Die deutsche Unternehmenslandschaft gilt gemeinhin als “Late Adopter” der Public Cloud. Dies ist nicht zuletzt ein Grund, warum der Ruf nach souveränen Cloud-Angeboten hierzulande so groß ist. Doch stimmt das Vorurteil gegenüber deutschen Unternehmen meist nur bedingt, denn es gibt zahlreiche Startups, Mittelständler und Konzerne, die in der Public Cloud und mit “Cloud-Native” schon erfolgreich im Produktivbetrieb sind.
Cloud-Native und souveräne Clouds stehen teilweise im Widerspruch. Bedeutet Cloud-Native vorrangig höchste Agilität und Geschwindigkeit, forcieren souveräne Clouds vor allem Kontrolle und Datenhoheit.
Die Cloud-Native-Community in Deutschland wächst auf der Provider- und Anwenderseite kontinuierlich. Allianzen, wie beispielsweise die EuroCloud Native Initiative, prägen die Diskussionen und versuchen, die regionalen Bedürfnisse und Chancen der Cloud zu nutzen.
Doch können Cloud-Native und souveräne Clouds möglicherweise doch co-existieren? Und wie strikt muss die Trennung zwischen Cloud-Native und souveränen Infrastrukturen sein?
Unter anderem darüber sprachen Prof. Dr. Roland Frank und Maximilian Hille von Cloud Ahead mit Dr. Nils Kaufmann, Initiator der EuroCloud Native Initiative.
Max Hille: Was bedeuten “Cloud Native” und “souveräne Clouds” für dich?
Nils Kaufmann: Beide Bereiche eint natürlich, dass es um Infrastruktur für Business-Anwendungen geht. Dabei achte ich selbst nicht nur auf die technische Komponente, sondern auch das Business dahinter.
So ist Cloud Native weit mehr als das, was durch die prägende Cloud Native Computing Foundation hinsichtlich Tools und Vorgehensmodellen bereitgestellt wird. Ich selbst schaue vor allem auf die Einsatzbereiche, aber durch die Eurocloud Native Initiative natürlich auch auf die Dienstleister. Und die liegen vor allem im Bereich hoch-agiler Plattformen und Services, wie beispielsweise Online Shops.
Daneben gibt es die souveränen Clouds vor allem aus zweierlei Gründen: Für sehr spezifische Einsatzbereiche einzelner Branchen und aus emotionalen Gründen. So hat auch Souveränität eine große Bandbreite an Möglichkeiten. Vorrangig sind es vor allem hochkritische Anwendungen, wie beispielsweise in Krankenhäusern. Da handelt es sich um sehr spezielle Daten, die natürlich niemals außerhalb Deutschlands oder Europas gelangen dürfen.
In vielen Branchen, wie beispielsweise Automotive oder im E-Commerce nehme ich schon seit mindestens fünf Jahren keine ernsten Diskussionen um souveräne Clouds wahr.
Max: Kannst du den Unterschied der beiden Paradigmen einmal einordnen? Ist es wirklich so schwarz-weiß?
Nils: Cloud Native und souveräne Clouds können nur schwerlich direkt miteinander vereinbart werden. Müssen sie aber auch aus meiner Sicht nicht.
Einerseits schaue ich auf die Einsatzbereiche. Insbesondere für Cloud Native geht es vor allem um neue Wertschöpfungsketten. Die Kommunikation mit dem Internet ist dabei besonders wichtig. Ebenso der Zugriff auf gemanagte Services der Public Cloud Provider. Es geht hier vor allem um schnelle Ladezeiten, hoch-verfügbare Dienste und Integrationsmöglichkeiten mit anderen, Internet-basierten Anwendungen. Bei den meisten Workloads geht es dabei nicht vorrangig um Datensouveränität und –sicherheit per se.
In Anwendungsbereichen, wie insbesondere der behördlichen Verwaltung oder dem Gesundheitssektor finden wir ein weitgehend geschlossenes System wieder. Hier geht es vorrangig nicht um Geschwindigkeit und die ausgefallensten Services für ein nie dagewesenes Nutzererlebnis, sondern, dass die Akteure volle Kontrolle über ihre Daten haben und die Infrastruktur möglichst resilient und unabhängig ist.
Andererseits ist es auch etwas eine historische Frage beziehungsweise eine Generationenfrage. Seit gut zehn Jahren, etwa seit 2012, spielt die Public Cloud dank Amazon Web Services in Deutschland eine tragende Rolle. Konkurrenten waren damals weniger Microsoft, Google oder IBM, sondern eher Hetzner und Co. - also die Hoster. Ich selbst war mit meinem damaligen Unternehmen der zweite AWS Partner in Europa, soweit ich mich erinnere.
Mit den ersten Einsatzszenarien kam auch die Frage auf, was denn in dieser Public Cloud mit den Daten geschieht und wo sie liegen. Daher hat AWS 2014 mit der ersten Region in Deutschland reagiert. Das war insbesondere für die agilen Anwendungsgebiete mehr als ausreichend.
Heute – und damit komme ich zur Generationenfrage – gibt es die Unternehmen und CIOs, die ohne Public Cloud nicht mehr existieren können. Andere, eher konservative Unternehmen, haben bis heute eher eine EDV-Abteilung, wo noch keines ihrer ERP-Systeme je das Internet gesehen hat. Der Druck ist dort ein anderer. Da aber auch deren Rechenzentren hochgradig unsicher sind und eine Reihe von Baustellen haben, müssen sich auch diese nach Alternativen umsetzen. Hier sind regionale Angebote, mit dem Bonus der Souveränität, sicher auch attraktiv.
Max: Was wird derzeit getan, um den Nachzüglern den Weg in die Cloud-Welt zu vereinfachen?
Nils: Für mich sind vor allem Ansätze des BMWI oder GAIA-X wichtige Beispiele für souveräne Clouds. Sie versuchen damit auszuräumen, dass Datenschutzvorgaben à la DSGVO/GDPR, die vorrangig nur Digitalisierung behindert haben, aber keinen echten Nutzen brachten, als Argument gegen die Cloud vorgeschoben werden können.
Gerade GAIA-X ist eindeutig ein Framework, kein eigenständiges Cloud-Angebot. Denn eine Infrastruktur der Public Cloud Provider zu kopieren und souverän zu machen wäre aussichtslos. Es geht vielmehr darum, eine Membran zu schaffen, derer sich Provider bedienen können.
Alle Angebote, die GAIA-X konform sind, eliminieren so Argumente wie “Ich stehe mit einem Bein im Gefängnis, wenn ich diese Cloud-Angebote nutze.”
Es ist somit der Rahmen, an den sich Provider und Anwender halten. Mit einem hohen politischen Interesse, aber eben auch mit handfesten Argumenten für die zögerlichen Unternehmen und Organisationen.
Roland Frank: Neben den Datenschutzverordnungen per se gibt es ja auch Limitationen durch beispielsweise Schrems-II oder Schrems-III, die einen gesetzlichen Zwang und weniger ein Eigeninteresse bedeuten. Ist das für die Cloud-Native-Anwender kein Risiko?
Nils: Wir reden bei den Cloud-Native-Anwendern ja längst nicht mehr über eine kleine Splittergruppe. Vorrangig sind es die börsennotierten Unternehmen, die mittlerweile 7-stellige Eurobeträge in die Cloud Consumption stecken. Ganz vorne dabei sind Unternehmen aus dem Automobil- oder Finanzsektor. Neben VW, Mercedes oder der Commerzbank gehören auch schon Organisationen wie die Bayerische Versicherungskammer zu den Heavy Cloud Usern.
Natürlich müssen die sich letztlich einer Rechtssprechung fügen, aber wie soll ein radikales Verbot in der Praxis umsetzbar sein? Weder können diese Ausmaße, gerade bei international tätigen Unternehmen, einfach unterbunden werden noch kann ein zweistufiges Rechtesystem aufgebaut werden, was besagen würde, dass der Mittelständler aus Heilbronn keine Public Cloud nutzen darf, VW aber schon.
Wir können die Entwicklung, bei dem aktuellen Fortschritt, nicht mehr zurückdrehen. Was ich mir aber durchaus wünsche ist eine viel größere Präsenz dieser Themen. Das bedeutet einerseits, dass die Public Clouds Komponenten für mehr Datenhoheit aufnehmen und auch Konkurrenzangebote wie IONOS, Plusserver und Co. mehr Relevanz bekommen und zur echten Alternative werden. Denn auch die Unternehmen brauchen nicht für alles einen gemanagten Extra-Service.
Schlussendlich wird sich aber eher die Rechtssprechung an die Realität anpassen müssen und nicht umgekehrt. So war es tatsächlich aber auch immer.
Roland: Aber müssen sich Unternehmen dann gar nicht an die legislative Realität anpassen?
Nils: Doch, natürlich müssen sie selbst dafür Sorge tragen, dass der Schutz der Daten gewährleistet wird und sich letztlich rechtskräftigen Urteilen und Gesetzen beugen. Aber wie stark liegt das wirklich in der Macht der Unternehmen?
Nehmen wir erneut das Beispiel GAIA-X. Viele waren verwundert darüber, dass die Hyperscaler AWS, Microsoft und Google dort auch mitwirken. Aber genau darum geht es ja eigentlich. Dass diese Grundpfeile der Datensouveränität und Interoperabilität gewährleistet werden. Daher passen auch die Hyperscaler ihre Services daran an beziehungsweise entwickeln neue, konforme Services für die Unternehmen.
Das zeigt, dass ein strukturiertes und starkes Auftreten es ermöglicht, dass sogar die mächtigsten Anbieter sich in neue Richtungen lenken lassen.
Aber wir sollten auch keine Kniefälle der Hyperscaler erwarten. Unabhängig davon, dass politischer Druck immer sehr legislaturgebunden ist und deswegen die deutsche, aber auch die europäische Macht Schwankungen haben kann.
Glaubst du an einen Cloud-Mix aus souveränen und offenen Komponenten?
Nils: Das ist für mich fast eine rhetorische Frage. Natürlich brauchst du einen Mix. Dabei kommt es stark auf den Reifegrad des Unternehmens an. Und die Frage, ob sie es sich leisten können, sich mit mehreren Cloud-Plattformen und deren Management zu beschäftigen. Das hängt vor allem mit dem Personal und Wissensaufbau ab, von ökonomischen Fragen mal ganz abgesehen.
Ab einer bestimmten Größe traue ich das Unternehmen sehr wohl zu. Mit mehr Möglichkeiten hinsichtlich der zugrundeliegenden Infrastruktur können die Unternehmen variabler, sicherer und digital erfolgreicher sein.
Dann gilt: Der Workload bestimmt die Plattform.
Anwendungen mit hoher Dynamik, insbesondere kundenzentrische Anwendungen oder all diejenigen, die eine Abhängigkeit vom Internet besitzen, gehen in die externe Public Cloud, um niedrige Latenzen zu erhalten und weil ich keine eigenes Rechenzentrum andernorts betreiben würde.
Buchhaltungswesen, ERP und die eigene Intellectual Property liegt dann eher innen, also in einem souveränen Bereich, wo niemand rankommt.
Max: Aber ich habe doch auch Datengravität oder muss zumindest sicherstellen können, dass auch interne Systeme mit den externen kommunizieren können und Daten austauschen?
Nils: Das ist richtig und muss auch gemacht werden. Wer Souveränität bis auf’s Äußerste will, der muss sich auch auf massive Einschränkungen einlassen.
Noch heute gibt es eine scharfe Trennung von Fachbereich und IT, auch budgetär. Das ist ein traditionelles Denkmuster, was einige schon überwunden haben und daher weniger abhängig von Souveränität sind.
Jedoch müssen wir auch festhalten, dass wir noch immer relativ am Anfang der Cloud-Reise stehen. Noch immer fühlt sich ein Jahr Entwicklung wie sieben an. Da wir erst seit 2014/15 ernsthaft in der Public Cloud unterwegs sind, wird hier noch einiges passieren.
Wir müssen den Entwicklungen, trotz ihrer hohen Bedeutung im Business-Alltag, noch Zeit geben und die kommenden Generationen abwarten. Die nächste Generation der IT-Leiter wird die der heute etwa 40-Jährigen sein. Damit kommt frischer Wind in die IT-Infrastruktur.
Technisch wird es so immer besser werden, Schnittstellen abzubilden und zu sichern. Da werden vor allem die internen APIs noch einmal generalüberholt werden, die heute sehr veraltet sind. Und mit der Zeit bilden sich auch in den Unternehmen die versierten Cloud-Native-Teams, die Kubernetes und Serverless wie selbstverständlich beherrschen.
Die Welten werden sich also aneinander anpassen.
Max: Wie sieht so etwas in der Realität aus?
Nils: Ein Anwendungsszenario ist zum Beispiel der Hamburger Hafen, der eine komplett neue Datenplattform aufbauen will. Damit reden wir über einen hohen technischen Anspruch und Integrationsbedarf, aber auch über teilweise sensitive Daten.
Diese besonders schützenswerten Daten müssen dann ja nicht in der Public Cloud liegen. Gleichzeitig können sie aber verschlüsselt übermittelt werden und mit den Werkzeugen der Public Cloud ausgewertet werden. Das zeigt, dass diese Co-Existenz technisch abbildbar ist.
Ein anderes Beispiel ist ein Weltmarktführer für Gasarmaturen. Dieser produziert seit über 100 Jahren Armaturen, die vor allem in der Industrie eingesetzt werden.
Theoretisch ist dies somit ein Anbieter, der als erstes den Füllstand der Gasflaschen kennen kann. Damit bieten sich zahlreiche digitale Use cases für Prediction, automatische Bestellungen oder Tracking an. Dafür brauche ich viele native IoT-Dienste und Microservices, um diese Daten bereitzustellen und zu monetarisieren. Aber auch hier brauche ich keine Klardaten in der Public Cloud, sondern kann diese verschlüsselt aus der Private Cloud übertragen.
Max: Wie wirkt sich das auf die Anbieterlandschaft aus?
Nils: Ehemalige Hoster und regionale Anbieter wie IONOS, Plusserver, Boreus oder Continum werden ihre Rechenzentren weiter stärken und wirklich sichere Angebote auf dem neuesten technischen Stand haben. Hier braucht es gute Partner, die den Weg für die Unternehmen auf diese Infrastrukturen ebnen.
Gleichzeitig sind die Wild-West-Zeiten für die Hyperscaler vorbei. AWS, Azure, Google und Co. müssen sich anpassen und ihr Angebot auch auf Multi Cloud Deployments mit solchen Anbietern und Dienstleistern einstellen.
Für die Unternehmen rücken die Cloud-Angebote dann noch näher an sie heran. Egal ob ich mein eigenes Rechenzentrum outsourcen möchte, KRITIS-Kunde bin oder einfach einen Teil meiner Infrastruktur regional und souveräner haben möchte.
Deshalb glaube ich an die Parallelität einer europäischen Datenhaltung und internationalen Angeboten.
Max: Wie viel Cloud-Native brauchen die Unternehmen denn wirklich?
Nils: Die Technologiewelt hat sich stark weiterentwickelt. Mit der Relevanz von Software in den Unternehmen braucht es auch ein zunehmend genaues Tracking und auch viele neue Use Cases sind entstanden. Um diese Möglichkeiten auszuschöpfen, landen Unternehmen sehr schnell bei den Spezialdienstleistern, die Cloud-Native im Blut haben.
Gerade wenn es auch um Vertikalität in den Use Cases geht, waren klassische Provider und Hoster lange nicht in der Lage, so etwas zu bieten. Es wurde schlichtweg für deren Geschäft nicht gebraucht. Auch horizontale Skalierbarkeit galt immer als “Out of Scope”.
Unternehmen brauchen aber kurzfristig höhere Standards in der IT-Infrastruktur. Das kann die eigene IT meist nicht leisten. Und überhaupt ist der Zweck der Unternehmen in der Regel nicht der IT-Betrieb, das ist nur ein Mittel zum Zweck.
Trotzdem unterschätzen viele Unternehmen die Delivery-Fähigkeit dieser Spezialdienstleister und landen doch zum 100. Mal bei ihrem Systemhaus oder Systemintegrator.
Diese haben es jedoch verpasst, rechtzeitig an ihrem Angebot und ihrer Attraktivität zu arbeiten. Wären die Hoster früher innovativer gewesen, als der Schmerz noch nicht groß genug war, hätten viele Unternehmen nicht sinnlos zu viel Geld in der Public Cloud verloren und ihre Use Cases auch dort abbilden können. So haben die Amerikaner den Markt erst einmal durchschütteln müssen, um auf den guten Weg von heute zu kommen.
Roland: Lass uns noch kurz über die Eurocloud Native Initiative sprechen. Was sind die Ziele von euch als Verband, wen vertretet ihr gegenüber welchen Parteien?
Nils: Unsere Mitglieder sind per definitionem hochspezialisierte Experten, die nicht selbst Infrastruktur vorhalten, sondern ihre Dienstleistungen auf Cloud Plattformen erbringen. Unsere Hauptziele sind, 1. die Aufmerksamkeit sowohl auf Kunden- als auch auf Medienseite auf diese echten Cloud Natives zu lenken ,2. die verlässliche Lieferfähigkeit dieser meist jungen Unternehmen aufzuzeigen und 3. Kooperationen mit unseren Alliance Partern zu unterstützen.
Lange Zeit wurden diese Anbieter nicht wahr- und ernstgenommen, daher wollen wir den Blick auf diese Anbieter lenkenund damit auch dem deutschen Mittelstand Alternativen und Chancen aufzeigen.
Uns ist aber auch wichtig, gute Empfehlungen zu geben. Unternehmen sollen nicht das Alte in eine neue Plattform packen. Wir schaffen damit auch den Schulterschluss von reichweitenstarken Dienstleistern und den Cloud-Native-Spezialisten.
Für uns ist das ein kooperativer Austausch auf Augenhöhe.
Roland: Haben die Dienstleister ein Interesse daran, Souveränität zu fördern?
Nils: Ehrlicherweise ist vielen Cloud-Native-Boutiquen, die wir im Verband haben, Souveränität relativ egal. Sie sind natürlich nicht dagegen, schon gar nicht aktiv dagegen. Aber für sie spielen vor allem die Use Cases die größte Rolle.
Viele von ihnen haben einen sehr klaren Fokus, was normal ist, wenn es um besonders komplexe Themen wie Big Data, Cloud-Security und Co. geht. Wenn du so ein Thema komplett durchdringen willst, brauchst du schon mindestens 25-30 Personen mit glasklarem Fokus.
Gleichzeitig sind diese Unternehmen noch sehr von Sponsorings und einer engen Zusammenarbeit mit den Hyperscalern abhängig. Die wollen natürlich ihr proprietäres Portfolio repräsentiert sehen.
Die klassischen Dienstleister können sich da noch besser einer Geschichte der Angst bedienen. Mit Souveränität und der heilen Welt einer deutschen souveränen Cloud schaffen sie eine attraktive Komfortzone, die aber wenig Technologie und Fakten, sondern mehr mit einem naheliegenden Ausweg zu tun hat.
Die bessere Story wäre eher, dass alle Use Cases, die keinen Vorteil durch Cloud-Native-Services haben, auch direkt auf einer souveränen Basis aufsetzen sollten, sodass es keinen Graubereich gibt und selbst das kleinste Restrisiko eliminiert wird.
Roland: Gelingt es euch als Verband auch die Interessensvertretung gegenüber Politik und Hyperscalern zu sein?
Nils: Wir sind noch sehr im Startup-Modus. Vieles geschieht komplett ehrenamtlich. Daher achten wir mehr darauf, den Austausch untereinander zu ermöglichen und das Miteinander zu finden. Dazu gehören auch gemeinsame Ideen für die Marktbearbeitung, den Vertrieb, Logistik und Umsetzung.
2023 wollen wir uns mehr der Zusammenarbeit mit Branchenverbänden widmen. Für echte politische Diskussionen ist unser Dachverband EuroCloud wohl eher geeignet.
Max: Kannst du uns zum Abschluss noch deine Einschätzung für die Zukunft von Cloud-Native und Souveränität nennen?
Das wichtigste wird der Wissensaufbau sein. Seit jeher haben wir Administratoren und Anwendungsentwickler ausgebildet. Gerade jetzt, wo sich sehr viel auf der Software-Ebene abspielt, ist dies umso wichtiger.
Immer stärker sehen wir, dass es eine Abstraktion der Plattformen geben wird. Der Projekterfolg entscheidet sich somit auf Software-Ebene und nicht mehr auf der Infrastruktur.
Du brauchst also die richtigen Leute und Fähigkeiten in deinem Unternehmen, das sind zunehmend Developer und weniger Administratoren.
Dabei wird es entscheidend sein, dies mit der Souveränität in Einklang zu bringen. Das bedeutet, die Interoperabilität mit anderen Clouds zu ermöglichen, sodass Daten physisch bei den souveränen Anbietern bleiben, aber in der Public Cloud verarbeitet werden.
Was aber nicht passieren wird ist, dass Cloud-Native-Werkzeuge im großen Stil von deutschen Anbietern angeboten werden. Vielmehr sollten die Anbieter darauf schauen, die Dienste der Hyperscaler nutzbar zu machen und gleichzeitig die eigene, souveräne Infrastruktur als Grundlage für wertschöpfende Managed Services zu platzieren.
