Kategorien
Analysen

Ein Blick auf Europas eigenen Cloud Computing Markt

Europas Cloud-Markt wird weitestgehend von den Amazon Web Services, Microsoft Windows Azure und Rackspace beherrscht. Also dieselben Anbieter, die auch den Rest der Welt dominieren. Jeder dieser Anbieter hat Niederlassungen in Europa und alle versuchen die speziellen Bedenken der Europäer zu genügen. Nichtsdestotrotz entwickeln eine steigende Anzahl lokaler Anbieter ihre eigenen Cloud Computing Lösungen für den europäischen Markt. Für GigaOM Research haben Paul Miller und ich die Gründe und Bedeutungen für diese lokalen Anbieter genauer betrachtet und gefragt, ob Europas stetig wachsende Sorge mit der Dominanz US-amerikanischer Anbieter in der Cloud ein tatsächlicher Treiber für einen Wandel sein kann. Das Ziel ist es, herauszufinden, ob es einen einheitlichen europäischen Cloud-Markt gibt den diese Unternehmen bedienen müssen oder ob verschiedene Märkte zu adressieren sind.

Wesentliche Inhalte aus dem Report

  • Europäische Bedenken mit der Dominanz US-amerikanischer Cloud Anbieter
  • Gründe für die Entwicklung von Cloud Lösungen innerhalb Europas
  • Der Nutzen einer transnationalen Cloud Infrastruktur
  • Der Nutzen von lokalen oder regionalen Cloud Infrastrukturen
  • Eine Auswahl von nativen Cloud Anbietern aus Europa

Europäische Cloud Anbieter in diesem Report

  • ProfitBricks
  • T-Systems
  • DomainFactory
  • City Cloud
  • Colt
  • CloudSigma
  • GreenQloud

Der Report

Der vollständige Report kann unter „The state of Europe’s homegrown cloud market“ gelesen werden.

Kategorien
Analysen

Checkliste: Überprüfen Sie einen Cloud Computing Anbieter auf Echtheit

Vermehrt wird die Frage gestellt, woran sich ein echtes Cloud Computing Angebot erkennen lässt. Oft heißt es: “Wir lassen unsere Datenverarbeitung von einem Dienstleister in seinem Rechenzentrum machen. Dann nutzen wir doch die Cloud, oder?” Vorsicht! Cloud Computing wurde in letzter Zeit von den Marketingabteilungen einiger Anbieter missbraucht, wodurch eine Verwässerung des Begriffs stattgefunden hat. Was damals zum Beispiel ein “Managed Server” war, ist nun ein “Cloud Server”. Letztendlich wurde aber nur der Aufkleber getauscht. Dieses „Prinzip“ wird auch als CloudWashing bezeichnet.

Checkliste: Überprüfen Sie einen Cloud Computing Anbieter auf Echtheit

Cloud Computing und seine Eigenschaften

Cloud Computing bezeichnet in erster Linie ein Servicemodell, bei dem auf (theoretisch unbegrenzte) IT-Ressourcen wie Rechenleistung, Speicherplatz, Applikationen und andere Arten von Services on-Demand zugegriffen werden kann. Dabei werden auf Basis des Pay as you go Konzeptes nur die Ressourcen berechnet, die zu diesem Zeitpunkt auch tatsächlich genutzt werden.

Neben den bekannten Eigenschaften des Cloud Computing existieren weitere typische Begebenheiten, die eine Cloud auszeichnen. Dazu gehören neben allgemeinen ebenfalls technische Eigenschaften und der Blickwinkel aus der Sicht eines Unternehmens.

Allgemeine Eigenschaften

Elastizität
Die Cloud erlaubt das hoch- und herunterskalieren von Ressourcen je nach Bedarf. Die dafür benötigte Zeit liegt im Bereich von Sekunden oder Minuten jedoch nicht Wochen oder Monaten.

Skaleneffekte
Der Cloud Computing Anbieter ist in der Lage Skaleneffekte auszunutzen und kann die für das Cloud Computing benötigte Infrastruktur wie Strom, Kühlung, Bandbreite und Hardware zum bestmöglichen Preis beschaffen.

Pay as you Go
Dabei handelt es sich mehr um eine allgemeine als um eine geschäftliche Eigenschaft. Techniker werden durch den Einsatz der Cloud Entscheidungen bei der Zuweisung von Ressourcen treffen, die unmittelbare Auswirkungen auf den Ressourcenverbrauch und die Höhe der Gesamtkosten haben. Damit hat in Zukunft jeder die Aufgabe, das Unternehmen effizienter zu führen.

Technische Eigenschaften

Schnelle Skalierbarkeit
Weitere Ressourcen können innerhalb von Minuten on-Demand gekauft werden, um bei Bedarf unerwarteten Situationen gerecht zu werden. Dazu gehören z.B. umfangreiche Berechnungen oder eine unerwartet hohe Besucherzahl auf der Webseite. Werden die Ressourcen nicht länger benötigt, können sie der Cloud zurückgegeben werden.

Die Ressourcen sind abstrakt und unkompliziert
Die Hardware, die für den Betrieb einer Cloud benötigt wird, ändert sich und wird ständig verbessert. Jedoch ist es die Aufgabe des Cloud Computing Anbieters dafür zu sorgen. Ein Cloud Computing Nutzer muss sich mit den Details hinter einer Cloud nicht mehr auseinandersetzen.

Eine Cloud besteht aus einzelnen Bausteinen
Die IT-Ressourcen eines Cloud Computing Anbieters bestehen aus kleinen Bausteinen. Das bedeutet, sie sind einzeln verfügbar und werden jeweils einzeln berechnet. Ein Nutzer hat die Möglichkeit entweder keine, alle oder nur ein paar Ressourcen zu nutzen, welche ihm als Service durch die Cloud bereitgestellt werden.

Experimentieren ist kostengünstig
Cloud Computing entfernt die wirtschaftliche Hürde zum Experimentieren. Dadurch können neue Ideen ausprobiert werden, ohne langfristig in die dafür benötigte Hardware zu investieren, indem auf temporäre Ressourcen zurückgegriffen wird.

Eigenschaften aus der Sicht eines Unternehmens

Keine Vorabinvestitionen
Cloud Computing wurde geschaffen, um Ressourcen bei Bedarf nutzen zu können. Aus diesem Grund sind keine einmaligen und großen Investitionen notwendig, bevor der eigentliche Bedarf auftritt.

Aus fixen kosten werden variable Kosten
Anstatt sich auf eine feste Anzahl von Ressourcen über einen langen Vertragszeitraum (in der Regel ein bis drei Jahre) festzulegen, ermöglicht es Cloud Computing den Ressourcenverbrauch in Echtzeit zu verändern.

Investitionen werden zu Betriebskosten
Investitionen werden in der Regel auf einen langen Zeitraum verteilt und führen damit zu einer mehrjährigen Verpflichtung, eine bestimmte Menge von Ressourcen zu nutzen. Die Betriebskosten hingegen beziehen sich auf die tatsächliche Nutzung des Cloud Service und können in Echtzeit verändert werden.

Die Ressourcenzuteilung wird granularer
Cloud Computing ermöglicht eine minimale Nutzung in Bezug auf die Zeit und Ressourcen, bspw. Servernutzung pro Stunde und einzelne Bytes des genutzen Speichers.

Das Unternehmen gewinnt an Flexibilität
Da ein Unternehmen sich nicht mehr langfristig an Ressourcen bindet, ist es in der Lage, schneller auf Änderungen bzgl. der benötigten Mengen und der Art der Geschäftstätigkeit zu reagieren.
Der Anbieter steht mehr unter Beobachtung
Das Kerngeschäft des Cloud Computing Anbieters besteht darin, seine Cloud für die öffentliche Nutzung bereitzustellen. Somit hat er einen starken Anreiz seine Services so bereitzustellen, dass sie zuverlässig, anwendbar und kostengünstig sind. Die Cloud spiegelt also die Kernkompetenzen eines Anbieters wieder.

Die Kosten sind inhaltsorientierter
Durch das flexible Ressourcenzuweisungsmodell des Cloud Computing ist es genauso leicht 100 Server für eine Stunde zu beziehen und zu betreiben wie einen Server für 100 Stunden. Das fördert das innovative Denken hinsichtlich der Lösungen von Problemen, die nur durch eine große Skalierung ermöglicht werden.

Die Checkliste

Wohlgemerkt, ins Innere müssen und können Sie in der Regel nicht hineinschauen. Bei einer Cloud handelt es sich um eine Blackbox, die entweder über eine API (Schnittstelle) oder eine Weboberfläche gesteuert wird. Es kommt also auf die äußeren Werte an, die Sie direkt sehen und bemerken können.

Checkliste: Überprüfen Sie einen Cloud Computing Anbieter auf Echtheit


Die Checkliste kann ebenfalls unter „Checkliste: Überprüfen Sie einen Cloud Computing Anbieter auf Echtheit“ angesehen und als PDF heruntergeladen werden. Eine englischsprachige Version befindet sich unter Checklist: Check a Cloud Computing provider for authenticity.


Bildquelle: ©Claaslietz / PIXELIO

Kategorien
News

Checkliste: Kriterien zur Auswahl eines Cloud Computing Anbieter

Cloud Computing Anbieter haben auf Unternehmen den größten Einfluss auf dem Weg in die Cloud. Dazu zählen die Eigenschaften und der Charakter des Anbieters bzgl. des Umgangs mit seinen Kunden und wie dieser arbeitet. Die größte Herausforderung stellt zudem die Selektion eines oder mehrerer Anbieter dar, um die Ansprüche des Unternehmens in Bezug auf die Integrationsmöglichkeiten, die Unterstützung der Geschäftsprozesse etc. so optimal wie möglich zu erfüllen.

Diese Checkliste hilft bei der Bestimmung von Kriterien für die Auswahl eines Cloud Computing Anbieter.

Checkliste: Kriterien zur Auswahl eines Cloud Computing Anbieter by René Büst

Kategorien
Analysen

Tipps für die Wahl einer Cloud Computing Beratung

Jeder Berater ist auf seinem Gebiet „der führende“ Cloud Computing Dienstleister. Das macht es für Einkäufer und Entscheidungsträger in Unternehmen nicht leichter, den richtigen Partner zu finden, mit dem sie ihren Weg in die Cloud bestreiten. Zudem fehlt z.T. die Transparenz, was die Berater tatsächlich können. Dieses und weitere Themen nehme ich aus Gesprächen immer wieder mit. Dabei ist die Wahl des Dienstleister entscheidend für den Erfolg oder Misserfolgt eines Wechsels in die Cloud. Nachdem man sich für eine Software (SaaS) bzw. eine Plattform (PaaS) oder Infrastruktur (IaaS) entschieden hat, heißt es die richtige IT-Beratung zu finden – Das ist Mission Critical!

Der Berater ist Mission Critical

Angesichts der Unterschiede zwischen Public Cloud und on-Premise Umgebungen, ist es wichtig, den richtigen Partner mit der entsprechenden Erfahrung zu finden. Denn ein Berater mit klassischem Rechenzentrums-Know-How wird in der Cloud nicht viel weiterhelfen können.

Existiert nachgewiesene Erfahrung in der zu implementierenden Lösung

Der Berater sollte über umfangreiches Wissen zu dem Service verfügen, um den es geht. Hier muss der Dienstleister entsprechende Referenzen vorweisen können inkl. möglichen speziellen Themen und Bereichen die man selbst verfolgt.

Kennt der Berater das Marktsegment

Der Dienstleister sollte sich in dem Marktsegment auskennen, in dem man selbst tätig ist. Auch hier helfen wiederum Referenzen aus dem eigenen Segment und Kunden, die ähnlich aufgestellt sind wie man selbst. Ist man selbst bspw. nur ein kleines- oder mittelständisches Unternehmen, sollte man keinen Dienstleister wählen, der auf internationale Großkonzerne spezialisiert ist.

Bietet er ergänzende Lösungen

Einige Dienstleister haben neben Beratungs- und Implementationsleistungen sich ebenfalls auf die Entwicklung von Add-ons für eine bestimmte Lösung spezialisiert und bieten dafür einen gewissen Mehrwert. Diese Dienstleister verfügen in der Regel zudem über ein sehr gutes technisches Wissen zu dem Produkt und haben ebenfalls tiefes Wissen über den jeweiligen Markt.

Kann er weltweit implementieren

Cloud Computing ist ein globales Thema. Darüber hinaus können Cloud Umgebungen schnell weltweit wachsen. Wenn notwendig, hilft hier auf jedenfall ein Dienstleister mit internationaler Erfahrung. Falls ja, dann sollte der Dienstleister auf jedenfall weltweit und über das Internet Schulungen anbieten sowie über einen internationalen Support verfügen.

Cloud Integration

Die Bedeutung von Cloud zu Cloud Integration wird weiter an Bedeutung zunehmen. Hier sollte der Dienstleister neben Erfahrungen mit unterschiedlichen Anbietern ebenfalls bereits Multi-Vendor Installationen und Integrationen durchgeführt haben.

Die Akzeptanz entscheidet

Jedes Projekt steht und fällt am Ende mit der Akzeptanz der späteren Nutzer. Der Dienstleister sollte daher Lösungen iterativ entwickeln können, um die Anforderungen der Nutzer und der IT gleichermaßen erfüllen zu können.

Reputation und Vertrauen

Neben einer guten Reputation ist das Vertrauen in den Dienstleister entscheidend. Schließlich startet man mit einem Projekt in eine langfristige Geschäftsbeziehung, zu der ebenfalls der Cloud Anbieter selbst gehört. Vertrauen schafft Vertrauen und sorgt zudem für eine dauerhafte Beziehung.

Externe Artikel zu Cloud Computing Anbieter

Ich habe im Laufe der letzten Jahre ein paar Artikel für IT-Magazine geschrieben, in denen ich die Portfolios einzelner Anbieter betrachtet habe, die ebenfalls Professional Services im Angebot haben.


Bildquelle: http://createyournextcustomer.techweb.com

Kategorien
Analysen

Ausfallprävention: Diese Fragen sollte man seinem Cloud Computing Anbieter stellen

Ausfälle, wie der kürzlich bei den Amazon Web Services, in der Cloud, sind für alle Beteiligten sehr ärgerlich. Der Kunde verliert im schlimmsten Fall seine Daten und Kunden, hat aber in der Regel mit der Nichtverfügbarkeit seiner Systeme zu kämpfen. Der Anbieter, auf der anderen Seite, muss sich erklären und erleidet einen Imageverlust.

Vor Ausfällen ist niemand geschützt

Seit 2007 haben 568 Stunden Ausfallzeit von 13 namhaften Cloud Services mehr als 71.700,000 US-Dollar an Kosten verursacht, das zeigt eine Studie der International Working Group on Cloud Computing Resiliency (IWGCR). Dabei liegt die durchschnittliche Nichtverfügbarkeit von Cloud Services bei 7,5 Stunden pro Jahr. Das entspricht einer garantierten Verfügbarkeit von 99,9 Prozent, die weit weg von dem liegt, was von geschäftskritischen Systemen (99,999 Prozent) erwartet wird. Im Vergleich dazu beträgt die durchschnittliche Nichtverfügbarkeit von Strom in einer modernen Großstadt weniger als 15 Minuten pro Jahr.

Zwar vergüten die Cloud Anbieter die Ausfallzeiten, indem für den Zeitraum des Ausfalls keine Gebühren berechnet oder Rabatte erstattet werden, allerdings bezieht sich das lediglich auf die genutzte Infrastruktur. Die weiteren Kosten, die dem Kunden durch den Ausfall entstanden sind – Ersatzansprüche seiner Kunden, Datenverluste, usw. – erstattet der Cloud Anbieter nicht.

Fragen an den Cloud Computing Anbieter

Der Kunde wird also nicht geschützt und sollte sich vorab selbst darum kümmern den Anbieter auf Herz und Nieren zu prüfen.

Entspricht das SLA den eigenen Ansprüchen?

Cloud Anbieter werben in der Regel mit einer Verfügbarkeit von 99,9%. Wen das die eigenen Ansprüche nicht befriedigt oder das Unternehmen eine deutlich höhere Verfügbarkeit benötigt, der muss nachverhandeln. Zudem sollte man darauf achten, dass im Vertrag für jeden Service gut definierte Wiederherstellungspunkte beschrieben sind und welche Objekte das betrifft. Erwartet man eine Verfügbarkeit von 99,999% ist allerdings davon auszugehen, dass man hier monatlich deutlich draufzahlen muss.

Wie wird Verfügbarkeit und Ausfallzeit bestimmt?

Was genau bezeichnet der Anbieter selbst als Ausfall? Ist es die nicht Verfügbarkeit der gesamten Infrastruktur oder wenn 10%, 20% oder 60% der Nutzer von dem Problem betroffen sind? Wie sieht es aus, wenn das System zwar technisch einwandfrei funktioniert, aber sehr langsam arbeitet? Die meisten Anbieter schließen eine Reihe von Themen in ihren AGBs aus, die nicht als Ausfall bezeichnet werden, darunter Notsituationen oder Ausfälle von 15 Minuten oder weniger.

Wie schaut es mit höherer Gewalt aus?

Die meisten Cloud Anbieter schließen Ereignisse durch höhere Gewalt aus. Dazu gehören Naturkatastrophen, Kriege und Streiks. Hier muss man allerdings genauer hinschauen. Wenn bspw. die Notstromaggregate auf Grund eines Defektes an der eigenen Infrastruktur ausfallen, ist es wiederum keine höhere Gewalt, selbst dann wenn der Stromausfall z.B. durch ein Unwetter ausgelöst wurde. (eigene Meinung)

Wie robust ist die Cloud Umgebung?

Hier sollte man genau hinschauen. Befindet sich das Rechenzentrum z.B. in einem Erdbeben gefährdeten Gebiet, ist das ein enormes Risiko. Man sollte die Cloud Umgebung daher immer einer genauen technischen Prüfung unterziehen, wenn man die Cloud Services ernsthaft nutzen will.

Wie sehen die Notfallpläne aus?

Hier sollte man besonders drauf achten, das haben die letzten Ausfälle gezeigt! Es gilt daher, sich einen Blick auf die Notfallpläne zu verschaffen und ggf. einen Besuch vor Ort vorzunehmen und einen Audit durchzuführen. Das gilt für den gesamten Prozess inkl. der eigenen Anwendung, die auf der Cloud Infrastruktur betrieben wird, falls es zu einem Ausfall kommt.

Wie oft werden die Notfallpläne gestestet?

Nur weil der Anbieter über einen Notfallplan verfügt, bedeutet das nicht, dass dieser auch funktioniert. Fakten sind hier gefragt. Hier ist es angebracht sich die Ergebnisse der letzten Tests zu zeigen und dieses ebenfalls vertraglich festzuhalten.

Wie nutze ich die Infrastruktur am besten?

Beim letzten Ausfall der Amazon Web Services waren viele Services nicht verfügbar, da sich diese nur auf eine AWS Region konzentriert haben. Andere hingegen waren dennoch erreichbar, da sie ihre Systeme intelligent über die Amazon Cloud verteilt haben. 1. Ermöglicht ein Anbieter diese Vorgehensweise? 2. Wie nutze ich diese (gibt es eine Dokumentation dafür)?

Kann ich bevorzugt behandelt werden?

Sollte es zu einem Ausfall kommen, sind in der Regel mehrere Kunden davon betroffen. Der Anbieter wird also dafür sorgen müssen tausende von Kunden wieder online zu bringen. Hier kann es sich lohnen, für eine bevorzugte Behandlung zu zahlen, wenn die eigene Anwendung geschäftskritisch ist.

Due Diligence?

Neben den technischen Prüfungen ist es ebenfalls interessant zu wissen, wie der Anbieter z.B. auf der finanziellen Seite aufgestellt ist, um seine eigenen Rechnungen zu bezahlen. Was nützt also eine sehr robuste Infrastruktur, wenn der Anbieter auf Grund einer Insolvenz plötzlich nicht mehr erreichbar ist.


Bildquelle: http://www.mobileappz.tv, http://blog.cloudbees.com

Kategorien
Management

Orientierungshilfe: Katalog zur Auswahl eines Cloud Computing Anbieter

Cloud Computing Anbieter haben auf Unternehmen den größten Einfluss auf dem Weg in die Cloud. Dazu zählen die Eigenschaften und der Charakter des Anbieters bzgl. des Umgangs mit seinen Kunden und wie dieser arbeitet. Die größte Herausforderung stellt zudem die Selektion eines oder mehrerer Anbieter dar, um die Ansprüche des Unternehmens in Bezug auf die Integrationsmöglichkeiten, die Unterstützung der Geschäftsprozesse etc. so optimal wie möglich zu erfüllen.

Bei der Auswahl eines Cloud Computing Anbieter hilft eine Checkliste

Eine Norm für die Bewertung und Auswahl eines Anbieters existiert derzeit noch nicht und es wird ebenfalls schwierig werden eine zu entwerfen, da die individuelle Situation von Unternehmen zu Unternehmen sehr vielfältig ist. Speziell die individuelle Situation in Kombination mit den Ansprüchen des Unternehmens führt zu einer hohen Komplexität, was die Schwierigkeit erhöht, exakt den Anbieter zu finden, dessen Angebot und Leistungen optimal zu dem Unternehmen passen.

Schon eine kleine Auswahl von Anbietern und ihren Services zeigt, dass es sehr schwierig ist, einen direkten Vergleich vorzunehmen. Auf den ersten Blick sehen sich die meisten Angebote sehr ähnlich. Eine detaillierte Betrachtung legt aber offen, dass sich die jeweiligen Angebote in Bezug auf ihren Aufbau, den Umfang der Dienste und der Preisstruktur deutlich unterscheiden.

Das stellt Unternehmen vor eine große Herausforderung. Müssen sie zwar heute nicht mehr für den Aufbau und die Wartung der Infrastruktur sorgen, hat die Auswahl der richtigen und passenden Services jedoch allerhöchste Bedeutung. Dazu kommen Themen wie Compliance, Governance, Datenschutz usw. Zudem wird die Auswahl eines Anbieters immer sehr stark von den eigenen Bedürfnissen des Unternehmens beeinflusst.

Ein Beispiel sind SLAs. Die SLAs der großen Public Cloud Anbieter sind nicht sehr umfangreich und aussagekräftig. Kann die garantierte Verfügbarkeit nicht eingehalten werden, erstatten diese zwar den Betrag zurück, der in diesem Zeitraum zu entrichten war, eine zusätzliche Strafe, wie sie in klassischen SLAs stehen, gibt es jedoch nicht.

Es existieren daher grundlegende Fragen, die einem Anbieter, unabhängig in welchem Cloud Computing Bereich dieser tätig ist, gestellt werden müssen. Dies sollte auf Basis eines Fragenkatalogs vorgenommen werden, mit dem der Anbieter auf die grundsätzlichen Fakten überprüft wird. Dieser Katalog kann von jedem Unternehmen verwendet werden, das Services von einem Cloud Computing Anbieter verwenden möchte. Da der Katalog generisch nur die Fragen abbilden kann, die für alle Unternehmen gleichermaßen dieselbe Schnittmenge beinhalten, muss der Katalog von dem jeweiligen Unternehmen um die eigenen Fragen und Bedürfnisse, die wichtig sind, erweitert werden.

Der Anbieterauswahlkatalog dient als eine Orientierungshilfe, die Unternehmen nutzen können, um einen Anbieter anhand vordefinierter Kriterien auszuwählen. Auf Grund seiner Allgemeingültigkeit kann der Katalog nicht die jeweiligen speziellen Bedürfnisse eines Unternehmens abbilden, sondern nur die Kriterien als Prüfgegenstand nehmen, die für jedes Unternehmen gleichermaßen gelten. An der einen oder anderen Stelle wird der Katalog Lücken aufweisen, aber dennoch einen Gesamtüberblick zu den wichtigen Bereichen für die Auswahl eines Cloud Computing Anbieter geben.

Hintergrund

Kategorie/ Frage Ja Nein i.A. Bemerkung

Hintergrund – Reputation

Verfügt der Anbieter bereits über mehrere hunderte oder tausende Kunden?
Nimmt die Anzahl der Kunden stetig zu?
Verfügt der Anbieter bereits über mehrere Referenzprojekte?
Stehen bereits Anwendungsfälle (Use Cases) zur Verfügung?
Gibt es Aussagen/ Bewertungen von bestehenden Kunden?
Stehen auf der Webseite Informationen bzgl. des Top Managements zur Verfügung?
Wird über den Anbieter in traditioniellen Magazinen und Technology Blogs positiv berichtet?
Betreibt der Anbieter aktiv einen eigenen Blog und Social Media Seiten?

Hintergrund – Expertise

Hat der Anbieter Erfahrung mit dem Betrieb und der Verwaltung einer globalen, redundanten, hochverfügbaren und zuverlässigen Infrastruktur?
Verfügt der Anbieter über ausreichend Rechenzentrumskapazitäten?
Verfügt der Anbieter über eine unabhängige Zertifizierung?

Hintergrund – Finanzen

Kann ein positiver Rückschluss auf die Finanzstärke des Anbieters geschlossen werden?
Handelt es sich um ein börsennotiertes Unternehmen?
Wird der Anbieter ggf. über seriöse Investoren finanziert?
Konnte der Anbieter im vergangenen Geschäftsjahr einen Gewinn erzielen?

Hintergrund – Sonstiges

Kann das Angebot zunächst während einer Testphase kostenlos evaluiert werden?
Verfügt der Anbieter über eine physische Adresse sowie Kontaktdaten wie z.B. eine Telefonnummer?

Technologie

Kategorie/ Frage Ja Nein i.A. Bemerkung

Technologie – Standort

Werden die Daten und Anwendungen in mehreren geographisch voneinander getrennten Regionen gespeichert?
Ist mehr als ein Rechenzentrum vorhanden? Wenn ja, wie viele gibt es und in welchen Ländern stehen diese?
Stehen die Rechenzentren in einem durch eine Naturkatastrophe nicht bedrohtem Gebiet?

Technologie – Infrastruktur & Dimensionierung

Kann der Zugriff auf die Services und Daten von überall aus stattfinden?
Kann der Zugriff auf die genutzten Services und Daten beschränkt werden?
Stehen ausreichend Rechen- und Speicherkapazitäten zur Verfügung?
Können in einem kurzen Zeitraum weitere Kapazitäten hinzugefügt oder wieder entfernt werden?
Stehen Methoden zur dynamischen Erhöhung und Verringerung, zur Indizierung, Durchsuchung und Verarbeitung zur Verfügung?
Kann auf die Services des Anbieters mittels des Single Sign-On Verfahrens zugegriffen werden?
Wird die Speichertechnologie eingesetzt?
Wird die Virtualisierungstechnolgie eingesetzt?
Steht das Betriebssystem zur Verfügung?
Ist die konstante Stromversorgung der Rechenzentren sichergestellt?
Findet eine ordnungsgemäße Verwaltung der unterschiedlichen Typen von Anwendungen und Daten statt?
Stehen Methoden für das Klonen von virtuellen Servern innerhalb der Cloud Umgebung zur Verfügung?
Existieren Einschränkungen bzgl. der Größe des zu verwendenden Speicherplatzes?
Kann eine Remote Verbindung mit der Cloud hergestellt werden? Wenn ja, welche Verbindungen stehen zur Verfügung?
Stehen bereits fertige Betriebssystem-Templates für die Nutzung auf den virtuellen Servern zur Verfügung?

Technologie – Schnittstellen

Sind die Schnittstellen des Anbieters standardisiert?
Handelt es sich bei den Schnittstellen um offene Standards?
Existieren Schnittstellen für die Integration in die eigene, bestehende Infrastruktur?
Ist der Zugriff auf die API des Cloud Anbieters möglich?
Verursacht der Zugriff auf die API separate Kosten?

Technologie – Kompatibilität & Integration

Ist die Kompatibilität zu anderen Cloud Services garantiert?
Ist die Kompatibilität zur eigenen Infrastruktur gewährleistet?
Ist ggf. die Kompatibilität zu vorhanden Applikationen gewährleistet?
Können die benötigten Programmiersprachen selbst gewählt werden?
Kann die benötigte Anwendungsplattform selbst ausgewählt werden?
Stehen die bereits zuvor eingesetzten Betriebssysteme zur Verfügung?
Stehen die bereits zuvor eingesetzten Anwendungsumgebungen zur Verfügung?
Steht der bereits eingesetzte Technologiestack zur Verfügung?
Kann ggf. die eigene Architektur auf der Infrastruktur genutzt werden?
Stehen Mechanismen für die Automatisierung und die Orchestrierung zwischen der Cloud des Anbieters und der eigenen Infrastruktur zur Verfügung?
Kann eine Integration mit anderen Anwendungen oder Cloud Services stattfinden?
Wird die Integration mit anderen Systemen unterstützt?
Wird ggf. die Integration von älteren Anwendungen unterstützt?
Arbeitet der Anbieter mit Unternehmen zusammen, die sich auf die Integration von (Cloud)-Anwendungen spezialisiert haben?

Technologie – Service & Support

Stehen hinreichende Monitoringfunktionen zur Verfügung?
Stehen hinreichende Reportingfunktionen zur Verfügung?
Stellt der Anbieter Dokumentationen für die Nutzung der Infrastruktur bereit.
Hilft der Anbieter dabei, seine Infrastruktur zu verstehen und bestmöglich zu nutzen?
Verfügt der Anbieter über eine öffentliche und transparente Webseite, auf welcher der aktuelle Status der Services eingesehen werden kann?
Wird auf der Status-Webseite über mögliche Probleme und Ausfälle berichtet?
Steht eine Weboberfläche für die Verwaltung der Ressourcen zur Verfügung?

Technologie – Migration & Export

Werden offene Formate für den Datenaustausch verwendet?
Können die Daten ohne großen Aufwand exportiert und zu einem anderen Anbieter/ Service migriert werden?
Stehen Migrationspfade zu anderen Cloud Computing Anbietern zur Verfügung?
Können virtuelle Maschinen zwischen der Cloud des Anbieters und der eigenen Infrastruktur transferiert werden?
Können alle Daten aus der Cloud in einem für das Unternehmen lesbaren Format exportiert werden?
Können die Daten auf einem einfachen Weg exportiert und zu einem neuen Cloud Service migriert werden?
Können die Daten in einem offenen Format wie z.B. XML oder JSON exportiert werden?
Entstehen für den Export der Daten weitere Kosten?

Technologie – Backup & Disaster Recovery

Stehen Methoden zur Verfügung, mit denen ggf. Ausfallzeiten und Datenverluste innerhalb der Infrastruktur vorgebeugt werden können?
Stehen ausreichend Speicherplatzressourcen zur Verfügung, mit denen die Backup- und Disaster Recovery Strategien umgesetzt werden können?
Verfügt der Anbieter über ein Disaster Recovery und eine Business-Continuity Strategie?
Arbeitet der Anbieter mit einem spezialisierten Unternehmen für die Datenrettung zusammen?
Werden die Backup- und Disaster Recovery Strategien regelmäßig durchgeführt und einem Test unterzogen? Wenn ja, wie oft pro Jahr?
Wird regelmäßig ein Backup der Unternehmensdaten vorgenommen? Wenn ja, wie oft wird das Backup durchgeführt?
Werden die Daten auf zuverlässigen Datenträgern gespeichert?
Findet eine regelmäßige Defragmentierung der Daten statt?

Technologie – Expertise

Sind die Mitarbeiter entsprechend Ihrer Tätigkeiten geschult?
Verfügen die Mitarbeiter über die Zertifizierung?
Sind ausreichend personelle Ressourcen vorhanden?
Verfügt der Anbieter über strategische Partnerschaften zu seinen Technologieanbietern?

Technologie – Netzwerk

Erfüllt die Zuverlässigkeit des Anbieternetzwerks die eigenen Ansprüche?
Ist die globale Reichweite des Anbieternetzwerks ausreichend?
Können den eigenen Kunden ggf. weltweit und zuverlässig Inhalte bereitgestellt werden?
Verfügt der Anbieter über eine schnelle und stabile Internetanbindung?
Verfügt der Anbieter über Mechanismen, um die Latenzen auf Grund langer Netzwerkverbindungen zum Kunden zu minimieren?

Technologie – Sonstiges

Muss ggf. in die eigene Infrastruktur investiert werden, um den Cloud Service zu nutzen?
Stehen Zusatzleistungen zur Verfügung, die bspw. ein anderer Anbieter nicht leistet?

Vertrag

Kategorie/ Frage Ja Nein i.A. Bemerkung

Vertrag – Form & Gestaltung

Wird der Vertrag in schriftlicher Form geschlossen?
Wird der Vertrag online vereinbart?

Vertrag – Subunternehmer

Ist die Auslagerung von Bereichen an einen Subunternehmer vertraglich festgehalten?
Sind Regelungen vorhanden, die dem Subunternehmer, der möglicherweise zum Wettbewerb gehört, untersagen, Zugriff auf interne Unternehmensdaten zu erhalten?

Vertrag – Service Level Agreement

Stellt der Anbieter ein Service Level Agreement (SLA) zur Verfügung?
Handelt es sich dabei um ein Standard SLA?
Sind die SLAs ausreichend?
Sind die Leistungen in dem SLA hinreichend beschrieben?
Bietet das SLA eine garantierte Verfügbarkeit von %
Ist der Anbieter bereit das SLA nach den eigenen Wünschen anzupassen?
Wird beschrieben, wie der Anbieter die Einhaltung der SLAs sicherstellt?

Vertrag – Anpassungen

Sind die Methoden zur Änderung der Leistungen festgehalten?
Sind die Methoden zur Änderung der Qualitätsstandards festgehalten?
Müssen die Verträge neu verhandelt werden, wenn sich die eigenen Anforderungen ändern?

Vertrag – Insolvenz & Vertragsende

Sind die Kündigungsrechte des Vertrags ausreichend flexibel gestaltet, so dass jederzeit vom Vertrag zurückgetreten werden kann?
Ist die Rücknahme und der Export der Daten bei Vertragsende festgehalten?
Sind vertragliche Regelungen festgehalten, die im Falle einer Insolvenz des Anbieters über den Schutz und der Verfügbarkeit der Daten entscheiden?

Vertrag – Eigentumsregelung & Löschung

Ist das Eigentum sämtlicher Daten vertraglich geregelt?
Ist vertraglich geregelt und gewährleistet, dass die Daten durch den Anbieter immer dann tatsächlich gelöscht werden, wenn der Kunde dieses wünscht bzw. selbst vornimmt?
Ist vertraglich geregelt, dass die Daten nach Vertragsende gelöscht und Datenträger ggf. zurückgegeben werden?

Vertrag – Haftung

Wird in dem Vertrag beschrieben, ob und wie der Anbieter den finanziellen Verlust ausgleicht, wenn das Unternehmen durch eine Nichterreichbarkeit geschäftsunfähig ist?
Sind die Datenschutzbestimmungen vertraglich geregelt?
Sind die Regelungen bzgl. des Geschäftsgeheimnisses festgehalten?
Sind die Regelungen bzgl. des Bankgeheimnisses festgehalten?
Ist die Gewährleistung vertraglich detailliert festgehalten?
Ist die Haftung vertraglich detailliert festgehalten?
Ist die Haftung gegenüber anderen Nutzern auf derselben Infrastruktur so geregelt, dass der Anbieter für die Nichteinhaltung von Sicherheitsstandards haftbar ist?

Vertrag – Aufgabenverteilung

Sind die erforderlichen Rechte für die Überwachung im Vertrag festgehalten?
Sind die jeweiligen Verantwortungen im Vertrag festgehalten?
Sind die jeweiligen Zuständigkeiten im Vertrag festgehalten?
Sind die jeweiligen Schnittstellen im Vertrag festgehalten?
Ist vertraglich festgehalten, ob der Anbieter über einen Ausfall automatisch informiert?
Ist die Berichterstattung im Vertrag vereinbart?
Ist die Kontrolldichte im Vertrag vereinbart?
Sind die Möglichkeiten der Skalierung vertraglich festgehalten?

Vertrag – Sonstiges

Darf der Anbieter seiner Tätigkeit nachgehen?
Sind die Lizenzmodelle der eingesetzten Software für den Einsatz im Bereich des Cloud Computing gültig?
Verfügt das Unternehmen über andere Verträge, die der Nutzung des Cloud Computing im Wege stehen?

Abrechnung

Kategorie/ Frage Ja Nein i.A. Bemerkung

Abrechnung – Abrechnungsart

Erfolgt die Abrechnung der Services pauschal?
Erfolgt die Abrechnung der Services abhängig vom Verbrauch?
Erfolgt die Abrechnung der Services abhängig von ?

Abrechnung – Anpassung & Kompatibilität

Kann das Bezahlmodell (z.B. über eine Kreditkarte) durch das Unternehmen umgesetzt werden?
Ist das Bezahlmodell kompatibel zur Abrechnung der internen IT-Leistungen?
Können Mengenrabatte bzw. spezielle Tarife auf Basis der garantiert genutzten Services ausgehandelt werden?
Kann der Tarif ggf. bei der Änderung der Nutzung von Seiten des Kunden angepasst werden?

Abrechnung – Sonstiges

Stellt der Anbieter Methoden bereit, mit denen das Unternehmen vor der unkontrollierten Nutzung geschützt wird?
Entstehen für eine virtuelle Maschine und die von ihr genutzten Ressourcen auch dann Kosten, wenn diese nicht genutzt wird?
Entstehen für die Lizenzen von Betriebssystemen und Anwendungen, die auf den virtuellen Ressourcen genutzt werden, weitere Kosten?

Compliance

Kategorie/ Frage Ja Nein i.A. Bemerkung

Compliance – Allgemein

Wurde die Auslagerung von einem Wirtschaftsprüfer abgenommen?
Erfüllt der Anbieter die rechtlichen Regelungen und Bestimmungen?
Erfüllt der Anbieter die technischen Voraussetzungen für die rechtlichen Regelungen und Bestimmungen?
Entspricht die Datenhaltung den unternehmenseigenen Richtlinien zur Aufbewahrungen von Dokumenten?
Befindet sich der Rechtsstand im Ausland und ist das ggf. nicht mit den Unternehmensrichtlinien zu vereinbaren?
Erhält das Unternehmen auf Grund von gerichtlichen Anfragen und Beschlüssen unverzüglich Zugriff auf die in der Anfrage relevanten Daten?

Compliance – Zertifizierung

Ist der Anbieter nach SAS 70 Typ 1 zertifiziert?
Ist der Anbieter nach SAS 70 Typ 2 zertifiziert?
Ist der Anbieter nach SSAE-16 zertifiziert?
Ist der Anbieter nach ISO 27001 zertifiziert?
Ist der Anbieter PCI-Compliance zertifiziert?

Compliance – Datenschutz

Hält sich der Anbieter an die gesetzlichen Regelungen und des Datenschutzes und sind diese dokumentiert?
Kann der Anbieter nachweisen, dass er die Datenschutzrichtlinien einhält?
Werden die Daten ggf. in einem für das Unternehmen nicht zulässigen Land gespeichert?

Compliance – Transparenz

Darf eine Prüfung durch interne und externe Prüfer vorgenommen werden?
Haben Computer-Forensiker möglicherweise unautorisierten Zugriff auf Daten um diese zu rekonstruieren?
Gibt der Anbieter Auskunft darüber, wo die Daten und Anwendungen gespeichert und verarbeitet werden?
Nennt der Anbieter die Standorte wie das Land und die Region?
Gibt der Anbieter Auskunft darüber, wer Zugriff auf die Daten erhält?
Gibt der Anbieter ggf. Auskunft über seine Subunternehmer?
Legt der Anbieter transparent offen, welche Eingriffe er an den Daten der Kunden vornimmt?
Gibt der Anbieter regelmäßige Auskünfte über Veränderungen wie neue oder entfernte Funktionen sowie neue Subunternehmer?
Legt der Anbieter transparent offen, ob der Staat Zugriff auf die Daten erhält?

Governance

Kategorie/ Frage Ja Nein i.A. Bemerkung

Governance – Kompatibilität

Kann zwischen der Cloud des Anbieters und der Unternehmensinfrastruktur eine konsistente und einheitliche Verbindung hergestellt werden?
Kann mit der Nutzung der Cloud die Portabilität zu einer anderen Cloud sichergestellt werden?

Governance – Sicherheitsmaßnahmen

Sind die jeweiligen Schnittstellen gegen Angriffe oder Ausfälle geschützt?
Ist der Schutz vor internen Angreifern sichergestellt?
Wird die Vertraulichkeit der Daten sichergestellt?
Verfügt der Anbieter über Sicherheitsmanagement-Prozesse?

Governance – Audit

Ist es dem Kunden gestattet, Audits beim Anbieter vorzunehmen?
Stellt der Anbieter dem Kunden dazu ggf. entsprechende Schnittstellen zur Verfügung?
Kann der Anbieter aktuelle und unabhängige Auditberichte vorweisen?
Erhält der Kunde die Möglichkeit einen Penetrationstest beim Anbieter vorzunehmen?

Governance – Sonstiges

Werden die Daten physisch in einem für das Unternehmen konformen Land gespeichert?
Erhält der Kunde die Möglichkeit die SLAs zu überwachen, z.B. die Qualität der genutzen Services?

Datenschutz

Kategorie/ Frage Ja Nein i.A. Bemerkung

Datenschutz – Gesetzeskonformität

Handelt es sich um personenbezogene Daten?
Werden die personenbezogenen Daten außerhalb der EU bzw. des EWR verarbeitet?
Sind die Kunden über die Verarbeitung der Daten unter diesen Umständen informiert worden?
Verfügt der Anbieter über einen Datenschutzbeauftragten?
Kann der Anbieter nachweisen, dass seine Mitarbeiter über Datengeheimnis nach § 5 BDSG aufgeklärt wurden?
Kann der Anbieter nachweisen, dass er die Bestimmungen des BDSG einhält?
Verfügt der Anbieter über ein Konzept oder eine Dokumentation, in der er die Umsetzung der technischen und organisatorischen Maßnahmen bzgl. der Vergaben des Anhang zu § 9 BDSG nachweisen kann?
Existieren in den Ländern, von denen der Anbieter aus seine Services bereitstellt, bestimmte Gesetze, die mit den Unternehmensrichtlinien nicht vereinbart werden können?

Datenschutz – Audit

Erhält der Kunde oder eine durch den Kunden bevollmächtigte Personen beim Anbieter vor Ort das Recht Kontrollen vorzunehmen?
Unterzieht sich der Anbieter regelmäßigen Kontrollen, Audits und Zertifizierungen, durch die der Anbieter bzgl. des Datenschutzes überprüft und zertifiziert wird?

Datenschutz – Vertraulichkeit

Nimmt der Anbieter besondere Maßnahmen bei der Auswahl und der Einstellung seiner Mitarbeiter vor?
Werden die Daten vollständig von den Systemen entfernt, wenn diese von dem Kunden über den Web Service gelöscht werden?
Verwendet der Anbieter die Kundendaten, um damit das Unternehmen zu bewerben?
Wertet der Anbieter die Daten aus, um damit Werbung zu betreiben?
Verkauft der Anbieter seine Kundendaten sowie das Kundenverhalten an andere Unternehmen?
Gibt der Anbieter bspw. im Falle der Strafverfolgung den Behörden Zugriff auf die Kundendaten?

Sicherheit

Kategorie/ Frage Ja Nein i.A. Bemerkung

Sicherheit – Sicherheitsmanagement

Verfügt der Anbieter über ein IT-Sicherheitskonzept?
Verfügt der Anbieter über eine Identitätsverwaltung?
Verfügt der Anbieter über eine Zwei-Faktor-Authentisierung für seine Kunden?
Hat der Anbieter das Vier Augen Prinzip für schwierige Administrationsaufgaben implementiert?
Verfügen die Administratoren maximal nur über die Rechte, die sie für das Erledigen ihrer Aufgaben benötigen?
Verfügen die Kunden maximal nur über die Rechte, die sie für die Nutzung der Cloud benötigen?
Kann der Anbieter eine vollständige Überwachung, 24 Stunden am Tag und 7 Tage die Woche, seiner Cloud nachweisen?
Ist der Anbieter in die CERT Strukturen sowie sein nationales IT Krisenmanagement involviert?
Kann der Anbieter nachweisen, dass er interne Angriffe von Kunden auf andere Kunden erkennt?
Kann der Anbieter nachweisen, dass er die Erfassung und Auswertung von Logdaten vornimmt?
Verfügt der Anbieter über ein dauerhaft (24/7) erreichbares und funktionierendes Cloud Management sowie Troubleshooting?
Kann der Anbieter die Realisierung eines Notfallmanagements nachweisen?
Kann der Anbieter regelmäßige Übungen nachweisen?
Kann der Zugriff auf Daten und Funktionen für spezielle Bereiche auf Basis einer Rechteverwaltung gesteuert und kontrolliert werden?
Kann der Anbieter nachweisen, dass er feststellen kann, ob und wie eine Anwendungen angegriffen wurde?
Können im Falle eines Angriffs detaillierte Informationen schnellstmöglich an das Unternehmen überstellt werden?
Existiert eine bestimmte Aufbewahrungsfrist für die Daten?

Sicherheit – Transparenz

Legt der Anbieter offen, welche Lösungen eingesetzt werden, um seine Cloud zu schützen?
Wird das Löschen der nicht mehr benötigten Daten von dem Anbieter dokumentiert?
Werden die nicht mehr benötigten Daten ggf. mit speziellen Verfahren von den Festplatten entfernt?
Kann der Anbieter nachweisen, dass das Löschen von Daten von einem unabhängigen Unternehmen zertifiziert wird?

Sicherheit – Kommunikation

Wird der Kunde von dem Anbieter regelmäßig über den Status seines IT Sicherheitszustands informiert?
Nennt der Anbieter garantierte Reaktionszeiten, falls es zu einem Sicherheitsvorfall kommt?

Sicherheit – Zertifizierung

Kann der Anbieter auf Basis von Zertifizierungen den aktuellen Stand seines Sicherheitslevels nachweisen?
Verfügt der Anbieter über ein ISMS (Information Security Management System), z.B. ISO 27001 oder BSI-Standard 100-2 (IT-Grundschutz)?
Verfügt der Anbieter über ein definiertes Vorgehensmodell seiner IT-Prozesse, z.B. ITIL und COBIT?

Sicherheit – Audit

Nimmt der Anbieter eine regelmäßige, unabhängige Prüfung seines IT Sicherheitszustands vor?
Nimmt der Anbieter ständig umfassende Sicherheitstests an seiner Infrastruktur vor?
Nimmt der Anbieter ständig umfassende Sicherheitstests an der Infrastruktur seiner Subunternehmer vor?
Werden bei dem Anbieter ständig unabhängige Sicherheitsrevisionen vorgenommen?
Werden bei den Subunternehmen des Anbieters ständig unabhängige Sicherheitsrevisionen vorgenommen?

Sicherheit – Personal

Kann der Anbieter vertrauenswürdiges Personal nachweisen?
Verfügt der Anbieter über gut ausgebildete Mitarbeiter?
Erhalten die Mitarbeiter des Anbieters regelmäßige Schulungen?
Sind die Mitarbeiter des Anbieters bzgl. der Datensicherheit und des Datenschutzes sensibilisiert?
Wurden die Mitarbeiter hinsichtlich des Datenschutzes sowie der Einhaltung der Sicherheitsmaßnahmen und der vertraulichen Behandlung der Kundendaten verpflichtet?

Sicherheit – Technologie

Kann der Anbieter mit der Verschlüsselungsmethode angebunden werden?
Werden die Daten mit der Verschlüsselungsmethode beim Anbieter verschlüsselt?
Verfügt der Anbieter über eine ganzheitliche Sicherheitsarchitektur?
Kann der Anbieter die Rechenzentrumssicherheit nachweisen?
Kann der Anbieter die Netzsicherheit nachweisen?
Kann der Anbieter die Sicherheit der Host- und Servervirtualisierung nachweisen?
Kann der Anbieter die Anwendungs- und Plattformsicherheit nachweisen?
Kann der Anbieter ein Verschlüsselungs- und Schlüsselmanagement nachweisen?
Kann der Anbieter die strikte Trennung seiner Mandanten innerhalb der Cloud nachweisen?
Werden die Daten redundant gespeichert?
Kann der Anbieter sein Netzwerk in virtuelle LANs segmentieren?

Organisation

Kategorie/ Frage Ja Nein i.A. Bemerkung

Organisation – Service & Support

Wie oft wird ein Upgrade der Anwendungen durch den Anbieter vorgenommen?
Nehmen Upgrades direkten Einfluss auf die Nutzung der Anwendung?
Welchen Zeitraum nimmt ein Upgrade in Anspruch?
Stellt der Anbieter Möglichkeiten zur Verfügung, mit denen die Daten weiterhin bereitgestellt werden können, wenn der Anbieter insolvent sein sollte?
Stellt der Anbieter den Kunden Möglichkeiten zur Verfügung, das Nutzungsverhalten auf Basis von Auswertungen und Statistiken zu überprüfen?
Stellt der Anbieter die abgerechneten Leistungen in seinen Rechnungen transparent und nachvollziehbar dar?
Stellt der Anbieter Tutorials und weitere Hilfestellungen zur Verfügung, mit denen der Einstieg in die Nutzung der Services vereinfacht wird?

Organisation – Kommunikation

Informiert der Anbieter über geplante Wartungszeiträume?
Kann mit dem Anbieter in Bezug auf die Wartungen Kontakt aufgenommen werden, um weitere Informationen zu erhalten?
Stehen ausreichend Kontaktmöglichkeiten von Seiten des Anbieters bereit?
Verfügt der Anbieter über einen Kundenservice, der außer elektronisch auch telefonisch erreichbar ist?
Hat der Anbieter bestimmte Regelungen getroffen, die im Falle einer Eskalation notwendig werden?

Organisation – Mitarbeiter

Müssen die eigenen Mitarbeiter für die Nutzung geschult werden?
Muss der Help-Desk für die Nutzung geschult werden?

Organisation – Strukturen

Kann der Anbieter in das Anbieter Management der IT Organisation aufgenommen werden?
Können die genutzten Services wieder in das Unternehmen zurückgeholt werden?
Werden durch die Nutzung der Services des Anbieters ggf. Redundanzen aufgebaut?

Prozesse

Kategorie/ Frage Ja Nein i.A. Bemerkung

Prozesse – Individualisierung

Besteht die Möglichkeit der Individualisierung der Prozesse?
Würde sich die Nutzung der vom Anbieter vorgegebenen standardisierten Prozesse auf die Effizienz des Gesamtgeschäftsprozesses auswirken?
Hat der Kunde ein Mitspracherecht, wenn der Anbieter neue Softwareversionen bereitstellen will?
Gestattet der Anbieter seinem Kunden Zugriff auf die Anwendungen, um die Geschäftsprozesse auf die eigenen Bedürfnisse anzupassen?

Prozesse – Kommunikation

Existieren feste Eskalationswege auf der Seite des Anbieters?
Werden die Eskalationswege transparent kommuniziert?

Prozesse – Service & Support

Unterstützt der Anbieter bei der Durchführung eines Change Requests?
Unterstützt der Anbieter die bruchfreie Abbildung unterschiedlicher Prozesse über mehrere Anbieter hinweg?

Prozesse – Risikomanagement

Hat der Ausfall des bei dem Anbieter genutzten Service relevante und kritische Auswirkungen auf die Geschäftsprozesse bzw. den Gesamtgeschäftsprozess?
Stehen Alternativen zur Verfügung, falls der Prozess/ Service ausfallen sollte?

Finanzen

Kategorie/ Frage Ja Nein i.A. Bemerkung

Finanzen – Investitionen

Müssen mit dem Wechsel zu dem Anbieter weitere Investitionen vorgenommen werden?

Finanzen – Gebühren

Werden gesonderte Gebühren erhoben, wenn die Daten aus der Cloud des Anbieters exportiert werden?
Erhebt der Anbieter eine Einrichtungsgebühr?
Erhebt der Anbieter monatliche Mindestgebühren?

Sonstiges

Kategorie/ Frage Ja Nein i.A. Bemerkung

Sonstiges – Recht & Risiko

Ist das Unternehmen durch mögliche Schäden bei im Ausland ansässigen Anbietern versichert?
Existieren Fallback Szenarien für den Fall, dass der Anbieter ausfällt oder insolvent ist?
Existieren Fallback Szenarien für den Fall, dass es auf der Seite des Anbieters zu technischen Problem kommt?
Verfügt das Unternehmen über ein Risikomanagement um im Vorwege die möglichen Risiken abzuschätzen?
Ist das Unternehmen rechtlich in der Lage, seine Services für bestimmte Bereiche von einem Cloud Anbieter zu beziehen?

Sonstiges – Management

Muss evtl. der Betriebs- oder Personalrat informiert werden?
Ist die Unterstützung durch das Top-Management vorhanden?
Wurde Cloud Computing als enger Bestandteil in die IT-Strategie integriert?

Sonstiges – Infrastruktur

Verfügt das Unternehmen über eine schnelle und stabile Internetanbindung?
Sind die „Quality of Services“ der Internetanbindung ausreichend?
Muss das SLA der Internetverbindung angepasst werden?
Wurde eine Ende-zu-Ende Performanz Betrachtung vorgenommen und damit die Gesamtperformanz bestimmt?

* i.A. = in Arbeit


Bildquelle: http://themovingservices.com

Kategorien
Analysen

Kriterien zur Auswahl eines Cloud Computing Anbieters

Cloud Computing Anbieter haben mit ihren Angeboten und Eigenschaften den größten Einfluss auf Unternehmen und deren Informationstechnologie. Dabei müssen sich Unternehmen der Herausforderung stellen, den für Ihre Bedürfnisse idealen Anbieter zu identifizieren. Das stellte Unternehmen bereits in der Vorzeit des Cloud Computing vor Probleme, jedoch hat sich die Situation durch die hohe Standardisierung auf Seiten der Anbieter verschärft.

In der Regel müssen sich Unternehmen für das entscheiden, was der Anbieter im Portfolio hat ohne Einfluss darauf zu haben und Anpassungen vornehmen zu können. Hinzu kommt, dass neben dem Angebot und dem Preis ebenfalls die SLAs, Governance, Compliance usw. bei der Auswahl berücksichtigt werden müssen. Schließlich hat sich der Einflussbereich des Unternehmens minimiert und das Vertrauen in den Cloud Computing Anbieter steht auf dem Spiel.

Die eigenen Bedürfnisse sind ausschlaggebend

Unternehmen stehen damit vor der Herausforderung den oder die Anbieter zu selektieren, der bzw. die ihre Ansprüche bzgl. der Integration der vorhandenen Systeme, der Abbildung der Geschäftsprozesse usw. bestmöglich unterstützen und des Weiteren über eine hohe Vertrauensbasis verfügen.

Eine Bewertung und Auswahl vorzunehmen ist nicht trivial. Zudem existieren dafür keine geeigneten Frameworks und es ist ebenso schwierig so ein allgemeingültiges Framework zu erstellen. Das ist der Individualität und den Anforderungen eines jeden einzelnen Unternehmens geschuldet. Jedoch kann ein Unternehmen bei der richtungsweisenden Bewertung und Auswahl unterstützt werden.

Grundsätzlicher Auswahlprozess

Auf Grund einer Vielzahl von Angeboten, die unterschiedliche Services, Kosten, Support etc. mit sich bringen, benötigen Unternehmen eine klare Strategie und starke Auswahlkriterien um Cloud Computing bestmöglich für sich zu nutzen.

Während Kosten, Skalierbarkeit, Fachwissen und die operative Stabilität offensichtliche Kriterien sind, gibt es weitere wichtige Faktoren, die bei der Auswahl eines Cloud Computing Anbieters notwendig sind.

Eigene Anforderungen definieren

Ein Unternehmen muss sich zunächst über sich selbst im Klaren sein. Das heißt, es muss seine Unternehmensstrategie, seine Unternehmensziele sowie seine Kernprozesse und Funktionen kennen. Zudem muss es klar definieren, was es sich von der Nutzung der Cloud verspricht. Geht es eher darum, die Möglichkeiten der internen IT zu erweitern oder sollen die nicht strategisch wichtigen Unternehmensanwendungen in die Cloud migriert und dort betrieben werden?

Sobald das Unternehmen eine klare Vorstellung von seinen Anforderungen hat, gilt es einen geeigneten Partner zu finden, der bei der Ausführung hilft. Dabei sollte beachtet werden, dass ein Anbieter, der den aktuellen Bedürfnissen gerecht wird, möglicherweise bei einer Änderungen der Strategie nicht mehr die gewünschten Anforderungen erfüllen kann. Die eigene Strategie sollte daher nicht als ein statischer Plan behandelt werden und eine gewisse Flexibilität beinhalten. Denn die Geschäftsanforderungen ändern sich in der heutigen Zeit deutlich schneller und auch neue unvorhergesehene Cloud-Technologien werden auf dem Markt erscheinen, die dabei helfen werden das Unternehmen strategisch neu auszurichten. Daher ist es notwendig, die Cloud Strategie als auch den Cloud Computing Anbieter regelmäßig zu überprüfen.

Auswahl des Cloud Computing Anbieters

Jedes Angebot im Cloud Computing ist einzigartig. Sei es ein Infrastructure-as-a-Service, Platform-as-a-Service, Software-as-a-Service, Security Service oder ein Service zur Abbildung eines Geschäftsprozesses. Hinzu kommt, dass sich auch die Anforderungen eines Unternehmens an einen Services mit den Angeboten in der Cloud unterscheiden. Das betrifft in erster Linie den eigentlichen Nutzen für das Unternehmen bis hin zur technologischen Anbindung. Die erste Frage, die einem Cloud Computing Anbieter also grundsätzlich gestellt werden muss, ist, ob er genau den Cloud Service anbieten kann, der von dem Unternehmen benötigt wird. Sollte diese Frage mit ja beantwortet werden, gilt es anschließend den Anbieter genauer zu untersuchen. Verfügt er über langjährige Erfahrungen, hat er ein aussagekräftiges Kundenportfolio, passt der Anbieter ethisch zu dem Unternehmen. Bspw. wäre es für ein Unternehmen, das sich in vielen Bereichen für den Umweltschutz einsetzt, unvorstellbar einen Cloud Computing Anbieter zu wählen, der nicht über eine Green IT Policy verfügt.

Im Verlauf der Prüfung werden dann die detaillierten Anforderungen des Unternehmens untersucht und mit den Angeboten des Cloud Computing Anbieters verglichen. Dazu sollten während der Anforderungsanalyse Attribute definiert werden, die der Cloud Service bzw. die Anwendungen erfüllen müssen und je nach Gewichtung für oder gegen die Wahl des Cloud Computing Anbieters sprechen.

Beurteilung der allgemeinen Sicherheit

Eine der größten Sorgen ist die Datensicherheit in der Cloud und die Funktionsfähigkeit der Infrastruktur für den geschäftskritischen Betrieb. Die Systeme und Daten müssen sich daher in sicheren Händen befinden und das gilt es sicherzustellen. Bei der Auswahl des Cloud Anbieters muss daher zunächst eine Bestandsaufnahme der eigenen Sicherheitsanforderungen gemacht und die Probleme erörtert werden, die es zu bewältigen gilt. Dazu gehören z.B. der Datentransfer, die Speicherung, die Zutrittskontrolle, und Netzwerksicherheit. Im Anschluss muss bestimmt werden, ob der Anbieter über die Sicherheit und Compliance Technologien und Mechanismen verfügt, um diese Bedürfnisse zu erfüllen.

Hier sollte der Anbieter u.a. gefragt werden, wie die Sicherheitsmechnismen funktionieren, um den Schutz der Daten während des Transports und beim Speichern zu gewährleisten oder ob die virtualisierte Infrastruktur wirklich sicher ist. Weiterhin ist es notwendig zu wissen, ob der Anbieter über die entsprechenden Technologien und Prozesse wie Verschlüsselung und Entschlüsselung, Disaster Recovery, Zugangsbeschränkungen, Intrusion Protection/ Prevention und Firewall-Dienste verfügt.

Fragen stellen alleine reicht allerdings nicht. Um den Anbieter wirklich kennenzulernen müssen die Sicherheitdokumentationen und Zertifizierungen eingehend überprüft werden. Auch ein Besuch vor Ort sollte in Betracht gezogen werden, um zu sehen und zu verstehen, was sich hinter der Cloud des Anbieters verbirgt.

Zuletzt sollte immer das Worst-Case-Szenario in die Bewertung des Sicherheitsniveaus des Anbieters einfließen. Denn auch wenn das undenkbare niemals eintreten wird, sollte der Anbieter seine Kunden davor bestmöglich schützen können.

Bewertung des Service und Supports

Da es sich beim Cloud Computing um ein serviceorientiertes Model handelt, sollte sich ein Unternehmen für einen Anbieter entscheiden, der Vertrauen ausstrahlt, über eine ausgezeichnete Infrastruktur verfügt und messbare Ergebnisse nachweisen kann. Zudem sollte der Anbieter über eine hohe Reaktionsfähigkeit (schnelle Reaktion auf betriebliche Probleme) und einen guten proaktiven Support (z.B. Kundenbetreuung, vorbeugende Instandhaltung, Erhöhung der Ressoucen in einem Shared Umfeld etc.) verfügen.
Zwar sind maßgeschneiderte Verträge im Bereich des Cloud Computing nicht üblich, dennoch sollte der Anbieter bereit sein, unternehmensgerechte Service Level Agreements (SLAs) zu definieren. Darin enthalten sein sollten bspw. Performance, Verfügbarkeit, Bereitstellungszeit und ein Problemlösungszeitraum. Dazu gehören wiederum formale Eskalationsrichtlinien und definierte Sanktionen. Weiterhin könnte es interessant und notwendig sein, zu überprüfen, wie die bisherige Erfolgsbilanz bzgl. der Einhaltung der SLAs durch den Anbieter aussieht.

Die Suche nach einem flexiblen Anbieter

Das Interesse am Cloud Computing nimmt immer stärker zu. Jedoch ist kein Unternehmen bereit, seine Systeme vollständig in die Cloud zu verlagern. Daher planen die meisten Unternehmen mit dem Aufbau eines hybriden IT-Ökosystems. Also einer Hybrid Cloud, bei der die Ressourcen im eigene Rechenzentrum (ggf. Private Cloud) mit Ressourcen aus einer externen Cloud Infrastruktur (Public Cloud) kombiniert werden.

Unternehmen sollten hierbei darauf achten, dass der Anbieter in der Lage ist, hybride Umgebungen nahtlos zu integrieren und diese ebenfalls sorgfältig zu verwalten. So kann ein Unternehmen bei Bedarf die benötigten Cloud Services von dem Anbieter beziehen und damit seine internen IT Ressourcen und Möglichkeiten erweitern.

Verstehen des Abrechnungsmodells

Die nutzungsabhängige Abrechnung ist eine der attraktivsten Eigenschaften des Cloud Computing. Unternehmen erhalten dadurch die Möglichkeit, auf hohe Investitionen zu verzichten, indem die Kosten für die Beschaffung von Hard- und Software minimiert werden und wodurch sie ein vorhersehbares Betriebskostenmodell aufbauen können.

Dennoch sollten sich Unternehmen bewusst machen, dass jeder Anbieter seine eigene Art und Weise der Preisgestaltung für seine Services hat. Während einige bspw. eine Instanz pro Stunde oder pro Monat abrechnen, berechnen andere auf Basis der genutzten Ressourcen. Einige Anbieter erwarten z.B. eine Vorauszahlung für einen bestimmten Basis Service und in einigen Fällen muss für die Kundenbetreuung möglicherweise eine zusätzliche Gebühr bezahlt werden. Unternehmen müssen daher das Abrechnungsmodell des Anbieters verstehen, um spätere Überraschungen zu vermeiden und ggf. einen kundenspezifischen Preis auszuhandeln.

Auf in die Cloud

Um sicherzustellen, dass exakt die Cloud Services erworben werden, die ein Unternehmen auch wirklich benötigt, muss der Auswahlprozess klar definiert und sorgfältig vorgenommen werden. Dazu gilt es genau zu wissen, wie die Kriterien für die Nutzung von Cloud Computing heute aussehen und wie sie in Zukunft aussehen könnten bzw. sollen.


Bildquelle: http://www.wirtschaftsforum.de

Kategorien
Analysen

Die Herausforderungen des Cloud Computing: Verträge der Cloud Anbieter

Mit der Adaption von Cloud Computing Technologien und Services stehen Unternehmen Herausforderungen gegenüber, die es zu bewältigen gilt. Zum einen müssen organisatorische Voraussetzungen geschaffen und Aufklärungsarbeit innerhalb des Unternehmens geleistet werden, um die Akzeptanz und das Verständnis zu stärken. Zum anderen treffen aber auch viele “Widerstände” von außen auf das Unternehmen. Das sind neben Fragen bzgl. der Sicherheit und des Datenschutz ebenfalls Themen zur Verfügbarkeit und Performanz des ausgewählten Cloud Service sowie dessen Integrationsfähigkeit in die bereits bestehende IT-Infrastruktur und die nahtlose Unterstützung der vorhandenen Geschäftsprozesse. Und wie auch schon aus den klassischen Sourcingmöglichkeiten bekannt, besteht auch im Cloud Computing die Angst, in die Abhängigkeit eines einzigen Anbieters zu verfallen. So müssen auch hier die Interoperabilität und die Schnittstellen des Anbieters sowie ein Vergleich zu anderen Anbieteren vorgenommen werden.

Ist die Entscheidung für die Nutzung des Cloud Computing gefallen, ist es für Unternehmen zunächst an der Zeit, eine Ist-Analyse der bestehenden IT-Infrastruktur und Systeme vorzunehmen, um auf Basis dieser zu planen, welche Cloud Services adaptiert werden sollen. Hier kann bspw. eine Kosten-/ Nutzen-Analyse weiterhelfen, bei der auch eine Risikobewertung nicht fehlen sollte. Um erste Erfahrungen auf dem Cloud Computing Gebiet zu sammeln, sollte ein Pilotprojekt initiiert werden, welches auf Grund des Cloud Computing Konzepts schnell und kostengünstig gestartet werden kann. Dieses sollte einem Gesamtverantwortlichen “Cloud” untergeordnert sein, der als zentrale Stelle innerhalb der Organisation für die Adaption und Beratung der einzelnen Abteilungen für dieses Thema zuständig ist. Mit den gesammelten Erfahrungen können dann weitere Projekte gestartet werden und die Adaption unterschiedlicher Cloud Services sukzessive vorgenommen werden.

Verträge der Cloud Anbieter

Bevor ein Unternehmen einen Vertrag mit einem Cloud Anbieter eingeht, sollte es sich vorab intensiv mit dem Auswahlprozess und den Inhalten des Vertrags beschäftigen, um zu erkennen, welche Bedingungen im Vertrag auf jedenfall enthalten sein müssen.

Nach Frank Ridder sind die Standardverträge auf Grund der Compliance- und Datenschutz-Anforderungen der Cloud Anbieter ohne Anpassungen für Unternehmen so nicht annehmbar. Weiterhin fehlen “[…] Regelungen bezüglich der zukünftigen Entwicklung der Preise und Qualität der Dienste […]”. Zudem behalten sich viele Cloud Anbieter vor, “[…] die Bedingungen des Vertrages nach Abschluss im Ganzen oder teilweise zu ändern.” Ein Schutz vor steigenden Preisen ist ebenso wenig enthalten, wie “Eine Garantie, dass der Service in Zukunft verbessert werde oder zumindest auf dem gleichen Niveau bleibt […]”.

Ridder rät daher, “[…] mit den Providern zusätzliche Vertragsklauseln auszuhandeln, die vor Zusatzkosten oder steigenden Preisen schützen […]”. Zudem müssen insbesondere Unternehmen mit hohen Sicherheitsanforderungen unbedingt nachverhandeln. Dadurch kann sich der Preis aber auch das eigene Risiko erhöhen. Aus diesem Grund muss das Unternehmen bereits vor dem Weg in die Cloud eine detaillierte Risiko-Analyse vornehmen und diese während den gesamten Vertragsverhandlungen und der Vertragslaufzeit fortführen.


Bildquelle: http://imageshack.us