Cloud Computing verlangt klare IT-Prozesse

16.09.2010
Von Jürgen Dierlamm 
Wer Cloud-Services einkauft, muss die eigenen Service-Management-Prozesse überarbeiten. Mit dem Provider sollte geklärt werden: Wer ist wofür zuständig?

Grundsätzlich gilt für die Nutzung von Cloud-Services in rechtlicher und vertraglicher Hinsicht dasselbe wie für das IT-Outsourcing im Allgemeinen: Good Fences make good Neighbours. Entscheidend sind also die Verträge, die das "operationelle Risiko" betreffen; bei externen Cloud-Services ist es als "Vertragsrisiko" ausgeprägt. Wichtig ist die trennscharf beschriebene Dokumentation von Rechten und Pflichten diesseits und jenseits des Zauns.

Erste Voraussetzung ist, dass der Anbieter von Cloud-Services seine Pflichten beherrscht und sie gemäß Service-Level-Agreements (SLAs) liefert. Zweitens muss der Anwender die Services steuern und bewerten können. Kurz: Auf beiden Seiten sollte ein Service-Management vorhanden sein. Dieses richtet sich zweckmäßigerweise an den Best Practices von Itil (IT Infrastructure Library) aus.

Beim Cloud Computing kauft die Anwenderorganisation bewusst die reine Dienstleistung ein - einschließlich der Itil-Prozesse, die auf Seiten des Providers stattfinden. Diese Prozessleistungen muss der Auftraggeber also nicht mehr selbst erbringen. Trotzdem bleiben auch nach dem Einkauf der Cloud-Services noch genügend prozessbezogene Aktivitäten zu leisten.

Der Anwender muss kontrollieren

Cloud Computing lässt sich als Kombination von Application-Services und Virtualisierungs-Services im Sinne einer On-Demand-Nutzung definieren. Wie bereits angedeutet, gibt es einen entscheidenden Unterschied zu den früheren ASP-Modellen: Die IT-Infrastruktur hinter dem Betrieb der Applikationen wird heute vom Anbieter, nicht mehr vom Kunden gestellt. Das befreit die Anwenderorganisation von einigen Pflichten, etwa dem Asset-, Configuration- oder Lizenz-Management. Allerdings obliegt dem Auftraggeber nun die Aufgabe, den Anbieter zu kontrollieren, denn er muss seinen Kunden auf der Business-Seite nachweisen können, dass die Cloud-Services zur Wertschöpfung in den Geschäftsprozessen beitragen.

Das ITSM-Umfeld (IT-Service-Management) der Cloud-Service-Anbieter – in der Itil-Terminologie "Supplier" genannt – sollte alle Itil-Prozesse berücksichtigen. Ein Itil-konformes Account-Management gegenüber den Anwenderorganisationen sollte eine Selbstverständlichkeit sein.

Die IT-Organisation des Auftraggebers muss sich sowohl um die Steuerung der eigenen als auch fremdbezogener IT-Services kümmern. Selbst nach einem Full-Outsourcing der IT sollten die Business Units niemals direkt mit der Steuerung der Outsourcing-Partner betraut werden. Vielmehr ist es sinnvoll, als Filter zwischen Business und IT-Betrieb eine IT-Abteilung als "Retained Organization" zu etablieren. Sie agiert als Übersetzer für die Business-Anforderungen an die Adresse des IT-Providers, aber auch als Steuerungsinstanz für die Erbringung von IT-Leistungen. Folglich zeichnet sie auch für den Einkauf der Cloud-Services verantwortlich.

Um Cloud-Services zu vereinbaren, sind Outsourcing-Verträge (nach Itil: "Underpinning Contracts") notwendig. Hierzu gehören auch SLAs, in denen die Parameter der Leistungserbringung festgeschrieben werden: Availability, Capacity, Service Continuity, Security, Service Transition, Service Operation, aber auch Service Improvement, also die Verbesserung der Dienstleistung. Die Steuerung der in den Verträgen und SLAs vereinbarten Serviceerbringung obliegt wiederum der IT-Abteilung.

Wichtige Itil-Prozesse

Wie erwähnt, kann man den Business Units einer Anwenderorganisation nicht guten Gewissens empfehlen, neben dem hauseigenen IT-Provider auch noch den externen Anbieter von Cloud-Services zu steuern. Das übernimmt die Retained Organization. Sie muss die Cloud-Services ins eigene Serviceportfolio, in den Servicekatalog und in die eigenen, mit den Fachbereichen vereinbarten SLAs einfügen. Das bedeutet zum Beispiel, dass es nur noch einen Incident-Management-Prozess gibt – für die internen und die Cloud-Services.

An dieser Stelle müssen folgende Itil-Porzesse im Outsourcing-Vertrag und in den SLAs berücksichtigt werden:

  • Supplier-, Service-Level- und Financial-Management;

  • Incident-, Problem- und Access-Management;

  • Request Fulfillment.

Anhand des Service-Lifecycles lässt sich darstellen, welche Itil-Prozesse beim Anwender verbleiben und welche durch den Anbieter wahrgenommen werden müssen.

1. Service Strategy: Die Sourcing-Entscheidung will vorbereitet sein

Als erste Pflichtübung müssen die Nutzer von Cloud-Services die Strategieentscheidung fällen: Passen die Cloud-Services in die Servicestrategie, die Architekturplanung und vor allem ins Sourcing-Konzept? Unternehmen, die bereits Teile ihrer IT ausgelagert haben, werden sich sicher leichter tun als Neulinge.

Die Entscheidung für die Vergabe an einen bestimmten Anbieter muss ordentlich vorbereitet und bewusst getroffen werden. Wichtig ist vor allem der Prozess Financial-Management – für die Bewertung der Anbieter sowie der IT-Assets, die beim Cloud-Service ja nicht mehr selbst beschafft und bilanziert werden müssen, weil sie vom Anbieter kommen. Dieser rechnet seine Aufwände in die Servicepreise ein, die dann über die Charging-Prozesse im IT-Controlling zu refinanzieren sind. Wenn man Hardware- und RZ-Kapazität vom Anbieter einkauft, werden eventuell eigene Kapazitäten freigesetzt. All das ist gut vorzubereiten und aktiv zu managen.

2. Service Design: Die Lieferbeziehung muss proaktiv gemanagt werden

Vor allem die Prozesse und Aktivitäten aus dem Supplier-Management und dem Service-Level-Management spielen beim Service Design eine Rolle. Saubere IT-Verträge zwischen den beiden Seiten sind notwendig, um den gestiegenen Compliance-Anforderungen Rechnung zu tragen. Alle Parameter des Service-Designs (Verfügbarkeiten, Kapazitäten etc.) müssen in die Verträge und ins Service-Level-Controlling integriert werden. Hierbei sind auch Kennzahlen für die Applikationen selbst (End-to-End-Service-Levels) aufzunehmen, nicht nur für die IT-Infrastruktur.

Sind die Verträge erst einmal geschlossen, müssen sie aktiv gemanagt werden – was Kosten, Kennzahlen und Qualität angeht. Auch die Integration in das eigene Servicekatalog- und Service-Level-Management ist nicht zu vernachlässigen.

Vor allem mit der Zusage von Verfügbarkeiten – eines der wichtigsten Attribute für das Risiko-Management, aber auch für den Datenschutz – ist es bei den Anbietern offenbar noch nicht allzu weit her. SLAs mit zugesicherten Verfügbarkeiten sind auf dem Gebiet des Cloud Computing bis in die jüngste Vergangenheit eher die Ausnahme als die Regel. Wenn sich daran nichts ändert, wird das Cloud-Szenario nicht den gewünschten Effekt bringen.

3. Service Transition: Wie verändern sich die Services in der Cloud?

Die im Umfeld interner IT-Dienstleister wichtigen Prozesse Change-, Release- und Configuration-Management sind im Rahmen eines Cloud-Verhältnisses nicht so entscheidend. Sie werden Teil der Verträge und SLAs. Die Assets und Lizenzen kommen vom Anbieter. Er muss über eine adäquate Steuerung verfügen – und hat das auf Anfrage der Anwender auch nachzuweisen.

Werden erstmals Cloud-Services bezogen, so muss sich der Anwender fragen, wie sie sich auf Endgeräte und Clients auswirken werden, zum Beispiel auf das Web-Frontend oder eigene Applikationen. Zudem ist das Thema Netzintegration wichtig. Aber das Gros der Aufgaben liegt hier beim Supplier.

4. Service Operation: Der Erfolg hängt von den Operation-Prozessen ab

Einer der Schlüsselfaktoren für den Erfolg von Cloud-Services im Anwenderunternehmen ist die Integration von Incident- und Problem-Management sowie Request Fulfillment in die eigenen Prozesse für die Serviceerbringung. Hinsichtlich der Requests und Incidents muss es eine durchgängige Kette vom Anwender über die (steuernde) IT-Organisation bis zum Anbieter geben – ohne dass es hier zu unnötigen "Durchlauferhitzer-Symptomen" kommt.

Der Anbieter ist dafür zuständig, dass die Störfälle und Probleme beseitigt sowie die Requests abgearbeitet werden. Aber aus Compliance-Gründen ist die IT-Abteilung der Anwenderorganisation ebenfalls in die Prozesse einzubinden.

Ständige Verbesserung

Auch die Cloud muss den Anforderungen an eine kontinuierliche Serviceverbesserung genügen. Dafür ist der Anbieter zuständig, und das gehört in die Verträge. Es muss geklärt sein, in welchen Zyklen was gemessen, analysiert und einer Verbesserung unterzogen wird. Die IT-Abteilung fungiert hier einmal mehr als Übersetzerin der Business-Anforderungen und Überbringerin der Cloud-Computing-Kennzahlen.

Ein ausführliches Positionspapier zum Thema finden Sie im Bookshop des itSMF (www.itsmf.de). (qua)