Foto: J. Thew/Fotolia.com
Grundsätzlich gilt für die Nutzung von Cloud-Services in rechtlicher und vertraglicher Hinsicht dasselbe wie für das IT-Outsourcing im Allgemeinen: Good Fences make good Neighbours. Entscheidend sind also die Verträge, die das "operationelle Risiko" betreffen; bei externen Cloud-Services ist es als "Vertragsrisiko" ausgeprägt. Wichtig ist die trennscharf beschriebene Dokumentation von Rechten und Pflichten diesseits und jenseits des Zauns.
Erste Voraussetzung ist, dass der Anbieter von Cloud-Services seine Pflichten beherrscht und sie gemäß Service-Level-Agreements (SLAs) liefert. Zweitens muss der Anwender die Services steuern und bewerten können. Kurz: Auf beiden Seiten sollte ein Service-Management vorhanden sein. Das Service-Management richtet sich zweckmäßigerweise an den Best Practices von Itil (IT Infrastructure Library) aus.
Beim Cloud Computing kauft die Anwenderorganisation bewusst die reine Dienstleistung ein - einschließlich der Itil-Prozesse, die auf Seiten des Providers stattfinden. Diese Prozessleistungen muss der Auftraggeber also nicht mehr selbst erbringen. Trotzdem bleiben auch nach dem Einkauf der Cloud-Services noch genügend prozessbezogene Aktivitäten zu leisten.
Die seit Jahren angewendeten und immer wieder verbesserten Regeln des IT-Outsourcings sollten auch für das Cloud Computing berücksichtigt werden. Itil hält alle notwendigen Prozesse für beide Seiten des Zauns bereit.
Der Auftraggeber hat die Pflicht zur Kontrolle
Cloud Computing lässt sich als Kombination von Application-Services und Virtualisierungs-Services im Sinne einer On-Demand-Nutzung definieren. Wie bereits angedeutet, gibt es einen entscheidenden Unterschied zu den früheren ASP-Modellen: Die IT-Infrastruktur hinter dem Betrieb der Applikationen wird heute vom Anbieter, nicht mehr vom Kunden gestellt. Das befreit die Anwenderorganisation von einigen Pflichten, etwa dem Asset-, Configuration- oder Lizenz-Management. Auf der anderen Seite hat der Auftraggeber aber die Aufgabe, den Anbieter zu kontrollieren, denn er muss seinen Kunden auf Business-Seite gegenüber nachweisen können, dass die Cloud-Services zur Wertschöpfung in den Geschäftsprozessen beitragen.
Das ITSM-Umfeld (IT-Service-Management) der Cloud-Service-Anbieter - in der Itil-Terminologie "Supplier" genannt - sollte alle Itil-Prozesse berücksichtigen. Ein Itil-konformes Account-Management gegenüber den Anwenderorganisationen sollte eine Selbstverständlichkeit sein.
Die IT-Organisation des Auftraggebers muss sich sowohl um die Steuerung der eigenen als auch fremdbezogener IT-Services kümmern. Selbst nach einem Full-Outsourcing der IT sollten die Business Units niemals direkt mit der Steuerung der Outsourcing-Partner betraut werden. Vielmehr ist es sinnvoll, als Filter zwischen Business und IT-Betrieb eine IT-Abteilung als "Retained Organization" zu etablieren. Sie agiert als Übersetzer für die Business-Anforderungen an die Adresse des IT-Providers, aber auch als Steuerungsinstanz für die Erbringung von IT-Leistungen. Folglich zeichnet sie auch für den Einkauf der Cloud-Services verantwortlich.
Welche Itil-Prozesse für den Anwender wichtig sind
Um Cloud-Services zu vereinbaren, sind Outsourcing-Verträge (nach Itil: "Underpinning Contracts") notwendig. Hierzu gehören auch SLAs, in denen die Parameter der Leistungserbringung festgeschrieben werden: Availability, Capacity, Service Continuity, Security, Service Transition, Service Operation, aber auch Service Improvement, also die Verbesserung der Dienstleistung. Die Steuerung der in den Verträgen und SLAs vereinbarten Serviceerbringung obliegt wiederum der IT-Abteilung.
Wie erwähnt, kann man den Business Units einer Anwenderorganisation nicht guten Gewissens empfehlen, neben dem hauseigenen IT-Provider auch noch den externen Anbieter von Cloud-Services zu steuern. Das übernimmt die Retained Organization. Sie muss die Cloud-Services ins eigene Serviceportfolio, in den Servicekatalog und in die eigenen, mit den Fachbereichen vereinbarten SLAs einfügen. Das bedeutet zum Beispiel, dass es nur noch einen Incident-Management-Prozess gibt - für die internen und die Cloud-Services.
An dieser Stelle müssen folgende Itil-Porzesse im Outsourcing-Vertrag und den SLAs berücksichtigt werden:
-
Supplier-, Service-Level- und Financial-Management;
-
Incident-, Problem- und Access-Management;
-
Request Fulfillment.
Anhand des Service-Lifecycles lässt sich darstellen, welche Itil-Prozesse beim Anwender verbleiben und welche durch den Anbieter wahrgenommen werden müssen.
1. Service Strategy: Die Sourcing-Entscheidung will vorbereitet sein
Foto: itSMF
Als erste Pflichtübung müssen die Nutzer von Cloud-Services die Strategieentscheidung fällen: Passen die Cloud-Services in die Servicestrategie, die Architekturplanung und vor allem ins Sourcing-Konzept? Unternehmen, die bereits Teile ihrer IT ausgelagert haben, werden sich sicher leichter tun als Neulinge.
Die Entscheidung für die Vergabe an einen bestimmten Anbieter muss ordentlich vorbereitet und bewusst getroffen werden. Wichtig ist vor allem der Prozess Financial-Management - für die Bewertung der Anbieter sowie der IT-Assets, die beim Cloud-Service ja nicht mehr selbst beschafft und bilanziert werden müssen, weil sie vom Anbieter kommen. Dieser rechnet seine Aufwände in die Servicepreise ein, die dann über die Charging-Prozesse im IT-Controlling zu refinanzieren sind. Wenn man Hardware- und RZ-Kapazität vom Anbieter einkauft, werden eventuell eigene Kapazitäten freigesetzt. All das ist gut vorzubereiten und aktiv zu managen.
2. Service Design: Die Lieferbeziehung proaktiv managen
Foto: itSMF
Vor allem die Prozesse und Aktivitäten aus dem Supplier-Management und dem Service-Level-Management spielen beim Service-Design eine Rolle. Saubere IT-Verträge zwischen den beiden Seiten sind notwendig, um den gestiegenen Compliance-Anforderungen Rechnung zu tragen. Alle Parameter des Service-Designs (Verfügbarkeiten, Kapazitäten etc.) müssen in die Verträge und ins Service-Level-Controlling integriert werden. Hierbei sind auch Kennzahlen für die Applikationen selbst (End-to-End-Service-Levels) aufzunehmen, nicht nur für die IT-Infrastruktur.
Sind die Verträge erst einmal geschlossen, müssen sie aktiv gemanagt werden - was Kosten, Kennzahlen und Qualität angeht. Auch die Integration in das eigene Servicekatalog- und Service-Level-Management ist nicht zu vernachlässigen.
Vor allem mit der Zusage von Verfügbarkeiten - eines der wichtigsten Attribute für das Risiko-Management, aber auch für den Datenschutz - ist es bei den Anbietern offenbar noch nicht allzu weit her. SLAs mit zugesicherten Verfügbarkeiten sind auf dem Gebiet des Cloud Computing bis in die jüngste Vergangenheit eher die Ausnahme als die Regel. Wenn sich daran nichts ändert, wird das Cloud-Szenario nicht den gewünschten Effekt bringen.
3. Service Transition: Wie verändern sich Services in der Cloud?
Foto: itSMF
Die im Umfeld interner IT-Dienstleister wichtigen Prozesse Change-, Release- und Configuration-Management sind im Rahmen eines Cloud-Verhältnisses nicht so entscheidend. Sie werden Teil der Verträge und SLAs. Die Assets und Lizenzen kommen vom Anbieter. Er muss über eine adäquate Steuerung verfügen - und hat das auf Anfrage der Anwender auch nachzuweisen.
Werden zum ersten Mal Cloud-Services bezogen, so muss sich der Anwender fragen, wie sie sich auf Endgeräte und Clients auswirken werden, zum Beispiel auf das Web-Frontend oder eigene Applikationen. Zudem ist das Thema Netzintegration wichtig. Aber der größte Teil der Aufgaben liegt hier doch beim Supplier.
4. Service Operation: Erfolg hängt an den Operation-Prozessen
Foto: itSMF
Einer der Schlüsselfaktoren für den Erfolg von Cloud-Services im Anwenderunternehmen ist die Integration von Incident- und Problem-Management sowie Request Fulfillment in die eigenen Prozesse für die Serviceerbringung. Hinsichtlich der Requests und Incidents muss es eine durchgängige Kette vom Anwender über die (steuernde) IT-Organisation bis zum Cloud-Service-Anbieter geben - ohne dass es hier zu unnötigen "Durchlauferhitzer-Symptomen" kommt.
Der Anbieter ist dafür zuständig, dass die Störfälle und Probleme beseitigt sowie die Requests abgearbeitet werden. Aber aus Compliance-Gründen ist die IT-Abteilung der Anwenderorganisation ebenfalls in die Prozesse einzubinden.
5. Continual Service Improvement: Stillstand ist der Tod
Foto: itSMF
Selbstverständlich müssen auch die Services aus der Cloud den Anforderungen an eine kontinuierliche Serviceverbesserung genügen. Dafür ist der Anbieter zuständig, und das gehört in die Verträge. Es muss geklärt sein, in welchen Zyklen was gemessen, analysiert und einer Verbesserung unterzogen wird. Die IT-Abteilung fungiert hier einmal mehr als Übersetzerin der Business-Anforderungen und Überbringerin der Cloud-Computing-Kennzahlen vom Supplier in die Anwenderorganisation.
Dieser Artikel ist ein Auszug aus einem 20-seitigen Positionspapier, das ab dem 22. September 2010 im Bookshop des itSMF zum kostenpflichtigen Download bereitsteht. (qua)