Cloud Computing

Was sich geändert hat

Die Entwicklung der IT-Technik lässt sich in drei Epochen einteilen:

Host-Terminal-Architektur
Sie ist gekennzeichnet durch einen zentralen Rechner, den sog. Host, dessen Benutzer nur über ein alphanumerisches Bildschirmgerät verfügten. Alle Programme liefen auf dem Zentralrechner. Das Timesharing machte es möglich, dass viele Benutzer gleichzeitig mit dem Rechner arbeiten konnten. Deren Rolle war gewissermaßen die eines Maschinenbedieners, alle Logik war in den Programmen festgelegt. Die - noch nicht grafikfähigen - Bildschirmgeräte wurden zu Recht "dumme" Terminals genannt.

Client-Server-Architektur
Mit dem Siegeszug der Personal Computer verfügten die Benutzer über einen eigenen Rechner, dessen Bildschirm grafikfähig war und in bunten Fenstern verschiedene Dinge darstellen konnte. Dies machten sich die Programme der großen Anwendungen zu Nutze: Datenhaltung und Geschäftslogik auf zentralen Servern,. aber die jetzt grafische Präsentation erfolgt durch Programme auf den Computern der Benutzer, den Clients, die über das interne Netzwerk mit der Zentrale verbunden sind.

Cloud Computing
Mit dem Internet gab es die Befreiung vom internen Firmennetz. Die Verbindung zwischen Zentrale - in der Regel eine Server-Farm - und den Rechnern der Benutzer läuft jetzt über das Internet-Protokoll. Damit ist die Nutzung der Programme überall möglich, wo sich eine Internetverbindung herstellen lässt. Wichtige Voraussetzung ist allerdings, dass die Anwendungsproramme webfähig sind. Das heißt, es braucht nicht mehr wie bei der Client-Server-Architektur eigene Programme für die Benutzer, sondern nur noch einen Internet-Browser - und der ist heutzutage auf jedem Rechner vorhanden.

Das Cloud Computing ist mit vielen wirtschaftlichen Vorteilen verbunden. Es ist hardware-unabhängig, egal ob Windows- Apple- oder LINUX-Betriebssystem, Browser gibt es auf allen Rechnern. Es ist ortsunabhängig, arbeiten kann man von überall, wo sich eine Internet-Verbindung herstellen lässt. Die interne Administration ist drastisch vereinfacht, vor allem wenn man das Cloud Computing als Software as a Service (SaaS) betreibt.

Formen des Cloud Computing

Grob kann man das Cloud Computing als public cloud oder als private cloud betreiben; dazwischen gibt es viele Mischformen.

Public Cloud bedeutet, ein Software-Anbieter stellt seine Programme als öffentlichen Dienst zur Verfügung, für viele Kundern, die alle ein und dieselbe Software nutzen.

Private Cloud ist die Nutzung von Programmen nur für einen Kunden. Dies kann eine Firma in eigener Regie für sich alleine tun. Oder sie kann einen Service-Anbieter damit beauftragen, die Programme exklusiv für sich zur Verfügung zu stellen.

Mischformen sehen in der Regel so aus, dass ein Unternehmen zwar mit vielen anderen Unternehmen ein Softwaresystem nutzt, seine Daten aber komplett abgeschirmt von anderen Firmen gehalten werden und eventuelle Zusatzprogramme oder Abänderungen nur für sich selbst nutzt.

Für die Anbieter stellt die letztere Variante natürlich erhöhten Aufwand dar und ist entsprechend teurer. Daher die Ansage vieler IT-Verantwortlicher in den Firmen, nicht vom Standard abzuweichen.

Das Cloud Computing begründet für die Software-Anbieter ein neues Geschäftsmodell. Während man früher für ein Software-System eine Lizenz erwerben musste und meist zusätzlich einen Wartungsvertrag abschloss, bezieht man jetzt die Software-Nutzung als einen gemieteten Service - daher auch der Name Software as a Service, abgekürzt SaaS. Die Firmen als Nutzer brauchen sich nicht um die Weiterentwicklung der Software zu kümmern, das macht alles - im Preis inbegriffen - der Anbieter des Cloud-Dienstes. Man bekommt regelmäßig einen Newsletter - und da steht drin, was sich alles geändert hat oder demnächst ändern wird.

Risiken und Nebenwirkungen des Cloud Computing

Wenn eine Firma einen solchen Cloud-Dienst nutzt, liegen die Daten in der Regel beim Service-Anbieter. Es gibt auch - seltene - Mischformen, bei denen nur die Programme als Cloud Service genutzt werden, die Daten aber beim Unternehmen bleiben (on premise) und von diesem in eigener Verantwortung gehalten werden.

Die Anbieter der Cloud Services versuchen, den Sicherheitsbedenken ihrer Kunden entgegenzuhalten, dass sie die besseren Experten haben, die sich um die "security" kümmern können. Sie verschweigen aber, dass sie auch die prominenteren Opfer von Angreifern sind. Es ist für die Hacker-Elite natürlich wesentlich attraktiver, sich damit rühmen zu können, eine Microsoft- oder eine SAP-Cloud gehackt zu haben, als bei einer no name-Firma des deutschen Mittelstandes eingebrochen zu sein. Ein besonderes Problem tritt allerdings auf, wenn der Cloud-Anbieter eine US-amerikanische Firma ist. Hier treten besondere Datenschutz-Probleme auf.

Ein weiteres Risiko ist die wachsende Abhängigkeit vom Cloud-Anbieter, wie eindrucksvoll durch einen AWS-Serverausfall Ende Februar 2017 belegt ist: ein Amazon-Mitarbeiter legte durch einen Tippfehler Teile des Internet lahm, so dass die AWS-Kunden nicht oder nur sehr eingeschränkt auf ihre Daten und Programme zugreifen konnten.

Die Cloud-Angebote sind für das den Service betreibende Unternehmen umso rentabler, je strikter die Standardisierung der Programme fortgeschritten ist. Wenn man hunderttausende Mal den gleichen Service anbieten kann, hat man nur einmal die Arbeit der Aktualisierung, kann aber dafür hunderttausende Mal Kasse machen - eine typische win-win-Situation für beide Seiten: Für die Kunden wird der Service preisgünstiger, als wenn sie die Programme selber betrieben müssten, und für den Anbieter locken traumhafte Umsatzrenditen jenseits der 30 Prozent.

Um die Standardisierung ihrer Angebote auf die Spitze treiben zu können, benötigen die Anbieter Hintergrundinformationen über die Arbeitsabläufe. Daraus lassen sich dann Muster erkennen, wie im Sinne einer best practice den Kunden Workflows angeboten werden, mit deren Hilfe sie ihre standardisierten Arbeitsabläufe gestalten können. Diese Hintergrundarbeit leisten die big data-Systeme der Anbieter. Aus einer Fülle von Daten werden durch Algorithmen, die als Geschäftsgeheimnisse gehütet werden, dann die Vorschläge für die Kundschaft entwickelt. Individualität, diversity und Vielfalt bleiben für die Glanzpapier-Broschüren, die Wirklichkeit ist eine standardisierte Welt, überall die gleichen Prozessse und Abläufe, Verlust der Besonderheit.

Konsequenzen

Das Cloud Computing stellt in dem Maße ein Problem für die Wahrnehmung der Mitbestimmung dar, in dem es sich um eine public cloud handelt. Denn nach diesem Modell ist der Softwareanbieter allein verantwortlich für die eingesetzte Software, und das betroffene Unternehmen hat keinen Einfluss. Der Vertrag sieht in solchen Fällen vor, dass der Anbieter allein für die Änderungen der Software zuständig ist. Dies betrifft - in der Regel in kurzen Abständen - die üblichen bug fixes (Fehlerbereinigungen, leider oft auch Auslieferung neuer Fehler) und kleinere Änderungen der Erscheinungsform auf dem Bildschirm sowie - in längeren Abständen Releasewechsel mit Änderungen der Funktionalität.

Dazu eine Regelung aus einer Betriebsvereinbarung:

Im Vertrag mit dem Softwareanbieter ist festgelegt, dass dieser in regelmäßigen kurzen Abständen Veränderungen an der Software vornimmt, die hauptsächlich das Erscheinungsbild und die Sicherheit betreffen, nicht aber Änderungen und Erweiterungen der Funktionaliät darstellen.

Umfangreichere Änderungen, die auch die Funktionaliät des Systems betreffen können, erfolgen halbjährlich und werden mindestens sechs Wochen vorher dem Betriebsrat mitgeteilt und erläutert. Sie werden in nichtaktivierter Form ausgeliefert.
Beide Seiten erörtern bei dieser Gelegenheit, ob die geplante Änderung oder Erweiterung mit den Regelungen der Vereinbarung konform ist und nehmen gegebenenfalls Verhandlungen über eine ergänzende Regelung auf. Eine Freigabe erfolgt erst, wenn Einigkeit mit dem Betriebsrat erreicht ist.

Schwierig wird es, wenn der Hersteller funktionale Änderungen einfach ausliefert, ohne dass das anwendende Unternehmen Einfluss darauf nehmen kann. In diesem Zusammenhang ist es hilfreich, darauf hinzuweisen, dass unter Vorsitz eines ehemaligen Senatspräsidenten des Bundesarbeitsgerichts in einer Einigungsstelle eine Regelung getroffen wurde, dass die Anwendung zurückgebaut werden muss, wenn sich herausstellen sollte, dass die Mitbestimmung des Betriebsrats nicht wahrgenommen werden kann.

Ein Unternehmen tut in jedem Fall gut daran, auf den Softwareanbieter Druck auszuüben, dass dieser die Customizing-Breite seiner Produkte, will sagen die Möglichkeit, die Installation zu beeinflussen, möglichst breit hält. In der Betriebsvereinbarung könnte dazu besispielsweise vereinbart werden:

Um auch in Zukunft die hohe Leistungsfähigkeit .... zu gewährleisten, wird das Unternehmen darauf achten, in ausreichendem Maße eine eigene Kompetenz für die Weiterentwicklung der die Software ergänzenden Komponenten zu erhalten.

Oft enthalten die Verträge Klauseln, dass der Anbieter die Daten "zur Verbesserung seiner Services" bzw. der Qualität seiner Programme nutzen darf. Im einfachsten Fall betrifft dies die Verwendung der Daten für benchmarks mit anderen Firmen, die auch Kunden des Anbieters sind. Best Practice heißt das Zauberwort, mit dem dieser betriebsübergreigende Datenvergleich begründet wird.

Weitergehend sind Verwendungen für sog. predictive analytics, Hintergrundverarbeitungen meist in big data-Systemen, um dem Kunden (also dem Unternehmen) weitere Vorschläge zur Optimierung seiner Geschäftsprozesse zu unterbreiten. Solange die Algorithmen, die hinter diesen Software-Angeboten liegen, nicht bekannt sind, sollte solche Nutzung auf jeden Fall ausgeschlossen werden.

Ein Spezialproblem tritt auf, wenn der Softwareanbieter eine US-amerikanische Firma ist. Die USA sind bekanntlich ein Land ohne ein Datenschutzgesetz, das mit zahlreichen Gesetzen seinen Geheimdiensten und Ermittlungsbehörden Zugriff auf die Daten erlaubt. Die Mindestforderung ist in solchen Fällen meist, dass die Serverstandorte des Anbieters sich im EU-Raum befinden. Doch esist beispielsweise der NSA furchbar egal, ob der Serverstandort sich in Cincinatti oder im Schwarzwald befindet, Hauptsache sie haben Zugriff auf die Daten. So bietet sich als zusätzliche sinnvolle Lösungen an, zu vereinbaren, dass die Daten verschlüsselt gespeichert werden und der private Teil des Schlüssels so aufzubewahren ist, dass er die Firma nicht verlassen kann. Selbstverständlich sollte auch die Übertragung der Daten nur in verschlüsselter Form erfolgen (was aber heutzutage eine Selbstverständlichkeit ist).

siehe auch Cloud Computing (2011)

Karl Schmitz, September 2021