Cloud Computing

Cloud Computing

Antonia Herfurth, LL.M., Rechtsanwältin in München und Hannover

Was ist Cloud Computing?

Cloud Computing beschreibt die Bereitstellung von IT-Infrastruktur über das Internet. Der Cloud-Anbieter stellt Hardware und/oder Software bereit, abhängig vom gewählten Cloud Computing-Modell. Somit ist Cloud Computing das Gegenstück zur traditionellen IT-Infrastruktur vor Ort („on premise“).

Charakteristisch ist, dass Nutzer Cloud-Lösungen selbständig und unabhängig vom Anbieter nutzen können, unkompliziert über das Internet Zugriff haben und der Anbieter die benötigten Kapazitäten schnell und bedarfsgerecht bereitstellt. Die Ressourcen können gleichzeitig von mehreren Nutzern genutzt werden, mithin muss die Rechenleistung und Speicherkapazität beim Anbieter ausreichend sein.

Mithilfe von Cloud Computing werden dem Nutzer Kosten, Organisationsaufwand und Verantwortung abgenommen. Er kann von überall auf die IT-Infrastruktur zugreifen. Die Dienste sind skalierbar, die Leistung kann also nach Bedarf erweitert oder reduziert werden. Mithin hat der Nutzer mehr Flexibilität. Die Zahlung erfolgt in der Regel nutzungsbasiert („pay as you go“). Andererseits geht Know-how beim Nutzer verloren, wenn es ausgelagert wird. Ein Risiko im Cloud Computing ist der Verlust von Kontrolle und Sicherheit über die ausgelagerte Infrastruktur.

 

Cloud Computing-Modelle

Die drei bekanntesten Cloud Computing-Modelle sind Infrastructure as a Service, Plattform as a Service und Software as a Service. Software as a Service ist am stärksten verbreitet, gefolgt von Infrastructure und Plattform as a Service. Die Modelle unterscheiden sich im Umfang der bereitgestellten Leistung.

Infrastructure as a Service (IaaS)

Bei IaaS stellt der Anbieter dem Nutzer die physische Infrastruktur zur Verfügung. Der Nutzer benötigt vor Ort keinen Server mehr, er muss sich nicht um die Stellfläche, Rechenleistung, den Speicherplatz oder die Archivierung und Sicherung von Daten kümmern. Der Anbieter ist verantwortlich für Ausfälle, Reparaturen und sonstige Hardware-Probleme. Hingegen ist der Nutzer verantwortlich für das Betriebssystem, Middleware, Runtime, Anwendungen, Daten und Sicherheit, und die etwaige Konfiguration der Firewall, sprich die gesamte Software.

Bei IaaS besitzt der Nutzer eine hohe Kontrolle, denn nur die Hardware ist ausgelagert; viele Aspekte der On-Premises-Lösungen bleiben erhalten. Andererseits ist er verantwortlich für die Infrastruktur, die sich unter seiner Kontrolle befindet. Ebenso deren Sicherheit muss er gewährleisten. Verwendet der Nutzer ältere Software und Anwendungen, sind diese möglicherweise nicht mit der bereitgestellten Hardware kompatibel, sodass Aktualisierungen notwendig sind.

IaaS ist eine interessante Lösung für Unternehmen, bei denen der Bedarf stark schwankt, so wie Online-Shops, und für Unternehmen mit einem schnell ansteigenden Bedarf, beispielsweise dynamisch wachsende Start-ups.

Beispiele für IaaS sind Amazon Web Services, Google Cloud und Microsoft Azure.

Plattform as a Service (PaaS)

PaaS baut auf IaaS auf. Es stellt die Hardware und die Umgebung bereit, die für die Entwicklung neuer Software notwendig ist. Dazu greift der Nutzer auf eine Online-Plattform zu. Bei PaaS ist der Anbieter verantwortlich für Hardware, Betriebssystem, Middleware und Runtime. Der Nutzer ist verantwortlich für Daten und Anwendungen.

PaaS richtet sich besonders an Softwareprogrammierer und -entwickler.

Mithilfe von PaaS gewinnen Entwickler Zeit und Freiheit für die Entwicklung von Software, da sie sich nicht um die Wartung der Umgebung kümmern müssen. Allerdings ist die Umgebung nicht individualisierbar. Außerdem ist der Nutzer abhängig vom Anbieter. Treten Störungen beim Anbieter auf, wirken diese sich unmittelbar auf die Software aus, die auf der Plattform liegt. Fällt der Anbieter weg, fällt die gesamte Plattformumgebung weg. Ferner passen nicht alle Plattformen zu allen Softwares, sodass der Entwickler gegebenenfalls erst Anpassungen vornehmen muss.

Beispiele für PaaS sind die Versionsverwaltungsdienste GitHub und GitLab. Eine Versionsverwaltung ist ein System, das Änderungen an Dateien und Dokumenten protokolliert und archiviert, sodass auf vorherige Versionen zurückgegriffen werden kann. Bringt also die zuletzt vorgenommene Änderung an einer Software Nachteile mit sich, kann der Entwickler einfach auf die Vorgängerversion zurückgreifen.

 Software as a Service (SaaS)

SaaS baut auf PaaS auf. Es stellt dem Nutzer die Hardware, Software, Daten und Anwendungen zur Verfügung, der Nutzer greift lediglich über einen Webbrowser darauf zu. Er braucht sich nicht darum zu kümmern, dass die Hardware genügend Leistung hat, damit die Software störungsfrei läuft, und nicht um Installation und Wartung der Software.

Das Modell richtet sich primär an reguläre Endnutzer. Es ist besonders interessant für kleine Unternehmen und Start-ups, die nicht die Kapazität für die Entwicklung eigener Anwendungen haben und keine maßgeschneiderten Anwendungen benötigen.

SaaS ist besonders benutzerfreundlich. Allerdings benötigt der Nutzer eine Internetverbindung, anderenfalls kann er nicht auf den Dienst zugreifen. Bei großen Datenmengen kann die Übertragung lange dauern, wohingegen eine Übertragung bei On-Premises-Infrastruktur schnell und recht störungsresistent über Giganet-Ethernet (Netzwerkkabel) erfolgt. Ferner kann der Nutzer keine individuellen Anpassungen vornehmen, er „konsumiert“ nur. Es kann vorkommen, dass die bereitgestellte Software inkompatibel ist mit Anwendungen, Services, dem Betriebssystem oder Browser des Nutzers (letzteres selten). Außerdem besteht eine hohe Abhängigkeit vom Anbieter, Störungen wirken sich unmittelbar auf die Geschäftsprozesse des Nutzers aus. Im Übrigen verbleibt dem Nutzer bei SaaS wenig Kontrolle, da sämtliche Infrastruktur ausgelagert ist. Das führt dazu, dass Datenschutz und Datensicherheit bei diesem Modell noch kritischer sind als bei IaaS und PaaS.

Beispiele für SaaS sind das Content Management Systeme WordPress, Office-Lösungen wie Microsoft Office365, der E-Mail-Dienst Gmail und der Filehosting-Dienst Dropbox.

Weitere „as a Service“-Modelle 

Es existieren viele weitere Modelle, die letztlich aber IaaS, PaaS und SaaS zugeordnet werden können, wie Desktop as a Service oder Security as a Service.

In letzter Zeit hat sich ein weiteres Geschäftsmodellherausgebildet, nämlich Data as a Service (DaaS). DaaS wird ermöglicht durch SaaS, unterscheidet sich jedoch von den anderen Cloud-Diensten dadurch, dass der Fokus der Leistung allein auf der Bereitstellung von Informationen liegt, dem Ergebnis der Datenverarbeitung. Informationen können Text-, Bild-, Sound- und Videodateien sein. DaaS soll sich noch mehr den Bedürfnissen des Nutzers anpassen. Ein Beispiel für DaaS sind KI-gestützte Übersetzungstools wie DeepL.

Ein Überblick: IaaS, PaaS, SaaS im Vergleich

Quelle: https://www.leanix.net/de/wiki/saas/iaas-vs-paas-vs-saas

 

Private Cloud und Public Cloud

Der Nutzer kann entscheiden, ob er für die Speicherung von Software und Daten exklusiv IT-Ressourcen nutzen oder diese mit anderen teilen möchte.

Bei einer Private Cloud wird eine bestimmte IT-Ressource ausschließlich von einem Nutzer oder einem definierter Nutzerkreis genutzt, deren Zusammenstellung gezielt erfolgt, beispielsweise aufgrund eines ähnlichen Geschäftsfeldes. Im Gegensatz dazu greifen die Nutzer bei einer Public Cloud auf einen gemeinsamen externen IT-Ressourcen-Pool zu, ohne dass die einzelne Ressource bestimmten Nutzern zugewiesen ist. Der Zugriff erfolgt über das öffentliche Internet. Die Hybrid Cloud ist eine Mischung aus Private Cloud und Public Cloud. Der Nutzer lässt sensible Bereiche in der privaten Umgebung, für nicht sensible Bereiche nutzt er die öffentlichen Ressourcen. Vorteil ist, dass der Nutzer, wo nötig, von den hohen Sicherheitsstandards der Private Cloud profitiert, ansonsten aber von der guten Skalierbarkeit der Public Cloud.

 

Cloud Computing-Verträge

Die Verträge, die Cloud Computing-Diensten zugrunde liegen, bestehen aus mehreren Teilen. Sie bestehen mindestens aus einem allgemeinen „Hauptvertrag“, einer umfassenden Leistungsbeschreibung und Bestimmungen zu Sicherheit und Datenschutz. Häufig wird dies ergänzt durch besondere Bedingungen für einzelne Dienste und Produkte und vertragsexterne Dokumente, z.B. Standards und Zertifikate.

Der „Hauptvertrag“, der Cloud Computing-Diensten zugrunde liegt, ist in der Regel ein Mietvertrag. Der Nutzer nutzt die vom Anbieter bereitgestellten IT-Ressourcen während einer begrenzten Zeit gegen ein Entgelt. Werden darüber hinaus weitere Leistungen vereinbart wie Wartung, Pflege und Hotlineservices, haben diese einen dienst- oder werkvertraglichen Charakter. In diesem Fall ist der Cloud Computing-Vertrag ein typengemischter Vertrag mit im Wesentlichen mietvertraglichen Charakter.

Zusätzlich werden sog. Service Level Agreements (SLA) geschlossen, die den Leistungsumfang beschreiben. Dem Mietrecht entspringt das gesetzliche Leitbild der 100%-igen Verfügbarkeit. Da jedoch Online-Dienste in der Realität nicht stets zu 100% verfügbar sind, einigen sich Anbieter und Nutzer über den quantitativen und qualitativen Standard der zu erbringenden Leistung wie Verfügbarkeit (z.B. 98% im Monat), Geschwindigkeit, Reaktionsfähigkeit, Störzeiten.

Verwendet der Nutzer die externe IT-Infrastruktur für personenbezogene Daten, z.B. Kundendaten, muss er als Verantwortlicher Datenschutzvorschriften einhalten. Hierzu schließen der Cloud-Nutzer als Verantwortlicher und der Cloud-Anbieter als Auftragsverarbeiter einen Auftragsverarbeitungsvertrag (AVV). Die Verarbeitung personenbezogener Daten in Drittländern ist besonders kritisch. Auch die USA sind ein Drittland, in dem marktdominierende Cloud-Anbieter wie Amazon und Microsoft sitzen.

  

Zusammenfassung

Cloud Computing ist geeignet für Nutzer, die nicht sämtliche IT-Infrastruktur vor Ort haben möchten. Der Nutzer spart Zeit und Kosten, abhängig vom jeweiligen Modell muss er die Infrastruktur nicht selbst anschaffen, warten und Sicherheitsmaßnahmen unterwerfen. Allerdings verliert der Nutzer über ausgelagerte Infrastruktur zu einem gewissen Grad die Kontrolle. Für Nutzer, die besonders hohen Sicherheits- und Datenschutzanforderungen unterliegen, sind IT-Ressourcen vor Ort sicherer als solche in der Cloud; auch wenn Anbieter Datenschutz- und Sicherheitskonzepte implementieren.

Nutzer müssen entscheiden wie wichtig ihnen Kontrolle, Anpassbarkeit und Komfort sind – danach können sie entscheiden, ob Cloud Computing zu ihnen passt und wenn ja, welches Modell.

 

+ + +