In debates about cloud and on-premise, the same abbreviations are repeatedly used. Some claim that it's impossible to function without the cloud today, while others talk about loss of control, dependency on vendors, and weakening of data sovereignty. In reality, however, such decisions are rarely made at the slogan level. They usually involve a much more practical level: budgets, available personnel, operational requirements, security rules, and the willingness to bear a certain amount of risk.
Genau deshalb ergibt es für mich Sinn, beide Wege nüchtern zu betrachten. Nicht als ideologischen Streit, sondern als zwei verschiedene Strategien, Infrastruktur zu betreiben. Jede von ihnen bringt etwas Nützliches mit sich und jede hat auch ihre weniger sichtbaren Kosten. Es geht nicht darum, einen Sieger zu ermitteln, sondern zu benennen, was jede Wahl tatsächlich bedeutet.
Was ist die Cloud und was ist On-Premise
Unter dem Begriff Cloud verbirgt sich heutzutage ein breites Spektrum an Diensten – von virtuellen Servern und Datenbanken bis hin zu kompletter Software, die über das Internet bereitgestellt wird. Gemeinsam ist, dass die Infrastruktur sowohl physisch als auch operativ von einem Drittanbieter bereitgestellt wird und der Kunde darauf als Dienstleistung zugreift. On-prem bedeutet hingegen, dass die Organisation die Infrastruktur im eigenen Haus betreibt, sei es direkt in ihren Räumlichkeiten, in einem gemieteten Rack oder in einem Colocation-Datacenter, aber unter eigener Verwaltung.
Auf dem Papier ist der Unterschied einfach. In der Praxis weniger. Viele Organisationen arbeiten heute im hybriden Modus: Einige Systeme laufen in der Cloud, einige auf eigenen Servern und einige Dienste sind nur teilweise ausgelagert. Umso wichtiger ist es, nicht nur die technischen Unterschiede zu verstehen, sondern auch, wie sich in beiden Modellen Verantwortlichkeiten, Sichtbarkeit und das Ausmaß der tatsächlichen Kontrolle ändern.
Was die Cloud bietet
Einer der Hauptgründe, warum Unternehmen und Institutionen in die Cloud wechseln, ist die Flexibilität. Die Cloud ermöglicht die schnelle Einrichtung neuer Umgebungen, eine einfache Kapazitätserweiterung und die Reaktion auf Veränderungen, ohne neue Hardware kaufen und auf deren Installation warten zu müssen. Für kleinere Teams oder Projekte mit variabler Auslastung ist dies ein entscheidender Vorteil – was im traditionellen Modell Wochen der Vorbereitung bedeuten würde, lässt sich manchmal innerhalb eines Tages erledigen.
Ein weiterer häufiger Einwand ist der wirtschaftliche. Die Cloud senkt typischerweise die anfänglichen Investitionsausgaben (CapEx), da der Kauf eigener Hardware entfällt und ein Teil der Kosten in laufende Betriebsausgaben (OpEx) überführt wird. Dies ist besonders dort attraktiv, wo ein Unternehmen oder eine Institution keine hohen Anfangsausgaben tragen möchte oder kann. Gleichzeitig bedeuten niedrigere Anfangskosten jedoch nicht automatisch niedrigere Gesamtkosten (Total Cost of Ownership). Bei gleichbleibender und vorhersehbarer Auslastung über einen längeren Zeitraum können die laufenden Cloud-Kosten schrittweise höher werden als die Kosten für den eigenen Betrieb – insbesondere, wenn Dienste, Replikate, Snapshots und Testumgebungen unkontrolliert anwachsen.
Gemeinsame Verantwortung: Wer wofür haftet
Cloud wird manchmal als „Sicherheit “als Dienstleistung“ – man gibt die Sorgen an Experten ab und das Problem ist gelöst. Das hat durchaus seine Richtigkeit, aber nur bis zu einem gewissen Grad. Genau hier tritt das Konzept der geteilten Verantwortung (shared responsibility model) auf, das heute alle großen Anbieter verwenden: AWS, Azure und Google Wolke.
Das Prinzip ist einfach. Der Anbieter schützt die Cloud an sich – die physische Infrastruktur, die Rechenzentren, die Basiskomponenten. Der Kunde ist jedoch weiterhin für das verantwortlich, was er in der Cloud betreibt: die Konfiguration seiner Dienste, die Zugriffsrechte, Verschlüsselung, Netzwerkregeln und die Sicherheit der Anwendungen selbst. Die Grenze zwischen beiden Seiten verschiebt sich je nach Art des Dienstes – bei Infrastructure as a Service (IaaS) trägt der Kunde mehr Verantwortung, bei vollständig verwalteter Software (SaaS) weniger, aber nie null.
Das ist wichtig zu bedenken, da viele Cloud-Sicherheitsvorfälle nicht durch Fehler des Anbieters, sondern durch Fehler auf Kundenseite entstehen: falsch konfigurierte Speicher, zu weitreichende Berechtigungen, unzureichend geschützte Zugänge oder vernachlässigte Identitätsverwaltung. Die Cloud kann eine sehr sichere Umgebung sein, aber nur, wenn sie gut konzipiert und verwaltet ist.
Was bietet On-Premise?
Der größte Vorteil von On-Premise ist die Kontrolle. Der Betreiber weiß genau, wo die Infrastruktur läuft, wer physischen und logischen Zugriff darauf hat und wie die einzelnen Schichten der Umgebung konfiguriert sind. Er kann das Logging, die Netzwerksegmentierung, den Update-Modus oder die Backup-Methode selbst bestimmen. Für einige Teams ist gerade dieses Maß an direkter Verwaltung entscheidend, da sie nicht von den Entscheidungen eines großen externen Anbieters abhängig sein wollen.
Mit der Kontrolle kommt aber auch die volle Verantwortung. On-premise bedeutet, dass das Unternehmen oder die Institution selbst für Hardware, Energie, Kühlung, Überwachung, physische Sicherheit, Updates, Notfallszenarien und Personalvertretung zuständig ist. Wo es ein starkes internes Team und klare Prozesse gibt, kann das sehr gut funktionieren. Wo die Infrastruktur von einem überlasteten Administrator „nebenbei“ verwaltet wird, kann der Vorteil der Kontrolle jedoch schnell zu einer Quelle von Anfälligkeit werden.
Datenhoheit
Ein großes Thema der letzten Zeit ist Datenhoheit – also nicht nur die Frage, wo Daten physisch liegen, sondern auch, welcher Rechtsordnung sie unterliegen, wer darauf zugreifen kann und welche Entitäten an ihrer Verarbeitung beteiligt sind. In der Cloud-Welt ist es üblich, dass Anbieter die Wahl des Rechenzentrumsstandorts ermöglichen, aber das allein löst hauptsächlich die Datenresidenz – also ihren physischen Standort. Volle Souveränität umfasst auch den rechtlichen Geltungsbereich, die Zugriffsverwaltung und die gesamte Lieferkette, was die Wahl des Standorts nicht automatisch gewährleistet. Es ist auch wichtig, an ... zu denken Metadaten Kommunikation, die während des Betriebs eines Dienstes entsteht und anderen Regeln unterliegen kann als der Inhalt selbst.
On-Premises bietet in dieser Hinsicht mehr Transparenz. Der Betreiber hat in der Regel eine klarere Vorstellung davon, wo sich die Daten befinden und welcher Weg dorthin führt. Es ist jedoch keine magische Lösung. Auch die eigene Infrastruktur verwendet Hardware von externen Herstellern, Konnektivität von Telekommunikationsanbietern und oft auch verschiedene Softwarekomponenten von Drittanbietern. Der Unterschied besteht also nicht darin, dass On-Premises eine absolute Isolation bedeutet, sondern vielmehr darin, dass es ermöglicht, genauer zu definieren, wen und in welchem Umfang der Betreiber in seine Umgebung einlässt.
Hybride Realität und Servicekomposition
Wichtig ist auch der Unterschied zwischen dem Outsourcing der gesamten Infrastruktur und dem Outsourcing nur einzelner Komponenten. Viele Unternehmen und Institutionen wählen heute nicht nur einen Weg, sondern stellen ihren Betrieb aus einzelnen Diensten zusammen: Cloud-DNS, externe Authentifizierung, spezialisiertes Monitoring, eine separate Videokonferenzplattform, CDN oder ein E-Mail-Gateway.
Dieser Ansatz kann sehr effektiv sein, da er die Spezialisierung einzelner Anbieter nutzt. Gleichzeitig entstehen dadurch jedoch mehr technische und rechtliche Abhängigkeiten nebeneinander. Mit jeder zusätzlichen Dienstleistung steigt die Anzahl der Stellen, an denen Betriebsdaten und Kommunikationsmetadaten verarbeitet werden – ein Thema, das ich im vorherigen Artikel über Metadaten näher behandle. Und auch das Risiko eines sogenannten Vendor Lock-ins steigt: Je tiefer Arbeitsabläufe und Datenformate mit einem bestimmten Anbieter verknüpft sind, desto anspruchsvoller – technisch und finanziell – ist ein möglicher Wechsel zu einem anderen Anbieter oder die Rückkehr zum eigenen Betrieb (sogenannte Cloud Repatriation).
Stabilität und Widerstandsfähigkeit
Große Cloud-Anbieter investieren in der Regel in Redundanz, automatische Wiederherstellungen und geografische Verteilung von Diensten, was kleinere Teams oft nicht in Eigenregie nachbilden können. Die daraus resultierende Ausfallsicherheit hängt jedoch von der spezifischen Architektur des Kunden ab – die Plattform allein garantiert sie nicht. Gleichzeitig trifft ein Ausfall einer großen Cloud-Plattform eine breite Palette von Kunden gleichzeitig. Bei On-Premises ist die Auswirkung eines Ausfalls lokalisierter – aber nur unter der Voraussetzung, dass der Betreiber tatsächlich Sicherungen, Überwachung und Krisenszenarien aufgebaut hat. Andernfalls kann die eigene Umgebung tatsächlich weniger ausfallsicher sein, als ihr Administrator zugibt.
Worauf es ankommt
Die Entscheidung zwischen Cloud und On-Premise ist keine einmalige Wahl, sondern eine kontinuierliche Architekturdisziplin. Es reicht nicht aus zu sagen: „Wir sind in der Cloud“ oder „Wir laufen On-Premise“. Wichtiger ist es zu beschreiben, welche Teile der Umgebung wo sind, warum sie dort sind, wer dafür verantwortlich ist und welche Risiken das Unternehmen bewusst eingeht.
Die Cloud bietet Geschwindigkeit, Bequemlichkeit und Skalierbarkeit, erfordert jedoch Disziplin bei der Konfiguration, der Identitätsverwaltung, der Kostenkontrolle und dem Verständnis der gemeinsamen Verantwortung. On-Premise bietet direktere Kontrolle, bessere Transparenz über den Datenspeicherort und manchmal bessere Vorhersehbarkeit, stellt aber höhere Anforderungen an Personal, Prozesse und operationelle Reife. Keiner der beiden Wege ist universell richtig. Schlimmer ist eher, wenn die Entscheidung modisch, träge oder ohne realistische Einschätzung der eigenen Fähigkeiten getroffen wird.
Mir ergibt es am meisten Sinn, Infrastruktur weniger ideologisch und praktischer zu betrachten. Nicht fragen, was moderner ist oder was sich gerade besser in einer Präsentation anhört, sondern was ein bestimmtes Unternehmen wirklich braucht, was es aufrechterhalten kann und wo es ein vernünftiges Gleichgewicht zwischen Bequemlichkeit, Kosten, Sicherheit und Kontrolle hat.
Čeština
English
Deutsch
Español
Français