Nach über zehn Jahren Cloud-Hype mit der ganzen Wolke von technischen wie organisatorischen Problemstellungen und Nebeneffekten kehrt die politische Gesamtsituation den Trend um: wer OnPrem1 in eine aktuelle Infrastrukturdebatte einbringt, wird nicht mehr automatisch belächelt.
Doch jenseits aller kurzlebigen Tech-Strömungen – was bleibt von den ehemals gepriesenen Killer-Features und Vorteilen beider Seiten?
Betrachten wir doch einmal die IT-Infrastruktur-Seite der Debatte, die im Cloud-Umfeld mit dem Label „IaaS“ versehen wurde.
Zur Erinnerung, hier die jeweiligen Vorteile:
| Cloud2 | OnPrem |
|---|---|
| On-Demand-Self Service Jederzeit buch- und kündbar | Grad der Abhängigkeit von Dritten ist strategisch wählbar |
| Broad Network Access „unendliche“ Bandbreite | Volle Hoheit über Ressourcen |
| Resource Pooling Orts- und technologieunabhängige, ständige Verfügbarkeit der Dienste | Kosten sind gut planbar |
| Rapid Elasticity Schnelle Anpassung an Bedarf | Volle Transparenz von Architektur und Technologien |
| Measured Service Zahlung nach Verbrauch | Kann in wirtschaftlich schwierigen Zeiten auch „den Gürtel enger“ schnallen3 |
| Immer neueste Technologie & Funktionalität | |
| Keine zeilenweise Gegenüberstellung |
Aus den obigen Cloud-Grundeigenschaften haben sich neue Entwicklungs- und Betriebskonzepte (DevOps) entwickelt, die man allerdings auch OnPrem (bzw. in eine „Private Cloud“) anwenden könnte.
Natürlich haben Cloud und OnPrem auch deutliche Kehrseiten – seltsamerweise sind diese bei den jeweiligen Opponenten eines Ansatzes immer leichter präsent:
| Cloud | OnPrem |
|---|---|
| Kosten schwer unter Kontrolle zu bringen | kurzfristig: unflexibel; keine Elastizität |
| Compliance-Probleme | Silo-Bildung Dev/Ops |
| Vendor Lock-In | kurzfristig: fixer Kosten-Block; schwierige Ressourcen-Optimierung |
| Ausfälle „auf der letzten Meile“ führen zu Blackout | personalintensiv |
| bindet Kapital für Räume, Ausstattung, Geräte | |
| Keine zeilenweise Gegenüberstellung |
Was hat „uns“ nun bewogen, zwischen (etwa) 2015 und 2025 den OnPrem-Ansatz regelrecht zu verteufeln und uns den Hyperscalern (wie aws, Azure, Google Cloud) in die Arme zu werfen?
Ohne bei der Analyse in die Details zu gehen liegt es nahe anzunehmen, dass die Antwort sehr einfach ist: es ging um’s Geld. Beim Abwägen obiger PROs und CONs hat am Ende die kurz- und mittelfristige Kostenüberlegung den Ausschlag gegeben.
Beflügelt wurde die Entwicklung wohl auch vom Bestreben der Unternehmen, die Kapitalbindung herkömmlicher OnPrem-Infrastrukturen aufzulösen (CAPEX-OPEX-Shift).
Mit Hybrid-Cloud4-Modellen versucht man schon seit beginn der Cloud-Hypes, die Stärken von Clouds zu kombinieren. Natürlich hat Hybrid wie jeder Kompromiss seine Schattenseiten, aber Unternehmen sind verschieden – die eigenen Optionen herauszuarbeiten und geschickt die jeweiligen Vorteile für sich zu nutzen hilft, den optimalen Weg zu finden.5
Denkansatz: Eine Hybrid Cloud kann man auch mit europäischen Cloud-Anbietern aufbauen und es ist ein Irrglaube, sie seien den US-Hyperscalern in jedem Fall funktional unterlegen.
Im Falle von Private Cloud bzw. OnPrem darf man nicht aus den Augen verlieren, dass es etliche Umsetzungsvarianten gibt: viele Rechenzentrumsanbieter stellen Cages oder Racks bereit, andere vermieten Server und Managed Service Provider bieten dazu vielfältige Dienste in allen „Geschmacksrichtungen“ an.
Am Ende hilft, wie schon gesagt, die Kenntnis der eigenen Anforderungen und fachmännische Analyse der bestehenden Möglichkeiten.
Sicherheit Cloud vs. OnPrem
Wie ist die Informationssicherheit einer IaaS Public-Cloud gegenüber OnPrem zu bewerten?
Die jahrelangen Erfahrungen mit beiden Konzepten haben eines gezeigt: Fehler kann man hier ebenso machen wie dort. Es stimmt: im Cloud-Fall werden gewisse „dumme Fehler“ beim Setup von Systemen durch die vorgegebenen Templates und Default-Werte vermieden – seltene, aber ebenso dumme Fehler der Cloud-Anbieter stehen dem aber entgegen.6
Wo im einen Fall Probleme bei der Sicherheit der Verwaltungsschicht (Control Pane) Grund zur Sorge sein mag, ist es im anderen Fall eventuell die physische Sicherheit des Rechenzentrums.
Was ist aber mit politischen Verwerfungen (und den Compliance-Sorgen), die ja den Kern des neuen OnPrem-Hypes ausmachen? Sie betreffen alle Schutzziele der Informationssicherheit, aber zuletzt ist speziell die Verfügbarkeit in den Fokus gerückt.
Während im Mittelstand eine IaaS Public-Cloud meist OnPrem-Lösungen überlegen war, steigt die Sorge über einen gewollten Ausfall (die Amerikaner würden das als „Weaponizing Cloud Services“ bezeichnen).
Um das Risiko zu quantifizieren empfiehlt es sich zu prüfen, welche Prozesse der Organisation in welchem Grad von der Verfügbarkeit der betreffenden Cloud-Dienste abhängen.
Spoiler: in Wahrheit sind ziemlich sicher die Kern-Prozesse unmittelbar betroffen; als einzige „Stellschraube“ im Risiko-Management-Prozess bleibt die Einschätzung der Wahrscheinlichkeit – dann kommt es auf den „berühmten“ Risiko-Appetit der Geschäftsleitung an…
Was ist zu tun?
Tatsächlich überlegen manche Organisationen schon seit langem, ob sie den US-Hyperscalern den Rücken kehren sollen. Natürlich kostet ein solcher Cloud-Exit zunächst eine Menge Geld. Und man gäbe sich natürlich einer Illusion hin wenn man annähme, OnPrem-Systeme wären unabhängig von Clouds. Sie unterhalten vielfältige Verbindungen zu ganz unterschiedlichen Cloud-Diensten, von Microsoft Office-Produkten bis hin zu relativ nachrangigen Tools, die Telemetriedaten senden.
Ein gangbarer Weg, um dieses komplexe Thema anzugehen ist, es sorgfältig in seine Aspekte aufzuteilen, wie oben erwähnt die eigenen Anforderungen gegen die verfügbaren Möglichkeiten zu prüfen um gangbare Optionen herauszuarbeiten, dann die damit verbundenen Chancen und Risiken zu ermitteln, eine Wahl zu treffen und schließlich konsequent zu handeln.
- OnPrem wird nachfolgend mit „Private Cloud“ gleichgesetzt ↩︎
- siehe https://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-145.pdf ↩︎
- Achtung: auch wenn eine IT-Infrastruktur für eine gewisse Zeit „eingefroren“ werden kann, taugt dies nur als Notmaßnahme und niemals als längerfristige Arbeitsweise ↩︎
- Hybrid Cloud ist eine Kombination verschiedener Clouds – ggfs. auch „public“ und „private“ (= OnPrem) ↩︎
- Übrigens: es lohnt sich, diesen indiviuellen Weg beständig zu justieren. Einer der größten unternehmerischen Fehler bei der IT-Kostenoptimierung ist, sie als Zeitpunktbetrachtung zu verstehen – dabei sollte sie kontinuierlich erfolgen. ↩︎
- siehe https://www.heise.de/news/Klatsche-fuer-Microsoft-US-Behoerde-wirft-MS-Sicherheitsversagen-vor-9674431.html ↩︎