Zum Hauptinhalt springen
Blog

Diese 11 Kriterien sollten Sie bei der Auswahl des richtigen Cloud Service Providers beachten

Cloud

Vertrauen ist eines der wichtigsten Kriterien bei der Wahl eines Cloud Service Providers. Dementsprechend müssen Nutzer und Betreiber gemeinsam mit geeigneten organisatorischen, operativen, technischen und infrastrukturellen Maßnahmen für ein Maximum an Vertrauen und Sicherheit bei der Cloudnutzung sorgen. In diesem Artikel haben wir die wichtigsten Punkte aufgelistet, die es bei der Auswahl des Cloud Service Providers zu beachten gilt.

Um Daten gewinnbringend auswerten zu können, benötigen Unternehmen eine enorme Menge an Speicherkapazität und Rechenleistung. Der Bedarf nimmt mit immer weiter steigenden Datenmengen exponentiell zu, sodass zwangsläufig jede rein intern organisierte Unternehmens-IT an ihre Grenzen gelangt – hier bietet die Cloud die Möglichkeit Lösungen flexibel, günstig und schnell bereitzustellen.

Kein Wunder also, dass der Einsatz Cloud-basierter Systeme immer beliebter wird. Laut Statista wurden im dritten Quartal 2019 weltweit 20 Billionen Dollar alleine für den Einsatz von Infrastructur as a Service (IaaS) gezahlt. IaaS stellt neben Plattform- und Softwarelösungen (PaaS / SaaS) die unterste Ebene der Cloud-Möglichkeiten dar. Die Mehrheit der Nutzer verlässt sich bei der Auswahl des richtigen Cloud Service Providers auf große Markennamen wie Amazon (39% Marktanteil), Microsoft (19% Marktanteil) und Google (9%).

Einsatzvarianten

In der Praxis sind drei grundsätzliche Einsatzvarianten für Cloud Computing zu unterscheiden. Die Varianten unterscheiden sich dabei mehr organisatorisch als technisch voneinander.

  • Public Cloud
    Die Public Cloud ist ein öffentliches Angebot von Diensten eines frei zugänglichen Providers. Die Kunden können sich die gewünschte Leistung in Selbstbedienung zusammenstellen. Public oder öffentlich wird diese Art der Cloud Services genannt, weil mehrere Kunden sich eine virtualisierte Infrastruktur teilen, allerdings ohne jeweils Notiz des anderen zu nehmen. Die virtuellen Bereiche sind logisch getrennt, befinden sich aber auf denselben physischen Ressourcen. Webmailer-Dienste oder die bekannten Google-Docs sind ebenso Beispiele für Public Cloud Angebote wie die kostenpflichtigen Services eines Microsoft Office 365 oder eines SAP Business by Design.
  • Private Cloud
    Dem gegenüber stehen Private Cloud Services, die exklusiv nur für ein Unternehmen zugänglich sind. Ein typisches Beispiel für die Anwendung ist ein Unternehmen, das über mehrere Standorte verteilt ist und eine zentrale IT für alle Mitarbeiter bereitstellt. Kein weiteres Unternehmen greift auf diese virtualisierten Infrastrukturen zu. Die Cloud kann dabei vom Unternehmen selbst oder von einem IT-Dienstleister betrieben werden. Ein Vorteil gegenüber der Public Cloud ist, dass die Kontrolle über die Daten beim Unternehmen oder seinen Dienstleistern bleibt. Daher werden hier häufig unternehmensspezifische Anwendungen mit sensiblen Daten angesiedelt.
  • Hybride Clouds
    Mit Hybride Clouds werden Mischformen dieser beiden Ansätze bezeichnet. So laufen bestimmte Services bei öffentlichen Anbietern im Internet, während andere im Unternehmen betrieben und verarbeitet werden. Oder ein Cloud-Dienst besteht aus einer Kombination von zentralen Elementen mit lokalen, beim Kunden angesiedelten Komponenten. So lassen sich die Vorteile des Cloud Computing mit denen einer unternehmenseigenen Lösung kombinieren.

Cloud-Service-Modelle

Neben den verschiedenen Einsatzvarianten gibt es auch verschiedene Service-Modelle, die sich in ihrer Art deutlich unterscheiden. Software, Plattform und Infrastruktur repräsentieren gemeinsam den technischen Grundansatz von Cloud Computing und gliedern sich in hierarchisch aufeinander aufbauende Schichten. Die angebotenen Cloud Services lassen sich hier üblicherweise in eine der drei Ebenen einordnen und richten sich vornehmlich an eine bestimmte Gruppe von Nutzern.

  • Software as a Service (SaaS)
    Auf der obersten Ebene befinden sich Software-Anwendungen. Sie richten sich an Anwender und umfassen in der Regel standardisierte Dienstleistungen. Der Cloud-Service-Kunde hat hierbei keine Berührungspunkte mit der zugrundeliegenden Cloud-Infrastruktur, sondern kann nur spezifische Anwendungseinstellungen vornehmen. Die Applikationen werden durch den IT-Dienstleister auf dessen Servern betrieben und nicht auf den IT-Ressourcen der Kunden. Der Nutzer bezieht seine Dienste über das Internet und der Anbieter stellt die erforderlichen Ressourcen für den Betrieb bereit. Der Kunde muss lediglich ein Gerät bereithalten, um auf den Service zugreifen zu können .
  • Platform as a Service (PaaS)
    Bei diesem Dienst kann der Kunde selbstentwickelte oder erworbene Anwendungen auf der Cloud-Infrastruktur des Cloud-Service-Providers installieren und betreiben. Der Anbieter betreibt hierbei eine ganze Arbeitsumgebung mit Datenbanken, Middleware (Steuerungssoftware) und Anwendungssoftware. Mit Hilfe von Programmiersprachen, Programmbibliotheken oder weiteren vom Cloud Service Provider unterstützten Diensten und Werkzeugen können diese Applikationen entwickelt werden. Ähnlich wie bei dem Software-as-a-Service-Modell hat der Cloud-Service-Kunde keine Kontrolle über die zugrundeliegende Cloud-Infrastruktur.
  • Infrastructure as a Service (IaaS)
    Dieses Service-Modell betrifft die Bereitstellung von IT-Infrastruktur. Der Kunde erhält Zugang zu skalierbaren Hard- und Softwareressourcen des Cloud Service Providers; darunter fallen beispielsweise Rechenleistung, Speicherkapazitäten oder Netzwerke. Diese kann er zur Installation und zum Betrieb beliebiger Software verwenden, beispielsweise Betriebssysteme oder Anwendungen. Ebenso können Client-Infrastrukturen vorübergehend gemietet werden. Das Ergebnis ist sofort verfügbar.

Wer die Wahl hat, hat die Qual

„Und welcher Anbieter ist denn nun der richtige für mich und mein Unternehmen?“ Diese Frage stellen sich viele angehende Cloud-Nutzer aufgrund der hohen Auswahl. Denn nicht nur die komplexe Technologie an sich, auch die Auswahl des richtigen Cloud Service Providers kann Schwierigkeiten bereiten. Diese Entscheidung sollte auch gut überlegt sein, denn bei der falschen Wahl steht nicht nur der reibungslose Ablauf und Ihr guter Ruf auf dem Spiel, auch juristische Folgen sind denkbar. Denn Daten und deren Schutz sind ein äußerst sensibles Thema in Deutschland. Um Komplikationen zu vermeiden, haben wir im Folgenden die elf wichtigsten Kriterien bei der Wahl eines seriösen Cloud Providers zusammengefasst.

  • Datenschutz und Compliance entsprechend der aktuellen Gesetze und Richtlinien
    Die Sicherheit der Daten ist eines der wichtigsten Kriterien bei der Auswahl eines Cloud-Anbieters. Vertrauen Sie ausschließlich Unternehmen, die entsprechende Zertifizierungen und Sicherheitszertifikate (ISO/IEC) vorweisen können. Gleichen Sie Ihre Compliance-Anforderungen mit den Datenschutzvorkehrungen des Anbieters ab. Stellen Sie sicher, dass Sie nur mit solchen Cloud-Anbietern zusammenarbeiten, die nach Art. 28 DSGVO „hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet.“ Regeln Sie dies in einem Auftragsverarbeitungsvertrag.
  • Der Umgang des Cloud Service Providers mit vertraulichen Kundendaten
    Der Cloud Provider sollte mit seinen Cloud Services verschiedene Kundeninfrastrukturen mehrstufig und sicher trennen können. Stellen Sie fest, ob im Falle eines Ausfalls Ihre Daten ausreichend geschützt sind. Klären Sie außerdem, welche Vorkehrungen der Anbieter generell getroffen hat. Sind Ihre Daten bei Serverausfall im Ersatzserver verteilt, so dass Ihr Geschäftsbetrieb unbeeinflusst weiterlaufen kann? Es sollte eindeutig definiert sein, mit welchen Prozessen der Cloud-Anbieter das Krisen- und Informations-Management in einer geschlossenen Reaktionskette umsetzen möchte.
  • Verschlüsselung der Daten
    Fragen Sie außerdem an, inwieweit Ihr Cloud Service Provider mit Verschlüsselung (insbesondere End-2-End) arbeitet, um eventuell nötige Datenschutzanforderungen zu gewährleisten. Die Daten sollten sowohl auf dem Weg zur Cloud und auch beim Speichern in der Cloud verschlüsselt sein.
  • Flexibilität und Skalierbarkeit
    Prüfen Sie, ob das Cloud-Angebot des Providers dynamisch ist. Die Cloud sollte technisch und systemisch anpassungsfähig sein für etwaige Veränderungen in der Unternehmensstrategie – zum Beispiel durch Änderungen der Vertriebsstrategie, Unternehmensübernahmen, Innovationen, Änderungen beim Kundenstamm.
  • Detaillierte Anforderungen an den Cloud Service Provider stellen
    Auch während des Kaufprozesses sollten Sie genau wissen, was Sie von den Cloud Providern wollen, um zu gewährleisten, dass Ihre Anforderungen alle vertraglich festgehalten werden. Je ungenauer Sie hier sind, desto höher ist das Risiko, dass Sie nicht das erhalten, was Sie wollen (dies betrifft auch Support- und Einrichtungsfragen). Im Idealfall kann ein Anbieter sogar individuelle Anforderungen erfüllen. Diese sollten in den SLA (Service Level Agreements) festgehalten werden.
  • Implementierbarkeit
    Setzen Sie nicht auf Cloud Service Provider, die nicht zu Ihren IT-Systemen passen. Hier ist insbesondere das Thema „Schnittstellen“ relevant.
  • Support On-Demand
    Klären Sie Support-Fragen, denn es kann sein, dass nicht alle Fragen über die neuen Services von der internen IT beantwortet werden können. Ein schneller und effektiver Kommunikationsprozess ist hier wichtig und es sollte vorab geklärt werden, ob der Support inklusive ist und welche Reaktionszeiten gelten. Klären Sie auch, welche Zusatz-Hilfeleistungen extra gezahlt werden müssen.
  • Verfügbarkeit und Performance
    Welche Verfügbarkeit verspricht der Cloud Service Provider und ist diese so hoch, dass Ihre Workflows dadurch nicht beeinträchtigt werden? Kann er die versprochene Verfügbarkeit auch einhalten? Halten Sie diese vertraglich fest und legen Sie darüber hinaus Schritte für ein effizientes Risikomanagement fest.
  • Updates und Instandhaltung
    Werden Updates regelmäßig vorgenommen und sind diese inklusive? Informieren Sie sich auch darüber, in welchen Abständen die Anwendung aktualisiert wird und ob dies Down-Zeiten mit sich bringt oder nicht.
  • Standort der Datenhaltung
    Erfragen Sie beim Cloud Service Provider, wo Ihre Daten gespeichert werden und stellen Sie sicher, dass die strengen Sicherheitsanforderungen des Rechenzentrums eingehalten werden. Gerade für Unternehmen, aus stark regulierten Branchen oder Ländern mit strengen Datenschutzgesetzen, ist es besonders wichtig, den geografischen Standort der Daten zu kennen, die sie letztendlich einem Cloud Provider anvertrauen wollen.
  • Beendigung des Vertrags vorkalkulieren
    Was passiert, wenn Sie die Software nicht mehr nutzen wollen und kann der Cloud Service Provider Ihnen garantieren, dass Ihre Daten nicht nur Ihnen übergeben, sondern auch auf Anbieterseite gelöscht werden? Darüber hinaus sollten Sie festlegen, in welchem Format Ihre Daten übergeben werden, denn schlimmstenfalls bekommen Sie es in einem Format, das nicht direkt in Ihr System übertragen werden kann. (Fragen Sie auch, ob diese Format-Vorgaben Zusatzkosten mit sich bringen).

Wenn Sie diese elf Kriterien beachten und genau recherchieren was die Cloud Service Provider zu bieten haben und was Sie für Ihr Unternehmen suchen, sollte dem Übergang in die Cloud nichts mehr im Wege stehen!

Tamer Caliskan
Head of DevOps

Tamer Caliskan ist seit 3 Jahren bei ASC. Zuvor war er in den verschiedenen Bereichen wie Service, Entwicklung und DevOps tätig. Seit 2017 ist er Head of DevOps und verantwortet den Betrieb der Cloud Systeme und treibt das Thema Cloud mit viel Engagement bei ASC voran.