Erhalten Sie Zugang zu diesem und mehr als 300000 Büchern ab EUR 5,99 monatlich.
Unternehmen, die Cloud-Computing-Angebote von Hyperscalern wie Amazon Web Services (AWS), Google und Microsoft nutzen, sehen sich durch die Anforderungen der Datenschutz-Grundverordnung (DSGVO) mit vielen Fragen konfrontiert. Dieser verständliche Praxisleitfaden erläutert die wichtigsten Rechtsgrundlagen und führt in die relevanten rechtlichen Aspekte ein.
Unterstützt durch verständliche Erläuterungen, FAQs, Checklisten, Infografiken und zahlreiche Hinweisboxen erwerben Entscheider:innen sowie Datenschutzbeauftragte das erforderliche Problembewusstsein und Wissen. Die erläuterten Aspekte lassen sich auch auf Clouds zahlreicher anderer Anbieter übertragen.
Themen dieses Buchs sind u.a.:
Der Praxisleitfaden beschreibt die rechtlichen Fragen und typischen Probleme im Zusammenhang mit der Nutzung der von Cloud-Providern bereitgestellten Anwendungen im Allgemeinen wie beispielsweise Auswahl, Vorbereitung und konkrete rechtliche Umsetzung einer Auslagerung von Daten und Prozessen in eine Cloud, aber auch Fragen eines Exits, wie eine Datenmigration. Er geht aber auch ganz konkret auf einzelne Anwendungen ein und unterstützt hierzu mit konkreten Empfehlungen und Checklisten. Es werden keine Vorkenntnisse im Datenschutz oder in Bezug auf Cloud-Anwendungen vorausgesetzt.
Sie lesen das E-Book in den Legimi-Apps auf:
Seitenzahl: 461
Das E-Book (TTS) können Sie hören im Abo „Legimi Premium” in Legimi-Apps auf:
Coypright und Urheberrechte:
Die durch die dpunkt.verlag GmbH vertriebenen digitalen Inhalte sind urheberrechtlich geschützt. Der Nutzer verpflichtet sich, die Urheberrechte anzuerkennen und einzuhalten. Es werden keine Urheber-, Nutzungs- und sonstigen Schutzrechte an den Inhalten auf den Nutzer übertragen. Der Nutzer ist nur berechtigt, den abgerufenen Inhalt zu eigenen Zwecken zu nutzen. Er ist nicht berechtigt, den Inhalt im Internet, in Intranets, in Extranets oder sonst wie Dritten zur Verwertung zur Verfügung zu stellen. Eine öffentliche Wiedergabe oder sonstige Weiterveröffentlichung und eine gewerbliche Vervielfältigung der Inhalte wird ausdrücklich ausgeschlossen. Der Nutzer darf Urheberrechtsvermerke, Markenzeichen und andere Rechtsvorbehalte im abgerufenen Inhalt nicht entfernen.
Amazon Web Services, Google, Microsoft & Clouds anderer Anbieter in der Praxis
Thorsten Hennrich
Thorsten Hennrich, [email protected]
Lektorat: Ariane Hesse
Lektoratsassistenz: Anja Weimer
Korrektorat: Sibylle Feldmann, www.richtiger-text.de
Satz: III-satz, www.drei-satz.de
Herstellung: Stefanie Weidner
Umschlaggestaltung: Karen Montgomery, Michael Oréal, www.oreal.de
Abbildungen: Kate Dullea, Michael Oréal, die Abbildungen werden mit Einwilligung von O’Reilly Media, Inc. verwendet.
Bibliografische Information der Deutschen Nationalbibliothek
Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie; detaillierte bibliografische Daten sind im Internet über http://dnb.d-nb.de abrufbar.
ISBN:
Print 978-3-96009-113-4
PDF 978-3-96010-315-8
ePub 978-3-96010-316-5
mobi 978-3-96010-317-2
1. Auflage 2023
Copyright © 2023 dpunkt.verlag GmbH
Wieblinger Weg 17
69123 Heidelberg
Dieses Buch erscheint in Kooperation mit O’Reilly Media, Inc. unter dem Imprint »O’REILLY«.O’REILLY ist ein Markenzeichen und eine eingetragene Marke von O’Reilly Media, Inc. und wird mit Einwilligung des Eigentümers verwendet.
Hinweis:Dieses Buch wurde auf PEFC-zertifiziertem Papier aus nachhaltiger Waldwirtschaft gedruckt. Der Umwelt zuliebe verzichten wir zusätzlich auf die Einschweißfolie.
Schreiben Sie uns:
Falls Sie Anregungen, Wünsche und Kommentare haben, lassen Sie es uns wissen: [email protected].
Die vorliegende Publikation ist urheberrechtlich geschützt. Alle Rechte vorbehalten. Die Verwendung der Texte und Abbildungen, auch auszugsweise, ist ohne die schriftliche Zustimmung des Verlags urheberrechtswidrig und daher strafbar. Dies gilt insbesondere für die Vervielfältigung, Übersetzung oder die Verwendung in elektronischen Systemen.
Es wird darauf hingewiesen, dass die im Buch verwendeten Soft- und Hardware-Bezeichnungen sowie Markennamen und Produktbezeichnungen der jeweiligen Firmen im Allgemeinen warenzeichen-, marken- oder patentrechtlichem Schutz unterliegen.
Alle Angaben in diesem Buch wurden mit größter Sorgfalt kontrolliert. Weder Autor noch Verlag können jedoch für Schäden haftbar gemacht werden, die in Zusammenhang mit der Verwendung dieses Buches stehen.
5 4 3 2 1 0
Vorwort
1 Einleitung
1.1 Cloud Computing und Datenschutz im Spannungsfeld
1.2 Cloud Computing: flexible Nutzung von IT
1.3 Datenschutz, Datensicherheit und Compliance
2 Cloud Computing: Einführung, Basics und wichtigste Begriffe
2.1 Cumulus oder Stratus: Was ist Cloud Computing?
2.2 Begriffsklärung und begriffliche Entwicklung
2.2.1 Die »NIST Definition of Cloud Computing«
2.2.2 Definition des BSI
2.2.3 Wie Cloud Computing in diesem Buch verstanden wird
2.3 Technische Grundlagen »in a Nutshell«
2.3.1 Technische Rahmenbedingungen
2.3.2 Basistechnologien
2.4 Cloud-Service-Modelle
2.4.1 Infrastructure as a Service (IaaS)
2.4.2 Platform as a Service (PaaS)
2.4.3 Software as a Service (SaaS)
2.5 Cloud-Bereitstellungsformen
2.5.1 Public Cloud
2.5.2 Private Cloud
2.5.3 Hybrid Cloud
2.5.4 Multi Cloud
2.5.5 Community Cloud
2.6 Begriffsvielfalt und weitere Unterscheidungen
2.7 AWS, Google und Microsoft – Kurzporträts und Standorte der jeweiligen Cloud-Infrastrukturen
2.7.1 Amazon Web Services (AWS)
2.7.2 Google Cloud Platform (GCP)
2.7.3 Microsoft Azure und Microsoft 365
3 Datenschutz nach der DSGVO: Einführung und wichtigste Basics für die Cloud-Computing-Praxis
3.1 Datenschutz und informationelle Selbstbestimmung
3.2 Datenschutzreform
3.3 Cloud Computing und die Datenschutzreform
3.4 Warum ist der Datenschutz im Cloud Computing und in einer digitalen Welt so wichtig?
3.5 DSGVO-Basics im Cloud Computing: zentrale Begriffe und Grundprinzipien des »Daten-Schutz-Rechts«
3.5.1 »Daten« – Verarbeitung personenbezogener Daten
3.5.2 »Schutz« – Verbot mit Erlaubnisvorbehalt
3.5.3 »Recht« – Rechtmäßigkeit der Datenverarbeitung
3.5.4 Die wichtigsten Akteure im Datenschutz
3.5.5 Die Landkarte des Datenschutzes
3.5.6 Aufbau der DSGVO
4 Wann ist die DSGVO im Cloud Computing überhaupt anzuwenden?
4.1 Sachlicher Anwendungsbereich: Werden personenbezogene Daten verarbeitet?
4.1.1 Personenbezogene Daten
4.1.2 Verarbeitung
4.1.3 Ganz oder teilweise automatisierte Verarbeitung
4.1.4 Keine Ausnahme (z. B. für private Zwecke)
4.2 Räumlicher Anwendungsbereich: Wo und durch wen werden die Daten verarbeitet?
4.2.1 Verarbeitung durch eine Niederlassung in der EU (Niederlassungsprinzip)
4.2.2 Verarbeitung durch eine Niederlassung außerhalb der EU (Marktortprinzip)
4.3 Andere Rechtsgebiete
4.4 FAQs
4.5 Checkliste zum Anwendungsbereich der DSGVO
5 Wann ist die Datenverarbeitung erlaubt? – Zulässigkeit (1. Stufe): Erlaubnistatbestände als Rechtsgrundlage
5.1 Datenverarbeitung auf Basis einer Einwilligung (Art. 6 Abs. 1 lit. a DSGVO)
5.2 Datenverarbeitung zur Erfüllung eines Vertrags (Art. 6 Abs. 1 lit. b DSGVO)
5.3 Datenverarbeitung zur Erfüllung einer rechtlichen Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO)
5.4 Datenverarbeitung zum Schutz lebenswichtiger Interessen (Art. 6 Abs. 1 lit. d DSGVO)
5.5 Datenverarbeitung zur Wahrnehmung einer im öffentlichen Interesse liegenden Aufgabe und zur Ausübung öffentlicher Gewalt (Art. 6 Abs. 1 lit. e DSGVO)
5.6 Datenverarbeitung zur Wahrung berechtigter Interessen (Art. 6 Abs. 1 lit. f DSGVO)
5.7 Verarbeitung besonderer Kategorien personenbezogener Daten (Art. 9 DSGVO; »besonders sensible Daten«)
5.8 Bereichsspezifischer Datenschutz
5.9 FAQs
5.10 Checkliste
6 Auftragsverarbeitung
6.1 Hohe Praxisrelevanz im Cloud Computing
6.2 Definition der Auftragsverarbeitung und kennzeichnendes Privileg
6.3 Verarbeitung »im Auftrag« – Beispiele und Erscheinungsformen der Auftragsverarbeitung in der Praxis
6.3.1 Typische Beispiele für eine Auftragsverarbeitung
6.3.2 Keine Auftragsverarbeitung
6.3.3 Colocation als besondere Fallgestaltung im Rechenzentrumsumfeld
6.4 Beteiligte der Auftragsverarbeitung
6.5 Voraussetzungen der Auftragsverarbeitung
6.5.1 Sorgfältige Auswahl
6.5.2 Abschluss eines AV-Vertrags
6.5.3 Praxisprobleme bei Standardverträgen
6.6 Einsatz von Unterauftragsverarbeitern (den sogenannten Subunternehmern)
6.6.1 Genehmigung der Subunternehmer durch den Verantwortlichen
6.6.2 Weiterreichung der Datenschutzpflichten an den Subunternehmer
6.7 Auftragsverarbeitung im Ausland
6.7.1 Auftragsverarbeitung innerhalb von EU und EWR
6.7.2 Internationale Auftragsverarbeitung in Drittländern außerhalb von EU und EWR
6.8 Besonderheiten in regulierten Märkten
6.9 FAQs
6.10 Checkliste: Auftragsverarbeitung/AV-Vertrag
7 Gemeinsame Verantwortlichkeit (Joint Control)
7.1 Gemeinsame Verantwortlichkeit zwischen den an der Datenverarbeitung Beteiligten
7.2 Gemeinsame Verantwortlichkeit am Beispiel von Microsoft 365 und Google Analytics
7.3 FAQs
7.4 Checkliste
8 Allgemeine Grundsätze für die Verarbeitung personenbezogener Daten
8.1 Rechtmäßigkeit
8.2 Verarbeitung nach Treu und Glauben
8.3 Transparenz
8.4 Zweckbindung
8.5 Datenminimierung
8.6 Richtigkeit
8.7 Speicherbegrenzung
8.8 Integrität und Vertraulichkeit
8.9 Rechenschaftspflicht
8.10 FAQs
8.11 Checkliste
9 Verarbeitungsverzeichnis
9.1 Pflicht zur Verzeichniserstellung
9.2 Verarbeitungstätigkeiten
9.3 Führung des Verarbeitungsverzeichnisses
9.3.1 Verarbeitungsverzeichnis des Verantwortlichen
9.3.2 Verarbeitungsverzeichnis der gemeinsam Verantwortlichen (Joint Controller)
9.3.3 Verarbeitungsverzeichnisse des Auftragsverarbeiters
9.4 FAQs
9.5 Checkliste
10 Datensicherheit
10.1 Klassische Schutzziele der Datensicherheit
10.2 Rechtsgrundlagen der Datensicherheit
10.2.1 Datensicherheit in der DSGVO
10.2.2 Datensicherheit außerhalb der DSGVO
10.3 Typische Gefährdungslage im Cloud Computing und Leitfaden für Datensicherheitsaspekte
10.4 Implementierung technischer und organisatorischer Maßnahmen in der IT-Sicherheitsarchitektur
10.4.1 Infrastruktur- und Rechenzentrumsebene (Gelände und Gebäude)
10.4.2 IT-System- und -Virtualisierungsebene
10.4.3 Netzwerkebene
10.4.4 Software-/Anwendungsebene
10.4.5 Ebenenübergreifende Aspekte
10.4.6 Weitere Vertiefung
10.5 Cloud-Zertifizierungen
10.5.1 BSI-C5-Kriterienkatalog
10.5.2 ISO/IEC 27001 (einschließlich ISO/IEC 27017 und 27018)
10.5.3 ISO 9001
10.5.4 BSI-IT-Grundschutz und BSI-Standards
10.5.5 Cloud Security Alliance
10.5.6 EuroCloud Star Audit
10.5.7 Trusted Cloud
10.5.8 Datenschutzzertifizierungen nach der DSGVO
10.5.9 Andere Zertifizierungsverfahren
10.6 Notfallmanagement: Vorbereitung auf den Ernstfall
10.7 FAQs
10.8 Checkliste für einen IT-Sicherheitsvorfall
11 Datenschutz-Folgenabschätzung
11.1 Wann ist eine DSFA verpflichtend durchzuführen?
11.2 Wie ist eine DSFA durchzuführen, und was sind deren Inhalte?
11.3 Praxisbeispiel: Microsoft 365
11.4 FAQs
11.5 Checkliste
12 Wann dürfen Daten in Länder außerhalb der EU übermittelt werden? – Zulässigkeit (2. Stufe): Internationale Datentransfers
12.1 Übermittlung in Drittländer
12.1.1 Übermittlung
12.1.2 Drittland
12.1.3 Internationale Datentransfers im Cloud Computing
12.2 Voraussetzungen für internationale Datentransfers in ein Drittland
12.3 Das angemessene Datenschutzniveau
12.4 Angemessenheitsbeschlüsse der EU-Kommission
12.5 Sonderregelungen für transatlantische Datentransfers in die USA
12.5.1 Safe Harbor und Schrems-I-Urteil
12.5.2 EU-U.S. Privacy Shield, Schrems-II-Urteil und seine Folgen
12.5.3 Trans-Atlantic Data Privacy and Security Framework
12.6 Datenübermittlungen auf Grundlage geeigneter Garantien
12.6.1 Verbindliche interne Datenschutzvorschriften (Binding Corporate Rules)
12.6.2 Standardvertragsklauseln (SCC)
12.6.3 Weitere geeignete Garantien
12.6.4 Ausnahmen nach Art. 49 DSGVO
12.7 FAQs
12.8 Checkliste
13 Datenzugriff durch Behörden nach dem Recht der USA
13.1 Nachrichtendienstliche Überwachung
13.2 Herausgabe von Daten als Beweismittel im Rahmen strafrechtlicher Ermittlungen: der CLOUD Act
13.2.1 Der CLOUD Act im Überblick
13.2.2 Microsoft Corp. v. United States: ein Rechtsstreit über die Herausgabe von Daten aus Irland als Anlass für den CLOUD Act
13.2.3 Rechtskonflikt mit der DSGVO
13.3 Typische Praxiskonstellationen und Handlungsempfehlungen für Unternehmen in der EU
13.3.1 Datenverarbeitung bei Cloud-Anbietern in der EU mit Sitz in den USA bzw. mit US-Muttergesellschaft
13.3.2 Datenverarbeitung bei Cloud-Anbietern in der EU mit US-Tochtergesellschaft
13.3.3 Handlungsempfehlungen
13.4 FAQs
13.5 Checklisten
13.5.1 Wie sicher sind meine Daten vor dem CLOUD Act?
13.5.2 Worauf habe ich zu achten, wenn ich eine datenschutzfreundliche Lösung in der EU umsetzen möchte?
13.5.3 Ich möchte Leistungen eines US-Hyperscalers nutzen. Wie begegne ich einem bestehenden behördlichen Zugriffsrisiko nach dem CLOUD Act oder einem anderen US-Gesetz?
14 Rechte der Betroffenen
14.1 Recht auf Information
14.2 Recht auf Auskunft
14.2.1 Was ist das Auskunftsrecht?
14.2.2 Form und Frist der Auskunftserteilung
15 Aufsichtsbehörden
15.1 Datenschutzaufsicht in Deutschland
15.2 Aufsichtsbehörden in anderen EU-Mitgliedstaaten
15.3 Europäische Ebene
16 Datenschutzbeauftragter
16.1 Pflicht zur Bestellung
16.2 Interner oder externer Datenschutzbeauftragter?
16.3 Datenschutzkoordinator
16.4 FAQs
16.5 Checkliste zur Bestellung eines Datenschutzbeauftragten
17 Umgang mit Datenschutzverletzungen
17.1 Dokumentations-, Melde- und Benachrichtigungspflichten im Fall einer Datenschutzverletzung
17.2 Notfallmanagement: Vorbereitung auf den Ernstfall und Erstellung von Notfallplänen
17.3 FAQs
17.4 Checkliste bei einer Datenschutzverletzung
18 Bußgelder, Sanktionen und Haftung: Welche Strafen drohen bei einem Verstoß gegen die DSGVO?
18.1 Bußgelder
18.2 Sanktionen
18.3 Schadensersatz und Haftung
19 Besonderheiten regulierter Märkte
19.1 Cloud Computing in der öffentlichen Verwaltung
19.2 Berufsgeheimnisträger (wie Rechtsanwälte, Steuerberater, Ärzte)
19.3 Finanzsektor (Kredit- und Finanzdienstleister, Zahlungsinstitute)
19.4 Versicherungen
20 Handlungsempfehlungen für ein datenschutzkonformes Cloud Computing (im Lifecycle einer Cloud-Nutzung)
20.1 Marktanalyse
20.2 Auswahlentscheidung
20.2.1 Kommerzielle und technische Aspekte
20.2.2 Datenschutz
20.2.3 Weitere Aspekte im Rahmen der Auswahlentscheidung
20.3 Vertragsabschluss mit dem Cloud-Anbieter
20.4 Vertragsabschluss mit einem Reseller
20.5 Betriebsphase – was ist während der Cloud-Nutzung zu beachten?
20.6 Ende der Cloud-Nutzung (Exit bzw. Migration)
21 Bekannte Cloud-Anbieter im Check – worauf ist zu achten?
21.1 Amazon Web Services (AWS)
21.1.1 AWS-Vertragsbedingungen
21.1.2 Datenschutz
21.2 Google Cloud Platform (GCP)
21.2.1 Google-Vertragsbedingungen
21.2.2 Datenschutz
21.3 Microsoft
21.3.1 Microsoft-Vertragsbedingungen
21.3.2 Datenschutz
Anhang A Glossar
Anhang B Literaturverzeichnis
Index
Die Datenschutz-Grundverordnung (DSGVO) ist im Cloud Computing gerade in den letzten Jahren ein immer wichtigeres Thema geworden. Zahlreiche Cloud-Anbieter haben entsprechend reagiert und bewerben ihre Leistungen mittlerweile aktiv mit Datenschutzaspekten und einer »DSGVO-Compliance«. Doch worum geht es bei diesem Thema, und was gilt es hierbei insbesondere bei der Nutzung von Hyperscalern wie Amazon Web Services (AWS), Google und Microsoft zu beachten?
Als verständlicher Praxisleitfaden soll das vorliegende Buch eine schnelle Orientierung zu Fragen des Datenschutzes im Cloud Computing ermöglichen. Das Buch fokussiert hierfür auf die typischen Praxisfragen im geschäftlichen Bereich. Es soll daher bewusst keine allgemeine und technologieneutrale Einführung in das Thema Datenschutz sein (hierzu gibt es zahlreiche Fachliteratur). Neben den Grundlagen des Datenschutzes stehen vor allem diejenigen Aspekte im Fokus, die sich typischerweise bei der Nutzung von Hyperscalern wie AWS, Google und Microsoft ergeben und die sich auf die Clouds zahlreicher anderer Cloud-Anbieter entsprechend übertragen lassen.
Die Leserinnen und Leser sollen hierbei im Lifecycle einer Cloud-Nutzung (von der Anbieterauswahl und dem Abschluss von Auftragsverarbeitungsverträgen, Standardvertragsklauseln und dem richtigen Umgang mit Themen wie dem CLOUD Act über die Nutzungs- und Betriebsphase bis hin zu einem Anbieterwechsel und Aspekten einer Migration) effektiv mit Frequently Asked Questions (FAQs), Checklisten, Infografiken und weiteren Hinweisboxen dabei unterstützt werden, ihren Datenschutzpflichten nachzukommen und die richtigen Entscheidungen zu treffen. Denn bei Datenschutzverstößen sieht die DSGVO Bußgelder, Sanktionen und weitere Haftungsfolgen vor.
Das Buch richtet sich sowohl an IT-Entscheiderinnen und -Entscheider (wie Geschäftsführer, technische Leiter, Produktverantwortliche, Einkäufer) als auch an Projektmanager, Datenschutzbeauftragte, Compliance-Verantwortliche und alle sonstigen Personen in einem Unternehmen, die nicht nur die technischen und wirtschaftlichen Potenziale eines Cloud-Service nutzen wollen, sondern diesen auch datenschutzkonform einsetzen möchten. Diese Zielgruppe wird ohne Vorkenntnisse sowohl im Datenschutzrecht als auch in Bezug auf das Cloud Computing »abgeholt«. Sie soll sich mit diesem Buch den typischen Praxisfragen, die so einfach wie möglich erläutert werden, nähern und sich damit in die wichtigsten Zusammenhänge und Rechtsgrundlagen für die Datenverarbeitung schnell einarbeiten können. Eine damit einhergehende Vereinfachung ist gewollt. Rechtswissenschaftliche Umschweife bleibt den Leserinnen und Lesern (soweit möglich) erspart.
Als Autor dieses Werks und technikaffiner Jurist sind mir »beide Welten« – rechtlich und technisch bestens bekannt. Zum einen als Rechtsanwalt im IT-und Datenschutzrecht, als Leiter der Rechtsabteilung eines Cloud-Anbieters sowie als langjähriger Geschäftsführer eines Cloud- und IT-Infrastruktur-Anbieters mit Rechenzentren in Frankfurt am Main und Amsterdam. In diesem Buch finden sich insgesamt über 20 Jahre umfassende Praxiserfahrung mit allen Aspekten und Rechtsfragen im Cloud Computing und IT-Outsourcing sowie mit IT- Betriebsszenarien an den größten Datennetzknoten der Welt wieder.
Anzumerken ist, dass das vorliegende Buch über die Vermittlung einer ersten Orientierung und eines Problembewusstseins im Datenschutz keine auf den Einzelfall bezogene weitergehende Beratung durch einen spezialisierten Rechtsanwalt ersetzen kann.
Ein großer Dank gebührt meinem Bruder Matthias Hennrich für seinen technischen Input durch sein langjähriges und großes Know-how im Bereich zahlreicher Cloud-Technologien. Für Ihre Geduld, Zeit und Beratung danke ich Nicole Lehmberg und meinen Eltern Hiltrud und Lothar Hennrich sowie meinem Bruder Dr. Stephan Hennrich. Ganz besonderer Dank gilt meiner Lektorin Ariane Hesse für die ausgezeichnete Betreuung dieses Buchs.
Über Feedback zu diesem Buch, Anregungen und Vorschläge für eine neue Auflage sowie Rückfragen zum Inhalt freue ich mich. Schreiben Sie mir bitte einfach eine E-Mail an: [email protected].
Frankfurt am Main, im September 2022
Dr. Thorsten Hennrich
Amazon Web Services (AWS), Google und Microsoft gelten gegenwärtig als die beliebtesten und marktführenden Cloud-Anbieter. Die drei US-amerikanischen Unternehmen, die aufgrund der massiven Skalierbarkeit ihrer global verteilten Ressourcen auch als Hyperscaler bezeichnet werden, dominieren seit über einem Jahrzehnt den weiterhin rasant wachsenden und äußerst dynamischen Cloud-Markt. Sie sind bei vielen Nutzern erste Wahl, wenn es um die digitale Transformation in die Cloud geht. Daneben gibt es weltweit zahlreiche weitere spezialisierte Anbieter Cloud-basierter Lösungen in den Bereichen IT-Infrastruktur und Software.
Vor allem die Coronapandemie hat Leistungen aus der Cloud noch einmal einen besonderen Schub gegeben. Selbst Unternehmen, die bis dahin der Cloud gegenüber eher skeptisch eingestellt waren, wurden durch Lockdown und Homeoffice quasi von heute auf morgen dazu gezwungen, Workloads in die Cloud zu verlagern und Cloud-basierte Anwendungen einzusetzen.
Für die Nutzerinnen und Nutzer ist es meist nicht einfach, das überaus breite und vielfältige Leistungs- und Produktportfolio am Markt sowie die verschiedenen Abrechnungs- und Nutzungsvarianten zu überblicken und zu bewerten. Gleiches gilt für grundlegende Innovationen, Updates und Änderungen an den Leistungen der einzelnen Anbieter. Sie erfolgen mitunter im Wochenrhythmus und kennzeichnen seit vielen Jahren die hohe Dynamik der Cloud-Branche.
Zu diesen bereits an sich sehr komplexen und anspruchsvollen technischen und kommerziellen Entscheidungskriterien ist spätestens mit Einführung der Datenschutz-Grundverordnung (DSGVO) und der damit verbundenen Verschärfung des datenschutzrechtlichen Bußgeldrahmens ein weiteres Thema hinzugekommen, das Unternehmen jeder Größe betrifft und mittlerweile ebenfalls äußerst entscheidungsrelevant geworden ist: der Datenschutz.
Eine datenschutzrechtliche Compliance – also die Einhaltung datenschutzrechtlicher Regelungen – ist im Cloud Computing nicht immer einfach. Denn im Spannungsfeld mit dem Datenschutz »prallen zwei Welten aufeinander«, die unterschiedlicher nicht sein könnten:
auf der einen Seite die technisch komplexe und vielfältige Welt von Public-, Private- und Multi-Cloud-Szenarien zahlreicher Anbieter, die vor Ländergrenzen und einzelnen Rechtsordnungen nicht haltmacht und in ihrer größten Ausprägung eine globale Verteilung sämtlicher IT-Ressourcen aufweisen kann, und
auf der anderen Seite der auf EU-Recht und nationalen Rechtsordnungen basierende geltende Rechtsrahmen für Datenschutz, dessen Ziel und Zweck es ist, den Einzelnen vor einer missbräuchlichen Verwendung seiner
personenbezogenen Daten
(wie Name, E-Mail-Adresse, Telefonnummer, Geburtsdatum) und in seinem Recht auf
informationelle Selbstbestimmung
zu schützen.
In einer technisch komplexen Cloud-Welt ist es mehr denn je eine Herausforderung, den Schutz der informationellen Selbstbestimmung des Einzelnen über seine personenbezogenen Daten zu bewahren, damit dieser selbst darüber entscheiden kann, wie seine Daten erhoben, verarbeitet und gespeichert werden. Das erfordert nicht nur datenschutzrechtliches Know-how, sondern auch ein Verständnis der jeweiligen Cloud-Services.
Zugleich ist es mit Blick auf den Bußgeldrahmen der DSGVO keine Lösung, sich dem Thema Datenschutz einfach zu verschließen und zu hoffen, dass »schon nichts passieren wird«. Ein 50-Millionen-Euro-Bußgeld gegen Google oder ein 35-Millionen-Euro-Bußgeld gegen das Modehaus H&M zeigen, dass Bußgelder nach der DSGVO erheblich sein können. In vielen Fällen hat es auch kleinere Unternehmen getroffen, bei denen es sich nicht mal um ein Millionen-Bußgeld handeln muss, um bereits Wirkung zu zeigen. Und auch andere Folgen einer Datenschutzverletzung (wie z. B. eine Rufschädigung) gilt es zu verhindern.
Wie wichtig und weitreichend das Thema Datenschutz heutzutage ist, hat sich etwa im Juli 2020 am Schrems-II-Urteil des Europäischen Gerichtshofs (EuGH) gezeigt. Der EuGH kippte damit das EU-U.S. Privacy Shield, das bis dahin eine wichtige Grundlage für Datentransfers zwischen der EU und den USA bildete (hierzu später mehr in Abschnitt 12.5.2). Das Urteil hatte weitreichende Auswirkungen auf Datentransfers in Drittländer und betraf direkt oder indirekt quasi alle international tätigen Unternehmen.
Blicken wir aber zunächst auf das Cloud Computing, den im vergangenen Jahrzehnt zusammen mit Machine Learning und künstlicher Intelligenz wohl schillerndsten und meistverwendeten Begriff in der IT-Branche. Gerade in den Anfangsjahren überschlugen sich nur so die Superlative über das disruptive Potenzial der Materie. Die Rede war von nichts Geringerem als einer neuen Ära in der Informationstechnologie und der nächsten digitalen Revolution.
Der mit diesem wolkigen wie zugleich griffigen Schlagwort verknüpfte Wandel steht bis heute für eine grundlegende Abkehr von konventionellen IT-Bereitstellungs- und Nutzungsszenarien (wie dem Client-Server-Modell). Er hat das Geschäftsleben und die Informationsgesellschaft nachhaltig verändert, insbesondere die Beziehungen zwischen Anbieter und Kunde. Denn im Cloud Computing stehen sämtliche IT-Leistungen (von Hardware bis Software) jederzeit und an jedem Ort quasi wie »Strom aus der Steckdose«1 vollkommen flexibel, bedarfsgerecht und standardisiert über das Internet zur Verfügung.
Ein Nutzer kann hierdurch Rechenleistung, Speicherkapazitäten und Software einfach nach Bedarf anmieten. Die Abrechnung erfolgt rein nutzungsbasiert (on Demand, Pay per Use, as a Service). Der Nutzer zahlt folglich nur noch für das, was er nutzt, und für die Dauer der Nutzung. Gerade bei einem nicht gleichmäßig wiederkehrenden Bedarf (z. B. bei Streaming-Diensten, einmaligen Einsatzzwecken oder den Lastspitzen eines Onlineshops während des Weihnachtsgeschäfts) können auf diesem Weg erhebliche Kosten eingespart werden. Zudem entstehen keine weiteren Anschaffungs-, Betriebs- und Wartungskosten, und es bleibt auch keine Hardoder Software ungenutzt oder nicht voll ausgelastet zurück.
Zu den wirtschaftlichen Profiteuren zählen daher vor allem auch kleine und mittelständische Unternehmen. Durch eine nutzungsbasierte Bereitstellung und Abrechnung stehen ihnen innovative und marktführende Technologielösungen auf dem technisch neuesten Stand zur Verfügung, die im Rahmen klassischer Abrechnungsmodelle für sie bisher nicht erschwinglich waren. Sie können sich somit verstärkt auf ihr Kerngeschäft konzentrieren und die dortige Effizienz und Wettbewerbsfähigkeit weiter verbessern.
Auch lassen sich Cloud-Ressourcen meist über administrative Verwaltungsoberflächen komfortabel bedienen und mit wenigen Mausklicks im Wege des Self-Service bzw. Self-Provisioning hinzubuchen oder reduzieren. Dies erleichtert vor allem die Arbeit von IT-Administratoren und lässt die Zeiten schwarzer Konsolenfenster zur Verwaltung von IT-Systemen zunehmend der Vergangenheit angehören. In der Coronapandemie konnten Unternehmen, die mit ihrer internen IT dahin gehend bereits gut aufgestellt waren und entsprechendes Know-how aufgebaut hatten, schnell reagieren und die für ein Homeoffice in der Cloud benötigten Ressourcen flexibel und unkompliziert hinzubuchen. In zahlreichen Unternehmen ist es meist auch nicht das Management, sondern es sind vor allem die IT-Abteilungen, die Cloud-Strategien vorantreiben.
Wirtschaftlichkeit und Innovation Das enorme wirtschaftliche Potenzial einer bedarfsbasierten Nutzung und Abrechnung ließ Cloud Computing vor allem ab dem Jahr 2009 in rasanter Geschwindigkeit und binnen kürzester Zeit zum weltweit maßgeblichen Trend in der Bereitstellung von Informationstechnologie avancieren. Und bis heute – über ein Jahrzehnt später – ist die Innovationsgeschwindigkeit der digitalen Welt der Datenwolken noch immer ungebremst. Im Zuge der fortschreitenden Digitalisierung ist sie sogar noch schneller und agiler, aber auch deutlich komplexer geworden. Zugleich optimieren Anbieter fortlaufend ihre bestehenden Bereitstellungs- und Abrechnungsmodelle, damit Unternehmen noch schneller und flexibler auf kurzfristig geänderte Anforderungen reagieren können.
Integraler Bestandteil von IT-Outsourcing-Szenarien Cloud-Strategien sind heutzutage integraler Bestandteil von IT-Outsourcing-Projekten jeder Größe. Cloud-Infrastrukturen und Cloud-Technologien bilden zudem die zentrale Grundlage für IoT-Applikationen im Internet der Dinge (Internet of Things), die Digitalisierung im Kontext von Industrie 4.0 oder für die künstliche Intelligenz. Zum Einsatz gelangen vermehrt hybride Cloud-Architekturen oder komplexe Multi-Cloud-Szenarien aus verschiedenen Cloud-Stacks. In der Softwareentwicklung sorgt vor allem der Einsatz von Containern für mehr Flexibilität und Agilität. Unternehmen stellt dies in technischer und organisatorischer Hinsicht vor neue Herausforderungen, da sie im Rahmen ihrer Cloud-Orchestrierung die vernetzten Public- und Private-Cloud-Architekturen zu verwalten und Workloads entsprechend zu allokieren haben.
Cloud-Transformation Vielfältig sind auch die Gründe, die Unternehmen in die Cloud führen und die einen Cloud-Transformationsprozess sowie die dahinterstehende Migrationsstrategie kennzeichnen. Sie können von einem bloßen »Lift & Shift«-Szenario, bei dem eine bestehende Anwendung eins zu eins in die Cloud migriert wird, bis hin zur kompletten Entwicklung neuer Cloud-Architekturen und Anwendungen reichen. Oft geht es auch um die Modernisierung von Legacy-Infrastrukturen und die Nutzung moderner Tools in den Bereichen Datenanalyse und künstliche Intelligenz. Gerade kleine und mittelständische Unternehmen oder Freiberufler haben jedoch meist nicht die finanziellen Ressourcen sowie das Know-how, um sich eine performante, hochskalierbare und ausfallsichere Cloud-Infrastruktur nach den technisch neuesten Standards selbst aufzubauen. Der Rückgriff auf die Leistungen externer Cloud-Anbieter ist für sie daher regelmäßig ohne Alternative. Die mit bedarfsbasierten Nutzungs- und Abrechnungsmodellen (Pay per Use) verbundenen Einsparpotenziale und wirtschaftlichen Vorteile machen Cloud-basierte Lösungen aber auch für andere Marktteilnehmer wirtschaftlich attraktiv. Sie haben beispielsweise der den Schranken des Vergabe- und Haushaltsrechts unterliegenden öffentlichen Verwaltung ebenfalls neue und effiziente Wege bei der Nutzung von IT eröffnet.
Die Nutzung von Cloud-Technologien ist aber nicht nur ein technisches und wirtschaftliches Upgrade. Der Einsatz innovativer Technologien bringt auch rechtliche Fragestellungen und Compliance-Themen mit sich. Gerade im Cloud Computing entwickelte sich hierzu von Anfang an eine lebendige und intensive Diskussion, vor allem zu Datenschutz- und Datensicherheitsthemen. Rechtsfragen können aber auch andere Rechtsgebiete berühren und vom IT-Vertragsrecht bis hin zu spezifischen Aspekten des Urheber-, Steuer- oder Berufsrechts (etwa bei der Cloud-Nutzung durch Rechtsanwälte und andere Berufsgeheimnisträger) reichen.
Datenschutz Das Schlüsselthema im Cloud Computing – ob bei der Nutzung eines großen Hyperscalers wie AWS, Google und Microsoft oder bei dem Rückgriff auf die Leistungen eines spezialisierten kleineren Anbieters – ist seit Jahren der Datenschutz. Das vorliegende Buch soll hierzu einen praxisbezogenen Einstieg bieten. Denn zahlreiche Studien und Umfragen haben in den letzten Jahren immer wieder gezeigt, dass es vor allem Bedenken in Bezug auf Datenschutz und IT-Sicherheit sind, die vor jeder Cloud-Nutzung stehen. Zudem nimmt die DSGVO seit dem 25. Mai 2018 verantwortliche Stellen strenger in die Pflicht und hat hohe Bußgelder bei Datenschutzverstößen und weitere Haftungsfolgen mit sich gebracht. Cloud-Nutzern stellen sich daher häufig Fragen wie diese:
Was habe ich bei der Auswahl eines Cloud-Anbieters zu berücksichtigen?
Muss ich einen Auftragsverarbeitungsvertrag (
AV-Vertrag
) abschließen?
Kann ich auch Cloud-Ressourcen außerhalb der EU nutzen, oder ist es »sicherer«, Datenverarbeitungsstandorte in der EU zu wählen?
Safe Harbor
&
Schrems I, Privacy Shield
&
Schrems II, SCCs
&
Schrems-II-Anforderungen
und jetzt auch noch ein
Trans-Atlantic Data Privacy Framework
: Ich blicke so langsam nicht mehr durch. Was muss ich denn nun machen, um Daten in die USA zu übermitteln?
Was genau ist dieser
CLOUD Act
, und welche Bedeutung hat er für mich?
Worauf muss ich als Verantwortlicher oder Datenschutzbeauftragter sonst noch achten, um Cloud-Services von AWS, Google, Microsoft oder einem anderen Anbieter zu nutzen?
Zu diesen und zahlreichen weiteren Aspekten möchte das vorliegende Buch im Lifecycle einer Cloud-Nutzung eine erste Orientierung ermöglichen. Die Leserinnen und Leser sollen hierbei effektiv mit Frequently Asked Questions (FAQs) und Checklisten dabei unterstützt werden, ein Problembewusstsein zu entwickeln, um dann die richtigen Entscheidungen treffen zu können.
Dieses zweite Kapitel soll die Leserinnen und Leser mit den wichtigsten Grundlagen und Begriffen vertraut machen, die in der Cloud-Computing-Praxis regelmäßig auftauchen und die für den Datenschutz relevant sind. Einsteigerinnen und Einsteiger können hier jederzeit nachschlagen, sollte ein Cloud-spezifischer Begriff oder Zusammenhang an späterer Stelle weiterhin unklar sein. Aber auch für fortgeschrittene und mit der Thematik schon vertraute Leserinnen und Leser kann ein Blick in dieses Kapitel zur Wiederholung und für ein besseres Verständnis der Begriffe und Zusammenhänge erfahrungsgemäß hilfreich sein.
Zugleich ist es Ziel dieses Kapitels, ein einheitliches Begriffsverständnis von Cloud Computing zu schaffen. Gleiches gilt auch für Cloud-typische Begriffe wie Public Cloud, Private Cloud, Multi Cloud, Hyperscaler, IaaS oder SaaS. Denn es zeigt sich in Projektgesprächen und Verhandlungen immer wieder, dass beispielsweise eine Entscheiderin, ein Projektverantwortlicher, das IT-Spezialistenteam und hinzugezogene Anwälte zwar den gleichen Begriff verwenden, jedoch (sehr) unterschiedliche Vorstellungen davon haben, was sich dahinter verbirgt. Nicht selten bestehen zum Beispiel bereits unterschiedliche Vorstellungen davon, was »schon Cloud« und was »noch Hosting« ist. Sehr uneinheitlich wird oft auch die Trennlinie zwischen IaaS und SaaS gezogen. Derartige Erfahrungen in Unternehmen fast aller Branchen zeigen, wie wichtig es ist, dass alle Beteiligten die »gleiche Sprache« sprechen.
Daher wird zunächst ganz grundlegend der Frage nachgegangen, wofür Cloud Computing denn eigentlich steht und wie sich dieser Begriff definieren lässt. Für ein besseres Gesamtverständnis werden die wichtigsten technischen Hintergründe und Erscheinungsformen von Cloud Computing kurz dargestellt. Der Fokus liegt hierbei auf den praxisrelevanten Serviceebenen IaaS und SaaS sowie in organisatorischer Hinsicht auf den Bereitstellungsformen der Public und Private Cloud. Auch werfen wir einen ersten Blick auf die weltweiten Regionen und Rechenzentren der Hyperscaler AWS, Google und Microsoft. Mit diesem Hintergrundwissen im Gepäck sollten die Leserinnen und Leser für die folgenden Kapitel und die typischen Fragestellungen im Spannungsfeld von Cloud Computing und Datenschutz gut gerüstet sein.
Um die grundlegende Frage, was Cloud Computing bzw. »die Cloud« eigentlich ist (und was nicht), kommt früher oder später keine Auseinandersetzung mit der Materie der Datenwolken herum. Denn ein Blick in die Praxis zeigt, dass Cloud Computing dort als griffige und sehr beliebte Kurzformel für ein überaus breites Spektrum an flexiblen, bedarfsgerechten und skalierbaren Formen der Bereitstellung und Nutzung von Informationstechnologien steht, die aus der Wolke des Internets als Dienst (as a Service, Pay per Use) erbracht werden.
Aus eben dieser Wolke, der als Datenwolke in der IT-Welt seit vielen Jahren aus schematischen Darstellungen bekannten und häufig verwendeten Metapher für das Internet und andere komplexe Netzwerkstrukturen, gehen die vielseitigen Konturen einer »Cloud« aber gerade nicht hervor. Vielmehr sind die hohe Abstraktheit dieser Metapher sowie die große Vielfalt an Cloud-Services der Grund, warum sich die Frage, was Cloud Computing denn eigentlich ist, nicht pauschal beantworten lässt.
IT-Outsourcing Cloud Computing in Form der Auslagerung von IT-Leistungen auf externe Dienstleister ist zunächst nichts anderes als IT-Outsourcing im ganz klassischen Sinn. Gegenstand von Cloud Computing können also sämtliche IT-Outsourcing-Konstellationen und mithin alle Prozesse, Ebenen und Tätigkeitsbereiche mit IT-Bezug sein. Auch wenn der Begriff IT-Outsourcing nicht ganz so modern und innovativ klingen mag, muss jede Betrachtung von Cloud Computing hier ansetzen und beginnen. Im Unterschied zum konventionellen IT-Outsourcing ist Cloud Computing jedoch vor allem durch flexible und nutzungsorientierte Abrechnungsmodelle gekennzeichnet. Es ist daher eine flexible und nutzungsorientierte Form des IT-Outsourcings.
Zu beachten ist allerdings, dass die hohe Beliebtheit der Cloud als Modebegriff und Schlagwort ein einheitliches Begriffsverständnis verwässert hat. So wird Cloud Computing im Alltag oftmals nicht nur mit flexiblen und bedarfsbasierten Formen der Bereitstellung und Nutzung von Informationstechnologie assoziiert, sondern steht in der allgemeinen Wahrnehmung in vielen Fällen als bloßes Synonym für Onlinespeicher oder für das Internet an sich. Teilweise wurde in Marketingkampagnen auch lediglich »alter Wein in neuen Schläuchen« verkauft, indem Produkte als Cloud-Services neu gelabelt wurden, um auf den Zug der Zeit aufzuspringen. Echten Cloud-Maßstäben für flexible und nutzungsabhängige Abrechnungsmodelle sowie modernen Bereitstellungsszenarien haben zahlreiche dieser »Cloud-Produkte« nicht entsprochen. In der Praxis sollte daher nicht immer davon ausgegangen werden, dass alles, was als »Cloud« bezeichnet wird, auch echtes Cloud Computing ist.
Um vor diesem Hintergrund den Nebel der Datenwolken ein wenig zu lichten, wird im Folgenden zunächst eine allgemeine Begriffsklärung von Cloud Computing vorgenommen. Im Anschluss wird zur besseren Veranschaulichung der Blick auf die technischen Grundlagen und gegenwärtigen Erscheinungsformen von Cloud Computing (Service-Modelle sowie die Bereitstellungsformen der Public und Private Cloud) gerichtet.
Cloud ist nicht gleich Cloud. Dies zeigt sich gerade in begrifflicher Hinsicht. Denn es gibt weder das Cloud Computing, noch hat sich weltweit eine einheitliche, allgemeingültige Definition dieses Begriffs herausgebildet. Dies liegt vor allem darin begründet, dass die Cloud-Service-Modelle (wie IaaS, PaaS und SaaS) und Bereitstellungsformen (vor allem Public und Private Cloud) zu verschieden sind und nichts weniger als das komplette Spektrum der Informationstechnik abdecken können. Alle in der Praxis wiederzufindenden Definitionen von Cloud Computing sind daher auch entsprechend »weit« gesteckt.
Bekannt und seit vielen Jahren in zahlreichen Publikationen zum Cloud Computing wiederzufinden ist die Definition of Cloud Computing des US-amerikanischen National Institute of Standards and Technology (NIST)1. Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) und Institutionen wie die Europäische Agentur für Netz- und Informationssicherheit (ENISA) haben für ihre eigenen Definitionen auf die sogenannte NIST-Definition zurückgegriffen. Cloud Computing ist hiernach (übersetzt ins Deutsche) wie folgt definiert:
»Cloud Computing ist ein Modell, das jederzeit und von jedem Ort bequem und bedarfsgerecht über ein Netzwerk einen Zugriff auf einen geteilten Pool an konfigurierbaren Computing-Ressourcen (z.B. Netze, Server, Storage, Anwendungen und Dienste) ermöglicht, die schnell und mit minimalem Managementaufwand oder mit minimaler Serviceprovider-Interaktion bereitgestellt werden können.«
Ein Cloud-Service nach diesem Modell ist auf Basis der NIST-Definition dabei vor allem durch folgende Merkmale gekennzeichnet:
On-Demand-Self-Service
:
Ein Nutzer kann die Bereitstellung bzw. Provisionierung der Ressourcen ohne weitere Interaktion mit dem Cloud-Anbieter selbst vornehmen.
Broad Network Access
:
Die Leistungen sind nicht an ein bestimmtes IT-System gebunden, sondern über breitbandige Netze und verschiedene Geräte (wie Mobiltelefone, Tablets, Laptops und andere IT-Systeme) über Standardmechanismen zugänglich.
Resource Pooling
:
IT-Ressourcen werden in Pools zusammengefasst, um sie mehreren Nutzern auf Basis eines multimandantenfähigen Modells mit dynamischer und bedarfsgemäßer Zuordnung zur Verfügung stellen zu können. Mitunter kann dabei eine Art Ortsunabhängigkeit entstehen, da Nutzer den genauen Ressourcenstandort nicht kennen. Vertragliche Festlegungen sind aber auf einer höheren Abstraktionsebene möglich (z. B. Land, Region oder Rechenzentrum).
Rapid Elasticity
:
Cloud-Services können schnell und elastisch bereitgestellt werden, in einigen Fällen auch automatisch, um sie je nach Bedarf (on Demand) zu skalieren. Aus Nutzersicht erscheinen die Ressourcen oft unbegrenzt, da sie in beliebiger Menge und zu jeder Zeit bereitgestellt werden können.
Measured Service
:
Cloud-Systeme steuern und optimieren automatisch die Ressourcennutzung. Diese kann gemessen und überwacht werden, was sowohl für den Anbieter als auch für den Nutzer Transparenz schafft.
In Deutschland hat das BSI eine eigene Begriffsdefinition vorgenommen, um für alle Arbeiten rund um Cloud Computing eine einheitliche Grundlage zu haben. Die Definition des BSI baut auf der NIST-Definition auf, ist jedoch begrifflich etwas weiter gehalten:
»Cloud Computing bezeichnet das dynamisch an den Bedarf angepasste Anbieten, Nutzen und Abrechnen von IT-Dienstleistungen über ein Netz. Angebot und Nutzung dieser Dienstleistungen erfolgen dabei ausschließlich über definierte technische Schnittstellen und Protokolle. Die Spannbreite der im Rahmen von Cloud Computing angebotenen Dienstleistungen umfasst das komplette Spektrum der Informationstechnik und beinhaltet unter anderem Infrastruktur (z.B. Rechenleistung, Speicherplatz), Plattformen und Software.«2
Dieses Buch legt zum Verständnis des Begriffs Cloud Computing die Definition des BSI zugrunde. Im Kern geht es also um das dynamisch an den Bedarf angepasste Anbieten, Nutzen und Abrechnen von IT-Dienstleistungen.
Das weitere und abstraktere Begriffsverständnis des BSI ermöglicht einen sachgerechten und flexiblen Umgang mit dem Begriff Cloud Computing. Auch nicht durchgängig hochflexible Pay-per-Use-Abrechnungsmodelle werden erfasst, wie z. B. Flatrates oder feste Abnahmemodelle mit längeren Laufzeiten (Commitments), die bei wiederkehrendem Grundbedarf mit flexiblen Nutzungsformen kombiniert werden können.
Hinweis: Verständnis von Cloud Computing in diesem Buch
Cloud Computing ist das dynamisch an den Bedarf angepasste Anbieten, Nutzen und Abrechnen von IT-Dienstleistungen. Die Spannbreite der im Rahmen von Cloud Computing angebotenen Dienstleistungen umfasst das komplette Spektrum der Informationstechnik und beinhaltet unter anderem Infrastruktur (z. B. Rechenleistung, Speicherplatz), Plattformen und Software.
Ein weites Begriffsverständnis lässt gleichzeitig mehr Raum für Entwicklung und technischen Fortschritt. So nimmt vor allem der Einsatz künstlicher Intelligenz auch im Cloud-Umfeld immer weiter zu. Künftig können selbstlernende Algorithmen gerade im Bereich der Auswertung von Nutzungsdaten sowie bei der automatischen Provisionierung von Ressourcen zu weiteren Verbesserungen beitragen. Ein großes wirtschaftliches Potenzial bietet beispielsweise eine Predictive Maintenance bei der Bereitstellung von Ressourcen. Hiernach werden IT-Komponenten zwar am Ende ihrer Laufzeit getauscht, jedoch noch bevor sie kaputtgehen. Übertragen lässt sich das aber beispielsweise auch auf Maschinenteile in der produzierenden Industrie oder auf Flugzeugtriebwerke. Ausfallzeiten können auf diesem Weg reduziert und Ersatzteile besser bestellt werden. Auch kann proaktiv gehandelt werden, anstelle reaktiv tätig zu werden, wenn Hardware bereits kaputtgegangen ist. Neue Technologien und neue innovative Anbieter werden das Cloud Computing auch künftig weiter vorantreiben.
Zum besseren Verständnis der Hintergründe von Cloud Computing blicken wir im Folgenden zunächst auf die technischen Rahmenbedingungen und zentralen Basistechnologien. Als infrastrukturelle Basis machen sie Cloud Computing überhaupt erst möglich und fungieren sowohl für Anbieter als auch für Nutzer als Cloud Enabler.
Breitbandige Datennetze Sie bilden das Rückgrat des globalen Datenverkehrs und sorgen für schnelle Paketlaufzeiten und niedrige Latenzen selbst bei datenintensiven Einsatz- und Nutzungsszenarien. Für Cloud Computing sind sie daher unverzichtbare Grundvoraussetzung. Performante Glasfaserverbindungen ermöglichen vor allem standortübergreifende Hochverfügbarkeitslösungen von hoher Qualität und Leistung zwischen verschiedenen Rechenzentrumsstandorten (insbesondere zwischen den global verteilten Rechenzentren von Anbietern wie AWS, Google und Microsoft, wie in Abschnitt 2.7 dargestellt).
Parallel hierzu sorgt der Ausbau breitbandiger und mobiler Internetzugänge dafür, dass Nutzer einen schnellen Zugriff auf Ressourcen und Anwendungen in der Cloud erhalten. In den Metropolregionen ist der Ausbau schon weit fortgeschritten. In zahlreichen ländlichen Regionen besteht dagegen noch immer Handlungsbedarf.
Leistungsfähige Standardhardware Als Basis für skalierbare Ressourcenpools und flexible Nutzungsmodelle steht Cloud-Anbietern leistungsfähige Standardhardware zur Verfügung. Sie ist am Markt recht günstig verfügbar und kann daher in großen Mengen bereitgehalten werden. Durch eine technisch immer einfachere, bessere und schnellere Provisionierung kann der Ressourcenpool im Idealfall ohne jegliche Anbieterinteraktion durch den Nutzer selbst bereitgestellt und verwaltet werden (Self-Service bzw. Self-Provisioning).
Vielfältige Zugangsgeräte Den Anwendern wiederum stehen immer vielfältigere Zugangsgeräte zur Verfügung. Neben PCs, Notebooks, Tablets und Smartphones sind zur Nutzung von Cloud-Services heutzutage auch das Smart Grid des IoT (Internet of Things/Internet der Dinge) sowie Smart Speaker (wie beispielsweise Amazon Echo) als digitale Assistenten von Bedeutung.
Thin Clients Der Zugriff eines Nutzers auf sämtliche Ressourcen, Anwendungen und Daten in der Cloud erfolgt im Idealfall nur noch über Web und API (Application Programming Interface) bzw. über Thin Clients mittels Browser oder App. Diese IT-Geräte sind im Unterschied zu PCs und Notebooks auf diejenigen Ressourcen, Eingabemöglichkeiten und Anzeigefunktionen reduziert (wie Browser oder App), die Nutzer zum Zugriff auf die Ressourcen und Anwendungen in der Cloud benötigen.
Cloud Computing ist an sich keine neue Technologie. Zu den zentralen Basistechnologien zählen vielmehr langjährig etablierte Technologiekonzepte wie das Grid Computing, das Application Service Providing (ASP), serviceorientierte Architekturen (SOA) sowie die Virtualisierung. Die heutigen Rahmenbedingungen ermöglichen hierbei jedoch gänzlich neue Kombinationen und Weiterentwicklungen, vor allem die das Cloud Computing kennzeichnende Ergänzung um flexible und nutzungsbasierte Einsatz- und Abrechnungsmodelle (Pay per Use, as a Service).
Ein wichtiger Meilenstein auf dem Weg zum Cloud Computing ist das Grid Computing. Dabei handelt es sich um eine Form des verteilten Rechnens, bei der zur Bildung eines leistungsstarken, dezentralen IT-Clusters auf die ungenutzten Rechenressourcen von über das Internet oder andere Netzwerke meist lose miteinander gekoppelten IT-Systeme zurückgegriffen wird.
Der Begriff Grid Computing ist darauf zurückzuführen, dass die Nutzung verteilter Rechenleistung mit der Nutzung eines Stromnetzes (Power Grid) vergleichbar sein soll. Denn aus Sicht eines Nutzers ist es unerheblich, woher die Rechenleistung (bzw. der Strom) kommt. Derartige Vergleiche finden sich auch im Cloud Computing, wo IT-Leistungen einem Nutzer jederzeit und an jedem Ort quasi wie »Strom aus der Steckdose« flexibel, bedarfsgerecht und standardisiert über das Internet zur Verfügung stehen (siehe zuvor Abschnitt 1.2).
Die Ursprünge des Grid Computing reichen bis in die 1990er-Jahre zurück. Computer-Grids gelangen aber bis heute zum Einsatz, vor allem in der Wissenschaft und Forschung sowie in einigen Unternehmen zur Bewältigung von rechenintensiven Aufgaben und großen Datenmengen.
Ein bekanntes und häufig angeführtes Beispiel für das Grid Computing ist das einstmals revolutionäre SETI@home-Experiment der kalifornischen Berkeley-Universität. Auf der Suche nach außerirdischer Intelligenz (Search for Extraterrestrial Intelligence – SETI) wurde zur Analyse der Daten von Radioteleskopen auf die ungenutzten IT-Ressourcen von Heim- oder Bürocomputern zurückgegriffen, die von Teilnehmern zur Verfügung gestellt wurden und hierfür von den Projektservern jeweils kleine Arbeitspakete erhalten haben. Die hohe und zugleich kostengünstige Rechenleistung des Projekts diente zahlreichen Forschungsprojekten als Vorbild.
Ein Beispiel für ein naturwissenschaftliches Forschungsprojekt ist der Large Hadron Collider (LHC) am Europäischen Kernforschungszentrum CERN nahe Genf. Dieser Teilchenbeschleuniger produziert gewaltige Mengen an Messdaten, die analysiert und verarbeitet werden müssen.
Im Cloud Computing findet sich aus dem Grid Computing vor allem die Idee der gemeinsamen Nutzung verteilter und miteinander gekoppelter IT-Ressourcen wieder. Deren gemeinsame Nutzung durch die Allgemeinheit ist jedoch an die Stelle der Rechenanforderungen wissenschaftlicher Forschungsprojekte oder einer Verarbeitung großer Datenmengen in Unternehmen getreten. Gerade in Public Clouds (etwa für die Nutzung von AWS-Compute-Ressourcen oder von Microsoft 365) sind die User auch nicht mehr organisatorisch miteinander verbunden. Und ging es im Grid Computing noch um die zentrale Verwaltung der Ressourcen durch die Beteiligten, können sich Nutzer im Cloud Computing die Ressourcen im Wege eines Self-Provisioning idealerweise selbst zuteilen.
Ein weiterer wichtiger Vorläufer des Cloud Computing ist das Application Service Providing (ASP). Es handelt sich um eine Unterform des Server-based Computing und gilt als Vorstufe von Software as a Service (SaaS). Im ASP werden sämtliche Applikationen auf leistungsstarken Servern zentral bereitgehalten. Der nutzerseitige Zugriff erfolgt über einen Remote-Zugang (etwa Terminalserver oder Remote-Desktop).
ASP und SaaS unterscheiden sich vor allem darin, dass Hardwareressourcen bei ASP klassischerweise dediziert zur exklusiven Nutzung bereitgestellt werden. Auf SaaS-Basis werden sie dagegen in Public Clouds von einer unbeschränkten Nutzerzahl gemeinsam genutzt. Ein zahlenmäßig beschränkter Nutzerkreis (wie Mitarbeitende eines Unternehmens) ist bei SaaS nur noch in Private Clouds wiederzufinden. Auch ist bei SaaS die Nutzung und Abrechnung deutlich flexibler. ASP ist in dieser Hinsicht quasi SaaS mit Festabnahme ohne On-Demand-Nutzungsmöglichkeit.
Auch das Konzept der serviceorientierten Architekturen (SOA) gilt als wichtiges Fundament und Basistechnologie von Cloud Computing. Die verschiedenen SOA-Konzepte verfolgen eine Erfassung, Orchestrierung und prozessübergreifende Strukturierung und Nutzung vorhandener IT-Systeme und Anwendungen, meist auf Grundlage standardisierter Schnittstellen. Hierdurch soll eine bessere Auslastung, Flexibilisierung und Standardisierung der dahinterstehenden Geschäftsprozesse erreicht werden. Eine derart übergreifende Strukturierung und Nutzung von IT-Systemen und Anwendungen bildet auch im Cloud Computing die Grundlage für hohe Standardisierungsgrade und die Bereitstellung von IT-Diensten über standardisierte Schnittstellen.
Eine weitere zentrale Basistechnologie und wichtige Grundlage moderner Cloud-Architekturen ist die Virtualisierung. Die technischen Ansätze reichen bis in die Mainframe-Ära der 1970er-Jahre zurück. Die Virtualisierung ermöglicht durch eine abstrakte Sicht auf die physischen IT-Systemressourcen (also native Hardwarekomponenten wie CPU, RAM, Datenspeicher oder Netzwerkcontroller) eine gemeinsame Verwaltung und Nutzung dieser Ressourcen. In einem virtuellen Cluster sind dies die zusammengefassten Ressourcen mehrerer IT-Systeme. Auf Basis der gängigen Systemvirtualisierung durch einen sogenannten Hypervisor werden hierfür die nativen Hardwarekomponenten der IT-Systeme in Pools zusammengefasst und vollständig abstrahiert von der zugrunde liegenden Hardware den virtuellen Maschinen zur Verfügung gestellt. Die Virtualisierungssoftware (unterstützt durch spezielle Hardwarefunktionen) simuliert den virtuellen Maschinen dabei eine vollständige Hardwareumgebung, so als würden native Hardware und mithin ein echtes physisches IT-System zugrunde liegen.
Durch die Abstraktion der Hardware von sämtlichen darüberliegenden Ebenen können auf einem physischen IT-System mehrere virtuelle Maschinen betrieben werden. Effizienz und Wirkungsgrad werden hierdurch deutlich verbessert. Die physischen IT-Systeme wiederum können konsolidiert werden, was zu verringerten Anschaffungs-, Betriebs- und Wartungskosten sowie einem reduzierten Energieverbrauch führt.
Auch die Verwaltung der Hardware und der Betrieb der virtuellen Maschinen und damit die Verfügbarkeit der Applikation hängen nicht mehr an der Verfügbarkeit der Hardware. Im Wartungsfall kann eine Migration virtueller Maschinen auf andere Hardware im laufenden Betrieb erfolgen. Die notwendigen Daten werden den virtuellen Maschinen über einen der Cloud zugrunde liegenden hochverfügbaren Speicher bereitgestellt, der von jedem Hardwareserver aus zugänglich ist. Sicherungen von virtuellen Maschinen können einfach im Wege eines kompletten Snapshots erfolgen. Durch ein Klonen von virtuellen Maschinen können wiederum neue Umgebungen schnell und einfach bereitgestellt werden.
Kurz erklärt: Virtualisierung
Die Virtualisierung ermöglicht durch die Abstraktion der nativen Hardware von sämtlichen darüberliegenden Ebenen eine Zusammenfassung der zugrunde liegenden Hardwarekomponenten in Pools, sodass diese vollständig abstrahiert von der zugrunde liegenden Hardware verwaltet und genutzt werden können. Die Virtualisierungssoftware (unterstützt durch spezielle Hardwarefunktionen) simuliert den virtuellen Maschinen auf dieser Grundlage eine vollständige Hardwareumgebung, so als würde ein echtes dediziertes IT-System mit nativer Hardware zugrunde liegen.
Die Administration und Zuweisung der gepoolten Ressourcen erfolgt durch den Hypervisor, der die logische Trennung der virtuellen Maschinen sicherstellt und dabei insbesondere CPU-Leistung und Speicher anhand von Leistungsvorgaben verteilt. Zum Einsatz gelangen häufig intelligente Zuweisungstechniken wie ein Thin Provisioning, bei dem virtuellen Maschinen Ressourcen zugewiesen werden, die in Summe gar nicht als Hardware verfügbar sind. Es wird darauf spekuliert, dass nicht alle Systeme zeitgleich alle Ressourcen anfordern, was in der Praxis gut gelingt. Diese Überprovisionierung trägt maßgeblich zur Steigerung der Effizienz des Gesamtsystems bei.
Neben der Hypervisor-basierten Systemvirtualisierung existieren zahlreiche weitere Virtualisierungstechniken (wie Speicher- und Netzwerkvirtualisierung, Virtualisierung innerhalb eines Betriebssystems, Desktopvirtualisierung oder Anwendungsvirtualisierung). Neben Vollvirtualisierungen sind auch sogenannte Para-Virtualisierungen möglich, deren Abstraktion jedoch weniger durchgängig ist. Bekannte und marktführende Anbieter von Virtualisierungslösungen sind etwa VMware oder Citrix. Es gibt aber auch zahlreiche kleinere Anbieter sowie Open-Source-Lösungen als Alternative zu proprietären Virtualisierungstechnologien (wie etwa KVM – allein oder oft auch als Hypervisor in der OpenStack-Lösung).
Aus modernem Cloud Computing sind auch Containertechnologien nicht mehr wegzudenken. Die Containerisierung gilt als die wohl bedeutendste Fortentwicklung in der Bereitstellung von IT-Systemen und Applikationen seit der Virtualisierung. Sie hat deren Ansatz weiter verschlankt und dadurch die Bereitstellung von Applikationen vereinfacht.
Im Unterschied zu virtuellen Maschinen, die virtuelle Hardware darstellen und somit die Installation eines Betriebssystems erfordern, enthalten Container lediglich diejenigen Daten, Programmbestandteile und Bibliotheken, die zur Ausführung der jeweiligen Applikation unmittelbar erforderlich sind. Wie Container auf einem Schiff werden Applikationen dadurch standardisiert verpackt und sind universell ausführbar. Da kein Betriebssystem gestartet werden muss, geht das besonders schnell und effizient, sodass Container zusammen mit der Verlagerung von Applikationsdaten auf zentrale Speichersysteme stateless werden. Im Container selbst werden keine notwendigen Daten dauerhaft gespeichert. Im Fall einer Fehlfunktion wird der Container nicht aufwendig durch einen Administrator repariert, sondern einfach gelöscht und neu ausgerollt. Moderne Applikationen (»born in the cloud«) greifen das auf und sind so gebaut, dass es auf einzelne containerisierte Bestandteile nicht ankommt. Somit kann fast grenzenlos skaliert werden, und höchste Verfügbarkeiten werden mit einfachen Mitteln erreichbar. Die derzeit wohl bekannteste Containertechnologie zur Isolierung von Anwendungen ist die Software Docker.
Kurz erklärt: Container
Container enthalten nur noch diejenigen Daten, die zur Ausführung einer Applikation unmittelbar erforderlich sind. Sie sind im Vergleich zu virtuellen Maschinen besonders effizient und verbrauchen weniger IT-Ressourcen.
Orchestrierungsanwendungen (z.B. Kubernetes) Container kommen heute nur noch selten einzeln vor, da sich Orchestrierungslösungen etabliert haben. Die wohl am weitesten verbreitete ist Kubernetes. Sie ermöglicht eine einfache Bereitstellung, Skalierung und Verwaltung selbst einer größeren Anzahl an Containern über verschiedene IT-Systeme hinweg. Hierfür werden die einer Anwendung zugrunde liegenden Container in logischen Einheiten zu Services (Diensten) gruppiert.
Cloud Computing steht – wie wir im Rahmen der begrifflichen Klärung in Abschnitt 2.2 gesehen haben – für nichts weniger als IT as a Service im Umfang des kompletten Spektrums der Informationstechnik. Es ist daher oftmals auch von Everything as a Service bzw. XaaS die Rede, wobei der Buchstabe X als unbestimmter Platzhalter für eine beliebige IT-Leistung steht, die bedarfsgerecht genutzt werden kann.
Um diesem sehr weiten XaaS-Ansatz etwas mehr Struktur zu geben, hat es sich im Cloud Computing von Anfang an etabliert, anhand von drei Serviceebenen ganz grundlegend zwischen der Bereitstellung von Infrastruktur, Plattformen und Software zu unterscheiden. Diese hierarchische Differenzierung im Wege eines Drei-Ebenen-Modells orientiert sich an dem Aufbau einer IT-Sicherheitsarchitektur und den Layern eines IT-Stacks.
Abbildung 2-1: Drei-Ebenen-Modell einer IT-Sicherheitsarchitektur
Infrastrukturseitig kennzeichnet Cloud Computing die flexible und bedarfsbasierte Bereitstellung und Nutzung von IT-Infrastruktur (Infrastructure as a Service bzw. IaaS). Erfasst sind sämtliche Komponenten von IT-Systemen, auch wenn im Vordergrund meist Rechenleistung, Speicherplatz, Netzwerkkomponenten, Firewalls und Loadbalancer stehen. Als unterste und grundlegendste Ebene bildet IaaS die infrastrukturelle Basis des Cloud Computing.
IaaS-Anbieter Ein IaaS-Anbieter ist typischerweise für Bereitstellung, Betrieb und Wartung der IT-Ressourcen zuständig. Die Hardware befindet sich regelmäßig in der Hochsicherheitsumgebung eines Rechenzentrums. Je nach Anbieter und Service können sich die IT-Ressourcen über mehrere Standorte erstrecken. Den großen Hyperscalern AWS, Google und Microsoft liegt ein ganzes Netzwerk an weltweit verteilten Rechenzentren zugrunde. Bei AWS ist dies zum Beispiel in verschiedene Regionen und Availability Zones unterteilt (Abschnitt 2.7.1). Die Datenverarbeitungsstandorte und die dort implementierten technischen und organisatorischen Maßnahmen sind ein wichtiger Anknüpfungspunkt im Datenschutz (etwa für die Anwendbarkeit der DSGVO, sogenannte TOMs-Listen im Rahmen der Auftragsverarbeitung oder für internationale Datentransfers in Drittländer). Bei der Anbieterauswahl und auch bei Leistungsänderungen während eines laufenden Vertrags ist auf die Standorte der Datenverarbeitung ein besonderes Augenmerk zu legen.
Hinweis: Standorte der Datenverarbeitung
Die Datenverarbeitungsstandorte und dort implementierten technischen und organisatorischen Maßnahmen sind ein wichtiger Anknüpfungspunkt im Datenschutz. Hierauf sollte schon bei der Anbieterauswahl besonders geachtet werden.
Im Unterschied zu dediziert bereitgestellten IT-Systemen im Wege des klassischen Hostings werden bei IaaS sämtliche IT-Systeme meist auf Basis von Virtualisierungs- und Containertechniken abstrahiert von den zugrunde liegenden physischen IT-Systemen bereitgestellt. Zahlreiche Anbieter ermöglichen auch weitergehende Management- und Administrationsleistungen, damit Nutzer von dem technischen Know-how ihrer spezialisierten und erfahrenen IT-Administratoren profitieren können.
IaaS-Nutzer Ein Nutzer erlangt bei IaaS über die ihm bereitgestellten Ressourcen in der Regel die volle Kontrolle. Er kann sie im Rahmen der vertraglichen Vereinbarungen für die dort genannte Laufzeit für eigene Zwecke verwenden und hierfür eigene Betriebssysteme und Anwendungen installieren. Die Zuteilung der Ressourcen kann der Nutzer in vielen Fällen im Wege des Self-Service bzw. Self-Provisioning über eine vom Anbieter bereitgestellte Verwaltungsoberfläche oder API ohne weitere Anbieterinteraktion selbst steuern.
Abrechnung Die Abrechnung erfolgt idealerweise rein nutzungsbasiert (Pay per Use) auf Basis der vereinbarten Preise und Zeiteinheiten. In der Praxis finden sich äußerst vielfältige Vergütungsmodelle, insbesondere auch in Kombination mit Festabnahmemengen bei wiederkehrendem Grundbedarf über einen längeren Zeitraum (Commitment). Im Großkundenbereich sind bei zahlreichen Anbietern meist deutliche Rabatte bei einem besonders hohen und langen Commitment möglich.
Vorteile Eine Ressourcennutzung auf IaaS-Basis hat zahlreiche Vorteile. In wirtschaftlicher Hinsicht bestehen sie vor allem in den Einsparpotenzialen flexibler und bedarfsbasierter Nutzungsmodelle. Da ein IaaS-Nutzer die benötigte Hardware nicht mehr anzuschaffen und zu betreiben hat, sondern bedarfsbasiert anmietet, werden die Kosten für die Anschaffung, den Betrieb und die Wartung von IT-Systemen in laufende Kosten umgewandelt. Durch flexible und nutzungsbasierte Abrechnungsmodelle kann zudem temporären Lastspitzen begegnet werden, ohne dass hierfür neue Hardware anzuschaffen ist, die außerhalb der Peak-Zeiten ungenutzt bleibt. Eine solche Flexibilität ist beim Betrieb großer E-Commerce-Plattformen für das Weihnachtsgeschäft, den Black Friday oder andere punktuelle Events ein großer Vorteil. Zwar muss auch der IaaS-Anbieter Hardware für solche Peaks vorhalten und einpreisen, über seinen großen Kundenstamm kann er benötigte Ressourcen aber effizient verteilen, da nicht alle Kunden gleichzeitig alle Ressourcen abrufen. Die ungenutzten Ressourcen, die Amazon für den jährlichen Peak des Weihnachtsgeschäfts in seinem globalen Webshop bereithielt, veranlassten das Unternehmen im Jahr 2006 zur Gründung der Amazon Web Services (AWS). Amazon entwickelte hieraus das Geschäftsmodell, diese im übrigen Jahr ungenutzten Ressourcen der Allgemeinheit auf Basis flexibler Nutzungsmodelle entgeltlich zur Verfügung zu stellen. Es machte Amazon zum maßgeblichen Cloud-Computing-Pionier und Wegbereiter für IaaS (Abschnitt 2.7.1).
Weitere Vorteile bestehen bei IaaS in einer hohen Skalierbarkeit und Elastizität. Innerhalb von Sekunden sind neue Systeme bereitgestellt, und langwierige Prozesse vom Serverkauf bis zum Einbau im Rechenzentrum entfallen. Gerade groß dimensionierte Ressourcenpools ermöglichen eine hochstandardisierte und hochskalierbare Bereitstellung. Aber auch das technische Know-how und die langjährige Erfahrung eines Cloud-Anbieters sind für einen Nutzer von Vorteil, wenn er sich nicht tagtäglich mit IT beschäftigen kann und möchte. Der Betrieb der Cloud-Infrastruktur wird hierdurch erfahrenen Profis überlassen. Von spezialisierten Anbietern administrierte Clouds erweisen sich als sehr sichere IT-Betriebsumgebungen mit hoher Verfügbarkeit und Leistung.
Nachteile und Risiken Den Vorteilen innovativer IaaS-Nutzungsszenarien stehen aber auch Nachteile und Risiken gegenüber, die einige der Vorteile und Chancen relativieren können. Zu den meistgenannten Risiken zählen Fragen der Abhängigkeit von einem Anbieter, die im Worst Case zu einem klassischen Vendor-Lock-in führen können. Aber auch besondere IT-Konfigurationen einer Cloud können zu einem faktischen Lock-in führen, wenn diese Konfiguration von keinem anderen Anbieter oder nur mit erheblichem wirtschaftlichem Aufwand bereitgestellt werden kann. Eine Abhängigkeit kann aber auch in Bezug auf die Verfügbarkeit der IT-Ressourcen bestehen, insbesondere bei einem Ausfall und nicht vorhandener Redundanzkonzepte. Die Qualität der Datenanbindung und die Bandbreite der Leitungswege (Netzanbindung bzw. Connectivity) kann dies ebenfalls betreffen. Gleiches gilt für allgemeine Fragen der Interoperabilität, insbesondere beim Einsatz von Cloud-Infrastrukturen mehrerer Anbieter im Rahmen von Multi-Cloud-Szenarien.
Rechtliche Risiken sind bei IaaS vor allem mit Fragen des Datenschutzes und der Datensicherheit verbunden. Insoweit soll das vorliegende Buch die Leserinnen und Leser sensibilisieren und dabei unterstützen, Cloud-Services möglichst datenschutzkonform zu nutzen.
AWS, Google und Microsoft Das wohl bekannteste Praxisbeispiel auf IaaS-Ebene ist Amazons Cloud-Computing-Sparte Amazon Web Services (AWS). Weitere Beispiele aus der Praxis sind die Google Cloud Platform (GCP) sowie Microsofts Plattform Azure. Aufgrund der hohen Praxisrelevanz schauen wir uns AWS, Google und Microsoft in Abschnitt 2.7 weiter unten noch einmal genauer an.
Weitere Anbieter Neben den großen Hyperscalern aus den USA existieren zahlreiche IT-Infrastrukturanbieter weltweit, darunter auch eine große Anzahl an spezialisierten IaaS-Anbietern in Europa. Weitverbreitete Standards für IaaS sind hierbei die Lösungen von VMware und OpenStack, sodass ein Anbieterwechsel auch ohne Technologiebruch weitgehend möglich ist. Dies ist oft ein entscheidender Vorteil für Kunden der etwas kleineren Provider. Zahlreiche Cloud-Infrastrukturen sind von regionaler Ausprägung und lediglich auf ein oder mehrere Rechenzentren in einer Stadt oder in einem Land verteilt.
Auch Anbieter aus Asien gewinnen zunehmend an Bedeutung. Vor allem der chinesische Internetriese Alibaba ist schon seit Jahren dabei, sein Cloud-Business auch in Europa immer weiter auszubauen. Aufgrund enger Wirtschaftsbeziehungen sind aber auch Datentransfers zu Anbietern in anderen asiatischen Ländern digitaler Alltag.
In Europa existieren ebenfalls zahlreiche IaaS-Anbieter. Einige davon haben ihre Leistungen und Prozesse zudem auf besondere Branchenanforderungen ausgerichtet, wie etwa auf die Compliance-Anforderungen von Banken und Versicherungen und die spezifischen Vorgaben der BaFin (Bundesanstalt für Finanzdienstleistungsaufsicht), hierbei vor allem auf die Mindestanforderungen an das Risikomanagement (MaRisk). Einige bekannte Cloud-Anbieter haben mit Unterstützung der Bundesregierung, der EU-Kommission und von Branchenverbänden etwa das GAIA-X-Projekt gestartet, das eine vernetzte Datenstruktur für ein digitales europäisches Ökosystem schaffen und auf diesem Weg unter anderem durch unabhängige und datensouveräne Cloud-Stacks IT-Infrastrukturen im Anwendungsbereich der DSGVO aufbauen soll.
Kurz erklärt: Infrastructure as a Service (IaaS)
Das Cloud-Service-Modell IaaS steht für die flexible und bedarfsorientierte Bereitstellung und Nutzung von IT-Infrastrukturkomponenten (as a Service, Pay per Use). Betrieb und Wartung eines IaaS-Clusters erfolgen durch den Anbieter. Wirtschaftliche Vorteile sind vor allem mit den Einsparpotenzialen flexibler und bedarfsbasierter Nutzungsszenarien verbunden. Dagegen zählen Datenschutz und Datensicherheit sowie eine mögliche Anbieterabhängigkeit zu den Herausforderungen. AWS gilt als der maßgebliche Pionier und Wegbereiter für Cloud Computing auf IaaS-Ebene.
Auf der mittleren Ebene des Cloud-Schichtenmodells findet sich die dynamische Bereitstellung von Laufzeit- und Entwicklungsplattformen für Anwendungsinfrastruktur und Software (Platform as a Service bzw. PaaS). Die PaaS-Ebene bezieht sich vor allem auf die Tätigkeiten von Web- und Softwareentwicklern sowie von IT-Systemarchitekten. Diese nutzen auf PaaS-Basis bereitgestellte Cloud-Ressourcen als Plattform für Anwendungsentwicklungen. Aufgrund des besonderen Zuschnitts auf spezielle Entwicklungsszenarien steht PaaS in der Praxis von Unternehmen nicht ganz so im Fokus wie IaaS und SaaS – und wird daher auch in diesem Buch nicht ganz so ausführlich wie IaaS und SaaS behandelt.
Innerhalb einer für PaaS typischen Entwicklungsplattform legt der Anbieter bestimmte Werkzeuge, Konfigurationsoptionen und sonstige Rahmenbedingungen fest (z. B. Programmiersprache, Programmbibliotheken, Datenbanken, Schnittstellen), auf deren Basis der Nutzer seine Softwareentwicklungen und -tests vornehmen kann. Aufgrund dieser Vorkonfiguration durch den Anbieter kann die Nutzung der PaaS-Umgebung regelmäßig sehr schnell und ohne großen administrativen Aufwand erfolgen.
Vorteile Auch bei PaaS verbinden sich mit der flexiblen und nutzungsbasierten Abrechnung der Laufzeit- und Entwicklungsplattformen wirtschaftliche Vorteile. Aus Sicht eines Nutzers entfallen im Vergleich zum Eigenbetrieb einer entsprechenden Umgebung vor allem die Anschaffungs- und Betriebskosten für Hard- und Software. Zudem profitiert ein Nutzer auch bei PaaS von der zentralen Bereitstellung der Plattform und der zugrunde liegenden Infrastruktur durch einen PaaS-Anbieter – insbesondere mit Blick auf ein zentrales Update- und Patch-Management. Hierdurch kann der Anbieter Sicherheitslücken schnell und zeitnah und vor allem ohne eine weitere Interaktion mit dem Nutzer schließen.
Nachteile und Risiken Als nachteilig können sich – analog zu IaaS – auch bei PaaS Fragen der Abhängigkeit von einem Anbieter, die Qualität und Bandbreite der Datenleitungen sowie allgemeine Fragen der Interoperabilität (insbesondere mit Blick auf Schnittstellen und Werkzeuge) erweisen. Aufgrund des im Vergleich zu IaaS und SaaS deutlich kleineren Markts an PaaS-Plattformen erhöht sich vor allem das Risiko eines Vendor-Lock-in. Es besteht also die Gefahr, dass die Entwicklungsplattform in der beim bisherigen Anbieter bestehenden Konfiguration von keinem anderen Anbieter am Markt bereitgestellt werden kann. Rechtliche Fragen stellen sich auch bei PaaS vor allem in Bezug auf Datenschutz und Datensicherheit.
Praxisbeispiele Ein bekanntes Praxisbeispiel auf PaaS-Ebene ist die Google App Engine, die Programmier- und Ausführungsumgebungen sowie verschiedene unterstützende Werkzeuge für die Entwicklung von Webapplikationen zur Verfügung stellt. Die Abrechnung kann etwa anhand der transferierten Datenvolumina oder der Speichernutzung erfolgen. Aber auch Teile der Azure-Cloud von Microsoft sind ein Beispiel für PaaS, insbesondere soweit diese die Entwicklung, Bereitstellung und Verwaltung von Anwendungen unterstützen und hinsichtlich Programmiersprachen, Tools und Frameworks offen sind.
Kurz erklärt: Platform as a Service (PaaS)
Das Cloud-Service-Modell PaaS steht für die dynamische Bereitstellung von Laufzeit- und Entwicklungsplattformen für Anwendungsinfrastruktur und Software. Vorteilhaft sind auch hier die flexiblen und bedarfsbasierten Nutzungsszenarien sowie die zentrale Bereitstellung und Wartung der Applikation durch den Anbieter. Risiken bestehen vor allem in Bezug auf eine Anbieterabhängigkeit sowie Datenschutz und Datensicherheit. PaaS betrifft vor allem die Tätigkeiten von Web- und Softwareentwicklern sowie IT-Systemarchitekten und steht daher in der Praxis nicht ganz so im Fokus wie IaaS und SaaS.
Die oberste Ebene des Drei-Ebenen-Modells eines IT-Stacks hat die flexible und bedarfsorientierte Bereitstellung von Software als Webanwendung über das Internet (Software as a Service bzw. SaaS) zum Gegenstand. Dem Spektrum an Applikationen, die auf SaaS-Basis bereitgestellt werden können, sind grundsätzlich keine Grenzen gesetzt. Entsprechend vielseitig ist der SaaS-Bereich daher auch in der Praxis, wie wir sogleich noch sehen werden.
SaaS-Anbieter Im Anbieter-Nutzer-Verhältnis ist der SaaS-Anbieter typischerweise für Betrieb, Wartung und Weiterentwicklung der Software verantwortlich. Das Update- und Patch-Management erfolgt daher in der Regel ebenfalls zentral durch den Anbieter. Auch das Hosting der Software sowie Administration und Betrieb der zugrunde liegenden IT-Ressourcen (Server, Storage) kann der SaaS-Anbieter grundsätzlich selbst durchführen. Meist werden die Daten jedoch auf den IT-Systemen eines als Subunternehmer eingeschalteten spezialisierten IT-Infrastrukturanbieters, idealerweise auf IaaS-Basis, verarbeitet.
SaaS-Nutzer Ein Nutzer kann die über das Internet als Webanwendung bereitgestellte Software in der Regel unmittelbar einsetzen und über vorhandene Konfigurationsoptionen ein weiteres Customizing vornehmen. Derartige Anpassungsmöglichkeiten sind bei einem hohen Standardisierungsgrad einer SaaS-Anwendung aber oft nur eingeschränkt vorhanden.
Einfache SaaS-Lösungen (wie Webmail-Dienste) existieren seit den Anfängen des Internets und sind daher dem Grunde nach nichts Neues. Gleiches gilt für die Bereitstellung komplexer Softwareapplikationen, die (wie im Rahmen der Basistechnologien in Abschnitt 2.3.2 erläutert) bereits Gegenstand des Application Service Providing (ASP) waren. Breitbandige Datennetze machen es jedoch heutzutage möglich, selbst datenintensive Softwarelösungen über das Internet zu nutzen. Software muss daher nicht mehr lokal auf einem PC oder Notebook installiert werden, sondern kann in der Cloud als reine Webanwendung ausgeführt werden.
Vorteile Der große Vorteil von SaaS ist, dass Nutzer auf die Webanwendung von beliebigen Standorten aus zugreifen können. Ob Office-Lösung oder Spezialsoftware, meist reicht ein PC, Notebook, Tablet oder ein anderer Thin Client aus, um die Anwendung geräte- und ortsunabhängig in einem Browserfenster oder über eine App zu nutzen.