Matrix Technology AG
Finsurance Blog > On-Prem versus Cloud: Was ist besser?

On-Prem versus Cloud: Was ist besser?

Jürgen Brombacher

Als Informatiker beschäftigt sich Jürgen Brombacher seit drei Jahrzehnten mit IT-Themen wie Server- und Datenbankmanagement, ITIL, Anwendungs- und Systemarchitekturen, Rechenzentrum und IT-Outsourcing. Seine Schwerpunkte liegen in den Bereichen Cloud Computing, Cyber-Security, Regulatorik und Compliance.

Alle Beiträge des Autors

Viele Unternehmen stützen Prozesse auf etablierte Anwendungen und Umgebungen, die im eigenen Rechenzentrum laufen – und auf Strukturen in der Organisation, die dazu passen. Cloud Native-Anwendungen und SaaS bieten die Möglichkeit, IT anders zu beziehen und Teile des Geschäfts neu aufzusetzen. Aber ist das Neue automatisch besser – oder einfach nur anders? Eine Annäherung aus Sicht regulierter Unternehmen. 

Software unterstützt alle Teilbereiche im Unternehmen. IT-Abteilungen managen mit speziellen Tools die Bereitstellung, Wartung und Kontrolle von Office-Umgebungen, Fachabteilungen greifen über Clients auf die Software zu, die für den jeweiligen Aufgabenbereich benötigt wird und verschiedene Webportale dienen als Schnittstellen zum Kunden. Liegt die Zukunft darin, alle genannten IT-Teile per „Lift and Shift“ in die Cloud zu verlagern? Wäre das im Licht der bekannten Cloud-Vorteile wie Skalierbarkeit, On-Demand-Nutzung und eingesparte Hardware-Kosten nicht grundsätzlich optimal? 

Umfragen zeichnen ein differenziertes Bild: Die meisten Unternehmen haben das Cloud-Zeitalter eingeläutet und es besteht weiterhin eine positive Zukunftserwartung – nicht nur in IT-Abteilungen, sondern auch in Fachabteilungen (Quelle: Deloitte, Studie Cloud Native 2020). Einschränkende Faktoren zeichnen sich ab, wenn die Fragestellung konkreter wird: Welche IT passt zu einem Cloud Native-Ansatz? Hier zeigte die Deloitte-Studie, dass es insbesondere in Unternehmen mit 1.000 Mitarbeitern und mehr Vorbehalte gibt, Support-Prozesse wie Enterprise-Ressource-Management (ERP) oder die zentrale Kundendatenverwaltung (CRM-Systeme) in die Cloud zu übertragen. 

On-Prem versus Cloud

Faktor Geschäftsmodell: Die Cloud-Frage stellt sich immer individuell

An dieser Stelle lohnt ein Blick zur Seite, nämlich auf Unternehmen, für die sich die Frage nach Cloud Native oder On-Prem-Software in dieser Form niemals stellte. Bei Unternehmen wie Netflix oder AirBnB bildet ein mittels Software generierter Service (SaaS) für private Endnutzer den Kern des Geschäftsmodells. Diese Software wurde von vorneherein für die Cloud entwickelt und wird grundsätzlich in einer Cloud betrieben – und genau diese beiden Faktoren zusammen bilden die Definition von „Cloud Native“. 

Für alle anderen Unternehmen geht es darum, das Thema Cloud strategisch anzugehen. Dabei geht es nicht nur um Kosten, Effizienz oder Schnelligkeit. Der Innovationspfad des gesamten Unternehmens und der Innovationspfad der IT sollten hierbei im Sinn eines IT Business Alignment eng zusammengeführt werden. Notwendige Modernisierung ist mit Hilfe der Cloud einfacher. Dafür stehen fertige Tool-Sets und Applikationen wie Cloud-native Datenbanken oder Kubernetes als Basis agiler Software-Entwicklung in der Cloud bereit. Zudem bietet die Cloud mit Regions, Availability Zonen und modernen Rechenzentren ideale Voraussetzungen für Hochverfügbarkeit und Business Continuity Management. Nicht zuletzt lassen sich teure On-Premises Cybersecurity-Systeme einsparen, die in der Cloud vollständig als Services bereitgestellt werden. 

Im regulierten Umfeld kommt ergänzend die Anforderung hinzu, weiterhin sämtliche Auflagen zu erfüllen, selbst wenn im Zuge einer Restrukturierung der IT verstärkt Infrastrukturen und Umgebungen zum Einsatz kommen, die von Dritten bereitgestellt werden. Welche Bereiche besonders abgesichert werden müssen, ist von Unternehmen zu Unternehmen verschieden. Dabei sind Datenschutz und Datensicherheit immer sowohl technisch als auch organisatorisch sicherzustellen. So denkt beispielsweise ein Unternehmen, das Kreditkartendaten verarbeitet, zunächst an den Schutz der kritischen Anwendungen, aber auch an die Infrastrukturen, die Zugriff auf diese sensiblen Daten ermöglichen. 

Faktor IT-Architektur: Lange und kurze Wege in die Cloud

In Rechenzentren, die On-Premises betrieben werden, läuft vielfach etablierte Software mit gewachsenen Abhängigkeiten. Viele dieser Anwendungen laufen auf virtuellen Servern, sind bereits modular aufgebaut, greifen zu auf Betriebssystem-Komponenten und auf Daten aus verschiedenen Datenbanken und werden auf verschiedenen Clients in beschränkten Nutzergruppen kontrolliert verfügbar gemacht. „Cloud Readiness“ herzustellen würde bedeuten, die Abhängigkeiten weiter zu reduzieren, die Anwendungen auf mehrere virtuelle Container zu verteilen und den Zugriff auf Ressourcen wie Speicher und Rechenleistung elastisch zu regeln. Eine Cloud Strategie-Beratung kann ergeben, dass sich dieser Schritt für sogenannte „Legacy-Software“ nicht lohnt, insbesondere wenn in regulierten Umfeldern dafür bereits alle Voraussetzungen inklusive Notfallpläne geschaffen wurden.  

Anders sieht es aber in Bezug auf Software wie beispielsweise Collaboration Tools aus. Anwendungen wie Microsoft 365 mit den Komponenten SharePoint und Microsoft Teams lassen sich komplett aus der Microsoft Cloud beziehen und sind auch in dieser Public Cloud-Umgebung über Dienste wie Active Directory zur effizienten Nutzerverwaltung vollständig kontrollierbar. Ein Blick auf die betroffenen Daten und Prozesse kann auch im regulierten Umfeld zum Fazit führen: Hier besteht wenig Anlass zur Sorge aus Sicht von Datenschutz- und BaFin-Hintergründen, weil dadurch eher die Kontinuität und Verfügbarkeit sowie die räumliche und zeitliche Unabhängigkeit steigt, über die wir die wichtige Kommunikation zwischen Mitarbeitern und hin zum Endkunden aufrecht erhalten können, während der Zugriff auf sensible, On-Premises gehostete Daten weiterhin verschlüsselt erfolgen kann. Durch abgesicherte Schnittstellen zwischen Public und Privat Cloud entsteht dadurch ein Mischansatz in der IT – die Hybrid Cloud

SaaS vs. On-Premises – Unterschiede auf einen Blick

Die Tabelle fasst wesentliche Unterschiede zwischen Software, die On-Premises im eigenen Rechenzentrum gehostet wird und Cloud-Anwendungen zusammen. 

 

 

On-Premises gehostete Software 

SaaS Cloud Software 

Kosten 

Lizenzkosten fallen je genutzter Software an 

Abrechnung nach Nutzung durch den SaaS-Anbieter 

Bereitstellung (Deployment) 

Bereitstellung über das unternehmenseigene Netzwerk; teilweise Software-Installationen auf allen Clients 

Bereitstellung über das Internet; der Client benötigt lediglich einen Internetzugang 

Wartung 

IT-Manager des Unternehmens steuern Patches und Updates zentral 

Der SaaS-Anbieter kümmert sich im Hintergrund um alle Updates und Patches 

Skalierbarkeit 

Funktionen müssen neu entwickelt oder als neues Softwarepaket erworben werden 

Funktionen und Ressourcen lassen sich im Rahmen des spezifischen Service flexibel hinzubuchen 

Hardware 

Es muss sichergestellt werden, dass die On-Premises Software auf den On-Premises Servern laufen kann 

Die Software wird auf den Servern des SaaS-Anbieters gehosted 

Datenschutz 

Alle Daten verbleiben in der eigenen On-Premises-Struktur und verlassen diese nur auf Basis individuell erstellter Regeln 

Der Cloud-Anbieter muss sicherstellen, dass keine unbefugten Dritten auf Daten des Kunden zugreifen können, auch nicht beim Datenaustausch über das Internet 

Faktor Cloud Native: Innovation von vorneherein Cloud-basiert denken

Last not least kommt Cloud Native in den Fokus, wenn es um neue Anwendungen geht oder darum, wie neue Lösungen entwickelt werden sollen. Es schont Zeit und Ressourcen, neue Lösungen von vorneherein Cloud-typisch zu planen, nämlich isoliert (über Container), distribuiert (automatisierte Updates und „Continuous Delivery“) und elastisch (skalierbare Ressourcen). Dabei sparen Entwicklerteams Zeit und Kosten, wenn sie von Public Cloud-Anbietern bereitgestellte Entwicklungsumgebungen inklusive Tools als „Platform as a Service“ (PaaS) Angebot nutzen und Cloud Computing Ressourcen On Demand buchen, anstatt vorgehaltene Hardware, Entwicklersoftware und Ressourcen dafür einzusetzen. 

 

Checkliste: Public Cloud im BaFin-regulierten Umfeld

In dieser Checkliste haben wir Ihnen die wichtigsten regulatorischen Anforderungen für eine aufsichtskonforme Cloud Nutzung zusammengefasst. Sie enthält die Empfehlungen der BaFin und die Anforderungen, die in den BAITs bzw. VAITs sowie dem C5-Katalog des BSI niedergeschrieben sind. So haben Sie alle Anforderungen im Blick und können einfach abhacken, welche Sie bereits erfüllen sowie feststellen, wo gegebenenfalls Handlungsbedarf besteht. 

Jetzt Checkliste downloaden →

Checkliste: Public Cloud im BaFin-regulierten Umfeld