Atlassian zwingt Kunden in die Cloud

Wissens-Upload

Markus Feilner

Ab Februar wird Atlassian keine neuen Lizenzen für seine Serverprodukte mehr verkaufen und keine neuen Funktionen mehr für diese entwickeln. Viele Kunden sind darüber gar nicht glücklich.

Kunden von Atlassian fanden im Oktober 2020 folgenden Text im Newsletter: „Wir möchten uns darauf konzentrieren, dir eine erstklassige Cloud-Erfahrung zu bieten. Aus diesem Grund beenden wir den Verkauf und Support unserer Server-Lizenzen.“ Der Anbieter, der vielen Anwendern von seinen Produkten Confluence (Wiki), Jira (Ticketmanagement) oder Trello (Kanban-Projektmanagement) bekannt ist, gibt seinen Kunden noch drei Jahre Zeit, den Schritt in die Atlassian-Cloud zu machen. Damit geht auch eine satte Preiserhöhung einher: 15 Prozent mehr kostet die Verlängerung der meisten Datacenter-Angebote ab Februar 2021 und Neueinsteiger will man wohl von vornherein abschrecken, anders lassen sich die 140 Prozent Preissteigerung für Kunden mit 1000 Anwendern nicht erklären.

Nun ist Atlassian im Umfeld der Softwareentwicklung so etwas wie Microsoft bei den Betriebssystemen, auch wenn die Firma aus Sydney 2020 „nur“ gut anderthalb Milliarden US-Dollar Umsatz machte. In der Breite des Angebots liegt fast schon ein Vendor Lock-in, in der Integrationstiefe der Vorteil am Markt: Jira, Confluence, Trello oder die hinzugekauften oder angeflanschten Bamboo, Bitbucket, Slack, Opsgenie und Statuspage sind für viele Entwicklungsabteilungen unverzichtbar.

Der Administration den Frust nehmen

Aus unternehmerischer Sicht ist die Entscheidung von Atlassian verständlich: Niemand will sich mehr mit Betriebssystemen herumschlagen, Softwarehersteller sind es leid, Hardware- oder Betriebssystemkompatibilität beim Kunden zu gewährleisten. Das, erklärt Atlassian, bestätigen auch die eigenen Kunden, die sich nach dem Umzug in die Cloud „auf produktivere Arbeiten konzentrieren können“. Keine Updates mehr, einfachere Verwaltung, keine Hardwarefehler mehr – die Argumente sind bekannt, an die Stelle des eigenen Datacenters rückt die Cloud mit ihren Abrechnungsmodellen. Atlassian wird jedoch nicht cloudtypisch nach genutzten Ressourcen abrechnen, sondern setzt auch weiterhin auf ein Lizenzmodell mit jährlichen Zahlungen und gestaffelt nach Benutzern.

Die Konkurrenz freut sich über neue Kunden

Die Entscheidung lässt freilich nicht alle Kunden in Jubel ausbrechen. Positive Stimmen zu dem Schritt sind rar, was auch daran liegt, dass die cloudaffinen Kunden längst den Schritt in die Wolke vollzogen haben oder diesen ohnehin schon planen – für sie ist die Ankündigung nicht relevant. Klagen kommen eher aus der Ecke der Anwender, denen der Weg in die Cloud verwehrt ist, und das sind nicht wenige. Der Linux-Distributor Univention wollte auf Atlassian setzen und war mit der Implementierung schon relativ weit, nimmt die Cloud-only-Entscheidung aber zum Anlass, die Einführung abzubrechen. CEO Peter Ganten dazu: „Die Speicherung von Informationen mit teilweise sehr vertraulichem Charakter auf Servern von Unternehmen, die nicht unter EU-Recht fallen, kommt für uns nicht infrage. Zudem wollen wir für unsere interne Organisation nicht den Entscheidungen Dritter ausgeliefert sein und haben das Projekt deshalb abgebrochen.“

Bei der Recherche zur Marktübersicht zu Wiki-Alternativen für Confluence (ab Seite 68 in dieser Ausgabe) erklärten mehrere Anbieter, seit Wochen von Anfragen geradezu überrannt zu werden. Anja Ebersbach, Geschäftsführerin der Hallo Welt! GmbH, zur iX: „Seit Oktober verzeichnen wir 50% mehr Anfragen. Die meisten Interessenten suchen nach einer Alternative zu Confluence, und wir wissen von anderen Herstellern, dass es bei ihnen ganz genauso aussieht.“ Ein anderer Anbieter berichtet: „Jeder zweite Lead, der zu uns kommt, nennt Atlassians Entscheidung als Grund für die Anfrage.“ Hinter vorgehaltener Hand zeigen sich auch Atlassian-Partner verärgert. Für die fällt jetzt ein guter Teil des Business weg – die Administration und Konfiguration beim Kunden vor Ort. Offen aussprechen will das keiner, doch finden sich auf Webseiten von Atlassian-Partnern mehr und mehr Blogbeiträge, die die Cloud als sicheren Datenspeicher preisen, das zeugt von Erklärungsbedarf. Aber es ist ja nicht die Sicherheit der Daten, die Anwender davor zurückschrecken lässt, so zentrale Unternehmensbestandteile wie die interne Wissensdatenbank oder das Ticketsystem in die Cloud zu migrieren – einer Firma der Größenordnung von Atlassian kann man zutrauen, eine sichere und stabile Cloud zu betreiben.

In Europa gilt jedoch die DSGVO und es gibt keinen Pricacy Shield mehr. Kein Unternehmen kann sich mehr einfach darauf verlassen, schützenswerte Daten in der Cloud einer australischen Firma zu speichern und gleichzeitig europäischem Datenschutz gerecht zu werden – man haftet mittlerweile dafür und die Strafen sind beträchtlich. Australien dagegen ist als Mitglied der Five Eyes vertraglich verpflichtet, geheimdienstliche Daten und Arbeitsweisen mit den USA und dem Vereinigten Königreich zu teilen. Die „Fünf Augen“ entstanden im Umfeld der Enigma-Entschlüsselung während des Zweiten Weltkrieges, Australien war da wegen Kriegsgegner Japan mit im Boot. 1946 festigte dann die „UKUSA-Vereinbarung“ die Zusammenarbeit und den Datenaustausch, laut Edward Snowden gehen die Geheimdienste in den Five-Eye-Staaten dank geschickter Arbeitsteilung weit über das Maß der Überwachung hinaus, die beispielsweise in den USA erlaubt ist.

Sensibilisiert für das Thema hat Atlassian seine Kunden aber auch selbst. Nach der Übernahme von Trello (2017) warnte Atlassian Ende 2018 per Pop-up beim Log-in ausdrücklich davor, schützenswerte private oder auch Unternehmensdaten, beispielsweise NDA-Hardwarespezifikationen, in die Trello-Cloud hochzuladen. Auch heute noch findet sich das ab Punkt 5.2 der Trello Cloud Terms of Service. Bei Datenschutzbeauftragten lösen die Nutzervorschriften von Atlassian Stirnrunzeln aus, ganz unabhängig davon, dass Atlassian auch heute noch „Geschäftsgeheimnisse“ oder „geschützte Inhalte“ als „unerwünscht“ klassifiziert. Zur Skepsis der Kunden trägt sicher auch bei, dass Atlassian ihnen in §3.3.(i) seiner Cloud-AGB verbietet, über die Performance der Cloud-Produkte zu sprechen.

Unerwünschte Inhalte und Betriebsvereinbarungen

Derlei mag in Regionen, die nicht europäischen Rechtsnormen unterliegen, üblich sein, in Europa rief das kritische Blicke auf Atlassian und seine Produkte hervor. SaaS und Cloud gerne, aber bitte rechtskonform, lauten Einwände auch in den Heise-Foren. Bedenken löst auch die Tatsache aus, dass sich in vielen deutschen Firmen erst beim Erstellen der Betriebsvereinbarungen offenbarte, wie viele Daten die Atlassian-Produkte von den Anwendern abgreifen und speichern. Allein die für die Softwareentwicklung heute unerlässlichen persönlichen und Teamstatistiken, aber auch Zeit- und Produktivitätsdaten stellen höhere Hürden für den Datenschutz auf. In einer Cloud kann ein Anbieter derlei Metriken natürlich leichter hinter den Kulissen ermitteln, weshalb sich die Frage nach dem zukünftigen Geschäftsmodell und der Rolle der durch Atlassian erhobenen Daten stellt. Der Hersteller bleibt dabei vage und erklärt, sich an alle Vorschriften zu halten, beweisen kann er das nicht.

Die iX hat Atlassian um eine Stellungnahme gebeten, der Anu Bharadwaj, Head of Product, Enterprise and Cloud Platform per E-Mail nachkam. Allerdings bleibt der Hersteller auch hier einige Antworten schuldig und offensichtlich brachte die letzte Frage nach der Erfassung von Leistungsdaten Atlassian in Erklärungsnot: Die nicht gerade aussagekräftige Aussage kam separat, eine Woche nach den anderen Antworten. (mfe@ix.de)

Interview mit Anu Bharadwaj (Atlassian)

Anu Bharadwaj: Head of Product, Enterprise and Cloud Platform bei Atlassian, ist sich bewusst, dass „einige Kunden Geschäftsanforderungen haben, die sie daran hindern könnten, auf die Cloud zu setzen. [...] Wir werden die Roadmap über die derzeit veröffentlichten Zeiträume hinaus weiter verfolgen und mit neuen Updates aktualisieren.“

Atlassian

iX (Markus Feilner): Was hat Atlassian bewogen, den Schritt in die Cloud zu gehen? Besteht bei Kunden noch Interesse an einer On-Premises-Lösung?

Anu Bharadwaj: Wir haben beschlossen, unsere Angebote für Server und Rechenzentren zu vereinfachen, um unseren Fokus als „Cloud first“-Unternehmen zu schärfen. Mit diesem Schritt reagieren wir auf die sich verändernden Anforderungen unserer Kunden, die sich überwiegend für Cloud-Angebote für ihre Unternehmen entscheiden.

Wie ist die öffentliche Wahrnehmung der DSGVO in Australien? Gibt es Bestrebungen, auch in Australien (so wie in Kalifornien gefordert) ähnliche Werte- und Datenschutzmodelle einzuführen?

Der Datenschutz unserer Kunden liegt uns sehr am Herzen. Australien erlebt in Sachen Datenschutz einen ähnlichen Wandel wie andere Länder und überprüft aktiv das australische Datenschutzgesetz, um den Schutz von Verbrauchern zu stärken. Atlassian arbeitet dabei aktiv mit der australischen Regierung zusammen.

Wie sieht Atlassian die Rechtslage mit US CLOUD ACT, DSGVO, dem Privacy-Shield-Urteil und wie beabsichtigt man Daten europäischer Kunden vor dem Zugriff von US-Strafverfolgern und Geheimdiensten zu schützen, also den Zugriff nachweisbar zu verhindern?

Atlassian verfolgt aufmerksam die aktuelle Rechtslage rund um das „Schrems-II“-Urteil zum Privacy Shield des Europäischen Gerichtshofs [Urteil vom 16. Juli 2020, Rechtssache (311/18), d. Red.]. Wir arbeiten aktiv mit Behörden und anderen Technologieunternehmen zusammen, um neue Verfahren zu entwickeln, die die Integrität der Daten unserer Kunden gewährleisten und gleichzeitig die Aufrechterhaltung wesentlicher Produktfunktionen ermöglichen.

Wo hostet Atlassian die Rechner für die Cloud? Welche Software „unter“ den Webservices kommt zum Einsatz (Betriebssysteme, Datenbanken, Virtualisierung ...)? Welcher Rechtsraum gilt? Falls außerhalb der EU, wie ist die Einhaltung der DSGVO fortlaufend und durchgängig (durch den Softwarestack) sichergestellt? Auch für Software von Dritten?

Unsere Cloud-Hosting-Infrastruktur für Jira Software, Jira Service Management und Confluence umfasst AWS-Regionen in den Vereinigten Staaten, Deutschland, Irland, Singapur und Australien. Wir fühlen uns voll und ganz dem Erfolg unserer Kunden und dem Schutz ihrer Daten verpflichtet. Eine Möglichkeit, diese Verpflichtung einzuhalten, ist, den Kunden und Nutzern von Atlassian zu helfen, die Datenschutzverordnung (DSGVO) zu verstehen mit ihr im Einklang zu handeln.

Bei Trello sorgte 2018 die Erklärung an Kunden für Aufsehen, Kunden sollten keine schützenswerten Daten in die Systeme laden, weil diese cloudbasiert seien und man keine Garantien übernehmen könne. Hat sich das geändert?

Ähnlich wie bei Google Mail und anderen Cloud-Produkten werden die Datenzugriffsberechtigungen und -beschränkungen bei Trello vom Nutzer selbst oder vom Administrator eines Business-Accounts verwaltet. Standardmäßig sind Trello Boards auf „privat“ eingestellt und müssen vom Nutzer manuell geändert werden, wenn er Informationen des Boards freigeben möchte.

Welche Rolle spielen Daten der Kunden im zukünftigen (geplanten) Geschäftsmodell von Atlassian in fünf, zehn Jahren?

Die primäre Investition von Atlassian im Bereich Daten bisher sind unsere auf Machine Learning basierenden „Smarts“-Funktionen, mit denen wir unseren Kunden ein personalisiertes Produkterlebnis bieten können. Die „Smarts“ nutzen datengesteuerte Algorithmen und Machine Learning, um Systeme aufzubauen, die aus Nutzerverhalten lernen. So können wir vorhersagen, was der Nutzer als Nächstes im Produkt tun wird.

Welches Konzept hat Atlassian erarbeitet, um hochsensible Daten von Kunden (Arbeitszeiten, Pausen ...) besonders zu schützen? Werden auch sensibelste Daten wie das Tippverhalten oder andere Leistungsdaten erfasst?

Atlassian schützt alle Kundendaten mit dem höchsten Maß an Sicherheit. Wir informieren unsere Kunden in unseren Datenschutzrichtlinien klar und deutlich über die Daten, die wir sammeln, und wie wir diese Daten schützen.