Cloud-Einführung: Ein praktischer Leitfaden für IT-Teams und MSPs

Die Einführung der Cloud ist keine einmalige Entscheidung. Es handelt sich vielmehr um eine Reihe von Entscheidungen, die über Monate oder Jahre hinweg getroffen werden und von denen jede einzelne Auswirkungen auf die Architektur, die Sicherheit, die Kosten und die Verwaltungsanforderungen der daraus resultierenden Umgebung hat. Unternehmen, die die Cloud-Einführung erfolgreich bewältigen, sind sich dessen bewusst. Diejenigen, die damit zu kämpfen haben, neigen dazu, sie eher als Migrationsprojekt mit einem festen Fertigstellungstermin zu betrachten als als einen fortlaufenden operativen Wandel.

Laut dem „Kaseya State of the MSP Report 2026“ sind Cloud- und Hosting-Dienste die drittgrößte Einnahmequelle für MSPs. Dies ist darauf zurückzuführen, dass Kunden zunehmend auf die Cloud umsteigen und dabei IT-Fachwissen benötigen, um dies sicher und kosteneffizient zu bewerkstelligen. Dieser Leitfaden behandelt, wie die Einführung der Cloud so geplant und umgesetzt werden kann, dass die erwarteten Vorteile erzielt werden, ohne dass unerwartete operative Belastungen entstehen. Die Plattform von Kaseya unterstützt MSPs bei der Verwaltung von Hybrid- und Cloud-Umgebungen in mehr als 170 Ländern und verschafft uns so einen genauen Einblick, wo Einführungspläne erfolgreich sind und wo sie scheitern.

Warum Pläne zur Cloud-Einführung scheitern

Der häufigste Grund dafür, dass Cloud-Einführungen hinter den Erwartungen zurückbleiben, ist, dass die technologische Migration als das gesamte Projekt betrachtet wird. Betriebliche Aspekte wie Sicherheit, Datensicherung, Kostenkontrolle und Überwachung werden auf „nach dem Umzug“ verschoben.

Das Betriebsmodell einer Cloud-Umgebung unterscheidet sich grundlegend von dem einer lokalen Umgebung. Die Sicherheitsverantwortlichkeiten verlagern sich: Das Modell der geteilten Verantwortung in der Cloud verteilt diese zwischen Anbieter und Kunde. Die Anforderungen an die Datensicherung ändern sich: Die standardmäßige Datenaufbewahrung der Cloud-Anbieter entspricht nicht der eines verwalteten Backup-Systems. Das Kostenmanagement wird zu einer kontinuierlichen betrieblichen Aufgabe, da die Abrechnung in der Cloud dynamisch ist und eine fortlaufende Steuerung erfordert.

Werden diese Probleme als nachträgliche Schwierigkeiten behandelt, führt dies zu Migrationen, die zwar technisch erfolgreich sind, aber im operativen Betrieb einen Rückschritt bedeuten. Ein MSP, der die Fachanwendung eines Kunden auf Azure migriert, nur um drei Monate später festzustellen, dass niemand ein Backup konfiguriert hat und ein Ransomware-Vorfall die VM-Snapshots gelöscht hat, hat die Migration als Fehlschlag zu verzeichnen – ganz gleich, wie reibungslos die Umstellung verlief.

MSPs, die parallel zur Migration das Betriebsmodell aufbauen und dabei Überwachungs-, Sicherheits- und Backup-Lösungen für Cloud-Workloads einrichten, sorgen für eine Cloud-Einführung, die die erwarteten Ergebnisse erzielt.

Das Rahmenwerk für die Cloud-Einführung

Ein strukturierter Ansatz bei der Cloud-Einführung verringert das Risiko von „Operational Debt“. Die folgenden sechs Phasen spiegeln den Ansatz wider, den gut geführte MSPs bei der Begleitung von Cloud-Umstellungen für KMU- und mittelständische Kunden verfolgen.

Erfassung und Bewertung. Erfassen Sie die aktuelle Umgebung: Anwendungen, Abhängigkeiten, Datenmengen, Compliance-Anforderungen. Ermitteln Sie, was in die Cloud verlagert werden kann, was nicht (gesetzliche Auflagen, Anforderungen an die Latenz, spezielle Hardware) und was besser stillgelegt als migriert werden sollte. Tools wie die Netzwerkbewertung RapidFire Toolshelfen MSPs dabei, dieses Inventar systematisch zu erstellen, anstatt sich auf vom Kunden bereitgestellte Bestandslisten zu verlassen, die fast immer unvollständig sind.

Migrationsplanung. Ordnen Sie die Migrationen nach Risiko und Abhängigkeiten. Beginnen Sie mit nicht geschäftskritischen Workloads, darunter Dateifreigaben, Testumgebungen und sekundäre Anwendungen, bevor Sie geschäftskritische Systeme migrieren. Die Erfahrungen aus frühen Migrationen tragen dazu bei, spätere, komplexere Migrationen reibungsloser durchzuführen.

Entwurf der Sicherheitsarchitektur. Bevor Workloads migriert werden, sollten Sie die Sicherheitsarchitektur für die Cloud-Umgebung entwerfen: Identitäts- und Zugriffsmanagement, Netzwerksegmentierung, Protokollierung und Überwachung sowie die Integration mit bestehenden Sicherheitstools. Dazu gehört auch die Festlegung, welche Sicherheitsmaßnahmen in den Verantwortungsbereich des Cloud-Anbieters fallen und welche in Ihren. Kaseya SIEM erfasst Telemetriedaten von den wichtigsten Cloud-Plattformen sowie Endpunkt-, Netzwerk- und E-Mail-Daten und bietet so vom ersten Tag an einheitliche Sicherheitstransparenz über hybride Umgebungen hinweg. Eine Sicherheitsplanung, die erst nach der Migration erfolgt, ist fast immer reaktiv und fast immer unvollständig.

Entwurf der Backup-Architektur. Cloud-native Backups (Azure Backup, AWS Backup) bieten zwar einen gewissen Schutz, verfügen jedoch in der Regel nicht über den unabhängigen Speicher und die anbieterübergreifende Ausfallsicherheit, die ein umfassendes Backup-Programm erfordert. Datto Endpoint Backup Disaster Recovery bietet verwaltete Backups für lokale, SaaS-, Endpunkt- und Cloud-Workloads sowie unabhängigen, unveränderlichen Speicher in der Datto Cloud, der außerhalb des Ökosystems des Anbieters liegt. Richten Sie das Backup vor der Migration von Produktionsdaten ein, nicht danach.

Durchführung der Migration. Sobald das Betriebsmodell eingerichtet ist, wird die Migration fortgesetzt. Testen Sie die Wiederherstellung aus dem Cloud-Backup, bevor Sie die Produktionsdaten migrieren. Stellen Sie sicher, dass die Sicherheitsüberwachung funktioniert. Führen Sie parallele Vorgänge durch und halten Sie die lokalen Systeme verfügbar, bis sich der Cloud-Betrieb als stabil erwiesen hat.

Optimierung. Nach der Migration sollten Sie sich auf die Kostenoptimierung (Anpassung der Kapazitäten, reservierte Kapazitäten, Beseitigung ungenutzter Ressourcen), die Leistungsoptimierung und die Erweiterung des Betriebsmodells im Zuge der Weiterentwicklung der Umgebung konzentrieren.

Die Wahl des Cloud-Modells: Public, Private, Hybrid

Die Public Cloud (AWS, Azure, Google Cloud) bietet eine bedarfsorientierte Infrastruktur ohne Investitionskosten, weltweite Verfügbarkeit und schnelle Skalierbarkeit. Die Nachteile: Ohne angemessene Steuerung können die Kosten unvorhersehbar sein, die Datenhoheit kann in regulierten Branchen ein Problem darstellen, und die Latenz bei lokalen Anwendungen, die auf Cloud-Ressourcen zugreifen, kann die Leistung beeinträchtigen.

Eine Private Cloud bietet eine cloudähnliche Bereitstellung innerhalb einer dedizierten Umgebung, sei es auf lokaler Hardware oder einer dedizierten Colocation-Infrastruktur. Die Investitionskosten sind höher, dafür hat man jedoch die volle Kontrolle über den Speicherort der Daten und die Infrastruktur. Geeignet für Unternehmen mit strengen Anforderungen an die Datenhoheit oder speziellen Leistungsanforderungen.

Die Hybrid-Cloud ist der gängigste Ansatz für kleine und mittlere Unternehmen. Sie kombiniert eine lokale Infrastruktur für bestimmte Workloads mit der Public Cloud für andere. Ein Identitätsmanagement, das beide Umgebungen abdeckt, eine einheitliche Überwachung sowie eine Backup-Strategie, die alle Umgebungen umfasst, sind die betrieblichen Anforderungen, die eine Hybrid-Cloud mit sich bringt. Unternehmen, die sich für die Hybrid-Cloud entscheiden, weil sie sicherer erscheint, unterschätzen oft die damit verbundene Komplexität der Verwaltung, wenn das Betriebsmodell nicht entsprechend ausgelegt ist.

Für die meisten KMU-Kunden, die heute von MSPs betreut werden, ist die Hybrid-Cloud eher eine faktische Gegebenheit als eine bewusste Entscheidung: Microsoft 365 läuft bereits in der Cloud, die Fachanwendungen befinden sich nach wie vor vor Ort, und es stellt sich die Frage, wie beides aus einem einheitlichen Betriebsmodell heraus kohärent verwaltet werden kann.

Sicherheitsaspekte vom ersten Tag an

Das Modell der geteilten Verantwortung in der Cloud ist das wichtigste Konzept, das MSPs bei der Planung der Cloud-Einführung klar kommunizieren müssen. Cloud-Anbieter sind für die Sicherheit der physischen Infrastruktur, des Hypervisors und der Netzwerkstruktur verantwortlich. Kunden und ihre MSPs sind für alles verantwortlich, was innerhalb der Cloud-Umgebung bereitgestellt wird: Betriebssysteme, Anwendungen, Daten, Identitätsmanagement und Netzwerksteuerungen.

Das bedeutet, dass der Sicherheitsaufwand durch die Einführung der Cloud nicht abnimmt. Er verändert lediglich seinen Charakter. Identitätsmanagement und IAM-Konfiguration gewinnen zunehmend an Bedeutung. Protokollierung und Prüfpfade erfordern eine explizite Konfiguration (CloudTrail bei AWS, Azure Monitor bei Azure) und sind nicht wie bei einer lokalen Infrastruktur bereits integriert. Die Netzwerksegmentierung muss gezielt konzipiert werden und kann nicht einfach aus der physischen Netzwerktopologie übernommen werden.

Drei Sicherheitsmaßnahmen, die MSPs als unverzichtbare Mindeststandards für jede Cloud-Umgebung betrachten sollten:

• Mehrstufige Authentifizierung für alle Konten mit erhöhten Rechten. Die Identität bildet in Cloud-Umgebungen die Sicherheitsgrenze. Die MFA für Administratorkonten ist nicht optional.
• Die Protokollierung ist aktiviert und die Protokolle werden an einen sinnvollen Ort weitergeleitet. Eine Cloud-Umgebung ohne Prüfpfad ist eine Sackgasse für die Untersuchung. Konfigurieren Sie die Protokollierung, bevor die erste Arbeitslast in Betrieb genommen wird.
• Zugriff nach dem Prinzip der geringsten Berechtigungen von Anfang an. IAM-Rollen mit übermäßigen Berechtigungen sind der häufigste Sicherheitsbefund bei der Überprüfung von Cloud-Umgebungen. Es ist wesentlich einfacher, das Prinzip der geringsten Berechtigungen von Anfang an anzuwenden, als es nach zwölf Monaten der Konfigurationsabweichung nachträglich zu korrigieren.

Kaseya 365 bietet die Funktionen für Identitätsmanagement und die Durchsetzung der Multi-Faktor-Authentifizierung (MFA), die Cloud-Umgebungen für Microsoft 365 und verbundene Anwendungen benötigen.

Sicherung und Wiederherstellung in der Cloud

Cloud-native Backup-Lösungen schützen vor versehentlichem Löschen und bestimmten Ausfallszenarien, weisen jedoch gewisse Einschränkungen auf. Sie sind an das Ökosystem des Anbieters gebunden, was bedeutet, dass ein Vorfall beim Anbieter oder eine Kompromittierung des Kontos sowohl die Primärdaten als auch das Backup betrifft. Sie bieten keine Anbieterunabhängigkeit. Möglicherweise erfüllen sie nicht die Unabhängigkeitsanforderungen von Cyberversicherungen, die unveränderliche Backup-Kopien an einem externen Standort vorschreiben.

Datto Endpoint Backup Disaster Recovery bietet verwaltete Backups für lokale Server, SaaS-Anwendungen, Endgeräte und Azure-Workloads sowie unabhängigen, unveränderlichen Speicher in der Datto Cloud. Datto Backup for Microsoft Azure unterstützt Backup for Microsoft Azure neben Azure-VMs auch Azure Files, mit stündlicher Replikation in die Datto Cloud und einer Pauschalpreisgestaltung, die die Kostenunvorhersehbarkeit der nativen Azure-Backup-Ausgangs- und Speichergebühren beseitigt.

Unabhängig davon, welche Backup-Lösung zum Einsatz kommt, gelten zwei Grundsätze:

Unabhängiger Speicher. Backups, die im selben Cloud-Konto wie die Primärdaten gespeichert sind, sind denselben Bedrohungen ausgesetzt. Bei einer Kompromittierung des Kontos, durch die Produktions-VMs gelöscht werden, gehen auch die Backups desselben Kontos verloren. Ein unabhängiger, unveränderlicher Speicher ist die Mindestvoraussetzung für eine sichere Backup-Architektur.

Geprüfte Wiederherstellung. Eine nicht geprüfte Sicherung ist keine Sicherung. Die automatisierte Screenshot-Überprüfung von Datto bietet eine Überprüfungsgenauigkeit von über 99 %, doch MSPs sollten darüber hinaus regelmäßig die vollständigen Wiederherstellungsverfahren für die kritischen Workloads jedes Kunden validieren und die Ergebnisse dokumentieren.

Verwaltung der bestehenden Cloud-Umgebung

Die Umstellung auf die Cloud ist kein Projekt mit einem festen Endtermin. Es handelt sich um einen Übergang zu einem fortlaufenden Betriebsmodell, das andere Verwaltungsmethoden erfordert als die lokale IT.

Kostenmanagement. Die Abrechnung von Cloud-Diensten erfordert eine kontinuierliche Überwachung. Ungenutzte Ressourcen, überdimensionierte Instanzen und ungenutzter Speicher verursachen Kosten, die in lokalen Umgebungen nicht anfallen. Monatliche Kostenüberprüfungen im Vergleich zum Budget, Budgetwarnungen und regelmäßige Überprüfungen der Ressourcenoptimierung sind die betrieblichen Maßnahmen, die dafür sorgen, dass die Cloud-Kosten im Einklang mit dem Cloud-Nutzen stehen. MSPs, die Kostenmanagement in ihren managed services integrieren, anstatt es als optionales Zusatzangebot zu behandeln, schützen sowohl das Budget des Kunden als auch ihre eigene Marge.

Identitätsmanagement. In Cloud-Umgebungen bildet die Identität die Sicherheitsgrenze. Eine solide IAM-Konfiguration, das Prinzip der geringsten Berechtigungen, MFA für alle privilegierten Konten sowie regelmäßige Zugriffsprüfungen bilden das Sicherheitsfundament, auf dem alle weiteren Cloud-Sicherheitsmaßnahmen aufbauen. Kaseya 365 bietet die Funktionen für Identitätsmanagement und die Durchsetzung von MFA, die hybride Cloud-Umgebungen erfordern.

Kontinuierliche Überwachung. Cloud-Umgebungen verändern sich schneller als lokale Umgebungen: Ressourcen werden erstellt und wieder gelöscht, Konfigurationen ändern sich, neue Dienste werden eingeführt. Die kontinuierliche Überwachung durch Kaseya 365 Kaseya Intelligence einen aktuellen Überblick über den Betriebsstatus und deckt Konfigurationsabweichungen auf, bevor sie zu einem Sicherheits- oder Verfügbarkeitsvorfall führen. Kaseya SIEM bietet die Log-Aggregations- und Alarmierungsschicht für MSPs, die eine einheitliche Übersicht über Cloud-, Endpunkt- und Netzwerktelemetrie in den Umgebungen ihrer Kunden benötigen.

Entdecken Sie die Funktionen von Kaseya für das Cloud- und Endpunktmanagement