Auf dem Weg in die Cloud stellt sich den Unternehmen aus Sicherheitssicht, wie wir bereits erfahren haben, eine Reihe wichtiger Fragen. Dabei geht es unter anderem auch um Service Level Agreements (SLA) sowie die Interoperabilität zwischen verschiedenen Cloud-Anbietern. Auf welche SLA ein IT-Verantwortlicher beim Abschluss eines Cloud-Vertrags bestehen sollte – etwa hinsichtlich der Dienstgüte, Verfügbarkeit und Datensicherheit –, hängt stark von der Art des Cloud-Vertrags ab.
Geht es um eine Verlagerung interner Workloads in die Cloud, muss der Kunde hinsichtlich Verfügbarkeit und Datensicherheit die gleichen SLA garantiert bekommen wie bisher bei der Bereitstellung durch den internen Provider. Soll ein neuer Service zusätzlich zu den internen Services genutzt werden, kommt es ganz auf die Anforderungen der Fachbereiche im Unternehmen an. Benötigt zum Beispiel die Vertriebsabteilung bei Nutzung eines CRM-Services bestimmte garantierte Verfügbarkeiten, müssen diese mit dem Cloud-Anbieter verhandelt werden. In den Service Levels gilt es dann zu definieren, ob Verfügbarkeiten zum Beispiel auch ausserhalb der üblichen Bürozeiten gegeben sein müssen. SLA zu Datensicherheit und Datensicherungsmassnahmen hängen wiederum ganz von der Art der zu bearbeitenden Daten ab.
Dies berührt auch die Entscheidung zwischen Public und Private Cloud. Bei ersterer hängt die Ausgestaltung der SLA stark davon ob, ob es um die Verlagerung bestehender oder die Nutzung neuer, zusätzlicher Services gilt. Was die Security angeht, müssen in Public Clouds natürlich grundsätzlich höhere Massstäbe angesetzt werden, als wenn ein Unternehmen Dienste in eine Private Cloud auslagert. Der letztere Fall versetzt ein Unternehmen in die Lage, seine bisherigen internen Service Level noch zu optimieren und auf die neuen technischen Möglichkeiten abzustimmen – zum Beispiel die in der Private Cloud mögliche Automatisierung von Provisioning-Vorgängen in den internen SL abzubilden und so dafür zu sorgen, dass die IT die Geschäftsanforderungen noch besser erfüllt als zuvor.
Migrationsszenarien vorab definieren
Früher oder später wird beim Cloud-Betrieb auch das Thema Migration auftauchen. Wie aufwendig ist nun nach einer Vertragskündigung der Wechsel von einem Public-Cloud-Anbieter zum anderen? Generell umso einfacher, je deutlicher man mit seinem Cloud-Anbieter im Vorhinein solche Migrationsszenarien definiert. Die lose Kopplung von Cloud-Services in die interne IT und Prozesslandschaft mittels Cloud-Integrationslösungen erleichtert überdies den Anbieter-Wechsel.
Für Anwenderunternehmen wären in diesem Zusammenhang und, um den Zugang zu SaaS-/Cloud-Services ganz grundsätzlich zu vereinfachen, allgemein verbindliche Cloud-Standards und -Zertifikate wünschenswert. Solche befinden sich derzeit in der Entstehung, unter anderem von der Cloud Security Agency sowie vom SaaS-Ecosystem e.V. als deutsche Cloud-Initiative. In einem Zertifikat könnte der Cloud-Anbieter beispielsweise detailliert Auskunft zu Punkten wie Migrationsszenarien geben. Zum Beispiel, ob der Kunde ein Format definieren kann, in dem er seine Daten vom Cloud-Anbieter bei Kündigung auch garantiert wieder ausgeliefert bekommt.
Um sicherzugehen, dass die beim alten Cloud-Anbieter verbliebenen Unternehmensdaten sicher und gesetzeskonform gelöscht werden, bedarf es schliesslich auch vertraglicher Regeln – wie sie ja auch beim bisherigen Outsourcing und Hosting schon gang und gäbe sind. Nicht anders ist es mit dem Cloud-Betreiber. Gegenwärtig werden auch Standards für genau solche Formen der Interoperabilität erarbeitet. Generell gilt: Der schnelle Wechsel von einem zum nächsten Anbieter ist umso einfacher, je genauer der Kunde definieren kann, in welcher Form er beim Wechsel seine Daten zurück erhält.
Wolfgang Schmidt ist Vorstandsmitglied des SaaS-Ecosystem e.V. und Geschäftsführer von X-Integrate Software & Consulting.
Was in den SLA nicht fehlen darf
Der international tätige Service Provider Easynet hat die zehn wichtigsten Punkte zusammengefasst, die Anwender bei der Festlegung von SLA (Service Level Agreement) – beziehungsweise in sonstigen Verträgen – für das Cloud Computing ganz generell keinesfalls übersehen sollten:
1. Technische Parameter – Die grundlegenden technischen Parameter müssen genau definiert werden, vor allem die nutzbaren Bandbreiten, die garantierte Verfügbarkeit, eventuelle Wartungs- und Reaktionszeiten, das Datenvolumen, aber auch die Datenarten, ob beispielsweise nur strukturierte Daten oder auch Multimedia-Daten abgedeckt werden.
2. Prozessbezogene Kennzahlen – Über die technischen Basis-Parameter hinaus können sich Anwender auf prozessbezogene Kennzahlen beschränken und zum Beispiel für einen Online-Verkaufsvorgang die Reaktionszeiten, vom Einstellen eines Artikels in den Warenkorb des Shops bis zum Auftrag vereinbaren.
3. Messmethoden – Für die verwendeten Parameter muss auch festgelegt werden, wie sie gemessen werden. So muss etwa für ein bestimmtes Verfügbarkeitsniveau genau definiert sein, wann, wo und mit welchen Methoden die Verfügbarkeit ermittelt wird.
4. Monitoring – Ein umfassendes und skalierbares Monitoring für die laufenden Prozesse sowie ein entsprechendes Reporting ist für die SLA unverzichtbar.
5. Speicherort – Es muss festgelegt sein, wo die Daten vom Provider gespeichert werden – zum Beispiel in Deutschland, in der EU oder weltweit. Dies ist auf Grund unterschiedlicher rechtlicher Regelungen unerlässlich.
6. Eigentum an den Daten – Es muss klar sein, wem die vom Provider verarbeiteten Daten gehören – dem Provider oder seinem Kunden.
7. Gerichtsstand – Für Streitigkeiten ist der Gerichtsstand von grösster Bedeutung; die besten SLA nützen nämlich nichts, wenn sie auf den Antillen eingeklagt werden müssen. Mit dem Gerichtsstand entscheidet sich auch, welches Recht im Streitfall zur Anwendung kommt.
8. Datensicherheit – Der Provider muss klar darlegen, was er zur Herstellung einer hohen Datensicherheit unternimmt, insbesondere bei kritischen und personenbezogenen Daten.
9. Nachprüfbarkeit – Kunden müssen überprüfen können, ob die Festlegungen des Providers hinsichtlich der Datensicherheit eingehalten werden. Auch dazu müssen bereits in den SLA Vereinbarungen getroffen werden.
10. Verbleib der Daten – Die SLA müssen auch Angaben dazu enthalten, was mit den Daten nach Ende der Geschäftsbeziehung geschieht, ob beispielsweise der Provider bei strittigen Forderungen ein Zurückbehaltungsrecht hat. Für solche Fälle sollte man bereits in den SLA eine Schiedsstelle vereinbaren.
Was ist mit Standard-SLA?
Standard-Cloud-Angebote arbeiten in der Regel mit fertig vorgegebenen SLA, die seitens des Kundens nicht verändert oder nachverhandelt werden können. Diese Normierung ist meist die Voraussetzung für günstig angebotene Leistungen eines Cloud-Providers. «Hier müssen Unternehmen genau prüfen, wo und wie weit die Standard-SLA von einem eigenen Soll-SLA abweichen – sind davon substantielle Punkte betroffen, kann das jeweilige Angebot nicht genutzt werden», gibt Easynet einen letzten, wichtigen Tipp.
