Wer Cloud Services in Anspruch nimmt, der sollte seinen Provider hinsichtlich der Leistungserbringung vernünftig prüfen können. Manch ein Unternehmen verlässt sich dabei auf Standards. Angesichts verschiedenster Bereitstellungsmodelle ist dies aber nicht unbedingt vernünftig.
Mein Kollege Mike Small hat in dem gerade erschienen KuppingerCole-Report „Cloud Provider Assurance“ eine Reihe von Kenngrößen zusammengestellt, mit denen die Leistungserbringung von Dienstanbietern in der Cloud überprüft werden kann. Solche Controls sind ein unverzichtbares Element in einem strategischen Ansatz für das Cloud Computing, ebenso wie standardisierte und strukturierte Vorgehensweisen für die Auswahl von Cloud Service Providern.
Unternehmen sehen sich aber bei der Definition und Umsetzung solcher Strategien in die betriebliche Praxis mit einigen Herausforderungen konfrontiert. Neben der immer noch unscharfen Sicht darauf, was die Cloud nun ist und was nicht, sind das vor allem zwei Punkte:
Es gibt eine Unzahl an Standardisierungsinitiativen rund um das Thema „Cloud Provider Assurance“, also die Überwachung und Überprüfung der korrekten Leistungserbringung durch Cloud-Service-Provider.
Auf der anderen Seite gibt es jedoch keine relevanten Standardisierungsbemühungen für eine einfache, schnelle und fokussierte Auswahl von Cloud-Service-Providern.
Eine unlängst veröffentlichte Untersuchung zählte über 30 Initiativen zur Standardisierung der Cloud Provider Assurance. Es ist offensichtlich, dass das eine für die Anwenderunternehmen wenig hilfreiche Situation ist, denn die meisten dieser Initiativen sind noch nicht ausgereift.
Erschwerend kommt hinzu, dass es schlichtweg viel zu viele und noch dazu schlecht abgestimmte Standardisierungsbemühungen sind. Es wird nicht klar, wie ein pragmatischer Ansatz aussehen kann, um diese Herausforderung zu adressieren – mein Kollege stellt eine Vorgehensweise vor, die sich eng an der ISO 27001 orientiert und damit auch die Brücke zur internen IT baut.
Die in der Studie aufgezeigten Ansätze hingegen behandeln das Thema oft nicht sehr praxisnah und widersprechen sich teilweise sogar. Manche sind auf spezielle Anforderungen in bestimmten Regionen ausgerichtet. Und die allermeisten betrachten das Thema völlig isoliert von der bestehenden IT.
Letzteres ist aber ein fundamentaler Fehler, weil die allermeisten Unternehmen auch auf längere Zeit hybride Umgebungen haben werden, in denen Dienste aus unterschiedlichen Bereitstellungsmodellen, von der klassischen internen IT bis hin zur „public“ Cloud, bezogen werden. IT-Management braucht deshalb Ansätze, um die Serviceerbringung für alle diese Modelle steuern und überwachen zu können – und eben nicht nur für die Cloud.
Die Cloud – nicht für jeden Anwendungsfall geeignet
Neben der Überwachung dessen, was man aus der Cloud bezieht, gibt es die Herausforderung, dass man vorher erst einmal die richtigen Cloud Services finden muss. Das schließt eine noch weitergehende Frage ein: Was ist der beste Weg der Leistungserbringung?
Bei jedem Auswahlprozess muss also geprüft werden, ob die Cloud das geeignete Modell ist. Die interne IT, das Outsourcing oder Mischformen können aus Kostengründen, Sicherheitsgründen, aus rechtlichen Aspekten oder anderen Gründen die bessere Wahl sein. Es geht also nicht nur um die Frage, welchen Cloud-Dienstanbieter man wählt, sondern auch darum, ob man überhaupt einen auswählt.
Dieser Prozess muss in strukturierter und einfacher Weise umgesetzt werden. Die Auswahl sollte schnell von Statten gehen und dennoch sicherstellen, dass alle wesentlichen Anforderungen an Cloud Service Provider geprüft werden. Hier gibt es noch keine Standards.
Unsere Erfahrungen zeigen allerdings, dass man solche Prozesse gut definieren kann und damit strukturierte und schnelle Entscheidungsprozesse in Unternehmen umsetzen kann. Ein Report, an dem ich aktuell arbeite, wird solche Ansätze näher vorstellen.
Bezeichnend ist aber, dass es derzeit keine nennenswerten Standardisierungsbemühungen zu diesem Thema gibt. Offensichtlich gehen die meisten Standardisierungsinitiativen davon aus, dass die Cloud immer das bessere Bereitstellungsmodell für IT-Dienste ist (was sie nicht immer ist) oder sie haben nicht erkannt, dass es viel besser ist, wenn man vorab vermeidet, Fehler in der Auswahl von Bereitstellungsmodellen und Dienstanbietern zu machen statt sie nachher in einem Überwachungsansatz zu erkennen und zu beseitigen versuchen.