Was treibt uns bei der Entwicklung unseres Produktes an? Vor welchen Herausforderungen stehen wir als Anbieter einer Cloud-Software-Lösung? Wie gehen wir mit den Anforderungen unserer Kunden um? Und worauf ist er als Kopf der Entwicklung besonders stolz? Darüber spricht unser CEO Flo heute mit seinem Mitgründer Jakob, dem CTO von Bilendo.

 

Transkript zur Podcast-Episode

 

Florian Kappert:

Hallo und herzlich willkommen zu unserer neuen Episode des Risk-Different-Podcasts, dem Podcast für Finanzverantwortliche, Buchhalter, Credit Manager und allen, die sich für das Thema Effizienzsteigerung im Finanzbereich interessieren.

Mein Name ist Florian Kappert und ich freue mich heute ganz besonders über den Gast im heutigen Podcast, Jakob, mein Mitgründer und CTO von Bilendo. 

Wir sprechen heute über ein Thema, auf das wir sehr häufig stoßen. Jakob, wir sind ja irgendwie beide ITler, du ein echter ITler, ich nur so ein halber ITler. Wir sprechen heute über das Thema Cloud-Software und über einen Begriff, der in dem Bereich immer durch das Netz und unser Netzwerk geistert: eine "Fake-Cloud". 

Was klingelt denn bei dir, wenn jemand fragt: "Habt ihr eine Fake-Cloud oder seid ihr eine echte Cloud?"


Jakob Beyer:

Vielleicht sollten wir einmal kurz klären, was wir mit Fake-Cloud meinen. Ich glaube, das Thema Cloud-Software wurde in den letzten Jahren ziemlich gehyped und auch gerade jetzt dieses Jahr mit dem ganzen Corona-Wirrwarr sind sehr viele Anbieter auf das sehr gehypte Thema Cloud aufgesprungen und haben einfach versucht, ihre bestehenden Lösungen auch in einer Cloud bereitzustellen, also irgendwelche Softwarelösungen, die davor "on-premise" waren, einfach in einem Rechenzentrum zu installieren.

Zu sagen: "Es steht nicht mehr im Keller oder im eigenen Rechenzentrum, sondern irgendwie online halt und das ist jetzt auch Cloud." 


Florian Kappert:

Okay, dann machen wir mal eine Begriffsabgrenzung. Was ist "on-premise"?


Jakob Beyer:

On-premise ist im Prinzip die alte Softwarewelt, in der man eine Software lokal bei sich installiert, man vielleicht eine CD bekommt oder mittlerweile einen Download und sich eine eigene Instanz der Software selber installiert, die man im eigenen Unternehmen dann selber nutzt.


Florian Kappert:

Okay. Meiner Interpretation nach gehen wir in der Evolution einen Schritt weiter. 

Jakob, was ist denn eine Client-Server-Infrastruktur?


Jakob Beyer:

Eine Client-Server-Infrastruktur besteht im Prinzip aus zwei Komponenten einer Software. Auf dem Server läuft meistens die Datenspeicherung, die Datenbank und oft ein großer Teil der Business-Logik. Und bei dem Client, also bei dem Endnutzer auf dem Gerät, läuft dann eine abgespeckte Version der Software, die sich mit dem Server verbindet und im Prinzip bloß noch die Anwendung und das Interface für den Nutzer bereithält.

Client-Server-Anwendungen haben den Vorteil, dass sie etwas dezentraler sind und mehrere User direkt auf Daten zugreifen können.


Florian Kappert:

Eine echte Cloud-Anwendung ... was sind die Vorteile und woran erkenne ich das Ganze?


Jakob Beyer:

Eine echte Cloud-Anwendung ist im Prinzip eine Software, die zu 100 % in der Cloud läuft. Also die Infrastruktur läuft in der Cloud oder die Server werden - meistens virtuelle Server von einem großen Cloud-Anbieter - gemietet und das ganze Hosting der Software und die ganze Bereitstellung der Software erfolgt in der Cloud.

Also ich muss nichts lokal installieren, sondern ich kann meistens über den Browser auf die Version der Software in der Cloud zugreifen. Dabei ist es fast immer so, dass alle Nutzer oder alle Kunden des Softwareanbieters auf die gleiche Version zugreifen und der Softwareanbieter im Prinzip die Software bereitstellt. Dieser sorgt auch dafür, dass alles funktioniert, dass alles schnell ist, dass alles gut skaliert, dass die Software zur Verfügung gestellt wird, dass Backups gemacht werden und ich das ganze wirklich "as a Service" miete und ich eben nicht nur einfach die Software bezahle, sondern auch die Bereitstellung, das Hosting, die Wartung und den Betrieb der Software. 

Als Nutzer merke ich das meistens daran, dass ich von überall aus auf der Welt, dort wo ich Internet habe, auf die Software zugreifen kann und dass die Software nicht auf mein Unternehmen zu 100% customized is. 

Bedeutet also, dass ich keine Bereiche der Software habe, die nur für mein Unternehmen gelten, sondern dass ich eine allgemeingültige Software habe, auf die von überall aus auf der Welt zugegriffen werden kann, die von dem Anbieter der Software im Hintergrund laufend aktualisiert wird, gewartet wird und laufend weiterentwickelt wird, sodass man von den ganzen Vorteilen einer Cloud-Software profitieren kann.


Florian Kappert:

Ja, klingt nach einer überlegenen Lösung. Da sollten wir einfach nochmal ins Detail gehen. 


Jakob Beyer:

Über die Vorteile der Cloud-Software kann man wahrscheinlich stundenlang reden. Das ist aber vielleicht Thema eines eigenen Podcasts. 


Florian Kappert:

Okay. Und wenn wir jetzt über das Thema Fake-Cloud sprechen, wie grenzen wir das jetzt weiter ab? Da kommt noch sowas bei mir im Netz vor wie eine "Remote-Desktop-Anwendung".

Wie kriegen wir das zusammen?


Jakob Beyer:

Hahaha, ja, das ist sicherlich die niedrigste Einstiegsbarriere in die Cloud.

Eine Remote-Desktop-Verbindung bedeutet im Prinzip, dass sich der Client, also der lokale Benutzer, auf einem Server anmeldet und dort sein Betriebssystem sieht und abrufen kann. Es ist also einfach eine Software, die on-premise auf dem Server installiert wurde und in einer Remote-Desktop-Verbindung ausgeführt wird. 

Gäbe es zehn User, dann würden sich zehn User mit dem gleichen Server verbinden und das Betriebssystem und die Software würden nicht lokal gestartet werden, sondern auf dem Server. 


Florian Kappert:

Okay. Das Betriebssystem könnte dann theoretisch schon in der Cloud sein. Ist das dann schon eine Cloud-Software? 


Jakob Beyer:

Nein, nicht mal ansatzweise. Eine richtige Cloud-Software hat ja vielfältige Vorteile und das, was wir jetzt gerade besprochen haben, wäre im Prinzip einfach nur eine Migration der bestehenden On-Premise-Lösungen mit allen Vor- und Nachteilen, aber vor allem Nachteilen, auf ein Rechenzentrum.

Die eigentlichen Vorteile einer Cloud kann man so noch nicht nutzen.


Florian Kappert:

Ja, okay. Jetzt gehen wir einen Schritt weiter, bevor wir auf die Vorteile zu sprechen kommen, weil die gibt es, glaube ich, auf beiden Seiten. 

Wenn jemand ein total schlechtes Gefühl dafür hat, ob die Anwendung, mit der er arbeitet, eine Cloud-Anwendung ist oder nicht, woran erkennt er denn in der Regel, dass er mit einer Cloud-Software arbeitet?


Jakob Beyer:

Ja, gute Frage. Eine Cloud-Software funktioniert in den allermeisten Fällen oder eigentlich immer nur dann, wenn man auch Internet hat, weil man die Software natürlich nicht lokal auf seinem Computer, der auf dem Schreibtisch oder unter dem Schreibtisch steht, startet. 

Stattdessen verbindet man sich mit dem Internet und das Ganze läuft dann in der Cloud, also im Internet. 

Ganz oft laufen Cloud-Anwendungen auch im Browser ab, also da, wo man normalerweise im Internet surft. Wenn man die Software im Browser nutzt, dann ist es in den allermeisten Fällen eine echte Cloud-Anwendung.


Florian Kappert:

Also habe ich ausschließlich, aber irgendwie auch zwangsläufig über meinen Browser Zugriff auf die Anwendung, die ich benutzen will.

Jetzt könnte man natürlich so weit gehen und sagen: "Ich verbinde mich mit einem Remote-Desk-Client mit einem Server, also vielleicht meinem Arbeitsplatz in der Arbeit und rufe dort einen Browser auf, um dort eine Anwendung zu starten oder wähle dort aus dem Internet eine Anwendung aus."

Sind wir dann wieder beim Thema Fake-Cloud? Ist das on-premise oder ist das eine echte Cloud-Anwendung?


Jakob Beyer:

Die Analogie habe ich jetzt nicht verstanden. Ich wähle mich auf meinem Arbeitscomputer ein, starte da den Browser und nutze eine Cloud-Software.


Florian Kappert:

Ja, vielleicht eine im Intranet zur Verfügung gestellte Lösung, die von außen nicht erreichbar ist. 


Jakob Beyer:

Achso. Dafür gäbe es auch die Möglichkeit, sich in ein VPN einzuloggen und dann direkt auf das Intranet zuzugreifen. Dann könnte ich wieder über den Browser lokal auf das Intranet zugreifen, obwohl ich remote im Homeoffice oder an einem anderen Standort bin.


Florian Kappert:

Ja, verstanden. Das ist wahrscheinlich gar nicht so selten, aber ich jetzt für meinen Geschmack würde da immer noch nicht von einer echten Cloud-Anwendung sprechen. 

Wenn ich mit meinem "Halb-Techie-Wissen" über die Vorteile von Cloud-Software und Cloud-Technologie sprechen würde, dann fallen mir natürlich hauptsächlich die vertrieblichen Argumente ein. 

Also Cloud-Software ist in der Regel einfach zu bedienen. Cloud-Software ist in der Regel schnell einzurichten. Installieren ist hier das falsche Wort, weil Cloud-Software muss in der Regel nicht installiert werden, die ist einfach da und funktioniert im Prinzip, ich sag mal so, fast sofort.

Cloud-Software ist irgendwie gemietet. Also oft zahle ich für eine Cloud-Software pro Monat. Da stelle ich mir natürlich die Frage: "Ist Cloud-Software jetzt günstiger oder teurer?" Aber da können wir nachher noch mal drüber reden.

Cloud-Software ist für meinen Geschmack in der Regel schnell, also gefühlt gibt es im Hintergrund ziemlich viele Rechenkapazitäten, die es mir ermöglichen, mit der Software schnell zu arbeiten.

Wie schaut es denn mit dem Thema Sicherheit aus? Also wenn wir von Cloud-Software reden und wenn wir an die letzten zehn Jahre denken, dann war sicherlich einer der größten Einwände von Unternehmen gegen Cloud-Software, dass diese nicht sicher sei.

Was muss man da beachten?


Jakob Beyer:

Ich glaube, dass sich da in den letzten Jahren sehr viel getan hat. Mittlerweile hat, glaube ich, Amazon mit ihren Cloud-Anwendungen die meisten Sicherheitszertifizierungen, die es gibt in allen Ländern. Sowohl internationale als auch lokale Zertifizierungen und auch alle Compliance-Zertifizierungen. 


Florian Kappert:

Wahrscheinlich nicht nur Amazon, sondern Microsoft Azure und Co. auch.


Jakob Beyer:

Genau. Amazon sagt von sich, dass sie am meisten haben. 


Florian Kappert:

Ja.


Jakob Beyer:

Und das sieht man auch daran, dass mittlerweile Banken, große Konzerne und Behörden anfangen ihre Anwendungen in der Cloud zu hosten. Also da hat sich bei dem ganzen Thema Zertifizierung und Compliance sehr viel getan und damit ist die Aktie im Markt auch deutlich gestiegen, sodass immer mehr große Kunden, für die Datensicherheit und Datenschutz extrem wichtig ist, trotzdem den Schritt in die Cloud wagen. 


Sicherheit in der Cloud
Cloud-Security: Wie sicher ist sicher genug?

 
Florian Kappert:

Okay. Ist das dann immer ein Vertrauensthema? War die Cloud vorher auch schon sicher und hängt es immer an der Zertifizierung oder woran liegt das, dass eine Cloud jetzt plötzlich auch das Vertrauen genießt?

Wir müssen ja davon ausgehen, dass die Unternehmen, die eine Cloud nutzen, sich diese vorher auch sehr genau anschauen, weil die Zertifizierung ist am Ende ja nicht nur reine Kosmetik, sondern da steht auch einiges dahinter.

Ein Unternehmen könnte sich ja eine eigene Cloud aufbauen und auch selber die ganzen Zertifizierungen machen, oder?


Jakob Beyer:

Ja, das wäre natürlich bei unbegrenzten Ressourcen definitiv möglich. 

Es ist allerdings genauso wie man das vielleicht am besten mit Geld vergleichen kann. Ich könnte mir natürlich das Geld einfach unters Kopfkissen legen und sagen: "Ich passe selber darauf auf, wird schon nichts passieren." 

Ich könnte mir sagen: "Ich baue mir einen riesen Tresorschrank in den Keller, den ich gegen alle möglichen Diebe absichere und ich gebe dafür wahnsinnig viel Geld aus." 

Oder ich gehe einfach zu einem Unternehmen, das darauf spezialisiert ist, mein Geld sicher zu verwahren und ich bringe es dann zu einer Bank.  Ich glaube, ein ähnlicher Prozess ist in der Entwicklung der Cloud und gerade der Platform-as-a-Service und Infrastructure-as-a-Service auch eingetreten. Die Leute, die am Anfang skeptisch waren, akzeptieren mittlerweile, dass es Firmen gibt, die darauf spezialisiert sind, die einfach die besten Spezialisten weltweit haben, was das Thema Datenschutz und Datensicherheit angeht und es meist besser ist einem Spezialisten zu vertrauen, als zu versuchen alles selber zu machen. 

Das wird gerade im Hinblick auf die Kosten aber natürlich auch auf das Endergebnis interessant. Also wie sicher, wie redundant und wie ausfallsicher und datenschutzkonform ist am Ende alles?


Florian Kappert:

Ja, das ist wahrscheinlich trotzdem nur eine Seite der Medaille, weil am Ende ist es natürlich wichtig, dass die IT-Infrastruktur sicher ist. 

Da muss ich mir darüber im Klaren sein, dass wenn ich meine Daten vor dem Zugriff Dritter oder auch vor dem Datenverlust, durch eine Naturkatastrophe oder was auch immer, schützen will, es natürlich wahnsinnig teuer ist, wenn ich mir selber ein oder mehrere Rechenzentren anschaffen muss, die dieselben Zertifizierungen und dieselben Sicherheitsstandards - und darauf kommt es am Ende an - wie die großen Infrastrukturanbieter da draußen haben. Amazon ist da sicherlich ein sehr prominentes Beispiel. 

Das könnte ich schon tun. Jetzt ist die Infrastruktur sicher, wenn die Ressourcen zur Verfügung stünden, bei mir diese Rechenzentrumskapazitäten selber aufzubauen, dann könnte ich das als Unternehmen tun. Das wird natürlich viel teurer, weil ein solcher Infrastrukturanbieter kann sich das natürlich anders leisten, weil die Kosten auf viele, viele, viele Kunden umgelegt werden und sie deswegen sozusagen auch die ganz großen Schutzgeschütze auffahren können. 

Aber die Infrastruktur ist ja, wie gesagt, nur eine Seite der Medaille. Die Anwendungen, die da laufen, hängen ja dann hochgradig davon ab, dass die Softwareentwickler, die die Anwendung entwickeln, Cloud-Software ist am Ende ja immer noch Software, darauf achten, dass die Daten auch gut programmiert sind und an der Stelle gut geschützt sind. 

Wie siehst du das? Also was kann man dafür tun, dass das wiederum passt? Wenn die Software schlecht ist und wenn sie den Zugriff erlaubt, hört man ja immer mal wieder, dass irgendein Kreditkartenanbieter aus Versehen all seine Kunden im Internet verloren hat oder andere Datenlecks vorkommen. Was kann man da tun?


Jakob Beyer:

Gute Frage, Flo, hahaha.


Florian Kappert:

Hahaha. Das würde mich jetzt mal interessieren.


Jakob Beyer:

Es ist natürlich so, dass es mit der Infrastruktur nicht getan ist. Man braucht zusätzlich natürlich noch die Administration des Ganzen. Also man muss das Personal vorhalten, um die Server betreiben zu können, um sie ausfallsicher betreiben zu können, Hardware-Defekte ausfindig zu machen und dergleichen. 

Die zweite Komponente ist dann die Software selbst. Da hat sich in den letzten Jahrzehnten in der Softwareentwicklung die agile Softwareentwicklung durchgesetzt, die einfach weggeht von starren und lang geplanten Release-Zyklen. 

Man kennt es von früher noch. Da kommt einmal im Jahr oder einmal im Halbjahr vielleicht eine neue Version der Software heraus, die dann Sicherheitslücken behebt oder System-Updates bereitstellt. Da ist man in der modernen Entwicklungen weit davon entfernt mittlerweile. In der gegenwärtigen Softwareentwicklung wird in sehr kleinen Inkrementen gearbeitet und es werden sehr schnell neue Versionen veröffentlicht. Das Hosting der Software in der Cloud ist eine ideale Kombination, weil man einfach als Softwareanbieter sehr schnell neue Versionen der Software bereitstellen kann, oft mehrmals am Tag. 

Damit kann man natürlich Probleme, Bugs und Performance-Probleme, aber auch Sicherheitsprobleme sehr viel schneller beheben. Das funktioniert auch, ohne dass man als Softwareanbieter jeden einzelnen Kunden kontaktieren muss, um das lokale IT-Team zu bitten den Hotfix zu installieren.


Florian Kappert:

Das klingt auf der einen Seite wie ein großer Vorteil, auf der anderen Seite klingt es auch wie eine Verschiebung der Verantwortung, wenn wir sagen: "Wir warten einfach mal, bis ein Fehler auftritt und dann beheben wir ihn schnell." Im Gegensatz dazu kann natürlich im vorhinein so gut geplant werden, dass gar keine Fehler mit eingebaut werden. Ist das so?


Jakob Beyer:

Ich glaube, jeder Softwareanbieter und jeder Programmierer hat natürlich als Ziel, keinen Fehler zu machen. Man geht natürlich auch davon aus, dass man selber unfehlbar ist und keine Bugs verursacht. Auch da gibt es mittlerweile, witzigerweise in in der Cloud gehostete, sehr mächtige Lösungen, die in der Softwareentwicklung eingesetzt werden und die "continuous integration" ermöglichen. Das bedeutet, dass sobald man eine neue Version der Software bereitstellt oder programmiert hat, Zigtausende von Tests ausgeführt werden, um sicherzustellen, dass die Software immer noch funktioniert. 

Im Endeffekt wird Software von Menschen erstellt und es können immer Fehler drin sein. Aber die nahezu unendliche Rechenkapazität der Cloud und auch die unendlichen Serverressourcen mit den schnellen Release-Zyklen, die man zur Verfügung hat, führen sicherlich dazu, dass die Qualität an der Software viel schneller besser wird.

Sie kann so auch einfacher gehalten werden, zumal ganz oft bei der richtigen Cloud-Anwendung auch der Anbieter der Cloud-Anwendung das Hosting selber macht und wir damit von einer Version der Software sprechen. So muss man nicht berücksichtigen, dass das eine vielleicht auf einem veralteten Betriebssystem läuft und bei dem anderen Kunden vielleicht noch eine ganz, ganz alte Version läuft.

Stattdessen läuft eigentlich immer alles zentralisiert und man kann viel einfacher testen, wenn man auch im Staging- oder Testsystem die Live-Umgebung des Kunden oder des Systems einfach reproduzieren kann. 


Florian Kappert:

Ich glaube, das Thema Agilität ist da einfach super wichtig. An der Stelle gibt es ein schönes Zitat von Werner Vogels, dem Vice-President und CTO von Amazon, der gesagt hat: "Everything fails all the time." Man hat halt ständig mit Problemen zu tun, weil einfach viele Dinge bei Technologie die ganze Zeit schiefgehen können und da ist es eben wichtig, denke ich mal, sich einfach für den Fall der Fälle zu wappnen. 

Wenn man dann nicht agil ist und man nicht einen zentralen Punkt hat, an dem man das Problem lösen muss, sondern man hunderte oder tausende Problemstellen hat, nämlich die Installationen bei den Kunden, dann führt das natürlich zu einem großen Zeitverlust. Und ein Zeitverlust bei einer Datenlücke ist natürlich das, was man auf keinen Fall will.


Jakob Beyer:

Ja. Es ist in einer Cloud-Infrastruktur oft so, dass man es mit virtuellen Servern zu tun hat, also Servern, die nicht physisch existieren, sondern nur virtuell arbeiten. Das bedeutet, die Software und die ganze Anwendung wird auf zehn, hunderte oder sogar tausende Rechner verteilt. 

Man kann damit im Gegensatz zu physischen Rechnern eine viel größere Redundanz einbauen. Also es kann mehrere Server geben, die genau das gleiche machen und sollte dann einer dieser Server ausfallen oder einer der Server ein Problem haben, dann ist das Gesamt-Setup immer noch so resilient, dass es mit diesen Problemen gut umgehen kann und man kann die eine Komponente einfach austauschen.


Florian Kappert:

Ist das der Grund, warum Cloud-Software schneller ist, beziehungsweise schnell ist oder schnell sein kann?


Jakob Beyer:

Schnell sein kann, ja. Das hängt natürlich wieder von der Softwareentwicklung ab. Die Geschwindigkeit und die Performance liegen einfach daran, dass ich in der Cloud die direkte Leistung, die ich brauche, einfach zur Verfügung gestellt bekomme. 

Wenn ich die Hardware selber kaufen würde und ich stelle fest, ich brauche mehr Rechenleistung, dann muss ich mir einen neuen Server kaufen, muss warten, bis der geliefert ist, bis er eingebaut ist, bis da die Software installiert ist und dann habe ich meine Rechenleistung verdoppelt und ich habe ab dann immer doppelt so viel Rechenleistung. 

In einer Cloud-Anwendung kann ich oft mit mehreren Klicks oder oft auch vollautomatisiert sagen: "Ich muss jetzt mal kurzzeitig für die nächsten 15 Minuten oder für den nächsten Tag die zur Verfügung stehenden Rechenkapazitäten verzehnfachen oder verhundertfachen." Das geht sehr schnell und ist vollautomatisch möglich. Und im Gegenzug gilt aber auch: Wenn man merkt, dass man im Moment vielleicht nicht so viele Rechenkapazitäten braucht, kann man die Ressourcen auch einfach wieder reduzieren, sodass man dem Anbieter nur das zahlt, was man eigentlich nutzt. 

Ich wollte eigentlich noch eine andere Geschichte erzählen zum Thema Resilienz und "everything fails all the time". 

Netflix: Dort hat das Entwicklungsteam einen Bot programmiert, der jeden Tag die Aufgabe hat etwas kaputt zu machen. Also der fährt jeden Tag beliebige Server und beliebige Komponenten einfach herunter, um das Entwicklungsteam und das IT-Team die ganze Zeit auf Trab zu halten und dafür zu sorgen, dass alles darauf ausgelegt ist, dass alles redundant ist und alles trotzdem noch funktioniert, sodass es eigentlich gar nicht mehr auffällt, wenn einmal echt etwas kaputt geht, weil "Chaos Monkey" - so heißt dieser Bot - die ganze Zeit schon Sachen kaputt gemacht hat.

Dieses Selbstbewusstsein des IT-Teams, die durch ein Programm sozusagen absichtlich die Server herunterfahren und am Ende funktioniert trotzdem noch alles, zeigt eigentlich, wie mächtig die Cloud ist und wie selbstsicher da mittlerweile manche Softwareanbieter sind. Sie sagen: "Das ist so redundant und so schnell, wir können dynamisch die Last und die Serverkapazitäten anpassen, sodass sie eigentlich auf alle Eventualitäten vorbereitet sind."


Florian Kappert:

Du hast jetzt Netflix gesagt und ich habe vorhin Amazon gesagt. Ich denke mal an den Nutzer, also bei Netflix wäre es derjenige, der gerne Serien konsumiert, bei Amazon ist der Nutzer ja ein bisschen abstrakter, weil im Prinzip auf Amazon verschiedenste Applikationen laufen, nehmen wir mal irgendeinen Onlineshop, da wäre der Nutzer derjenige, der in dem Onlineshop einkauft. 

Ist es denn für den Nutzer relevant, wer der Infrastrukturanbieter ist, also ob das im Hintergrund von Amazon oder IBM oder Oracle oder Google oder Microsoft kommt? Ist es für den Nutzer, dabei kann der Nutzer natürlich auch ein ganzes Unternehmen sein, ausschlaggebend, wo die Infrastruktur liegt oder haben die Nutzer am Ende gar keine Berührungspunkte?


Jakob Beyer:

Also der Nutzer einer Software kriegt im Normalfall gar nicht mit, wo das Ganze liegt. Solange es einer der großen Anbieter ist, gibt es da auch keine großen Unterschiede, würde ich sagen. Die ganzen großen Anbieter, die du genannt hast, bieten alle mittlerweile Rechenzentren überall auf der ganzen Welt an, sodass man auf die lokalen gesetzlichen Regelungen Rücksicht nehmen kann. 

Das ist ja vielleicht der einzige Unterschied, dass ich als Nutzer vielleicht möchte, dass meine Daten nur in der EU oder nur in Deutschland oder nur in Kanada oder wo auch immer verarbeitet werden. Aber die großen Anbieter haben da mittlerweile überall Lösungen, damit man das lokal hosten kann.

Aber als Endnutzer bekomme ich normal gar nicht mit, wo das Ganze liegt. 


Florian Kappert:

Aber ich kann als Unternehmen schon dafür sorgen, dass meine Daten das Land nicht verlassen. Ich spiele da gerade ein bisschen auf die ePrivacy-Verordnung an, bei der es darum geht, dass man als Unternehmen in der EU verhindern möchte, dass durch irgendeinen Rechtsvorfall eine US-Behörde Zugriff auf die Daten bekommen kann, weil fast alle oder alle eben genannten Unternehmen US-Unternehmen sind. Die ePrivacy-Verordnung, die GDPR-Verordnung und das US-Privacy-Shield versuchen, im Prinzip ein Regelwerk zur Verfügung zu stellen, das die Daten schützt.

Habe ich denn als Endanwender oder als "Zwergkunde" von einem Cloud-Service-Anbieter die Möglichkeit, da wirklich Einfluss zu nehmen?


Jakob Beyer:

Also als Endkunde habe ich die Möglichkeit nicht, aber als der Betreiber der Software, der die Cloud-Infrastruktur nutzt, kann ich das sehr genau konfigurieren und sehr genau steuern, wo die Daten liegen, in welchen Rechenzentren, in welchen Gebieten und in welchen Ländern. Da hat sich in den letzten Jahren auch sehr viel getan. 

Ich glaube, alle großen Anbieter bieten mittlerweile Rechenzentren exklusiv in Deutschland an, sodass ich alles genau so steuern kann, dass die Daten Deutschland nicht mal verlassen. Das ist etwas, was der Softwareanbieter seinen Endkunden zur Verfügung stellen kann. 


Florian Kappert:

Aber jetzt mal angenommen, eine Behörde, es könnte eine EU-Behörde sein, erwirkt einen Zugriff auf die Daten. Wie kann ich denn als Softwareanbieter oder wie kann denn auch ein Unternehmen, das eine Softwarelösung einkaufen möchte, sicherstellen, dass die eigenen Kundendaten an der Stelle trotzdem sicher sind, falls eine Behörde oder ein Dritter sich Zugriff auf diese Daten erwirkt?


Jakob Beyer:

Grundsätzlich gibt es natürlich die Möglichkeit alles zu verschlüsseln, auf dem Transportweg vom Client oder vom Browser hin zum Server mit SSL-Zertifikaten zum Beispiel, damit sich einfach niemand zwischen den Nutzer und den Anbieter setzen kann und den Funkverkehr mithören kann. Das ist, denke ich, auch Branchenstandard mittlerweile. 

Zum anderen kann der Softwareanbieter dafür sorgen, dass die Daten auf dem Server in der Cloud verschlüsselt gespeichert werden. Da gibt es verschiedene Stufen der Verschlüsselung, aber das ist ein zusätzlicher Schutz, weil damit nicht mal der Cloud-Infrastruktur-Anbieter Zugriff auf die Daten hätte, wenn sie die entsprechenden Schlüssel nicht haben.

 

Florian Kappert:

Ja. Das heißt, dann wäre ausschließlich der rechtliche Inhaber der Daten dazu fähig, die Daten zu entschlüsseln und ist somit sozusagen zur Nutzung ermächtigt. Aber der Anbieter selber kann mit den Daten im Prinzip genauso wenig machen wie ein potenzieller Dritter, der sich irgendwie Zugriff erwirkt, oder?


Jakob:

Genau. Für den Anbieter der Infrastruktur ist das Vertrauen in seine Dienstleistung oder seinen Service das höchste Gut. Wenn das Vertrauen einmal verspielt wäre, würden sie alle ihre Kunden verlieren. Das wäre für Amazon, Google, Oracle und Co. das Schlimmste, was sie machen könnten, wenn sie irgendwie das Vertrauen der Kunden verspielen würden.

Sie haben also überhaupt gar kein Interesse daran, auf die Kundendaten zuzugreifen und diese gegebenenfalls für Werbezwecke usw. auszuwerten. Weil sie verdienen einfach ihr Geld mit der Bereitstellung der Hardware und verschiedener Softwarekomponenten und -lösungen. Sie haben selber ein Interesse daran, dass alles sicher verschlüsselt wird und alles den gesetzlichen Regelungen entsprechend gehandhabt wird, damit sie einfach ihre Kunden zufrieden stellen können.


Florian Kappert:

Okay, das heißt aber unterm Strich, als Konsument oder als Unternehmen, das eine Cloud-Anwendung anschaffen möchte, habe ich zunächst mal sicherzustellen, dass der Infrastrukturanbieter im Hintergrund die notwendigen Datensicherheitsvorkehrungen getroffen hat.

In der Regel kann man davon ausgehen, wenn es einer dieser großen Anbieter ist, wovon es ja leider in der EU noch nicht so viele gibt, aber die EU arbeitet da an einem Konzept. Zumindest könnte ich mich auf die großen amerikanischen Anbieter verlassen, was die reine Infrastruktur-Sicherheit betrifft und zum anderen sollte ich irgendwie darauf achtgeben, dass die Anwendung an sich sicher entwickelt ist und sie die notwendigen Sicherheitsvorkehrungen mit sich bringt, oder?


Jakob Beyer:

Genau, richtig.


Florian Kappert:

Unter diesen Voraussetzungen könnte man sagen, dass eine Cloud-Anwendung doch sicherer ist als die lokale Installation im eigenen Rechenzentrum?


Jakob Beyer:

Ich würde schon sagen, weil sie einfach schneller mit Updates versorgt wird und die Qualität der physischen Absicherung des Rechenzentrums sicherlich bei den großen Anbietern deutlich höher ist als bei einer selbst gehosteten Lösung. Wenn es ein seriöser Cloud-Softwareanbieter ist, dann wird es auch Disaster-Recovery-Pläne und ein 24/7 Monitoring geben, sodass die Bereitstellung und die Erreichbarkeit der Software und der Plattform im Prinzip von Spezialisten übernommen wird und nicht vom eigenen IT-Team oder einem externen Dienstleister.


Florian Kappert:

Ist vielleicht nochmal ein schöner Punkt. Du hast gesagt, die Softwareanbieter … es gibt ja unendlich viele Softwareanbieter. Ist es denn üblich, dass Softwareanbieter sich wiederum selber eine eigene Cloud aufbauen und im Prinzip denselben Ansatz wählen, wie ein Infrastrukturanbieter im Hintergrund? Sie könnten sagen: "Naja wir haben so viele Kunden. Wir bauen uns jetzt eine eigene Cloud-Infrastruktur auf und die ist dann entsprechend auch sicher."


Jakob Beyer:

So etwas gibt es immer mal wieder. Der Vorteil der Cloud-Infrastruktur ist natürlich, dass ich sie beinahe unendlich skalieren kann. Sie ist aber verglichen damit, wenn ich sie selber einkaufen würde, etwas teurer. 

Es gibt immer mal wieder Firmen oder Softwareanbieter, die sagen, sie ergänzen die reine Cloud, bei der sie die Plattform mieten, durch eigene Server, die allerdings dann natürlich auch selber administriert werden müssen, die selber gewartet werden müssen, die selber gehostet werden müssen und damit fahren sie eine Art Hybridlösung.

Das ist für den Enduser wieder nicht ersichtlich, was da genutzt wird. Das wird meistens aus einem Kostendruck oder aus Kostensicht gemacht. Da muss man allerdings schon viel Aufwand betreiben, um das gleiche Maß an Sicherheitsstandards zu erreichen wie die Großen.


Florian Kappert:

Da fällt mir, glaube ich, das richtige Stichwort an der Stelle einen: das Thema "total cost of ownership".


Jakob Beyer:

Ja.


Florian Kappert:

Also was kostet mich das, wenn ich die Anwendung mit allem, was dazugehört, miete, versus wenn ich die ganze Infrastruktur, Personal, Wartungskosten etc. nicht nur miete, sondern zusätzlich auch noch irgendwie Personal, Strom, Miete etc. und alles, was halt sonst anfällt, zur Verfügung stellen muss. 

Das muss ich alles mit in die Rechnung mit einbeziehen und da glaube ich, können wir mit Sicherheit sagen, dass die Cloud-Anwendungen an der Stelle einfach auch Kosten- und Effizienzvorteile mit sich bringen. Aber in der Praxis muss man sich natürlich immer die Details anschauen, was vor allem immer dann wichtig ist, wenn man die Kosten dafür trägt. Bei Netflix ist es ja einfach, da kann jeder für sich selber entscheiden, ob er ca. 10€ im Monat zahlen will oder nicht. Aber wenn es um Business-Anwendungen geht, dann ist es natürlich doch eine andere Rechnung. 

Somit muss man eine Rechnung erstellen, die berücksichtigt, was man gerne hätte und was die Alternative kosten würde. 


Jakob Beyer:

Genau.


Florian Kappert:

Okay, jetzt sind wir leider schon quasi mit der Zeit am Ende. Ich glaube, wir haben immer noch unendlich viel Zeit, um weitere Themen zu besprechen. Wir haben noch gar nicht über das Thema Vorteile und Nachteile von jeweils on-premise und Cloud-Software gesprochen. Da fällt mir spontan das Thema Customizing ein. Da fällt mir das Thema Software-Flexibilität ein. 

Ich glaube das ist eine schöne Überleitung zur nächsten Episode, die wir einfach in Zukunft gemeinsam aufnehmen werden. Aber für heute würde ich sagen, belassen wir es mal dabei.

Super, dass es geklappt hat. Ich denke, wir werden das sehr zeitnah ergänzen.


Jakob Beyer:

Ja.


Florian Kappert: 

Und ich sage: Jakob, danke für deine Zeit und wir sehen uns.


Jakob Beyer:

Ja, vielen Dank!

 

Diese Inhalte wurden maschinell erstellt und von unseren Redakteuren auf Lesbarkeit optimiert. Für eine genaue Wiedergabe der Inhalte hören Sie sich bitte das Original im Audio an.