[for my english friends: you may read the interview here and here]

[HB:] Heute habe ich Raphael Köllner zu Gast. Raphael Köllner ist seit über 15 Jahren als Trainer und Speaker im Bereich der IT und der Rechtswissenschaften zu den verschiedensten Themen unterwegs. Oft bildet er die Schnittstelle zwischen diesen Themenbereichen. Er ist MVP Office Servers & Services, Windows Top Insider, MCT und Microsoft Student Partner Evangelist. Seine Schwerpunkte finden sich im Bereich des Cloud Computing aus technischer und rechtlicher Sicht.

[HB:] Warum tun sich manche deutschen Unternehmen so schwer mit der Cloud?

[RK:] Das Thema ist nicht neu. Seit über fünf Jahren, also seit Anfang und dem Aufkommen der ersten Cloud Themen haben sich deutsche Unternehmen Gedanken gemacht, Ihre IT in die Cloud auszulagern. Wohlgemerkt, Gedanken gemacht. Dabei war nicht nur Microsoft ein Thema, sondern alle großen Cloud-Anbieter wie Amazon und Google. Aber man musste schon damals differenzieren: Denn die Unternehmen hatten schon Teile ausgelagert: Die Webseiten wurden nicht mehr im Unternehmen bereitgestellt, sondern an Provider mit eigenen Rechenzentrum ausgelagert. Aber der Begriff Cloud wurde noch nicht damit verbunden. Der Begriff Cloud musste aber erst etabliert werden. Infrastructure as a Service, Software as a Service, Plattform as a Service, also Azure von Microsoft oder AWS von Amazon wurden und werden immer noch sehr vorsichtig betrachtet. Und bis vor einem Jahr waren es auch rechtliche Bedenken, die in jedem Gespräch aufgegriffen wurden.

[HB:] Rechtliche Bedenken: Wir wirkt sich das aus?

[RK:] Eine große Hemmschwelle waren rechtliche Bedenken seitens Datenschutz und Datensicherheit und das Nichtwissen, ob man in der jeweiligen Branche überhaupt in die Cloud migrieren darf, die deutsche Rechtslage war (und ist) nicht eindeutig. Verbände haben erst einmal Vorlagen und Richtlinien erstellen müssen, um rechtliche verbindliche Aussagen für Unternehmen treffen zu können. Viele Unternehmen mussten erst das Vertrauen in die Cloud erlangen und haben deshalb Ihre Daten lieber auf eigenen Servern gespeichert. Für unterschiedliche Branchen gab und gibt es mittlerweile Vorgaben, was und wie mit den Daten der jeweiligen Kunden umzugehen ist. Exemplarisch hier einmal die Branche der Rechtsanwälte. Hier existiert durch die Rechtsanwaltskammer eine Vorgabe, die beschreibt wie Anwälte Cloud-Computing nutzen können, es wird aber nicht die Technologie beschrieben, ob sie zum Beispiel Office 365 benutzen dürfen. Es werden also nur Grundsätze beschrieben. Und diese Grundsätze beschreiben auch, dass kaum ein Cloud-Dienst den BSI-Grundschutz abdecken kann.

Kann ein Anwalt bei einen Cloud-Dienst festzustellen, ob die Daten dort sicher liegen und kein Zugriff durch Dritte (auch nicht vom Staat) möglich ist? Mandantendaten sind noch einen Schritt höher zu schützen als Patientendaten und zwar zwei Schritte höher als zum Beispiel Daten zu den einzelnen Steuern, die man mittlerweile auch in Europäischen Daten-Center speichern darf.

Mandantendaten genießen sehr hohes Schutzniveau. Aus meiner Sicht geht das derzeit nur mit einer Hybrid-Umgebung. Es gibt aber schon einzelne Anwälte, die trotzdem schon Cloud-Dienste nutzen, und deren Mandanten müssen darüber einzeln darüber informiert werden. Und die Kammern haben noch kein offizielles Go gegeben. Auch die neuen Wege des Einreichens von Klageschriften etc. sind noch lange nicht geebnet. Das sollte eigentlich dieses Jahr passieren, aber der Zeitpunkt ist wohl zu optimistisch gewählt worden.

HB Warum ist es manche Universitäten oder Behörden verwehrt, Cloud-Dienste in Anspruch zu nehmen?

[RK:] Die Richtlinien stehen fest verankert in den Satzungen dieser Universitäten und bei Behörden ist dies in den Satzungen der Kommunen festgelegt, die diese selbst festlegen können. Zwei Bespiele

Wenn ein Professor Lehrmaterial anbieten möchte, mangelt es oft am Wissen über die Möglichkeit, wie diese zu veröffentlichen sind. Bei Bilder wissen diese Personen nicht, wie und ob überhaupt diese veröffentlicht werden dürfen (Copyright).

Im Forschungsbereich besteht auch der Wunsch, dass laufende Prozesse und Forschungsergebnisse nicht veröffentlicht werden dürfen und nur über Forschungsdatenbanken abrufbar sind. Dies wird durch lokale Cloud-Services von diesen Forschungseinrichtungen abgewickelt. Die Frage wie gut die Absicherung ist darf natürlich gestellt werden. Und hier sind sich diese Einrichtungen nicht immer einig.

[HB:] Spielt bei der Industrie der Wegfall von Safe Harbour eine Rolle?

[RK:] Wir haben jetzt ja Privacy Shield verabschiedet als Nachfolger. Ich bin ja unterwegs in einem innovativen Umfeld. Bei der Industrie wird oftmals noch mit Windows 7 gearbeitet, auf den Clients sind Office Versionen 2007 oder 2010 zu finden und bei E-Mail wird noch Exchange Server 2010 als Backend System eingesetzt. Im Mittelstand wird gar nicht das Bedürfnis gesehen, in die Cloud zu gehen oder Cloud-Dienste zu nutzen. Es funktioniert ja, was eingesetzt wird. Dort wird auch nicht der ökonomische Vorteil gesehen und auch die geänderten Möglichkeiten der Zusammenarbeit werden ignoriert. Die IT wird oft mit Industrie-Anlagen verglichen, die Jahrzehnte lang arbeiten und nur gewartet und repariert werden. Warum also umstellen?

[HB:] Gibt es noch andere Bedenken?

[RK:] Oftmals wird auch die Lizensierungsfrage bei einem Kauf oder aber bei der Technik die Bandbreitenfrage gestellt. Kleine und Mittelstandbetriebe kaufen daher lieber noch einen on Premise Server für das eigene Unternehmen oder stellen auf die neuste Version der im Betrieb laufenden Systeme um. Die leider noch nicht lückenlose zu Verfügung stehende hohe Internet-Bandbreite zwingt sie dazu. Es ist noch ein weiter Weg bis zu Digital Industrie 4.0.

[HB:] Was bedeutet für Dich Umzug?

[RK:] Umzug fängt mit Email an. Der erste Schritt ist oft der Aufbau einer Hybrid-Umgebung und dann die Verlagerung von Daten von den on Premise Servern in die Cloud. Weitere Schritte sind dann die Implementierung von bestehenden Kommunikationsdienste wie Telefonie in die Cloud. (Skype for Business)

Der Weg, solche Projekte zu initiieren ist jedoch mühsam und mit Arbeit verbunden. Eine gute Projekt-Planung in Vorfeld hilft Hürden zu umgehen und die Firmen sind auf qualifizierte Microsoft Partner angewiesen. Es muss zuerst mit den Beteiligten geklärt werden, was in welcher Reihenfolge in die Cloud verlagert werden soll. Dabei gilt es nicht nur die technischen Hürden zu meistern, sondern auch wie schon erwähnt, die lizenzrechtlichen Dinge zu klären. Während der Migration muss sichergestellt werden, dass der normale Betrieb ohne Unterbrechung fortgeführt werden kann. Auf der anderen Seite müssen auch parallel Schulungspläne erarbeitet werden, damit die Mitarbeiter des Unternehmens mit den neuen Programmen auch zurechtkommen.

Die Industrie ist am konservativsten, Hochschulen und Universitäten sind eher bereit, sich mit Cloud-Diensten anzufreunden, wenn rechtliche Probleme ausgeräumt wurden. Slack, Office 365, Google mail, Yammer und Co. werden dort evaluiert. Wenn, wie schon erwähnt Private-Cloud Dienste existieren, müssen diese mit den bestehenden Cloud-Diensten abgeglichen werden, bevor überhaupt eine Migration angestoßen werden kann.

Besteht überhaupt ein Cloud-Dienst und wenn ja, wie können diese Daten migriert werden? Oftmals hat man eigene Systeme in der Private-Cloud implementiert und Lücken zwischen den Systemen manuelle programmieren lassen. Natürlich besteht der ökonomische Wunsch, solche Systeme in die Cloud zu verlagern aber es muss sichergestellt werden, dass die standardisierten Cloud-Dienste auch angepasst werden können, um die gleiche Funktionalität zu erreichen und hier ist das Wissen der internen IT und des Partners gefragt, um praktische Probleme aus dem Weg zu räumen. Als Beispiel soll hier ein für das Unternehmen angepasstes CRM System sein, welches sich nicht oder nur schwer an das Cloud basierte Modell anpassen lässt.

[HB:] Was machen manche Microsoft Partner falsch bei der Umsetzung?

Bei einigen Microsoft Partner fehlt es an Standardisierung. Kunde kommt und möchte eine bestimmte Lösung. Und der Partner fängt immer wieder bei Schritt eins an, einen Lösungsweg zu entwickeln. Hier sollte mehr mit Vorlagen (Templates) gearbeitet werden. Als Beispiel sei eine typische Email Migration von einem Exchange-On Prem zu Office 365 genannt, dessen Schritte häufig gleich sind. Migrationspläne sind oftmals gleich, werden aber nicht vom Kunden A zum Kunden B übertragen. Auch vergessen Partner häufig, Schulungen mit anzubieten. Microsoft hat mit dem FastTrack Programm Vorgaben geschaffen, auch wenn die Vorgehensweisen nicht immer komplett übertragbar sind. Das bedeutet aber für die Partner auch, mehr Wissen anzusammeln. Viele Microsoft Partner haben aber dieses Wissen nicht, weil sie sich in der Vergangenheit nur mit On-Premise System auseinander gesetzt haben. Die Wissenslücke dieser Partner mit der Cloud ist inzwischen sehr groß geworden und es bedarf auch eines großen Zeitaufwandes, diese Lücke zu schließen. Das wird umso schwieriger, wenn man sich mit Cloud-Systemen von mehreren Herstellern beschäftigen muss und die Berater der Microsoft Partner sind auch meist mit laufenden Projekten beschäftigen und schlichtweg fehlt es an der Zeit. Oftmals fokussieren sich diese Partner nicht auf bestimmte Bereiche.

[HB:] Passt das alte Business-Modell der Partner?

Auch das Business-Modell der Partner muss sich ändern. So habe ich gesehen, dass dem Endkunden immer noch onPremise Systeme verkauft wurden, in der falschen Annahme, hier würde der Ertrag wenigstens noch stimmen.

[HB:] Glaubst Du, dass das Subskription Modell von Office 365 ausreichend ist, Erträge zu generieren?

Es ist ja auch nicht einfach, vom alten Modell (Hardware + Lizenzen+ Dienstleistung) auf das Mietmodell umzusteigen. Der 3 Jahreszyklus hat ausgedient, die Partner müssen sich andauernd mit den neuen und sich dauernd ändernden technischen Möglichkeiten der Cloud auseinandersetzen und daraus ein Business-Modell zu generieren. Der Partner muss auch mit dem Kunden übereinstimmen, nicht alle neuen Features in der Cloud zu deaktivieren, um quasi damit den alten Zyklus beizubehalten. Vielmehr muss der Partner in einem andauernden Prozess mit seinen Kunden diese neuen Möglichkeiten untersuchen, welchen Mehrwert dies für die Benutzer des Kunden hätte und wie diese umzusetzen sind. Diese Dienstleistung mit der Untersuchung, Umsetzung und Schulung lässt sich ebenfalls in ein eigenes Subskription Modell umsetzen. Und Distributoren wie Ingram und TechData sind da mittlerweile gut aufgestellt und helfen auch mit Tools von Drittherstellern wie BitTitan, um Lücken zu schließen.

[HB:] Welche Hemmnisse erwarten den Partner?

Microsoft macht es den Partnern und Endkunden nicht einfach. So gibt es viele Dienste und Tools, die gleiche oder überlappende Funktionalität zur Verfügung stellen. Und gerade hier muss und kann der Partner punkten. Die Kultur und Arbeitsweise des Kunden ist dem Partner bekannt. Und damit kann er aus dem riesigen Portfolio der Cloud Produkte Empfehlungen geben, diese implementieren, freischalten und schulen.

Passiert dies nicht, kann es passieren, dass Firmen-Benutzer eine Schatten-IT aufbauen. Als Beispiel sei hier nur WhatsApp, OneDrive oder Dropbox in der Consumer Version genannt. Und die Benutzer sind sich den Sicherheits-Risiken nicht bewusst.

Das bedeutet aber auch, das IT Administratoren umdenken müssen. Weg von reiner Wartung und Instandhaltung von IT-Systemen, hinzu den Überlegungen, wann werden welche Systeme im Unternehmen eingesetzt und wo und wie müssen Prozesse überarbeitet oder gar verändert werden. Und das nicht nur im Server-Bereich oder den Office Komponenten, sondern auch den Client-Betriebssystemen wie Windows 10. Die alte Gepflogenheit, ein Client Betriebssystem wird erst nach dem Erscheinen des 1. Service Packs evaluiert, kann und muss vergessen werden. Denn auch bei Windows 10 gibt es solche Zyklen nicht mehr. Gleiches gilt für neue OnPremise Server.

Das Zurückhalten von Updates über ein Jahr ist nicht mehr möglich. Es ist ein andauernder Prozess, den die Administratoren fortlaufend begleiten, evaluieren und freigeben müssen. Manchmal herrscht auch Angst bei den Administratoren, Ihre Arbeitsplätze zu verlieren, weil Cloud-Dienste und die Wartung derselben durch die Hersteller vorgenommen werden.

Neue Methoden bei der Zusammenarbeit mit OneDrive for Business müssen erlernt und geschult werden und in geänderten Prozessen im Unternehmen implementiert werden. Durch das Umstellen auf diese neuen Technologien kann beträchtliche Zeit reduziert und damit Kosten eingespart werden. Das Festhalten an alten Modellen ist aber auch auf die deutsche Kultur zurück zu führen.

CIO’s der Unternehmen, auch der kleinen Unternehmen müssen als Vordenker mit den Cloud Services vertraut sein und die IT, als Dienstleiter im Unternehmen in Einklang bringen. Hier liegt es auch an den Partnern, diese Informationen in einem kontinuierlichen Prozess an den relevanten Personenkreis Ihrer Kunden zu bringen.

[HB:] welche weiteren Anforderungen muss der Partner erfüllen?

Oftmals werden beim Partner selbst die Cloud Dienste nicht eingesetzt. Und das macht es dem Partner umso schwerer, ein eigenes Subskription Modell aufzubauen.

Je länger die Partner zögern, sich mit der Cloud zu beschäftigen, desto größer wird die Gefahr, den Anschluss zu verlieren. Ist ein Kunde migriert, entfallen die Installation von Updates und Patches. Und damit der Ertrag.

Partner müssen lernen, dass nach dem ersten Schritt, z.B. einer E-Mail-Migration weitere Schritte folgen müssen. Was der Partner nicht selbst leisten kann, muss er sich bei anderen Cloud-Dienstleistern einkaufen, damit die Möglichkeit entsteht, komplette Subskription Pakete seinem Kunden anzubieten.

[HB:] vielen Dank für die Antworten.

Links:

Raphel Köllner: IT und Recht German
Raphael Köllner: Microsoft MVP Award