Jein. Ich habe ja bewusst geschrieben, dass Sicherheit meist nicht der Hauptgrund für die Cloud ist, sondern eine Voraussetzung.
Weil man selbst auch schon schlechte Erfahrungen gemacht hat, und Offenheit nur begrenzt im Griff hat, ist man in vielen Firmen mega-restriktiv. Effekt: auch interne Mitarbeiter können teilweise neue, einfache Arbeiten nicht mehr durchführen.
Bei einem DAX-Konzern konnte man über Monate keine Fotos von Geräte-Prototypen wie gewünscht vom Rechner aus anfertigen weil die Canon Software (dieses EOS Utility) für die IT nicht zum erlaubten Umfang gehört. Knapp ein Jahr später ging das auch schon. Ganze 12 Leute in einer eigens eingerichteten Abteilung saßen praktisch diese Zeit lang herum (... und dieser Teil war essentiell und fest Konzept-Bestandteil, da war nichts mit Improvisieren möglich). In so einem Zeitraum hatte Apple das iPhone knapp fertig entwickelt.
In wie vielen Häusern man mir morgens an der Pforte schon Security"-Aufkleber vor die Handy-Linse geklebt hat, während ich - auftragsgemäß - mit einem Kamerakoffer durch das Tor rollen durfte oder mit den Entwicklern deren 3D-Modelle reviewed habe (die ich oft voher schon per E-Mail zugeschickt bekomme!). Das ist die blanke Ohnmacht!
Wie viele Kunden wissen seit Monaten, dass ich komme, ich eine Online-Lösung vorstellen soll, ihre Firma sowas von Offline für meine externen Möglichkeiten ist, und schaffen es über eine lange Vorbereitungszeit nicht, an diesem Tag für mich einen Gast-Zugang mit Internet-Zugriff einzurichten. Die Mehrheit. Weil es aus Sicherheitsgründen keinen Zugang für mich gibt, werde ich gebeten Office-Dokumente an private Mail-Accounts zu schicken, von wo die Mitarbeiter sie dann auf USB-Sticks wieder einschläusen - was für ein Angriffsvektor!
In meinen Mitarbeiterjahren: ich habe viiiiiele Berater in meiner Abteilung mit 4-stelligen Tagessätzen monatelang untätig sitzen gehabt, weil der Betrieb mitgebrachter Rechner nicht erlaubt ist aber interne Accounts (E-Mail, Betriebssystem, ggf. Zugriff auf bestimmte Spezialsoftware, Tokengenerator) monatelang nicht eingereichtet waren. Ganze Mittelklasseautos hat das gekostet. Habe ich jetzt als Berater auch gar nicht so selten - "hoppla, da fehlt ja was". Damit es nicht herablassend wirkt, muss man sich da richtig was einfallen lassen um tagelang ohne Gerät trotzdem beschäftigt zu wirken, während ja jeder weiß, dass ich mangels Zugriff völlig nutzlos rumsitze.
Wenn man in so einem Haus die Idee hat, wir machen hier was mit einer App und einem Server - soll ja heutzutage mal vorkommen, braucht man auf der Businessseite praktisch J-a-h-r-e um das von der IT genehmigt zu bekommen. Bis dahin hat der Markt das zu unterstützende Gerät mangels App/GPS/myXY-Features etc. schon zweimal verschmäht. Dann wäre das Inhouse-Grundkonzept aber in Word sogar bald fertig geschrieben.
Daher geht man eben in so eine Cloud (da gibt es pauschal auch ganze virtuelle Geräte mit ad hoc vorhandener Software - von Magento bis SAP), hat pauschal eine Abrechnung über die Gigabytesekunde oder ähnliche Einheiten und der Server läuft in knapp 10 Minuten samt LoadBalancing, Nagios-Monitoring etc. wie es eine normale Inhouse-IT kaum je gesehen hat und in Wochen nicht vergleichbar aufsetzen könnte. Sowas liegt eben sauber vorkonfiguiert bei so einem Anbieter fertig zum Start rum. Ohne Sicherheitszertifikate (die die internen Lösungen bis heute oft nicht haben) nebenbei einzurichten, starten diese Dinger gar nicht.
Ganz klar: das Wiedererlangen solcher Fähigkeiten ist meist der Grund dafür, dass Business-Abteilungen an der internen IT vorbei ad hoc benötigte Infrastruktur anmieten. Die IT ist dann nur noch der Hauswart für die Zugriffsclients. Damit die IT-Abteilung sich nicht rächen kann, muss so ein Cloud-Anbieter sowohl in Wirklichkeit wie auf Papier natürlich übermächtig gut aufgestellt sein.
>> soooo schwer ist das doch auch nicht...
Meine obige Erfahrung sagt mir jede Woche: doch, irgendwas daran muss schwer sein. Sonst würde es ja klappen.
Natürlich ist es nicht so schwer, einfach irgendjemanden irgendwie an eine Tastatur zu bringen. Klar. Wenn wir über Sicherheit in diesem Sinne sprechen, dann gilt aber: ehe es nicht bombensicher ist, sollte ein System besser gar nicht benutzbar sein und nicht vorläufig/der Rest kommt dann schon.
Bis etwas nach dieser Spielart sicher-benutzbar ist, ist das schon eine ganz andere Sache.
Ich selbst bin nicht ganz fachfremd. Auf die Idee irgendein System mit Bezahlfunktion (Kundendaten, Kreditkarten, Giropay, PayPal etc.) selbst zu hosten käme ich z.B. heute aber im Leben nicht.
