Sovereign Clouds sind ein heiß diskutiertes Thema, weil ihre Vorteile zunächst verlockend klingen. Worüber allerdings weniger gesprochen wird, sind die Opportunitätskosten – und die sind hoch, vor allem, wenn Unternehmen nur über theoretische und nicht über tatsächliche Anwendungsfälle sprechen.
Viel hilft viel ist ein Konzept, das nur in den seltensten Fällen aufgeht. Vielleicht trifft es auf Schlafen und Ausruhen im Krankheitsfall zu. In den meisten anderen Fällen ist viel jedoch schnell zu viel und kann daher mehr Schaden anrichten als Nutzen stiften. Und das hat einen einfachen Grund: Viel von einer Sache, bedeutet automatisch wenig(er) von einer anderen Sache. Um den Weg zurück in die IT-Welt zu finden: Selbst bei Themen wie der Daten- oder IT-Sicherheit kann zu viel das Gegenteil bewirken, weil die Komplexität so stark zunimmt, dass sie nicht mehr handelbar ist und damit neue Einfallstore öffnet.
So ähnlich verhält es sich auch beim Thema Sovereign Cloud, die auf den ersten Blick viele Vorteile hat. Denn in einer Art privater Cloud können Nutzungs- und Zugriffsrechte deutlich strenger gemanagt werden. Zudem verlassen weder gespeicherte Daten noch die laufenden Prozesse das System. Kurz: Niemand von extern hat Zugriff darauf. Auch deshalb haben Sovereign Clouds ihre Daseinsberechtigung – insbesondere in Bereichen der kritischen Infrastruktur, wo Regulatorik und Compliance derart strenge Vorgaben machen. In solchen Fällen ist es absolut sinnvoll, den Kompromiss mit der Sovereign Cloud einzugehen.
Datensouveränität kostet
Richtig, Kompromiss – denn genau das ist die Entscheidung für eine Sovereign Cloud eigentlich immer. Unternehmen, die sich für dieses Mehr an „Privatsphäre“ entscheiden, zahlen dafür einen Preis – nämlich in Form von weniger Flexibilität, Leistung und Effizienz. Und der ist einfach vorgerechnet: Mit einer Private Cloud haben Unternehmen nicht automatisch Zugriff auf die neusten Features der großen Hyperscaler, sie können in puncto Künstlicher Intelligenz nicht auf bestehende Modelle aufsetzen, sondern müssen mehr oder weniger alleine bei null anfangen. Und auch die Investitionen für eine adäquate Absicherung gegen Angriffe, wie sie bei den großen Anbietern von Public Clouds Standard ist, ist von einem einzelnen Unternehmen weder monetär noch personell kaum zu stemmen.
Vor allem personell ist der Aufwand für eine Private Cloud nicht zu unterschätzen, da hier eben nicht die Standard- AWS-, -Google- oder -Kubernetes-Skills benötigt werden. Wenn überhaupt braucht es hier den externen Dienstleister, der die Sovereign Cloud mit entsprechenden Experten managen kann.
Anforderungen definieren
Bevor sich Unternehmen also für oder gegen eine Sovereign Cloud entscheiden, lautet die wichtigste Frage überhaupt: Was brauche ich wirklich? Natürlich ist eine hohe Datensouveränität erstrebenswert, nur zu welchen Kosten? Und kann sie nicht vielleicht auch anders erhöht werden?
Denkbar ist es zum Beispiel, Daten immer dann im eigenen oder dem Data Center eines Dienstleisters vorzuhalten, wenn die Weitergabe kritisch bewertet wird. Hier gibt es gerade im Mittelstand zahlreiche Anwendungsfelder, auf die genau das zutrifft. Deshalb aber den großen Rest nicht über die Public Cloud laufen zu lassen, halten wir ob der oben genannten Opportunitätskosten schlicht für unwirtschaftlich. Für Unternehmen hat ein solches „hybrides“ Modell zudem viele Vorteile. Mit Blick auf das Data Center steht die Infrastruktur, die Skills sind vorhanden, es gibt einen Dienstleister, der die entsprechenden Services übernimmt, und auch die Kosten sind optimiert.
Es ist also möglich, Souveränitätsvorteile zu erzielen, ohne auf die Pluspunkte der Public Cloud verzichten zu müssen – wenn die Anforderungen eben von Anfang an klar definiert sind. Und dafür braucht es manchmal schlicht eine gute Beratung, gerade wenn die Verantwortlichen im Unternehmen mit Blick auf die Datensouveränität übervorsichtig sind.
Mittelstand braucht keine Sovereign Cloud
Denn auch die Komplexität einer Sovereign Cloud ist deutlich größer, als viele vermuten. Bei den großen Hyperscalern wird nämlich nicht nur von Datensouveränität gesprochen, sondern auch von technologischer Souveränität – also die Frage, auf welche Infrastruktur eine Cloud zurückgreifen kann – und der Souveränität des Source Codes der Services, die genutzt werden. Damit geht es also nicht mehr ausschließlich darum, wo Daten liegen, wer welche Rechte und welchen Zugriff auf die Daten hat.
Aus unserer Erfahrung heraus macht die Sovereign Cloud aus den vorangegangenen Gründen für den Mittelstand daher in der Regel keinen Sinn – auch, weil die Anwendungsfälle, die bisher an uns herangetragen wurden, meist theoretischer Natur waren. In der Praxis sind sie so tatsächlich noch nie vorgekommen. Und die wirklichen, reellen Anforderungen konnten wir bisher immer mit dem Besten aus beiden Welten, einem Data Center für die sensiblen Daten und der Public Cloud für ein Maximum an Flexibilität, lösen.