlich genauso viel Wert, wie ein virtueller Server bei einem klassischen Webhoster. Nicht mehr und nicht weniger – und ist im Endeffekt monatlich sogar noch teurer. Wer also hofft, in Zukunft weiterhin mit Infrastrukturkomponenten – virtueller Rechenleistung, Speicherplatz, Gateway usw. – auf die Party eingeladen zu werden, wird wohl draußen bleiben müssen.

Sich aus dem Preiskampf, den sich Amazon, Microsoft und Google derzeit liefern, weitestgehend herauszuhalten ist ebenfalls ratsam. Dieser erfreut zwar die Kunden, wird früher oder später aber zu einer Marktbereinigung führen. Außerdem, wenn man sich anschaut wie Jeff Bezos Amazon führt (bspw. Kindle Strategie), lässt er sich auf jede Preisschlacht ein, nur um Marktanteile zu gewinnen. Daher sollten IaaS Anbieter das Kapital lieber nutzen, um die Attraktivität des Portfolios zu erhöhen. Kunden sind bereit für Innovationen und Qualität zu bezahlen. Darüber hinaus sind Entscheider bereit für Lösungen aus der Cloud teilweise dasselbe und sogar mehr auszugeben wie für on-Premise Angebote. Die Bedeutung liegt verstärkt auf der Flexibilisierung der Unternehmens-IT, um dem Unternehmen damit mehr Agilität zu verschaffen.

Hierzu ein Tweet von meinem Freund und Analysten-Kollegen Ben Kepes aus Neuseeland, der den Nagel ironisch auf den Kopf trifft.

Vertikale Services sind die Zukunft der Cloud

Der Infrastructure-as-a-Services Markt hat bei weitem noch nicht seinen Zenit erreicht. Dennoch ist Infrastruktur zur Commodity geworden und ist nichts Innovatives mehr. Wir sind an einem Punkt in der Cloud angekommen, wo es darum geht, die Cloud Infrastrukturen zu nutzen, um darauf Services vertikal aufzubauen. Dafür sind Unternehmen und Entwickler neben virtueller Rechenleistung und Speicherplatz auf Services von dem Anbieter angewiesen, um das eigene Angebot performant, skalierbar und ausfallsicher zu betreiben. Trotz des mittlerweile umfangreichen Service-Portfolios von Anbietern wie Amazon, Microsoft und Google ist weiterhin viel Zeit, Wissen, Aufwand und somit auch Kapital notwendig, um diesen Zustand zu erreichen. Weiterhin werden von den Anbietern nur proprietäre infrastrukturnahe Services angeboten, um mit der Infrastruktur zu arbeiten. Alles Weitere muss selbst unter Zuhilfenahme dieser Services entwickelt werden.

Aus diesem Grund fehlen dem Markt Anbieter von externen Service-Portfolios, die von Unternehmen und Entwicklern genutzt werden können, um fertige Services, die auf den Infrastrukturen und Plattformen selbst entwickelt werden müssten, on-Demand einzusetzen. Solche Mehrwertdienste lassen sich für ein bestimmtes Geschäftsszenario horizontal in die vertikalen Services integrieren und bei Bedarf nutzen. Diese BBaaS (Business-Bricks-as-a-Services) fügen sich anbieterunabhängig in bestehende Infrastructure-as-a-Services und Platform-as-a-Services ein und schaffen für den Nutzer einen Mehrwert. Die einzelnen Geschäftsbausteine sind standardisiert und bereits hochskalierbar und hochverfügbar als Web-Services implementiert und lassen sich einfach und ohne großen Aufwand integrieren.

Mehr zu dem BBaaS Konzept gibt es unter: Business-Bricks-as-a-Service (BBaaS) – Geschäftsbausteine in der Cloud.



Cloud Rockstar 2013: Netflix ist der unangefochtene König des Cloud Computing

Ich denke es ist an der Zeit ein Unternehmen für seine Arbeit in der Cloud zu adeln. Anders als man nun vielleicht vermutet, handelt es sich nicht um einen der Anbieter. Nein! Auch wenn es die Anbieter sind, die erst die Möglichkeiten schaffen, sind es die Kunden, die letztendlich etwas daraus machen und der Öffentlichkeit die Macht der Cloud zeigen. Dabei muss man selbstverständlich die gewöhnlichen Kunden von denjenigen unterschieden, die sehr viel Engagement zeigen und sich von der Denkweise und damit auch architektonisch der Cloud angepasst haben. Um es vorweg zu nehmen, bei dem König der Cloud handelt es sich um Netflix und hier insbesondere um Adrian Cockroft, den Vater der Netflix Cloud-Architektur.

Geboren für die Cloud

Bevor sich Netflix für den Einsatz seines Systems in der Cloud entschieden hat (Migration von einer eigenen Infrastruktur), verbrachte das Unternehmen viel Zeit damit, um die Cloud zu verstehen und ein Test-System innerhalb der Cloud-Infrastruktur aufzubauen. Dabei wurde insbesondere darauf geachtet, soviel realistischen Traffic bzw. Traffic Szenarien wie möglich zu erzeugen, um damit das Test-System auf seine Stabilität hin zu prüfen.

Anfangs entwickelte Netflix dazu einen einfachen Repeater, der die echten und vollständigen Kundenanfragen auf das System innerhalb der Cloud Infrastruktur kopierte. Damit identifizierte Netflix die möglichen Engpässe seiner Systemarchitektur und optimierte im Zuge dessen die Skalierbarkeit.

Netflix selbst bezeichnet seine Software Architektur gerne auch als Rambo Architektur. Das hat den Hintergrund, dass jedes System unabhängig von den anderen Systemen einwandfrei funktionieren muss. Dazu wurde jedes System innerhalb der verteilten Architektur so entwickelt, dass es darauf vorbereitet ist, dass andere Systeme zu denen eine Abhängigkeit besteht, ausfallen können und das dieses toleriert wird.

Sollte das Bewertungssystem ausfallen, verschlechtert sich zwar die Qualität der Antworten, aber es wird dennoch eine Antwort geben. Statt personalisierten Angeboten werden dann nur bekannte Titel angezeigt. Sollte das System, dass für die Suchfunktion zuständig ist, unerträglich langsam sein, muss das Streaming der Filme trotzdem einwandfrei funktionieren.

Chaos Monkey: Der heimliche Star

Eines der ersten Systeme das Netflix auf bzw. für die Cloud entwickelt hat, nennt sich "Chaos Monkey". Sein Job ist es, zufällig Instanzen und Services innerhalb der Architektur zu zerstören. Damit stellt Netflix sicher, dass alle Komponenten unabhängig voneinander funktionieren, selbst dann wenn Teil-Komponenten ein Problem haben.

Neben dem Chaos Monkey hat Netflix viele weitere Monitoring und Test-Tools für den Betrieb seines Systems in der Cloud entwickelt, die das Unternehmen als "The Netflix Simian Army" bezeichnet.

Netflix Simian Army: Das Vorbild

Die Simian Army von Netflix ist ein Extrembeispiel, wie eine Cloud Architektur auszusehen hat. Das Unternehmen hat viel Zeit, Anstrengungen und Kapital in die Entwicklung seiner Systemarchitektur investiert, die auf der Cloud Infrastruktur der Amazon Web Services läuft. Aber es lohnt sich und jedes Unternehmen, das die Cloud ernsthaft nutzen möchte und ein hochverfügbares Angebot präsentieren will, sollte sich Netflix unbedingt zum Vorbild nehmen.

Der Aufwand zeigt die Komplexität der Cloud

Unterm Strich ist zu sagen, dass Netflix für den Fehlerfall vorausschauend plant und sich nicht auf die Cloud verlässt. Denn irgendwas läuft auch mal in der Cloud schief, wie in jedem gewöhnlichen Rechenzentrum. Mann muss nur darauf vorbereitet sein.

Netflix zeigt sehr eindrucksvoll das es funktioniert. Wenn man jedoch bedenkt, was für einen Aufwand Netflix betreibt, um in der Cloud erfolgreich zu sein, muss man einfach sagen, dass Cloud Computing nicht einfach ist und eine Cloud Infrastruktur, egal bei welchem Anbieter, mit der entsprechenden Architektur aufgebaut werden muss. Das bedeutet im Umkehrschluss, dass die Nutzung der Cloud simpler werden muss, um auch die versprochenen Kostenvorteile zu erzielen. Denn wenn man Cloud Computing richtig nutzt, ist es zwangsläufig nicht günstiger. Neben den Einsparungen der Infrastrukturkosten die immer vorgerechnet werden, dürfen niemals die weiteren Kosten z.B. für das Personal mit den notwendigen Kenntnissen und die Kosten für die Entwicklung der skalierbaren und ausfallsicheren Applikation in der Cloud vernachlässigt werden.

Erfolgreich und sozial zugleich

Die meisten Unternehmen behalten ihren Erfolg für sich. Der Wettbewerbsvorteil wird ungerne aus der Hand gegeben. So nicht Netflix. In regelmäßigen Abstand werden Teile aus der Simian Army unter der Open-Source Lizenz veröffentlicht, mit denen jeder Cloud Nutzer die Möglichkeit erhält eine Cloud-Applikationen mit der Architektur DNA von Netflix zu entwickeln.

Cloud Rockstar 2013

Auf Grund seines Erfolgs und insbesondere seines Engagement in und für die Cloud, ist es an der Zeit, Netflix öffentlich zu adeln. Netflix hat es verstanden, die Cloud quasi in Perfektion zu nutzen und den Erfolg nicht für sich zu behalten. Stattdessen gibt das Unternehmen anderen Cloud-Nutzern die Möglichkeit, mit denselben Tools und Services eine ähnlich hochskalierbare und hochverfügbare Cloud-Applikationen aufzubauen.

Netflix wird damit von den Analysten von New Age Disruption und CloudUser.de zum "Cloud Rockstar 2013" in der Kategorie "Bester Cloud Nutzer" ernannt. Dieser unabhängige Award von New Age Disruption wird in diesem Jahr zum ersten Mal vergeben und zeichnet Anbieter als auch Anwender für ihre Innovationen und das außergewöhnliche Engagement im Cloud Computing aus.

Herzlichen Glückwunsch Netflix und Adrian Cockroft!

René Büst

Cloud Rockstar 2013 - Netflix

Weitere Informationen: Cloud Rockstar Award



Die Deutsche Börse bringt mit einem eigenen Cloud-Marketplace mehr Standardisierung und Vertrauen in die Cloud

Zu Beginn des Jahres 2014 wird die Deutsche Börse in den Bereich für Cloud-Marketplaces einsteigen und unter dem Namen „Deutsche Börse Cloud Exchange AG“ einen eigenen Broker für Infrastructure-as-a-Services anbieten. Als Basis-Technologie setzt das Unternehmen auf den deutschen Cloud-Management Anbieter Zimory, mit dem ebenfalls ein Joint Venture gegründet wird.

Unabhängiger Cloud-Marketplace für Infrastruktur-Services

Der Cloud-Marketplace soll Anfang 2014 starten und als Marktplatz für Cloud-Storage und Infrastruktur-Ressourcen dienen. Um die technische Seite zu realisieren hat die Deutsche Börse mit dem deutschen Cloud-Management Anbieter Zimory ein Joint Venture gegründet. Zimory wird somit die Verantwortung haben, dass alle Kunden reibungslos auf die von ihnen eingekauften Cloud-Ressourcen zugreifen können.

Mit dem Cloud-Marketplace konzentrieren sich beide Unternehmen sowohl auf den öffentlichen Sektor als auch auf Forschungseinrichtungen, die bei Bedarf mehr Infrastruktur-Ressourcen wie Speicherplatz und Rechenleistung benötigen oder selbst Überkapazitäten haben und diese auf dem Marktplatz anbieten möchten.

Die Deutsche Börse Cloud Exchange wird als internationaler und anbieterneutraler Cloud-Marketplace ausgerichtet und ist für die Standards wie das Produktangebot, das Zulassungsverfahren, den Anbieterwechsel und für die Garantien und Gewährleistungen der eingekauften Ressourcen verantwortlich. Kunden sollen den Anbieter frei wählen können und dabei selbst entscheiden können, in welchem Rechtsraum die Daten gespeichert werden. Dazu werden die Spezifikation und Standards sowie deren technische Bereitstellung in enger Zusammenarbeit mit den Teilnehmern des Marketplace abgestimmt.
Als potentielle Partner nennt die Deutsche Börse Cloud Exchange Anbieter aus dem klassischen IT-Bereich sowie national und internationale mittelständische Unternehmen und Großkonzerne. Dazu gehören u.a. CloudSigma, Devoteam, Equinix, Host Europe, Leibniz-Rechenzentrum, Profi AG, T-Systems und der TÜV-Rheinland.

Kommentar: Ein unabhängiger und standardisierter Marketplace sorgt für mehr Vertrauen in die Cloud

Ein Cloud-Marketplace wie ihn die Deutsche Börse anbieten wird, ist grundsätzlich nichts Neues. Der erste Marketplace seiner Art wurde als Spotcloud von Reuven Cohen auf den Markt gebracht. Auch die Amazon Web Services bieten mit ihren Spot-Instances die Möglichkeit, mit virtuellen Instanzen zu handeln. Dabei handelt es sich jedoch um einen proprietären Marktplatz. Und das ist der entscheidende Vorteil für den Deutsche Börse Cloud Exchange, er ist anbieterunabhängig. Das bescheinigt ihm zum einen ein größeres Angebot an Ressourcen, zum anderen auch mehr Vertrauen, indem die Abhängigkeit zu einem einzigen Anbieter aufgelöst wird. Einen weiteren Vertrauensvorschuss liefert zudem die Deutsche Börse selbst. Diese handelt in ihrem Kontext seit jeher mit Wertpapieren, Energie und weiteren Rohstoffen ebenfalls mit virtuellen Gütern. Warum soll sie das nicht auch mit virtuellen IT-Ressourcen machen. Die Deutsche Börse wird also als Gesicht nach Außen für die organisatorische Sicherheit und die Awareness sorgen, wohingegen Zimory für die technische Abwicklung im Hintergrund zuständig ist.

Ein weiterer wichtiger Punkt, der ein Schlüssel zum Erfolg werden kann ist das Thema Standardisierung. Seit Beginn der Cloud wurde über „Standards in der Cloud“ diskutiert und wer für DEN Standard sorgen wird. Möglicherweise haben wir mit dem Deutsche Börse Cloud Exchange eine ernsthafte Initiative aus der Industrie gefunden, die dafür sorgen wird, dass es demnächst einen einheitlichen Cloud Standard geben wird. Das hängt natürlich von der entsprechenden Beteiligung der Cloud Anbieter ab. Dennoch zeigen die ersten Partner allen voran CloudSigma, Equinix und T-Systems (setzt u.a. auch auf OpenStack) ihr Interesse in die Richtung. Es bleibt in diesem Zusammenhang zudem abzuwarten, wie sich die Open Cloud Community hierzu aufstellen wird.

Bei der ersten Version des Deutsche Börse Cloud Exchange wird es sich um einen reinen Marketplace für Cloud-Infrastruktur handeln. Ein nächster Evolutionsschritt sollte darin bestehen, ebenfalls externe Mehrwert-Services mit in den Marketplace aufzunehmen, mit denen die Infrastruktur-Ressourcen effektiv genutzt werden können, um Entwickler damit zu animieren die Ressourcen zu nutzen, um neue Web-Applikationen und Backendsoftware für mobile Apps zu entwickeln. Weiterhin sollte der Marketplace als echter Cloud-Broker aufgestellt werden.



Aufbau einer Hosted Private Cloud mit der Open-Source Cloud Computing Infrastrukturlösung openQRM

Unternehmen haben die Vorteile der Flexibilisierung der eigenen IT-Infrastruktur erkannt. Dennoch hat die jüngste Vergangenheit die Bedenken bestärkt, den Weg in die Public Cloud aus Gründen des Datenschutzes und der Informationssicherheit zu meiden. Es sind daher Alternativen gefragt. Mit der Private Cloud wäre eine gefunden. Wären dazu nicht hohe Vorabinvestitionen in eigene Hard- und Software notwendig. Ein Mittelweg besteht in der Nutzung einer Hosted Private Cloud. Diese Form der Cloud wird mittlerweile von einigen Providern angeboten. Es besteht aber ebenfalls die Möglichkeit, selbst den Aufbau und den Betrieb zu übernehmen. Dieser INSIGHTS Report zeigt, wie dieses mit der Open-Source Cloud Computing Infrastrukturlösung openQRM möglich ist.

Warum eine Hosted Private Cloud?

Unternehmen sind angehalten ihre IT-Infrastruktur zu flexibilisieren, um ihren Ressourcenbedarf je nach Situation zu skalieren. Der Idealfall stellt hierbei die Nutzung einer Public Cloud dar. Dabei sind keine Vorabinvestitionen in eigene Hard- und Software notwendig. Viele Unternehmen scheuen, aus Gründen des Datenschutzes und der Informationssicherheit, jedoch den Weg in die Public Cloud und schauen sich nach einer Alternative um. Diese nennt sich Private Cloud. Der Hauptvorteil einer Private Cloud besteht dabei in der flexiblen Self-Service Bereitstellung von Ressourcen für Mitarbeiter und Projekte wie in einer Public Cloud, die durch eine reine Virtualisierung der Rechenzentrumsinfrastruktur nicht möglich ist. Jedoch ist für den Aufbau einer Private Cloud zu beachten, dass Investitionen in die eigene IT-Infrastruktur geleistet werden müssen, um den virtuellen Ressourcenbedarf durch einen physikalischen Unterbau zu gewährleisten.

Daher muss ein geeigneter Mittelweg gefunden werden, der einen flexiblen Ressourcenbezug über einen Self-Service ermöglicht, aber zugleich keine hohe Investitionskosten in eigene Infrastrukturkomponenten erwartet und ohne auf ein selbst festgelegtes Datenschutz und -sicherheitsniveau verzichten zu müssen. Dieser Mittelweg besteht im Hosting einer Private Cloud bei einem externen (Web)-Hoster. Die notwendigen physikalischen Server werden über einen Hoster angemietet, der für deren Wartung zuständig ist. Um auch den etwaigen physikalischen Ressourcenbedarf zu sichern, sollten mit dem Hoster entsprechende Absprachen getroffen werden, um die Hardware sehr zeitnah nutzen zu können. Mögliche Alternativen wären Standby-Server oder ähnliche Ansätze.

Auf dieser externen Server-/Storage-Infrastruktur wird anschließend die Cloud-Infrastruktursoftware installiert und zu einer virtuellen gehosteten Private Cloud konfiguriert. Diese erlaubt es Mitarbeitern zum Beispiel je nach Bedarf eigene Server für die Softwareentwicklung zu starten, einzufrieren und nach Beendigung des Projekts wieder zu entfernen. Für die Abrechnung der jeweilig genutzten Ressourcen sorgt die Cloud-Infrastruktursoftware, die über solche Funktionen entsprechend verfügen muss.

openQRM Cloud

Grundsätzlich kann eine openQRM Cloud für den Aufbau einer Public als auch Private Cloud genutzt werden. Diese basiert komplett auf openQRMs Appliance Modell und bietet vollständig automatisierte Deployments die von Cloud Nutzern angefragt werden können. Dazu unterstützt eine openQRM Cloud alle Virtualisierungs- und Speichertechnologien, die auch von openQRM selbst unterstützt werden. Es besteht darüber hinaus die Möglichkeit, physikalische Systeme über die openQRM Cloud bereitzustellen.

Auf Basis der openQRM Enterprise Cloud-Zones lässt sich darüber hinaus eine vollständig verteilte openQRM Cloud Infrastruktur aufbauen. Damit können mehrere voneinander getrennte Rechenzentren in logische Bereiche aufgeteilt oder zum Beispiel die Unternehmenstopologie hierarchisch und logisch sicher voneinander getrennt aufgebaut werden. Zudem integriert openQRM Enterprise Cloud-Zones ein zentrales und mehrsprachiges Cloud-Portal inkl. einer Google Maps Integration, wodurch ein interaktiver Überblick über sämtliche Standorte und Systeme entsteht.

Aufbau der Referenzumgebung

Für den Aufbau unseres Referenz-Setups werden ein physikalischer Server und mehrere öffentliche IP-Adressen benötigt. Für die Installation von openQRM bestehen zwei Möglichkeiten:

  • Empfohlen: Ein privates Class C Subnetz (192.168.x.x/255.255.255.0) konfigurieren in welchem openQRM betrieben wird. openQRM benötigt dann zusätzlich eine öffentliche IP-Adresse für den Zugang von außen.
  • Option: openQRM in einer virtuellen Maschine installieren. Bei dieser Variante steuert openQRM den physikalischen Server und bezieht die virtuellen Maschinen für den späteren Betrieb der Cloud von dem physikalischen Host.

Für die Zuordnung der öffentlichen IP Adressen kann in beiden Szenarien Cloud-NAT eingesetzt werden. Diese openQRM Cloud Funktion übersetzt die IP Adressen des privaten openQRM Class C Netzwerk in öffentliche Adressen. Dies erfordert Post- und Pre-Routing Regeln, die auf dem Gateway/Router mittels IPTables wie folgt konfiguriert werden:

Für die Konfiguration komplexer Netzwerkumgebungen ist das IP-Management Plugin zu empfehlen. Dieses Enterprise Plugin erlaubt es beliebige Netzwerk- und IP-Adress-Konfigurationen für die verwalteten Server vorzunehmen. In der openQRM Cloud bietet es zudem eine Zuordnung von Netzwerken zu Cloud Benutzergruppen und unterstützt darüber hinaus das automatisierte VLAN Management.

Weiterhin werden zwei Bridges benötigt:

  • Eine für die öffentliche Schnittstelle mit einer öffentlichen IP-Adresse.
  • Eine für die private Schnittstelle dpe für die DHCP konfiguriert ist.

Die Daten der Cloud werden später auf dem lokalen Speicher des physikalischen Servers gespeichert. Hierfür bieten sich zwei Varianten:

Empfohlen:

  • KVM-Storage LVM Deployment (LVM Logical Volume Deployment)
  • Benötigt eine oder mehrere dedizierte LVM Volume Group(s) für die virtuellen Maschinen. Für komplexere Setups empfiehlt sich ein zentrales iSCSI Target oder ein SAN zu verwenden.

Option:

  • KVM-Storage BF Deployment (Blockfile Deployment)
  • Erstellen eines Verzeichnis auf dem Linux-Server unter z.B.
    • /var/lib/kvm-storage/storage1
    • /var/lib/kvm-storage/storage2
    • (Die Storage Verzeichnisse lassen sich über die Plugin Konfiguration beliebig einstellen)

  • Für komplexere Setups empfiehlt sich ein zentrales NAS für die konfigurierten Mountpoints zu verwenden.

Am Ende muss IPTables entsprechend der oben genannten Regeln und der gewünschten eigenen Sicherheit konfiguriert werden. Im Anschluss erfolgt die Installation von openQRM. Pakete für die gängigen Linux Distributionen liegen unter http://packages.openqrm.com. Nachdem openQRM installiert und initialisiert wurde folgt dessen Konfiguration.

Basis-Konfiguration von openQRM

Der erste Schritt nach der Initialisierung ist das Editieren der "/usr/share/openqrm/plugins/dns/etc/openqrm-plugin-dns.conf", indem der Standardwert auf die eigene Domain geändert wird.

Domain für das private Netzwerk konfigurieren:
# please configure your domain name for the openQRM network here!
OPENQRM_SERVER_DOMAIN="oqnet.org"

Es folgt das Aktivieren und Starten der Plugins über die Weboberfläche des openQRM-Servers. Die folgenden Plugins sind dazu zwingend erforderlich:

DNS Plugin

  • Dient der automatisierten Verwaltung des DNS Service für das openQRM Management-Netzwerk.

DHCPD

  • Verwaltet automatisch die IP-Adressen für das openQRM Management-Netzwerk.

KVM Storage

  • Integriert die KVM Virtualisierungstechnologie für das lokale Deployment.

Cloud-Plugin

  • Ermöglicht den Aufbau einer Private und Public Cloud Computing Umgebung mit openQRM.

Zu den weiteren empfohlenen Plugins gehören:

Collectd

  • Ein Monitoring-System inkl. Langzeitstatistiken und Graphiken.

LCMC

  • Integriert die Linux Cluster Management Console zur Verwaltung der Hochverfügbarkeit einzelner Services.

High-Availability

  • Ermöglicht eine automatische Hochverfügbarkeit der Appliances.

I-do-it (Enterprise Plugin)

  • Bietet eine automatische Systemdokumentation (CMDB).

Local server

  • Integriert bestehende und lokal installierte Server mit openQRM.

Nagios 3

  • Überwacht automatisch Systeme und Services.

NoVNC

  • Bietet eine remote Web-Konsole für den Zugriff auf virtuelle Maschinen und physikalische Systeme.

Puppet

  • Integriert Puppet für ein vollständig automatisiertes Konfigurationsmanagement und Applikationsdeployment in openQRM.

SSHterm

  • Ermöglicht die sichere Anmeldung über eine Web-Shell an den openQRM-Server und integrierte Ressourcen.

Zu den Plugins die mehr Komfort bei der automatischen Installation von virtuellen Maschinen als Cloud Templates bieten gehören:

Cobbler

  • Integriert Cobbler für das automatisierte Bereitstellen von Linux System in openQRM.

FAI

  • Integriert FAI für das automatisierte Bereitstellen von Linux System in openQRM.

LinuxCOE

  • Integriert LinuxCOE für das automatisierte Bereitstellen von Linux System in openQRM.

Opsi

  • Integriert Opsi für das automatisierte Bereitstellen von Windows System in openQRM.

Clonezilla/local-storage

  • Integriert Clonezilla für das automatisierte Bereitstellen von Linux und Windows System in openQRM.

Basis-Konfiguration der Host-Funktion für die virtuellen Maschinen

Fall 1: openQRM ist direkt auf dem physikalischen System installiert

Als Nächstes muss der Host konfiguriert werden, um darüber später die virtuellen Maschinen bereitzustellen. Dazu wird eine Appliance vom Typ KVM Storage Host erstellt. Man geht dazu wie folgt vor:

  • Appliance erstellen
    • Base > Appliance > Create
  • Name: z.B. openQRM
  • Als Ressource den openQRM Server selbst auswählen
  • Typ: KVM Storage Host

Dadurch erhält openQRM die Information, dass auf dieser Maschine ein KVM Storage angelegt werden soll.

Fall 2: openQRM ist in einer VM installiert, die auf dem physikalischen System läuft

Mittels des „local-server“ Plugins wird das physikalische System in openQRM integriert. Dazu wird das „openqrm-local-server“ Integrations-Tool vom openQRM Server auf das zu integrierende System kopiert z.B.

scp /usr/share/openqrm/plugins/local-server/bin/openqrm-local-server [IP-Adresse des physikalischen Systems]:/tmp/

Danach wird es auf dem zu integrierenden System ausgeführt:

ssh [IP-Adresse des physikalischen Systems]: /tmp/openqrm-local-server integrate -u openqrm -p openqrm -q [IP-Adresse des openQRM Server] -i br0 [-s http/https]

(in diesem Beispiel ist „br0“ die Bridge zum openQRM Management Netzwerk)

Die Integration mittels „local-server“ erstellt in openQRM automatisch:

  • eine neue Ressource
  • ein neues Image
  • einen neuen Kernel
  • eine neue Appliance aus den obigen Subkomponenten

Als Nächstes muss die Appliance des gerade integrierten physikalischen Systems konfiguriert werden, um darüber später die virtuellen Maschinen bereitzustellen. Dazu wird die Appliance als Typ KVM Storage Host eingestellt. Man geht dazu wie folgt vor:

  • Appliance editieren
    • Base > Appliance > Edit
  • Typ: KVM Storage Host einstellen

Dadurch erhält openQRM die Information, dass auf dieser Maschine ein KVM Storage angelegt werden soll.

Basis-Konfiguration der Storage-Funktion

Nun folgt die grundsätzliche Konfiguration des Storage. Hierzu wird ein Storage Objekt von einem selbst gewünschten Typ erstellt. Dazu geht man wie folgt vor:

  • Storage erstellen
    • Base > Components > Storage > Create
    Im Fall 1, die Ressource des openQRM Servers auswählen
  • Im Fall 2, die Ressource des integrierten physikalischen Systems auswählen
  • Name: z.B. KVMStorage001
  • Deployment-Typ wählen
    • hängt vom zu Beginn gewählten Typ ab: KVM-Storage LVM Deployment oder Verzeichnis (KVM-Storage BF Deployment)

Vorbereitung eines Images für virtuelle Maschinen

Um später über das Cloud-Portal virtuelle Maschinen (VM) als Teil fertiger Produkte bereitzustellen, muss zunächst ein Image für eine VM vorbereitet werden. Das funktioniert wie folgt:

  • Erstellen einer neuen virtuellen Maschine mit einer neuen virtuellen Festplatte und auf dieser ein ISO installieren.
    • Plugins > Deployment > LinuxCOE > Create Templates
    • Die hier erstellten Images werden automatisch in einem ISO-Pool, der für alle virtuellen Maschinen innerhalb von openQRM verfügbar ist, abgelegt.

Anschließend folgt das Erstellen einer Basis für ein Mastertemplate. Dieses dient als Grundlage, um später den Anwendern ein Produkt über die Cloud anhand eines Bestellvorgangs bereitzustellen.

  • Erstellen einer neuen Appliance
    • Base > Appliance > Create
  • Erstellen einer neuen Ressource
    • KVM-Storage Virtual Machine
      • Neue VM anlegen
      • Einstellungen vornehmen
      • ISO Image auswählen
      • Erstellen
    • Erstellte Ressource auswählen
  • Neues Image erstellen
    • Image als KVM-Storage Volume hinzufügen
    • KVM-Storage auswählen
    • Volume Group auf KVM-Storage auswählen
    • Neues Logical Volume hinzufügen
    • Image für die Appliance auswählen
    • Editieren, um damit ein Passwort zu setzen. (Damit wird das zuvor gewählte Passwort des ISO Image überschrieben.)
  • Kernel auswählen
    • von der lokalen Festplatte
    • (LAN Boot wäre ebenfalls möglich)
  • Appliance starten
    • die automatische Installation kann nun über VNC verfolgt werden.
    • Weitere Anpassungen können nun selbst vorgenommen werden.
    • Und folgendes beachten
      • Misc > Local-Server > Help >Local VMs („Local-Server für Lokale Virtuelle Maschinen“)

Aufräumen

Die erstellte Appliance kann nun gestoppt und anschließend gelöscht werden. Entscheidend hier war, dass wir uns ein Image erstellt haben, das für die Cloud als Mastertemplate genutzt werden kann.

Das über die Appliance erstellte Image enthält das Basis Betriebssystem welches aus dem ISO-Image installiert wurde.

Konfiguration der openQRM Cloud

Wir haben nun alle Vorbereitungen abgeschlossen, um mit der Konfiguration der openQRM Cloud zu beginnen. Die Einstellungen dafür finden wir unter „Plugin > Cloud > Configuration > Main Config“. Sämtliche Parameter, die hier angepasst werden, haben einen direkten Einfluss auf das Verhalten der gesamten Cloud.

Grundsätzlich lässt sich eine openQRM Cloud mit den Standardparametern betreiben. Je nach Bedarf und der eigenen speziellen Situation müssen Anpassungen erfolgen. Hilfreich dazu ist der Bereich „Beschreibungen“ in der rechten Spalte der Tabelle.

Es existieren jedoch einzelne Parameter, die unabhängig von dem eigenen Anwendungsfall in Betracht gezogen werden sollten. Dazu gehören:

Automatische Provisionierung (auto_provision)

  • Legt fest, ob Systeme automatisch durch die Cloud bereitgestellt werden oder ob zunächst eine Freigabe durch den Administrator notwendig ist.

Provisionierung physikalischer Systeme (request_physical_systems)

  • Mit diesem Parameter lässt sich definieren, ob neben virtuellen Maschinen auch physikalische Host über die Cloud bereitgestellt werden sollen.

Klonen der Images (default_clone_on_deploy)

  • Die Cloud rollt standardmäßig Kopien (Klone) eines Images aus.

Hochverfügbarkeit (show_ha_checkbox)

  • Ermöglicht den Betrieb der openQRM Cloud inklusive Hochverfügbarkeit der bereitgestellten Ressourcen.

Abrechnung der genutzten Ressourcen (cloud_billing_enabled)

  • openQRM verfügt über ein umfangreiches Abrechnungssystem, mit dem für sämtliche Ressourcen eigene Preise festgelegt werden können, um einen transparenten Überblick zu den laufenden Kosten zu erhalten.

Cloud Produkt Manager (cloud_selector)

  • Aktiviert den Produkt-Manager, mit dem den Nutzern verschiedene Ressourcen über das Cloud-Portal bereitgestellt werden können.

Währung zur Abrechnung der Ressourcen (cloud_currency)

  • Legt die Landeswährung fest, mit der die Ressourcen abgerechnet werden sollen.

Umrechnungsfaktor für Ressourcen in reale Währung (cloud_1000_ccus)

  • Legt fest, wie viel 1000 CCUS (Cloud Computing Units) in einer zuvor festgelegten realen Währung entsprechen sollen.

Ressourcenzuordnung für Gruppen (resource_pooling)

  • Legt fest, von welchem Host eine bestimmte Benutzergruppe ihre virtuellen Maschinen erhalten darf.

Produkte für openQRM Cloud anlegen

Um unseren Nutzern Cloud Ressourcen über das Cloud-Portal bereitzustellen, müssen vorab Produkte ausgewählt werden, welche über die Konfiguration einer virtuellen Maschine bestimmen. Die Einstellungen dafür nehmen wir unter „Plugin > Cloud > Configuration > Products“ vor.

Unter der „Cloud Produkt Verwaltung“ lassen sich verschiedene Produkte erstellen, die später unter dem Cloud-Portal von dem Nutzer eigenständig zu vollständigen virtuellen Maschinen zusammengebaut werden können. Zu den Produkten die uns dabei zur Verfügung stehen gehören:

  • Anzahl der CPUs
  • Größe der lokalen Festplatte
  • Größe des Arbeitsspeichers
  • Der Typ des Kernel
  • Die Anzahl der der Netzwerkkarten
  • Vorinstallierte Applikationen
  • Typ der Virtualisierung
  • Ob eine virtuelle Maschine hochverfügbar sein soll

Über die Statuszeile können mit +/- die jeweiligen Produkte aktiviert bzw. deaktiviert werden und damit dem Nutzer im Cloud-Portal angezeigt oder vor ihm versteckt werden.

Bitte beachten: Produkte die deaktiviert werden, aber noch innerhalb von virtuellen Maschinen aktiv sind, werden weiterhin abgerechnet.

Um nun ein neues CPU Produkt zu erstellen wählen wir den Reiter „CPU“ und bestimmen in dem Bereich „Hinzufügen eines CPU Produkts“ unsere gewünschten Parameter.

Der erste Parameter bestimmt, wie viele CPUs (Kerne), hier 64, unser Produkt haben soll. Über den zweiten Parameter legen wir fest, welchen Wert dieses Produkt hat und wie viele Kosten entsprechend während seiner Nutzung pro Stunde entstehen. In diesem Beispiel entstehen Kosten von 10 CCUs pro Stunde für 64 CPUs.

Anhand der Pfeiltasten lässt sich die Reihenfolge bestimmen, wie die einzelnen Produkte im Cloud-Portal angezeigt werden. Der Default-Wert ist der an obiger Stelle.

Bitte beachten: Im Cloud-Portal existieren Standard-Profile in den Größen „Small“, „Medium“ und „Big“. Die Profile werden automatisch entsprechend der Reihenfolge unter den jeweiligen Produkten bestimmt. Das bedeutet Small nimmt immer den ersten Wert, Medium den Zweiten und Big den Dritten.

openQRM erlaubt es ebenfalls, die virtuellen Maschinen mit vorkonfigurierten Softwarestacks zu bestellen. Dazu greift openQRM auf Puppet (Plugins > Deployment > Puppet) zurück. Damit ist es möglich zum Beispiel den bekannten LAMP-Stack zu bestellen.

Haben wir unsere Produktpalette fertig konfiguriert, ist der Nutzer an der Reihe, sich seine virtuellen Maschinen zu bestellen. Das erfolgt über das Cloud-Portal.

openQRM Cloud-Portal

Für das Erstellen einer neuen virtuellen Maschine (VM) klicken wir im Reiter auf „Neu“. Es
erscheint die Eingabemaske, in der wir unsere VM anhand der Produkte, die der
Administrator im Admin-Backend festgelegt und freigegeben hat, erstellen können.

Wir entscheiden uns für das Profil „Gross“ und einem LAMP-Server. Unsere virtuelle Maschine besteht damit aus den folgenden Produkten:

  • TYP: KVM-Storage VM
  • RAM: 1 GB
  • CPU: 64 Kerne
  • Festplatte: 8 GB
  • Netzwerkkarte: 1

Darüber hinaus soll diese virtuelle Maschine „Hochverfügbar“ sein. Das bedeutet, wenn diese ausfallen sollte, wird automatisch eine Ersatzmaschine mit exakt derselben Konfiguration hochgefahren, mit der man weiterarbeiten kann.

Für diese Konfiguration werden uns Kosten in Höhe von 35 CCUs pro Stunde entstehen. Das entspricht 0,04Euro pro Stunde bzw. 0,84Euro pro Tag oder 26,04Euro pro Monat.

Wollen wir die virtuelle Maschine bestellen, wählen wir „absenden“.

Unter dem Reiter „Aufträge“ sehen wir alle aktuellen und vergangenen Bestellungen, die wir mit unserem Benutzer getätigt haben. Der Status „active“ in der ersten Spalte zeigt, dass die Maschine bereits hochgefahren ist.

Parallel dazu erhalten wir eine E-Mail mit der IP-Adresse, einem Benutzernamen und Passwort, über die wir uns an der virtuellen Maschine anmelden können.

Der Reiter „Systeme“ bestätigt uns beide Informationen noch einmal und zeigt weitere Informationen zu der virtuellen Maschine. Darüber hinaus haben wir die Möglichkeit, Änderungen an der Systemkonfiguration vorzunehmen, die virtuelle Maschine in den Ruhezustand zu setzen oder neu zu starten. Weiterhin ist der Login über eine Web-Shell möglich.

Die virtuelle Maschine kann, wenn sie nicht mehr benötigt wird pausiert werden. Alternativ besteht die Möglichkeit, dass der Administrator dieses zum Beispiel anhand einer Inaktivität des Systems oder zu einer bestimmten Uhrzeit veranlasst.

Virtuelle Maschine mit dem „Visual Cloud Designer“ erstellen

Neben dem „gewöhnlichen“ zusammenbauen einer virtuellen Maschine, ermöglicht das openQRM Cloud-Portal es dem Benutzer, dieses bequem per Drag-and-Drop zu erledigen. Dabei hilft der „Visual Cloud Designer“, der unter dem Reiter „VCD“ zu finden ist.

Mit dem Schieberegler unter „Cloud Components“ lässt sich zwischen den Produkten auf der linken Seite hin und her scrollen. Mit der Maus lässt sich die „Cloud Appliance“ (virtuelle Maschine) in der Mitte mit den entsprechenden Produkten bestücken.

Unsere virtuelle Maschine „Testosteron“ haben wir in diesem Fall also mit einem KVM-Storage, Ubuntu 12.04, 64 CPUs, 1024 MB Ram, 8 GB Festplatte, einer Netzwerkkarte, Software für einen Webserver und mit der Eigenschaft Hochverfügbarkeit ausgestattet.

Mit einen Klick auf „Check Costs“, sagt uns openQRM, dass wir für diese Konfiguration 0,03 EUR pro Stunde bezahlen würden.

Um den Bestellvorgang für die virtuelle Maschine zu starten klicken wir auf „Request“. Wir erhalten die Meldung, dass openQRM mit dem Ausrollen der Ressource beginnt und wir weitere Informationen im Postfach haben.

Die E-Mail enthält wie bereits oben beschrieben, sämtliche Zugangsdaten, um mit der virtuellen Maschine zu arbeiten.

Im Cloud-Portal unter „Systeme“, sehen wir dann auch bereits die gestartete virtuelle Maschine.

Virtuelle Maschine mit dem „Visual Infrastructure Designer“ erstellen

Neben der Bereitstellung einzelner virtueller Maschinen bietet das openQRM Cloud-Portal zudem die Möglichkeit, vollständige Infrastrukturen, bestehend aus mehreren virtuellen Maschinen und weiteren Komponenten, mit einem Klick bereitzustellen.

Dafür greifen wir auf den „Visual Infrastructure Designer“ zurück. Dieser ist im Cloud-Portal unter dem Reiter „VID“ zu finden.

Über den „VID“ lässt sich per Drag and Drop eine vollständige WYSIWYG Infrastruktur zusammenbauen und direkt ausrollen. Hierzu müssen anhand des „VCD“ oder auf normalem Weg jedoch zunächst fertige Profile mit vorkonfigurierten virtuellen Maschinen z.B. Webserver, Router, oder Gateways erstellt werden, die anschließend provisioniert werden können.



Umfrage: Das Vertrauen in die Cloud. Europa ist der sichere Hafen. End-to-End Verschlüsselung schafft Vertrauen.

Nach den Enthüllungen um PRISM hatte ich eine kleine anonyme Umfrage zum aktuellen Vertrauen in die Cloud gestartet, um zu sehen, wie sich der Skandal auf das persönliche Verhältnis zur Cloud verändert hat. Die Aussagekraft des Ergebnis ist mehr oder weniger ein Erfolg. Die Beteiligung war alles andere als repräsentativ. Mit immerhin 1499 Aufrufen war das Interesse an der Umfrage relativ groß. Eine Beteiligung von 53 Teilnehmern ist dann doch eher ernüchternd. Somit ist die Umfrage nicht repräsentativ, zeigt aber zumindest eine Tendenz. In diesem Zusammenhang möchte ich mich noch bei Open-Xchange und Marlon Wurmitzer von GigaOM für die Unterstützung bedanken.

Die Umfrage

Die Umfrage umfasste neun Fragen und wurde öffentlich auf twtpoll gehostet. Sie stellte ausschließlich Fragen zum Vertrauen in die Cloud und wie dieses möglicherweise gestärkt werden kann. Zudem waren die Zwischenstände zu jedem Zeitpunkt öffentlich einsehbar. Die Umfrage wurde im deutsch- und englischsprachigen Raum über die sozialen Netzwerke (Twitter, Facebook, Google Plus) sowie den Business-Netzwerken XING und LinkedIn verbreitet, da dieses Thema keine spezielle Zielgruppe betrifft, sondern mittlerweile jeden von uns beeinflusst. Das führte auf twtpoll zu 1.442 Ansichten über das Web und 57 von mobilen Endgeräten und endete mit 53 Umfrageteilnehmer.

Die Umfrage darf aus diesem Grund nicht als repräsentativ betrachtet werden, zeigt aber eine Tendenz.

Das Umfrageergebnis

Trotz des PRISM-Skandal ist das Vertrauen in die Cloud nach wie vor vorhanden. 42 Prozent haben weiterhin ein hohes Vertrauen, 8 Prozent gar ein sehr hohes Vertrauen. Für 15 Prozent ist das Vertrauen in die Cloud sehr gering; 21 Prozent schätzen das Vertrauen als gering ein. Weitere 15 Prozent stehen der Cloud neutral gegenüber.

Das Vertrauen in den aktuellen Cloud Anbieter ist ausgeglichen. 30 Prozent der Teilnehmer haben immer noch ein hohes Vertrauen, 19 Prozent sogar ein sehr hohes Vertrauen in ihren Anbieter. Dem gegenüber stehen jeweils 15 Prozent, die ein geringes bzw. sehr geringes Vertrauen haben. 21 Prozent sind unentschieden.

Der Einfluss auf das Vertrauen in die Cloud durch PRISM führt zu keiner Überraschung. Nur 9 Prozent lassen sich davon gar nicht beeinflussen; 8 Prozent ein wenig. 32 Prozent stehen dem neutral gegenüber. Hingegen beeinflussen die PRISM Enthüllungen 38 Prozent der Teilnehmer stark und 13 Prozent sehr stark.

62 Prozent der Teilnehmer nutzt Services von einem der Cloud Anbieter, die beschuldigt werden, PRISM unterstützt zu haben. 38 Prozent sind bei anderen Anbietern.

Wie zu erwarten, hat sich PRISM auch auf die Reputation der Cloud Anbieter ausgewirkt. Für 36 Prozent haben die Enthüllungen das Vertrauen stark, für 13 Prozent sogar sehr stark beeinflusst. Allerdings stehen dem auch 32 Prozent neutral gegenüber. 11 Prozent haben die Enthüllungen nur leicht und 8 Prozent überhaupt nicht beeinflusst.

58 Prozent wollen trotz PRISM weiterhin Cloud Services nutzen. 42 Prozent haben bereits mit dem Gedanken gespielt, die Cloud auf Grund der Vorfälle zu verlassen.

Ein eindeutiges Zeichen geht an die Anbieter wenn es um das Thema Offenheit geht. 43 Prozent (sehr hoch) und 26 Prozent (hoch) erwarten eine bedingungslose Offenheit der Cloud Anbieter. 25 Prozent sind diesbezüglich unentschieden. Für nur 2 Prozent (gering) und 4 Prozent (sehr gering) spielt das keine Rolle.

74 Prozent sehen in einer 100 prozentigen End-to-End Verschlüsselung die Möglichkeit, das Vertrauen in die Cloud zu stärken. 26 Prozent sehen darin kein Potential.

Die Frage nach der sichersten/ vertrauenswürdigsten Region offenbarte keine Überraschungen. Mit 92 Prozent gilt Europa nach den PRISM-Enthüllungen als die Top Region weltweit. Afrika erhielt 4 Prozent; Nordamerika und Asia-Pacific jeweils 2 Prozent. Für Südamerika wurde nicht abgestimmt.

Kommentar

Auch wenn die Enthüllungen um PRISM im ersten Moment für Empörung und auch weiterhin noch für Verunsicherung sorgen, muss das Wirtschaftsleben weitergehen. Die Tendenz der Umfrage zeigt, dass das Vertrauen in die Cloud nicht zu stark gelitten hat. An dieser Stelle muss man aber auch sagen: Mit gehangen mit gefangen. Wir haben uns alle nicht von heute auf morgen ins "Verderben" der Cloud gestürzt. Die Krux besteht darin, dass die Welt mit Hilfe von Cloud-Technologien immer stärker vernetzt wurde und die Cloud somit als Dreh- und Angelpunkt moderner Kommunikations- und Kollaborationsinfrastrukturen dient.

Wir können aus diesem Grund nicht mehr viele Schritte zurück gehen. Als Hardliner dürfte man natürlich mit sofortiger Wirkung sämtliche digitale sowie analoge Kommunikation einstellen. Ob das erfolgsversprechend ist bleibt zu bezweifeln, da die Abhängigkeit zu groß geworden ist und das moderne unternehmerische Dasein von der digitalen Kommunikation bestimmt wird.

Die zum Teil hohe Anzahl neutraler Antworten zum Vertrauen mag u.a. damit zu tun haben, das im Unterbewusstsein schon immer der Gedanke mitgespielt hat, dass wir bei unserer Kommunikation beobachtet werden. Durch die aktuellen Enthüllungen haben wir es nun schwarz auf weiß. Das Ausmaß der Überwachungen, mittlerweile auch durch das Bekanntwerden von TEMPORA durch den britischen Geheimdienst, hat überrascht. Im Zusammenhang mit TEMPORA muss daher auch das Umfrageergebnis für Europa als vertrauenswürdige Region in Frage gestellt werden. Gegen die Überwachung an strategisch wichtigen Knotenpunkten im Internet sind aber auch die Cloud Anbieter selbst machtlos.

Unterm Strich muss das Wirtschafts-(leben) weitergehen. Man sieht an sämtlichen Enthüllungen jedoch auch, dass man sich auf die Regierungen nicht verlassen darf, von denen immer wieder Regelungen und Sicherheiten gefordert werden. Im Gegenteil, auch diese haben ihr bekundetes Interesse Daten mitzulesen. Und eines muss man sich immer wieder vor Augen halten. Was nützen Gesetze und Regeln, wenn diese immer wieder von höchster Stelle gebrochen werden.

Unternehmen und Anwender müssen daher nun mehr Verantwortung übernehmen, die Fäden in die Hand nehmen und für ihre gewünschte Sicherheit (End-to-Ende Verschlüsselung) im weitesten Sinne selbst sorgen. Zahlreiche Lösungen aus dem Open-Source aber ebenfalls aus dem professionellen Bereich helfen dabei, die Ziele zu erreichen. Anbieter von Cloud- und IT-Lösungen sind jetzt gefordert, noch mehr Offenheit zu zeigen, als ihnen vielleicht lieb sein mag.

Graphiken zu den Umfrageergebnissen

1. Wie ist im Allgemeinen Ihr Vertrauen in die Cloud?

2. Wie ist Ihr derzeitiges Vertrauen in den Cloud Anbieter Ihrer Wahl?

3. Wie haben die Enthüllungen um PRISM Ihr Vertrauen in die Cloud beeinflusst?

4. Gehört Ihr aktueller Cloud Anbieter zu den Beschuldigten?

5. Wie haben sich die Enthüllungen um PRISM auf das Vertrauen in den Cloud Anbieter Ihrer Wahl ausgewirkt?

6. Haben Sie nach den PRISM Enthüllungen bereits darüber nachgedacht die Cloud bzw. ihren Cloud Anbieter zu verlassen?

7. Welche Bedeutung hat die bedingungslose Offenheit Ihres Cloud Anbieters in Zeiten von PRISM und Überwachungen im Allgemeinen?

8. Denken Sie, dass eine 100 prozentige End-to-End Verschlüsselung, ohne die Möglichkeit des Zugriffs durch Dritte, das Vertrauen in die Cloud stärken kann?

9. Welche Region ist Ihrer Meinung nach die Sicherste/ Vertrauenswürdigste, um darin Daten zu speichern?



TecArt-CRM Mobile – Modulare "All-in-One Business Suite" aus der Cloud

Die Wahl einer geeigneten Customer-Relationship-Management (CRM) Lösung ist eine kleine Herausforderung für jedes Unternehmen. Dabei hängt die endgültige Entscheidung von den jeweiligen Anforderungen und speziellen Bedürfnissen ab. In diesem Zusammenhang ist die flexible Nutzung einer Lösung von entscheidender Bedeutung, um nicht in langfristige Verträge und hohe Investitionskosten zu geraten. Dieser INSIGHTS Report gibt einen Überblick über die Cloud-CRM Lösung der TecArt GmbH aus Erfurt, zeigt deren Funktionen und welche Vorteile ein Unternehmen damit erhält.

Einleitung

Die Bedeutung des Customer-Relationship-Management (CRM) nimmt, trotz seiner Historie, in den Unternehmen stetig zu. Ohne dem konsequenten Fokus auf seine Kunden und die bedingungslose Gestaltung der dafür notwendigen Prozesse, ist ein Unternehmen in der heutigen Zeit nicht mehr wettbewerbsfähig. Nur mit einem ganzheitlichen und unternehmensübergreifenden Beziehungsmarketing kann die Zusammenarbeit zwischen einem Unternehmen und seinen Kunden langfristig ausgerichtet und gefestigt werden, was sich ausschlaggebend auf den gegenwärtigen und zukünftigen Erfolg auswirkt. Hierzu müssen die unterschiedlichen Abteilungen, wie das Marketing, der Vertrieb, der Kundenservice und ebenfalls die Bereiche Forschung und Entwicklung in die Prozesse integriert werden.

Die allumfassende Integration dieser Abteilungen ist zum einen organisatorisch nicht immer ganz einfach umzusetzen, zum anderen muss eine geeignete IT-Lösung gefunden werden, welche die Anforderungen des Unternehmens nahezu perfekt erfüllt. Dafür wurde in der Vergangenheit massiv in on-Premise Systeme investiert, was zu langfristigen und unflexiblen Lizenzkosten führte. In Zeiten des Cloud Computing respektive von Software-as-a-Service (SaaS) ist es allerdings nicht mehr notwendig, sich an langfristige Verträge der Anbieter zu binden. Stattdessen wird die Lösung pro Benutzer und im Idealfall pro Monat abgerechnet, wodurch das monatliche bzw. jährliche Kosten-/ Nutzenverhältnis transparenter wird.

An dieser Stelle sei angemerkt, dass der Vorteil der Flexibilität einer SaaS-Lösung nicht darin besteht, die Möglichkeit zu besitzen, jährlich oder gar halbjährlich den Anbieter zu wechseln. Ein Unternehmen plant trotz SaaS langfristig. Die Kosten und der Aufwand ständig einen neuen Anbieter zu evaluieren und anschließend zu migrieren steht in keinem Verhältnis zu dem eigentlichen Vorteil, der sich daraus ergibt. Im Einzelfall kann dies in Erwägung gezogen werden, wenn die Zufriedenheit mit dem Anbieter nachlässt. Der eigentliche Flexibilitätsvorteil einer SaaS-Lösung besteht in deren Skalierbarkeit in Bezug auf die monatliche Nutzung pro Nutzer und Funktionalität. Das bedeutet, dass ein Unternehmen besser auf seine monatlichen Anforderungen reagieren kann, indem es u.a. flexibler auf die Mitarbeiterfluktuation reagiert. So lässt sich besser mit Saisonkräften planen, für die normalerweise im Voraus eine bestimmte Anzahl von Lizenzen für diesen Zeitraum eingekauft wurde, welche nach dem Einsatz als totes Kapital nicht mehr benötigt werden. Bei der Nutzung einer SaaS-Lösung können für einen bestimmten Monat die Anzahl an benötigten Nutzern erhöht und anschließend wieder verringert werden. Damit lässt sich besser für die Zukunft planen.

Dies gilt auch für ein SaaS CRM-System, bei dem es um weit viel mehr geht, als nur eine Datenbank mit Kundeninformationen. Insbesondere der aufstrebende Markt der mobilen Kollaboration ermöglicht es Außendienst-Mitarbeitern vor Ort beim Kunden ständig auf aktuelle Live-Daten zuzugreifen und diese im gleichen Umfang zu bearbeiten. Darüber hinaus sollte die Menge an weiteren Services in Betracht gezogen werden. Das hat den Hintergrund, dass aktuelle SaaS CRM-Lösungen am Markt zwar eine Integration mit weiteren externen SaaS-Angeboten, wie bspw. E-Mail Services versprechen, die Umsetzung jedoch suboptimal gelöst ist. In diesem Zusammenhang ist neben weiteren Aspekten ebenfalls auf die Verfügbarkeit von Schnittstellen zu achten, um eigene bestehende Systeme mit der CRM-Lösung zu verbinden.

Überblick TecArt-CRM

Der Markt für CRM-Systeme aus der Cloud ist in den letzten Jahren stark gewachsen. Angeführt von Salesforce haben sich die Lösungen für das Kundenbeziehungsmanagement von on-Premise Installation hin zu Web-basierten Lösungen aus der Cloud entwickelt. Die unterschiedlichen SaaS-CRMs adressieren dabei je nach Funktionsumfang und Leistung unterschiedliche Zielgruppen. Vom großen Konzern, über den Mittelständler bis hin zum Freiberufler, bietet der Markt eine große Auswahl unterschiedlicher Systeme für das Web-basierte Kundenbeziehungsmanagement.

Die TecArt GmbH aus Erfurt richtet sich mit ihrem TecArt-CRM an mittelständische und größere Unternehmen. Neben einer vollständigen Web-basierten Lösung bietet das Unternehmen seine Software ebenfalls für die on-Premise Installation im eigenen Rechenzentrum an. Den gegenwärtigen Vorteil erreichen Unternehmen jedoch nur mit der Nutzung der Cloud-basierten Lösung TecArt-CRM Mobile, in der es in diesem INSIGHTS Report gehen soll.

Ganzheitliche Module für die flexible Nutzung

TecArt-CRM Mobile wurde für kleine und mittelständische Unternehmen entwickelt, die in der Regel über keine Vollzeit IT-Abteilungen und somit über keine leistungsstarke IT-Infrastruktur verfügen, aber dennoch den Vorteil von mehreren Standorten für sich nutzen möchten.

Sechs Hauptmodule, darunter Services für die Verwaltung von E-Mails, Kontakten, Terminen, Aufgaben und Dokumenten, bilden den Kern der SaaS-Applikation und gehören zum standardisierten Leistungsumfang des CRM-Systems. Für einen festen monatlichen Betrag pro Benutzer gibt es zudem 5 GB Speicherplatz für jeden Nutzer inklusive, der gegen einen Aufpreis bei Bedarf erhöht werden kann. Das Hosting, die Wartung des Systems und das tägliche Backup der Daten, übernimmt die TecArt GmbH.

Eine der großen Stärken von TecArt-CRM Mobile ist die Möglichkeit, das Basissystem je nach Bedarf um weitere Zusatzmodule monatlich zu erweitern und ebenfalls wieder zu kündigen. Unternehmen erhalten damit einen sehr flexiblen Zugriff auf weitere Mehrwert-Services, mit denen sie das CRM-System den eigenen Anforderungen nach anpassen können. Zu diesen nützlichen Services gehören u.a. eine Projektverwaltung, Angebotsverwaltung, Vertragsverwaltung oder die Ressourcenplanung.

Die mobile Cloud ermöglicht den Zugriff von jedem Ort

Neben der Browser-basierten Nutzung ermöglicht TecArt-CRM Mobile ebenfalls den mobilen Zugriff zum Abrufen und Bearbeiten der Daten im CRM-System. Hierzu werden für die mobile Synchronisation die gängigen mobilen Betriebssysteme iOS, Android, Windows Phone und Blackberry, aber ebenso ältere Systeme wie Windows Mobile und Symbian unterstützt.

Für die mobile Synchronisation von Informationen hat die TecArt GmbH den Dienst „TecArt-Push“ entwickelt, der die browserbasierte Cloud-Lösung TecArt-CRM mit einer Push-Funktion erweitert. Dieser ist vergleichbar mit den Lösungen wie man sie von Google Apps oder Apple iCloud kennt. Damit erhalten Unternehmen neben einem CRM-System ebenfalls eine vollwertige mobile Groupware für unterschiedliche Endgeräte für den Zugriff auf E-Mails, Kontakte, Termine und Aufgaben, die automatisch mit dem TecArt-CRM synchronisiert werden.

Auch Außendienst-Mitarbeiter bekommen damit die wertvolle Möglichkeit, von unterwegs auf Informationen zuzugreifen und gleichermaßen Daten wie E-Mails, Termine, Kontakte usw. zu erfassen und zu bearbeiten.

Neben der Synchronisation von Daten ermöglicht die „TecArt-CRM Web-App“, über eine mobile Internetverbindung, zudem den Zugriff auf weitere Daten und Informationen von anderen Services im Backend des CRM-Systems. Das bedeutet, dass somit ebenfalls u.a. auf Dokumente, Tickets, Projekte, Verträge und Angebote zugegriffen werden kann. Anhand eines integrierten Geolocation Service lassen sich darüber hinaus Kontakte in der unmittelbaren Nähe des aktuellen Standorts finden.

Kooperation mit Cloud Marketplaces zur Erhöhung der Reichweite

Cloud Marketplaces gehören zu der Zukunft des Cloud Computing und sind eine logische Entwicklung, um Unternehmen und Entwickler einen guten Überblick sowie einen einfachen Zugriff auf IT-Ressourcen zu ermöglichen.

Darüber hinaus gibt es auch weniger gute Cloud Applikationen auf dem Markt, die entweder keinen echten Mehrwert bieten, nicht gut durchdacht sind oder eine schlechte Architektur besitzen und dadurch ebenfalls sicherheitstechnisch nicht gut implementiert sind. Somit helfen Cloud Marketplaces dabei, potentielle Top-Applikationen von eher unbedeutenden Services zu trennen und bieten Entscheidungshilfen bei der Auswahl. Das wird zum einen durch den Marktplatz Anbieter selbst gewährleistet, zum anderen anhand eines Bewertungssystems, über das die Nutzer Kommentare und Beurteilungen hinterlassen können. Zudem räumen Cloud Marketplaces auf und fassen die unterschiedlichen Cloud Angebote thematisch zusammen. Sie bilden quasi ein unabhängiges Ökosystem von Cloud Services.

Cloud Marketplaces können darüber hinaus jungen Unternehmen helfen, ihren Bekanntheitsgrad und die Reichweite zu erhöhen. Aber auch für etablierte Unternehmen, die mit Cloud Angeboten starten, ergeben sich dadurch Chancen, sich einer breiten Masse zu präsentieren und vor dem bestehenden Mitbewerb transparent zu bewähren.

Dies gehört auch zur Strategie der TecArt GmbH, die für ihr TecArt-CRM Mobile Kooperationen mit zwei Cloud Marketplaces, dem Telekom Business Marketplace und dem Fujitsu Cloud Store, geschlossen hat. Insbesondere die Aufnahmekriterien des Business Marketplace der Deutschen Telekom sind sehr hoch und haben hohe Anforderungen in Bezug auf die Architektur und Sicherheit der Cloud Applikation, die mit Audits überprüft werden. Da die Telekom damit auf Klasse statt Masse setzt, ist die Aufnahme von TecArt-CRM Mobile als äußerst positiv zu bewerten.

Zusätzliche APIs und Software vereinfachen die Integration

Gute Cloud Applikationen zeichnen sich durch ihre Transparenz, Offenheit und den damit verbundenen Schnittstellen (APIs, Application Programming Interface) aus, mit denen die Applikationen selbst erweitert oder mit bereits bestehenden Software-Lösungen integriert werden können.

Das hat auch TecArt verstanden und bietet neben den Kernmodulen und den erweiterten Services ebenfalls zusätzlich weitere Funktionen und Software an, um die TecArt-CRM Produktlinie zu erweitern. So lässt sich u.a. über Zusatzsoftware eine Synchronisation mit Outlook herstellen oder die Integration mit einer Telefonanlage realisieren. Weiterhin ist das Angebot von eigenen Web-Services für Entwickler in Unternehmen sehr interessant, um darüber bestehende Softwarelösungen wie ein Warenwirtschafts-, Zeiterfassungssystem oder einen eigenen Webshop an TecArt-CRM anzubinden.

Preismodell: Pay per use oder on-Premise

TecArt-CRM kann über zwei unterschiedliche Bezugsmodelle genutzt werden. Die klassischen on-Premise Modelle „Company“ und „Enterprise“ richten sich an diejenigen, die sich noch konservativ selbst um das Hosting und den Betrieb ihre Infrastruktur kümmern möchten. Dazu kann das TecArt-CRM zu einem Festpreis eingekauft werden. Hierbei dürfen allerdings die weiteren Kosten für den Betrieb und die Wartung der dafür benötigten IT-Infrastruktur nicht vernachlässigt werden.

Die moderne Art des IT-Bezugs wird über TecArt-CRM Mobile angeboten. Dazu wird für diverse Kernmodule pro Benutzer und Monat ein fester Grundbetrag berechnet. Weitere Module lassen sich flexibel pro Benutzer hinzubuchen und werden dann ebenfalls zusätzlich monatlich abgerechnet. Der Vorteil an dieser Lösungsvariante besteht darin, dass sich TecArt zu 100% um das Hosting, den Betrieb und die Wartung der notwendigen IT-Infrastruktur sowie das TecArt-CRM System kümmert. Ein Kunde konsumiert lediglich die Services bei Bedarf.

Sicherheit und Standortvorteile

Die Themen Datenschutz und Datensicherheit werden im Zusammenhang mit der Cloud weiterhin stark diskutiert. Insbesondere in einem sehr sensiblen Umfeld wie dem Customer-Relationship-Management, bei dem viele personenbezogene aber speziell auch unternehmenskritische Daten verarbeitet werden, darf sich ein Unternehmen nicht für irgendeinen Anbieter entscheiden. Stattdessen muss ein Anbieter gewählt werden, der den unternehmenseigenen Ansprüchen genügt und insbesondere alle datenschutz- und datensicherheitstechnischen Bereiche erfüllt.

Im Bereich der Datensicherheit setzt TecArt auf eine SSL-Verschlüsselung, mit der eine gesicherte Verbindung während der Datenübertragung zwischen dem Server und dem Client hergestellt wird. Darüber hinaus ist der Standort des Rechenzentrums in Deutschland und nach dem ISO Sicherheitsstandard 27001 zertifiziert. TecArt gewährleistet für seine Services eine Erreichbarkeit von 98% im Jahresdurchschnitt. Weiterhin bietet das Unternehmen mit einem Überschreibungsschutz mehr Sicherheit von Dokumenten, indem eine personifizierte Versionsablage und –kontrolle dafür sorgt, dass die Daten immer in einem konsistenten Zustand gehalten werden. Zudem stellt ein Lese- und Schreibschutz auf Nutzerebene sicher, dass nur berechtigte Personen Zugriff auf Module, Objekte und einzelne Dokumente erhalten. Für den Fall der manuellen Löschung durch einen Benutzer steht weiterhin ein persönlicher Papierkorb für den Mitarbeiter zur Verfügung. Sollte dies nicht reichen, werden täglich automatische Backups des Systems vorgenommen, die sieben Tage gespeichert werden.

Neben der Datensicherheit ist der Datenschutz mit sehr viel Sensibilität zu betrachten. Auf Grund des deutschen Firmensitzes unterliegt die TecArt GmbH dem europäischen und deutschen Datenschutzrecht und garantiert, dass keine Daten an US-amerikanische Regierungsbehörden weitergegeben werden. Weiterhin richtet sich TecArt streng nach der Geheimhaltungsstufe „VS-Vertraulich“. Das bedeutet, dass sämtliche Daten und Dokumente die auf den Cloud Services von TecArt gespeichert und verarbeitet werden, die Sicherheitseignung nach den Stufen behördlich, vertraulich und Verschlusssachen (VS-Vertraulich) erfüllen.

Auszeichnungen zeugen von Qualität

Auch wenn Auszeichnungen immer mit der Jury in direkten Zusammenhang stehen, sind sie eine Tendenz für die Qualität einer Lösung. Handelt es sich um mehr als eine Auszeichnung von unterschiedlichen und unabhängig voneinander agierenden Konsortien oder Verbänden, darf ein Unternehmen mit ruhigen Gewissen davon ausgehen, dass die Qualität tatsächlich stimmt.

TecArt kann bereits sechs unabhängige Auszeichnungen vorweisen. Darunter den Hosting & Service Provider Award 2013, das Prädikat BEST OF 2013 in der Kategorie CRM im Rahmen des Innovationspreis-IT 2013 der initiative Mittelstand und den Telekom Innovationspreis 2012.

Empfehlung für das Management

Die Wahl einer geeigneten Customer-Relationship-Management Lösung ist eine kleine Herausforderung für jedes Unternehmen. Dabei hängt die endgültige Entscheidung von den jeweiligen Anforderungen und speziellen Bedürfnissen ab. In diesem Zusammenhang ist die flexible Nutzung einer Lösung von entscheidender Bedeutung, um nicht in langfristige Verträge und hohe Investitionskosten zu geraten. An dieser Stelle setzt TecArt-CRM an und bietet neben wichtigen Kernfunktionen die Möglichkeit, bei Bedarf das System monatlich um weitere Module mit mehr spezifischen Funktionen zu erweitern bzw. wieder zu verkleinern, was den Nutzern in der Summe einen erheblichen Mehrwert verschafft.

Wird das gesamte Portfolio von TecArt-CRM betrachtet, darf hier von keiner reinen CRM-Lösung mehr die Rede sein. Mit vollständig integrierten Funktionen für die Verwaltung von E-Mails, Aufgaben, Terminen, Kontakten, Aufgaben und weiteren Services, bietet TecArt-CRM einem Unternehmen viel mehr als ein gewöhnliches System für das Kundenbeziehungsmanagement. TecArt-CRM konzentriert sich vollständig auf die Standard-Prozesse eines Unternehmens inkl. Synchronisation mobiler Endgeräte und unterstützt somit jedes Unternehmen bei seiner zukünftigen Cloud-Collaboration. Aus diesem Grund handelt es sich bei der Lösung im eigentlichen Sinne um ein kollaboratives CRM, was in diesem Fall auch besser ausgedrückt, als eine All-in-One Business Suite aus der Cloud bezeichnet werden kann.

Unternehmen die sich ebenfalls auf das Thema „Social CRM“ – Die Nutzung moderner Social Networks für die Kundenkommunikation. - konzentrieren möchten, sind bei TecArt-CRM derzeit noch nicht richtig aufgehoben. Dazu haben die Erfurter aktuell keine Funktionalität im Portfolio.

Weiterhin ist TecArt-CRMs große Vielfalt und Modularität gleichzeitig eines seiner Schwachpunkte. Das ist nicht zwangsläufig als großer Negativpunkt zu bewerten. Dennoch sollte ein Kunde für die erste Registrierung viel Zeit für den Auswahlprozess mitbringen. Darüber hinaus kann man bei dem Entscheidungsprozess, welches Modul bereits von Beginn an gewählt werden soll und welches nichts, schnell den Überblick verlieren. An dieser Stelle wird deutlich, dass eine maximale Modularität in diesem Fall nicht immer von Vorteil ist und vorgefertigte Pakete den Entscheidungsprozess vereinfachen.

Unterm Strich ist TecArt-CRM ein empfehlenswertes und gut durchdachtes CRM-System, das viel DNA und Ansätze für eine moderne Cloud Collaboration mitbringt und jedem Unternehmen dabei helfen kann, in Zukunft besser mit seinen Kunden zusammenzuarbeiten.



ITDZ Berlin geht mit HP in die Private Cloud – Public Cloud bleibt eine Option

Das IT-Dienstleistungszentrum Berlin (ITDZ Berlin) hat mit HP eine Kooperation zum Aufbau einer Private Cloud geschlossen. Das System soll dazu alle an das Berliner Landesnetz angeschlossenen Dienststellen mit automatisierten Infrastructure- und Platform-as-a-Services versorgen (IaaS bzw. PaaS).

Private Cloud soll Automatisierung und Standardisierung vorantreiben

Mit der neuen Private Cloud will das ITDZ Berlin die Bereitstellung bestehender Dienste automatisieren, um sie Kunden noch effizienter, schneller und günstiger zur Verfügung zu stellen als bisher. Und dabei die sehr hohe Prozess-Stabilität und das Sicherheits-Niveau, das den strengen Datenschutzrichtlinien des öffentlichen Dienstes entspricht, erfüllen. Zudem sollen über die Private Cloud neue Infrastructure-as-a-Services für Server und Speicher sowie weitere Plattform-Services bereitgestellt werden. Diese sollen wiederum als Grundlage für neue Software-Services dienen, die Kunden und Bürgern das Arbeiten und Leben in Berlin erleichtern sollen.

Das ITDZ Berlin möchte darüber hinaus seine IT stärker zentralisieren, virtualisieren und automatisieren, um die Serviceleistungen weiter zu verbessern. Das bedeutet, dass mit neuen Diensten und verkürzten Beschaffungs- und Bereitstellungsvorgängen für die Kunden eine erhebliche Produktivitätssteigerungen erzielt werden soll. Weiterhin soll die Cloud dazu beitragen, die IT von Stadt und Land Zug um Zug zu verschlanken. Das ITDZ Berlin geht davon aus, dass sich eine Vielzahl der von Berliner Behörden betriebenen Server, entsprechend den Vorgaben des Berliner Rechnungshofs, in die neue Private Cloud verlagern lassen.

Grafische Oberflächen und Self-Service Portal für einfache Nutzung

HP wird im Rechenzentrum des ITDZ Berlin dazu ein flexibel skalierbares HP CloudSystem Enterprise einrichten. Zu den vereinbarten Leistungen HPs gehören dabei neben der Lieferung des Systems auch Beratungs-, Implementierungs- und Support-Dienstleistungen. Das HP CloudSystem Enterprise besteht aus vorkonfigurierten HP-Servern und HP-3PAR-Storage-Systemen sowie aus Netzwerk-Technik von HP Networking. Die Verwaltung erfolgt über die Cloud-Management-Software HP Cloud Service Automation. Für die Virtualisierung von Servern und Speichern sorgt Software von VMWare.

Zu HPs CloudSystem Enterprise gehört die Verwaltungs-Software HP Cloud Service Automation in der Version 3.0. Damit lässt sich die Private Cloud des ITDZ Berlin automatisiert betreiben. Die Software bietet Werkzeuge für die Verwaltung des gesamten Bereitstellungszyklus der Cloud, von der virtuellen Infrastruktur bis zur Cloud-Service-Anwendung. Dazu gehört beispielsweise ein Service-Designer mit grafischer Oberfläche, mit dem Mitarbeiter des ITDZ Berlin Teildienste per Drag-and-Drop zu Cloud-Diensten zusammenstellen können. Oder das Self-Service-Portal, über das Kunden die verfügbaren Infrastruktur- oder Plattformdienste bestellen können. Das Portal ist so vorkonfiguriert, dass Benutzer unter standardisierten Infrastrukturen und Plattform-Services auswählen können. Benutzerrechte und Regeln verhindern, dass Dienststellen oder Mitarbeiter Services bestellen, die für sie ungeeignet sind oder für die sie keine Genehmigung haben.

Über das Self-Service-Portal bestellte Infrastruktur-Ressourcen werden je nach Bedarf zugeteilt und sobald sie nicht mehr benötigt werden, wieder in den Pool der Cloud zurückgegeben. Das verbessert die Auslastung von Server-, Speicher- und Netzwerkhardware und schafft gleichzeitig mehr Flexibilität. Letztere ist für das IT-Dienstleistungszentrum von besonderer Bedeutung: Die zwei Data Center des ITDZ Berlin sind immer wieder kurzzeitigen Lastspitzen ausgesetzt, am Montag oder vor der Ferienzeit, wenn besonders viele Bürger Behördengänge erledigen und die IT-Services der angeschlossenen Dienststellen mehr Ressourcen brauchen als üblich. Der so entstehende Zusatzbedarf lässt sich mit den Services des Cloud System Enterprise decken – einfach, schnell und ohne zusätzliche Kosten.

Kommentar: Werden Daten klassifiziert ist die Public Cloud kein Tabuthema

Während einer Telefonkonferenz zu der Ankündigung, bestätigte mir Konrad Kandziora, Vorstand des ITDZ Berlin meine Frage, dass die Public Cloud weiterhin eine Option sei. Es gehe darum, die Daten vorab zu klassifizieren, was das ITDZ tue. So sieht Kandziora weiterhin Potential in der Public Cloud, um bspw. darüber ein online Bibliothekssystem zu realisieren. Für behördliche und polizeiliche Informationen sehe er hingegen die Private Cloud als die einzige Lösung.

Was sich während der Telefonkonferenz weiterhin bestätigt hat, ist mein "Top-Trend: Webbasierte GUIs für Cloud IaaS". HP ermöglicht es dem ITDZ Berlin und seinen Kunden über eine grafische Oberfläche, Services per Drag-and-Drop zu Cloud-Diensten zusammenstellen. (Screenshots dazu gibt es auf der HP Flickr-Seite.) Das ist insofern sehr wichtig, dass viele Administratoren keine Entwickler sind und dadurch zwangsläufig nicht wissen, wie sie Infrastructure-as-a-Service (IaaS) APIs nutzen sollen, um sich programmatisch eine komplexe Cloud-Infrastruktur aufzubauen. Graphische Oberflächen helfen auch nicht Cloud-affinen Nutzern sich eine Cloud-Infrastruktur “zusammenklicken”, ohne Kenntnisse von der darunter liegenden API besitzen zu müssen.



Wie schützen Unternehmen ihre Daten gegen die Überwachung in der Cloud?

Die US-Regierung hat mit PRISM die Verunsicherung bei Internetnutzern und Unternehmen weiter vergrößert und damit den Vertrauensverlust gegenüber US-amerikanischen Anbietern enorm verstärkt. Nach dem Patriot Act, der oftmals als das Hauptargument gegenüber dem Einsatz von Cloud-Lösungen US-amerikanischer Anbieter genannt wurde, hat nun die Überwachung durch die NSA das Fass zum Überlaufen gebracht. Aus der Sicht eines Unternehmens kann unter diesen Umständen die Entscheidung derzeit nur lauten, sich gegen einen Cloud Anbieter aus den USA zu entscheiden, selbst dann, wenn dieser ein Tochterunternehmen mit Standort und Rechenzentrum in Europa oder Deutschland hat. Darauf hatte ich bereits in diesem Artikel hingewiesen. Nichts desto trotz muss das Wirtschaftsleben weitergehen, was auch mit der Cloud funktionieren kann. Hier gilt es allerdings auf die technische Sicherheit zu achten, die in diesem Artikel thematisiert wird.

Betroffene Parteien

Diese ganze Thematik gilt zwangsläufig nicht nur für Unternehmen, sondern für jeden Nutzer der aktiv in der Cloud kommuniziert und seine Daten teilt und synchronisiert. Zwar darf in diesem Zusammenhang das Thema Datenschutz nicht vernachlässigt werden, für Unternehmen steht in der Regel jedoch noch mehr auf dem Spiel, wenn Informationen mit Firmeninterna abgefangen werden oder Sprach- und Videokommunikation überwacht wird. An dieser Stelle muss erwähnt werden, dass dies in erster Linie nichts mit der Cloud zu tun hat. Datenkommunikation wurde lange vor Cloud-Infrastrukturen und -Services betrieben. Jedoch führt die Cloud in Zukunft zu einer immer stärkeren Vernetzung und dient als Dreh- und Angelpunkt moderner Kommunikations- und Kollaborationsinfrastrukturen.

Die aktuelle Sicherheitslage

Der PRISM Skandal zeigt das gesamte Ausmaß der Möglichkeiten, die es den US-Sicherheitsbehörden erlaubt, ungehindert und ungeachtet auf die weltweite Datenkommunikation zuzugreifen. Dazu nutzen die US-Behörden offiziell die "National Security Letter (NSL)" des US Patriot Act und den "Foreign Intelligence Surveillance Act (FISA)". Auf Grund dieser Anti-Terror Gesetze sind die US-Anbieter und deren Töchterfirmen im Ausland dazu verpflichtet Auskünfte über angefragte Informationen zu erteilen.

Im Rahmen der PRISM Enthüllungen wird ebenfalls über vermeintliche Schnittstellen, "Kopier-Räume" oder Backdoors bei den Anbietern spekuliert, mit denen Dritte direkt und ungehindert die Daten abgreifen können. Das widersprechen die Anbieter jedoch vehement.

US-Anbieter, nein Danke?

Während der Auswahl eines Cloud-Anbieters* werden verschiedene Segmente betrachtet die grob in technische und organisatorische Bereiche unterteilt werden können. Der technische Bereich spiegelt in diesem Fall die technische Sicherheit und der organisatorische die rechtliche Sicherheit wieder.

Die organisatorische Sicherheit ist mit Vorsicht zu genießen. Der Patriot Act öffnet den US-Sicherheitsbehörden legal die Türen, soweit ein Verdachtsfall vorliegt. Inwieweit dieses immer im rechtlichen Rahmen bleibt, vagen mittlerweile viele zu bezweifeln. An dieser Stelle ist Vertrauen gefragt.

Technologisch betrachtet sind die Rechenzentren der Cloud-Anbieter als sicher einzustufen. Der Aufwand und die Investitionen die von den Anbietern betrieben werden, kann kein normales Unternehmen erbringen. Aber auch hier gilt 100% Sicherheit kann niemals gewährleistet werden. Soweit möglich sollte der Nutzer zusätzlich eigene Sicherheitsmechanismen einsetzen. Weiterhin sollten die Gerüchte über staatliche Zugriffe der NSA nicht ungeachtet bleiben. Über zwei US-amerikanische Telefonanbieter gibt es bestätigte Berichte, in denen über direkte Zugriffe auf die Kommunikation durch die NSA und stark gesicherte Räumen, die über modernste Überwachungstechnologien verfügen, die Rede ist. In diesem Zusammenhang sollten auch die Anbieter von on-Premise IT-Lösungen betrachtet werden, inwieweit diese unterwandert sind.

Unter beiden Gesichtspunkten und der aktuellen Sicherheitslage sind US-amerikanische Anbieter mit Vorsicht zu genießen. Das gilt ebenfalls für deren Tochterfirmen mit einem Sitz in der EU. Denn auch diese sind nicht in der Lage zumindest die notwendige rechtliche Sicherheit zu erfüllen.

Aber auch der deutsche Geheimdienst darf nicht ungeachtet bleiben. Neueste Meldungen weisen daraufhin, dass der "Bundesnachrichtendienst (BND)" die Überwachung des Internets ebenfalls weiter massiv ausbauen wird. Dazu stehen Mittel in Höhe von 100 Million EUR bereit, von denen von der Bundesregierung bereits fünf Millionen EUR freigegeben wurden. Im Gegensatz zur NSA wird der BND nicht den vollständigen Datenverkehr im Internet speichern, sondern nur auf bestimmte verdächtige Inhalte prüfen. Dazu darf er laut dem G-10-Gesetz bis zu 20 Prozent der Kommunikationsdaten zwischen Deutschland und dem Ausland mitlesen.

Hardliner müssen mit sofortiger Wirkung sämtliche digitale sowie analoge Kommunikation einstellen. Das wird allerdings nicht mehr funktionieren, da die Abhängigkeit zu groß geworden ist und das moderne unternehmerische Dasein von der Kommunikation bestimmt wird. Es müssen daher andere legale Wege gefunden werden, trotz Überwachung, eine sichere Kommunikation und Datenübertragung zu gewährleisten.

* Ein Cloud-Anbieter kann in diesem Zusammenhang ein Service-Anbieter oder ein Anbieter von Private Cloud oder IT-Hard- und Software-Lösungen sein.

Anforderungen an sichere Cloud-Services und IT-Lösungen

Zunächst muss klar gesagt werden, dass es kein Allheilmittel gibt. Die Gefahr geht spätestens von dem Nutzer aus, der über die Gefahrenlage nicht aufgeklärt ist oder mit Absicht Unternehmensdaten entwendet. Ungeachtet dessen führen die PRISM Erkenntnisse zu einer neuen Sicherheitsbetrachtung im IT-Bereich. Und es ist zu hoffen, dass sich damit ebenfalls das Sicherheitsbewusstsein der Anwender vergrößert.

Unterstützung können Unternehmen dabei von Cloud-Services und IT-Lösungen erhalten, die das Thema Sicherheit von Beginn an zum bedingungslosen Teil ihres Leitmotivs gemacht haben. Das sollten unter den aktuellen Umständen bevorzugt Anbieter aus Europa oder Deutschland sein. Auch wenn es bereits erste Berichte über Verzwickungen und Einflüsse der US-Regierung und von US-Anbietern auf die Europäische Kommission gibt, die eine "Anti-FISA-Klausel" in der EU-Datenschutzreform verhindert haben, existieren in Europa keine vergleichbaren Gesetze wie der US Patriot Act oder FISA.

Demnach können auch europäische und deutsche IT-Anbieter, die nicht dem Patriot Act unterstellt und nicht staatlich unterwandert sind, US-amerikanischen Anwendern dabei helfen ihre Datenkommunikation sicher zu betreiben.

Kriterien für die Anbieterauswahl

Beim Thema Sicherheit geht es immer wieder verstärkt um Vertrauen. Und genau dieses Vertrauen erreicht ein Anbieter nur durch Offenheit, indem er sich von seinen Kunden technologisch in die Karten schauen lässt. IT-Anbieter stehen oftmals in der Kritik zu verschlossen zu sein und keine Auskünfte über ihre proprietären Sicherheitsprotokolle zu machen. Das stimmt zum Teil, denn es gibt auch Anbieter die darüber bereitwillig sprechen und kein Geheimnis daraus machen. So einen Anbieter gilt es zu finden.

Neben dem subjektiven Thema Vertrauen, ist es aber insbesondere die implementierte Sicherheit, die eine sehr wichtige Rolle spielt. Hier sollte darauf geachtet werden, dass der Anbieter aktuelle Verschlüsselungsmechanismen einsetzt, dazu gehören:

  • Advanced Encryption Standard – AES 256 für die Verschlüsselung der Daten.
  • Diffie-Hellman und RSA 3072 für den Schlüsselaustausch.
  • Message Digest 5/6 – MD5/MD6 für die Hash-Funktionalität.

Weiterhin nimmt die Bedeutung der End-to-End Verschlüsselung der gesamten Kommunikation immer stärker zu. Das bedeutet das der gesamte Prozess, den ein Nutzer mit der Lösung durchläuft, von Anfang bis Ende durchgehend verschlüsselt ist. Das beinhaltet u.a.:

  • Die Benutzerregistrierung
  • Die Anmeldung
  • Den Datentransfer (Versand/ Empfang)
  • Übertragung der Schlüsselpaare (Public/ Private Key)
  • Der Speicherort auf dem Server
  • Der Speicherort auf dem lokalen Endgerät
  • Die Sitzung während ein Dokument bearbeitet wird

In diesem Zusammenhang ist es wichtig zu verstehen, dass der private Schlüssel für den Zugriff auf die Daten und das System ausschließlich im Besitz des Anwenders sein darf. Und auch nur ausschließlich auf dem lokalen System des Anwenders verschlüsselt gespeichert wird. Der Anbieter darf über keine Möglichkeiten verfügen, diesen privaten Schlüssel wiederherzustellen und niemals auf die gespeicherten Daten Zugriff erhalten. Achtung: Es gibt Cloud-Storage Anbieter, die sowohl den privaten Schlüssel wiederherstellen, als auch auf die Daten des Nutzers Zugriff nehmen können.

Weiterhin gibt es Anbieter, von denen die Kontrolle über die eigenen Daten thematisiert wird. Das ist zwar richtig. Allerdings wird zwangsläufig früher oder später extern kommuniziert und dann ist eine harte End-to-End Verschlüsselung unumgänglich.

Empfehlung für das Management

In diesem Zusammenhang möchte ich gerne TeamDrive erwähnen, die ich vor kurzem analysiert habe. Die deutsche Filesharing und Synchronisations-Lösung für Unternehmen wurde vom "Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein (ULD)" mit dem Datenschutz-Gütesiegel ausgezeichnet und gehört zu Gartners "Cool Vendor in Privacy" 2013. In den Medien wird TeamDrive hin und wieder als proprietär und verschlossen beschrieben. Das kann ich allerdings nicht bestätigen. TeamDrive hat mir für meine Analyse bereitwillig umfangreiche Informationen (z.T. unter NDA) zur Verfügung gestellt. Auch das selbst entwickelte Protokoll wird auf Anfrage für einen Audit offen gelegt.

Weitere Informationen zur Auswahl einer sicheren Share-, Sync- und Collaboration-Lösung

Ich möchte noch auf meinen Sicherheitsvergleich zwischen TeamDrive und ownCloud hinweisen, in dem ich beide Sicherheitsarchitekturen gegenübergestellt habe. Der Vergleich gibt zudem weitere Hinweise, was bei der Auswahl einer sicheren Share-, Sync- und Collaboration-Lösung zu beachten ist.



arago macht seinen AutoPilot mit Version 4.1 fit für die Zukunft

Die Automatisierungs-Experten von arago haben die neueste Version ihres AutoPilot veröffentlicht. Damit versprechen die Frankfurter einen noch flexibleren und sicheren IT-Betrieb mit ihrer wissensbasierten Automatisierungslösung. Der Autopilot kann vollautomatisch Aufgaben innerhalb eines IT-Betriebs übernehmen und damit die IT-Abteilungen von ihren Routineaufgaben entlasten. Die wichtigsten Erneuerungen des aktuellen Updates sind die Einführung eines Entwickler-Portals und einer neuen API, welche die Software für Entwickler öffnet. Der Autopilot soll damit noch effizienter in bestehende IT-Umgebungen integriert und an die individuellen Bedürfnisse angepasst werden können. Nutzer des Autopilot können die Software kostenfrei auf Version 4.1 aktualisieren und erhalten so Zugriff auf sämtliche neuen Services und Funktionen.

Neue API verbessert die Integration

Mit Einführung einer Java/C++ API-Library und einer REST-Schnittstelle ist nun die Anbindung externer Systeme einfacher möglich. Nutzer erhalten damit die Möglichkeit, dass sich der AutoPilot noch schneller und effizienter in IT-Umgebungen einbinden lässt und so den Zugriff auf entsprechende Datenbanken, Hardware oder Benutzeroberflächen ermöglicht beziehungsweise vereinfacht. Zusätzlich verringert ein neues, kompakteres XML-Format für das jeweilige MARS-Modell einen Overhead, wenn Modelldaten an die API übergeben werden.

Developer-Portal macht AutoPilot zur Plattform

Mit der Einführung eines Entwickler-Portals lässt sich der AutoPilot ab sofort von Entwicklern als Plattform nutzen, um eigene Anwendungen auf Basis der wissensbasierten Automatisierung und Datenhaltung zu generieren oder bestehende Anbindungen zu nutzen. Zu diesem Zweck stellt arago im neuen Portal eine umfangreiche Dokumentation, Code-Beispiele und Testdaten zur Verfügung. Bei Fragen oder Anmerkungen steht arago den Nutzern außerdem mit einer Support Community zur Verfügung. Das Entwickler-Portal befindet sich aktuell in der Betaphase für einen ausgewählten Entwicklerkreis – dieser soll aber stetig erweitert werden.

Wissensbasierte ersetzt skriptbasierte Automation

Der AutoPilot unterscheidet sich von den meisten Automatisierungslösungen, indem er wissensbasiert arbeitet. Andere Lösungen im Markt setzen eine Standardisierung der IT-Umgebung voraus und arbeiten in Skripten, Runbooks oder Workflows. Sie erzeugen IT-Abläufe, die einem Fließband ähnlich sind und arbeiten daher gut auf einer Ebene, die ohnehin zu einem hohen Grad von Standardisierung profitiert. Eine wissensbasierte Lösung administriert hingegen den gesamten Stack – vom Betriebssystem bis hin zur Individualapplikation bzw. dem Geschäftsprozess – und integriert sich in die bestehende IT-Landschaft, sogar komplexe, nicht-standardisierte Umgebungen.

Der arago AutoPilot dagegen nutzt das im Unternehmen vorhandene Wissen und wendet es automatisch an. Die Lösung wird mit dem Wissen der Administratoren und anderen IT-Experten in Form von Wissensbausteinen gefüllt und erhält sämtliche Informationen, die sie für die automatisierte Administration des IT-Betriebs benötigt. Anschließend kombiniert der AutoPilot diese flexibel je nach Situation und Bedarf und arbeitet so wie ein eigenständiger Experte. Dadurch kann das Softwaretool auch individuelle Applikationen administrieren und sogar auf ungeplante Ereignisse sinnvoll reagieren.

Kommentar: Der AutoPilot rüstet sich für die Zukunft

Mit der Version 4.1 setzt arago seinem AutoPilot selbst einen neuen Meilenstein. Insbesondere mit der Einführung des Developer-Portal und der REST-API macht arago einen Schritt in die Zukunft und öffnet sich. Das ist insoweit eine wichtige Entscheidung, dass damit die Verbreitung des AutoPilot erhöht und die Akzeptanz für die wissensbasierte Automatisierung im Markt gestärkt wird. Diese Entwicklung kann später darüber hinaus durchaus zu einem Marktplatz führen, der es den Entwicklern ebenfalls ermöglicht, eigene Anwendungen für den Autopilot darauf anzubieten und zu monetarisieren.

Automation gilt bei vielen Menschen immer noch als eine gefährliche Entwicklung, da die Maschinen den Arbeitsplatz vollständig ersetzen könnten. Das ist eine gefestigte Denkweise, die hinterfragt werden muss. Die industrielle Revolution hat die Arbeitskraft der Menschen ebenfalls nicht vernichtet, sondern zu einer höheren Effizienz bei der Produktion und zu neuen höherwertigen Aufgaben geführt. IT-Abteilungen sind heutzutage in ihren Routineaufgaben für den IT-Betrieb gefangen und können dadurch nur noch begrenzt in die eigentliche Wertschöpfung eines Unternehmens eingreifen. Und das in einer Zeit, in der alle von der IT als Business-Enabler sprechen.

Eine wissensbasierte Automatisierungslösung, wie der AutoPilot, hat das Potential die IT-Abteilungen zu entlasten und ihr mehr Zeit und Freiheiten zu verschaffen, um sich auf die strategische Ausrichtung der Unternehmens-IT zu konzentrieren und damit im gleichen Maße für mehr Innovationen durch IT im Unternehmen zu sorgen.



PRISM spielt deutschen und europäischen Cloud Computing Anbietern in die Karten

Die US-Regierung und allen voran PRISM hat den US-amerikanischen Cloud Computing Anbietern einen Bärendienst erwiesen. Erste Diskussionen entfachen nun, ob damit der Public Cloud Markt dem Tode geweiht sei. Bei weitem nicht. Im Gegenteil, europäischen und deutschen Cloud Computing Anbietern spielt dieser Skandal in die Karten und wird dafür sorgen, dass der europäische Cloud Computing Markt in Zukunft stärker wachsen wird als vorhergesagt. Denn das Vertrauen in die USA und seine Anbieter hat die US-Regierung selbst massiv zerstört und damit auf dem Gewissen, wodurch sich Unternehmen, stand Heute, nach Alternativen umschauen müssen.

Wir haben es doch alle gewusst

Es gab immer Vermutungen und Bedenken von Unternehmen, ihre Daten in eine Public Cloud eines US-amerikanischen Anbieters zu speichern. Dabei stand der der Patriot Act im Mittelpunkt der Diskussionen in Q&A-Sessions oder Panels nach Vorträgen oder Moderationen die ich gehalten habe. Mit PRISM erreichen die Diskussion nun ihren Höhepunkt und bestätigen, leider, diejenigen die schon immer Abhöraktionen durch die USA und anderer Länder als Argument geliefert haben.

David Lithicum hat sich bereits bei der NSA für den Mord an der Cloud bedankt. Ich argumentiere mit einem Schritt zurück und sage, dass die NSA für den Tod der US-amerikanischen Cloud-Anbieter verantwortlich "wäre", ob es soweit kommt, bleibt noch abzuwarten. Menschliche Entscheidungen sind nicht immer rationaler Natur.

Unabhängig davon ist die Public Cloud nicht vollständig Tod. Unternehmen hatten schon vor dem Bekanntwerden des PRISM-Skandals die Aufgabe, ihre Daten nach unternehmenskritischen und öffentlichen zu klassifizieren. Dieses muss sich nun noch weiter verstärken, denn die Public Cloud vollständig aufzugeben wäre falsch.

Bye Bye USA! Welcome Europa und Deutschland

Wie ich bereits oben geschrieben habe, sehe ich weniger den Tod der Cloud selbst, sondern viel mehr den Tod der US-Anbieter kommen. Damit schließe ich auch diejenigen ein, die hier in Europa oder Deutschland ihre Standorte und Rechenzentren haben. Denn das Vertrauen ist dermaßen zerstört, dass sämtliche Erklärungs- und Beschwichtigungsversuche sich in Nullkomma nix in Luft auflösen.

Fakt ist, dass US-Anbieter und deren Töchterfirmen dem Patriot Act und demnach auch dem "Foreign Intelligence Surveillance Act (FISA)" unterstellt sind, was sie dazu verpflichtet Auskünfte über angefragte Informationen zu erteilen. Die Anbieter versuchen sich hier derzeit aktiv zu stärken, indem mehr Verantwortung von der US-Regierung gefordert wird, um das restliche Vertrauen was noch vorhanden ist, zumindest zu behalten. Das ist lobenswert aber ebenso notwendig. Dennoch haben die Diskussionen um vermeintliche Schnittstellen, "Kopier-Räume" oder Backdoors bei den Anbietern, mit denen Dritte ungehindert die Daten abgreifen können, einen äußerst faden Beigeschmack hinterlassen.

Das sollte nun verstärkt europäische und deutsche Cloud-Anbieter ermutigen. Denn nicht dem US-amerikanischen Einfluss zu unterliegen sollte als ein noch größerer Wettbewerbsvorteil denn je ausgespielt werden. Dazu gehören u.a. der Standort des Rechenzentrums, der Rechtsrahmen, der Vertrag, aber auch die technische Sicherheit (z.B. End-to-End Verschlüsselung).

Je nachdem wie die US-Regierung in der nächsten Zeit reagieren wird, bleibt es spannend zu sehen, wie sich US-amerikanische Anbieter auf dem europäischen Markt verhalten. Bisher handelt es sich immer um 100% Tochterunternehmen der großen US-Konzerne, die hier vor Ort nur als Ableger gelten und der Mutter in den USA vollständig unterstellt sind.

Auch wenn ich kein Befürworter weder einer reinen "Euro-Cloud" noch einer "Deutschen Cloud" bin. Es kann unter diesen aktuellen Umständen nur eine europäische Lösung geben. Viviane Reding, EU-Kommissarin für Justiz, ist jetzt gefragt, um eine bedingungslose Datenschutzverordnung für Europa durchzusetzen, welche die europäischen Unternehmen gegenüber den US-Unternehmen unter diesen Gesichtspunkten im Wettbewerb stärkt.

Der Mut der Anbieter ist gefragt

Allen Anschein nach wird es kein zweites Amazon, Google, Microsoft oder Salesforce aus Europa oder gar Deutschland geben. Die großen, allen voran T-Systems und SAP stärken aktuell ihr Cloud-Geschäft und bieten Unternehmen damit eine echte Alternative zu US-Anbietern. Auch sind vereinzelnd Lichtblicke von Startups am Horizont zu erkennen. Was jedoch fehlt sind u.a. echte und gute Infrastructure-as-a-Service (IaaS) Angebote von jungen Unternehmen die nicht nur Infrastruktur-Ressourcen im Portfolio haben, sondern ähnlich wie Amazon auf Services setzen. Die Problematik beim IaaS besteht in den hohen Kapitalanforderungen, die dafür notwendig sind, um auch u.a. eine massive Skalierbarkeit zu gewährleisten.

Andere Startups die z.B. Platform-as-a-Service (PaaS) anbieten, setzen in vielen Fällen im Hintergrund wieder auf die Infrastruktur von Amazon - US-Anbieter. Hier sind dann allerdings Anbieter wie T-Systems in der Pflicht, sich nicht ausschließlich auf Unternehmen zu konzentrieren, sondern ebenfalls über den "Amazon-Weg" es Entwicklern ermöglichen, ihre Ideen und Lösungen auf einer Cloud-Infrastruktur in Deutschland und Europa zu entfalten. Es fehlt einfach eine echte(!) deutsch-europäische Alternative zu den Amazon Web Services, Google, Microsoft oder Salesforce!

Wie sollten sich Unternehmen jetzt verhalten?

Unter all diesen Gesichtspunkten muss man Unternehmen raten, sich nach einem Anbieter umzuschauen, der sich in einem Land befindet, das die für das Unternehmen selbst geforderten rechtlichen Bedingungen hinsichtlich Datenschutz und Informationssicherheit gewährleistet. Und das kann derzeit nur ein Anbieter aus Europa bzw. Deutschland sein. Nebenbei bemerkt war das auch schon vor PRISM so. Weiterhin stehen Unternehmen selbst in der Pflicht, ihre Daten zu klassifizieren und unternehmenskritische Informationen mit einem deutlich höheren Schutzniveau zu bewerten als weniger wichtige und öffentlich zugängliche Informationen.

Wie es bei US-amerikanischen Unternehmen konkret ausschaut ist schwer zu sagen. Immerhin halten 56 Prozent der US-Bürger das Überwachen von Telefonaten für akzeptabel. Europäer, aber vor allem die Deutschen werden das allerdings anders sehen. Insbesondere wir Deutschen werden keine Stasi 2.0, die anstatt auf Spione aus den eigenen Reihen (Nachbarn, Freunde, Eltern, Kinder usw.), auf Maschinen und Services setzt, akzeptieren!



T-Systems setzt ein Zeichen und schickt Anwälte und Notare in die Cloud [Update]

T-Systems bietet zusammen mit der Arbeitsgemeinschaft Informationstechnologie im Deutschen Anwaltverein (davit) allen Anwälten und Notaren in Deutschland ein sicheres Dokumentenmanagement aus der Cloud an. Der entsprechende Kooperationsvertrag wurde von der Telekom-Tochter und der davit auf dem 64. Deutschen Anwaltstag in Düsseldorf unterzeichnet. Mit der Cloud-Lösung lassen sich von den Juristen Dokumente elektronisch in der Cloud erstellen, bearbeiten und archivieren und beliebig viele digitale Akten anlegen. Die Lösung ist skalierbar wird nach einem verbrauchsabhängigen Mietpreis abgerechnet, wodurch keine Investitionskosten entstehen. Der Zugang kann über davit oder T-Systems bestellt werden.

Zugeschnitten auf die Bedürfnisse von Anwälten und Notaren

T-Systems hat die von ihr entwickelte revisionssichere Standardlösung zusätzlich auf die Bedürfnisse von Anwälten und Notaren sowohl fachlich als auch technisch zugeschnitten. Der Service ist mit dem § 203 StGB für Berufsgeheimnisträger konform und erfüllt zudem sämtliche Anforderungen an den Beschlagnahmeschutz vertraulicher Informationen zwischen Anwälten und Mandanten. Für den Zugriff auf das System ist ein acht bis 50 Stellen langer, digitaler Schlüssel notwendig, den nur der Anwender kennt. Nach Angaben von T-Systems kann kein Mitarbeiter zu keinem Zeitpunkt auf die Daten in der Cloud-Lösung zugreifen und sie auslesen. Ebenfalls nicht bei Wartungsarbeiten. Aus Datenschutzgründen befinden sich die Dokumente in jedem Fall auf Servern innerhalb Deutschlands in einem nach international anerkannten Sicherheitsstandards zertifizierten, deutschen Rechenzentrum.

Im Hintergrund arbeitet die Lösung doculife des Schweizer Partners Document Future AG. Diese ist nahtlos in Microsoft Office und Outlook integrierbar. Hat der Anwender einen De-Mail-Account, kann er diesen über ein Plug-in nutzen und Nachrichten an Klienten oder an Gerichte verschlüsselt versenden. Nachricht und Anhang erreichen den oder die Empfänger somit sicher und beweiskräftig. Umgekehrt können die Anwälte und Notare auch De-Mail-Nachrichten empfangen. Aber auch konventionelle E-Mails erhält der Nutzer nur von Absendern, die er hierzu freigeschaltet hat.

Anwälte und Notare werden mobil

Über ein mobiles Endgerät mit dem Apple-Betriebssystem iOS lassen sich alle Dokumente ebenfalls aus der Cloud von überall aus sicher abrufen. Nutzer von Windows 8 und Android müssen sich noch etwas gedulden. Hier laufen allerdings bereits die Pilotprojekte. Die Akten lassen sich zudem auf Wiedervorlage einstellen. Die Cloud-Anwendung erinnert die Anwender dann an die anstehenden Aufgaben.

Update: Weitere Informationen zum Angebot

Ich hatte heute noch ein Briefing mit T-Systems zu diesem Service. Hier die weiteren wichtigen Fakten.

Grundsätzlich bietet T-Systems für alle seine Kunden, das gilt nicht nur für diese Anwalts- und Notar-Lösung, eine Private Cloud an. Das bedeutet, dass Unternehmen über eine dedizierte Netzwerkleitung mit einem T-Systems Rechenzentrum verbunden werden und dort auf die Hosted Private Cloud bzw. Virtual Private Cloud zugreifen. Hierzu werden die unterschiedlichen Lösungen in Blöcken voneinander physikalisch isoliert, um die Sicherheit zu gewährleisten.

Der Service für die Anwälte und Notare wird ebenfalls getrennt auf einer dedizierten Plattform in einem separaten physikalischen Block innerhalb eines T-Systems Rechenzentrum in Deutschland betrieben. Der Anwender muss nicht zwingend über eine dedizierte MPLS-Verbindung auf das Rechenzentrum zugreifen und kann dazu ebenfalls eine Standard Internetverbindung nutzen.

Die Sicherheit für den Zugriff auf das System wird, wie bereits oben beschrieben über einen bis zu 50 Stellen langen, digitalen Schlüssel sichergestellt. Dieser ist ausschließlich im Besitz des Anwenders und wird nur auf dessen lokalen System gespeichert. Das bedeutet zudem, dass dieser Schlüssel niemals verloren gehen darf. Ansonsten sind die Daten verloren, da T-Systems keine Möglichkeit besitzt, den Schlüssel wiederherzustellen oder ohne diesen Schlüssel auf die Daten zuzugreifen.

Der Zugriff auf die Daten in der Private Cloud erfolgt über eine klassische lokale Software-Installation von doculife, die einen vollen Funktionsumfang besitzt, über den Webrowser mit eingeschränkten Funktionen oder über mobile Apps für Smartphones und Tablets. Die Funktionsbeschränkung im Browser ist z.B. die nicht vorhandene E-Mail Integration. Die mobilen Apps sind derzeit noch im reinen Read-Only Modus.

Die Sicherheit bei der Übertragung der Daten vom Anwender in die Cloud wird unter Verwendung des Browsers via HTTPS (SSL) sichergestellt. Kommt die lokale doculife Software inkl. Outlook Integration zum Einsatz, wird eine End-to-End Verschlüsselung aufgebaut. Wird aus doculife heraus eine E-Mail inkl. Anhang über den De-Mail Dienst verschickt, ist laut T-Systems die End-to-End Verschlüsselung soweit sichergestellt, dass nur die De-Mail kurzzeitig auf den Servern geöffnet wird, der doculife Anhang aber weiterhin verschlüsselt bleibt.

Die Lösung kann in sechs verschiedenen Ausbaustufen, inkl. drei unterschiedlichen Beratungspaketen genutzt werden, dessen Preise in dieser Liste zu finden sind.

Kommentar: Ein Zeichen für alle Unternehmen

Technologisch betrachtet ist die Cloud in Deutschland angekommen. Viele Unternehmen haben bereits erkannt, wie sie damit ihre Produktivität erhöhen können und mehr Kapital, Zeit und Raum für Innovationen schaffen. Dennoch bestehen weiterhin rechtliche- und datenschutztechnische Bedenken sowie Probleme damit, das notwendige Vertrauen in die Anbieter aufzubauen. Die erste Person zu der in solchen Fällen in der Regel Kontakt aufgenommen wird ist der Rechtsanwalt. Dieser besänftigt dann mit Stichworten wie Auftragsdatenverarbeitung, Safe-Harbor, EU-Standardvertragsklauseln oder persönliche SLA-Verträge. Denn die rechtlichen Rahmenbedingungen sind soweit geschaffen. An Vertrauen fehlt es jedoch weiterhin. Das ist etwas sehr Subjektives, was auch kein Rechtsanwalt oder Datenschutzbeauftragter direkt vermitteln kann.

Das Vertrauen in die Cloud kann daher nur gestärkt werden, indem ebenfalls Nutzer mit höchst sensibel zu bewerteten Daten auf Cloud-Lösungen zurückgreifen. Diesen Schritt sind T-Systems und der davit nun gegangen und setzen damit ein deutliches Zeichen für alle Unternehmen, die noch Bedenken äußern u.a. personenbezogene Daten auf einem Cloud-Service zu speichern. Eines darf hier nicht übersehen werden. Anwälte und Notare arbeiten neben personenbezogene Daten ebenfalls mit weiteren äußerst sensiblen Daten, die meist noch kritischer zu betrachten sind. Darüber hinaus unterliegen sie noch strengeren Gesetzen als ein durchschnittliches Unternehmen. Genannt sei nur der § 203 StGB "Verletzung von Privatgeheimnissen", in dem geregelt ist, wie mit Verletzungen "... von namentlich ein zum persönlichen Lebensbereich gehörendes Geheimnis oder ein Betriebs- oder Geschäftsgeheimnis..." umgegangen wird. Oder die Anforderungen an den Beschlagnahmeschutz vertraulicher Informationen zwischen Anwälten und Mandanten. Anwälte und Notare gehören damit rechtlich als auch sicherheitstechnisch mit zu den gefährdetsten Gruppen in der Cloud, wofür die T-Systems und der davit nun eine Lösung geschaffen haben.

Ich war vor kurzem in einem Think Tank, wo es darum ging, wie man Cloud-Services für Anwälte und Steuerberater rechtskonform aber ebenfalls technisch und organisatorisch aufbauen sollte. Dabei waren auch einige Rechtsanwälte anwesend, die aus der Praxis berichteten und lieber heute als morgen auf Cloud-Lösungen zurückgreifen würden, um vor allem ortsunabhängig und zu jeder Zeit auf ihre Daten zugreifen zu können.

Auch andere Cloud-Anbieter sollten diesem Vorbild folgen und ein Maximum an rechtlicher Sicherheit bieten, wie zum Beispiel dem revisionssicheren Speichern und Archivieren von Daten. Ein weiterer Pluspunkt, den deutsche Anbieter ganz klar als Vorteil gegenüber internationalen Cloud-Anbietern ausspielen müssen, ist das anbieten echter(!) Cloud-Services aus einem deutschen Rechenzentrum, welches nach international anerkannten Sicherheitsstandards zertifiziert ist.



Die Cloud Computing Welt ist hybrid! Zeigt uns Dell wo es lang geht?

Dell hat sich mit einem klaren Schnitt aus der Public Cloud verabschiedet und richtet seine Cloud Computing Strategie nun mit eigenen auf OpenStack-basierten Private Cloud Lösungen, inkl. einem Cloud-Broker-Service für Public Clouds anderer Anbieter, aus. Dieser Schritt kommt im ersten Moment überraschend, macht aber Sinn, wenn man Dell, dessen jüngste Vergangenheit, aber vor allem den Markt genauer betrachtet.

Dells neue Cloud Strategie

Anstatt ein eigenes Public Cloud Angebot am Markt zu platzieren, wird Dell in Zukunft OpenStack-basierte Private Clouds auf Dell Hardware und Software verkaufen. Mit der erst kürzlich akquirierten Cloud-Management Technologie von Enstratius sollen Kunden darüber hinaus in der Lage sein, ihre Ressourcen zu mehr als 20 Public Cloud Anbieter zu verteilen.

Mit einem neuen "Partner Ecosystem", das derzeit aus drei Anbietern besteht, in Zukunft aber weiter ausgebaut wird, sollen Integrationsmöglichkeiten zwischen den Public Clouds dieser Partner und den Private Clouds der Dell Kunden angeboten werden. Zu dem aktuellen Partnernetzwerk gehören Joyent, ZeroLag und ScaleMatrix. Alle drei sind eher kleine Namen im Infrastructure-as-a-Service (IaaS) Markt.

Dell stärkt damit ebenfalls weiter sein Beratungsgeschäft, indem Kunden aufgezeigt werden soll, welche Workloads und Prozesse in die Public Cloud fließen können.

Enstratius macht Dell zum Cloud-Broker

Ein Blick auf den aktuellen IaaS Public Cloud Markt zeigt, dass Dell mit seiner Strategieänderung richtig liegt. Alle aktuellen IaaS Anbieter jeder Größe reiben sich im Kampf um Marktanteile gegen den Branchenprimus Amazon Web Services auf. Da sich deren Innovationskraft im Vergleich zu Amazon jedoch auf ein Minimum beschränkt und sich die meisten, mit Ausnahme von Google und Microsoft, auf das Bereitstellen von reinen Infrastruktur-Ressourcen (Rechnerleistung, Speicherplatz, usw.) beschränken, sind die Erfolgsaussichten eher gering. Auf einen Preiskampf mit Amazon sollten sich zudem die wenigsten einlassen, das kann sehr schnell nach hinten losgehen.

Anstatt sich ebenfalls mit Amazon und den anderen Public IaaS Anbietern in den Ring zu stellen, positioniert sich Dell nun auf Basis von Boomi, Enstratius und weiteren früheren Akquisitionen als unterstützende Kraft für Cloud Service Anbieter und IT-Abteilungen und versorgt diese mit Hardware, Software und weiteren Mehrwerten.

Insbesondere der Kauf von Enstratius war ein guter Schachzug und macht Dell zum Cloud-Service-Broker. Bei Enstratius handelt es sich um ein Toolset zur Verwaltung von Cloud-Infrastrukturen, darunter die Bereitstellung, die Verwaltung und die Automatisierung von Applikation für - aktuell 23 - Public und Private Cloud Lösungen. Zu erwähnen ist, dass Enstratius neben dem Verwalten von einer Cloud-Infrastruktur ebenfalls den Betrieb von Multi-Cloud Umgebungen ermöglicht. Dazu kann Enstratius als Software-as-a-Service genutzt, als auch in on-Premise Umgebungen im eigenen Rechenzentrum als Software installiert werden.

Die Cloud Computing Welt ist Hybrid

Steigt Dell mit diesem Strategiewechsel nun in die Reihe der Cloud-Innovatoren auf? Bei Weitem nicht! Dell ist alles andere als ein führender Anbieter im Cloud Markt. Die Trümpfe im Cloud-Portfolio sind einzig und allein auf Akquisitionen zurückzuführen. Unterm Strich spielt das aber keine Rolle. Um im mittlerweile stark umkämpften Public Cloud Markt ein Wörtchen mitreden zu können, hätten massive Investitionen getätigt werden müssen, die nicht zwangsläufig erfolgsversprechend gewesen wären. Dell hat verstanden sich auf seine altbewährten Stärken zu konzentrieren und die liegen in erster Linie im Verkauf von Hardware und Software, Stichwort "Converged Infrastructures" und dem Beratungsgeschäft. Mit dem Kauf des Cloud-Integrations-Service Boomi, der jüngsten Akquisition von Enstratius und der Beteiligung an der OpenStack Gemeinde wurde extern entsprechendes Wissen eingeholt, um sich im weltweiten Cloud Markt zu positionieren. Insbesondere die Enstratius Technologie wird Dell dabei helfen, sich im Markt zu diversifizieren und als Hybrid Cloud-Broker eine führende Rolle einzunehmen.

Die Cloud Welt ist nicht nur Public oder nur Private. Die Wahrheit liegt irgendwo mittendrin und hängt stark von dem jeweiligen Use Case eines Unternehmens ab, die sich in Public, Private aber auch Hybrid Cloud Use Cases unterteilen. In Zukunft werden innerhalb eines Unternehmens alle drei Varianten vertreten sein. Dabei muss die Private Cloud nicht zwangsläufig direkt mit einer Public Cloud verbunden sein, um eine Hybrid Cloud aufzuspannen. Die IT-Abteilungen werden in diesem Fall eine zentrale Rolle spielen, wieder stärker in den Fokus rücken und als unternehmenseigener IT-Service-Broker auftreten. In dieser Rolle haben sie die Aufgabe, die eingesetzten internen und externen Cloud-Services der jeweiligen Fachabteilungen zu koordinieren, um für das Unternehmen den Gesamtüberblick aller Cloud-Services zu haben. Hierbei werden sie Cloud-Broker Services wie der von Dell unterstützen.



Sicherheitsvergleich: TeamDrive vs. ownCloud

Dropbox polarisiert innerhalb der IT-Abteilungen. Vom Vorstand bis hin zum normalen Mitarbeiter greifen viele auf den beliebten Cloud-Storage Service zurück. Das liegt vor allem an der einfachen Nutzung, die von den internen IT-Abteilungen heute nicht so unkompliziert bereitgestellt wird. Hier greifen insbesondere zwei aus Deutschland heraus entwickelte Lösungen an, die es Unternehmen erlauben, eigene Dropbox ähnliche Funktionen innerhalb einer selbstverwalteten IT-Infrastruktur zu implementieren, TeamDrive und ownCloud. TeamDrive vertritt dabei einen vollständig kommerziellen und proprietären, ownCloud hingegen einen vermeintlichen Open-Source Ansatz, dem aber ebenfalls eine kommerzielle Version zu Grunde liegt. Beide beanspruchen für sich den Titel "Dropbox für Unternehmen". Bewegen wir uns allerdings genau in diesem Umfeld, spielt das Thema Sicherheit eine sehr wichtige Rolle.

Hintergrund zu TeamDrive und ownCloud

TeamDrive und ownCloud verfolgen zwei unterschiedliche Geschäftsmodelle. Wo sich TeamDrive als vollständig kommerzielles Produkt für Unternehmen am Markt positioniert, setzt ownCloud auf die Open-Source Community, um damit Marktanteile zu gewinnen. Mit einer kommerziellen Version adressiert ownCloud allerdings auch den Markt für professionelle Unternehmenslösungen.

Über TeamDrive

TeamDrive ist eine Filesharing und Synchronisations-Lösung für Unternehmen, die ihre sensiblen Daten nicht bei externen Cloud-Services speichern wollen und es ihren Teams zudem ermöglichen möchten, Daten oder Dokumente zu synchronisieren. Dazu überwacht TeamDrive beliebige Ordner auf einem PC oder Notebook, die man mit eingeladenen Anwendern gemeinsam nutzen und bearbeiten kann. Damit stehen Daten jederzeit, auch offline zur Verfügung. Eine automatische Synchronisation, Backups und Versionierung von Dokumenten schützen die Anwender vor Datenverlust. Mit der Möglichkeit die TeamDrive Registration- und Hosting-Server im eigenen Rechenzentrum zu betreiben, lässt sich TeamDrive in vorhandene IT-Infrastrukturen integrieren. Dafür stehen alle notwendigen APIs zur Verfügung.

Über ownCloud

ownCloud ist eine Open-Source Filesync- und –sharing-Lösung für Unternehmen und Organisationen, die ihre Daten weiterhin selbst unter Kontrolle behalten möchten und nicht auf externe Cloud-Storages zurückgreifen wollen. Der Kern der Anwendung besteht aus dem ownCloud Server über welchen sich die Software zusammen mit den ownCloud-Clients nahtlos in die existierende IT-Infrastruktur integriert und die Weiternutzung bereits vorhandener IT-Management-Tools ermöglicht. ownCloud dient als lokales Verzeichnis, bei dem unterschiedliche lokale Speicher gemountet werden. Dadurch stehen die entsprechenden Dateien allen Mitarbeitern auf allen Geräten zur Verfügung. Neben einem lokalen Storage können ebenfalls Verzeichnisse über NFS und CIFS angebunden werden.

TeamDrive und ownCloud: Die Sicherheitsarchitektur

In diesem Vergleich soll es um die Sicherheitsarchitektur hinter TeamDrive und ownCloud gehen. Der sonstige Funktionsumfang der beiden Lösungen wird nicht betrachtet. Es geht also um die Betrachtung der Verschlüsselungsverfahren, Datenhaltung, Datenverarbeitung und der Benutzerautorisierung, soweit Informationen zur Verfügung stehen. Dabei wird davon ausgegangen, dass grundlegende Kenntnisse zum Thema Sicherheit bekannt sind.

TeamDrive: End-to-End Verschlüsselung

TeamDrive ist trotz seines kommerziellen Ansatzes recht auskunftsfreudig und stellt einige Sicherheitsinformationen öffentlich zur Verfügung. Darunter zu dem Thema Verschlüsselung. Zudem wird mit dem Datenschutzsiegel des „Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein (ULD)“ geworben. Nach einer Anfrage wurden bereitwillig umfangreiche Informationen zur Verfügung gestellt, wobei einige jedoch einem NDA (Non-Disclosure Agreement) unterliegen.

Verschlüsselungsverfahren

TeamDrive setzt auf die folgenden Verschlüsselungsmechanismen:

  • Advanced Encryption Standard – AES 256
    Zur Verschlüsselung der Daten setzt TeamDrive auf das Advanced Encryption Standard (AES) Kryptosystem mit einem 256 Bit Schlüssel und verwendet die C Code Implementation der OpenSSL library.
  • Diffie-Hellman und RSA 3072
    Für den Schlüsselaustausch setzt TeamDrive bei seinen älteren Clients auf den Diffie-Hellman Algorithmus. Neue Clients hingegen verwenden RSA 3072. Die Diffie-Hellman Implementierung basiert dabei auf der C Code Implementation wie sie von der OpenSSL library zur Verfügung gestellt wird.
  • Message Digest 5/6 – MD5/MD6
    Der TeamDrive Hash-Funktionalität liegt der MD5 bzw. MD6 Algorithmus zu Grunde, wobei der Hashwert mit einer zufällig gewählten Zeichenfolge (Salt) gespeichert wird.
  • PrimeBase Privacy Guard – PBPG
    Der PrimeBase Privacy Guard (PBPG) ist ein proprietäres Public/Privat Schlüsselsystem, das auf dem Diffie-Hellman Schlüsselaustausch und der AES Verschlüsselung aufsetzt. Das Verhalten von PBPG für den Anwender gleicht dem bekannten Public/Privat Schlüsselsystemen von PGP oder GnuPG. Die PBPG-Verschlüsselung generiert zufällige Änderungen und verifiziert die Dateien während des Austauschs, damit PBPG erkennen kann, ob eine Nachricht oder ein Schlüssel manipuliert oder anderweitig verändert worden sind. Zwei Nachrichten sind dabei niemals gleich. Dabei wird nicht nur für jeden Benutzer ein Schlüsselpaar erzeugt, sondern ebenfalls für jede Installation. Die PBPG Implementierung ist offen und kann bei Bedarf von Partnern und anderen Interessierten überprüft werden.

Systemarchitektur

Daten werden bei TeamDrive in einem sogenannten Space gespeichert, auf dem eine festgelegte Anzahl von Nutzern Zugriff erhalten kann. Der Austausch findet über ein Space Depot statt, welches auf einem TeamDrive Hosting Server oder WebDAV liegen kann.

Jeder Space verfügt über seinen eigenen 256 Bit AES Schlüssel, der für die Verschlüsselung der Daten in diesem Space genutzt wird, wenn die Daten das Endgerät des Nutzers verlassen. Dabei hat nur die TeamDrive Software, welche auf dem Endgerät der anderen Nutzer eines Spaces installiert ist, Kenntnisse über den Schlüssel.

Jeder Server auf dem ein Space Depot zur Verfügung steht, ist für das Speichern, Weiterleiten und Anpassen von Veränderungen innerhalb des Depots verantwortlich. Damit können die Clients auch dann Daten austauschen, wenn nicht alle zur selben Zeit online sind. Alle Daten, die auf dem Server gespeichert sind, werden mit einem 256 Bit AES Schlüssel des Spaces verschlüsselt.

Benutzerautorisierung

Die Anmeldung eines Nutzers erfolgt über die TeamDrive Client-Software, die ihn gegen den TeamDrive Registrierungsserver überprüft. Das erfolgt grundsätzlich über die Eingabe einer E-Mail Adresse oder eines Benutzernamens und eines Passworts.

Die Autorisierung zwischen dem TeamDrive Client und dem Registrierungsserver erfolgt auf Basis des Public Key des Registrierungsserver. Informationen wie die E-Mail-Adresse und das Registrierungspasswort plus weitere Daten des Benutzers werden unter der Verwendung des Public Key des Registrierungsservers verschlüsselt an den Registrierungsservers übertragen.

Einzig der Aktivierungscode wird unverschlüsselt über eine ebenfalls unverschlüsselte E-Mail an den Nutzer verschickt. Zudem wird eine verschlüsselte Antwort mit der Device ID an den TeamDrive Client gesendet. Nach der Aktivierung durch den Nutzer generiert die Client-Software einen PBPG Key und einen passenden Public Key. Im Anschluss schickt die Client-Software das Registrierungspasswort und den Public Key verschlüsselt, unter Verwendung des Public Keys des Servers, an den Registrierungsserver zurück. Der Aktivierungscode wird verifiziert und der Public Key des Nutzers gespeichert. Alle im Anschluss folgenden Nachrichten, die an den Registrierungsserver geschickt werden, sind mit dem PBPG Public Key des Nutzers verschlüsselt und benötigen die Geräte-ID und das Registrierungspasswort zur Autorisierung.

Datenhaltung und Verarbeitung

Zum Erzeugen eines Space, benötigt der Benutzer ein Space Depot und dessen Passwort. Damit weiß der TeamDrive-Client, mit welchem Server er Kontakt aufnehmen muss, um den Space zu erzeugen. Anschließend fordert die Client-Software den Public Key des TeamDrive Hosting Servers an. Die Client Software sendet die Geräte-ID, die Space Depot ID, Benutzername, Benutzer-ID, den Public Key des Benutzers und den Namen des Spaces als verschlüsselte Nachricht an den TeamDrive Server. Die Nachricht wird mit dem Public Key des Servers verschlüsselt übertragen. Die Space Depot ID und das Passwort werden überprüft. Für die verschlüsselte Übertragung der Antwort wird der Public Key des Benutzers verwendet. Der TeamDrive Server erstellt einen neuen Space auf dem vorgegebenen Space Depot. Ein 128 Bit "Genehmigungscode" wird zufällig für den neuen Space erzeugt und an den Client zurückgesendet.

Für den Zugriff auf einen Space wird die entsprechende URL, ein Autorisierungscode und ein Space Datenschlüssel benötigt. In der URL ist die Adresse des Servers, über die das Space Depot mit dem Inhalt des Spaces angesprochen wird, sowie die Space ID, enthalten. Veränderungen in dem Space werden auf das Space Depot und in den Space hochgeladen bzw. heruntergeladen. Dabei werden HTTP PUT und POST Methoden verwendet. Bevor eine Datei den Client verlässt, wird diese komprimiert und mit dem 256-Bit AES Schlüssel verschlüsselt.

Um auf einen Space zuzugreifen, öffnet der TeamDrive Client eine Session mit dem Server. Darin wird zunächst die ID des Space, auf den der Zugriff stattfinden soll, übertragen. Der Server erzeugt nach erfolgreicher Prüfung eine neue Session ID mit einer 128-Bit Zufallszahl (RND) und sendet diese an den Client zurück, der hier lokal abgelegt wird. Für das Hochladen und Löschen von Daten verwendet der Client die RND und den Autorisierungscode des Space und verknüpft diese xor inkl. einer MD5 Operation auf dem Ergebnis. Das Ergebnis wird zusammen mit der Session ID und den verschlüsselten Daten an den Server geschickt.

Die Sicherheit eines Space Depot wird dadurch sichergestellt, dass nach jeder Anfrage ein zufälliger RND Wert zurückgesendet wird, die der Client jedes Mal für einen lokalen Wert neu berechnen muss. Zudem garantiert ein MD5 Hash, dass der Autorisierungscode des Space nicht abgeleitet werden kann. Auch dann wenn der RND und der lokale Wert auf der Client-Seite bekannt sind. Damit wird ebenfalls verhindert, dass ein Angreifer in eine Session eindringen kann, um Daten auf den Server hochzuladen.

Zusammenfassung

Die Datensicherheit in einem TeamDrive Space wird durch die Verschlüsselung der Daten mit einem 256-Bit AES Schlüssel sichergestellt. Dabei ist der Schlüssel nur den TeamDrive Clients bekannt die Mitglied eines Space sind. Anbieter von Storage-Services auf Basis von TeamDrive oder Systemadministratoren haben keinen Zugriff auf die Daten. Der Austausch der Space Autorisierungsschlüssel unter TeamDrive Nutzern erfolgt mit einem sicheren Public/Privat-Key Verfahren, welches selbst eine 256-Bit AES Verschlüsselung verwendet. Der Zugriff auf ein Space Depot bzw. einem Space wird mit einem 128-Bit Autorisierungscode geschützt. Mit dem Autorisierungscode wird verhindert, dass der Speicherplatz eines Space Depot bzw. eines Space von unautorisierten Dritten verwendet werden kann.

Neben der verschlüsselten Speicherung der Daten auf den Servern und den Clients, werden die Daten ebenfalls während der Übertragung immer komplett verschlüsselt, wodurch TeamDrive eine vollständige End-to-End Verschlüsselung der Daten gewährleistet.

Weiterhin ist zu erwähnen, dass TeamDrive von dem "Unabhängigen Landeszentrum für Datenschutz in Schleswig Holstein (ULD)" das Datenschutzgütesiegel erhalten hat. Die Prüfnummer lautet 2-3/2005. Darüber hinaus wurde TeamDrive im Mai 2013 von Gartner zum "Cool Vendor in Privacy" 2013 benannt.

ownCloud: Serverseitige Verschlüsselung

Bei ownCloud sucht man vergeblich nach öffentlichen Sicherheitsinformationen, die von ownCloud selbst zur Verfügung gestellt werden. Das verwundert ein wenig, da selbst in der ownCloud Community scheinbar viele offene Fragen [1], [2] hinsichtlich der Serverseitigen Verschlüsselung und der Verschlüsselung im Allgemeinen bestehen. Einzig ein Blog-Beitrag ist zu finden, in dem das grundsätzliche Verständnis von ownCloud zum Thema Sicherheit öffentlich dargestellt wird. Auf direkte Nachfrage bei ownCloud wurden jedoch anstandslos Fragen beantwortet und weitere Informationen zur Verfügung gestellt.

Verschlüsselungsverfahren

Für die Verschlüsselung der Daten setzt ownCloud 5.0 auf den Advanced Encryption Standard (AES) mit einem 256 Bit Schlüssel.

Der Sicherheitsblogger Pascal Junod hatte sich Anfang 2012 mit der Verschlüsselung von ownCloud 4.0 auseinandergesetzt. Die notwendigen Informationen sind in der OC_Crypt class zu finden. Junod hat in diesem Zusammenhang diese PHP Datei analysiert und entsprechende Informationen veröffentlicht. Demnach wird der Schlüssel in der mt_rand() PHP Routine generiert. Die den Mersenne Twister, einen Pseudozufallszahlengenerator, implementiert. Junod kommentiert, das es sich dabei nicht um eine kryptographisch gute Qualität handelt. Der generierte Schlüssel wird mit dem Benutzerpasswort in Verbindung mit dem symmetrischen Blockverschlüsselungsalgorithmus Blowfish im ECB Mode verschlüsselt und anschließend in der encryption.key gespeichert. Junod kommt zu der Schlussfolgerung, dass ein Angreifer im Besitz dieser Datei über die Brute-Force-Methode an das Passwort gelangen könnte. Er macht zudem darauf aufmerksam, dass dieser Schlüssel für die Verschlüsselung sämtlicher Daten eines Nutzers verwendet wird und dass die Daten serverseitig verschlüsselt werden. Er beschreibt weitere Möglichkeiten, um die encryption.key zu stehlen. So wird das Passwort, welches für die Verschlüsselung der Datei zuständig ist, in Klartext (einfaches HTTP) vom Client an den Server übertragen. Wird die Verbindung nicht mit HTTPS gesichert, ist jeder in der Lage die Kommunikation abzuhören und das Passwort zu stehlen und könnte somit auf den ownCloud Account und sämtliche Daten zugreifen. Weiterhin wird die encryption.key im Klartext in den Sitzungsdaten auf der Serverseite gespeichert. Die meiste Zeit im /tmp Verzeichnis. Das bedeutet, dass ein böswilliger ownCloud Serveradministrator in der Lage wäre, die Daten zu entschlüsseln. Zudem weißt Junod darauf hin, dass die Verschlüsselung serverseitig vorgenommen wird, wodurch ein Systemadministrator mutwillig die ownCloud Installation manipulieren könnte. Er empfiehlt daher ownCloud 4.0 niemals einzusetzen, um vertrauliche Informationen zu speichern.

ownCloud bestätigt in der Anfrage, dass ownCloud 5.0 selbst keine vollständig integrierte End-to-End Verschlüsselung in der Software implementiert hat. Dies kann jedoch mit Tools von Drittanbietern realisiert werden. Weiterhin wird Verschlüsselung "at rest" betrieben. Das bedeutet, dass die Daten physikalisch in verschlüsselter Form gespeichert werden. Die Verbindung zwischen den Endgeräten und dem Server wird mit SSL gesichert. Der Schlüsselaustausch erfolgt autorisiert über die Provisioning API. Ein umfangreiches Schlüsselmanagement soll in Zukunft folgen.

Systemarchitektur

ownCloud verfügt über ein Plugin für die serverseitige Verschlüsselung, mit der Administratoren die Daten verschlüsselt auf dem Server ablegen können. Nutzer erhalten Zugriff auf die Daten und können diese teilen, als seien sie unverschlüsselt. Das neue Plugin in ownCloud 5.0 ersetzt dabei die Sicherheitslücke in ownCloud 4.0, bei der ein böswilliger Systemadministrator die Sicherheitsarchitektur umgehen konnte, indem er Anpassungen am ownCloud Quellcode vornehmen konnte, um eine Backdoor oder einen Passwort Sniffer zu integrieren. Für die Verschlüsselung der Daten während der Übertragung vom Server zum Endgerät wird SSL verwendet. Das Passwort kann von einem Nutzer jederzeit geändert werden. Sämtliche Dateien werden anschließend mit dem neuen Passwort verschlüsselt.

Für eine serverseitige Sicherheit muss der Administrator die Verschlüsselungs-App in ownCloud der ownCloud Managementkonsole aktivieren und den Hacken „Verschlüsselung“ in der Admin-Oberfläche setzen. Anschließend wird ein Schlüsselpaar (Public/ Private) für alle Nutzer erstellt. Hierzu wird das Nutzerpasswort verwendet, um den privaten Schlüssel zu schützen. Darüber hinaus wird, für jede auf den Server hochgeladene Datei, ein symmetrisches Schlüsselpaar erstellt. Die von dem Nutzer hochgeladenen Daten werden mit dem symmetrischen Schlüssel verschlüsselt und gespeichert. Als Algorithmus wird der Advanced Encryption Standard (AES 256) verwendet. Der symmetrische Schlüssel wird mit dem privaten Schlüssel des Nutzers verschlüsselt und auf dem Server abgelegt. Werden die Daten von dem Server abgerufen, werden sie zunächst entschlüsselt und anschließend über eine SSL-Verbindung an den Client gesendet. Die Verschlüsselungsroutine verhält sich mit anderen, an ownCloud angebundenen Applikationen, wie der Web-Oberfläche, der Versionierung und dem Algorithmus für die Synchronisierung, exakt gleich. Ändert ein Nutzer sein Passwort, wird sein privater Schlüssel mit dem alten Passwort entschlüsselt und mit dem neuen Passwort erneut verschlüsselt.

Für den Nutzer gleicht eine auf den ownCloud Server hochgeladene und anschließend verschlüsselte Datei wie eine nicht verschlüsselte Datei. Die Verschlüsselung ist für ihn vollständig transparent. Wird eine Datei mit einem anderen Nutzer geteilt, werden die öffentlichen Schlüssel von jedem dieser Nutzer in der verschlüsselten Datei hinterlegt. Diese Nutzer können damit auf die Datei zugreifen und Änderungen an ihr vornehmen, als handelt es sich um eine unverschlüsselte Datei. Genauso verhält es sich mit einem Ordner. Nutzer können keine Dateien öffnen, die nicht für sie bestimmt sind. Sollte ein böswilliger Nutzer versuchen, Zugriff auf das Speicher-Backend zu nehmen, werden die Dateien und Schlüssel darin unlesbar.

Ist das entsprechende Plug-In aktiviert, ist ein Systemadministrator in der Lage, über die Kommandozeile, alle Dateien zu sehen, die auf ownCloud gespeichert sind. Allerdings sind die Inhalte der Dateien verschlüsselt. Es können weiterhin normale Backups vorgenommen werden, jedoch bleiben alle Dateien verschlüsselt. Selbst dann, wenn die Daten nach außerhalb des Systems kopiert werden. Ein Administrator kann zudem weitere Einstellungen vornehmen, um bestimmte Dateigrößen und -formate von der Verschlüsselung auszuschließen.

Zusammenfassung

Mit der Version 5.0 bietet ownCloud nun auch serverseitige Verschlüsselung der Daten an. Jedoch muss von einem Administrator dazu explizit ein Plug-In aktiviert werden, um Dateien mit AES 256 zu verschlüsseln. Verlässt eine Datei den ownCloud Server wird sie zunächst entschlüsselt und über eine SSL-Verbindung an den ownCloud-Client übertragen. Das bedeutet, dass eine vollständige End-to-End Verschlüsselung derzeit mit einfachen Bordmittel nicht zur Verfügung steht, was ownCloud selbst bestätigt.

Das ownCloud Encryption-Module wurde für den Einsatz innerhalb eines Unternehmens-Rechenzentrum, auf unternehmenseigenen Servern und unter der Verwaltung von vertrauensvollen Administratoren, entwickelt.

Empfehlung für das Management: TeamDrive vs. ownCloud

Der Vergleich von TeamDrive mit ownCloud stellt gewissermaßen auch einen kommerziellen einem Open-Source Ansatz gegenüber. Was hier jedoch ein wenig irritiert ist die Offenheit des kommerziellen Anbieters TeamDrive gegenüber ownCloud. Kommerzielle Anbieter werden oftmals kritisiert, wenig über ihre Sicherheitsarchitektur zu sprechen. In diesem Fall sehen wir genau das Gegenteil. Das mag bei ownCloud möglicherweise daran liegen, dass bisher nicht viel Sicherheit respektive Verschlüsselung implementiert war, über die man sprechen konnte. Erst mit der ownCloud Version 5.0 wurde ein Modul für die serverseitige Verschlüsselung implementiert. Dass allerdings Informations- aber insbesondere Sicherheitsbedarf besteht, zeigen die Fragen aus der ownCloud Community. Hier ist die ownCloud Community auch weiterhin gefordert, mehr öffentliche Informationen und Sicherheit einzufordern.

In diesem Zusammenhang macht der Inhalt des oben angesprochenen Blog-Artikels von ownCloud Sinn, der die grundlegende Sicherheitsphilosophie von ownCloud widerspiegelt. ownCloud sieht das Thema Verschlüsselung zwar als einen wichtigen Punkt an. Der Fokus sollte aber eher auf der Kontrolle der Daten liegen.

Sicherheit vs. Flexibilität

TeamDrive setzt auf einen vollständig integrierten Ansatz und bietet zudem eine End-to-End Verschlüsselung aller Daten, die vom Server zum Client des jeweiligen Endgeräts übertragen werden. Damit ermöglicht es TeamDrive trotz eines sehr hohen Anspruchs an das unbequeme Thema Sicherheit, die bequeme Nutzung eines Cloud-Storage Service. ownCloud entschlüsselt die Daten erst wenn diese vom Server geladen werden und überträgt sie in einer SSL-Verbindung. Die fehlenden Bordmittel zur End-to-End Verschlüsselung lassen sich mit externen Lösungen von Drittanbietern erreichen. Hier sollte jedoch bedacht werden, dass die Integration damit aufwändiger wird und ob ein Open-Source Ansatz speziell in diesem Fall noch Kostenvorteile bietet.

Verschwiegen werden darf nicht, dass ownCloud auf Grund seines Open-Source Ansatzes mehr Flexibilität bietet als TeamDrive und damit vollständig den eigenen Bedürfnissen nach an die eigene IT-Infrastruktur angepasst werden kann, wenn das erforderlich ist. Hinsichtlich der Sicherheit besteht bei ownCloud allerdings noch Nachholbedarf. Das hat zur Folge, dass die Lösung per se nicht den aktuellen Sicherheitsansprüchen von Unternehmen entspricht und daher nur bedingt zu empfehlen ist.

Am Ende muss die Entscheidung getroffen werden, ob ein Unternehmen einen kommerziellen und integrierten Ansatz inklusive Sicherheitsmechanismen anhand von Bordmittel erwartet oder eine Open-Source Software, für die weitere externe Sicherheitslösungen benötigt werden, die selbst zu integrieren sind. Wer eine All-in-One Lösung inklusive vollständiger End-to-End Verschlüsselung und damit gleichzeitig mehr Sicherheit sucht, sollte sich für TeamDrive entscheiden.



Google Compute Engine: Google ist offiziell im Spiel

Nun steigt auch Google offiziell in den Kampf um Marktanteile im Infrastrucuture-as-a-Services (IaaS) Bereich ein. Was seit einem Jahr nur einem ausgewählten Personen- bzw. Kundenkreis bestimmt war, hat das Unternehmen aus Mountain View jetzt im Rahmen der Google I/O 2013 der Allgemeinheit verfügbar gemacht. Die Rede ist von seinem Cloud Computing Angebot, der Google Compute Engine (GCE).

Neuigkeiten zur Google Compute Engine

Mit der Google App Engine, BigQuery und dem Google Cloud Storage hat Google seit 2008 sein Cloud Portfolio stetig ausgebaut. Was noch fehlte war eine Infrastructure-as-a-Service Lösung, mit der virtuelle Maschinen bei Bedarf genutzt werden können. Die Google Compute Engine (GCE) brachte Google zu seiner I/O 2012 in einer geschlossenen Beta auf den Markt, um virtuelle Maschinen (VM) mit dem Linux Betriebssystem auf der Google Infrastruktur, die auch von Google Mail und anderen Services eingesetzt wird, zu nutzen.

Zusammen mit der Google I/O 2013 hat die GCE nun auch den Status der allgemeinen Verfügbarkeit erreicht. Weiterhin hat Google einen Cloud Datastore, eine von Google vollständig verwaltete NoSQL Datenbank für nicht relationale Daten, veröffentlicht. Der von der GCE unabhängige Service bietet eine automatische Skalierbarkeit, ACID Transaktionen sowie SQL-artige Anfragen und Indizes. Weiterhin gibt es eine eingeschränkte Vorschau der Programmiersprache PHP für die App Engine. Damit will Google Entwickler und Nutzer von Open-Source Applikationen wie z.B. Wordpress ansprechen. Zudem wurde die Integration mit anderen Teilen der Cloud Plattform wie Google Cloud SQL und Cloud Storage verbessert. Darüber hinaus geht Google auf die Rückmeldung seiner Nutzer ein, dass es möglich sein sollte, Applikationen auf der App Engine einfacher modularisiert zu entwickeln. Als Reaktion darauf ist es nun möglich, Applikationen in einzelne Komponenten zu partitionieren. Jede mit ihrer eigenen skalierungs-, bereitstellungs-, versionierungs- und performance- Einstellung.

Weitere Neuigkeiten

Zu den weiteren größeren Ankündigungen gehören u.a. eine granularere Abrechnung, neue Instanz-Typen sowie eine ISO 27001 Zertifizierung:

  • Genauere Abrechnung: Jeder Instanz-Typ wird nun pro Minute abgerechnet, wobei 10 Minuten mindestens berechnet werden.
  • Neue Instanz-Typen: Es gibt nun neue Micro- und Small Instanz-Typen, die dafür gedacht sind, kostengünstig kleinere Workloads zu verarbeiten, die nur wenig Rechenleistung benötigen.
  • Mehr Speicherplatz: Die Größe der "Persistent Disks", die mit einer virtuellen Instanz verbunden werden können, wurden um bis zu 8.000 Prozent erweitert. Das bedeutet, dass nun eine Persistent Disk mit einer Größe von bis zu 10 Terabyte an eine virtuelle Maschine der Compute Engine angehängt werden kann.
  • Erweitertes Routing: Die Compute Engine unterstützt nun basierend auf dem eigenen SDN (Software-Defined Networking) Möglichkeiten für das Software-Defined Routing. Damit lassen sich Instanzen als Gateways und VPN-Server einsetzen und Applikationen so entwickeln, dass diese im eigenen lokalen Netzwerk als auch in der Google Cloud laufen.
  • ISO 27001 Zertifizierung: Die Compute Engine, App Engine und Cloud Storage wurden vollständig mit ISO 27001:2005 zertifiziert.

Entwickler: Google vs. Amazon vs. Microsoft

Zunächst, die größte Ankündigung für die Google Compute Engine (GCE) ist ihre allgemeine Verfügbarkeit. In den letzten Monaten wurde die GCE nach jeder Neuigkeit als DER Amazon Killer hochgehalten, obwohl sie sich noch in einer geschlossenen Beta befand und somit kein Vergleich auf Augenhöhe bestand. Die wirkliche Zeitrechnung beginnt jetzt.

Viele versprechen sich von der GCE, dass Google damit einen echten Konkurrenten zu den Amazon Web Services schafft. Fakt ist, das es sich bei der Google Compute Engine um ein IaaS Angebot handelt und Google auf Grund seines Kerngeschäfts über die Expertise, hochskalierbare Infrastrukturen aufzubauen und diese hochverfügbar zu betreiben, verfügt. Die Google App Engine zeigt darüber hinaus, dass Google es versteht, Entwickler anzusprechen, auch wenn sich der Markt hier mit zunehmend attraktiven Alternativen verengt.

Es fehlt die Diversifikation

Schauen wir uns die Compute Engine an, dann sehen wir Instanzen, Speicherplatz, sowie Services für das Speichern und Verarbeiten von strukturierten und unstrukturierten Daten (Big Query, Cloud SQL und Cloud Datastore). Wer Google unter diesen Gesichtspunkten daher als DEN Amazon Killer sieht, sollte seine Erwartungen erst einmal ein wenig herunterschrauben. Amazon hat ein sehr diversifiziertes Portfolio an Cloud Services, mit denen die Amazon Cloud Infrastruktur genutzt werden kann. Daran muss Google erst einmal anknüpfen, was sich allerdings nicht als all zu schwer erweisen dürfte, da viele Google Services bereits vorhanden sind. Ein Blick auf das Serviceangebot von Amazon AWS und der Google Cloud Platform ist aus diesem Grund lohnenswert.

Hybrid Betrieb für Applikationen

Google darf auf keinen Fall unterschätzt werden. Im Gegenteil, aus einem ersten Performance-Vergleich zwischen der Google Cloud Platform und Amazon AWS ging Google als Sieger hervor. Das liegt u.a. an den Technologien, die Google ständig verbessert sowie an seinem weltweiten hochperformanten Netzwerk. Was besonders auffällt, Google bietet nun die Möglichkeit, Applikationen für einen hybrid Betrieb, im eigenen Rechenzentrum und in der Google Cloud, zu entwickeln. Das ist ein unerwarteter Schritt, da bei Google bisher eher die Devise "Cloud only" lautete. Allerdings hat auch Google in letzter Zeit ähnlich wie Amazon mit technischen Ausfällen zu kämpfen gehabt, was nicht zur Stärkung des Vertrauens in Google beiträgt.

Ein Seitenhieb ist das neue Preismodell. Instanzen werden nun pro Minute (mindestens 10 Minuten Nutzung) abgerechnet. Amazon und auch Microsoft rechnen ihre Instanzen derzeit noch pro Stunde ab. Ob die Erweiterung der "Persistent Disks" auf bis zu 10 Terabyte zur Diversifikation beiträgt wird sich zeigen. Amazon gilt auch unter Entwicklern als der Vorreiter unter den IaaS Anbietern, was es für Google nicht einfacher machen wird in diesem Segment (Entwickler) ausreichend Marktanteile zu gewinnen. Außerdem darf Google davon ausgehen, dass neben den gewöhnlichen Nutzern, ebenfalls Entwickler keine Lust auf Googles "Service an/aus" Spielchen haben.

Amazon und Microsoft sind schon einen Schritt voraus

Wo Google mit seiner SaaS Lösung Google Apps seit geraumer Zeit massiv auch Unternehmenskunden angeht, richtet sich die Compute Engine in erster Linie an Entwickler. Amazon und Microsoft haben auch in diesem Kundensegment angefangen, aber längst damit begonnen, ihre Infrastrukturen respektive Plattformen für Unternehmenskunden attraktiver zu machen. Hier wird auf Google noch viel Arbeit zukommen, wenn dieses Kundensegment erschlossen werden soll, was zwangsläufig unumgänglich ist. Allerdings geht es in diesem Bereich um viel mehr als nur Technologien, sondern darum, Vertrauen zu schaffen und organisatorische Themen (Datenschutz, Verträge, SLA, usw.) für wertvoll zu erachten.

Googles Problem: Unbeständigkeit

Keine Frage, bei Google handelt es sich mit Abstand um das innovativste Unternehmen auf unserem Planeten. Aber gleichermaßen auch um das Unbeständigste und Datenhungrigste. Das werden auch Entwickler und speziell Unternehmen beobachtet haben und beide sollten sich die Frage stellen, wie Zukunftssicher das Google Cloud Portfolio überhaupt ist. Wird die Compute Engine ein Erfolg, braucht man sich keine Sorgen machen. Aber was ist, wenn sie für Google(!) zum Ladenhüter wird. Man erinnere sich an den Google Reader, dessen Nutzerzahlen für Google nicht mehr ausreichend genug waren. Hinzu kommt, dass die Compute Engine einen weiteren KPI hat, den Umsatz! Was macht Google, wenn dieser nicht mehr stimmen sollte?!



Business-Bricks-as-a-Service (BBaaS) – Geschäftsbausteine in der Cloud

Unternehmen und Entwickler stecken in einem Dilemma. Auf der einen Seite soll Cloud Computing den einfachen Zugriff auf IT-Ressourcen ermöglichen. Auf der anderen Seite wird aber gleichzeitig ein enormes Wissen an verteilter Programmierung vorausgesetzt, um Lösungen zu erschaffen, die gleichermaßen skalierbar und hochverfügbar sind. Insbesondere das Thema Eigenverantwortung für Skalierbarkeit und Hochverfügbarkeit der virtuellen Infrastruktur respektive der Web-Applikation, wird von den Cloud Anbietern weitestgehend unterschlagen. Das führt zu einer höheren Wissenskomplexität bei dem Weg in die Cloud und lässt die scheinbar einfache Nutzung von Cloud Services vermissen. Weiterhin fehlen der Cloud derzeit fertige Services, die einzelne Bausteine für ein konkretes Geschäftsszenario abbilden und einfach und unabhängig voneinander adaptiert werden können.