Das Cloud Desaster
Wie viele Anlässe zum Thema Cloud haben Sie in den letzten Jahren besucht? Wie viele Artikel zum Thema Cloud haben Sie gelesen? Wie viele Diskussionen zum Thema Cloud haben Sie geführt?
Wenn wir mal so ungefähr fünf bis acht Jahre in der Zeit zurückgehen, stellen wir fest, dass zu diesem Thema einiges passiert ist. Zumindest ist das in meiner Wahrnehmung so. War die Skepsis gegenüber Cloud-Services ursprünglich sehr hoch, gibt es heute kaum eine Firma, die nicht (zumindest teilweise) von Cloud-Services abhängig ist.
Die Argumentation für die strategische Nutzung von Cloud-Services wird zumindest im KMU-Umfeld auch immer einfacher. Die Abhängigkeit der Geschäftsprozesse von den IT-Services ist heute schon sehr hoch und steigt tendenziell (sofern das überhaupt noch möglich ist) weiter an. Die Komplexität der IT ist bereits heute enorm und steigt fast jeden Tag weiter an. Eine solch komplexe Infrastruktur selber und einigermassen nach gängigen Empfehlungen und Standards zu betreiben, ist für ein KMU kaum noch zu stemmen. Nur schon Personal zu finden, das über das notwendige Know-how verfügt, ist eine Herkules-Aufgabe. Viel einfacher ist es, sich darauf zu besinnen, dass IT ja nur ein Support-Prozess ist und die Kernaufgabe woanders liegt.
„Ist es keine Kernaufgabe solltest Du es outsourcen.“ „Andere sollten das zu ihrer Kernaufgabe machen und können es als Service für unsere Firma, wieder anbieten.“ So lautet eine weit verbreitete Lehrmeinung. Ich selbst stimme dieser Aussage zu. Damit meine ich nicht, dass es keine Ausnahmen gibt. Aber insgesamt glaube ich, dass es sinnvoll ist, sich auf Kernprozesse zu konzentrieren.
Warum dann der Aufwand für diesen Artikel, fragen Sie sich möglicherweise, denn damit könnte es doch abgeschlossen sein. Warum dieser reisserische Titel? Erlauben Sie mir einen Szenenwechsel, um auf diese berechtigte Frage zurückzukommen:
„Grossbrand zerstört Data Center in Strassburg“ titelte Computerworld.ch am 11. März 2021. Darin wird über einen verheerenden Brand in einem Data Center eines Cloud-Anbieters berichtet. Weiter heisst es in dem Artikel, dass es sich um ein Rechenzentrum des Anbieters OVH (einer der grössten Dienstleister in Europa) handelt. Am betroffenen Standort wurden zwei von vier Rechenzentren beschädigt. Eines davon ist unrettbar zerstört. Kehren Sie doch jetzt kurz in sich. Mal angenommen, es handelt sich um einen Teil Ihrer Infrastruktur, die bei einem Cloud-Anbieter betrieben wird. Sie haben bewusst einen grossen „Global Player“ gewählt und Sie hören, dass ein Rechenzentrum abgefackelt ist. Wie lange würde Sie das wirklich beschäftigen? Ist doch alles sicher, ist doch alles redundant, ist doch deren Problem… Ich erlaube mir aus dem erwähnten Artikel zu zitieren:
„Weil OVH aber einer der grössten Dienstleister Europas ist, hatte der Grossbrand weitreichende Auswirkungen. Viele Organisationen und Unternehmen in Frankreich, Belgien und auch Deutschland hatten Probleme mit ihren Websites und dem E-Mail-Verkehr.“ …
"Den betroffenen Kunden empfahl das Unternehmen im Anschluss, den «Desaster Recovery Plan» zu aktivieren."
Welchen Plan soll ich aktivieren…? Ich bin überzeugt, dass viele Kunden von OVH bei dieser Aussage ins Schwitzen kamen. Zumindest ist es das, was ich immer wieder erlebe. Die IT oder einzelne Prozesse oder Services werden ausgelagert und dann einfach vergessen. Im besten Fall gibt es ein vierzigseitiges SLA (Service Level Agreement), in dem von einer Verfügbarkeit von 99.99 Prozent und Tier 3 oder Tier 4 gesprochen wird. Zahlen wie 99.99 sind im ersten Moment so surrealistisch, dass wir sie nicht weiter hinterfragen. Vor allem vergessen wir aber uns selbst zu fragen: Und was ist, wenn diese 99.99 nicht eingehalten werden können?
Ich möchte an dieser Stelle einige Fragen formulieren, die Sie möglicherweise zum Nachdenken bringen:
- Angenommen, Sie hatten in dem RZ, das abgebrannt ist, Ihre eigene Hardware platziert. Weiter angenommen, der Dienstleister stellt Ihnen unmittelbar (innerhalb einer Stunde) ein neues Rack an einem Standort 100 KM entfernt zur Verfügung und kann damit sein SLA einhalten. Was nützt Ihnen das für die Verfügbarkeit Ihrer eigenen IT-Services?
- Angenommen, Sie beziehen Cloud-Services in der Form „Software as a Service“ (z.B. Microsoft Office aus der Cloud) und haben eine garantierte Verfügbarkeit von 99.9% (ca. 8h Ausfall pro Jahr). Was würde passieren wenn der Anbieter sein Versprechen (z.B. aufgrund eines massiven Software-Problems) nicht einhalten kann und Ihr Business-Prozess plötzlich mehrere Wochen still steht? Na gut, vielleicht erhalten Sie 20, 50 oder auch 80% der Lizenzgebühren zurück. Aber deckt das auch nur annähernd Ihren Schaden?
- Angenommen, Sie dürfen und können das Rechenzentrum, in welchem Ihre Geräte stehen, nicht mehr betreten, weil der Anbieter insolvent ist. Der Strom könnte jederzeit abgestellt werden… Was nützt Ihnen Ihr SLA und die darin festgehaltenen hohen Bussen bei Nichteinhaltung?
Das 3. Szenario ist vor kurzem ganz in der Nähe von unserem Firmen-Standort passiert. Eine grosse Hochschule musste sich aufgrund dessen genau die formulierte Frage stellen. https://www.inside-it.ch/de/post/exklusiv-ein-rz-anbieter-ist-konkurs-20201208
„Ist es keine Kernaufgabe solltest Du es outsourcen“… – Ist die IT vielleicht doch eine Kernaufgabe Ihres Unternehmens?
Sobald Ihre Kernprozesse wesentlich von IT-Services abhängig sind, ist IT aus meiner Sicht Kernaufgabe eines Unternehmens. Dennoch ist die aktuelle Cloudisierung aus meiner Sicht nicht per se falsch. Erlauben Sie mir ein letztes Mal auszuholen:
Jede Unternehmerin und jeder Unternehmer muss sich mit Finanzen befassen. Keine Firma mit mehreren Angestellten käme auf die Idee, den gesamten Finanzprozess auszulagern. Ok, vielleicht gibt es ein paar Mutige. Aber Sie werden mir vermutlich dennoch recht geben, dass das keine gute Idee ist. Beachten Sie, dass ich damit nicht die Buchhaltung meine. Die Buchhaltung können Sie gerne auslagern. Ich spreche viel mehr vom strategischen Finanzprozess.
Und genauso sehe ich es bei der IT: Sie können sehr wohl den operativen Betrieb auslagern und so viele Cloud-Services nutzen, wie nötig. Aber es ist ein kapitaler (und im schlimmsten Fall ein existenzbedrohender) Fehler zu glauben, damit sei es getan. Ich erachte es als essentiell, dass Ihr Unternehmen genau versteht, wo die Risiken sind und wie diese behandelt werden müssen.
Der strategische IT-Prozess und auch das strategische Risikomanagement für die IT inkl. Notfallplanung bleibt damit immer in der Verantwortung der eigenen Unternehmung.
Mit diesem Mindset werden Sie SLAs nicht einfach als gegeben hinnehmen. Sie müssen sich hinterfragen, was ist, wenn das SLA nicht eingehalten wird. Was tun wir dann? Nur schon die frühzeitige Bearbeitung dieser Frage kann für die vom Grossbrand betroffenen Kunden über sein oder nicht sein entscheiden.
Lassen Sie es nicht darauf ankommen. Gerne können Sie operative Tätigkeiten auslagern. Solange aber Ihre Kernprozesse von IT-Services abhängig sind, ist es ratsam, die Zügel weiterhin selbst in der Hand zu halten.
Informationen zum Autor: Sandro Müller
Seit 2007 bin ich als IT-Security Auditor für die Firma goSecurity tätig. Dadurch habe ich viel Erfahrung aus zahlreichen Audits, Penetration Tests und Beratungen. Eine besondere Spezialität sind meine auf die jeweiligen Kunden perfekt zugeschnittenen Konzepte und IT-Strategien. Mit grosser Leidenschaft denke ich mich dazu in die Geschäftsprozesse der jeweiligen Kunden ein. Am 1. Mai 2017 durfte ich die Geschäftsführung der Firma übernehmen. In dieser verantwortungsvollen Position führe ich das beste Security-Team der Welt. Zudem gebe ich gerne mein Wissen und meine Erfahrung weiter. Zum Beispiel bei einem Awarenesstraining, aber auch beim Kurs Information Security for CIO (IS4CIO). Täglich gebe ich mein Bestes für Sie als Kunden, für meine Mitarbeiter und für meine Firma.