Daten sind die Grundlage von Informationen, aber muss man sie deswegen selber verwalten?
Der Mittelstand wird mit Mietspeicher Angeboten umworben
(veröffentlicht am 07.05.2009 in SearchStorage.de)
Mit der Aufgabe ihr Rechenzentrum zu einem IT Service Provider zu machen, verabschiedeten sich vor zehn Jahren viele Unternehmen vom eigenen Rechenzentrum. Jetzt steht das Kosten sparen erneut auf der Agenda. Warum also nicht mal bestimmte Aufgabenbereiche (Outtasking) wie das Backup oder die Archivierung auslagern? Am Beispiel Storage-as-a-Service wird beleuchtet, ob diese Dienstleistung auch für kleine und mittlere Unternehmen interessant sein könnte.
Storage-as-a-Service (StaaS) ist – ähnlich wie SaaS (Software-as-a-Service) darauf ausgelegt, keine eigenen Ressourcen für eine bestimmte Aufgabe im Haus zu binden. Die ersten Versionen vermieteten die reine Hardware-Infrastruktur. Das allein scheint den Kunden nicht ausreichend zu sein, da viele Firmen – allen voran die „großen“ Speicherhersteller wie auch spezialisierte Einlager-Firmen – seit einiger Zeit verstärkt Managed Services anbieten.
Der geneigte Anwender könnte somit Teile oder gar seine gesamte Speicher-Infrastruktur inklusive Softwarebestandteile und Administration an ein externes Unternehmen vergeben. Für die Sicherheit der Daten sorgen sogenannte Tiered Data Center. Je nach gewünschtem Sicherheitslevel, werden die Daten tief im externen RZ „vergraben“ und durch Schutzmechanismen nur autorisiertem Personal beim Anwender zugänglich gemacht.
Die Übertragung erfolgt dabei verschlüsselt. Soweit die reine Lehre. Was sich im ersten Moment recht gut für den einen oder anderen Controller anhört, mag jedoch in der Ausführung gut bedacht werden.
Wer braucht StaaS nicht?
Grundsätzlich ist die Idee hinter Remote-Anwendungen die gleiche, wie bei der im Haus befindlichen IT: Datenverarbeitung, Sicherung, Wiederherstellung, Archivierung. Dabei bringt es auf der einen Seite Vorteile, das „Blech“ und – vor allem – die Administration extern zu vergeben, da eigene (Personal-) Ressourcen für die Unterhaltung mit entsprechenden Kosten zu Buche schlagen und somit anderweitig eingesetzt werden könnten. Auch spart man bei den Hardware-Anschaffungskosten und demzufolge auch bei den Wartungsverträgen, die oftmals ein Vielfaches der eigentlichen Hardware kosten.
Auf der anderen Seite muss sich ein Anwender klar sein, dass er Zugriff auf „seine“ Daten nur über eine (Stand-) Leitung bekommt. Fällt diese aus, kann es sein, dass sein Betrieb ebenfalls „steht.“ Gleiches gilt für die Datensicherheit (Schutz vor Missbrauch). Auch hier muss also eine Risikoanalyse vor dem Einsatz stehen.
Profession spart Kosten
Von daher sollten mit den Anbietern dieser Services entsprechende Service Level Agreements (SLA) ausgehandelt werden, um für eine 100-prozentige Datenverfügbarkeit und absolut sichere Speicherung wie auch Übertragung zu sorgen. Das ist durchaus machbar, kostet aber auch entsprechend und man macht sich von Dritten abhängig.
Die monatlichen (oder in anderen Zeitabschnitten berechneten) Gebühren setzen sich demnach meist aus Datenvolumen und Sicherheitsleveln zusammen. Je nach Anforderung müssen die Anbieter selbst für eine entsprechende Ausstattung mit Personal, Hard- und Software sorgen. Da dies aber „en gros“ passiert, arbeiten diese Service-Zentren mit anderen Kosten- und Rabattstrukturen, als ein kleines oder mittelständisches Unternehmen es jemals könnte.
Zusätzlich schlagen die Leitungsgebühren zu Buche, die – je nach Bandbreite und Verfügbarkeitsanforderung (Redundanz) – richtig Geld kosten können. Man sollte auch hier entsprechende Analysen fahren, was der gesamte Einsatz von StaaS kostet und nicht zu sehr auf das offensichtliche Einsparpotential schielen.
Welche Bereiche eignen sich für Staas?
Vom technischen Grundsatz her ist es möglich, die gesamte (Speicher-) Infrastruktur auszulagern. Dem sprechen jedoch betriebsinterne Prozesse, Sicherheitsvorgaben und die Applikationen selbst entgegen und es muss genau abgewogen werden, welche Auswirkungen eine ausgelagerte Speicherumgebung auf die Geschäftsprozesse hat.
Den Produktivbereich auszulagern ist ein zweischneidiges Schwert. Man „spart“ zwar Anschaffung und Unterhaltung, durch die Integration der IT in die Geschäftsprozesse sind letztere bei einer Auslagerung in diesem Moment nicht mehr durch das Unternehmen selbst steuerbar. Auch sind entsprechend „dicke“ Leitungen zum externen RZ teuer und müssten aus Sicherheitsgründen redundant ausgelegt werden, was zu noch höheren Kosten führt.
Verschlüsselung bremst Primärdatenauslagerung
Auch würde die permanente Ver- und Entschlüsselung der Datenströme Zeit in Anspruch nehmen, so dass die Applikationen langsamer reagieren. Das Outsourcing des Primärspeicherbereichs bringt nur geringe Kostenersparnisse, da es sich in einem gut organisierten Rechenzentrum nur um einen kleinen Speicherbereich handelt, der zudem noch hohe und damit teure Anforderungen an die Zugriffs- und Übertragungsraten der Datenleitungen stellt.
Interessanter sieht es dagegen im Sekundär- wie auch im Backup- und Archivierungsumfeld aus. Hier wird mit niedrigeren Zugriffsraten gearbeitet und der Produktivbetrieb würde bei einer Auslagerung durch wechselnde Leitungsqualitäten zunächst nicht beeinträchtigt.
Je nach Anforderung können Teile oder alle Bereiche nach dem Primärspeicher Offsite vorgehalten werden. Denkbar wären (zusätzliche) Sicherungskopien der Produktivdaten und Archive bis hin zu nicht-veränderbarer Datenhaltung (Compliance). Aber auch hier sollte vor jeder Entscheidung eine Risiko- und Kostenanalyse erfolgen.
Mandantenfähigkeit ist unverzichtbar
Sind alle Anbieter gleich? Natürlich nicht. Auch Anbieter von StaaS unterliegen gesetzlichen Auflagen, so muss bei steuerrelevanten Daten unterschiedlicher Kunden für eine so genannte „Mandantensicherheit“ gesorgt werden, was wiederum eine gewisse Größe an Infrastruktur und Personal erfordert.
Des Weiteren müssen bei speziellen Kundenanforderungen (z.B. 4-Tier-Data Center) die einzelnen redundanten Speicherbereiche entsprechend von einander abgeschottet und trotzdem durch bestimmte Zugriffsregelungen erreichbar sein, um Business Continuity zu gewährleisten. Auch dies ist nicht bei den kleinsten Anbietern machbar, da so gestaltete Hochsicherheitsbereiche auch entsprechende Kosten und Aufwand verursachen.
Der geneigte Anwender sollte zunächst eine eigene Analyse im Hause fahren, welche (Kern-) Prozesse direkt von einer 100-prozentigen Verfügbarkeit abhängen und sich darüber im Klaren werden, welche Daten zu welchem Zeitpunkt auf welchem Speichermedium verfügbar sein müssen, um einen reibungslosen Geschäftsbetrieb zu gewährleisten.
Speicherklassen: Teile und miete
Die so ermittelten Speicherklassen sollten als nächstes auf die Datensicherheit hin untersucht werden. Ein verteiltes Datenmanagement bringt durch Redundanzen und Aufteilung auf verschiedene Lokationen (Brandabschnitte, Remote Location) zwar wesentlich mehr Schutz vor dem K-Fall (Datenverlust), schafft aber auch naturgemäß mehr Angriffsfläche für Datenmissbrauch durch Diebstahl, Manipulation etc. Nachdem die Speicher- und Sicherheitsklassen feststehen, kann man im nächsten Schritt daran gehen, das ganze mittels einer Excel-Kalkulation näher zu betrachten und so mögliche Einsparpotentiale bei einer Auslagerung zu identifizieren.
Der Anbieter kommt zuletzt
Der umgekehrte Weg ist in den seltensten Fällen zielführend, da die Budgetlage höher bewertet würde als die Anforderung von der Geschäftsprozessebene her. Sind diese ermittelt, muss geprüft werden, wie ein – bis dahin noch völlig unbenannter – Anbieter in die bestehende Struktur aus Speicher- und Sicherheitsklassen integriert werden könnte. Ist das geschehen, kann man sich am Markt umschauen, welche Anbieter entsprechend der so definierten Anforderungen in Frage kämen.
Drum prüfe, wer sich ewig bindet
Wie bei allen Dingen im Leben gibt es nicht den einen, wahren und „richtigen“ Anbieter für StaaS. Gemäß den eigenen Anforderungen sollte man Bewertungsklassen mit Soll- und Kann-Kriterien definieren. Damit ist es wesentlich einfacher, die Anbieter am Markt zu vergleichen und diejenigen in die engere Wahl zu nehmen, welche alle Soll-Kriterien erfüllen und sich am besten auf die eigenen Anforderungen einstellen können.
Sicherlich ist es auch nicht falsch, sich das Unternehmen, die Struktur und die Historie eines Anbieters genauer anzusehen. Da man in der Regel mehrjährige Verträge abschließt, läuft man bis zu einem gewissen Grade auch in eine risikobehaftete Abhängigkeit hinein. Es gilt zu prüfen, wie „sicher“ die Finanzstruktur des Anbieters ist, was passiert im Falle einer Insolvenz und – auch nicht unwichtig – wo betreibt der Anbieter eigentlich sein RZ physikalisch? Anfänge mit RZ irgendwo in einer Erdbebenregion Südamerikas oder in China haben sich als nicht wirklich überzeugend herausgestellt.
Lagebeurteilung
Danach muss die Sicherheitslage beurteilt werden. Wie werden die Daten übertragen und gespeichert? Welche Verschlüsselungsmechanismen kommen zum Einsatz und wie sieht eine K-Fall-Vorsorge aus, welchen HA Wert (High-Availability) kann das Unternehmen zur Verfügung stellen und wie sehen die Zugangslevel aus?
Der nächste Schritt betrifft die Speicher- und Datenverwaltung, gerade, wenn man ältere Daten zu Archivzwecken jahrelang aufbewahren will bzw. im Compliancefall muss, wie stellt der Anbieter den Nachweis der Nicht-Veränderung sicher, wie können die Daten schnell gefunden werden und was passiert bei Technologiewechsel, hat der Anbieter eine Langzeit-Migrationsstrategie und wenn ja, welche?
Informationsbeschaffung
Anders als bei reinen Backups kommt es bei der Archivierung mehr auf das Finden von Daten an. Gibt man dies außer Haus, muss auch dieser Bereich intensiv beleuchtet werden, damit die Geschäftsprozesse weiterhin kontinuierlich Online sind und keinerlei Verzögerung bei der Informationsbeschaffung entstehen können.
Neben der Frage des Schutzes des geistigen Eigentums eines Auftraggebers ist ein weiterer kritischer Punkt das sichere Löschen (Vernichten) von unternehmenskritischen Daten, die extern verwaltet werden. Auch hierzu muss eine zertifizierte Löschung möglich sein (Bsp. personenbezogene Daten, Finanzdaten, Konstruktionsdaten etc.). Schließlich ist es nicht nur theoretisch möglich, dass der StaaS-Anbieter die gleichen Services auch für einen Mitbewerber hostet.
Risiko und Schadenshöhe
Wie bei vielen den Kernbereich des Unternehmens betreffenden Themen ist auch bei StaaS – ebenso wie bei SaaS – eine präzise Analyse der Nutzenfaktoren gegenüber den Risiken unabdingbar, denn sie bestimmt am Ende die Planung des Projekts und die notwendigen SLA. Man sollte auch untersuchen, inwiefern ein Schaden zu beziffern ist, wenn der Anbieter diese nicht einhält und ggf. entsprechende Pönale in den Vertrag einarbeiten.
Letzen Endes stellen sich – vereinfacht ausgedrückt – fast die gleichen (qualitativen) Fragen, wie bei der hauseigenen IT, nur dass sie von Dritten beantwortet werden.
Anbieter lassen Referenzen für sich sprechen
Diese Antworten sind aber meist weder überprüfbar noch direkt zu beeinflussen, wie bei der internen IT. Eine Möglichkeit bieten Referenzen, sofern vorhanden. Das muss aber nicht heißen, dass Start-up Unternehmen grundsätzlich keine Chance haben. Ein gewisses Vertrauen in den Anbieter muss schon gesetzt sein, da man sich zwar über die SLA und Pönalen ein Stück weit das (monetäre) Haftungsrisiko minimieren kann, die Verantwortung für die Daten selbst – gerade bei Wirtschaftsprüfungen – verbleibt immer beim Auftraggeber!
Preisgefälle
Was kostet StaaS eigentlich? Sicherlich die schwierigste Frage. Offizielle Preislisten gibt es nicht. Zuviele Randparameter wie z.B. Service Level machen die sofortige Preisauskunft schwer. Erst mit einem RFP (Request for Proposal) werden Anbieter mit genaueren Zahlen aufwarten. Als ersten Anhaltspunkt werden Outsourcer mit Preiskalkulation bestehend aus einer Kombination aus Speicherbedarf, Übertragungsrate bzw. – menge sowie Sicherheitsanforderungen zu einem Fixpreis pro Speichereinheit für sich werben. Mit diesen Pauschalen lassen sich die „Finanzminister“ der Unternehmen gerne beeindrucken, sieht doch alles recht einfach aus. Die Preise liegen – je nach Anbieter und Größe desselben – bei ca. 10 bis 15 US Cent pro Gigabyte Speicherplatz und noch mal etwa 15 bis 20 US Cent für die Datenübertragung (ebenfalls pro übertragenem GByte).
Weitere weniger spezialisierte Betreiber von z.B. Internetportalen bieten vermehrt ebenfalls „Online-Speicherplatz“ an, allerdings mit völlig ungenügenden Sicherheitsleveln und Preisen bis zu 15 Euro pro GB. Es gilt also, sehr genau hinzuschauen, was im Preis tatsächlich inkludiert ist. Interessanter sind da schon Anbieter, die einem großen Konzern angehören und teilweise auf dessen (freie) Ressourcen zurückgreifen können und somit Komplettpakete für ca. ein Terabyte inklusive 256-BIT-AES Verschlüsselung und Backup zu einem Preis von etwa 35 US Dollar anbieten können. Bei solchen Angeboten wird es schwierig, gute Argumente gegen eine Auslagerung von Storage zu finden. Gerade in heutigen Zeiten, wo Einsparungen an der Tagesordnung sind, kann damit erheblich an der Kostenschraube gedreht werden.
Fazit
Gerade für kleine und mittelständische Unternehmen kann hier – zumindest bis bessere Zeiten kommen – bei entsprechender Analyse und ggf. externer Beratung Sparpotential generiert werden, um Investitionen an anderer Stelle zu ermöglichen. Aber auch hier sollte abgewogen werden, welche Daten extern verlagert werden und wie die Sicherheitslevels definiert werden. Auch muss rechtzeitig für eine umfassende Information der Belegschaft gesorgt werden, um Gerüchte zu unterbinden und eine zügige Umsetzung nicht zu gefährden. Wie bei SaaS (Software-as-a-Service) gilt auch bei StaaS, dass zwar die IT bzw. Teile davon mitsamt Services ausgelagert werden können. Das ändert jedoch nichts am grundlegenden Risiko, dass ein Unternehmen Daten verlieren kann bzw. dass diese zum gewünschten Zeitpunkt nicht verfügbar sind.
Wichtig ist dies auch vor dem Hintergrund der gesetzlichen Haftung bei Compliance. So ist es wichtig, anhand der exakten Anforderungen Anbieter zu finden die die gewünschten Services liefern können. Die Speicherung, das Management und der Transport lassen sich gewiss auslagern und bei einer seriösen Planung mit langfristiger Vorausschau, Risikoanalyse und TCO Betrachtung auch begründen – die Verantwortung für das (eigene) Datenmaterial verbleibt jedoch immer beim Unternehmen selbst, diese lässt sich niemals auslagern!