Kategorien
Management

Cloud Computing und Service Level Agreements: Das sollte nicht fehlen!

Unternehmen müssen die Leistungen, die Provider beim Cloud Computing erbringen sollen, genau definieren. Der Hamburger Managed Service Provider Easynet hat dazu zehn wesentliche Punkte zusammengestellt, die in den Verträgen und SLAs von Cloud-Projekten nicht fehlen sollten.

Cloud Computing ist zur Realität geworden – viele Unternehmen denken darüber nach, wie sie die Cloud für ihre IT nutzen können oder haben bereits konkrete Schritte vorgenommen. Wer einem Cloud Provider die Verantwortung für wesentliche IT-Ressourcen überträgt, muss mit ihm klare Regelungen treffen. Die folgenden zehn Punkte beinhalten die wesentlichen Aspekte, die Anwender bei der Festlegung von SLAs (Service Level Agreements) – beziehungsweise in sonstigen Verträgen – für das Cloud Computing keinesfalls vernachlässigen sollten:

  1. Technische Parameter – Die grundlegenden technischen Parameter müssen genau definiert werden, vor allem die nutzbaren Bandbreiten, die garantierte Verfügbarkeit, eventuelle Wartungs- und Reaktionszeiten, das Datenvolumen, aber auch die Datenarten, ob beispielsweise nur strukturierte Daten oder auch Multimedia-Daten abgedeckt werden.
  2. Prozessbezogene Kennzahlen – Über die technischen Basis-Parameter hinaus können sich Anwender auf prozessbezogene Kennzahlen beschränken und zum Beispiel für einen Online-Verkaufsvorgang die Reaktionszeiten, vom Einstellen eines Artikels in den Warenkorb des Shops bis zum Auftrag vereinbaren.
  3. Messmethoden – Für die verwendeten Parameter muss auch festgelegt werden, wie sie gemessen werden. So muss etwa für ein bestimmtes Verfügbarkeitsniveau genau definiert sein, wann, wo und mit welchen Methoden die Verfügbarkeit ermittelt wird.
  4. Monitoring – Ein umfassendes und skalierbares Monitoring für die laufenden Prozesse sowie ein entsprechendes Reporting ist für die SLA unverzichtbar.
  5. Speicherort – Es muss festgelegt sein, wo die Daten vom Provider gespeichert werden – zum Beispiel in Deutschland, in der EU oder weltweit. Dies ist auf Grund unterschiedlicher rechtlicher Regelungen unerlässlich.
  6. Eigentum an den Daten – Es muss klar sein, wem die vom Provider verarbeiteten Daten gehören – dem Provider oder seinem Kunden.
  7. Gerichtsstand – Für Streitigkeiten ist der Gerichtsstand von größter Bedeutung; die besten SLA nützen nämlich nichts, wenn sie auf den Antillen eingeklagt werden müssen. Mit dem Gerichtsstand entscheidet sich auch, welches Recht im Streitfall zur Anwendung kommt.
  8. Datensicherheit – Der Provider muss klar darlegen, was er zur Herstellung einer hohen Datensicherheit unternimmt, insbesondere bei kritischen und personenbezogenen Daten.
  9. Nachprüfbarkeit – Kunden müssen überprüfen können, ob die Festlegungen des Providers hinsichtlich der Datensicherheit eingehalten werden. Auch dazu müssen bereits in den SLA Vereinbarungen getroffen werden.
  10. Verbleib der Daten – Die SLA müssen auch Angaben dazu enthalten, was mit den Daten nach Ende der Geschäftsbeziehung geschieht, ob beispielsweise der Provider bei strittigen Forderungen ein Zurückbehaltungsrecht hat: Für solche Fälle sollte man bereits in den SLA eine Schiedsstelle vereinbaren.

Standard-Cloud-Angebote arbeiten in der Regel mit fertig vorgegebenen SLAs, die durch den Kunden nicht verändert oder nachverhandelt werden können. Diese Normierung ist meist die Voraussetzung für günstig angebotene Leistungen eines Cloud-Providers. Hier müssen Unternehmen genau prüfen, wo und wie weit die Standard-SLAs von einem eigenen Soll-SLAs abweichen – sind davon substantielle Punkte betroffen, sollte das jeweilige Angebot nicht genutzt werden.


Quelle: Easynet
Bildquelle: http://www.supplierrelationships.com, http://bluebuddies.com

Kategorien
Management

Cloud Computing und die rechtlichen Hintergründe

Beim Einsatz von Cloud Computing gilt es rechtliche Fragen zu klären. Sind die wichtigsten allerdings bekannt und können diese beantwortet werden, steht dem rechtlich sicheren Einsatz von Cloud Computing nichts mehr im Weg.

In einer Public Cloud haben die Benutzer nicht mehr die vollständige Kontrolle und den Überblick, wo ihre Daten tatsächlich gespeichert sind. Wo allerdings keine Kontrolle herrscht, kann auch nicht gesteuert werden. Die nicht mehr vorhandene Hoheit der Daten führt in diesem Fall zu rechtlichen Problemen. Hier sollte zunächst der Ansatz verfolgt werden, keine personenbezogenen Daten in die Cloud zu verlagern, da diese nicht den deutschen Datenschutzbestimmungen unterliegen. Werden allerdings doch personenbezogene Daten in der Cloud gespeichert, muss hier in jeden Fall die Zustimmung aller betroffenen Personen vorliegen.

Des Weiteren kann der Speicherort der Daten auf eine bestimmte Region festgelegt werden. In diesem Fall werden die Daten z.B. ausschließlich in Deutschland gespeichert, wodurch automatisch die deutschen Datenschutzbestimmungen gelten. Dabei sollte vorher natürlich vertraglich festgehalten werden, dass die Daten ausschließlich in dieser bestimmten Region abgelegt werden und nicht über mehrere verteilt sind.

Eine mögliche „Lücke“ erhalten Cloud Anbieter mittels des Paragraphen 11 des Bundesdatenschutzgesetzes (BDSG). Dieser regelt die sogenannte Auftragsdatenverarbeitung. Dabei erhält der Cloud Anbieter durch den Auftrag seines Kunden das Recht die personenbezogenen Daten zu verarbeiten. Das impliziert natürlich, dass eine Verarbeitung der Daten nur dann vorgenommen werden darf, wenn der Kunde explizit die Rechte für das Erheben, Nutzen und Verarbeiten hat. Das ganze funktioniert natürlich nur, wenn der Kunde auch der Herr dieser Daten ist, also volle Kontrolle darüber hat. Allerdings spricht dieses genau gegen den eigentlichen (organisatorischen) Sinn und Hintergrund des Cloud Computing, da die in diesem Modell Daten per se überall verteilt gespeichert sind. Hinzu kommt, dass die Auftragsdatenverarbeitung nur im Wirtschaftsraum der europäischen Union (EU) so umgesetzt werden kann. Außerhalb der EU gelten andere Gesetzt zur Verarbeitung personenbezogener Daten.

Weiterhin ist zu beachten, dass die Daten in der Cloud verschlüsselt gespeichert sind, aber im Falle der Verarbeitung entschlüsselt werden müssen. Hier müssen noch technische Lösungen gefunden werden. Abgesehen davon müssen Anbieter von Cloud Services, speziell für Angebote in Deutschland das BDSG und hier insbesondere den Paragraph 9 beachten. In diesem sind alle Anforderungen festgehalten, die benötigt werden, um die technischen und organisatorischen Vorschriften des BDSG einzuhalten. Dazu gehört ebenfalls, wie der physische Zutritt, der Zugriff, die Eingabe und die Weitergabe der Daten nach Datenschutz- und Compliance spezifischen Vorgaben zu erfolgen hat.

Wichtig bei der Verlagerung der Infrastruktur in die Cloud sind – nicht nur rein rechtlich – die Leistungsübergabepunkte. An diesen Punkten wird u.a. die Verfügbarkeit eines genutzten Services festgelegt und gemessen. Hier gilt es also mittels eines Service Level Agreement (SLA) vertraglich festzulegen, welche Pflichten ein Cloud Anbieter gegenüber seinen Kunden zu erfüllen hat. Dazu gehören u.a. das Vorhandensein von Notfallplänen, die Verfügbarkeit der Services, aber auch die Möglichkeit für den Kunden, die im Vertrag festgehaltenen Pflichten mittels eines Audits zu überprüfen. SLAs sollten hinsichtlich der Art des spezifischen Services definiert werden, realistisch messbar sein und vor allem die tatsächlichen Leistungsanforderungen reflektieren. Für den Fall, das ein Service Level nicht eingehalten wird, müssen entsprechende (hohe) Strafzahlungen für den Cloud Anbieter vorgesehen werden.

Kategorien
Literatur

Buch – Cloud Computing Best Practices for Managing and Measuring Processes for On-demand Computing, Applications and Data centers in the Cloud with SLAs

Titel: Cloud Computing Best Practices for Managing and Measuring Processes for On-demand Computing, Applications and Data centers in the Cloud with SLAs

Autor: Haley Beard

Beschreibung:
„The #1 best-selling Cloud Computing book of all time, revised and updated to keep pace with today’s ever-changing developments, possibilities and opportunities. Updates and revisions throughout.
The first edition of this book is regarded as a classic in its field. Now, in an expanded and updated version, the authors once again present a step-by-step guide to Managing Cloud Computing Initiatives.

Computing as a utility has arrived. Companies are shifting from a world in which we run computers, to one in which we pay for computing. The benefits are tremendous: Cost-effective infrastructure that scales as needed, and an ability to focus on the business rather than the platforms. But the risks are high, and cloud computing may not be ready for prime time. This book offers a first-time in-depth look into the managed processes for cloud computing.

How reliable is the cloud? Enterprises demand predictable service levels, reliable delivery, and committed availability. This book looks at what level of service we should demand – and can expect – from cloud computing infrastructure, as well as tools and best practices for measuring it.

New computing means new management. This book covers emerging best practices for managing applications when they’re running in the cloud.

Considering the increasing number of IT Professionals and their Organizations who want to be actively involved in Cloud Computing Management, this book, which paves the way for a strong Foundation, should do at least as well as the first edition, which is a bestseller.“

Bestellmöglichkeit: Amazon

Cover: