Den richtigen Cloud-Anbieter finden

Mit dem passenden Provider in die Cloud

Die Chemie mit dem Anbieter muss für eine gelungene Zusammenarbeit stimmen. Diese sechs Kriterien sind entscheidend bei der Wahl des Cloud-Providers.

Text: Christoph Widmer, 24. Juni 2019

Amazon Web Services, Microsoft Azure, Salesforce, Swisscom Cloud: Entscheidet sich ein Unternehmen für den Schritt in die Cloud, hat es die Qual der Wahl. Ihm stehen zahlreiche Anbieter zur Auswahl – von Marktgrössen, die sich als Global Public Cloud Provider etabliert haben, bis zu kleineren Nischenanbietern mit massgeschneiderten Dienstleistungen. Sich in dieser Fülle an möglichen Providern für denjenigen zu entscheiden, der am besten den eigenen Geschäftsbedürfnissen und -anforderungen entspricht, ist keine leichte Aufgabe. Im Folgenden stellen wir verschiedene Kriterien vor, die es bei der Wahl des Cloud-Providers zu berücksichtigen gilt.

1. Wer verantwortet die Cloud-Sicherheit?

Auch wenn Daten und Anwendungen einem Cloud-Provider anvertraut werden: Für deren Schutz und Betrieb ist nicht nur er verantwortlich, sondern auch der Cloud Consumer – also das Unternehmen, das Cloud-Leistungen bezieht. Zwar hält das Shared Responsibility Model bereits grob fest, wie bei den Service-Modellen SaaS, PaaS und IaaS die Verantwortlichkeiten zwischen Cloud Provider und Cloud Consumer geregelt sind; anbieterspezifische Abweichungen sind aber durchaus möglich. Deshalb sollten sich Unternehmen mit den Service Level Agreements (SLAs) des Cloud Providers vertraut machen. Sie halten die genauen Verantwortlichkeiten und Zuständigkeitsbereiche von Anbieter und Nutzer fest. Dazu muss das Unternehmen im Vorfeld die Fertigungstiefe der eigenen IT-Infrastruktur genau definieren – und bestenfalls im Target Operating Model (TOM) festhalten. «Der Kunde und seine IT-Verantwortlichen müssen haargenau wissen, welche Aufgabenbereiche sie verantworten – oder verantworten möchten», erklärt Mario Walker, Lead Architect of Enterprise Solution Architecture von Swisscom. «Erst danach kann er prüfen, ob die SLAs des Cloud Providers auch wirklich mit dem eigenen TOM vereinbar sind.»

2. Läuft die Administration über Portale oder Service Requests?

Cloud Provider stellen zur administrativen Zusammenarbeit mit dem Unternehmen unterschiedliche Mittel und Tools zur Verfügung: Nicht selten bieten Global Public Cloud Provider wie Microsoft Azure oder Amazon Web Services dazu den Zugriff auf Portale an. Diese befähigen Unternehmen bis zu einem bestimmten Grad, für den Betrieb der Cloud selbst administrative Arbeiten auszuführen. Genauso verbreitet sind aber auch Change Management Tools: Das Anwenderunternehmen nimmt nicht selber Änderungen an der Cloud-Infrastruktur vor, sondern gibt sie als Service Request beim Cloud Provider auf. «Keine der beiden Ansätze ist besser oder schlechter», betont Walker. «Einige Unternehmen wünschen sich die Flexibilität, die Portale bieten, andere möchten den eigenen administrativen Aufwand so gering wie möglich halten. Auch hier muss geprüft werden, welcher Ansatz zum eigenen Target Operating Model passt und ob Kriterien wie Time to Respond, Time to Resolve etc. durch die SLAs des Providers ausreichend erfüllt werden.»

3. Stellt der Anbieter vollständige Reports bereit?

Der Cloud Provider sollte in jedem Fall Reports bereitstellen – nicht nur in Sachen Security, sondern auch bezüglich Betriebskosten: Gerade wenn das Shared Responsibility Model komplizierter wird – etwa, wenn gewisse Verwaltungsaufgaben als Managed Service von Drittanbietern bezogen werden, ist der Cloud Consumer auf eine genaue und vollständige Auflistung der anfallenden Kosten angewiesen. Nur so kann er diese innerhalb des Unternehmens intelligent auf die eigenen Kostengefässe stellen oder auf Organisationseinheiten aufteilen – oder gar weiterverrechnen.

4. Sind Schnittstellen zur Prozessautomatisierung vorhanden?

Im Rahmen der Cloud-Migration sollten Anwenderunternehmen unbedingt Zugang zu Automatisierungsschnittstellen erhalten: «Unternehmen müssen sich bewusst sein, dass im Einsatz der Cloud ein enormes Potenzial schlummert, um eigene Geschäftsprozesse zu automatisieren», hält Mario Walker fest. «Deshalb muss der Cloud Consumer unbedingt entsprechende Schnittstellen einfordern.» Empfohlen werden REST-Schnittstellen (Representational State Transfer), da sich diese als Standard immer mehr durchsetzen. REST-APIs ermöglichen die Kommunikation von Maschine zu Maschine und versetzen Systeme in die Lage, Daten und Aufgaben auf unterschiedliche Server zu verteilen oder mit einem HTTP-Request anzufordern. Für die Bereitstellung moderner Web-Services wird eine Vielzahl von API-Schnittstellen verwendet, die mit REST kompatibel sind.

5. Welche Rollen spielen Governance & Compliance?

Unternehmensinterne, vor allem aber gesetzlich vorgegebene Bestimmungen haben einen grossen Einfluss darauf, welcher Cloud Provider für das eigene Geschäftsmodell und Marktsegment überhaupt infrage kommt. Je nachdem müssen sich Unternehmen mit Schweizerischen und internationalen Gesetzen, geltenden Industriestandards oder branchenspezifischen Vorschriften wie FINMA-Regularien oder e-Privacy auseinandersetzen, bevor sie sich auf die Suche nach einem geeigneten Cloud Provider machen können. Z. B. muss unter Umständen die Datenspeicherung in der Schweiz gewährleistet werden – wodurch ausländische Cloud Anbieter womöglich gar nicht mehr infrage kommen. Ebenso gelten in der Schweiz die Bestimmungen der Datenschutzgrundverordnung (DSGVO bzw. GDPR), die allenfalls eingehalten werden müssen.

6. Welchen Ruf geniesst der Anbieter?

Analog einer «Due Diligence» sollten Unternehmen den Cloud Provider genauer unter die Lupe nehmen. «Die üblichen Fragen, die hier zentral sind, lauten: Wie lange ist der Anbieter schon auf dem Markt, wie viele Kunden hat er, wie ist seine Reputation, seine finanzielle Situation und so weiter», hält Walker fest. Allenfalls ist auch die juristische Person und die Unternehmensorganisation des Anbieters ein entscheidendes Auswahlkriterium. Im Rahmen dieser Unternehmensprüfung kommen ausserdem sicherheitsbezogene Aspekte hinzu: Hatte ein Anbieter in letzter Zeit Sicherheitsvor- oder Systemausfälle? Was waren die Ursachen dafür? Wie schnell wurden die Probleme behoben? Um das Sicherheitsrisiko beim Schritt in die Cloud zu minimieren, sind auch diese Faktoren bei der Evaluation des Cloud Providers elementar.