M 2.540 Sorgfältige Auswahl eines Cloud-Diensteanbieters

Verantwortlich für Initiierung: Behörden-/Unternehmensleitung, IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Behörden-/Unternehmensleitung, IT-Sicherheitsbeauftragter, Leiter IT

Nach Abschluss der Planungs- und Konzeptionsphase ist durch die Institution ein geeigneter Dienstleister für die Erbringung des definierten Cloud Services auszuwählen.

Die Voraussetzung für die sorgfältige Auswahl eines geeigneten Cloud-Diensteanbieters bildet die Erstellung eines möglichst detaillierten Anforderungsprofils. Neben der Definition des einzusetzenden Cloud Services finden sich in Maßnahme M 2.536 Service-Definition für Cloud-Dienste durch den Anwender weitere Aspekte, die für das Anforderungsprofil für den Cloud-Diensteanbieter relevant sind. Weitere Sicherheitsanforderungen sind aus den Maßnahmen M 2.535 Erstellung einer Sicherheitsrichtlinie für die Cloud-Nutzung und M 2.539 Erstellung eines Sicherheitskonzeptes für die Cloud-Nutzung einzubeziehen. Daneben sollte eine Anforderungsanalyse durchgeführt werden, die den dokumentierten Vorgaben eine Gewichtung beziehungsweise Bewertung zuordnet.

Aus der Gesamtheit der ermittelten Anforderungen ist ein Leistungskatalog beziehungsweise Lastenheft zu generieren. Auf dieser Basis kann die Institution individuelle Angebote einholen beziehungsweise verfügbare (Standard-) Angebote der Cloud-Diensteanbieter vergleichen.

Beschaffung und Auswertung weitergehender Informationen

Neben den oben aufgeführten Anforderungen sind bei der Auswahl eines geeigneten Cloud-Diensteanbieters weitere Aspekte zu betrachten. Als Bewertungsmethode hat sich in der Praxis die Verwendung einer Punkte-Matrix (zum Beispiel Balanced Scorecard) bewährt.

Nachfolgend beschriebene Aspekte sollten für die Auswahl eines geeigneten Cloud-Diensteanbieters herangezogen werden.

Durchführung einer Kosten-Nutzen-Analyse

Die vorliegenden konkreten Angebote einiger Cloud-Diensteanbieter ermöglichen in der Folge die Durchführung einer Kosten-Nutzen-Analyse, die für jeden definierten Cloud Service durchzuführen ist. Der Fokus sollte dabei auf der Ermittlung der realistischen Kosten liegen. In der Praxis ist zu beobachten, dass im Verlauf der Service-Definition die gestellten Anforderungen an den zu nutzenden Cloud-Dienst, beispielsweise in Form konkreter SLAs, stetig wachsen. Häufig wird dabei jedoch der Einfluss solcher Leistungsmerkmale auf die Kosten eines Services unterschätzt oder gänzlich aus den Augen verloren.

Die Kosten-Nutzen-Analyse liefert einer Institution in diesem Fall Aufschlüsse über ein sinnvolles Verhältnis zwischen dem potenziellen Mehrwert konkreter Anforderungsanpassungen und den sich daraus ergebenden Kosten. Weist die Kosten-Nutzen-Betrachtung des definierten Cloud Services höhere Kosten als Nutzen auf, sollte in der Folge die Service-Definition überdacht und gegebenenfalls angepasst oder auf die Nutzung des Cloud Services verzichtet werden.

Bei der Betrachtung der Kosten ist zwischen Investitionskosten (Capex - capital expenditure) und Kosten für den operativen Geschäftsbetrieb (Opex - operational expenditure) zu unterscheiden. Bei der Nutzung von Cloud Services entstehen zunächst zusätzliche Kosten, da ein Umstieg auf die Cloud nicht sofort vorhandene Services und die dafür benötigte Infrastruktur ablöst. So übernehmen beispielsweise die Mitarbeiter einer Institution neue Aufgaben, für die sie zusätzlich geschult werden müssen, auch sind weitere organisatorische Anpassungen innerhalb der nutzenden Institution notwendig. Diese Kosten müssen ebenso in die Analyse des Kosten-Nutzen-Verhältnisses einbezogen werden, wie die in der Regel verbrauchsorientierten Nutzungskosten für die Inanspruchnahme eines Cloud-Dienstes.

Auf diesem Weg soll sichergestellt werden, dass die potenzielle Ersparnis durch die Einführung von Cloud Services realistisch betrachtet wird. In der Praxis hat sich gezeigt, dass sich der tatsächliche Vorteil bei der Cloud-Nutzung häufig aus Einsparungen durch frei werdende Rechenzentrumsfläche ergibt.

Mögliche Fallstricke bei der Auswahl eines Cloud-Diensteanbieters

In der Praxis zeigt sich oft, dass Anwender zwar über ein grundsätzliches Verständnis von Maßnahmen zur geeigneten Auswahl eines Cloud-Diensteanbieters verfügen, sie aber dennoch an häufig wiederkehrenden Fallstricken scheitern. Auf die nachfolgend beschriebenen Aspekte sollte daher, in Abhängigkeit von den Anforderungen der Institution, ein besonderes Augenmerk gelegt werden. Die Ausführungen sind dabei als unterstützende Hinweise für den Anwender zu sehen, eine vollständige Umsetzung wird nicht als notwendig erachtet.

Prüfung der vertraglichen Grundlagen

Die Nutzungsbedingungen, Geschäftsbedingungen oder sonstige vertragliche Grundlagen des Cloud-Diensteanbieters, die bereits vor dem eigentlichen Vertragsabschluss zur Einsicht vorliegen, sollten umfassend geprüft werden. Häufig verbergen sich hier hinter unverständlichen, unübersichtlichen, auffallend umfangreichen oder intransparenten Unterlagen nachteilige Regelungen für den Anwender.

Service-Beschreibungen

Die verfügbaren Service-Beschreibungen des Cloud-Diensteanbieters sollten sorgfältig geprüft und hinterfragt werden. Es ist zu klären, wie die darin enthaltenden Angaben zu verstehen sind. Bei Unklarheiten oder Unsicherheiten sollte der entsprechende Cloud-Diensteanbieter direkt kontaktiert werden. Häufig ist in der Praxis zu beobachten, dass insbesondere im Zusammenhang mit Cloud Services Leistungen durch den Anwender als inklusiver Bestandteil der Service-Beschreibung vorausgesetzt werden, die in dieser Form vom Cloud-Diensteanbieter nicht oder lediglich als kostenpflichtige Zusatzleistung erbracht werden.

Beispiel:

Erwartete und tatsächliche Leistungserbringung

Ein Cloud-Diensteanbieter muss aus Gewinnerzielungsabsicht heraus seine Services möglichst kostengünstig erbringen, was unter Umständen den Erwartungen des Auftraggebers (hohe Dienstleistungsqualität, Flexibilität, Kundenfreundlichkeit, Sicherheitsniveau etc.) widerspricht.

Insbesondere bei Cloud-Nutzung ist in der Praxis jedoch häufig zu beobachten, dass IT-Verantwortliche die Werbeaussagen des Dienstleisters in der Erwartung der Senkung von IT-Kosten nicht hinterfragen. Missverständnisse hinsichtlich erwarteter und tatsächlich erbrachter Leistungen, die häufig nur mit zusätzlichen Kosten zu beheben sind, stellen sich daher oft erst im laufenden Betrieb heraus.

Aus diesem Grund sollten die Verantwortlichen innerhalb einer Institution bereits vorab eine Vergleichsrechnung durchführen, die Aufschluss darüber gibt, zu welchen Kosten ein Dienstleister die vereinbarte Leistung erbringen muss, damit sowohl Auftraggeber als auch Auftragnehmer von einem Vertragsverhältnis profitieren. Das Ergebnis der Berechnung zeigt unter Umständen, dass eine seriöse Leistungserbringung zu den angebotenen günstigen Konditionen nicht als realistisch angesehen werden kann.

Standardisierte SLA-Beschreibungen

Standardisierte SLA-Beschreibungen des Cloud-Diensteanbieters, die nicht individuell vereinbart werden, sollten bereits im Rahmen der Auswahl eines Cloud-Diensteanbieters sorgfältig hinsichtlich ihres Inhaltes und ihrer Aussagekraft untersucht werden. Häufig sind in der Praxis unklare Beschreibungen innerhalb von SLAs vorzufinden. Dies kann im laufenden Betrieb zu Unstimmigkeiten und Störungen führen. Sofern keine SLA-Beschreibungen vorliegen, sollten Institutionen die verfügbaren AGBs auf ähnliche Weise prüfen und ggf. mit konkreten Fragen an den Cloud-Diensteanbieter herantreten.

Beispiel:

Außendarstellung zur Leistungsfähigkeit des Cloud-Diensteanbieters

Die Außendarstellung zur Leistungsfähigkeit eines Cloud-Diensteanbieters ist kritisch zu betrachten und im Zweifelsfall durch individuelle Kontrollen zu überprüfen. Cloud-Nutzung wird nach wie vor als Trend-Thema angesehen. Verantwortliche in Institutionen sehen sich daher aus unterschiedlichen Gründen unter Umständen dazu verleitet, die Werbeversprechen von Cloud-Diensteanbietern nicht in ausreichendem Maße kritisch zu hinterfragen. Anwender gewinnen so gegebenenfalls einen falschen Eindruck davon, wer sich tatsächlich hinter dem Cloud-Diensteanbieter verbirgt und hinterfragen dessen getroffene Aussagen zur eigenen Leistungsfähigkeit in der Folge nicht ausreichend. In einem solchen Fall hätte beispielsweise die Besichtigung eines Rechenzentrums vor Ort zum Aufdecken der falschen Versprechungen beigetragen.

Legt eine Institution bei der Auswahl ihres Cloud-Diensteanbieters besonderen Wert darauf, dass Zertifizierungen vorhanden sind, sollten auch diese näher hinterfragt werden. Häufig sind Zertifizierungen (zum Beispiel nach ISO/IEC 27001, ISO 9001 etc.) zwar grundsätzlich vorhanden, werden aber nicht regelmäßig aktualisiert und sind daher nicht mehr gültig oder der Scope deckt den betroffenen Service nicht ab. Auch sind der Inhalt und Umfang zu hinterfragen und gegebenenfalls weitere Informationen vom Cloud-Diensteanbieter zu fordern. Als zuverlässig sind in diesem Zusammenhang Zertifizierungen nach IT-Grundschutz auf Basis von ISO 27001 anzusehen.

Kundenfreundlichkeit

Verwendet der Cloud-Diensteanbieter in seiner Leistungsbeschreibung unklare Definitionen und ist nicht willens oder in der Lage, diese verständlich zu erläutern, sollte der Anwender prüfen, ob dies ein geeigneter Vertragspartner für den geplanten Cloud Service ist.

Prüffragen: