Standardverträge für Cloud-Services begünstigen oft den Anbieter. Gartner hat neun Punkte zusammengetragen, wo sich das Feilschen dennoch lohnt.
Die Beschaffung aus der Internet-Wolke wird immer populärer. "Cloud-Lösungen scheinen häufig niedrigere Einstiegs- und Wechselkosten aufzuweisen als traditionelle Modelle", bestätigt Alexa Bona, Research Vice President beim Marktforschungs- und Beratungsunternehmen Gartner. Aber dieses Modell birgt auch eine Reihe von Risiken, die in der Evaluierung gern übersehen werden.
Viele Provider zögerten, ihre Standardbedingungen zu verhandeln, so Bona, weil diese eine Voraussetzung für das Funktionieren ihres Geschäftsmodells seien: "Der Ausgangspunkt der Vertragsverhandlungen begünstigt häufig den Anbieter, berücksichtigt also die Anwenderinteressen nicht adäquat." Aber es gibt Punkte, die verhandelt werden können und auch sollten.
Gartner hat neun von ihnen herausgearbeitet. "Die Kunden sollten durchaus auch mal von einem Deal zurücktreten, wenn Risikoelemente nicht zufriedenstellend behandelt wurden", empfiehlt Bonas Kollege Frank Ridder.
Garantie, SLAs und Security
1. Uptime-Garantien
Ungeachtet der Bedeutung, die viele Cloud-Anwendungen für das Geschäft des Kunden haben, kennen die Gartner-Analysten zahlreiche Kontrakte, die keine Uptime- oder Performance-Service-Level-Garantien aufweisen. Wer einen Cloud-Vertrag aushandelt, muss wissen, welche Service-Levels erforderlich sind. Und diese Anforderungen sollten sich im Vertrag wiederfinden, Idealerweisen mit Pönalen für den Fall, dass sie nicht erfüllt werden.
2. SLAs und Pönalen
Wenn SLAs das Verhalten des Cloud-Service-Providers steuern sollen, müssen sie mit finanziellen Strafen für Nichterfüllung verbunden sein. Der Kunde sollte auch einen Eskalationspfad aushandeln. Die Strafe ist am besten per Rückzahlung zu entgelten, denn kein Anbieter will Geld, das er schon verbucht hat, wieder rausrücken.
3. Vorsicht vor Ausnahmeregelungen
Die Cloud-Provider mögen solche Garantien überhaupt nicht, sehen sich aber zunehmend gezwungen, sie zu geben. Um das damit verbundene Risiko zu verkleinern, versehen sie die Pönalen gern mit rigiden Ausschlusskriterien. Darauf muss der Kunde besonders gründlich achten. So sollte er beispielsweise darauf bestehen, dass jede Downtime auch genau ab dem Zeitpunkt berechnet wird, zu dem sie tatsächlich eintritt.
4. Sicherheit
Der Sicherheitsstandard, den der Provider zu bieten hat, muss zumindest so hoch sein wie der des Kunden - am besten höher. Das gilt vor allem, wenn er branchenbezogenen oder privatrechtlichen Regulierungen unterworfen ist. Gartner empfiehlt, auch für den Security-Bereich SLAs zu vereinbaren, und zu verlangen, dass jede Sicherheitsverletzung sofort angezeigt wird.
Cloud-Provider auf dem Prüfstand
Cloud-Anbieter auf dem Prüfstand Die Experton Group hat sich die relevanten und in Deutschland aktiven Anbieter genauer angesehen. Hier finden Sie die Ergebnisse im Schnelldurchlauf. <br /><br /> <a href=" http://www.experton-group.de/research/studien/cloud-vendor-benchmark-2010/ueberblick.html" target="_blank">Weitere Informationen zur Studie finden Sie auf der Web-Site der Experton Group</a>
Amazon <b>Amazon </b>hat die Palette seiner Cloud-Dienste seit 2002 unter dem Namen Amazon Web Services (AWS) stark ausgeweitet. So kamen zum ursprünglichen Kernangebot (Vermietung von Rechenleistung "EC2", Storage "S3" und Datenbankkapazität "SimpleDB") unter anderem noch relationale Datenbanken, Content Delivery, Messaging und Monitoring, Virtual Private Clouds sowie weitere Add-ons (etwa in Zahlungen und Rechnungen) hinzu. <br/><br/>Quelle: Experton Group
Google Die "Google Apps" von <b>Google</b> sind für Anwender vorgesehen, die einfache, standardisierte Collaboration-Lösungen (SaaS) wollen. Die Infrastructure-as-a-Service-und Platform-as-a-Service-Angebote unter dem Namen "Google AppEngine" sind auf Entwickler und Start-ups ausgerichtet. Sie stehen ohne Zugangsbeschränkung in der Public Cloud zur Verfügung, es gibt sie allerdings nicht in Deutsch. Rechenleistung lässt sich neuerdings über die so genannten "free quotas" zu festen Konditionen per Kreditkarte beziehen. <br/><br/>Quelle: Experton Group
Microsoft <b>Microsoft</b> bietet mittlerweile nahezu alle Produkte und Technologien auch aus der Cloud an. Damit zählt der Konzern zu den wenigen Anbietern mit komplettem Cloud-Stack, der sowohl IaaS, PaaS und SaaS als auch Private-, Public- und Hybrid-Cloud-Services abdeckt. Das zentrale Element des Portfolios bildet die Plattform "Windows Azure". Auch das kommende Office-Release 2010 soll in die Wolke passen, lässt aber auch eine lokale Installation zu. <br/><br/>Quelle: Experton Group
Salesforce <b>Salesforce</b> hat sich vom reinen Anbieter von SaaS-Lösungen für das Customer-Relationship-Management (CRM) zu einem Plattformanbieter weiterentwickelt. Neben der etablierten SaaS-Lösung für das Kunden-Managment und die Vertriebs- und Marketing-Automatisierung bietet Salesforce mit Force.com eine Betriebs- und Entwicklungsumgebung im Public-Cloud-Modus an. <br/><br/>Quelle: Experton Group
Deutsche Telekom Die breite SaaS-Palette des <b>Geschäftskundenbereichs der Deutschen Telekom</b> umfasst unter anderem Lösungen für E-Mail, Collaboration, Conferencing, CRM und ERP. Zudem beinhaltet sie integrierte IT- und TK-Services (etwa das "Deutschland LAN"). Erwähnenswert sind die von T-Systems entwickelten "Dynamic Services", die etwa betriebswirtschaftliche Applikationen bedarfsgerecht bereitstellen und abrechnen. Hinzu kommen nun auch erste IaaS-Angebote (Infrastructure as a Service) für größere Mittelständler. Diese Offerten bieten eine flexible Buchung von Server-Instanzen, sind hinsichtlich ihrer Skalierbarkeit und nutzungsabhängigen Bezahlung aber noch ausbaufähig. <br/><br/>Quelle: Experton Group
IBM Als technologischer Innovator verfügt <b>IBM</b> über ein breites, aber teilweise nur schwer überschaubares Angebot an Cloud- Services (IaaS, PaaS, SaaS) und Produkten. Neben den eigenen SaaS-Lösungen (zum Beispiel Lotus) stehen IBM-Kunden eine Vielzahl an Partnerlösungen auf der IBM-Plattform zur Verfügung. Für Softwaretests und -entwicklung, ein wichtiges Cloud-Anwendungsfeld, bietet IBM Unternehmen eine ausgereifte Plattform. <br/><br/>Quelle: Experton Group
HP <b>Hewlett-Packard (HP)</b> vertreibt Hard- und Software für den Aufbau von Private-Cloud-Infrastrukturen. Zudem können Großkunden Rechenleistung und Storage-Kapazitäten in einem IaaS-Modell nutzen. Allerdings sind Zugang, Skalierbarkeit und Self-Service beschränkt. Dagegen sind die Utility-Services, die Enterprise-Applikationen etwa von SAP auf einer virtualisierten Plattform flexibel bereitstellen und abrechnen, weit entwickelt und voll ausgereift. Sie sind das Kernstück des derzeitigen Cloud-Angebots. <br/><br/>Quelle: Experton Group
Fujitsu Technology Solutions <b>Fujitsu Technology Solutions (FTS)</b> bietet unter dem Namen "Infrastructure-as-a-Service for Servers" zurzeit lediglich flexibel buchbare Server-Kapazitäten in einem "Private-Cloud-Modell" an. Die Abrechnung mit den Kunden erfolgt allerdings nach gebuchten und nicht nach wirklich verbrauchten IT-Ressourcen. Leider hat Fujitu hier den Cloud-Ansatz noch nicht hundertprozentig umgesetzt. <br/><br/>Quelle: Experton Group
Pironet NDH <b>Pironet NDH</b> fokussiert sich mit seinem Cloud-Angebot eindeutig auf den Mittelstand und positioniert sich dort als "Trusted Partner". Das Portfolio umfasst neben Infrastruktur-Services (etwa Storage on Demand) zahlreiche SaaS-Lösungen von Partnern. Dazu kommen verschiedene Managed-Services auf der Netzebene. <br/><br/>Quelle: Experton Group
T-Systems Neben zahreichen, auf diese Zielgruppe zugeschnittenen Managed-Services bilden die "Dynamic Services" den Kern des Cloud-Angebots von <b>T-Systems</b>. Anwendern stellt die Telekom-Tochter Enterprise-Applikationen (etwa ERP und CRM) zur Verfügung, die auf skalierbaren und standardisierten Hardware-Infrastrukturen laufen. Die Abrechnung der genutzten SAP- oder Microsoft-Systeme erfolgt nutzungsabhängig. <br/><br/>Quelle: Experton Group
Nionex Als einer der wenigen IT-Service-Provider in Deutschland bietet <b>Nionex</b> seit 2009 ein klar strukturiertes Public-Cloud-Angebot an. So werden mit den IaaS-Offerten mittelständische Unternehmen angesprochen, die Teile ihrer Infrastruktur flexibilisieren und erste Anwendungen in der Cloud betreiben wollen. Nionex stellt neben Rechnerleistung auch Storage und weitere Services bereit. <br/><br/>Quelle: Experton Group
Business, Datenschutz und Haftung
5. Business Continuity und Disaster Recovery
Diese Punkte werden in Cloud-Verträgen viel zu selten angesprochen. Einige Anbieter von Infrastructure as a Service (IaaS) übernehmen nicht einmal Verantwortung für das Back-up der Kundendaten. Wenn der Kunde das Backup schon selbst erledigt oder an jemand anderen ausgelagert hat, sollte er zumindest verlangen, dass der Cloud-Anbieter ein passendes API für den Datenaustausch zur Verfügung stellt.
6. Datenschutz und Privatsphäre
Der Vertrag sollte explizit festhalten, dass der Cloud-Provider keine persönlichen Daten mit jemand anderem austauscht. Das wird selbstverständlich etwas komplizierter, wenn er Daten mit einem Third-Party-Anbieter, beispielsweise einem Infrastruktur-Provider teilt, wie es für viele SaaS-Lösungen typisch ist. Auf jeden Fall aber muss der Provider verpflichtet werden, nur das zu tun, was der Kunde beziehungsweise dessen Datenverantwortlicher ihm explizit aufträgt.
7. Aussetzung der Dienstleistung
Einige Cloud-Verträge sehen vor, dass der Service einseitig ausgesetzt werden kann, wenn der Kunde mehr als 30 Tage lang mit seiner Zahlung im Rückstand ist. Das schließt im Normalfall auch strittige Zahlungen ein. Damit macht sich der Kunde definitiv erpressbar. Deshalb ist es sinnvoll, solche Fälle im Vertrag auszunehmen.
8. Kündigungsfrist des Servicevertrags
Die in vielen Verträgen festgehaltene Praxis einer 30-tägigen Kündigungsfrist ist aus Kundensicht ungünstig, weil die Reaktionszeit knapp ist. Der Auftraggeber sollte besser auf sechs Monaten bestehen - ausgenommen der Fall, dass der Vertrag tatsächlich gebrochen wurde.
9. Haftung des Anbieters
Die meisten Verträge beschränken die Haftung des Anbieters auf den Gegenwert des Serviceentgelts für zwölf Monate - es sei denn, es liegt eine Rechtsverletzung hinsichtlich des Missbrauchs geistigen Eigentums vor. Laut Gartner ist dem Kunden aber zu empfehlen, eine höhere Haftungssumme auszuhandeln - zumal die Anbieter ja in der Regel eine Haftpflichtversicherung abgeschlossen haben, die dafür aufkommt.