Cloud-Checkliste: Zehn Dinge, die in Provider-Verträgen geregelt sein müssen
14.03.2012 Cloud Computing wird Realität - die Unternehmen denken darüber nach, wie sie die Cloud für ihre IT nutzen können. Wer einem Provider die Verantwortung für wesentliche IT-Ressourcen überträgt, muss mit ihm klare Regelungen treffen. Der Service Provider Easynet hat die wichtigsten Punkte zusammengefasst, die Anwender bei der Festlegung von SLA (Service Level Agreement) - beziehungsweise in sonstigen Verträgen - für das Cloud Computing keinesfalls übersehen sollten:
- Technische Parameter - Die grundlegenden technischen Parameter müssen genau definiert werden, vor allem die nutzbaren Bandbreiten, die garantierte Verfügbarkeit, eventuelle Wartungs- und Reaktionszeiten, das Datenvolumen, aber auch die Datenarten, ob beispielsweise nur strukturierte Daten oder auch Multimedia-Daten abgedeckt werden.
- Prozessbezogene Kennzahlen - Über die technischen Basis-Parameter hinaus können sich Anwender auf prozessbezogene Kennzahlen beschränken und zum Beispiel für einen Online-Verkaufsvorgang die Reaktionszeiten, vom Einstellen eines Artikels in den Warenkorb des Shops bis zum Auftrag vereinbaren.
- Messmethoden - Für die verwendeten Parameter muss auch festgelegt werden, wie sie gemessen werden. So muss etwa für ein bestimmtes Verfügbarkeitsniveau genau definiert sein, wann, wo und mit welchen Methoden die Verfügbarkeit ermittelt wird.
- Monitoring - Ein umfassendes und skalierbares Monitoring für die laufenden Prozesse sowie ein entsprechendes Reporting ist für die SLA unverzichtbar.
- Speicherort - Es muss festgelegt sein, wo die Daten vom Provider gespeichert werden - zum Beispiel in Deutschland, in der EU oder weltweit. Dies ist auf Grund unterschiedlicher rechtlicher Regelungen unerlässlich.
- Eigentum an den Daten - Es muss klar sein, wem die vom Provider verarbeiteten Daten gehören - dem Provider oder seinem Kunden.
- Gerichtsstand - Für Streitigkeiten ist der Gerichtsstand von größter Bedeutung; die besten SLA nützen nämlich nichts, wenn sie auf den Antillen eingeklagt werden müssen. Mit dem Gerichtsstand entscheidet sich auch, welches Recht im Streitfall zur Anwendung kommt.
- Datensicherheit - Der Provider muss klar darlegen, was er zur Herstellung einer hohen Datensicherheit unternimmt, insbesondere bei kritischen und personenbezogenen Daten.
- Nachprüfbarkeit - Kunden müssen überprüfen können, ob die Festlegungen des Providers hinsichtlich der Datensicherheit eingehalten werden. Auch dazu müssen bereits in den SLA Vereinbarungen getroffen werden.
- Verbleib der Daten - Die SLA müssen auch Angaben dazu enthalten, was mit den Daten nach Ende der Geschäftsbeziehung geschieht, ob beispielsweise der Provider bei strittigen Forderungen ein Zurückbehaltungsrecht hat: Für solche Fälle sollte man bereits in den SLA eine Schiedsstelle vereinbaren.
Standard-Cloud-Angebote arbeiten in der Regel mit fertig vorgegebenen SLA, die seitens des Kunden nicht verändert oder nachverhandelt werden können. Diese Normierung ist meist die Voraussetzung für günstig angebotene Leistungen eines Cloud-Providers. Hier müssen Unternehmen genau prüfen, wo und wie weit die Standard-SLA von einem eigenen Soll-SLA abweichen - sind davon substantielle Punkte betroffen, kann das jeweilige Angebot nicht genutzt werden.
"Cloud von der Stange bedingt naturgemäß auch SLA von der Stange - dass individuelle Anforderungen darin nicht berücksichtigt werden können, versteht sich", erklärt Diethelm Siebuhr , Geschäftsführer Central Europe von Easynet Global Services. "In wie weit dies für Unternehmen relevant ist, entscheidet sich an der Aufgabenstellung: Wer beispielsweise kurzfristig eine Testumgebung aufbauen muss, wird damit vermutlich keine Probleme haben. Wer aber aus der Cloud Ressourcen für die Verarbeitung seiner kritischen Unternehmensdaten bezieht, benötigt wasserdichte und damit individuelle SLA, wie er sie bei entsprechend individuellen Cloud-Lösungen erhält."