Digitale Souveränität durch Multi-Cloud – geht das?
Wer selbstbestimmt digitalisieren möchte, sollte im ersten Schritt seine Souveränitätsziele je Anwendungsfall klären
In der experimentierfreudigen Phase1 der Cloud, so etwa zwischen 2016 und 2018, betonte AWS, der damals übermächtige Pionier der Public Cloud, die Multi-Cloud sei sinnlos. Es sei viel vorteilhafter, alle Applikationen nah beieinander beim gleichen Provider zu halten. Es ist naiv zu denken, dass AWS hier frei von eigenen Interessen argumentiert. Dagegen bewarb VMware, der Platzhirsch der klassischen Infrastruktur, von Beginn an komplexere Modelle wie Hybrid und Multi-Cloud. Es erscheint logisch, denn nur diese können einen relevanten Anteil von VMware-Leistungen enthalten. Systemintegratoren und Berater:innen verfechten ebenfalls die Multi-Cloud, denn diese gibt ihnen mehr Möglichkeiten zur Systemintegration und Beratung.
Wie aber sieht die interessensfreie Betrachtung der Multi-Cloud insbesondere bezogen auf die Frage der digitalen Selbstbestimmung einer Organisation aus?
The Why of Cloud
Die nüchterne Betrachtung bedarf der Klärung der eigenen Interessen: Warum gehen Organisationen in die Cloud?
- Nutzen sie deren Technologien und Methoden konsequent, können sie deutlich schneller neue Funktionen entwickeln.
- Cloud-Applikationen können zudem ad-hoc auf Lastschwankungen wie zu Beginn der Corona-Epidemie reagieren.
- Organisationen können zudem die IT-Wertschöpfung deutlich automatisieren. Sie benötigen für Commodity-Leistungen wie IT-Infrastruktur deutlich weniger Mitarbeitende.
- In Zeiten von Personalnot bei Fachexpert:innen hilft dies Unternehmen, sich auf ihre Kernaufgaben zu fokussieren und eigene Lösungen kundennaher zu gestalten.
Warum Cloud?
Spontan auf Lastschwankungen reagieren
Schnell neue Funktionen entwickeln
Wertschöpfung automatisieren
Auf Kern-Aufgaben fokussieren
Welche besonderen Risiken?
Abhängigkeit von einer Software
Abhängigkeit von einem Unternehmen
Geopolitische Abhängigkeit von einem Land
Die Nutzung der Cloud geht einher mit Risiken, auch bezogen auf die eigene digitale Souveränität. Zu nennen sind hier insbesondere die folgenden:
Organisationen können abhängig von bestimmten Softwarelösungen werden. Diese Lieferant:innen nutzen solche Abhängigkeiten gezielt für eigene wirtschaftliche Interessen aus. Sie wissen genau, wie aufwendig die Migration einer Applikation auf eine andere Technologie ist. Amazon benötigte mehrere Jahre, um die eigene Abhängigkeit von Oracle-Datenbanken aufzulösen.
Mehrere Organisationen oder ganze Branchen können dem gleichen Cloud-Unternehmen ausgeliefert sein. Ein Ausfall eines AWS-Rechenzentrums führte dazu, dass die beiden Videostreaming-Wettbewerber Netflix und Disney+ gleichzeitig ausfielen.
Ganze Länder oder Kontinente können abhängig werden von einem einzelnen Drittland. Beispielsweise entschied die Trump-Regierung im Jahr 2019, dass Google keinerlei Android-Updates mehr an Huawei ausliefern dürfe. Dies führte zu unsicheren Huawei-Mobiltelefonen und einem praktischen Verkaufsverbot der Geräte in der ganzen Welt.
Energie-Souveränität durch Multi-Gas
Deutschland verfolgte über Jahre praktisch eine Mono-Gas-Strategie. Verträge und Infrastruktur waren darauf ausgelegt, immer passgenau von sehr wenigen Gaslieferanten die richtige Menge Gas geliefert zu bekommen. Es wurden keine alternativen Bezugswege (insb. LNG-Terminals) vorgehalten, nicht in eigene Gasproduktion und nicht in umfassende Gasspeicher investiert. Mit dem Ukraine-Krieg und dem damit verbundenen Stop der Gaslieferungen aus Russland wurden die Nachteile dieser Strategie offensichtlich. Binnen weniger Monate musste eine Multi-Gas-Strategie entworfen und deren Umsetzung gestartet werden. Besonders investiert wurde in LNG-Terminals, um die Anzahl der Gaslieferanten zu diversifizieren.
Wie gut lässt sich die Analogie der Energiesouveränität durch Diversifizierung der Lieferländer auf die digitale Souveränität durch Multi-Cloud übertragen?
Multi-Cloud kann auf verschiedenen Ebenen der IT-Wertschöpfung stattfinden:
IaaS-Ebene: Eine Applikation bleibt in ihrem Kern bestehen, lediglich die zugrundeliegende IT-Infrastruktur (Rechenleistung, Speicher, Netzwerk) wird je nach Bedarf von Azure, AWS oder der Private Cloud bezogen.
PaaS-Ebene: Die Applikation nutzt meist eine Cloud als Heimat für die IT-Infrastruktur. Einige Plattform-Services, wie etwa AI-basierte Übersetzungs-Services, werden von Spezialisten wie DeepL, einem ein Onlinedienst für maschinelle Übersetzung, bezogen.
SaaS-Ebene: Unternehmen beziehen unterschiedliche Softwares von unterschiedlichen Clouds. Für Telefonie wird beispielsweise Teams von Microsoft genutzt, für Workshops dagegen Miro und für CRM-Systeme Salesforce.
Landschafts-Ebene: In Summe ergibt sich für Unternehmen eine Multi-Cloud-Realität. In jeder Applikation sind in der Praxis in jeder Ebene Cloud-Services potenziell in Nutzung.
Jede dieser Clouds bringt unterschiedliche Leistungs- und Risikoprofile mit. Die Public Clouds AWS, GCP und Azure gelten als der Benchmark in Punkto Leistungsfähigkeit. Die Bundescloud dagegen bringt für Behörden das Maximalmaß an Kontrolle mit.
Das Spektrum der souveränen Clouds zeigt einige der aktuellen Cloud-Optionen im deutschen Markt. Die grobe Daumenregel besagt, dass nach links das Maß an Kontrolle zunimmt, nach rechts hingegen der Grad der Leistungsfähigkeit.
Drei Schritte zur Souveränität durch Multi-Cloud
Der erste Schritt zu mehr Souveränität ist die Kenntnis des individuellen Bedarfs nach Leistungsfähigkeit und Kontrolle je Fach-Anwendung. Geht es um Funktionsvielfalt, Geschwindigkeit und Skalierbarkeit? Oder ist es wichtig, dass alle Funktionen auch im Falle einer kriegerischen oder geopolitischen Auseinandersetzung mit den USA noch zur Verfügung stehen? Oder geht es eher um die Verbesserung der Verhandlungsposition mit einem einzelnen Technologielieferanten?
Der zweite Schritt ist die bewusste Entscheidung zum Mix aus Fremd- und Eigenleistung. Deckt die Anwendung etwa einen geopolitisch unkritischen Prozess ab, wie etwa die Vergabe des Jagdscheins in Niederbayern, dann könnten hierfür auch Clouds mit anbieterspezifischen Technologien (wie etwa die Delos) eingesetzt werden. Geht es aber um die interne Kommunikationsplattform des Auswärtigen Amtes, dann sollte mehr Open-Source-Technologie eingebunden und Eigenleistung erbracht werden.
Im dritten Schritt dann liegt die große inhaltliche Herausforderung: Die nach Souveränität strebende Organisation muss die Software-Architektur auf eine Art und Weise gestalten, dass diese im Krisenfall wie gewünscht reagiert.
Fällt also der Haupt-Cloudanbieter aus, muss die Software dies merken und automatisch auf die Ersatz-Cloud umschalten.
Sind aufgrund geopolitischer Spannungen bestimmte "Luxus-Services" nicht mehr verfügbar, muss ein definierter Basis-Leistungsumfang der Anwendung immer noch nutzbar bleiben.
Sind Cloud-Services bei unterschiedlichen Anbietern nicht exakt gleich, sondern nur ähnlich, muss die Organisation Zwischenebenen erstellen und pflegen, um tatsächliche Interoperabilität zu erreichen.
Im Betrieb ergeben sich ähnliche Herausforderungen:
Die Nutzung von Open-Source-Software ist zunächst verführerisch einfach. Treten im Betrieb aber Probleme auf, unterstützt kein Drittunternehmen sondern lediglich die "Open Source Community". Das kann schnell gehen, muss aber nicht.
Soll eine Anwendung im Krisenfall auf einer anderen IT-Infrastruktur lauffähig sein, so muss diese vorgehalten und bezahlt werden.
Ebenso müssen qualifizierte Mitarbeitende bereitstehen, die diese Umschaltprozesse üben und im Ernstfall durchführen.
Fazit: Multi-Cloud ist ein wichtiger Schlüssel zur Souveränität
Wie an anderer Stelle dieses Blogs geschildert, ist digitale Souveränität im Gegensatz zur Autarkie kein absoluter Begriff. Autarkie versucht sich an der Eigenleistung in jedem Falle um jeden Preis. Dieses Ziel erreichen nicht einmal die USA, denn amerikanische Behörden nutzen SAP, iPhone-Chips werden in Taiwan produziert und Lithografie-Maschinen in Europa hergestellt.
Souveränität aber im Sinne eines Gleichgewichts aus Leistungsfähigkeit und Kontrolle, eines Verzichts auf zentrale Abhängigkeiten kann erreicht werden mit Hilfe einer guten Multi-Cloud-Strategie.
Die Analogie aber zur neuen Multi-Gas-Strategie Europas bleibt auch in der Betrachtung der Nachteile gültig: Multi-Cloud benötigt mehr Investitionen und mehr Aufwand im Betrieb. Es benötigt mehr Auftraggeberkompetenz und den Willen, auch wenn jahrelang alles gut läuft, Ressourcen für Krisensituation vorzuhalten.
Das Urheberrecht dieses Artikels liegt bei www.cloudahead.de und ist unter folgendem Link zu finden: https://www.cloudahead.de/digitale-souveraenitaet-durch-multi-cloud.
An einigen Stellen wurden leichte Änderungen gegenüber des Originaltextes vorgenommen.