Anruf bei der Cloud-Hotline: „Der OnDemand-Service funktioniert nicht!“ – „Haben Sie sich denn angemeldet?“ – „Ja!“ – „Dann melden Sie sich mal ab.“ – „Prima, jetzt funktioniert`s.“
Die European Network and Information Security Agency (ENISA) hat sich ein hehres Ziel auf die Fahne geschrieben. Sie will für mehr Knowhow beim Umgang mit der Cloud kämpfen. Insbesondere der Einkauf von OnDemand-Services bedarf völlig neuer Anforderungsszenarien und damit auch Fragestellungen zur Bewertung der einzukaufenden Dienstleistung. Nicht jedes Service Level Agreement passe auf jede Anforderung, warnen die ENISA-Experten, ein illustres Gremium aus weltweit renommierten IT-Spezialisten. Mit dem Guide „Procure Secure“ geben sie Einkäufern jetzt einen Ratgeber zu Cloud-Einkauf an die Hand.
Das Schöne daran. Das theoretische Werk wird angereichert durch eine Vielzahl von praktischen Fallbeispielen. Deshalb ist der eigentlich auf die Öffentlichen Auftraggeber ausgerichtete Einkaufsratgeber auch für den europäischen Mittelstand interessant.
Die großen Acht des Einkaufsführers durch die Cloud umfassen dabei heute eher noch selten berücksichtigte Überlegungen. Dabei wird insbesondere empfohlen, mit dem Cloud-Provider Vereinbarungen zu treffen, diese acht Punkte auch durch Kennzahlen zu überwachen:
- Service Availability: Systemverfügbarkeit kann unterschiedlich ausgelegt werden. Deshalb sollten klare Bedarfsprofile definiert werden, an denen Verfügbarkeit gemessen werden kann.
- Incident Response: Zu klären ist, was als Störfall gewertet wird und in welcher Zeit auf welche Weise darauf reagiert werden sollte. Auch hier werden individuelle Messgrößen zur Überwachung der Vereinbarung empfohlen.
- Service Elasticity and Load Tolerance: Die Verfügbarkeit von zusätzlichen Ressourcen für geplante oder ungeplante Bedarfe – also die Elastizität eines Cloud-Services – sollte von Anfang an Vertragsgegenstand sein.
- Data Lifecycle Management: Zu den Fragen, die überwacht werden sollten, gehören: Wie oft werden Backups gezogen? Wie schnell erfolgt eine Wiederherstellung? Gibt es Tests für den Datenexport? Wie lange sind archivierte >Daten haltbar?
- Technical Compliance and Vulnerability Management: Viele Cloud-Anbieter werben mit Sicherheits-Features – aber wie sieht die regelmäßige Überprüfung der Gefahrenpotenziale aus? Nicht jeder Anbieter dürfte bereit sein, diese Analysen auch an den Kunden weiter zu geben.
- Change Management: Oft beschränken sich Vereinbarungen auf die Frequenz und Dauer von Software-Updates. Doch ein Kunde sollte sich auch für Risikoanalysen interessieren, die der Provider vor dem Einspielen von Updates vornimmt.
- Data Isolation: Ob Infrastructure, Platform oder Software as a Service – die Kapselung der Daten verschiedener Mandanten ist ein Grundprinzip. Aber wie sehen die technischen Verfahren aus, mit denen die Datenisolation bewerkstelligt wird?
- Log Management and Forensics: Wer mitschreibt, bleibt. Aber werden die Logfiles auch ausgewertet? Gibt es regelmäßige Untersuchungen über Vollständigkeit der Logs und Maßnahmen aus der Fehleranalyse?
Der Einkaufsführer macht eines deutlich: Die Öffentliche Hand in Europa nimmt die Cloud ernst. Es sind die Einsparungsmöglichkeiten die anlocken, während die aufwändigen Administrationsaufgaben in verlässlichen Service Level Agreements festgezurrt werden. So kann der Public-CIO ruhig schlafen.
Fassen wir das angestrebte Ergebnis mal so zusammen: Ein CIO kommt in den Himmel. Auf den Wolken findet er superschnell vernetzte Server mit ungeahnten OnDemand-Angeboten. „Nach einer Zeit in der Hölle dürfen Sie auf alle Dienste zugreifen“, wird ihm versprochen. „Und wie sieht die Hölle aus?“, fragt der CIO. „In der Hölle sind Sie der Administrator.“