Seite 2: Anbieterabhängigkeit, Sicherheit, Recht

Inhaltsverzeichnis

Wie sieht es mit der Abhängigkeit von einem Anbieter aus?

Wie bei normaler Software ist diese Frage nicht eindeutig zu beantworten, denn es gibt sowohl geschlossene als auch offene Systeme. Die PaaS mit proprietären Entwicklungsschnittstellen binden Unternehmen an bestimmte Anbieter, da sich Applikationen nur mit hohem Aufwand zu einer anderen PaaS migrieren lassen. Deren Einsatz kann allerdings in manchen Fällen trotz Anbieterbindung sinnvoll sein, beispielsweise bei 4GL-Anwendungen.

Die Nutzung von Plattformen mit offenen Standard-Techniken ermöglicht die einfache Migration von Servern zu PaaS oder von PaaS zu PaaS. Sogar die Verteilung einer Anwendung über mehrere PaaS-Provider wird bereits angeboten.

Mittlerweile kristallisiert sich die Buildpack API von Heroku als Standard für die anbieterübergreifende Definition von Laufzeitumgebungen heraus. Durch sie lassen sich beliebige Programmiersprachen in Verbindung mit einer PaaS nutzen. Dem Nutzer steht dadurch die Wahl offen, jederzeit den PaaS-Anbieter zu wechseln und jede Programmiersprache bei jedem PaaS-Anbieter auszuführen. Zu den mit der Buildpack API kompatiblen Systemen zählen neben Heroku cloudControl, Cloud Foundry, OpenShift und Stackato.

Das durch die EU geförderte Cloud4SOA-Projekt entwickelt zurzeit ein Standard-Framework, mit dem Applikationen von einer zentralen Stelle aus bei PaaS-Anbietern ausgerollt und sogar zwischen ihnen migriert werden können. PaaS mit großen Add-on-Marktplätzen bieten in der Regel Anbieterunabhängigkeit in mehreren Ebenen. Add-on-Anbieter wie Cloudant oder Sendgrid sind bei vielen PaaS im Marktplatz verfügbar, sodass sich bei einem PaaS-Wechsel die gleichen Anbieter weiternutzen lassen. Andersherum finden sich in großen Add-on-Marktplätzen meist mehrere Anbieter für jede Technik.

Wie sicher sind die Daten?

Wer Daten in fremde Hände gibt, will sie in Sicherheit wissen. Auf den ersten Blick wirkt die nur begrenzte Kontrolle über Server nicht beruhigend. Wenn man sich aber verdeutlicht, dass Experten die für PaaS verwendeten Serversysteme konfigurieren, absichern und permanent überwachen, wird deutlich, dass die geringe Einbuße bei der Kontrolle auch ein Sicherheitsgewinn sein kann.

Üblicherweise verwenden PaaS-Systeme hermetisch abgeschirmte Serverinstanzen oder gar LXCs (LinuX Container), in die von außen niemand hineinkommt, einschließlich der Kunden des Cloud-Providers. Lediglich ein Port für den bereitgestellten Service ist offen.

PaaS ist nicht nur als Public-Cloud-Service, sondern auch als Private-Cloud-Angebot verfügbar. So lassen sich die Eigenschaften von Cloud-Techniken nutzen, ohne tatsächlich in die Cloud zu gehen. Die Private Cloud wird besonders im europäischen Raum zunehmend in Erwägung gezogen, vor allem bei Unternehmen, die eine vollständige Kontrolle über ihre Daten wünschen.

Wie sieht es mit der rechtlichen Seite aus?

In der Presse kursieren oft Artikel über Datenschutzbedenken bei Cloud-Angeboten, insbesondere mit den Schlagworten PRISM, Patriot Act und Safe Harbor. Nur wenige wissen allerdings, dass die im Bundesdatenschutzgesetz verankerte Auftragsdatenverarbeitung für Cloud-Dienste wie PaaS anwendbar ist. Eine solche Vereinbarung stellt die Verarbeitung von Daten mit PaaS der Verarbeitung im unternehmensinternen Rechenzentrum gleich. Dafür wird zwischen Anbieter und Nutzer im Detail festgelegt, welche Daten wie gespeichert und verarbeitet werden und wie Nachweise darüberzu führen sind. Für den PaaS-Nutzer bringt diese Vereinbarung zusätzliche Transparenz über den kompletten Ablauf der Datenverarbeitung. Deutsche Nutzer können sich bei PaaS-Angeboten von EU-Unternehmen darauf verlassen, dass sie dort Daten konform zu den deutschen Gesetzen verarbeiten können.

Fazit

Die Implementierung von PaaS kann einem Unternehmen viele Vorteile bringen, sowohl als Public- oder Private-Cloud-Betrieb. Besonders eignet sich der Einsatz von PaaS zur Beschleunigung von Entwicklungsprozessen und beim effizienteren Betrieb von Applikationen. Die meisten Anwendungen lassen sich durch kleine Anpassungen leicht auf PaaS migrieren.

Allerdings sind nicht alle Applikationen für die Cloud geschaffen – gerade bei Legacy-Software kann der Aufwand für die Cloudifizierung unverhältnismäßig groß sein.

Eine auf offenen Standards basierende PaaS gewährleistet Anbieterunabhängigkeit. PaaS ist durch seine Architektur inhärent sicherer als andere Architekturen, da Automatismen die möglichen Angriffsvektoren minimieren. Rechtlich gelten die gleichen Bedingungen für PaaS wie bei Software as a Service (SaaS) und Infrastructure as a Service (IaaS): Das Wichtigste ist hier ein europäischer Serverstandort.

Philipp Strube
ist Gründer und CEO bei der cloudControl GmbH, einem europäischen PaaS-Anbieter aus Berlin (ane)