Die dunkle Seite der Wolke: Risiken des Cloud Computing

Eines der prominentesten Hype-Themen des vergangenen Jahres war und ist zweifellos das Cloud Computing. In meinem Beitrag im CRM-Beratungsbrief 05/2009 hatte ich dieses Thema bereits aufgegriffen und dabei auch Definitionen und Begriffsabgrenzungen im Umfeld der Wolke (SaaS versus ASP) gegeben.

Doch die Diskussionen zum Thema Cloud Computing wollen nicht enden. Denn die Hoffnung, mit Cloud Computing IT-Kosten zu sparen, ist insbesondere in Zeiten von Wirtschaftskrisen natürlich ein starker Treiber, sich mit der „Wolke“ und ihren Pros und Kons zu beschäftigen. Insofern mache ich hier einen erneuten Statusbericht. Was die Unternehmen besonders bewegt, ist nach meiner Erfahrung und nach vielen Diskussionen insbesondere die „dunkle Seite“ der Wolke, also besonders die Risiken, die hier lauern.

Beginnen wir mit der Frage, wo denn überhaupt in den Unternehmen Cloud Computing zum Zuge kommt. Wie wir wissen, hat alles im CRM begonnen (Vorreiter: salesforce.com), hat dann auch gut Fuß gefasst im HCM (human capital management) und inzwischen gibt es Angebote für viele Bereiche, auch ERP (hier will sich ja auch die SAP mit Business-by-Design etablieren). Ganz oben auf der Liste der zukünftigen Einsatzmöglichkeiten steht aber laut Forrester (siehe http://www.ecin.de/news/2009/03/19/12973/index.html) das Thema „Kollaboration“. Und in der Tat hat hier kürzlich die IBM einen Rekorddeal gemacht: Man rüstet 380.000 Arbeitsplätze bei Panasonic mit LotusLive aus, eine webbasierte E-Mail- und Kollaborationslösung. Das ist derzeit der größte bekannte Deal im Cloud Computing.

Ist ein solcher Deal in Deutschland denkbar? Wohl kaum, denn die Unternehmen im Land des Forschungs- und Entwicklungsvorreiters hinken hinter Frankreich und Großbritannien hinterher. So sieht es wenigstens die Gartner Group, die in einer Studie untersucht hat, wie stark SaaS in den Unternehmen bereits genutzt wird (siehe http://www.ecin.de/news/2009/04/01/13022/index.html). Die Gartner-Meinung wird durch eine Untersuchung des Softguide unterstützt (siehe http://www.cio.de/dynamicit/aktuelles/885347/).

Nebenrolle SaaS
Für die Mehrzahl der Softwareanbieter im deutschsprachigen Raum ist SaaS als Geschäftsmodell kaum relevant. Das liegt insbesondere daran, dass sich seitens der potenziellen Kunden die Nachfrage nach SaaS in Grenzen hält. Das sagt auch Wolfgang Schwetz in seinem Beitrag im CRM-Beratungsbrief 01/2009: Er spricht von „CRM on Demand – ein Mauerblümchen“.

Weltweit gelten als Blocker Nummer 1 für die Einführung von Cloud Computing Sicherheitsbedenken und die Angst davor, die Kontrolle über Daten und Systeme zu verlieren. In Deutschland ist in entsprechenden Studien der Anteil der Bedenkenträger um acht Prozentpunkte höher als weltweit (siehe http://www.silicon.de/software/it-services/0,39039005,41006462,00/sicherheitsbedenken+bremsen+cloud+computing.htm). Diese Bedenken sind allerdings durchaus gerechtfertigt. Selbst John Chambers, Cisco Systems’ Chairman und CEO sagt: “It is a security nightmare and it can`t be handled in traditional ways.“ (im April 2009, siehe http://www.networksasia.net/content/cloud-computing-security-nightmare-says-cisco-ceo).

Pro und Kontra
In der InfoWorld (siehe http://www.infoworld.com/d/cloud-computing/5-lessons-dark-side-cloud-computing-669?page=0,0&source=IFWNLE_nlt_daily_2009-08-07) findet man fünf Lektionen von der dunklen Seite des Cloud Computing: legale Aspekte (wenn der Cloud-Anbieter beispielsweise geprüft wird, werden Ihre Unternehmensdaten möglicherweise auch geprüft!), man ist nicht Besitzer der Hardware (das kann Probleme beim Testen bringen: Man braucht die explizite Erlaubnis des Cloud-Betreibers!), Phishing-Angriffe sind schwieriger abzuwehren, die Virtualisierung an sich ist ein Problem (wer garantiert, dass bei einem Cloud-Anbieter eine Maschinen-Instanz auch wirklich keine Reste von Informationen des vorherigen Nutzers mehr enthält?) und in einer virtuellen Umgebung können auch auf Applikationsebene Dinge passieren, die man nicht für möglich gehalten hat (beispielsweise im analytischen Bereich können Algorithmen betroffen sein, die auf einmal nicht mehr so funktionieren wie gedacht – prominentestes Beispiel sind Zufallszahlengeneratoren).

Als Treiber für Cloud Computing dagegen gelten die typischen Cloud-Anbieter-Argumente: schnell einsatzfähige Lösungen, an jedem Arbeitsplatz in der Welt identische Software, flexible, dynamisch anpassbare Kosten, finanzielle Vorteile durch Miete statt Kauf, keine Hardware, keine Infrastruktur. Mit diesen Mythen räumt Gartner auf und sagt unter dem Titel „Anwender unzufrieden mit SaaS-Lösungen“, dass die Implementierung zu lange dauert, Servicekosten zu hoch sind und die Lösungen sich schlecht integrieren lassen. Unternehmen schaffen teilweise die Anwendungen wieder ab (siehe http://www.cio.de/891297).

Darüber hinaus gibt es aber auch noch weitere Blocker für SaaS, die man nicht unterschätzen sollte. Ausfallzeiten wie in der Mobil-Telekommunikation, wo Millionen Nutzer nicht mehr telefonieren können (wie beispielsweise 2009 in Deutschland passiert), sind auch beim SaaS möglich und treten auch auf. Das ist bei Google schon mehrfach passiert. Der letzte bekannte Gau war ein „Verkehrsstau“, bei dem für Millionen Nutzer Google im Mai 2009 während rund einer Stunde nur noch eingeschränkt oder auch gar nicht mehr verfügbar war. Ein Stromausfall legte im Dezember 2009 auch Amazon’s EC2 lahm. Das ist keine gute Werbung für die Cloud. Für 2010 erwarten Experten sogar einen „Wolkenbruch“ (cloud catastrophe (http://www.businessweek.com/technology/content/dec2009/tc20091211_347388.htm).

Weiterer Blocker sind die versteckten Kosten des Cloud Computing. Auch wenn ein Preis von 100 Dollar pro Nutzer und Jahr sehr attraktiv klingt, so stecken dahinter noch weitere Kosten, die man nicht unterschätzen sollte, beispielsweise Kosten für die Umstellung, die Architektur (ohne SOA hat man Probleme und Kosten bei der Integration) und den Betrieb (siehe http://www.cio.com/article/506719/Beware_Cloud_Computing_s_Hidden_Costs).

Zum Schluss ist noch eine weitere Hürde für SaaS zu nennen: Die manchmal doch recht eingeschränkte Anpassung der Lösung. Zwar gibt es bei den meisten SaaS-Lösungen offene Standardschnittstellen, aber das hilft nur, wenn man selbst auch eine SOA fährt. Und schließlich, was passiert, wenn der SaaS-Anbieter sang- und klanglos vom Markt verschwindet wie neulich die Coghead (www.coghead.com)? Da wurden die Kunden im Regen stehen gelassen. Mit anderen Worten: niemals SaaS ohne Exit-Alternative!

Allerdings – bei allen hier dargestellten Bedenken ist SaaS durchaus ein Modell mit Zukunft, wenn man es richtig anpackt. Panasonic hat sich deshalb wohl auch für eine Cloud-Lösung entschieden, die unter den hier dargestellten Aspekten passt: eine dem heutigen Stand an Security entsprechende Kollaborationslösung mit einem zuverlässigen Partner. Die hier dargestellten Risiken wurden ausgeschlossen bzw. minimiert.

Fazit zu SaaS 2010:
Unternehmen müssen heute individuell abwägen, ob eine SaaS-Lösung eine für sie attraktive Lösung sein kann, vor allem in Hinblick auf die eigene Unternehmensgröße, globale Ausrichtung und Finanzierungsaspekte unter der Berücksichtigung der Stabilität und Zukunftssicherheit des Cloud-Anbieters, unter Berücksichtigung der unterschiedlichen SaaS-Angebotstypen und Einsatzfelder und auch unter den technologischen Gesichtspunkten einer Service- und Prozessorientierung. Und wie schon gesagt: niemals SaaS ohne Exit-Alternative. SaaS ja oder nein ist daher eine unternehmensindividuelle Entscheidung. Ein generelles „Go for SaaS“ macht (heute noch) keinen Sinn.

Autor: Dr. Wolfgang Martin

Dr. Wolfgang Martin ist ein europäischer Experte und Analyst auf den Gebieten • Business Intelligence, Analytik, Big Data • Information Management, Information Governance • CRM (Customer Relationship Management) • Cloud Computing (PaaS, SaaS) Sein Spezialgebiet sind die Wechselwirkungen technologischer Innovation auf das Business und damit auf die Organisation, die Unternehmenskultur, die Businessarchitekturen und die Geschäftsprozesse. Er ist Mitglied im BBBT (Boulder BI Brain Trust) (www.BBBT.us), iBonD Partner(www.ibond.net), Research Advisor am Institut für Business Intelligence der Steinbeis Hochschule Berlin (www.i-bi.de) und Mitglied des CRM Expertenrates (http://www.crm-expert-site.de/expertenrat/main_expertenrat.cfm?site=rat). Vor der Gründung des Wolfgang MARTIN Teams in 2001 war Dr. Martin über fünf Jahre bei der META Group, zuletzt als Senior Vice President International Application Delivery Strategies.

E-Mail: wolfgang.martin@wolfgang-martin-team.net

Internet: http://www.wolfgang-martin-team.net