// Informativ // Qualitativ // Unabhängig
Edition 04/2011 Cloud Computing
Mobile Computing
Events
Technologien
www.symposiajournal.de
Cloud Governance: Das Rad muss (fast) nicht neu erfunden werden von Dr. Dietmar Wiedemann
Die rechtlichen Herausforderungen sind lösbar von RA Jan Schneider, Fachanwalt für IT-Recht
Interview im Rahmen des CloudOps Summit 2011 Umfrage im Rahmen des CloudOps Summit 2011
initiiert durch Roland Judas und Chris Boos
Informativ | Qualitativ | Unabhängig Liebe Leser, das Jahr 2011 neigt sich dem Ende und die Cloud hat begonnen sich auch in Deutschland zu etablieren. Viele Unternehmen haben mit der Evaluation begonnen oder stecken schon mitten in einer Public, Private oder Hybrid Cloud. Dennoch bestehen weiterhin weitrechende Bedenken bzgl. der sicheren Nutzung von Cloud Services, sei es technischer, organisatorischer oder technischer Natur. Das zeigten u.a. die Fragen und Diskussionen auf der SecTXL '11 in Hamburg und Frankfurt. In dieser Ausgabe behandeln wir daher noch einmal ausgewählte Themen. Darunter rechtliche Lösungsansätze für die Nutzung von Cloud Computing, den Bereich Cloud Governance und machen einen Cloud Computing Reality Check, der zeigt wie es derzeit wirklich ausschaut. Dabei darf der Einfluss des Cloud Computing auf Unternehmen natürlich ebenfalls nicht fehlen. Darüber hinaus haben wir auf dem diesjährigen CloudOps Summit 2011 in Frankfurt mit mehreren Experten Interviews geführt, die wir in dieser Ausgabe genauso veröffentlichen wie die Umfrage der Organisatoren des CloudOps Summit zur Nutzung, bzw. dem Nutzungsverhalten von Cloud Computing Services. Viel Spaß beim Bilden wünschen Björn Böttcher & René Büst
Inhalt
04/2011
4
SymposiaJournal
Inhalt
04/2011
SymposiaJournal
5
Veranstaltungen
04/2011
SecTXL '11 | Frankfurt
Ein Rückblick auf den 22.11 .2011 Cloud Computing und die Themen Sicherheit & Datenschutz sind nicht voneinander zu trennen. Zu hoch sind die Bedenken, Daten in der Cloud zu verlieren oder schlimmer in die Hände unbekannter Dritter zu geben. Am 22.11 war es soweit. Die SecTXL kam in Ihrer Geschichte erstmalig nach Frankfurt und konzentrierte sich mit Ihrem Leitsatz “Juristische und Technische Sicherheit für die Cloud!” auf exakt diese Bereiche und Themen und betrachtete damit den Bereich der Cloud Computing Sicherheit ganzheitlich. Den Startschuss gab dieses Mal Eva Schlehahn mit Ihrem Vortrag “Konzepte & Bedingungen für vertrauenswürdiges Cloud Computing”, gefolgt von Andreas Weiss dem Director von EuroCloud Deutschland (“Cloud Computing ist die Zukunft – aber sicher!”) und Jan Schneider von der Kanzlei SKW Schwarz Rechtsanwälte (“Kanzlei des Jahres für Informationstechnologie”, JUVE-Awards 2011 ) und seinem Vortrag “Cloud-Compliance – Was Provider und Nutzer beachten müssen”. Die drei genannten Referenten bildeten den Themenblock Datenschutz & Datensicherheit, der mit einem Diskussionspanel abgeschlossen wurde. Insbesondere die Einführung der themenspezifischen Diskussionspanels, die durch unseren – erneut auf höchstem Niveau agierenden – Moderator Mark Masterson hervorragend geführt wurden, waren eine gute Entscheidung. Diese führten zu angeregten Gesprächen zwischen den Teilnehmern und Referenten als auch zwischen den Referenten selbst und wurden jeweils ohne Außnahme zeitlich bis zum Ende genutzt. Anschließend folgten im Bereich Governance Dr. Dietmar Wiedemann mit seinem Vortrag “I T-Governance matters. Drei Geschichten über Chancen und Risiken der CloudNutzung” und der kurzfristig eingesprungene Chris Boos mit seiner polarisierenden Präsentation “Standardisierung funktioniert nicht (mehr) – Akt III Sicherheit“. Die SecTXL wurde mit dem letzten Bereich Technische Dicherheit durch Ulf Feger 6
SymposiaJournal
Veranstaltungen
04/2011
(“Der Weg zur Cloud Security – ein Transformationsprozess!“) und dem Gewinner der SecTXL Awards Hamburg Markus Mertes (“Cloud-Security – Kollektive Intelligenz gegen die Cyber-Mafia“) abgeschlossen. Musste in Hamburg auf Grund eines Sales Pitches noch ein Vortrag abgebrochen werden, hielten sich in Frankfurt alle Referenten erfreulicherweise an unseren Code of Conduct, was wahrscheinlich auch an der Möglichkeit für die Teilnemer lag, im Falle einer Marketingpräsentation den Referenten die gelbe bzw. rote Karte zu zeigen, um diesen damit freundlicherweise von der Bühne zu bitten. Ein Wermutstropfen war die im Vergleich zu Hamburg geringere Anzahl an Teilnehmern, was speziell in der IT-Hochburg Frankfurt ein wenig verwunderte. Dieses löste bei dem einen oder anderen Teilnehmer jedoch eher positive Reaktionen hervor, da die persönliche, gar intime Atmosphäre besser gefallen hat als die Massenabfertigung so manch anderer Veranstaltung. Die SecTXL hat das Jahresziel erreicht und wird im kommenden Jahr an jeweils zwei Tagen gleich in 4 Städten , Hamburg , Frankfurt, München und Berlin , zu Gast sein. Alle Termine sind intern soweit fixiert und werden in den kommenden Wochen kommuniziert.
Reaktionen zur SecTXL ’11 Frankfurt “Thx.für die gelungene SecTXL. Die 2012-Events sind ein Muss für jeden, der sich für den sicheren Weg in die #Cloud entscheidet” (https://twitter.com/#!/d_brow/status/139059622320414720) “Tolles Event mit unglaublichen Einblicken. Hoffe, nächstes Mal wieder dabei zu sein. Artikel folgt.” (https://twitter.com/#!/EbbeSand/status/139040505626505216) “Die gestrige SecTXL ’11 in Frankfurt war ein voller Erfolg. Zumindest war ich nicht der einzige Teilnehmer, der das Symposium “Security in the Cloud” mehr als nur interessant fand.” “Es sollte meines Erachtens häufiger solcher Treffen von Entscheidern, Unternehmen und IT-Rechtsanwälten geben. Die SecTXL ’11 hat mir zumindest gezeigt, dass gerade in Deutschland noch eines fehlt: Kommunikation und die richtige Planung, Potenzial ist allemal vorhanden.” (http://de.enterpriseefficiency.com/author.asp?doc_id=236080&section_id=1292) “War gut .. Wie immer .. Empfehlenswert !” (Ulf Feger via Xing)
SecTXL '1 2 | Hamburg Die Location und der Termin für die SecTXL ’1 2 Hamburg stehen dennoch bereits fest. Diese wird am 22. und 23. Februar in der Bucerius Law School stattfinden. SymposiaJournal
7
04/2011
8
Geek and Poke
SymposiaJournal
Veranstaltungen
04/2011
Windows Azure User Group 01 /2011 Ein Rückblick auf den 02.11 .2011
Am 02.11 .11 fand das erste deutschlandweite Treffen der Windows Azure User Group in Hamburg statt. Als Host stellte sich dieses Mal die Hamburger Niederlassung der Microsoft GmbH zur Verfügung und versorgte alle Teilnehmer darüber hinaus mit kühlen Erfrischungen und kleinen Leckereien zur Stärkung beim Networking. Zunächst starteten wir mit einer kleinen Vorstellungsrunde der Teilnehmer und Referenten. Dieses Mal waren die geladenen “Gast”-Vorträge aus dem Hause Microsoft. Dies ist bei einem ersten Treffen immer sinnvoll, damit wir auch die entsprechende Grundlage für alle Teilnehmer bieten können. Nach der Vorstellungsrunde gab es eine Einführung in Gedanken zum Thema Skalierung und Cloud Computing. Dabei ging es eher um neue Denkmodelle zu der Thematik und ging weniger technologisch zu. Im Anschluß folgte Holger Sirtl (Architect Evangelist bei Microsoft) mit seinem frei, nach den Wünschen der Teilnehmer gestalteten Vortrag. Dieser bot einen sehr guten und aktuellen Überblick über Dienste der Windows Azure Plattorm. Ferner gab es eine Reihe von Tipps oder auch Best Practices. Der Vortag führte zu interessanten Diskussionen während und im Anschluss der Präsentation. Einige Themen des nächsten Treffens sind bereits fixiert und auch der Ort der Veranstaltung steht fest. Die Bilder des Treffens können auf unserer Flickr Seite betrachtet werden. Alles in allem blicken wir erneut auf ein erfolgreiches User Group Treffen zurück und freuen uns auf 01 /201 2. SymposiaJournal
9
04/2011
10
Geek and Poke
SymposiaJournal
Cloud Computing Recht
04/2011
Die rechtlichen Herausforderungen sind lösbar von RA Jan Schneider, Fachanwalt für IT-Recht
Die Nutzung von Cloud Services ist wirtschaftlich attraktiv - keine Frage. Insbesondere im deutschen Mittelstand bestehen aber vielfach noch Bedenken hinsichtlich der Rechtmäßigkeit solcher Dienste. Doch die rechtlichen Herausforderungen sind häufig lösbar. Für praktikable Lösungen müssen Anbieter, Nutzer und Datenschützer zusammenarbeiten. Über das Potenzial des Cloud Computings hat man während der letzten Monate viel vernommen. In zahllosen Artikeln, Vorträgen, Diskussionsrunden, Konferenzen etc. wird das Cloud Computing als DIE Technologie der Zukunft gepriesen. In der Tat spricht Einiges dafür, dass der Siegeszug der Cloud weltweit nicht mehr aufzuhalten ist. Doch endet die konstruktive Darstellung hierzulande allzu oft dort, wo es um die rechtlichen Aspekte geht. Auf einmal ist von "datenschutzrechtlichen Bedenken" die Rede, von "fehlender Cloud Compliance", gar von einer "Rechtswidrigkeit der Datenübermittlung". Viele Cloud Interessenten sind nach wie vor verunsichert. Wie steht es nun um die rechtliche Seite der Cloud? Ist sie in dieser Hinsicht ein düsteres Gewitter, oder lässt sich zwischen den Wolken letztlich doch die Sonne erblicken? Betrachten wir einige der wesentlichen, in letzter Zeit häufig diskutierten Aspekte einmal im Licht der Rechtspraxis.
Zulässigkeit der Datenübermittlung Im Rahmen der Nutzung von Cloud Services werden häufig auch sogenannte personenbezogene Daten in die Wolke gegeben. Das sind bekanntlich solche Angaben, mittels derer eine natürliche Person identifiziert werden kann - z. B. der Name der Person, deren Alter, Post- oder E-Mail-Anschrift, Geschlecht, Beruf oder Konfession. Keine personenbezogenen Daten liegen ggf. dann vor, wenn die Daten nur vollständig anonymisiert oder verschlüsselt in die Wolke übertragen werden. SymposiaJournal
11
04/2011
Cloud Computing Recht
Der Umgang mit personenbezogenen Daten unterliegt innerhalb der Europäischen Union gesetzlichen Beschränkungen. Grundsätzlich ist die Übermittlung personenbezogener Daten an den Cloud Service Provider (CSP) nur insoweit erlaubt, als dass hierfür nach dem jeweils anwendbaren Recht ein gesetzlicher Erlaubnistatbestand vorhanden ist, oder wenn - für viele Cloud Services in der Praxis kaum machbar - die betroffenen Personen zuvor ausdrücklich eingewilligt haben. Für den deutschen Rechtsraum finden sich wichtige Regelungen zu personenbezogenen Daten im Telemediengesetz (TMG) und im Bundesdatenschutzgesetz (BDSG). Diese Regelungen müssen hiesige Unternehmen auch dann beachten, wenn der CSP im Ausland ansässig ist. Nun hat es sich mittlerweile herumgesprochen, dass für eine rechtskonforme Übermittlung personenbezogener Daten die sogenannte Auftragsdatenverarbeitung das "Mittel der Wahl" ist. Dieses gesetzliche "Konstrukt" ermöglichst bei Einhaltung der in § 11 BDSG zementierten Anforderungen eine gesetzeskonforme Übermittlung personenbezogener Daten an den CSP. Konsequenz einer rechtmäßig gestalteten Auftragsdatenverarbeitung ist es, dass der Cloud Nutzer - aus rechtlicher Sicht - so behandelt wird, als ob er seine Daten weiterhin „selbst“ erhebt, speichert, verarbeitet und nutzt – auch wenn diese Vorgänge tatsächlich in der Wolke stattfinden.
Provider und Nutzer sind gemeinsam gefordert Die Erfüllung der gesetzlichen Anforderungen an eine Auftragsdatenverarbeitung ist nicht trivial, für den Rechtsspezialisten aber auch kein "Hexenwerk". Im Ergebnis lässt sich für viele Nutzungskonstellationen von Cloud Services eine Auftragsdatenverarbeitung rechtskonform gestalten. CSP's und Cloud Nutzer kommen derzeit allerdings nicht umhin, die diesbezügliche rechtliche Situation sorgfältig zu prüfen und die jeweils erforderlichen rechtlichen Maßnahmen zu treffen - z. B. in Form eines sorgfältig ausgearbeiteten und schriftlichen Vertrags. Wer hier als CSP seinen Kunden Arbeit abnimmt und z. B. durch einen angemessenen Vertragsstandard und ein durchdachtes und ordentlich dokumentiertes Datenschutzkonzept Vertrauen und Rechtssicherheit schafft, kann sich gegenüber der Konkurrenz einen beachtlichen Marktvorsprung verschaffen. Auf der anderen Seite wird ein Cloud Service hierzulande nicht langfristig erfolgreich sein, wenn er nicht mit sorgfältigem Blick auf die rechtlichen Aspekte gestaltet wird. Daran ändert es auch nichts, dass per Gesetz die Verantwortung für die Einhaltung der datenschutzrechtlichen Vorgaben bei den Nutzern liegt. Für bestimmte Services wie z. B. für die Verarbeitung von Patientendaten in der Wolke, gelten erhöhte rechtliche Anforderungen. Hier sind zukünftig womöglich von einer standardisierten Auftragsdatenverarbeitung abweichende Konzepte denkbar, z. B. indem diese um ein Einwilligungsverfahren ergänzt wird. Diesbezüglich besteht allerdings in der Tat noch einiger Klärungsbedarf. 12
SymposiaJournal
Cloud Computing Recht
04/2011
Der "sichere Hafen" in Übersee Weitergehende rechtliche Herausforderungen stellen sich dann, wenn der CSP personenbezogene Daten seiner Kunden außerhalb des Europäischen Wirtschaftsraumes vorhalten möchte. Bei aktuellen Cloud Konzepten passiert das weithin in Ländern, die nach Auffassung europäischer Datenschutzbehörden kein ausreichendes Datenschutzniveau aufweisen. Dazu gehören beispielsweise die USA, China und Indien. Um dennoch ein für eine rechtskonforme Datenübermittlung ausreichendes Schutzniveau herzustellen, bedarf es weitergehender Maßnahmen. Von erheblicher Praxisrelevanz sind dabei derzeit die "Safe Harbor"-Prinzipien, denen sich mehrere große US-CSP's unterworfen haben. Bei "Safe Harbor" handelt es sich um ein Abkommen zwischen der EU-Kommission und der US-Regierung aus dem Jahre 2000, das datenschutzrechtliche Maßnahmen beschreibt. US-Unternehmen können sich dem Abkommen im Wege einer freiwilligen Selbstverpflichtung unterwerfen. Die Einhaltung der "Safe Harbor"-Grundätze führt zu einem aus europäischer Sicht angemessenen Datenschutzniveau. Im April 201 0 hat der Düsseldorfer Kreis - eine informelle Vereinigung der obersten deutschen Datenschutzbehörden - dazu Stellung genommen, unter welchen Voraussetzungen "Safe Harbor" für das Cloud Computing bemüht werden kann. Hiernach muss der CSP für das "Safe Harbor"-Programm registriert sein und weiter dessen Einhaltung gegenüber den Cloud Nutzern - am Besten: vertraglich - gewährleisten. Darüber hinaus muss er die Einhaltung der "Safe Harbor"-Prinzipien aber auch durch geeignete und aktuelle Nachweise dokumentieren. Mag es hierzu auch noch einige offene rechtliche Diskussionspunkte geben: Die Vorschläge des Düsseldorfer Kreises sind konstruktiv und dürften sich für US-Clouds in der deutschen Rechtspraxis durchsetzen. Für andere CSP's bieten sich die bereits im Outsourcing bekannten Alternativen wie die sogenannten EU-Standardvertragsklauseln oder die Etablierung sogenannter Binding Corporate Rules an. Auch hier gilt damit: Die rechtlichen Herausforderungen sind da - aber sie sind lösbar.
Die Cloud Odyssee - und wie man sie vermeidet Für eine rechtmäßige Auftragsdatenverarbeitung muss der CSP die in § 9 BDSG beschriebenen technischen und organisatorischen Maßnahmen einrichten und aufrechterhalten. Doch damit nicht genug: Nach § 11 Abs. 2 S. 4 BDSG sind Cloud Nutzer gesetzlich verpflichtet, die Einhaltung dieser Maßnahmen vor Beginn der Nutzung des Services und hiernach regelmäßig zu überprüfen. Aber wie soll das funktionieren? Scheitert bereits hierzulande der Besuch eines Rechenzentrums meist an den dortigen Sicherheitsbestimmungen, würde spätestens der Besuch eines Rechenzentrums im Ausland, gar in Übersee, zu einer unzumutbaren Odyssee geraten. Glücklicherweise fordert der deutsche Gesetzgeber aber gar nicht, dass derartige Prüfungen tatsächlich durch das nutzende Unternehmen vor Ort beim CSP durchgeführt werden müssen. SymposiaJournal
13
04/2011
Cloud Computing Recht
Damit sind für die Erfüllung dieser gesetzlichen Anforderung Alternativen denkbar. So stellen einige CSP's ihren Kunden regelmäßig - z. B. von einem Wirtschaftsprüfer erstellte - Prüfberichte oder Testate zur Verfügung. Ebenfalls diskutiert werden etablierte Normen bzw. Nachweise, z. B. nach ISO/IEC 27001 , SSAE 1 6 oder ISAE 3402. Wenn sich diese Standards auch nicht ausdrücklich zum Cloud Computing verhalten, so decken sie doch einige wichtige technische und organisatorische Anforderungen an den Datenschutz durchaus ab. In Zukunft ist denkbar, dass aktualisierte oder neue Normen bzw. Nachweise den Anforderungen des Cloud Computing noch besser Rechnung tragen. Spätestens damit wird auch diese Anforderungen des Gesetzgebers im Ergebnis erfüllbar sein.
Unverzichtbar: Datenschutz-Dokumentation Ohnehin kommen CSP's für eine rechtskonforme Auftragsdatenverarbeitung nicht umhin, die Umsetzung und Aufrechterhaltung der technischen und organisatorischen Maßnahmen zum Datenschutz vollständig und nachvollziehbar zu dokumentieren, und diese Dokumentation als verbindlichen Bestandteil zu dem Vertrag mit dem Nutzer zu nehmen. Die Cloud Nutzer sind dringend gehalten, diese Dokumentation vor Vertragsschluss sorgfältig daraufhin zu prüfen, ob sie verbindlich formuliert ist und den gesetzlichen Anforderungen des § 9 BDSG entspricht. Eine solche Prüfung erfolgt im Regelfall sinnvollerweise durch den internen oder externen Datenschutzbeauftragten des jeweiligen Unternehmens, bei Bedarf in Zusammenarbeit mit einem beratenden Datenschutzrechtler.
Cloud Compliance im Übrigen Schließlich muss die Auslagerung von Daten und Informationen in die Cloud auch im Einklang mit den sonstigen gesetzlichen Anforderungen und Maßgaben stehen. So müssen beispielsweise die gesetzlichen Dokumentation- und Archivierungspflichten ebenso beachtet werden, wie die Anforderungen des Steuerrechts, des Handels- und des Gesellschaftsrechts. Je nach Unternehmen bzw. Einsatzzweck des Cloud Services sind darüber hinaus etwaig anwendbare spezialgesetzliche Regelungen zu beachten, wie beispielsweise das Kreditwesengesetz, die MARisk oder Regelungen aus dem Medizinoder Transportrecht. All dies ist aber nichts Neues und gilt schon seit jeher, so beispielsweise auch für die etablierte Praxis des Outsourcings. Diese Praxis und die damit häufig verbundene rechtliche Prüfung sowie die diesbezüglichen Lösungsansätze lassen sich in aller Regel auch für das Cloud Computing bemühen.
Optimierungspotential: Preistransparenz Deutsche und europäische Unternehmen beklagen mitunter noch eine mangelhafte Preistransparenz aktueller Cloud Lösungen. Tatsächlich hinterlässt die Prüfung aktueller Angebote bisweilen den Eindruck, dass hier noch Optimierungspotential besteht. Auch hierin liegt für die auf dem hiesigen Markt agierenden CSP's damit eine Chance auf eine erhöhte Produktakzeptanz. 14
SymposiaJournal
Cloud Computing Recht
04/2011
In rechtlicher Hinsicht wirft die kundenorientierte Gestaltung von Vergütungsmodellen für Cloud Services in aller Regel kaum Probleme auf. Voraussetzung für eine transparente, rechtssichere und auch wirtschaftlich durchdachte Gestaltung des Pricings ist die richtige leistungs- bzw. vertragstypologische Einordnung der betreffenden Cloud Services und die Berücksichtigung der für den jeweiligen Leistungs- bzw. Vertragstyp geltenden rechtlichen Besonderheiten. Hierzu gehört auch die Beachtung derjenigen rechtlichen Risiken, die aus den demgemäß anwendbaren gesetzlichen Regelungen resultieren, z. B. aus gesetzlichen Vorschriften zur Mängelhaftung. Derartige Risiken wird der CSP bei der Gestaltung des Vergütungsmodelles zu berücksichtigen haben. Für den Cloud Nutzer ist es in der Regel von erheblicher Bedeutung, dass bei der Abrechnung der nach tatsächlicher Nutzung vergüteten Services im Detail transparent wird, wie sich die Vergütung auf die einzelnen genutzten Services (z. B. aufgeschlüsselt nach Anzahl der Nutzungen, Datenvolumen, verfügbar gemachter CPU-Leistung) und ggf. auch auf die einzelnen Nutzer (Unternehmenseinheiten, Arbeitsplätze oder auch einzelne Mitarbeiter) verteilt. Einige CSP's bieten ihren Kunden in diesem Zusammenhang mittlerweile Monitoring-Tools, mittels derer die wesentlichen Kennzahlen im Überblick gehalten werden können.
Über Jan Schneider Jan Schneider ist Rechtsanwalt, Fachanwalt für IT-Recht und Partner des Düsseldorfer Büros der Anwaltskanzlei SKW Schwarz Rechtsanwälte. Seit über zehn Jahren berät er Anbieter und Anwender in allen Bereichen des IT-Rechts, des Rechts der neuen Medien und im Urheberrecht. Er hält regelmäßig Vorträge u. a. zum Cloud Computing und ist Mitautor des bekannten “Handbuch der IT-Verträge. SymposiaJournal
15
04/2011
Cloud Computing Meinung
Cloud Computing meets Reality von Dr. Michael Pauly
Inzwischen sind wir mit Cloud Computing im Hier und Heute angekommen. Nicht nur jeder redet davon. Es gibt auch bereits die ersten Produkte und Services diverser Hersteller im realen Einsatz, die den Begriff Cloud Computing wirklich verdienen. Dabei ist es für den Betreiber von IT in Unternehmen unerheblich, wo dieser Hype her kommt, wie viele Milliarden Euro der potentielle Markt umfasst oder wie sich die (einzig) wahre Cloud definiert. Für den heutigen Betreiber von IT-Systemen in Unternehmen stellt sich vielmehr die Frage: Welche Erwartungen haben meine Nutzer an einen IT-Service? Welche konkreten Forderungen stellen sie und auf welche Art und Weise wird dieser IT-Service genutzt? Hieraus kann dieser dann entscheiden mache ich es selber oder nehme ich mir einen (Cloud-)Service von außen dazu. Und wenn ich mich bei einer (externen) Cloud bediene, wie integriere ich Cloud Computing in mein Unternehmen? Egal wie Unternehmen vorgehen und welchen Weg sie wählen, eines ist klar: die aus einer Public oder Private Cloud bezogenen Services müssen sich sowohl in die IT als auch in die Prozesse und Organisation nahtlos einfügen. Denn, was nützt ein noch so dynamischer und skalierbarer Service, wenn ich diesen nicht automatisiert steuern kann? Wie soll ich etwas steuern, das ich nur schlecht oder vielleicht gar nicht in meine Überwachung integrieren kann? Muss ich meine Prozesse anpassen, oder kann ich mein Business so weiter betreiben wie bisher? Diese sind nur einige Fragen, die im Vorfeld zu klären sind, damit ein Cloud Service den Unternehmens-Reality-Check erfolgreich übersteht.
Mit der Technik fängt alles an … Vorab noch zwei allgemeine Bemerkungen zu Cloud Services: Etwas, das bei deren Einsatz in Unternehmen nicht vergessen werden darf ist, dass Cloud Computing keine Insel ist und auch keine Insel sein darf. Ebenso wenig wird es bei den meisten 16
SymposiaJournal
Cloud Computing Meinung
04/2011
Unternehmen einen „Big Switch“ geben, nachdem dann der Schalter umgelegt wird und alle Services nur noch aus der „Wolke“ bezogen werden. Diese beiden Punkte weisen damit schon darauf hin, dass die „neuen“ Cloud Services mit bereits bestehenden Systemen gekoppelt werden müssen oder zumindest Informationen miteinander austauschen sollen. Um dieses effizient und effektiv umzusetzen, sind bereits im Vorfeld eine Reihe von Punkten zu beachten und zu überdenken. Besonders vor dem Hintergrund, dass eine Vielzahl von IT-Providern und internen ITAbteilungen bereits seit geraumer Zeit mit dem Anspruch antreten, die IT zu industrialisieren. Doch was zeichnet eine industrialisierte IT aus? Ist es Automatisierung, Modularisierung, Virtualisierung oder Standardisierung? Oder ist es ein Mix aus all diesen Punkten? Letzteres trifft es wohl am besten. Dabei ist die Umsetzung dieser Punkte in den einzelnen Bereichen recht unterschiedlich. Befinde ich mich mit meiner „industrialisierten IT“ erst am Anfang, d.h. produziere ich vergleichbar den ersten Fließbändern in der Automobilindustrie mit noch einer gehörigen Portion Handarbeit, oder betreibe ich eine hoch standardisierte und automatisierte Produktionsstraße. Von diesen Punkten hängt es ab, wie ich mit den Dingen, die mir ein Cloud Service liefert, umgehe. Automatisierung
Die Basis einer jeden Industrialisierung ist die automatische Abarbeitung von Arbeitsschritten, sprich die Automatisierung. Ist eine solche im Unternehmen vorhanden – davon ist auszugehen –, müssen auch die Cloud Services mit Hilfe dieser gesteuert werden. Dies bedingt jedoch, dass eine solche Steuerung und Kontrolle des Service überhaupt möglich ist und auch eine, wie auch immer geartete Kopplung der Systeme erfolgen kann. Neben einer automatischen Steuerung ist eine direkte Übernahme der Reporting- und Monitoring Information des Cloud-Providers in die eigenen Systeme mehr als sinnvoll. Denn Medienbrüche unterschiedlichster Art, sei es, dass die Reporting-Informationen nur im pdf-Format, als Excel-Tabelle oder in einem Portal zur Einssicht vorliegt, bedeuten für das Unternehmen Mehraufwand und behindern die schnelle Steuerung und zeitnahe Reaktion auf entsprechende Ereignisse. Modularisierung
Der Einsatz von Cloud Services bedeutet immer, dass ich mich von (einem Teil) meiner ITServices trenne und diesen „nach draußen“ verlagere. Da es sich in den meisten Fällen nicht um „Stand-alone-Systeme“ handelt, sondern diese mit einer Reihe anderer Systeme mit der Unternehmens-IT vernetzt sind, gelangt die ganze Kommunikation, die sich zuvor in meinem „heimischen“ LAN abspielte, in die Cloud. SymposiaJournal
17
04/2011
Cloud Computing Meinung
Hier muss die Netzanbindung, sowohl im Up- als auch im Download, darauf angepasst sein bzw. ausreichend schnelle Antwortzeiten bieten. Oftmals kann es aus diesem Grunde auch sinnvoll sein, entsprechende System-Module zu bilden, die nur eine „moderate“ Kommunikation mit der „Außenwelt“ betreiben. Virtualisierung
Über die eingesetzten Virtualisierungtechnologien entbrennen hin und wieder Glaubenskriege. Dabei ist es oftmals keine Glaubenssache, sondern vielmehr eine Sache der Applikation, der Standardisierung etc., ob es in dem einen oder andere Fall mehr oder weniger Sinn macht eine Vollvirtualisierung oder eine Paravirtualisierung zu nutzen. Beide haben Vor- aber auch Nachteile. Wichtig ist nur, dass die verwendete Virtualisierungstechnologie durchgängig in die ITStrategie des Unternehmens passt, so dass bereits bestehende virtuelle Maschinen (VMs) einfach und ohne großen Mehraufwand in die Cloud ausgelagert werden können. Zudem muss es aber auch möglich sein, VMs aus der Cloud wieder zurückzunehmen bzw. zu einem anderen Cloud Provider zu übertragen. Standardisierung
Standardisierung ist das A und O heutiger IT-Architekturen. Und wie so häufig im Leben sind die eigenen Standards die besten. Oder anders formuliert: Es muss sich für ein Unternehmen lohnen seinen bisherigen (technischen) Standard zu verlassen und auf einen neuen zu wechseln. Hier spielt neben einer Vielzahl von technischen und technologischen Punkten eine Reihe von nicht-technischen Aspekten, wie z.B. Businessaspekte, eine wesentliche Rolle.
… Technik ist nicht alles Geht es um Cloud Services, dann sind wir ganz schnell beim Thema der Kostenreduktion und hier spricht selbst das Marketing seit einiger Zeit davon, dass neben der Reduktion der Kosten, diese auch aus dem Bereich der Fixkosten in den Bereich der variablen Kosten umgewandelt werden. Sprich: CAPEX (CAPital EXpenditure) wird zu OPEX (OPerational EXpenditure). Dabei wird meist außer acht gelassen, dass hier nur ein Teil des Cloud-Potentials liegt. Ein weit aus größerer Hebel lässt sich ansetzen, wenn ich auch den nächsten (logischen) Schritt gehe. Denn der Austausch eines bestehenden IT-Services durch einen kostengünstigeren Cloud Service bringt mir zwar eine Kostenersparnis, in vielen Fällen bietet mir die damit verbundene Flexibilität und Dynamik jedoch noch zusätzliche Vorteile in meinen Business-Prozessen, die viel entscheidender sind. Somit bedingt eine solche Einführung von Cloud Computing auch ein Überdenken der Business-Prozesse. Damit beispielsweise nicht die Beauftragung von IaaS Ressourcen aus der Cloud technisch gesehen nur ein paar Minuten dauern, die hierzu notwendigen 18
SymposiaJournal
Cloud Computing Meinung
04/2011
Prozesse im Unternehmen aber mehrere Stunden betragen. Gleichzeitig geht der Einsatz von Cloud Computing – zumindest in größeren Unternehmen – auch immer mit der Festlegung von Rollen und Zuständigkeiten einher. Denn wer darf Rechenkapazitäten erhöhen bzw. absenken? Wer darf zusätzliche Mailboxen ordern? Macht das alles nun der Endnutzer? Macht dies die Fachabteilung, die IT-Abteilung oder ein zentraler Einkauf? All diese Fragen müssen bereits im Vorfeld beantwortet werden. Solange es sich um Test- und Entwicklungsumgebungen handelt, scheint ein solches Vorgehen nicht unbedingt erforderlich zu sein. Wird jedoch ein ERP- oder ein CRMSystem aus der Cloud bezogen, stellt sich schon einmal die Frage, ob jeder im Unternehmen mehr oder weniger Ressourcen bestellen darf.
Kann meine Anwendung was ich will? Eine spannende Frage, die sich oft stellt: „Ist die im Unternehmen verwendete Applikation überhaupt „cloud-ready“?“. D.h. kann ich diese Anwendung, so wie sie zurzeit benutzt wird, ohne große Änderungen in die Cloud schieben oder gibt es dort einen Cloud-Service à la SaaS, dem ich so meine Daten anvertrauen kann, ohne diese einer weiteren vorherigen Umwandlung oder Verarbeitung zu unterziehen. Zu beiden Fällen lautet die Antwort oftmals: „Nein“. Denn Anwendungen „von der Stange“, wie sie heute im Einsatz sind, können zwar (mit einigen kleinen Einschränkungen) in virtuellen Umgebungen betrieben werden, sind aber (meist) nicht für diese konzipiert. Wenn ich dann den Schritt zu IaaS mache, muss ich mich um die darunter liegende Hardware, und alles was damit zusammen hängt, nicht mehr kümmern. Eine Skalierbarkeit und Dynamik der Lösung habe ich damit aber noch nicht automatisch. Denn Skalierbarkeit heißt, dass ich im Bedarfsfall einen weiteren Server hinzu füge. Dies funktioniert in der Cloud meist ohne Probleme. Jedoch muss dann die „Last“ entweder über einen Load-Balancer gesteuert oder über die Applikation selbst zwischen den beiden verteilt werden. Dies erfolgt nicht von selbst. Wechsele ich zu einer SaaS-Lösung, so ist bei den meisten heute angebotenen Lösungen eine Anpassung meiner Prozesse und meist auch der Datenstrukturen notwendig, da es nur vereinzelt Services gibt, die sowohl „on premise“ als auch aus der Cloud identisch angeboten werden. Mal ganz davon abgesehen ist die Architektur heutiger EnterpriseApplikationen oftmals nicht auf Multimandantenfähigkeit und einen möglichen Betrieb in verteilten Systemen ausgelegt. Hieraus ist zu ersehen, dass der Gang in die Cloud für Unternehmen aufgrund vorhandener Systems und bestehender Applikationen meist mit Kosten verbunden ist. Diese Kosten sind den Kosteneinsparungen gegenüber zu stellen und sollten diese nicht übersteigen.
SymposiaJournal
19
04/2011
Cloud Computing Meinung
Zum Schluss noch etwas zum rechtlichen Rahmen Neben all den oben aufgeführten technischen und organisatorischen Aspekten ist auch noch die rechtliche Seite zu berücksichtigen. Hierzu zählen neben allgemeinen Datenschutzrichtlinien auch branchenspezifische rechtliche Vorgaben. Diese sind von Fall zu Fall individuell zu bewerten, ob diese eine Cloud Nutzung zulassen und wenn ja, in welcher Art und Weise. Ein rechtliches Thema, welches im Zusammenhang mit Cloud Computing auch einer Betrachtung bedarf, ist das Thema Lizenzen. Wobei dies meist nicht im Bereich SaaS anfällt, da hier bei den gängigen und einschlägigen Angeboten die Nutzungsrechte bereits enthalten sind. Anders sieht es bei PaaS und IaaS aus. Nutzen Unternehmen IaaS, so liegt auch das gesamte Lizenzmanagement, angefangen bei Betriebssystemlizenzen bis hin zur Lizenz der jeweiligen Anwendungen beim Unternehmen selbst. Wobei die heute angewandten Lizenzmodelle meist nicht „cloudlike“ sind.
Resümee Sowohl im rechtlichen, als auch im technischen Sinne, sowie bei den Businessaspekten bedarf es eines übergreifenden, gesamtheitlichen Blicks auf die Cloud. Einzelbetrachtungen bzw. nur punktuelle Betrachtungen verzerren das Bild. Angefangen bei den Kosten, zu denen selbstverständlich auch die Migrations- und Transitionskosten gehören. Denn diese fallen auf jeden Fall beim Weg in die Cloud an und sollten die durch die Cloud eingesparten laufenden Kosten der nächsten Jahre nicht übersteigen. Bis hin zur nahtlosen Einbindung in die bestehenden Prozesse. Dabei ist Cloud Computing kein Selbstzweck. Heutige Unternehmen wählen nicht einen IT-Service nur deshalb aus, weil dieser aus der Cloud kommt. Vielmehr besitzen Services aus der Cloud eine Reihe von Charakteristika, die in der und für die IT eines Unternehmens eine Reihe von Vorteilen bieten. Alle diese Punkte und Aspekte sind keine „Rocket-Science“ und auch nicht (gänzlich) neu in der IT. Sie sollten nur bereits im Vorfeld mit in die Betrachtung und Entscheidung für oder wider bzw. welchen Cloud Service ich jetzt nutzen möchte mit in Betracht gezogen werden. Denn um einen Cloud Computing Service als Unternehmen optimal nutzen zu können, muss ich mehr tun als mir mal eben die Preismodelle anzuschauen und ein paar Kostenbetrachtungen durchzuführen. Mein Fazit: Cloud Computing ist bereits teilweise in den Unternehmen und damit in der Realität angekommen, wobei Cloud Computing hochgradig standardisiert ist. Der Weg in die Cloud aber ist für jedes Unternehmen extrem individuell. Bei all diesen Aufgaben und Anforderungen wird die IT-Abteilungen nicht wie manchmal befürchtet überflüssig werden. Für sie ändert sich nur das Aufgaben und Tätigkeitsfeld. 20
SymposiaJournal
Cloud Computing Meinung
04/2011
Weg vom (einfachen) Systemadministrator, hin zum IT-Service-Manager, der die Cloud Services orchestriert, überwacht und steuert. Ergo, die Arbeit wird nicht weniger. Sie wird nur anders werden.
Über Dr. Michael Pauly Dr. Michael Pauly ist promovierter Elektroingenieur und Wirtschaftsingenieur. Er arbeitet bei T-Systems als Consultant mit Fokus auf Dynamic Services und Cloud Computing. Michael Pauly agiert als einer der Sprecher für Cloud Computing von T-Systems und vertritt das Thema auf diversen Veranstaltungen und Konferenzen.
SymposiaJournal
21
04/2011
22
Geek and Poke
SymposiaJournal
Cloud Computing Interview
04/2011
Interview im Rahmen des CloudOps Summit 2011 von René Büst
Im Rahmen des CloudOps Summit 2011 in Frankfurt haben wir mit einzelnen Referenten Interviews geführt, wobei jeder dieselben Fragen erhalten hat. Die Antworten werden in diesem Artikel veröffentlicht.
Thomas Uhl, Deutsche Wolke Warum gibt es fast keine kleinen IaaS Provider/ Startups in Deutschland?
Deutschland ist in Sachen Cloud Computing sicherlich skeptischer als andere Länder. Solange wird das Datenschutz Thema noch als Vorwand dienen. Deutschland ist in Sachen IT-Strartups sicherlich auch kein Musterbeispiel. Viele Investoren haben extreme Problem in der Finanzierung von Software und Service Startups.
In welchem Cloud Computing Bereich sehen Sie das größte Wachstum der nächsten Jahre? Storage as a Service. Jeder will von überall aus auf seine Daten zugereifen können. Daher sind Startups wie Filespots und Petaera sicherlich richtungsweisend.
Wo sehen Sie derzeit noch die größten Herausforderungen des Cloud Computing? In der Akzeptanz der Deutschen Anwender und vor allem der IT-Abteilungen.
Führt Cloud Computing zu einer neuen Generation von Schatten-IT?
Cloud Computing ist die neue Sonne der IT. Verstaubte und unflexible interne IT-Systeme werden in den Schatten gestellt.
Wie sehen Sie den Cloud Computing Markt in 1 0 Jahren? Die interne IT wird zur Ausnahme.
SymposiaJournal
23
04/2011
Cloud Computing Interview
Wie wichtig ist Open Source für das Cloud Computing?
Alle relevanten Cloud-Anbieter nutzen OpenSource. Leider schaffen sie meist einen LockIn auf der Basis ihrer Add-Ons. OpenSource kann aber helfen, LockIns zu vermeiden. Daher haben wir die Deutsche Wolke auf OSS aufgebaut.
Welche(s) Open Source Software/ Projekt hat für Sie den bisher größten Beitrag zum Cloud Computing geleistet? Linux und die OpenSource Hypervisors XEN, kvm und VirtualBox.
Wie sehen Sie den Cloud Computing Standort Deutschland?
Er ist ideal. Es sind kaum Naturkatastrophen und Energieversorgungsprobleme zu befürchten. Die Sensibilität für Datenschutz zwingt die Anbieter sich hier in Sachen Compliance etwas einfallen zu lassen. Ich sehe Cloud Computing Made in Germany als einen zukünftigen Export-Schlager.
Was sind die Bestandteile einer hochsicheren Cloud-Anwendung?
Zunächst natürlich der Standort, technische Redundanzen, Verschlüsselung auf allen Ebenen und zertifizierte Betriebsprozesse.
backdoor-freie
Wo sehen Sie die größten Gefahren und Angriffspotentiale von CloudAnwendungen? Der Mensch wir leider immer ein fast nicht vermeidbares Rest-Risiko darstellen.
Sind die aktuellen Diskussionen bzgl. des Datenschutz und der Datensicherheit wirklich (nur) ein Problem des Cloud Computing?
Nein. Natürlich nicht. Leider wird der Datenschutz oft als Vorwand genutzt, Cloud Computing zu verteufeln. Ich hoffe das wird sich bald ändern. Deutsche Cloud Anbieter haben hier aber klare Standort Vorteile, die sie nutzen sollten.
Jürgen Falkner, Frauenhofer Warum gibt es fast keine kleinen IaaS Provider/ Startups in Deutschland?
Es ist ein riskantes Unterfangen als unbekannter kleiner Provider gegen die Großen bekannten Anbieter antreten zu wollen. Nicht weil man es nicht besser machen könnte sondern weil es schwer ist, Kunden davon zu überzeugen, dass man das Angebot auch in einem Jahr noch machen kann. Da steckt eine gesunde Risikoabschätzung dahinter. Als Startup hat man im Moment vor allem Chancen über Nischen, d.h. man muss irgendetwas - z.B Sicherheit - sehr viel besser können als die anderen. Man sagt uns Deutschen aber nach, dass wir selbst mit guten Ideen noch das Risiko meiden.
Wo sehen Sie derzeit noch die größten Herausforderungen des Cloud Computing?
In der Integration verschiedener Cloud Services. Wenn sie irgendwann ERP, CRM, Groupware und alle anderen Anwendungen aus der Cloud beziehen, können sie nicht davon ausgehen, alles vom gleichen Provider zu bekommen oder kaufen zu wollen. Der Austausch von Daten über verschiedene Anwendungsdienste, Plattformdienste und 24
SymposiaJournal
Cloud Computing Interview
04/2011
Infrastrukturen hinweg wird vermutlich eine größere Herausforderung sein als die Sicherheits- und Vertrauensfrage.
Wie sehen Sie den Cloud Computing Standort Deutschland?
Ich denke Deutschland hat ein hervorragendes Potenzial als Cloud Standort. Das wichtigste Asset eines Cloud Providers ist das Vertrauen der Kunden - und da hat Deutschland einen unschlagbaren Ruf. Nicht umsonst heisst z.B. das chinesische Wort für Deutschland, ins Deutsche zurückübersetzt, "Tugendland".
Thomas Pracht, T-Systems Warum gibt es fast keine kleinen IaaS Provider/ Startups in Deutschland?
Für IaaS gilt in hohem Maße "size matters", da Virtualisierung und Automatisierung in der Produktion sowie die Standardisierung der Services einen hohen Stand erreicht haben. Dies führt aktuell und sicherlich auch kurz- bis mittelfristig dazu, dass IaaS nur durch große Provider geliefert werden kann.
In welchem Cloud Computing Bereich sehen Sie das größte Wachstum der nächsten Jahre? Auch wenn es an mancher Stelle keine Begeisterung auslösen wird, so wird Consulting zu Cloud Computing sicherlich ein florierender Markt werden.
Wo sehen Sie derzeit noch die größten Herausforderungen des Cloud Computing?
Die Herausforderung ist sicherlich, Cloud als Paradigmenwechsel zu verstehen und für sich zu nutzen. Wichtige Aspekte dabei sind die Integration in bestehende IT- bzw. Prozess-Landschaften bzw. deren Neugestaltung.
Wie sehen Sie den Cloud Computing Markt in 1 0 Jahren?
Cloud wird, vollkommen unspektakulär, eine Sourcingvariante von vielen sein.
Wie sehen Sie den Cloud Computing Standort Deutschland?
Deutschland sieht sich intern ja gerne als Bedenkenträger und Verhinderer. In Gesprächen mit anderen Europäern, Amerikanern oder Asiaten gewinnt man für die Punkte Datenschutz und -sicherheit eine vollkommen andere Sicht. Man sollte diese Aspekte als positive Argumente für Deutschland anführen.
Was sind die Bestandteile einer hochsicheren Cloud-Anwendung?
Als Mitarbeiter von T-Systems muss ich hier natürlich die Netzanbindung anführen. Im Ernst: Nur die Verbindung von sicherer IT und sicherem Netzzugriff macht Cloud wirklich sicher.
Sind die aktuellen Diskussionen bzgl. des Datenschutz und der Datensicherheit wirklich (nur) ein Problem des Cloud Computing? Die aktuellen Fragestellungen zu Datenschutz und -sicherheit stellten sich auch schon in der Vergangenheit bei "normalem Outsourcing" und es wurden passende Antworten gefunden. Einzig die Komplexität steigt durch Cloud Computing. SymposiaJournal
25
04/2011
Cloud Computing Interview
Beispiel: Früher hatte man einen Provider für drei oder mehr Jahre. Zukünftig bezieht man über entsprechende Märkte Services heute von diesem und morgen von einem anderen Anbieter.
Volker Ludwig, Interxion Wo sehen Sie derzeit noch die größten Herausforderungen des Cloud Computing?
Cloud Computing bricht in Unternehmen etablierte und gewachsene Strukturen systematisch auf. Dedizierte und fragmentierte Insellösungen werden konsolidiert und es soll eine übergreifende Infrastruktur etabliert werden, die flexibel, skalierbar, und gleichzeitig leistungsfähiger sowie kosteneffizienter als die alte ist. Das Potenzial der Technologie ist zweifelsohne groß, jedoch muss sie sich zunächst verankern, insbesondere in den Köpfen der Entscheidern. Ich halte deshalb nichts von vorzeitigen Problematisierungen, sondern plädiere dafür, dieser Innovation die notwendige Reifezeit zu gewähren.
Wie sehen Sie den Cloud Computing Markt in 1 0 Jahren?
Die zunehmende Digitalisierung der Gesellschaft in Kombination mit verstärkter InternetNutzung und erhöhtem Datenwachstum sowie dem Bedarf der Nutzer von überall auf Daten zugreifen zu können, werden die Verbreitung von Cloud Computing vorantreiben. Sowohl Privatnutzer als auch Unternehmen werden verstärkt Applikationen in die Wolke verlegen, um von der hohen Flexibilität und Kosteneffizienz zu profitieren. Unternehmen erhalten darüber hinaus die Chance, ihre Schnelligkeit beim Go to Market ihrer Produkte und Dienstleistungen signifikant zu erhöhen. Generell werden wir feststellen, dass sich die Nutzer genau die Form von Cloud Computing aussuchen werden, die ihren individuellen Anforderung am nächsten kommt. Die Frage lautet also Public-, Private- oder Hybrid-Cloud.
Wie sehen Sie den Cloud Computing Standort Deutschland?
Grundsätzlich verfügt Deutschland über einen Markt, der ein großes Potenzial für die Nachfrage nach solchen Dienstleistungen bietet. Zudem verfügt das Land über eine herausragende digitale Infrastruktur in Form von Rechenzentrumskapazitäten, Glasfasernetzen und Stromkapazitäten, die zur Etablierung von Cloud-Services notwendig sind. Es sind also alle maßgeblichen Voraussetzungen für „Clouds Made in Germany“, die besonders im Bezug auf Datenschutz und der Begegnung gesetzlicher und regulatorischer Anforderungen spitze sein werden, vorhanden. Dies wird zusehends zum Wettbewerbskriterium. Gleichzeitig ist insbesondere der Standort Frankfurt auch für internationale Cloud Provider von zentraler Bedeutung. Selbst wenn sie ihre CloudFabriken nicht in Deutschland betreiben, so binden sie sich in der Regel an den zentralen Datenumschlagplatz in Frankfurt an. Sie bekommen dadurch Zugang zu allen Kommunikationsnetzbetreibern und optimieren ihre Netzwerklatenz.
26
SymposiaJournal
Cloud Computing Interview
04/2011
Jonathan Weiss, Peritor Wo sehen Sie derzeit noch die größten Herausforderungen des Cloud Computing?
Standardisierung und lokale Anbieter und damit einen größeren Pool an Anbietern und einfache Migrationsmöglichkeiten von einem Anbieter zum nächsten. Des Weiteren die Sicherheit in der Rechtsprechnung und das noch negative Bauchgefühl von vielen Führungskräften.
Wie sehen Sie den Cloud Computing Markt in 1 0 Jahren?
Ich denke, dass in 1 0 Jahren sich die Agumentationskette umgedreht hat. Heute muss man in Unternehmen argumentieren, warum ein bestimmtes Projekt besser in der Cloud aufgehoben ist. Bald wird man argumentieren müssen, warum ein Projekt explizit nicht in die Cloud soll. Cloud wird der Default.
Sind die aktuellen Diskussionen bzgl. des Datenschutz und der Datensicherheit wirklich (nur) ein Problem des Cloud Computing?
Nein, die Diskussionen rund um Datenschutz und der Datensicherheit betreffen alle Anbieter von IT-Infrastruktur wie klassische Hoster oder Fernwartung. Viele suchen aber einfach nach jedem möglichem Argument gegen die Cloud, da sie sich und ihren Arbeitsplatz bedroht sehen.
Roberto Valerio, CloudSafe Warum gibt es fast keine kleinen IaaS Provider/ Startups in Deutschland?
Weil der Kapitalmarkt in Deutschland, vom VC bis hin zum HTGF, nach wie vor sehr verhalten an das Thema Cloud Services herangeht. Einzige Ausnahme scheint zur Zeit Kizoo zu sein. Um die für Kunden notwendige und wichtige Qualität und Größe im diesem Bereich zu erreichen benötigt man auf jeden Fall mehr an Ressourcen, als für ein klassisches Commerce oder Community-Modell. (Schade, denn gerade in Deutschland gibt es hervorragendes Potential an Entwicklern, die qualifiziert und methodisch auch neuartige Produkte entwickeln können.)
Wo sehen Sie derzeit noch die größten Herausforderungen des Cloud Computing?
Im Bereich Sicherheit. Ein nicht zu unterschätzender Aspekt, da hier jede negative Schlagzeile sofort auf den gesamten Markt einwirkt.
Wie sehen Sie den Cloud Computing Markt in 1 0 Jahren?
Durchaus als feste etablierte Größe, sowohl in der privaten, als auch in der geschäftlichen Anwendung. Trotzdem glaube ich nicht, daß (Public) Cloud Computing eine eigene, dedizierte IT-Infrastruktur ersetzen wird.
Wie wichtig ist Open Source für das Cloud Computing?
So wichtig, wie in allen anderen Bereichen der IT, da Transparenz immer stark mit Sicherheit verbunden ist und offene Plattformen auch das "Lock-In" von Daten verhindern. SymposiaJournal
27
04/2011
Cloud Computing Interview
Welche(s) Open Source Software/ Projekt hat für Sie den bisher größten Beitrag zum Cloud Computing geleistet?
Sicherlich Amazon AWS. Auch wenn es aus unserer Sicht nicht immer die beste Lösung ist. Wir haben uns zum Beispiel für unsere eigenen Angebote im Bereich Cloud Storage bewußt gegen Amazon S3 als Back-End entschieden, da die Latenzen bei Dateioperationen doch sehr hoch waren.
Was sind die Bestandteile einer hochsicheren Cloud-Anwendung?
Das kann man nicht allgemein beantworten, dazu muß man den jeweiligen Anwendungsfall betrachten. Aber grundsätzlich halte ich die Verschlüsselung von Daten und ein aktives, stark reglementiertes Server-Monitoring für wichtig.
Wo sehen Sie die größten Gefahren und Angriffspotentiale von CloudAnwendungen? Ein Einstieg liefert z.B. die OWASP Top-1 0 Liste: http://www.scribd.com/doc/53326522/OWASP-Top-1 0-Cloud-Security-Risks-201 0
Sind die aktuellen Diskussionen bzgl. des Datenschutz und der Datensicherheit wirklich (nur) ein Problem des Cloud Computing?
Nein, das Problem der Datensicherheit betrifft grundsätzlich alle IT-Anwendungen. Es kann also durchaus sogar sinnvoll sein, sensible Daten außerhalb der eigenen ITInfrastruktur zu sichern. Ein Anbieter, der sich speziell auf sichere Cloud-Anwendungen fokussiert, kann oft ein deutlich höheres Maß an Sicherheit erreichen, als eine inhouse Lösung. Wichtig ist hier aber die genaue Überprüfung des Anbieters, insbesondere bei der Verarbeitung von personenbezogenen Daten, da hier der Verarbeiter gesetzlich zur regelmäßigen Überprüfung des Anbieters verpflichtet ist.
Frank Schulz, SAP Research In welchem Cloud Computing Bereich sehen Sie das größte Wachstum der nächsten Jahre? Nachdem Infrastructure-as-a-Service bereits seit mehreren Jahren etabliert ist, beispielsweise sind die Amazon Web Services seit 2006 verfügbar, ist im Bereich Platform-as-a-Service (PaaS) das größte Wachstum der nächsten Jahren zu erwarten. Hierzu gehören Middleware-Plattformen für unternehmensübergreifende Prozesse und skalierbare Cloud-Umgebungen, die neben reiner Infrastuktur auch höherwertige Dienste wie Benutzermanagement anbieten, welche von Anwendungen auf der Plattform genutzt werden.
Wo sehen Sie derzeit noch die größten Herausforderungen des Cloud Computing?
Neben den weiterhin relevanten Sicherheitsfragen liegen die größten Herausforderungen im Übergang von prototypischen Ansätzen zu robusten Geschäftsanwendungen und deren kosteneffizienten Betrieb. Dazu zählen die Unterstützung von Betriebsprozessen über den gesamten Lebenszyklus von Anwendungen und Diensten hinweg und die Einhaltung von Garantien über die Dienstgüte (Service Level Agreements). Erst damit 28
SymposiaJournal
Cloud Computing Interview
04/2011
Kostenvorteile von Cloud Computing voll realisieren lassen, und Kunden auch bereit sein, ihre geschäftskritischen Prozesse in Cloud Umgebungen verlagern.
Wie sehen Sie den Cloud Computing Markt in 1 0 Jahren?
Cloud Computing wird sich zu einem festen Bestandteil der IT-Landschaft entwickeln. Cloud Technologien werden den gesamten Prozess der Software-Entwicklung und des Betriebs von IT-Lösungen deutlich verändern. Voraussichtlich wird sich die Konsolidierung im Infrastruktur-Bereich (IaaS) fortsetzen und wenige große Anbieter den Markt beherrschen, während auf Anwendungsseite (SaaS) diverse Anbieter mit spezifischem Branchenwissen die Anforderungen von einzelnen Industrien und Kundensegmenten abdecken werden.
SymposiaJournal
29
04/2011
Cloud Computing Governance
Cloud Governance: Das Rad muss (fast) nicht neu erfunden werden von Dr. Dietmar Wiedemann Laut Analysten und diversen Studien ist Cloud Computing in den kommenden Jahren der Wachstumstreiber in der Informations- und Kommunikationstechnik. Nach der BDOA-Studie [6], die in Zusammenarbeit mit dem Karlsruher Institut für Informationswirtschaft und -management und der Proventa AG kürzlich durchgeführt wurde, sind 93 Prozent der Befragten grundsätzlich an der CloudComputing-Nutzung interessiert. Knapp zwei Drittel planen, bis Ende 201 2 Infrastrukturleistungen aus der Cloud zu nutzen. Fragt man nach den Hürden der Einführung, geben 70 Prozent an, Sicherheitsbedenken bei Nutzung von Infrastructure-as-a-Service (IaaS) zu haben. 85 Prozent äußerten rechtliche Bedenken wegen der externen Datenspeicherung. Weitere 72 Prozent sehen technische Schwierigkeiten bei der Integration als eine wesentliche Herausforderung beim Schritt in die Cloud. Abbildung 1 zeigt die Zustimmung zu den abgefragten Risiken. Ein weiteres nicht zu unterschätzendes Thema ist die Schatten IT [1 ], die durch Cloud Computing entstehen kann. Denn Mitarbeiter benötigen nur eine Kreditkarte, um ITInvestitionen an der zentralen IT-Abteilung vorbei zu tätigen. Da die Anwendungen in der Public Cloud über einen Browser benutzt werden, kann es durchaus vorkommen, dass die IT-Organisation von den Cloud-Services nichts erfährt. Damit ist der Schatten-IT im Unternehmen Tür und Tor geöffnet. Der Beitrag zeigt die hieraus entstehenden Herausforderungen und Lösungsansätze für die Praxis und geht dabei insbesondere auf IT-Governance in der Cloud ein.
Cloud Computing benötigt Governance-Prozesse Die Schatten-IT [1 ], die heimliche Nutzung von Hard- und Softwareressourcen in Unternehmen, ist kein neues Phänomen. Selten sind Firmenrechner gegen eigenmächtige Eingriffe durch Mitarbeiter geschützt. Typischerweise können Mitarbeiter über USB-Sticks, CDs und via Internet Software auf den Rechner installieren. 30
SymposiaJournal
Cloud Computing Governance
04/2011
In der Regel entsteht eine Schatten-IT jedoch nicht aus Boshaftigkeit, sondern aus Verzweiflung und Unwissenheit aber auch aus Innovationsfreude der Mitarbeiter. Diese werden selbst tätig, wenn die IT-Abteilung ihnen nicht die in ihren Augen erforderlichen Lösungen schnell und unbürokratisch bereitstellt. Der zentralen IT wird häufig vorgeworfen, sie sei nicht in der Lage, zügig eine Cloud-Computing-Infrastruktur etwa für Testumgebungen einzurichten. Due eigene IT hinke den Anforderungen der Fachabteilungen technologisch hinterher. Neu im Cloud Computing ist, dass vor allem im Public-Cloud-Modell vertriebene Dienste es ermöglichen, alternative Softwarelösungen einfacher und schneller als in der Vergangenheit zu beziehen. So ist es ein Leichtes, beispielsweise mit Dropbox einen kostenlosen Cloud Storage zu nutzen oder per Google Docs ein Dokument zu erstellen. Geht man einen Schritt weiter, wird durch Cloud Computing auch das Entführen von Dokumenten oder anderen Dateien gefördert. Eine Datei bei einem Cloud-Anbieter hochzuladen, ist schnell erledigt. Falls der Datei-Upload untersagt ist, lässt sich dieses durch das einfache Erstellen eines neuen Dokuments und dem Kopieren der Inhalte aus dem lokalen Dokument in das Cloud-Dokument vornehmen. Ähnlich verhält es sich mit IaaS-Angeboten, die Verarbeitungs-, Speicher- und Netzwerkkapazitäten sowie andere grundlegende Rechenressourcen via Internet zur Verfügung stellen. Die mittels WebBrowser leicht zu bedienenden Management-Oberflächen laden Fachabteilungen und Entwickler dazu ein, sich ein eigenes virtuelles Rechenzentrum in der Cloud aufzubauen, ohne dass die IT-Abteilungen etwas davon merkt. [2] Im Worst-Case können durch unkoordiniertes Cloud Sourcing empfindliche Bußgelder auf ein Unternehmen zukommen, etwa wegen mangelhafter Verträge aus Datenschutzsicht. Weitere Risiken bestehen darin, dass kritische Daten wegen unzureichender BackupStrategien verloren gehen können. Zudem können aufgrund einer unachtsamen AnbieterAuswahl Lock-in-Effekte herbeigeführt werden. Spätestens, wenn die Geschäftsbeziehung zum Provider beendet werden soll, können hohe Kosten für die Datenmigration entstehen. Die potenziellen Risiken der Public Cloud machen deutlich, dass CIOs unkoordiniertes Cloud Sourcing unterbinden müssen. Daher ist es essenziell, durchdachte IT-GovernanceProzesse zu etablieren, die den Eigenschaften verteilter IT-Architekturen gerecht werden.
Herausforderung: IT-Governance für die Cloud Cloud Governance stellt Entscheidungs- und Kontrollprozesse, -kriterien und -regeln im Rahmen des Cloud-Service-Lebenszyklus zur Verfügung. Damit zielt es auf die Nutzensteigerung und Risikominimierung durch Cloud Computing ab. [5] Obwohl sich IT-Verantwortliche zunehmend der Herausforderungen und Gefahren für die Datensicherheit von Cloud Services bewusst sind, haben die meisten Unternehmen keine Governance-Prozesse hierzu etabliert. Laut der Umfrage „CIO Market Pulse Survey 201 0“ gaben nur 34 Prozent der Befragten an, über ausformulierte Governance-Richtlinien zu verfügen. Von diesen haben 22 Prozent bestehende Governance-Policies erweitert und 1 2 Prozent entsprechende Policies explizit für Cloud Services entwickelt. [3] SymposiaJournal
31
04/2011
Cloud Computing Governance
Etablierte Standards für Cloud Governance Die Entwicklung einer IT-Governance für die Nutzung der Cloud ist eine komplexe Herausforderung. Unternehmen müssen die technischen, ökonomischen, organisatorischen und rechtlichen Herausforderungen dieser Technik verstehen und wissen, wie sich die Umstellung auf Cloud Computing auf ihre Organisation auswirkt. Zudem sind diese Faktoren über den gesamten Lebenszyklus eines Cloud Service hinweg zu berücksichtigen. Allerdings muss das Rad nicht völlig neu erfunden werden: Für Cloud Governance empfiehlt die Information Systems Audit and Control Association (ISACA) die Nutzung von vier etablierten Frameworks [4], die nachfolgend skizziert werden.
COBIT
COBIT (Control Objectives for Information and related Technology) ist ein weltweit verbreitetes und international standardisiertes Rahmenwerk für die IT-Governance. Der Best-Practice-Ansatz bietet einen umfassenden Rahmen zur Erfüllung von Anforderungen an die IT-Governance und integriert dabei globale Standards, wie etwa ITIL, CMMI und ISO 1 7799. COBIT definiert nicht primär, wie die Anforderungen umzusetzen sind, sondern legt den Fokus auf das, was umzusetzen ist. Ein Kernelement von COBIT sind 34 Prozesse, die sich an den vier Domänen Planung und Organisation, Beschaffung und Einführung, Betrieb und Unterstützung sowie Überwachung und Beurteilung orientieren. Jeder Prozess enthält eine Prozessbeschreibung, ein Prozessziel, Aktivitäten zur Realisierung dieses Ziels, Messgrößen, Management Guidelines mit den Inputs und Outputs des Prozesses und einer RACI-Matrix sowie ein Reifegradmodell, das die jeweiligen typischen Ausprägungen des Prozesses in 6 Reifegradstufen beschreibt.
Val IT
Val IT hilft, den optimalen Wertbeitrag aus IT-Investitionen zu erzielen und ergänzt somit einen wichtigen Teilbereich im IT-Governance: die Wertorientierung. Mit Val IT kann die Frage beantwortet werden, welchen Mehrwert Cloud Computing für ein Unternehmen liefert. Es wird sichergestellt, dass Cloud-Investitionen auf die gesamte Unternehmensstrategie ausgerichtet sind, konsistent mit den Geschäftsprinzipien sind, einen Beitrag zu den strategischen Zielen des Unternehmens leisten und ein optimales Kosten-/Nutzen-Verhältnis in der IT entsteht. Val IT schafft zudem ein gemeinsames und klares Verständnis über den erwarteten Nutzen der Cloud, definiert Verantwortlichkeiten, um diesem Nutzen zu realisieren und legt effektive Realisierungsprozesse für den gesamten Lebenszyklus einer IT-Anwendung fest. Darüber hinaus kann mit Val IT geklärt werden, ob die anvisierten Cloud Services in die bestehende IT-Architektur und deren Architektur-Prinzipien passen. Letztendlich können auch effektive Management-Prozesse für die Cloud-Nutzung und das Ressourcen-Management gewährleistet werden.
Risk IT
Risk IT dient dem IT-Risikomanagement und berücksichtigt bereits vorhandene Standards. Damit zielt das Rahmenwerk nicht nur auf die IT Security, sondern umfasst sämtliche Aspekte des IT-Risikos. Das Framework unterscheidet drei Risikokategorien:
32
SymposiaJournal
Cloud Computing Governance
04/2011
• IT Nutzen- und Wertbeitragsrisiken, d. h. (versäumte) Chancen, die IT zur Effizienz- und Effektivitätssteigerung der Geschäftsprozesse oder als Enabler für neue Geschäftsinitiativen einzusetzen, • IT Programm- und Projektrisiken, d. h. Risiken in Zusammenhang mit der Einführung neuer IT-Lösungen in Form von Projekten und Programmen und • IT Betriebs- und Serviceerbringungsrisiken, d. h. Risiken in Zusammenhang mit der Performance von IT-Systemen und -Services, die zu einer Zerstörung oder Verminderung von Werten im Unternehmens führen können. Daneben stellt Risk IT ein End-to-End-Prozess-Framework für IT-Risikomanagement dar und hält Anleitung für Praktiker mit Tools und Techniken bereit, um konkrete Risiken der Geschäftstätigkeit zu verstehen und zu managen.
Business Model for Information Security
Das Business Model for Information Security (BMIS) stellt eine detaillierte Beschreibung eines umfassenden Geschäftsmodells zur Verfügung, das sämtliche Aspekte der Informationssicherheit aus Geschäftssicht behandelt. Damit adressiert das Modell Geschäftsrisiken, Werte, Ressourcen-Nutzung und Programme, die mit Cloud Computing einhergehen. Indem Bereiche, wie beispielsweise die Unternehmenskultur, Prozesse oder eingesetzte Technologien, betrachtet werden, hilft das BMIS Sicherheitsrisiken und -bedrohungen proaktiv zu erkennen. In Bezug auf die Cloud muss hier insbesondere ein Augenmerk auf zusätzliche Risiken gelegt werden, die durch Cloud Service Provider entstehen und verstanden werden, welchen Einfluss diese Risiken auf das Geschäft haben.
Fazit In diesem Beitrag wurden vier Rahmenwerke diskutiert, mit denen Cloud Governance im Unternehmen umgesetzt werden können. Allerdings muss konstatiert werden, dass die wesentlichen Herausforderungen der Frameworks in deren Umfang, Komplexität sowie der hohe Abstraktionsgrad liegt. Beispielsweise beinhaltet COBIT vier Domänen, 34 Prozesse und 21 0 Kontrollziele. Zudem erfordern unterschiedliche Situationen unterschiedliche Maßnahmen und Cloud-Governance-Prozesse. Beispielsweise existieren für unterschiedliche Daten unterschiedliche Compliance Anforderungen. Vor diesem Hintergrund ist eine Anpassung der existierenden IT-Governance-Frameworks an die Gegebenheiten des eigenen Unternehmens unabdingbar. Zudem findet man in den vier Standards keine Antworten, welche Risiken und Chancen im Cloud Computing bestehen. Zur Klärung helfen Publikationen, etwa von der European Network and Information Security Agency oder der Cloud Security Alliance. Dort werden nicht nur Risiken und Nutzen aufgezeigt, sondern Strategien entwickelt, diesen Risiken effektiv entgegenzuwirken und den Nutzen effektiv zu realisieren.
SymposiaJournal
33
04/2011
Cloud Computing Governance
Vor diesem Hintergrund muss es für jedes Unternehmen, das den Weg in die Cloud gehen möchte, Ziel sein, IT-Governance-Prozesse in Hinblick auf die Anforderungen der Cloud und die eigenen Bedürfnisse zu entwickeln. Wenn ein Unternehmen bisher keine Governance-Prozesse etabliert hat, ist der Einstieg in die Cloud ein guter Zeitpunkt, dies nachzuholen. Wenn ein Unternehmen bereits über Governance-Prozesse verfügt, müssen diese sicherlich überprüft und an die neuen Gegebenheiten im Cloud Computing angepasst werden. Dabei sind die Erfolgsfaktoren [4] der Einbezug des Top Management, die Schaffung eines gemeinsames Verständnis für alle beteiligten Parteien zu Geschäftsund IT-Zielen, die mit der Cloud-Nutzung erreicht werden sollen, sowie die Sicherstellung eines effektiven Kommunikations- und Change-Management.
Quellenverzeichnis [1 ] Büst, R.; Wiedemann, D.G.: Folgen der Schatten-IT. Cloud untergräbt IT-Kontrolle. In: Computerwoche Online, 1 6.08.2011 . http://www.computerwoche.de/management/cloud-computing/2491 361 /index2.html. [2] Büst, R.: Cloud Computing und die Schatten-IT. In CloudUser | Ξxpert 22.02.2011 . http://clouduser.org/management/cloud-computing-und-die-schatten-it-5986. [3] Eriksdotter, H.: Cloud braucht neue Ansätze. Alte Governance-Modelle versagen. In: CIO.de, 21 .01 .2011 . http://www.cio.de/was_ist_cloud_computing/anwender/2260850/index.html. [4] ISACA: IT Control Objectives for Cloud Computing: Controls and Assurance in the Cloud. 2011 . [5] Wiedemann, D.G.: IT-Governance - die Wolke fest im Griff. Vortrag auf der SecTXL '11 in Hamburg, 11 . August 2011 . http://www.slideshare.net/wiedemdi/cloud-governance-wiedemann-proventa-2011 0811 . [6] Wiedemann, D.G.; Strebel, J.: IaaS-Nutzung in Deutschland 2011 . Karlsruhe, 2011 . http://www.slideshare.net/wiedemdi/iaasnutzung-in-deutschland-2011 -zusammenfassung-derstudienergebnisse
Über Dr. Dietmar Wiedemann Dr. Dietmar G. Wiedemann ist Leiter des Fachbereichs Cloud Computing im BDOA e.V. Seit 2009 arbeitet als Senior Consultant bei der Proventa AG. Seine Beratungsschwerpunkte liegen im Bereich des Requirement und Software Engineering zur Entwicklung neuer Informationssysteme. Zum Thema Cloud Computing und SaaS war er bei unterschiedlichen Projekten eines großen deutschen Telekommunikationsunternehmens tätig. Seit 2003 ist er Vorsitzender des Aufsichtsrats der aubergemediale AG, die sich mit der Konzeption von ECommerce Geschäftsmodellen befasst und diese mit eigens entwickelten CloudLösungen umsetzt. Er referierte auf zahlreichen nationalen und internationalen Fachkonferenzen und ist Autor und Herausgeber eines Blogs, von Büchern und Fachartikeln.
04/2011
36
Geek and Poke
SymposiaJournal
Cloud Computing Science
04/2011
Bridging the gap between business and technology by Dr. Frank Schulz
Nowadays, there is a multitude of computing resources readily available via the Internet. Cloud or grid infrastructures provide seemingly unlimited computing and storage capacities without interruption. The availability and scalability of cloud services has to be achieved by cloud providers, and consumers of cloud services expect that guaranteed levels of service quality (QoS) are fulfilled. Non-functional properties like availability, performance and the existence of adequate service level agreements (SLAs) have been recognized as key requirements for customers to move their IT and their business to the cloud [1 ]. From the providers’ point of view, the offered service qualities have to be achieved in an economically efficient way. In addition to leveraging economies of scale, resources need to be shared between customers in order to maintain a high degree of resource utilization. At the same time, the delivered services have to be isolated from each other not only in functional terms, but also with respect to non-functional properties. Given these requirements, the management of services during the complete life cycle creates complex challenges for cloud providers. On the technical level, there exist basic quality metrics like availability or the configuration of (virtual) machines. On higher levels like platforms (PaaS) and applications (SaaS), business users ask for other QoS metrics which relate more directly to business requirements. This includes end-to-end guarantees like dialogue response time or completion time of batch jobs. Higher level services are realized by the combination of other services or components. This can be the direct call of web services, the usage of external services within workflows, or the non-technical bundling of several services into one offer. In all cases, a translation from technical low-level metrics to high-level business terms is required, combined with appropriate aggregation mechanisms. A starting point for the management of complex services is the continuous monitoring of all relevant metrics and system parameters. Some of them are publicly monitored, like the availability of cloud APIs [2] , most others need to be assessed specifically for each case. SymposiaJournal
37
04/2011
Cloud Computing Science
Next, a scheme for the translation of these metrics into business-relevant terms is needed. Due to the complexity of systems and applications, such a scheme can often be established only by empirical measurements of the whole system under various workload and parameter conditions. Relating these technical considerations to business terms allows the derivation of risk assessments and business-related decision support for cloud providers. During runtime, the dynamic adjustment of services and infrastructures creates new possibilities for delivering the agreed quality of service while keeping an optimal level of resource utilization. These challenges are addressed by the ValueGrids project [3] , which is supported by the German Federal Ministry of Education and Research (BMBF). It aims at bridging the gap between technology and business in order to facilitate the usage of cloud and grid infrastructures in complex business scenarios.
Sources [1 ] The Open Group, “Moving to the Cloud”, http://www.cloudusecases.org/ [2] WatchMouse API Status Monitoring, http://api-status.com/ [3] ValueGrids Project, http://www.valuegrids.de/
Über Dr. Frank Schulz Frank Schulz ist Projektleiter bei SAP Research in Karlsruhe. Seine aktuellen Forschungsschwerpunkte liegen im Bereich Service Level Management und Betrieb von On-Demand Lösungen. Darüber hinaus besitzt Frank Schulz umfangreiche Kenntnisse in der Software Entwicklung für On-Demand Anwendungen. Zuvor promovierte er im Fach Informatik an der Universität des Saarlandes. 38
SymposiaJournal
Cloud Computing Wissen
04/2011
Der Einfluss des Cloud Computing von René Büst
Cloud Computing steht für den nächsten Paradigmenwechsel in der IT. Jedoch führen der flexible und auf Basis des Verbrauchs abgerechnete Bezug von Ressourcen ebenfalls zu Einflüssen, denen sich Unternehmen stellen müssen. Cloud Computing bietet Unternehmen eine Vielzahl von Vorteilen in Bezug auf die Art der Nutzung von IT-Ressourcen wie Hard- und Softwaresysteme. So sind Unternehmen im Normalfall für die Wartung der Systeme alleine verantwortlich, was zu hohen Aufwendungen in Zeit und Kapital führt. Durch den Einsatz von Cloud Computing konzentriert sich ein Unternehmen ausschließlich auf den eigentlichen Unternehmenszweck und bezieht die dafür benötigten Ressourcen. So stehen einem Unternehmen quasi unendliche Speicherkapazitäten zur Verfügung, welche Sie auf Grund der hohen Investitionskosten alleine nicht hätten aufbauen können. Dasselbe gilt für das Mitwachsen der IT mit dem Unternehmen. Neue Mitarbeiter erfordern neben der Vergrößerung der Büroflächen ebenfalls die Erweiterung der IT-Infrastruktur, was implizit dazu führt, dass ebenfalls das Wartungspersonal der Infrastruktur im Laufe der Zeit mitwachsen muss.
Wandel von fixen zu variable Kosten Neben den technischen Vorzügen, die Cloud Computing gegenüber einer eigenen ITInfrastruktur bietet, stehen auch die finanziellen Vorteile im Vordergrund, die intensive Auswirkungen auf die Kostenstruktur eines Unternehmens mit sich bringen. Während des Betriebs einer eigenen Infrastruktur oder eines Rechenzentrums befindet sich ein Unternehmen in der Situation während der Anschaffung von Hard- und Softwaresystemen in Vorleistung zu gehen und darüber hinaus weitere Investitionen und Kosten für den Betriebsaufwand zu übernehmen. Die Kostenstruktur des Unternehmens wird damit durch einen enormen Fixkostenblock belastet. Kapital, das fest und auf einen langen Zeitraum hinweg investiert wird. SymposiaJournal
39
04/2011
Cloud Computing Wissen
Neben den technischen Vorzügen, die Cloud Computing gegenüber einer eigenen ITInfrastruktur bietet, stehen auch die finanziellen Vorteile im Vordergrund, die intensive Auswirkungen auf die Kostenstruktur eines Unternehmens mit sich bringen. Während des Betriebs einer eigenen Infrastruktur oder eines Rechenzentrums befindet sich ein Unternehmen in der Situation während der Anschaffung von Hard- und Softwaresystemen in Vorleistung zu gehen und darüber hinaus weitere Investitionen und Kosten für den Betriebsaufwand zu übernehmen. Die Kostenstruktur des Unternehmens wird damit durch einen enormen Fixkostenblock belastet. Kapital, das fest und auf einen langen Zeitraum hinweg investiert wird. Cloud Computing Anbieter dagegen investieren gezielt in ihre Infrastruktur, um diese anschließend als Dienstleistung anzubieten. Das Unternehmen reicht seine Kapitalaufwendungen somit an den Cloud Computing Anbieter weiter und bezahlt nur für den Betriebsaufwand, also die tatsächlich genutzten Ressourcen. Das entlastet die Kostenstruktur des Unternehmens, wodurch der Fixkostenblock verkleinert wird und fixe zu variablen Kosten transformiert werden. Die Kapitaldifferenz steht damit für andere Aufwendungen und Projekte zur Verfügung. Cloud Computing bietet neben der Variabilisierung der Kosten aber deutlich mehr Vorteile und Möglichkeiten. Es ermöglicht Unternehmen den Wandel zu einer flexibleren Organisation und stärkt damit die Agilität.
Erhöhung der Agilität Mit dem flexiblen Bezug und der bedarfsgerechten Abrechnung der tatsächlich genutzten Ressourcen sind Unternehmen in der Lage agiler auf die aktuellen Anforderungen reagieren zu können. Das betrifft zum einen den Markt, in dem sich das Unternehmen bewegt und zum anderen die eigenen Mitarbeiter, deren Anforderungen an Ressourcen für die Umsetzung neuer Ideen stetig wächst. Eine Studie von CA ergibt, “[...] dass IT-Profis davon ausgehen, dass Cloud Computing die Agilität (63 Prozent), die Innovation (58 Prozent) und die Zusammenarbeit mit dem Geschäftsbereich (57 Prozent) beschleunigen und vorantreiben.” Dass ebenfalls der Zusammenarbeit mit den Geschäftsbereichen von den IT-Profis ein hoher Stellenwert beigemessen wird, ist nicht verwunderlich. So gilt die Agilität als eine kontinuierliche und enge Abstimmung zwischen den Geschäftsbereichen und der IT. So ist es nur eine logische Konsequenz, dass die aus der Nutzung des Cloud Computing gewonnene Agilität zur Entwicklung neuer Produkte und Dienstleistungen führt. Das liegt unter anderem darin begründet, dass sich die IT-Mitarbeiter nicht mehr um die tiefgreifenden Details der IT kümmern müssen, die erforderlich sind, wenn ein neues Projekt initiiert wird und dadurch mehr Zeit gewinnen. Dazu gehören bspw. die Beschaffung neuer oder weiterer Serverressourcen oder die Verwaltung des Projektpersonals (Rechtevergabe, Aufnahme in Projektgruppen etc.). 40
SymposiaJournal
Cloud Computing Wissen
04/2011
Die Agilität wird zudem dadurch weiter unterstützt, indem mehr ungebundenes Kapital zur Verfügung steht, welches sonst fix und auf eine langen Zeitraum in die IT-Infrastruktur investiert worden wäre. Diese Kapitalressourcen stehen nun neuen Ideen und Projekten zur Verfügung, auf die Mitarbeiter zurückgreifen können um den Status des Unternehmens zu festigen und weiter auszubauen.
Konzentration auf die Kernkompetenzen Durch die Nutzung des Cloud Computing versetzen sich Unternehmen in die Lage, sich nicht mehr selbst um die Installation, Wartung und Pflege ihrer IT-Infrastruktur kümmern zu müssen. Stattdessen können sie sich auf ihre Kernkompetenzen fokussieren, was vor allem für kleine und mittelständische Unternehmen von besonderem Interesse ist, da diese im Vergleich zu einem großen Unternehmen in der Regel über ein geringes ITBudget verfügen. Zudem erhöhen Sie ihre Flexibilität im Kerngeschäft, da die benötigten Anforderungen an und durch die IT schneller umgesetzt werden können. Unternehmen konzentrieren sich somit auf ihren eigentlichen Unternehmenszweck und nutzen die IT lediglich für die Umsetzung ihrer Ziele. Das kommt auch den IT-Abteilungen entgegen, die oft in der Kritik stehen, keinen konkreten Wertbeitrag in das Unternehmen einfließen zu lassen. Auf Basis schnell verfügbarer Ressourcen können die IT-Abteilungen zusammen mit den Fachbereichen neue Anwendungen entwickeln, die bei der Umsetzung der Kernkompetenzen helfen und das Unternehmen damit nachhaltig und messbar unterstützen.
Erzielen von Wettbewerbsvorteilen Mit dem Einsatz von Cloud Computing müssen sich Unternehmen nicht mehr um den Betrieb und die Wartung der IT-Infrastruktur (Hardware und Software) kümmern. Das führt dazu, dass die Zeit und personellen Ressourcen, die dadurch freigesetzt werden, damit gezielt auf das eigentliche Vorhaben konzentriert werden können. Hinzu kommt, dass Ressourcen deutlich schneller bezogen werden können, wodurch Ideen schneller umgesetzt und die Laufzeit von IT-Projekten verkürzt wird. So wird der Time to Market von IT-basierten Produkten beschleunigt. Mit der flexiblen Anpassung der IT-Ressourcen kann des Weiteren umgehend auf neue Kundenwünsche oder neue Marktverhältnisse reagiert werden. Einen weiteren Wettbewerbsvorteil erhalten Unternehmen durch die zeit- und ortsunabhängige Zusammenarbeit ihrer Mitarbeiter. Durch den Einsatz bspw. von SaaS über einen Webbrowser oder das Speichern von Dokumenten in der Cloud mittels Storage-as-a-Service ist die Kollaboration nicht mehr auf eine Stadt, ein Land oder einen Kontinent beschränkt. Somit haben Unternehmen nun die Möglichkeit, weltweit die besten Mitarbeiter zu rekrutieren ohne diese aus ihrem gewohnten Umfeld herausreißen zu müssen.
SymposiaJournal
41
04/2011
Cloud Computing Wissen
Neustrukturierung von Geschäftsprozessen In der Cloud steht Unternehmen ein riesiger Marktplatz mit einer Vielzahl von Services zur Verfügung, mit denen ganze Geschäftsprozesse oder nur Teile unterstützt werden können. So ist es durchaus vorstellbar, dass ein Unternehmen seine gesamten Prozesse in die Cloud verlagert und nur dann aktiv nutzt, wenn diese benötigt werden. Das kann sogar soweit führen, dass ein vollständiger Geschäftsprozess innerhalb der Cloud über mehrere Anbieter hinweg verteilt abgebildet wird. Vorstellbar wäre, dass ein Anbieter den Teilprozess A verarbeitet, ein weiterer den Teilprozess B. Ein dritter Anbieter verarbeitet den Teilprozess C und nutzt dabei die Teilprozesse A und B. Oder es wird eine Vielzahl voneinander unabhängiger Services von unterschiedlichen Anbietern verwendet, die zu einem einzigen Service integriert werden. Der Komplexität sind keine Grenzen gesetzt. Ein vermeintlich trivialeres Beispiel hingegen wäre, dass die Daten bei einem Anbieter A gespeichert sind und ein Anbieter B soll diese Daten verarbeiten. Speziell im Bereich der Logistik werden bereits jetzt viele Teilprozesse unabhängig voneinander integriert. So stehen einem Versandhaus bspw. die Lager vom Unternehmen I und II zur Verfügung, das Schiff von Unternehmen III, die LKWs von den Unternehmen IV, V und VI, die Rechnungsabwicklung von Unternehmen VII sowie die Archivierungsprozesse von Unternehmen VIII. Das Cloud Computing Konzept kann auf Grund seiner quasi unendlichen Viehlzahl an Services dabei noch deutlich komplexer werden und über den Ansatz des traditionellen ITOutsourcing weit hinausgehen. Die Cloud ist daher eine ideale Umgebung, in der Unternehmen die eigenen Geschäftsprozesse bereitstellen können, um diese gezielt spezifischen Märkten und Kunden anzubieten. Dabei stellt das Business Process Management (BPM) die Grundlage für die Bereitstellung dieser Prozesse über die Cloud dar. Mittels BPM erstellen mehrere Unternehmen gemeinsam einen auf eine spezielle Kundengruppe zugeschnittenen Geschäftsprozess. Ein BPM System ist dann für die Überwachung und das Messen der Performanz der unternehmensübergreifenden Geschäftsprozesse zuständig und stellt allen Parteien Echtzeitinformationen zur Verfügung, um den jeweiligen Teilprozess so zu justieren, dass der Gesamtprozess optimal genutzt werden kann. Die Studie im Auftrag von CA ergab, “[...] dass die IT zunehmend die Form einer Lieferkette (Supply Chain) annimmt. Das traditionelle Supply Chain-Modell kommt aus der Fertigung. Dort werden für die Lieferung von Gütern und Dienstleistungen an die Kunden verschiedene Ressourcen – Technologie, Prozesse, Güter, Services und Personal – in logischer Weise organisiert. Im Rahmen der Migration von Applikationen, Infrastruktur und sogar von Geschäftsprozessen in die Cloud, werden nun auch IT-Abteilungen zu den Managern einer IT-Lieferkette. Dabei nutzen IT-Manager verschiedene interne und externe Ressourcen mit dem Ziel, das Unternehmenswachstum voranzutreiben.”
42
SymposiaJournal
Cloud Computing Wissen
04/2011
IT-Abteilungen müssen sich verändern Der Ansatz und die Konzepte des Cloud Computing beeinflussen auch insbesondere die IT-Abteilungen der Unternehmen, an denen es nun liegt, entsprechende Lösungen in die IT-Strategie des Unternehmens einfließen zu lassen. Die CA Studie legt offen, dass mehr als die Hälfte der Teilnehmer (54%) der Meinung ist, “[...], dass der aktuelle Wert der IT größtenteils durch ihre Aufgabe als Betreiber der ITInfrastruktur definiert ist. Die Befragten gehen jedoch davon aus, dass innerhalb der nächsten zwei Jahre die Hauptrolle der IT in der Verwaltung der IT-Supply Chain liegen wird. 50 Prozent gaben an, dass eine Zunahme der cloud-basierten Services – besonders der bisher intern verwalteten – zu dieser Entwicklung beiträgt.” Nach Christian Wirth wird es in Zukunft Service-Manager geben, die nicht nur zwischen den Geschäftsbereichen und der IT vermitteln müssen, “[...] sondern sich darüber hinaus auch mit verschiedensten Fragen auseinandersetzen, die durch die Einführung von Cloud Computing eine neue Dimension erlangen.“ So ist laut Wirth der Service-Manager neben der Sicherheit der Daten ebenfalls für die Anforderungen an die Compliance, die Einhaltung der SLAs sowie die Zuverlässigkeit und die Performanzsicherstellung des Cloud Service verantwortlich. So muss der ServiceManager, “[...] im Cloud-Zeitalter beim Überprüfen der Performance die Perspektive der Endanwender einnehmen können, um sicherzustellen, dass sie stabilen Zugriff auf Anwendungen haben, die vollständig oder teilweise in die Cloud ausgelagert wurden. Liegt ein Problem außerhalb des Unternehmensnetzes, ist es zudem entscheidend, schnell zu ermitteln, ob es grundsätzlich in bestimmten Regionen oder nur bei bestimmten InternetProvidern auftritt.” Die oben genannten Veränderungen werden mit der Studie von CA nochmals bekräftigt. „Da die IT-Abteilungen sich von einer Owner- und IT-Betreiber-Infrastruktur zum Manager komplexer interner und externer Services auf mehreren Plattformen wandeln, stehen CIOs vor der Aufgabe, den Wert der IT für das Business neu zu definieren“, [...] „Diese Veränderung schafft für IT-Fachkräfte interessante Möglichkeiten, ihre Fähigkeiten zu erweitern und zum strategischen Berater des Unternehmens zu werden.“ Zudem nennt die Studie konkrete Berufsbezeichnung und Rollen für das Zeitalter des Cloud Computing. Dazu gehören: • Cloud Architekt • Cloud Service Manager • Cloud Integrationsspezialist und -Experte • Cloud Security Manager und -Ingenieur • Director Cloud Infrastructure • Executive Vice President of Cloud Technologies
SymposiaJournal
43
04/2011
Cloud Computing Wissen
Anwendungen für die Cloud Greift ein Unternehmen auf Services aus der Cloud zurück, verwendet es in erster Linie das Konzept des Software-as-a-Service, also der Nutzung von Applikationen über einen Webbrowser. Hier gilt es daher die Entscheidung zu treffen, welche Anwendungen aus der Cloud genutzt und welche weiterhin lokal betrieben werden sollen. Im Falle eines Startups ist die Entscheidung nicht so schwierig, da die Software mit dem Unternehmen langsam mitwachsen kann. Zudem werden unnötige Investitionen in Lizenzen, die Wartung, Installation etc. vermieden. Bei einem renommierten Unternehmen mit einer vorhandenen IT-Infrastruktur und zahlreichen lokalen Softwareinstallationen gestaltet sich die Entscheidung etwas schwieriger. So existieren Anwendungen und ihre Eigenschaften, die prädestiniert dafür sind, in eine Cloud Computing Infrastruktur ausgelagert zu werden bzw. über die Cloud genutzt zu werden. Dazu gehören zum einen Stand-Alone Anwendungen, bei denen das Risiko für das Unternehmen sehr gering ist. Das betrifft den Ausfall des Systems oder den Diebstahl bzw. die Kompromittierung von Daten. Weiterhin sollten Anwendungen in Betracht gezogen werden, die nur schwer zu berechnende und sehr volatile Datenmengen verarbeiten. Dazu gehören ebenfalls genauso Test- und Entwicklungsplattformen wie Anwendungen, bei denen viele externe Unternehmen gemeinsam auf Informationen zugreifen und miteinander in einer Wertschöpfungskette kollaborieren.
Über René Büst René Büst ist Cloud Computing Experte sowie IT-Analyst & Autor in den Bereichen Cloud/ Mobile Computing, Consumerization und modernes Arbeiten. Darüber hinaus ist er Managing Director von Symposia 360° und Gründer des Cloud Computing Portal CloudUser.org. René Büst hat einen Abschluß als Master of Science im Bereich IT-Management von der FHDW Paderborn und als Diplom-Informatiker (FH) von der Hochschule Bremen.
44
SymposiaJournal
04/2011
Cloud Computing Umfrage
Umfrage im Rahmen des CloudOps Summit 2011 initiiert durch Roland Judas und Chris Boos
Im Rahmen des CloudOps Summit 2011 in Frankfurt haben die beiden Organisatoren Roland Judas und Chris Boos eine Umfrage zur aktuellen Nutzung bzw. dem Nutzungsverhalten des Cloud Computing gestartet. Die daraus resultierten Ergebnisse drucken wir im Folgenden ab.
46
SymposiaJournal
Cloud Computing Umfrage
SymposiaJournal
04/2011
47
04/2011
48
Cloud Computing Umfrage
SymposiaJournal
Cloud Computing Umfrage
SymposiaJournal
04/2011
49
04/2011
50
Cloud Computing Umfrage
SymposiaJournal
Cloud Computing Umfrage
SymposiaJournal
04/2011
51
04/2011
52
Cloud Computing Umfrage
SymposiaJournal
Cloud Computing Umfrage
SymposiaJournal
04/2011
53
04/2011
54
Geek and Poke
SymposiaJournal
Cloud Computing Meinung
04/2011
Erlang: Ein altes Kind für moderne Architekturen von Björn Böttcher
Eine hochverfügbare Anwendung soll es werden. Nun soweit stimmen die meisten Pläne für neue Softwaresysteme überein. Viele Entwickler und Architekten entwickeln mit dem Ziel, eine hochverfügbare und skalierbare Anwendung zu kreieren. Am bestem mit keiner Downtime, Continuous Integration und weiteren netten Annehmlichkeiten des Entwicklerndaseins. Doch wie beginnt man? Welche Architektur ist die richtige für mein Vorhaben? Wie erreiche ich mein Ziel in diesen wolkigen und immer nebulöser werdenden Zeiten? Diese Frage lässt sich natürlich nicht einheitlich und generisch beantworten. Denn die Implementierung des Systems hängt immer von einer Reihe von Randbedingungen ab. Es muss und sollte immer genau untersucht werden, welche Systeme und Komponenten für meine Anwendung benötigt werden und überhaupt geeignet sind. Es gibt auf dem "Markt" momentan eine Menge guter OpenSource-Softwareprojekte, die gute Vorraussetzungen haben spezifische Probleme zu adressieren und diese auch zu lösen. Jedoch wie findet man die richtige? Man muss seine Anforderungen gut kennen und jederzeit im Blick haben. Facebook hat z.B. nicht ohne Grund Thrift[2] entwickelt, obwohl es bereits gute mögliche Kandidaten für multi-plattform Ansätze gab, wie etwa CORBA und SOAP. Doch mit dem festen Fokus auf seine Anforderungen gelangt man das ein oder andere Mal doch an die Grenzen bestehender Systeme. Erlang. Der dänische Mathematiker und Ingenieur? Die Großgemeinde Erlang des Stadtbezirks Hechuan in der chinesischen Stadt Chongqing? Oder soll es hier doch um die Programmiersprache Erlang gehen? Genau. Es geht in diesem Artikel um eben einen dieser alten Hasen der IT, der in Zeiten moderner dynamischer System wieder an das Licht der Programmierwelt vorstößt. Denn verschollen war Erlang nie. Es gab und gibt immer Systeme, die unter der Oberfläche eine breite Masse von anderen System unterstützen und mit Erlang erbaut sind. Begeben wir uns in die Vergangenheit von Erlang, um zu erfahren, was Erlang ist und warum es so wertvoll sein kann für die Cloud bzw. moderne Systemarchitekturen. SymposiaJournal
55
04/2011
Cloud Computing Meinung
Die Ericsson language oder auch nach dem dänischen Mathematiker und Ingenieur Agner Krarup Erlang benannte Sprache und Laufzeitumgebung erblickte in den Laboren von Ericsson die Welt. Geburtshelfer und Vater war Joe Armstrong im Jahre 1 986³. In den Laboren von Ericsson suchte man damals nach einer Möglichkeit die folgenden Anforderungen zu erfüllen. • Parallelität • hohe Verfügbarkeit • Fehlertoleranz • Effizienz • Auswechseln von Modulen zur Laufzeit Wie man bereits in dieser Liste sehen kann, scheint Erlang ein geeigneter Kandidat für viele heutige Systeme zu sein. Doch es hängt sehr davon ab, was man denn eigentlich bauen möchte. Für Number Crunching oder auch graphik-intensive Anwendungen ist Erlang sicherlich nicht die beste Wahl mit diesen Design-Anforderungen. Wenn man hingegen ein verteiltes, robustes, skalierendes, Multi-core fähiges und interoperable Anwendung im Fokus hat, dann ist Erlang sicherlich im Kreise der engsten Kandidaten für dieses System. 1 993 wurde ein weiterer Meilenstein in der Geschichte von Erlang gesetzt. Verteilung wurde dem System hinzugefügt, was es ermöglicht, homogene Programme auf heterogener Hardware laufen zu lassen. Doch ist Erlang wirklich den Anforderungen seiner Entwickler gewachsen? Werfen wir doch einmal einen Blick auf die heutigen Systeme und picken uns ein paar Beispiele heraus. Viele Firmen nutzen Erlang in ihren Produktivsystemen[1 ][3] • Amazon nutzt Erlang für die Implementierung von SimpleDB • Yahoo! nutzte Erlang für ihren Social Bookmarking Dienst Delicious (jetzt AVOS Systems, Inc.), welcher mehr als 5 Millionen Nutzer und mehr als 1 50 Millionen URLs beheimatet • Facebook nutzt Erlang für den hauseignenen Chat, hit mehr als 1 00 Millionen aktiver Nutzer • T-Mobile nutzt Erlang für sein SMS und Authentifizierungssystem • CouchDB • RabbitMQ Es lassen sich sicherlich noch viele weitere Beispiele finden, die für Erlang sprechen und die Robustheit und Skalierbarkeit deutlich belegen können. Doch was macht Erlang so besonders? Nun Erlang ist in erster Linie nicht nur eine Programmiersprache, sondern auch ein Laufzeitsystem mit umfangreicher Bibliothek. Erlang kommt zudem mit besonders leistungsfähigen VMs daher. Das System Erlang/OTP (The Open Telecom Platform) ist somit geradezu ideal geeignet für verteilte, 56
SymposiaJournal
Cloud Computing Meinung
04/2011
hochverfügbare Systeme. Die Erlang VM hat auch eine lange Entwicklung hinter sich. Sie machte Stationen bei JAM, VEE (Virding's Erlang Engine), Strand88 und über TEAM kam man dann endlich bei Bogdan's Erlang Abstraft Machine (BEAM) an[4]. BEAM ist implementiert eine Registermaschine und keine Stackmaschine. Es gibt keine Manipulationsmöglichkeiten für Stacks. In BEAM ist es z.B möglich über einfache Instruktionen Speicher zu allokieren oder Tutel zu initialisieren. Dies ist bei anderen VMs, wie beispielsweise die von Java nicht möglich, da hier in Objekten gedacht und operiert wird. Dadurch ist der Zugriff nur über die Erzeugung eines Objektes möglich, welcher die Details der Speicherallokierung verbirgt. Ebenso ist die Erzeugung neuer Prozesse anders aufgebaut, als es bei der JVM der Fall ist. Die Entscheidung, wann ein weiterer Prozess gestartet wird, erfolgt bei der Erlang VM nicht über Synchronisationsinstruktionen. Betrachten wir einmal die wichtigste Vorteile der Erlang VM ein wenig genauer[5]. Leicht gewichtige Prozesserzeugung. In nebenläufigen Systemen ein klarer Bonus und Vorteil auch und gerade im Hinblick auf die Komplexität einer Architektur. Man verliert sich während der Entwicklung nicht in Threads. Kurz: Erlang erledigt das System Thread Management. Dies ermöglicht die Fokussierung auf die eigentliche Arbeit, das Entwickeln der Anwendung. Man benutzt während der Entwicklung einfach die Ressourcen, die man benötigt. Des Weiteren hätten wir eine ideale Nachrichtenverteilung in Erlang implementiert. Solange eine Prozess ID innerhalb der Plattform bekannt ist, kann man direkt Nachrichten durch die Anwendung genau an diesen Prozess schicken. Ich denke ich brauche die Stärke in diesem Bereich nicht weiter auszuführen, wenn man sich in Erinnerung ruft, dass die Erfinder doch bei einem Kommunikationsunternehmen arbeiteten. Um die Highlights abzurunden, bietet Erlang noch die Möglichkeit eines Codeaustauschs zur Laufzeit. Dies ist ein extrem wichtiges und -entschuldigen Sie den Ausdruck - coole Eigenschaft. Um eine hohe Verfügbarkeit von Systemen zu erreichen, ist dies eine notwendige Eigenschaft eines Systems. Dies bringt nach Untersuchungen 5-9 neunen an Uptime. Hierbei gilt jedoch auch wieder, dass die Anwendung natürlich so entwickelt sein muss, dass dies auch möglich ist. Es ist wie mit allen Dinge: man bekommt nichts umsonst. Doch wo es viel Lob gibt, gibt es natürlich auch immer einen Kritikpunkt. In diesem Fall natürlich auch. Erlang ist nun mehr als 20 Jahre alt. Dies ist ein nicht zu unterschätzender Punkt, den man berücksichtigen sollte. Andere Programmiersprachen sind sicherlich auch nicht die jüngsten, haben jedoch im Laufe ihrer Lebenszeit eine starke Entwicklergemeinde hinter sich gehabt und der Sprache so einige Kinderkrankheiten ausgetrieben. Auf der anderen Seite war Erlang immer im behüteten Schoß einer kleinen Entwicklergemeinde. Dies hat auch sein gutes. Da die Sprache dadurch vielleicht genau die gewünschte Robustheit erlangt hat, die sie heute nachweisen kann. Denn nicht umsonst setzen so viele Unternehmen bei der Implementierung genau auf dieses Pferd. Man kann außerdem auch von Kindern viel lernen. Dies zeigen unlängst Managerschulen, in denen Kinder den Erwachsenen beibringen, worauf es im Leben ankommt.
SymposiaJournal
57
04/2011
Cloud Computing Meinung
Hier eine kleine Zusammenfassung vor dem Resümee in Anlehnung an Paul O’Rorke[6]: Haupteigenschaften: • Asynchrone Nachrichtenübermittlung • Synchrone Nachrichtenübermittlung ist möglich • Tracking/Monitoring von Prozessen, z.B. mit Hilfe eines Nameservers • Schnelle Prozesserzeugung • Code Integration von Java und C möglich Stärken: • Geeignet für hoch verteilte, nebenläufige Anwendungen mit Zehntausenden von Transaktionen pro Sekunde • Ermöglicht eine hohe Anzahl von simultanen Prozessen (Produktivsysteme mit 8-9 Millionen Prozessen sind im Einsatz) • Extensive Inter-Prozess Kommunikation • Verteilung über heterogene Maschinen ist kein Problem, da Erlang keine Unterscheidung macht, wo der Prozess läuft • Codeaustausch zur Laufzeit Schwächen: • Nicht geeignet für Anwendungen wie Number Crunching • Große VM, daher nicht umbedingt für clientseitige Anwendungen geeignet Die zu grundliegende Betrachtung von Erlang und seinen Fähigkeiten befürwortet einen Einsatz dieser Sprache oder Systemkomponenten, die in Erlang realisiert worden sind für moderne Projekte in dynamischen und skalierbaren Systemlandschaften wie etwa im Cloud Computing Umfeld. Ob es nun "nur" die Nutzung von beispielsweise CouchDB oder RabbitMQ ist, oder die komplette Anwendung nativ in Erlang entwickelt wird, sei einmal dahingestellt. Es lohnt sich jedenfalls.
58
SymposiaJournal
Cloud Computing Meinung
04/2011
Über Björn Böttcher Dipl.-Ing. Björn Böttcher war als Microsoft Student Partner tätig und hat sich schon während seines Studiums als Freelancer in vielen Projekten aktiv in der Wirtschaft um informationstechnologische Umsetzungen gekümmert. Er promoviert bei der Parallel Computing Group an der TUHH im Cloud und Grid Umfeld. Im Community Umfeld ist er Gründer und Organisator der AWS User Group, der Microsoft Windows Azure User Group und Mitorganisator des CloudCamp Hamburg 201 0. Seit Juni 201 0 ist er zudem Managing Director von Symposia 360° und seit 2011 geschäftsführender Gesellschafter der Firma Going Cloud.
Quellenangaben [1 ] Erlang Programming - A Concurrent Approach to Software Development; Autoren: Francesco Cesarini, Simon Thompson; Verlag: O'Reilly Media; Veröffentlicht: June 2009 - http://bit.ly/uK8l2X [2] Thrift - Scalable Cross-Language Service Implementation; Autoren: Mark Slee, Aditya Agarwal, Marc Kwiatkowski, FACEBOOK - http://bit.ly/vp56hP [3] http://de.wikipedia.org/wiki/Erlang_(Programmiersprache) [4] The evolution of the Erlang VM - http://bit.ly/vC8xK0 [5] John Bender - http://bit.ly/vhSXjJ [6] Paul Ororke - http://bit.ly/tNN7qu SymposiaJournal
59
Impressum
04/2011
Impressum
Impressum
Symposia 360° GbR Barnerstr. 1 4b 22765 Hamburg E-Mail: verlag@symposia360.com Internet: http://www.symposia360.com
Jan Schneider, Frank Schulz, Dr. Dietmar Wiedemann, Dr. Michael Pauly, Björn Böttcher, René Büst
Anzeigenleitung
Björn Böttcher & René Büst
Dipl.-Ing. Björn Böttcher E-Mail: bjoern@symposia360.com M.Sc., Dipl.-Informatiker (FH) René Büst E-Mail: rene@symposia360.com
Karikaturen
Herausgeber & Verlag
Autoren dieser Ausgabe
Cover & Design
Oliver Widder Internet: http://geekandpoke.typepad.com
Redaktion Björn Böttcher, René Büst
Copyright © 2011 Symposia 360° GbR 60
SymposiaJournal
Geek and Poke
SymposiaJournal
04/2011
61