So funktioniert der Aufbau eines Backup-as-a-Service
Einen Cloud-Service für die eigenen Kunden aufzubauen klingt simpel. Die Einstiegshürde wirkt auf den ersten Blick sehr niedrig. Doch ganz so einfach ist es nicht. Beim Aufbau und Betrieb eines Backup-as-a-Service ergeben sich verschiedene Hürden und Herausforderungen.
Ein Backup ist heutzutage unumgänglich und der wichtigste Grundpfeiler, um zum Beispiel als Unternehmen eine erfolgte Cyberattacke überhaupt verkraften zu können. Besonders vor dem Hintergrund von Ransomware hat sich gezeigt, dass schreibgeschützte Backups von essenzieller Bedeutung sind. Dieser Umstand ist unumstritten. Anders sieht es bei der Frage aus, wie und in welcher Form ein Backup gemacht werden soll. Alles On-premise, eine Hybrid- oder doch ausschliesslich eine Cloud-Lösung? Eine einfache Spiegelung, Kopien mit einer Software, die das Betriebssystem bereits bietet, überwachen mittels eigener Tools und eigenem Personal, oder doch etwas anderes?
Etablierte IT-Dienstleister überlegen sich stets, wie sie ihren Kundinnen und Kunden einen noch besseren Service bieten und sie vor mehreren Risiken gleichzeitig schützen können. Die Festplatte vor Ort oder eine Volume Shadow Copy genügt angesichts der heutigen Bedrohungslage verständlicherweise nicht mehr. Deshalb kommt bei vielen IT-Integratoren irgendwann die Idee auf, ergänzend zum bestehenden Portfolio einen Backup-as-a-Service (BaaS) anzubieten.
Der Unterschied zwischen Hardware- und Serviceverkauf
Backups werden schon seit Jahrzehnten gemacht, um einem einfachen Datenverlust vorzubeugen. Früher war es so: Tape vor Ort installiert, Daten werden automatisch auf das Tape geschrieben, jemand nimmt es am Abend (hoffentlich) mit, fertig.
Nach und nach lösten externe Festplatten, die in einem mehr oder weniger definierten Zyklus ausgetauscht wurden, die Tapes in den KMUs ab. Fast gleichzeitig mit den Festplatten kamen NAS-Geräte auf den Markt, etablierten sich schnell und sind bis heute sehr zahlreich im Einsatz.
Warum zähle ich all diese bereits bekannten Dinge auf? Etwas hat sich in all den Jahren nicht verändert: Daten sind nicht greifbar. Solche Wechselmedien und Netzwerkgeräte machen elektronische Daten aber haptisch wahrnehmbar. Der Benutzer weiss genau, wo sich die Daten befinden und kann sich ziemlich sicher sein, dass seine Daten auf der externen Festplatte sind, die im Notfall zur Verfügung steht. Genau da liegt die erste Herausforderung bei einem BaaS. Man verkauft keine Hardware, sondern "nichts". Aus Sicht des Endkonsumenten verkauft man etwas Körperloses, das automatisch in einem regelmässigen Zyklus die elektronischen Daten ausserhalb der eigenen vier Wände lagert und sie im Bedarfsfall via Internet wiederherstellen kann. Wie macht man also aus "nichts" etwas Greifbares und Verkäufliches?
Wo fängt man an?
Wie in der gesamten IT ist der initiale Aufwand auch bei einem BaaS einfach und gering. Der kontinuierliche Betrieb hingegen ist aufwändig und kostenintensiv. Es gilt, den ganzen Aufwand zu berücksichtigen und den Lifecycle aller Komponenten nicht zu unterschätzen. Dazu gehören unter anderem Hardware, Software mit entsprechenden Lizenzkosten, Betriebskosten, Management, Support, Migrationen und Weiteres.
Einen altgedienten Server als Basis für einen BaaS zu verwenden ist sicherlich keine gute Ausgangslage. Wie viele IT-Spezialisten wissen, ist Backup – richtig gemacht – eine "Killerapplikation", die eine sehr robuste und starke Infrastruktur erfordert.
Welche Software nimmt man?
Eine robuste, skalierbare und Serviceprovider-taugliche Software ist das A und O. Oberstes Credo und das Wichtigste für Serviceprovider: keine Überraschungen! Die Evaluation muss gewissenhaft und streng sein. Bei nur fünf oder sechs Kunden wird einem sicherlich noch keine Software einen Strich durch die Rechnung machen. Wenn der Service aber durchstartet und viele Kunden gewonnen werden können, wird sich zeigen, wie performant und zuverlässig die Softwarelösung ist.
Da man seinen Service auch nicht alle drei Jahre umbauen will, ist es zudem zu empfehlen, auf einen Hersteller zu setzen, der gewisse Garantien auf Langlebigkeit und Rückwärtskompatibilität gibt. Was nützt einem Kunden ein günstiger Service, wenn er eine Aufbewahrungspflicht zu erfüllen hat und die Software in fünf Jahren nicht mehr verfügbar ist?
Eigene Hardware nutzen oder Infrastruktur dazumieten?
Nicht weniger wichtig als die Wahl der richtigen Software ist der Entscheid für die richtige Hardwareplattform. Wenn man einen soliden Businessplan mit vielen "garantierten" Kunden hat, sollte man eigene Hardware kaufen und betreiben. Ist man aber noch unsicher, kann das Mieten bei einem Hyperscaler sinnvoller sein, sei es bei einem der grossen ausländischen Anbieter oder auch bei einem kleineren lokalen Hosting- oder Storageprovider. Doch gilt es bei der Miete von Infrastruktur zu bedenken, die Verantwortungen und das SLA klar zu regeln.
Ausserdem sollten beim Standort-Entscheid die potenziellen Kunden berücksichtigt werden. Der Standort ist für manche Kunden aufgrund von Cloud Act, DSGVO, GeBüV und anderer gesetzlicher Rahmenbedingungen relevant. Schliesslich gilt, sich als Serviceprovider sowie die Kunden abzusichern und die Kundendaten nicht nur auf einer Plattform zu halten. Ein Mirroring an einen weiteren Standort ist zwar kostenintensiver, lässt einen Serviceprovider aber viel ruhiger schlafen.
Welchen Umfang soll der Service haben?
Viele BaaS-Anbieter vergessen leider das "S" von "BaaS". Genau dort – beim Service – kann man sich differenzieren. Ein Service muss einfach, einheitlich und stabil sein. Man muss sich klar überlegen, was man abdecken möchte – und noch viel wichtiger: Was man nicht anbieten will. Möchte man ein File-Level-Backup, einen System-Backup, eine Desaster-Recovery-Site, bei der dem Kunden im Notfall auch gleich noch Rechenkapazität zur Verfügung steht? Oder doch eine Appliance beim Kunden vor Ort, die das Mirroring in das eigene Rechenzentrum vornimmt?
Nur wenn man sich klar fokussiert, wird man erfolgreich sein. Es gilt, viel Know-how aufzubauen und die Kunden mit einem erstklassigen 24/7-Support zu überzeugen.
Lohnt sich der Aufwand überhaupt?
Anfangs ist alles übersichtlich und man verdient Geld. Irgendwann sind die ersten Kapazitätsgrenzen (Hardware oder Software) erreicht und es müssen weitere Investitionen getätigt werden. Dann heisst es, auf die Zähne beissen. Denn erst, wenn man mehrere Dutzend Kunden vom Service überzeugen und dafür gewinnen kann, kommt man in den Break-even-Bereich. Wenn man das nicht innerhalb einer nützlichen Frist schafft, verkommt das BaaS zur Investitionshölle, versprochen!
Ein weiterer wichtiger Aspekt ist die Gratwanderung zwischen Standard- und individuellen Lösungen. Wenn man jedem Kunden alle speziellen Wünsche erfüllen möchte, ist der Service weniger skalierbar. Natürlich muss die Lösung so weit individualisierbar sein, dass man mehr als 90 Prozent der Kundenbedürfnisse abdeckt. Es ist leider schwierig, das Bestreben nach einer Standardisierung des Services mit den unterschiedlichen Infrastrukturen der Kunden in Einklang zu bringen.
Soll ich nun ein Backup-as-a-Service-Anbieter werden?
Man muss sich überlegen, wo seine Kernkompetenzen liegen. Wenn der Kundenstamm gross ist und man überzeugt ist, viele Kunden für die Dienstleistung zu begeistern, kann man es machen – vorausgesetzt man hat die "Serviceprovider-Proof-Software" gefunden und die Ressourcen skalierbar bereitgestellt. Und man sollte bedenken: es ist ein Service – kein zeitlich begrenztes Projekt. Wenn man am Vorhaben zweifelt oder glaubt, dass der Aufwand zu hoch wird, sollte man kein BaaS-Anbieter werden. Stattdessen sollte man überprüfen, ob man Reseller von einem existierenden Serviceprovider werden möchte. Es gibt einige professionelle Anbieter auf dem Schweizer Markt.
Als Denkanstoss noch eine Frage: Würde man auch ein Webhosting-Angebot für seine Kunden aufziehen oder den Service lieber bei einem Webhoster beziehen, bei dem man Partner ist?
Abschliessend gilt festzuhalten, dass man sich auf sein Kerngeschäft fokussieren sollte, ganz nach dem Motto: "Focus is a matter of deciding what things you’re not going to do."