Wie ein klassischer Outsourcing-Vertrag
Foto: Pixelio/Joujou
CW: Muss ein Polizist, der seinen Mail-Verkehr über Google abwickelt, nicht befürchten, dass unautorisierte Eindringlinge seine Mails mitlesen?
BORUFF: Ohne zusätzliche Absicherung wäre die Google-Cloud dafür sicher nicht geeignet. Aber zum einen schützen wir den Mail-Verkehr über unsere Sicherheitsservices, zum anderen werden in der Cloud keine sensiblen Daten gespeichert. Will ein Polizist beispielsweise eine Kriminalakte einsehen, so geht seine Anforderung nicht an Google, sondern an ein Rechenzentrum, das von CSC betrieben und abgesichert wird. Anfragen und Kommunikation werden entsprechend kanalisiert.
Die Stadt Los Angeles hätte nie selbst Services von Google gekauft. Erst unsere Sicherheitsvorkehrungen und der erwähnte Abstraction-Layer machen das möglich. Die IT-Verantwortlichen der Stadt haben zum Beispiel gefordert, dass sie innerhalb einer Woche alle in der Google-Cloud vorhandenen Daten zurückgespielt bekommen, falls sie entscheiden, einen anderen Provider zu beauftragen.
CW: Deutsche CIOs sorgen sich tatsächlich, ihre Daten nicht sauber wieder aus der Cloud herausholen zu können.
BORUFF: Das machen wir! Unternehmen schließen einen Servicevertrag mit uns ab, in dem wir garantieren, dass wir alle ihre Daten aus der Cloud zurückholen und nichts dort zurückbleibt. Wir haben einen entsprechenden Vertrag mit Google geschlossen. Er sieht hohe Strafen für den Fall vor, dass nach Vertragsende irgendwelche Daten des Auftraggebers in der Google-Cloud verbleiben. Die sichere Zusammenarbeit mit Cloud-Providern hängt auch von dem vertraglich vereinbarten Replizierungs-, Datenschutz- und Sicherheitsvorgehen ab.
CW: Was geschieht, wenn Sie die Daten nicht komplett zurückführen können?
BORUFF: Wer uns beauftragt, bekommt wie bei einem klassischen Outsourcing-Vertrag bestimmte Service-Levels garantiert. Sie sind mit Pönalen bewehrt für den Fall, dass sie nicht eingehalten werden. Zu diesen Service-Levels zählt auch das Zurückholen der Daten. Deshalb beauftragen die Stadt Los Angeles oder die englische Royal Mail Group ja uns mit dem Management und arbeiten nicht direkt mit einem Cloud-Provider zusammen.
CW: Einige CIOs machen sich nicht nur Sorgen über Security und Compliance, sondern sie fragen sich auch, wie sie Cloud-Services budgetieren und in ihre Einkaufsprozesse integrieren sollen.
BORUFF: Das wird meist relevant, wenn Unternehmen einen Virtualisierungsgrad von 60 bis 80 Prozent erreicht haben. Ab da reden der zentrale Einkauf und die Rechtsabteilung mit. Und an dieser Stelle wird Cloud auch eine Aufgabe für das Business. Die CIOs großer Unternehmen sind gewohnt, mit ihren Service-Providern komplexe Verträge zu schließen, die schnell 100 und mehr Seiten stark sind.
Wenn sie bei Amazon einkaufen, stehen ein paar generelle Verfügbarkeitsregelungen auf deren Website; das reicht den Unternehmen nicht. Von uns bekommt der Kunde dagegen einen individuellen Vertrag mit Service-Level-Agreements, Pönalen und allem Drum und Dran. Einige Services wie Tests, Storage und Business-Prozesse für bestimmte Branchen stellen wir aus unserer eigenen Cloud-Umgebung zur Verfügung, während wir andere Services bei Providern wie Amazon, Google, Salesforce oder Microsoft einkaufen.