Cloud-Lösungen und Servicemodelle
In dieser Lerneinheit erkundest du die wichtigsten Cloud-Computing-Modelle wie IaaS, PaaS und SaaS sowie deren typische Einsatzszenarien in der Praxis. Du lernst die zentralen Merkmale und Unterschiede der verschiedenen Service-Modelle kennen und verstehst, welche Verantwortlichkeiten bei Cloud-Provider und Kunde liegen. Diese Grundlagen befähigen dich, fundierte Entscheidungen bei der Auswahl passender Cloud-Lösungen für konkrete Anforderungen zu treffen.
Einführung
Ein mittelständisches Unternehmen plant die Einführung einer neuen Softwarelösung. Soll es eigene Server kaufen, eine Entwicklungsplattform mieten oder fertige Software aus dem Browser nutzen?

Welche Cloud-Lösung passt zu welchen Anforderungen - und wer ist eigentlich wofür verantwortlich?
Diese Fragen begegnen dir im IT-Alltag ständig. Cloud Computing hat die Art, wie Unternehmen IT-Ressourcen nutzen, grundlegend verändert.
In dieser Lerneinheit lernst du die verschiedenen Cloud-Servicemodelle (IaaS, PaaS, SaaS, FaaS), die Deployment-Modelle nach NIST und das Shared Responsibility Model kennen.
Lernziele
Nach dieser Lerneinheit kannst du:
- die fünf wesentlichen Eigenschaften von Cloud Computing nach NIST benennen und erklären.
- die vier Deployment-Modelle (Public, Private, Hybrid, Community Cloud) unterscheiden und Einsatzszenarien zuordnen.
- die Servicemodelle IaaS, PaaS, SaaS und FaaS differenzieren und konkrete Beispiele nennen.
- das Shared Responsibility Model erklären und Verantwortlichkeiten je nach Servicemodell zuordnen.
Überleitung
Um Cloud-Lösungen bewerten zu können, schauen wir uns zunächst an, was Cloud Computing eigentlich bedeutet und welche Eigenschaften es nach dem NIST-Standard auszeichnen.
Danach lernst du die verschiedenen Service- und Deployment-Modelle sowie das Shared Responsibility Model kennen.
Was ist Cloud Computing?
Cloud Computing bezeichnet die Bereitstellung von IT-Ressourcen über das Internet. Statt eigene Server oder Rechenzentren zu betreiben, nutzen Unternehmen die Dienste von Cloud-Anbietern, die Rechenleistung, Speicherplatz und Anwendungen auf Abruf zur Verfügung stellen.
Die drei großen Hyperscaler - AWS (Amazon Web Services), Microsoft Azure und Google Cloud Platform (GCP) - dominieren den Markt und bieten jeweils hunderte verschiedener Dienste an.

Cloud Computing - IT-Ressourcen auf Abruf (Bildrechte: Ausbildung in der IT)
Die fünf NIST-Eigenschaften
Das NIST (National Institute of Standards and Technology) definiert in der Publikation SP 800-145 fünf wesentliche Eigenschaften von Cloud-Diensten:
-
On-Demand Self-Service: Ressourcen können selbstständig nach Bedarf gebucht und verwaltet werden - ohne menschliche Interaktion mit dem Anbieter.
-
Broad Network Access: Dienste sind über das Internet von verschiedenen Geräten aus zugänglich (Laptop, Smartphone, Tablet).
-
Resource Pooling: Ressourcen werden gebündelt und dynamisch mehreren Kunden zugewiesen (Multi-Tenancy).
NIST-Eigenschaften (Fortsetzung)
-
Rapid Elasticity: Schnelle und flexible Anpassung der genutzten Ressourcen an den aktuellen Bedarf - nach oben wie nach unten skalierbar.
-
Measured Service: Genaue Erfassung der Nutzung mit transparenter Abrechnung. Du zahlst nur für tatsächlich verbrauchte Ressourcen (Pay-as-you-go).
Diese Eigenschaften unterscheiden echtes Cloud Computing von klassischem Hosting oder Outsourcing. Ein Dienst, der nicht alle fünf Kriterien erfüllt, ist streng genommen keine Cloud-Lösung im NIST-Sinne.
Vorteile von Cloud Computing
Cloud Computing bietet gegenüber klassischer On-Premises-Infrastruktur mehrere Vorteile:
| Vorteil | Beschreibung |
|---|---|
| Kosteneinsparungen | Keine hohen Investitionen in eigene Hardware nötig |
| Flexibilität | Schnelle Anpassung an wechselnde Anforderungen |
| Skalierbarkeit | Einfache Erweiterung bei Wachstum |
| Aktualität | Immer Zugriff auf die neueste Software-Version |
| Ortsunabhängigkeit | Zugriff von überall mit Internetverbindung |
Besonders relevant ist die Verschiebung von CapEx zu OpEx: Statt hoher Anfangsinvestitionen (Capital Expenditure) fallen laufende Betriebskosten (Operational Expenditure) an.
Herausforderungen bei Cloud Computing
Neben den Vorteilen gibt es auch Herausforderungen, die du bei der Planung berücksichtigen musst:
| Herausforderung | Beschreibung |
|---|---|
| Datenschutz | Sensible Daten müssen DSGVO-konform gespeichert werden |
| Vendor Lock-in | Abhängigkeit vom Cloud-Anbieter durch proprietäre Dienste |
| Internetabhängigkeit | Ohne stabile Verbindung kein Zugriff |
| Komplexität | Management verschiedener Cloud-Dienste kann anspruchsvoll sein |
| Compliance | Einhaltung gesetzlicher Vorgaben (z.B. Datenstandort) |
Eine sorgfältige Abwägung dieser Aspekte ist entscheidend für die richtige Cloud-Strategie.
Die vier Deployment-Modelle
Das NIST definiert vier Deployment-Modelle (Bereitstellungsmodelle) für Cloud Computing:
1. Public Cloud
- Öffentlich zugängliche Cloud-Dienste
- Von externen Anbietern betrieben (AWS, Azure, GCP)
- Ressourcen werden geteilt und dynamisch zugewiesen
- Ideal für Start-ups und Unternehmen mit schwankendem Bedarf

Unterschied zwischen Private und Public Cloud (Bildrechte: Ausbildung in der IT)
Private und Hybrid Cloud
2. Private Cloud
- Exklusive Nutzung durch eine einzelne Organisation
- Kann im eigenen Rechenzentrum oder bei einem Drittanbieter gehostet werden
- Volle Kontrolle über Ressourcen und Sicherheit
- Geeignet für Unternehmen mit hohen Compliance-Anforderungen
3. Hybrid Cloud
- Kombination aus mindestens einer Private und einer Public Cloud
- Ermöglicht flexible Workload-Verschiebung zwischen den Umgebungen
- Optimale Balance zwischen Sicherheit und Skalierbarkeit
- Ideal für Unternehmen mit gemischten Anforderungen
Community Cloud und Multi-Cloud
4. Community Cloud
- Gemeinsam genutzte Infrastruktur für Organisationen mit ähnlichen Anforderungen
- Typische Beispiele: Healthcare-Branche, Behörden, Finanzsektor
- Teilt Kosten und Compliance-Aufwand zwischen den Teilnehmern
- Bietet mehr Kontrolle als Public Cloud bei niedrigeren Kosten als Private Cloud
Multi-Cloud (kein offizielles NIST-Modell, aber praxisrelevant): Über 90% der Unternehmen nutzen mehrere Cloud-Anbieter parallel. Dies reduziert die Abhängigkeit von einem einzelnen Anbieter (Vendor Lock-in) und ermöglicht die Nutzung der besten Dienste jedes Anbieters.
Die Cloud-Servicemodelle im Überblick
Cloud-Dienste werden in verschiedene Servicemodelle unterteilt, die sich im Grad der Abstraktion und der Verantwortungsverteilung unterscheiden. Die drei klassischen Modelle nach NIST sind:
- Infrastructure as a Service (IaaS): Du mietest Infrastruktur
- Platform as a Service (PaaS): Du mietest eine Entwicklungsplattform
- Software as a Service (SaaS): Du nutzt fertige Anwendungen
Zusätzlich hat sich Function as a Service (FaaS) als viertes Modell etabliert. Je höher das Abstraktionslevel, desto weniger musst du selbst verwalten - aber desto weniger Kontrolle hast du auch.
Infrastructure as a Service (IaaS)
IaaS bietet die grundlegenden IT-Bausteine: virtuelle Maschinen, Speicher, Netzwerke und Firewalls. Du mietest Hardware-Ressourcen und verwaltest alles darüber selbst.
| Aspekt | Beschreibung |
|---|---|
| Was du bekommst | Virtuelle Maschinen, Storage, Netzwerk |
| Was du verwaltest | Betriebssystem, Middleware, Anwendungen |
| Für wen geeignet | Teams mit Infrastruktur-Know-how |
Konkrete Beispiele:
- AWS EC2 (Elastic Compute Cloud)
- Azure Virtual Machines
- Google Compute Engine
Platform as a Service (PaaS)
PaaS bietet komplette Entwicklungsumgebungen in der Cloud. Du konzentrierst dich auf deinen Code, die Infrastruktur wird vom Anbieter verwaltet.
| Aspekt | Beschreibung |
|---|---|
| Was du bekommst | Runtime, Datenbanken, Entwicklungstools |
| Was du verwaltest | Anwendungen und Daten |
| Für wen geeignet | Entwicklerteams, die schnell deployen wollen |
Konkrete Beispiele:
- Heroku (bekannt für einfaches Deployment)
- Google App Engine
- Azure App Service
- AWS Elastic Beanstalk
Software as a Service (SaaS)
SaaS liefert fertige Anwendungen, die du direkt über den Browser nutzt. Keine Installation, keine Wartung - nur anmelden und loslegen.
| Aspekt | Beschreibung |
|---|---|
| Was du bekommst | Fertige Anwendung, komplett gewartet |
| Was du verwaltest | Nur deine Daten und Benutzereinstellungen |
| Für wen geeignet | Endanwender ohne technischen Hintergrund |
Konkrete Beispiele:
- Microsoft 365 (Word, Excel, Teams)
- Salesforce (CRM)
- Dropbox, Google Workspace
- Slack, Zoom
Function as a Service (FaaS) - Serverless
FaaS (auch Serverless Computing genannt) geht noch einen Schritt weiter: Du schreibst nur einzelne Funktionen, die bei bestimmten Events ausgeführt werden. Die Infrastruktur skaliert automatisch.
| Aspekt | Beschreibung |
|---|---|
| Was du bekommst | Event-gesteuerte Funktionsausführung |
| Was du verwaltest | Nur deinen Funktionscode |
| Für wen geeignet | Event-basierte Anwendungen, Microservices |
Konkrete Beispiele:
- AWS Lambda
- Azure Functions
- Google Cloud Functions
Bei FaaS zahlst du nur für die tatsächliche Ausführungszeit deiner Funktionen (oft in Millisekunden abgerechnet).
Das Shared Responsibility Model
Das Shared Responsibility Model definiert, wer für welche Sicherheitsaspekte verantwortlich ist: der Cloud-Anbieter oder du als Kunde. Die Aufteilung variiert je nach Servicemodell:

| Bereich | IaaS | PaaS | SaaS |
|---|---|---|---|
| Daten | Kunde | Kunde | Kunde |
| Anwendungen | Kunde | Kunde | Anbieter |
| Runtime/Middleware | Kunde | Anbieter | Anbieter |
| Betriebssystem | Kunde | Anbieter | Anbieter |
| Virtualisierung | Anbieter | Anbieter | Anbieter |
| Hardware/Netzwerk | Anbieter | Anbieter | Anbieter |
Die Faustregel: Der Anbieter sichert die “Security of the Cloud” (Infrastruktur), du bist verantwortlich für “Security in the Cloud” (deine Daten und Konfigurationen).
Shared Responsibility in der Praxis
Was bedeutet das konkret für dich?
Bei IaaS (z.B. AWS EC2):
- Du installierst und patchst das Betriebssystem
- Du konfigurierst Firewalls und Zugriffsrechte
- Du bist für Backups deiner Daten verantwortlich
Bei PaaS (z.B. Heroku):
- Der Anbieter patcht das Betriebssystem
- Du sicherst deine Anwendung und Daten ab
- Du konfigurierst Zugriffsrechte für deine App
Bei SaaS (z.B. Microsoft 365):
- Der Anbieter kümmert sich um fast alles
- Du verwaltest Benutzerkonten und Zugriffsrechte
- Du bist für die Sicherheit deiner Daten verantwortlich
Sicherheit in der Cloud
Unabhängig vom Servicemodell sind bestimmte Sicherheitsaspekte immer relevant:
- Datenverschlüsselung: Bei Übertragung (in transit) und Speicherung (at rest)
- Zugriffsmanagement: Wer darf was? (Identity and Access Management)
- Compliance: Einhaltung von DSGVO, Branchenstandards etc.
- Datenstandort: Wo werden deine Daten physisch gespeichert?
- Backup und Disaster Recovery: Regelmäßige Sicherungen und Wiederherstellungspläne
- Monitoring: Überwachung auf verdächtige Aktivitäten
Die richtige Implementierung von Cloud-Lösungen kann Unternehmen signifikante Vorteile in Bezug auf Flexibilität, Skalierbarkeit und Innovationsfähigkeit bieten.
Zusammenfassung und Ausblick
Zusammenfassung
Cloud Computing bezeichnet die Bereitstellung von IT-Ressourcen über das Internet und wird durch fünf wesentliche Eigenschaften nach NIST definiert: On-Demand Self-Service, Broad Network Access, Resource Pooling, Rapid Elasticity und Measured Service.

Für die Bereitstellung gibt es vier Deployment-Modelle: Die Public Cloud bietet öffentlich zugängliche, geteilte Ressourcen. Die Private Cloud ermöglicht exklusive Nutzung mit voller Kontrolle. Die Hybrid Cloud kombiniert beide Ansätze für maximale Flexibilität. Die oft übersehene Community Cloud teilt Infrastruktur zwischen Organisationen mit ähnlichen Anforderungen (z.B. im Healthcare- oder Behördenumfeld).
Die Servicemodelle unterscheiden sich im Abstraktionsgrad: Bei IaaS (z.B. AWS EC2, Azure VMs) mietest du Infrastruktur und verwaltest alles ab dem Betriebssystem selbst. PaaS (z.B. Heroku, Azure App Service) bietet Entwicklungsplattformen, bei denen du dich auf deinen Code konzentrierst. SaaS (z.B. Microsoft 365, Salesforce) liefert fertige Anwendungen zur direkten Nutzung. FaaS (z.B. AWS Lambda) ermöglicht serverlose Funktionsausführung mit automatischer Skalierung.
Das Shared Responsibility Model ist zentral für Cloud-Sicherheit: Der Anbieter sichert die Infrastruktur (“Security of the Cloud”), während du für deine Daten und Konfigurationen verantwortlich bist (“Security in the Cloud”). Je höher das Abstraktionslevel, desto mehr übernimmt der Anbieter - bei SaaS verwaltest du primär Zugriffsrechte und Daten, bei IaaS auch Betriebssystem und Middleware.
Ausblick
In der nächsten Lerneinheit Ganzheitliche Beurteilung von IT-Systemen lernst du, wie du IT-Systeme - inklusive Cloud-Lösungen - ganzheitlich beurteilst und die richtige Lösung für konkrete Anforderungen auswählst.