Web-Applikationen ausser Haus
Artikel erschienen in Swiss IT Magazine 2007/02
Ob «Outsourcing», «Software as a service» oder «ASP»: Die Auslagerung von IT-Anwendungen an externe Dienstleister ist seit Jahren ein mehr oder weniger erfolgreiches Modell des IT-Betriebs für Unternehmen aller Branchen und Grössen. Immer mehr Anwendungen vom ERP bis zum Online-Shop werden auf Basis von Web-Technologien entwickelt. Auf der Client-Seite vereinfacht sich dadurch der Verwaltungsaufwand erheblich – ein Browser genügt für den Zugriff auf die Funktionen der Anwendung. Im Back-end dagegen wird der Betrieb umso anspruchsvoller, je mehr das Unternehmen auf hohe Verfügbarkeit und skalierbare Leistung angewiesen ist. Wir haben zwei Anbieter von Managed-Hosting-Dienstleistungen zu ihren Erfahrungen und Empfehlungen beim ausgelagerten Betrieb von webbasierten Anwendungen befragt.
Für Kaspar Geiser, technischer Direktor beim Managed-Hosting-Anbieter Aspectra, unterscheidet sich der Umgang mit der herkömmlichen internen Informatik vom Handling bei Web-Applikationen: «Das unternehmenseigene IT-Personal ist meist auf Geschäftsanwendungen wie SAP oder Microsoft-Produkte fokussiert und kümmert sich tagsüber darum. Web-Anwendungen, die immer laufen müssen, stellen andere Anforderungen ans Know-how. Man kann ein Extranet oder den Online-Shop nicht einfach nach Büroschluss herunterfahren, um Wartungsarbeiten vorzunehmen. Im Internet gibt es keine Öffnungszeiten – es tut weh, wenn abends der Laden zu ist!»
Auch seien hohe Investitionen nötig, um geschäftskritische Web-Anwendungen rund um die Uhr zuverlässig zu betreiben und beispielsweise eine Datenbank im laufenden Betrieb zu sichern. Ein typisches «5x10-Unternehmen», so Geiser, zum Beispiel eine grössere Gärtnerei oder sogar eine Privatbank, könne eher nach Abschluss des Handels die Datenbank herunterfahren und ein Backup ziehen als eine «24x7-Firma», deren Geschäft stark von einem Online-Shop oder einem Portal für den Kundensupport abhänge. Er betont aber auch, nicht alle Betreiber einer Web-Anwendung seien wirklich auf 24x7-Stunden-Betrieb angewiesen.
Kaspar Geisers Empfehlung, sowohl an grössere Firmen als auch an KMU, die sich den Aufwand für hochverfügbare Web-Applikationen nicht leisten können oder wollen: «Portale und Web-Applikationen sollte man vor dem ERP oder einem Etikettendruckprogramm auslagern.»
Web-Applikationen – da gibt es doch Hunderte von Webhostern? Der naheliegende Gedanke, einfach einen der gängigen «9.90-Hoster» oder einen herkömmlichen Hosting-Provider mit «Business»-Paketangeboten zu bemühen, die ab einigen Dutzend Franken pro Monat zu haben sind, ist nach einhelliger Meinung der Managed-Hosting-Anbieter ein Irrweg. Rolf Meyer vom Internet-Consulter Novanet stellt fest: «B2B- und endkundenorientierte Web-Lösungen wie ein CRM-Portal sind meist businesskritische Anwendungen. Der Kunde hat das klare Bedürfnis nach einem sicheren 7x24-Stunden-Betrieb. Ein normaler Webhoster erfüllt diese Bedingung eindeutig nicht.» Die Dienstleistungen müssten durch strenge Service-Level-Agreements garantiert werden, und diese könne der Hoster nur mit zahlenmässig und punkto Know-how adäquatem Personal und ebensolcher Infrastruktur erfüllen.
Meyer nennt ein konkretes Beispiel: «Die Überbrückung von Stromausfällen ist immer häufiger ein Thema. Ein einfaches USV-System genügt für einen professionellen Hoster nicht, da die Überbrückung zeitlich beschränkt ist und von der Leistung her meist bloss ein sauberes Herunterfahren der Systeme ermöglicht. Auch die für den Computerbetrieb wichtige Raumklimatisierung kann nur mit betriebsbereiten Generatoren sichergestellt werden.» Meyer weist überdies darauf hin, dass immer öfter einzelne ISPs über längere Zeit nicht verfügbar sind. «Es ist entscheidend, dass der Hosting-Partner über mehrere parallele Zugänge ins Internet verfügt.» Als Beispiel nennt Meyer sein eigenes Unternehmen, das seinen Kunden die permanente Anbindung mit fünf parallelen Backbone-Providern sicherstellt.
Kaspar Geiser bringt ähnliche Vorbehalte vor: «Stellen Sie sich vor, Sie sind ein kleines Unternehmen mit einer Homepage und haben soeben ein geniales Produkt lanciert. Die «NZZ am Sonntag» bringt es gross heraus – und ausgerechnet an diesem Wochenende macht Ihr Hoster schlapp. Dann sind Sie weg vom Fenster, es wird kaum jemand am Montag nochmals prüfen, ob die Site jetzt läuft, und Sie können bei der Presse lange nachhaken, den Hinweis doch bitte nächsten Sonntag nochmals zu bringen...»
Technisch laufen selbst die «Business»-Angebote der gängigen Webhoster auf einer Shared-Hosting-Plattform, die viele Kunden gleichzeitig bedient. Für die Datenintegrität ist dies problematisch, und auch andere Faktoren sprechen dagegen, geschäftskritische Anwendungen damit zu betreiben. Geiser: «Man ist zum Beispiel abhängig vom Backup-Zyklus des Providers. Kurz – es gibt keine individuellen Verträge, keine SLA und keine Garantien.»
Eine geschäftskritische Web-Anwendung gehört also auf einen oder mehrere dedizierte Server. Diese Systeme müssen korrekt eingerichtet und kontinuierlich überwacht werden. «Ein einfacher Webserver mit ein paar Bildchen lässt sich problemlos überwachen. Wenn aber Applikationen mit Web Services oder Anbindungen an Drittsysteme laufen, genügt es nicht mehr, alle zwei Minuten festzustellen, ob der Webserver noch antwortet. Es muss zum Beispiel getestet werden, ob sich eine Kreditkartentransaktion von A bis Z durchziehen lässt und ob auch mehrere Schritte hintereinander einwandfrei ablaufen.»
Die Grundfragen beim Monitoring und Management klingen eigentlich einfach: Wie viele User sind gerade auf der Datenbank, wie startet und stoppt man die Anwendung, wie verläuft der Speicherbedarf und so weiter. Im Einzelfall sei dies aber nicht immer trivial, meint Kaspar Geiser. Neben einer Standard-Monitoring-Plattform für alle Kunden, die allgemeine Dienste wie die Anbindung an Pager- und SMS-Zentralen abdecken, setzt man bei Aspectra deshalb oft selbst entwickelte, individuell auf den Kunden zugeschnittene Scanner ein.
«Man braucht für das Managed Web Application Hosting eigentlich das Know-how eines Entwicklers.» Die Mitarbeiter müssten auch wissen, wie man reagieren muss, wenn ein Problem auftritt – «jemand, der nur das rote Knöpfchen drücken kann und über die Hintergründe nicht Bescheid weiss, bringt wenig.» Genau deshalb ist Geiser auch der Meinung, ein seriöser Hoster könne nicht gleichzeitig Shared Hosting für die Masse und individualisiertes Managed Application Hosting anbieten.
Dies sehen naturgemäss nicht alle Anbieter gleich. So offeriert Novanet im Gegensatz zu Aspectra auch herkömmliches Website-Hosting (ab monatlich 50 Franken) sowie dedizierte Server, die zumindest teilweise durch den Kunden selbst gepflegt werden (ab 290 Franken). «Für einen konkreten Preis bei individuellen Lösungen müssen die Kundenanforderungen bekannt sein.» Rolf Meyer stellt hier den Return on Investment in den Vordergrund: «In der Regel ist der ROI spätestens nach 18 Monaten erreicht, wir hatten aber auch schon Projekte, bei denen dies nach 6 Monaten der Fall war. Es stellt sich dabei immer wieder die Frage, wie der Kunde die wesentlich höhere Sicherheit und Verfügbarkeit finanziell bewertet.»
Aspectra bedient Kunden mit einem monatlichen Abrechnungsvolumen zwischen 1200 und 40’000 Franken. Kaspar Geiser: «Wir rechnen in Servern und nicht in einzelnen Applikationen. Eine einfache Anwendung besteht für uns aus mindestens zwei Servern; die typische Installation umfasst drei bis vier Server mit Gesamtkosten um die 4000 Franken pro Monat.» Neben der Anzahl Server spielen bei der Kostenberechnung auch die gewünschte Verfügbarkeit, meist 5x10 oder 7x24 Stunden, die vereinbarte Reaktionszeit im Problemfall, die Backup-Frequenz und allenfalls Zusatzdienste wie VPN-Verbindungen eine Rolle. Pro Server und Monat rechnet Geiser insgesamt mit einem Dienstleistungspreis zwischen 1000 und 2000 Franken.
«Managed Hosting» ist im übrigen nicht unbedingt identisch mit «Managed Application Hosting»: Recht viele Anbieter offerieren den überwachten Betrieb von Server-Hardware, Betriebssystem, Webserver und Datenbank. Das Management kompletter Web-Anwendungen über alle Schichten gibt es dagegen nur bei wenigen Spezialisten, die begrifflich eher der Outsourcing- als der Hosting-Szene zuzuordnen sind. Dort stellt sich das Problem, dass bekannte Anbieter wie Swisscom IT Services oder T-Systems sich eher auf grössere Unternehmen konzentrieren und KMU-orientierte IT-Outsourcer eher aufs Hosting von intern genutzten ERP-, Buchhaltungs- und Messagingsystemen als auf B2B- oder B2C-orientierte Web-Anwendungen spezialisieren. Interessenten sollten sich bei der Evaluation jedenfalls genau darüber klar werden, was ihr potentieller Partner eigentlich anbietet.
Einig sind sich Rolf Meyer und Kaspar Geiser in einem Punkt: Vertrauen ist gut, Kontrolle ist besser. Der Kunde sollte sich nicht auf die Prospekte und Websites der Anbieter verlassen, sondern selbst vor Ort prüfen, ob die Angaben auch wirklich stimmen: «Ich rate Interessenten immer: Lassen Sie sich das Data Center zeigen, nehmen Sie die Infrastruktur genau unter die Lupe! Öffnen Sie die Schränke und prüfen Sie nach, ob ein Kabelsalat vorliegt oder alle Kabel ordentlich auf beiden Seiten beschriftet sind – wie soll der Hoster sonst in vernünftiger Frist feststellen, was kaputt ist? Steht Ersatzhardware sichtbar bereit, oder gibt es bloss einen angeblichen Wartungsvertrag, von dem Sie nicht genau wissen, ob die Rechnung bezahlt wurde? Das sind einfache Fragen, die sich rasch abschätzen lassen.»
Wichtig sind je nach Anwendung auch Zertifikate: Für besonders vertrauliche Daten eignet sich sicherlich ein Data Center am besten, das von der Eidgenössischen Bankenkommission abgenommen wurde. Dies ist beispielsweise beim Rechenzentrum von Interxion in Glattbrugg der Fall, in dem sich viele Hosting-Anbieter eingemietet haben. Ein weiteres anerkanntes Gütesiegel ist das Suntone-Zertifikat von Sun, das die Einhaltung von Verfügbarkeits-, Sicherheits- und Performance-Standards bescheinigt. Das von der Simsa verliehene Gütesiegel «Swiss Quality Hosting» garantiert zwar gewisse Mindeststandards, ist jedoch eher auf konventionelles Webhosting gemünzt und gewährleistet allein nicht das Niveau, das für seriöses Managed Application Hosting Pflicht ist.
Massgeschneidertes Application Hosting verlangt überdies, dass nicht nur der Hoster und der Kunde, sondern auch der Entwickler der Lösung unter klaren Bedingungen beteiligt ist. Der Kunde sollte dabei klare Regeln vergeben – idealerweise arbeitet der Entwickler, egal ob es sich um interne Leute oder eine Web-Agentur handelt, nur auf dem Testsystem, und Eingriffe in die produktive Umgebung sind dem Hoster vorbehalten, der täglich mit vergleichbaren Problemstellungen konfrontiert ist.
Für Geiser ist der Einbezug des Softwarelieferanten essentiell: «Wir reden nie bloss mit dem Kunden, wenn eine Lösung eingeführt werden soll, sondern verlangen, dass der Entwickler oder Systemintegrator mit am Tisch sitzt. Oft stellen wir dabei gewissermassen naiv Fragen, die dem Kunden so nicht eingefallen wären und zur Optimierung der Lösung beitragen.»
Einige Schweizer Managed-Hoster