CHECKLISTE

Kriterien zur Auswahl eines Cloud Computing Anbieter

von

Ren Bst
(rene@renebuest.de)

CHECKL !"E# Kriterien zur Auswahl eines Cloud Computing Anbieter

Ren Bst | Business Technology Analytics & Strategies

Ren Bst $ % 2&'2

CHECKL !"E# Kriterien zur Auswahl eines Cloud Computing Anbieter

)berbli*+
Cloud Computing Anbieter haben auf Unternehmen den grten Einfluss auf dem Weg in die Cloud. Dazu z hlen die Eigens!haften und der Chara"ter des Anbieters bzgl. des Umgangs mit seinen #unden und $ie dieser arbeitet. Die grte %erausforderung stellt zudem die &ele"tion eines oder mehrerer Anbieter dar' um die Anspr(!he des Unternehmens in )ezug auf die *ntegrationsmgli!h"eiten' die Unterst(tzung der +es!h ftsprozesse et!. so optimal $ie mgli!h zu erf(llen. Eine ,orm f(r die )e$ertung und Aus$ahl eines Anbieters e-istiert derzeit no!h ni!ht und es $ird ebenfalls s!h$ierig $erden eine zu ent$erfen' da die indi.iduelle &ituation .on Unternehmen zu Unternehmen sehr .ielf ltig ist. &peziell die indi.iduelle &ituation in #ombination mit den Anspr(!hen des Unternehmens f(hrt zu einer hohen #omple-it t' $as die &!h$ierig"eit erhht' e-a"t den Anbieter zu finden' dessen Angebot und /eistungen optimal zu dem Unternehmen passen. &!hon eine "leine Aus$ahl .on Anbietern und ihren &er.i!es zeigt' dass es sehr s!h$ierig ist' einen dire"ten 0erglei!h .orzunehmen. Auf den ersten )li!" sehen si!h die meisten Angebote sehr hnli!h. Eine detaillierte )etra!htung legt aber offen' dass si!h die 1e$eiligen Angebote in )ezug auf ihren Aufbau' den Umfang der Dienste und der 2reisstru"tur deutli!h unters!heiden. Das stellt Unternehmen .or eine groe %erausforderung. 3(ssen sie z$ar heute ni!ht mehr f(r den Aufbau und die Wartung der *nfrastru"tur sorgen' hat die Aus$ahl der ri!htigen und passenden &er.i!es 1edo!h allerh!hste )edeutung. Dazu "ommen 4hemen $ie Complian!e' +o.ernan!e' Datens!hutz us$. 5udem $ird die Aus$ahl eines Anbieters immer sehr star" .on den eigenen )ed(rfnissen des Unternehmens beeinflusst. Ein )eispiel sind &/As. Die &/As der groen 2ubli! Cloud Anbieter sind ni!ht sehr umfangrei!h und aussage"r ftig. #ann die garantierte 0erf(gbar"eit ni!ht eingehalten $erden' erstatten diese z$ar den )etrag zur(!"' der in diesem 5eitraum zu entri!hten $ar' eine zus tzli!he &trafe' $ie sie in "lassis!hen &/As stehen' gibt es 1edo!h ni!ht. Es e-istieren daher grundlegende 6ragen' die einem Anbieter' unabh ngig in $el!hem Cloud Computing )erei!h dieser t tig ist' gestellt $erden m(ssen. Dies sollte auf )asis eines 6ragen"atalogs .orgenommen $erden' mit dem der Anbieter auf die grunds tzli!hen 6a"ten (berpr(ft $ird. Dieser #atalog "ann .on 1edem Unternehmen .er$endet $erden' das
Ren Bst | Business Technology Analytics & Strategies Ren Bst $ % 2&'2

CHECKL !"E# Kriterien zur Auswahl eines Cloud Computing Anbieter

&er.i!es .on einem Cloud Computing Anbieter .er$enden m!hte. Da der #atalog generis!h nur die 6ragen abbilden "ann' die f(r alle Unternehmen glei!hermaen dieselbe &!hnittmenge beinhalten' muss der #atalog .on dem 1e$eiligen Unternehmen um die eigenen 6ragen und )ed(rfnisse' die $i!htig sind' er$eitert $erden. Der Anbieteraus$ahl"atalog dient als eine 7rientierungshilfe' die Unternehmen nutzen "nnen' um einen Anbieter anhand .ordefinierter #riterien auszu$ hlen. Auf +rund seiner Allgemeing(ltig"eit "ann der #atalog ni!ht die 1e$eiligen speziellen )ed(rfnisse eines Unternehmens abbilden' sondern nur die #riterien als 2r(fgegenstand nehmen' die f(r 1edes Unternehmen glei!hermaen gelten. An der einen oder anderen &telle $ird der #atalog /(!"en auf$eisen' aber denno!h einen +esamt(berbli!" zu den $i!htigen )erei!hen f(r die Aus$ahl eines Cloud Computing Anbieter geben.

Ren Bst | Business Technology Analytics & Strategies

Ren Bst $ % 2&'2

CHECKL !"E# Kriterien zur Auswahl eines Cloud Computing Anbieter

Ren Bst | Business Technology Analytics & Strategies

Ren Bst $ % 2&'2

CHECKL !"E# Kriterien zur Auswahl eines Cloud Computing Anbieter

'/ 2/ (/ ,/ -/ ./ 0/ 5/ 2/ '&/ ''/ '2/

Hintergrund/////////////////////////////////////////////////////////////////////////////////////////////////////////0 "e*hnologie////////////////////////////////////////////////////////////////////////////////////////////////////////0 1ertrag/////////////////////////////////////////////////////////////////////////////////////////////////////////////////2 Abre*hnung//////////////////////////////////////////////////////////////////////////////////////////////////////'& Complian*e///////////////////////////////////////////////////////////////////////////////////////////////////////'& 3overnan*e///////////////////////////////////////////////////////////////////////////////////////////////////////'' 4atens*hutz//////////////////////////////////////////////////////////////////////////////////////////////////////'' !i*herheit//////////////////////////////////////////////////////////////////////////////////////////////////////////'2 6rganisation/////////////////////////////////////////////////////////////////////////////////////////////////////'( 7rozesse///////////////////////////////////////////////////////////////////////////////////////////////////////////', 8inanzen////////////////////////////////////////////////////////////////////////////////////////////////////////////', !onstiges//////////////////////////////////////////////////////////////////////////////////////////////////////////',

Ren Bst | Business Technology Analytics & Strategies

Ren Bst $ % 2&'2

CHECKL !"E# Kriterien zur Auswahl eines Cloud Computing Anbieter

'/

Hintergrund
: ; i/A/ Bemer+ung

Hintergrund 9 Reputation
0erf(gt der Anbieter bereits (ber mehrere hunderte oder tausende #unden8 ,immt die Anzahl der #unden stetig zu8 0erf(gt der Anbieter bereits (ber mehrere 9eferenzpro1e"te8 &tehen bereits An$endungsf lle (Use Cases) zur 0erf(gung8 +ibt es Aussagen: )e$ertungen .on bestehenden #unden8 &tehen auf der Webseite *nformationen bzgl. des 4op 3anagements zur 0erf(gung8 Wird (ber den Anbieter in traditioniellen 3agazinen und 4e!hnolog; )logs positi. beri!htet8 )etreibt der Anbieter a"ti. einen eigenen )log und &o!ial 3edia &eiten8

Hintergrund 9 E<pertise
%at der Anbieter Erfahrung mit dem )etrieb und der 0er$altung einer globalen' redundanten' ho!h.erf(gbaren und zu.erl ssigen *nfrastru"tur8 0erf(gt der Anbieter (ber ausrei!hend 9e!henzentrums"apazit ten8 0erf(gt der Anbieter (ber eine unabh ngige 5ertifizierung8

: ;

i/A/

Bemer+ung

Hintergrund 9 8inanzen
#ann ein positi.er 9(!"s!hluss auf die 6inanzst r"e des Anbieters ges!hlossen $erden8 %andelt es si!h um ein brsennotiertes Unternehmen8 Wird der Anbieter ggf. (ber serise *n.estoren finanziert8 #onnte der Anbieter im .ergangenen +es!h fts1ahr einen +e$inn erzielen8

: ;

i/A/

Bemer+ung

Hintergrund 9 !onstiges
#ann das Angebot zun !hst $ hrend einer 4estphase "ostenlos e.aluiert $erden8 0erf(gt der Anbieter (ber eine ph;sis!he Adresse so$ie #onta"tdaten $ie z.). eine 4elefonnummer8

: ;

i/A/

Bemer+ung

2/

"e*hnologie
: ; i/A/ Bemer+ung

"e*hnologie 9 !tandort
Werden die Daten und An$endungen in mehreren geographis!h .oneinander getrennten 9egionen gespei!hert8 *st mehr als ein 9e!henzentrum .orhanden8 Wenn 1a' $ie .iele gibt es und in $el!hen / ndern stehen diese8 &tehen die 9e!henzentren in einem dur!h eine ,atur"atastrophe ni!ht bedrohtem +ebiet8

"e*hnologie 9 n=rastru+tur > 4imensionierung

#ann der 5ugriff auf die &er.i!es und Daten .on (berall aus stattfinden8 #ann der 5ugriff auf die genutzten &er.i!es und Daten bes!hr n"t $erden8 &tehen ausrei!hend 9e!hen< und &pei!her"apazit ten zur 0erf(gung8 #nnen in einem "urzen 5eitraum $eitere #apazit ten hinzugef(gt oder $ieder entfernt $erden8 &tehen 3ethoden zur d;namis!hen Erhhung und 0erringerung' zur *ndizierung' Dur!hsu!hung und 0erarbeitung zur 0erf(gung8 #ann auf die &er.i!es des Anbieters mittels des &ingle &ign<7n 0erfahrens zugegriffen $erden8 Wird die =-> &pei!herte!hnologie eingesetzt8 Wird die =-> 0irtualisierungste!hnolgie eingesetzt8 &teht das =-> )etriebss;stem zur 0erf(gung8 *st die "onstante &trom.ersorgung der 9e!henzentren si!hergestellt8 6indet eine ordnungsgem e 0er$altung der unters!hiedli!hen 4;pen .on An$endungen und Daten statt8 &tehen 3ethoden f(r das #lonen .on .irtuellen &er.ern innerhalb der Cloud Umgebung zur 0erf(gung8 E-istieren Eins!hr n"ungen bzgl. der +re des zu .er$endenden &pei!herplatzes8 #ann eine 9emote 0erbindung mit der Cloud hergestellt $erden8 Wenn 1a' $el!he 0erbindungen stehen zur 0erf(gung8 &tehen bereits fertige )etriebss;stem<4emplates f(r die ,utzung auf den .irtuellen &er.ern zur 0erf(gung8

: ;

i/A/

Bemer+ung

Ren Bst | Business Technology Analytics & Strategies

Ren Bst $ % 2&'2

5
"e*hnologie 9 !*hnittstellen

CHECKL !"E# Kriterien zur Auswahl eines Cloud Computing Anbieter

: ; i/A/ Bemer+ung

&ind die &!hnittstellen des Anbieters standardisiert8 %andelt es si!h bei den &!hnittstellen um offene &tandards8 E-istieren &!hnittstellen f(r die *ntegration in die eigene' bestehende *nfrastru"tur8 *st der 5ugriff auf die A2* des Cloud Anbieters mgli!h8 0erursa!ht der 5ugriff auf die A2* separate #osten8

"e*hnologie 9 Kompatibilit?t > ntegration

*st die #ompatibilit t zu anderen Cloud &er.i!es garantiert8 *st die #ompatibilit t zur eigenen *nfrastru"tur ge$ hrleistet8 *st ggf. die #ompatibilit t zu .orhanden Appli"ationen ge$ hrleistet8 #nnen die bentigten 2rogrammierspra!hen selbst ge$ hlt $erden8 #ann die bentigte An$endungsplattform selbst ausge$ hlt $erden8 &tehen die bereits zu.or eingesetzten )etriebss;steme zur 0erf(gung8 &tehen die bereits zu.or eingesetzten An$endungsumgebungen zur 0erf(gung8 &teht der bereits eingesetzte 4e!hnologiesta!" zur 0erf(gung8 #ann ggf. die eigene Ar!hite"tur auf der *nfrastru"tur genutzt $erden8 &tehen 3e!hanismen f(r die Automatisierung und die 7r!hestrierung z$is!hen der Cloud des Anbieters und der eigenen *nfrastru"tur zur 0erf(gung8 #ann eine *ntegration mit anderen An$endungen oder Cloud &er.i!es stattfinden8 Wird die *ntegration mit anderen &;stemen unterst(tzt8 Wird ggf. die *ntegration .on lteren An$endungen unterst(tzt8 Arbeitet der Anbieter mit Unternehmen zusammen' die si!h auf die *ntegration .on (Cloud)< An$endungen spezialisiert haben8

: ;

i/A/

Bemer+ung

"e*hnologie 9 !ervi*e > !upport

&tehen hinrei!hende 3onitoringfun"tionen zur 0erf(gung8 &tehen hinrei!hende 9eportingfun"tionen zur 0erf(gung8 &tellt der Anbieter Do"umentationen f(r die ,utzung der *nfrastru"tur bereit. %ilft der Anbieter dabei' seine *nfrastru"tur zu .erstehen und bestmgli!h zu nutzen8 0erf(gt der Anbieter (ber eine ffentli!he und transparente Webseite' auf $el!her der a"tuelle &tatus der &er.i!es eingesehen $erden "ann8 Wird auf der &tatus<Webseite (ber mgli!he 2robleme und Ausf lle beri!htet8 &teht eine Weboberfl !he f(r die 0er$altung der 9essour!en zur 0erf(gung8

: ;

i/A/

Bemer+ung

"e*hnologie 9 Ba*+up > 4isaster Re*over@

&tehen 3ethoden zur 0erf(gung' mit denen ggf. Ausfallzeiten und Daten.erluste innerhalb der *nfrastru"tur .orgebeugt $erden "nnen8 &tehen ausrei!hend &pei!herplatzressour!en zur 0erf(gung' mit denen die )a!"up< und Disaster 9e!o.er; &trategien umgesetzt $erden "nnen8 0erf(gt der Anbieter (ber ein Disaster 9e!o.er; und eine )usiness<Continuit; &trategie8 Arbeitet der Anbieter mit einem spezialisierten Unternehmen f(r die Datenrettung zusammen8 Werden die )a!"up< und Disaster 9e!o.er; &trategien regelm ig dur!hgef(hrt und einem 4est unterzogen8 Wenn 1a' $ie oft pro @ahr8 Wird regelm ig ein )a!"up der Unternehmensdaten .orgenommen8 Wenn 1a' $ie oft $ird das )a!"up dur!hgef(hrt8 Werden die Daten auf zu.erl ssigen Datentr gern gespei!hert8 6indet eine regelm ige Defragmentierung der Daten statt8

: ;

i/A/

Bemer+ung

"e*hnologie 9 Aigration > E<port

Werden offene 6ormate f(r den Datenaustaus!h .er$endet8 #nnen die Daten ohne groen Auf$and e-portiert und zu einem anderen Anbieter: &er.i!e migriert $erden8 &tehen 3igrationspfade zu anderen Cloud Computing Anbietern zur 0erf(gung8 #nnen .irtuelle 3as!hinen z$is!hen der Cloud des Anbieters und der eigenen *nfrastru"tur transferiert $erden8 #nnen alle Daten aus der Cloud in einem f(r das Unternehmen lesbaren 6ormat e-portiert $erden8 #nnen die Daten auf einem einfa!hen Weg e-portiert und zu einem neuen Cloud &er.i!e migriert $erden8 #nnen die Daten in einem offenen 6ormat $ie z.). ?3/ oder @&7, e-portiert $erden8 Entstehen f(r den E-port der Daten $eitere #osten8

: ;

i/A/

Bemer+ung

Ren Bst | Business Technology Analytics & Strategies

Ren Bst $ % 2&'2

CHECKL !"E# Kriterien zur Auswahl eines Cloud Computing Anbieter

"e*hnologie 9 E<pertise
&ind die 3itarbeiter entspre!hend *hrer 4 tig"eiten ges!hult8 0erf(gen die 3itarbeiter (ber die =-> 5ertifizierung8 &ind ausrei!hend personelle 9essour!en .orhanden8 0erf(gt der Anbieter (ber strategis!he 2artners!haften zu seinen 4e!hnologieanbietern8

2
i/A/ Bemer+ung

: ;

"e*hnologie 9 ;etzwer+
Erf(llt die 5u.erl ssig"eit des Anbieternetz$er"s die eigenen Anspr(!he8 *st die globale 9ei!h$eite des Anbieternetz$er"s ausrei!hend8 #nnen den eigenen #unden ggf. $elt$eit und zu.erl ssig *nhalte bereitgestellt $erden8 0erf(gt der Anbieter (ber eine s!hnelle und stabile *nternetanbindung8 0erf(gt der Anbieter (ber 3e!hanismen' um die /atenzen auf +rund langer ,etz$er".erbindungen zum #unden zu minimieren8

: ;

i/A/

Bemer+ung

"e*hnologie 9 !onstiges
3uss ggf. in die eigene *nfrastru"tur in.estiert $erden' um den Cloud &er.i!e zu nutzen8 &tehen 5usatzleistungen zur 0erf(gung' die bsp$. ein anderer Anbieter ni!ht leistet8

: ;

i/A/

Bemer+ung

(/

1ertrag
: ; i/A/ Bemer+ung

1ertrag 9 8orm > 3estaltung

Wird der 0ertrag in s!hriftli!her 6orm ges!hlossen8 Wird der 0ertrag online .ereinbart8

1ertrag 9 !ubunternehmer
*st die Auslagerung .on )erei!hen an einen &ubunternehmer .ertragli!h festgehalten8 &ind 9egelungen .orhanden' die dem &ubunternehmer' der mgli!her$eise zum Wettbe$erb gehrt' untersagen' 5ugriff auf interne Unternehmensdaten zu erhalten8

: ;

i/A/

Bemer+ung

1ertrag 9 !ervi*e Level Agreement

&tellt der Anbieter ein &er.i!e /e.el Agreement (&/A) zur 0erf(gung8 %andelt es si!h dabei um ein &tandard &/A8 &ind die &/As ausrei!hend8 &ind die /eistungen in dem &/A hinrei!hend bes!hrieben8 )ietet das &/A eine garantierte 0erf(gbar"eit .on =->A *st der Anbieter bereit das &/A na!h den eigenen W(ns!hen anzupassen8 Wird bes!hrieben' $ie der Anbieter die Einhaltung der &/As si!herstellt8

: ;

i/A/

Bemer+ung

1ertrag 9 Anpassungen
&ind die 3ethoden zur Bnderung der /eistungen festgehalten8 &ind die 3ethoden zur Bnderung der Cualit tsstandards festgehalten8 3(ssen die 0ertr ge neu .erhandelt $erden' $enn si!h die eigenen Anforderungen ndern8

: ;

i/A/

Bemer+ung

1ertrag 9 nsolvenz > 1ertragsende

&ind die #(ndigungsre!hte des 0ertrags ausrei!hend fle-ibel gestaltet' so dass 1ederzeit .om 0ertrag zur(!"getreten $erden "ann8 *st die 9(!"nahme und der E-port der Daten bei 0ertragsende festgehalten8 &ind .ertragli!he 9egelungen festgehalten' die im 6alle einer *nsol.enz des Anbieters (ber den &!hutz und der 0erf(gbar"eit der Daten ents!heiden8

: ;

i/A/

Bemer+ung

1ertrag 9 Eigentumsregelung > LBs*hung

*st das Eigentum s mtli!her Daten .ertragli!h geregelt8 *st .ertragli!h geregelt und ge$ hrleistet' dass die Daten dur!h den Anbieter immer dann tats !hli!h gels!ht $erden' $enn der #unde dieses $(ns!ht bz$. selbst .ornimmt8 *st .ertragli!h geregelt' dass die Daten na!h 0ertragsende gels!ht und Datentr ger ggf. zur(!"gegeben $erden8

: ;

i/A/

Bemer+ung

1ertrag 9 Ha=tung
Wird in dem 0ertrag bes!hrieben' ob und $ie der Anbieter den finanziellen 0erlust ausglei!ht' $enn das Unternehmen dur!h eine ,i!hterrei!hbar"eit ges!h ftsunf hig ist8 &ind die Datens!hutzbestimmungen .ertragli!h geregelt8 &ind die 9egelungen bzgl. des +es!h ftsgeheimnisses festgehalten8 &ind die 9egelungen bzgl. des )an"geheimnisses festgehalten8 *st die +e$ hrleistung .ertragli!h detailliert festgehalten8 *st die %aftung .ertragli!h detailliert festgehalten8 *st die %aftung gegen(ber anderen ,utzern auf derselben *nfrastru"tur so geregelt' dass der Anbieter f(r die ,i!hteinhaltung .on &i!herheitsstandards haftbar ist8

: ;

i/A/

Bemer+ung

Ren Bst | Business Technology Analytics & Strategies

Ren Bst $ % 2&'2

'&
1ertrag 9 Au=gabenverteilung

CHECKL !"E# Kriterien zur Auswahl eines Cloud Computing Anbieter

: ; i/A/ Bemer+ung

&ind die erforderli!hen 9e!hte f(r die Dber$a!hung im 0ertrag festgehalten8 &ind die 1e$eiligen 0erant$ortungen im 0ertrag festgehalten8 &ind die 1e$eiligen 5ust ndig"eiten im 0ertrag festgehalten8 &ind die 1e$eiligen &!hnittstellen im 0ertrag festgehalten8 *st .ertragli!h festgehalten' ob der Anbieter (ber einen Ausfall automatis!h informiert8 *st die )eri!hterstattung im 0ertrag .ereinbart8 *st die #ontrolldi!hte im 0ertrag .ereinbart8 &ind die 3gli!h"eiten der &"alierung .ertragli!h festgehalten8

1ertrag 9 !onstiges
Darf der Anbieter seiner 4 tig"eit na!hgehen8 &ind die /izenzmodelle der eingesetzten &oft$are f(r den Einsatz im )erei!h des Cloud Computing g(ltig8 0erf(gt das Unternehmen (ber andere 0ertr ge' die der ,utzung des Cloud Computing im Wege stehen8

: ;

i/A/

Bemer+ung

,/

Abre*hnung
: ; i/A/ Bemer+ung

Abre*hnung 9 Abre*hnungsart
Erfolgt die Abre!hnung der &er.i!es paus!hal8 Erfolgt die Abre!hnung der &er.i!es abh ngig .om 0erbrau!h8 Erfolgt die Abre!hnung der &er.i!es abh ngig .on =->8

Abre*hnung 9 Anpassung > Kompatibilit?t

#ann das )ezahlmodell (z.). (ber eine #redit"arte) dur!h das Unternehmen umgesetzt $erden8 *st das )ezahlmodell "ompatibel zur Abre!hnung der internen *4</eistungen8 #nnen 3engenrabatte bz$. spezielle 4arife auf )asis der garantiert genutzten &er.i!es ausgehandelt $erden8 #ann der 4arif ggf. bei der Bnderung der ,utzung .on &eiten des #unden angepasst $erden8

: ;

i/A/

Bemer+ung

Abre*hnung 9 !onstiges
&tellt der Anbieter 3ethoden bereit' mit denen das Unternehmen .or der un"ontrollierten ,utzung ges!h(tzt $ird8 Entstehen f(r eine .irtuelle 3as!hine und die .on ihr genutzten 9essour!en au!h dann #osten' $enn diese ni!ht genutzt $ird8 Entstehen f(r die /izenzen .on )etriebss;stemen und An$endungen' die auf den .irtuellen 9essour!en genutzt $erden' $eitere #osten8

: ;

i/A/

Bemer+ung

-/

Complian*e
: ; i/A/ Bemer+ung

Complian*e 9 Allgemein
Wurde die Auslagerung .on einem Wirts!haftspr(fer abgenommen8 Erf(llt der Anbieter die re!htli!hen 9egelungen und )estimmungen8 Erf(llt der Anbieter die te!hnis!hen 0oraussetzungen f(r die re!htli!hen 9egelungen und )estimmungen8 Entspri!ht die Datenhaltung den unternehmenseigenen 9i!htlinien zur Aufbe$ahrungen .on Do"umenten8 )efindet si!h der 9e!htsstand im Ausland und ist das ggf. ni!ht mit den Unternehmensri!htlinien zu .ereinbaren8 Erh lt das Unternehmen auf +rund .on geri!htli!hen Anfragen und )es!hl(ssen un.erz(gli!h 5ugriff auf die in der Anfrage rele.anten Daten8

Complian*e 9 Certi=izierung
*st der Anbieter na!h &A& EF 4;p G zertifiziert8 *st der Anbieter na!h &A& EF 4;p H zertifiziert8 *st der Anbieter na!h &&AE<GI zertifiziert8 *st der Anbieter na!h *&7 HEFFG zertifiziert8 *st der Anbieter 2C*<Complian!e zertifiziert8

: ;

i/A/

Bemer+ung

Ren Bst | Business Technology Analytics & Strategies

Ren Bst $ % 2&'2

CHECKL !"E# Kriterien zur Auswahl eines Cloud Computing Anbieter

Complian*e 9 4atens*hutz
% lt si!h der Anbieter an die gesetzli!hen 9egelungen und des Datens!hutzes und sind diese do"umentiert8 #ann der Anbieter na!h$eisen' dass er die Datens!hutzri!htlinien einh lt8 Werden die Daten ggf. in einem f(r das Unternehmen ni!ht zul ssigen /and gespei!hert8

''
i/A/ Bemer+ung

: ;

Complian*e 9 "ransparenz
Darf eine 2r(fung dur!h interne und e-terne 2r(fer .orgenommen $erden8 %aben Computer<6orensi"er mgli!her$eise unautorisierten 5ugriff auf Daten um diese zu re"onstruieren8 +ibt der Anbieter Aus"unft dar(ber' $o die Daten und An$endungen gespei!hert und .erarbeitet $erden8 ,ennt der Anbieter die &tandorte $ie das /and und die 9egion8 +ibt der Anbieter Aus"unft dar(ber' $er 5ugriff auf die Daten erh lt8 +ibt der Anbieter ggf. Aus"unft (ber seine &ubunternehmer8 /egt der Anbieter transparent offen' $el!he Eingriffe er an den Daten der #unden .ornimmt8 +ibt der Anbieter regelm ige Aus"(nfte (ber 0er nderungen $ie neue oder entfernte 6un"tionen so$ie neue &ubunternehmer8 /egt der Anbieter transparent offen' ob der &taat 5ugriff auf die Daten erh lt8

: ;

i/A/

Bemer+ung

./

3overnan*e
: ; i/A/ Bemer+ung

3overnan*e 9 Kompatibilit?t
#ann z$is!hen der Cloud des Anbieters und der Unternehmensinfrastru"tur eine "onsistente und einheitli!he 0erbindung hergestellt $erden8 #ann mit der ,utzung der Cloud die 2ortabilit t zu einer anderen Cloud si!hergestellt $erden8

3overnan*e 9 !i*herheitsmaDnahmen
&ind die 1e$eiligen &!hnittstellen gegen Angriffe oder Ausf lle ges!h(tzt8 *st der &!hutz .or internen Angreifern si!hergestellt8 Wird die 0ertrauli!h"eit der Daten si!hergestellt8 0erf(gt der Anbieter (ber &i!herheitsmanagement<2rozesse8

: ;

i/A/

Bemer+ung

3overnan*e 9 Audit
*st es dem #unden gestattet' Audits beim Anbieter .orzunehmen8 &tellt der Anbieter dem #unden dazu ggf. entspre!hende &!hnittstellen zur 0erf(gung8 #ann der Anbieter a"tuelle und unabh ngige Auditberi!hte .or$eisen8 Erh lt der #unde die 3gli!h"eit einen 2enetrationstest beim Anbieter .orzunehmen8

: ;

i/A/

Bemer+ung

3overnan*e 9 !onstiges
Werden die Daten ph;sis!h in einem f(r das Unternehmen "onformen /and gespei!hert8 Erh lt der #unde die 3gli!h"eit die &/As zu (ber$a!hen' z.). die Cualit t der genutzen &er.i!es8

: ;

i/A/

Bemer+ung

0/

4atens*hutz
: ; i/A/ Bemer+ung

4atens*hutz 9 3esetzes+on=ormit?t
%andelt es si!h um personenbezogene Daten8 Werden die personenbezogenen Daten auerhalb der EU bz$. des EW9 .erarbeitet8 &ind die #unden (ber die 0erarbeitung der Daten unter diesen Umst nden informiert $orden8 0erf(gt der Anbieter (ber einen Datens!hutzbeauftragten8 #ann der Anbieter na!h$eisen' dass seine 3itarbeiter (ber Datengeheimnis na!h J K )D&+ aufge"l rt $urden8 #ann der Anbieter na!h$eisen' dass er die )estimmungen des )D&+ einh lt8 0erf(gt der Anbieter (ber ein #onzept oder eine Do"umentation' in der er die Umsetzung der te!hnis!hen und organisatoris!hen 3anahmen bzgl. der 0ergaben des Anhang zu J L )D&+ na!h$eisen "ann8 E-istieren in den / ndern' .on denen der Anbieter aus seine &er.i!es bereitstellt' bestimmte +esetze' die mit den Unternehmensri!htlinien ni!ht .ereinbart $erden "nnen8

4atens*hutz 9 Audit
Erh lt der #unde oder eine dur!h den #unden be.ollm !htigte 2ersonen beim Anbieter .or 7rt das 9e!ht #ontrollen .orzunehmen8 Unterzieht si!h der Anbieter regelm igen #ontrollen' Audits und 5ertifizierungen' dur!h die der Anbieter bzgl. des Datens!hutzes (berpr(ft und zertifiziert $ird8

: ;

i/A/

Bemer+ung

Ren Bst | Business Technology Analytics & Strategies

Ren Bst $ % 2&'2

'2
4atens*hutz 9 1ertrauli*h+eit

CHECKL !"E# Kriterien zur Auswahl eines Cloud Computing Anbieter

: ; i/A/ Bemer+ung

,immt der Anbieter besondere 3anahmen bei der Aus$ahl und der Einstellung seiner 3itarbeiter .or8 Werden die Daten .ollst ndig .on den &;stemen entfernt' $enn diese .on dem #unden (ber den Web &er.i!e gels!ht $erden8 0er$endet der Anbieter die #undendaten' um damit das Unternehmen zu be$erben8 Wertet der Anbieter die Daten aus' um damit Werbung zu betreiben8 0er"auft der Anbieter seine #undendaten so$ie das #unden.erhalten an andere Unternehmen8 +ibt der Anbieter bsp$. im 6alle der &traf.erfolgung den )ehrden 5ugriff auf die #undendaten8

5/

!i*herheit
: ; i/A/ Bemer+ung

!i*herheit 9 !i*herheitsmanagement
0erf(gt der Anbieter (ber ein *4<&i!herheits"onzept8 0erf(gt der Anbieter (ber eine *dentit ts.er$altung8 0erf(gt der Anbieter (ber eine 5$ei<6a"tor<Authentisierung f(r seine #unden8 %at der Anbieter das 0ier Augen 2rinzip f(r s!h$ierige Administrationsaufgaben implementiert8 0erf(gen die Administratoren ma-imal nur (ber die 9e!hte' die sie f(r das Erledigen ihrer Aufgaben bentigen8 0erf(gen die #unden ma-imal nur (ber die 9e!hte' die sie f(r die ,utzung der Cloud bentigen8 #ann der Anbieter eine .ollst ndige Dber$a!hung' HM &tunden am 4ag und E 4age die Wo!he' seiner Cloud na!h$eisen8 *st der Anbieter in die CE94 &tru"turen so$ie sein nationales *4 #risenmanagement in.ol.iert8 #ann der Anbieter na!h$eisen' dass er interne Angriffe .on #unden auf andere #unden er"ennt8 #ann der Anbieter na!h$eisen' dass er die Erfassung und Aus$ertung .on /ogdaten .ornimmt8 0erf(gt der Anbieter (ber ein dauerhaft (HM:E) errei!hbares und fun"tionierendes Cloud 3anagement so$ie 4roubleshooting8 #ann der Anbieter die 9ealisierung eines ,otfallmanagements na!h$eisen8 #ann der Anbieter regelm ige Dbungen na!h$eisen8 #ann der 5ugriff auf Daten und 6un"tionen f(r spezielle )erei!he auf )asis einer 9e!hte.er$altung gesteuert und "ontrolliert $erden8 #ann der Anbieter na!h$eisen' dass er feststellen "ann' ob und $ie eine An$endungen angegriffen $urde8 #nnen im 6alle eines Angriffs detaillierte *nformationen s!hnellstmgli!h an das Unternehmen (berstellt $erden8 E-istiert eine bestimmte Aufbe$ahrungsfrist f(r die Daten8

!i*herheit 9 "ransparenz
/egt der Anbieter offen' $el!he /sungen eingesetzt $erden' um seine Cloud zu s!h(tzen8 Wird das /s!hen der ni!ht mehr bentigten Daten .on dem Anbieter do"umentiert8 Werden die ni!ht mehr bentigten Daten ggf. mit speziellen 0erfahren .on den 6estplatten entfernt8 #ann der Anbieter na!h$eisen' dass das /s!hen .on Daten .on einem unabh ngigen Unternehmen zertifiziert $ird8

: ;

i/A/

Bemer+ung

!i*herheit 9 Kommuni+ation
Wird der #unde .on dem Anbieter regelm ig (ber den &tatus seines *4 &i!herheitszustands informiert8 ,ennt der Anbieter garantierte 9ea"tionszeiten' falls es zu einem &i!herheits.orfall "ommt8

: ;

i/A/

Bemer+ung

!i*herheit 9 Certi=izierung
#ann der Anbieter auf )asis .on 5ertifizierungen den a"tuellen &tand seines &i!herheitsle.els na!h$eisen8 0erf(gt der Anbieter (ber ein *&3& (*nformation &e!urit; 3anagement &;stem)' z.). *&7 HEFFG oder )&*<&tandard GFF<H (*4<+runds!hutz)8 0erf(gt der Anbieter (ber ein definiertes 0orgehensmodell seiner *4<2rozesse' z.). *4*/ und C7)*48

: ;

i/A/

Bemer+ung

Ren Bst | Business Technology Analytics & Strategies

Ren Bst $ % 2&'2

CHECKL !"E# Kriterien zur Auswahl eines Cloud Computing Anbieter

!i*herheit 9 Audit
,immt der Anbieter eine regelm ige' unabh ngige 2r(fung seines *4 &i!herheitszustands .or8 ,immt der Anbieter st ndig umfassende &i!herheitstests an seiner *nfrastru"tur .or8 ,immt der Anbieter st ndig umfassende &i!herheitstests an der *nfrastru"tur seiner &ubunternehmer .or8 Werden bei dem Anbieter st ndig unabh ngige &i!herheitsre.isionen .orgenommen8 Werden bei den &ubunternehmen des Anbieters st ndig unabh ngige &i!herheitsre.isionen .orgenommen8

'(
i/A/ Bemer+ung

: ;

!i*herheit 9 7ersonal
#ann der Anbieter .ertrauens$(rdiges 2ersonal na!h$eisen8 0erf(gt der Anbieter (ber gut ausgebildete 3itarbeiter8 Erhalten die 3itarbeiter des Anbieters regelm ige &!hulungen8 &ind die 3itarbeiter des Anbieters bzgl. der Datensi!herheit und des Datens!hutzes sensibilisiert8 Wurden die 3itarbeiter hinsi!htli!h des Datens!hutzes so$ie der Einhaltung der &i!herheitsmanahmen und der .ertrauli!hen )ehandlung der #undendaten .erpfli!htet8

: ;

i/A/

Bemer+ung

!i*herheit 9 "e*hnologie
#ann der Anbieter mit der =-> 0ers!hl(sselungsmethode angebunden $erden8 Werden die Daten mit der =-> 0ers!hl(sselungsmethode beim Anbieter .ers!hl(sselt8 0erf(gt der Anbieter (ber eine ganzheitli!he &i!herheitsar!hite"tur8 #ann der Anbieter die 9e!henzentrumssi!herheit na!h$eisen8 #ann der Anbieter die ,etzsi!herheit na!h$eisen8 #ann der Anbieter die &i!herheit der %ost< und &er.er.irtualisierung na!h$eisen8 #ann der Anbieter die An$endungs< und 2lattformsi!herheit na!h$eisen8 #ann der Anbieter ein 0ers!hl(sselungs< und &!hl(sselmanagement na!h$eisen8 #ann der Anbieter die stri"te 4rennung seiner 3andanten innerhalb der Cloud na!h$eisen8 Werden die Daten redundant gespei!hert8 #ann der Anbieter sein ,etz$er" in .irtuelle /A,s segmentieren8

: ;

i/A/

Bemer+ung

2/

6rganisation
: ; i/A/ Bemer+ung

6rganisation 9 !ervi*e > !upport

Wie oft $ird ein Upgrade der An$endungen dur!h den Anbieter .orgenommen8 ,ehmen Upgrades dire"ten Einfluss auf die ,utzung der An$endung8 Wel!hen 5eitraum nimmt ein Upgrade in Anspru!h8 &tellt der Anbieter 3gli!h"eiten zur 0erf(gung' mit denen die Daten $eiterhin bereitgestellt $erden "nnen' $enn der Anbieter insol.ent sein sollte8 &tellt der Anbieter den #unden 3gli!h"eiten zur 0erf(gung' das ,utzungs.erhalten auf )asis .on Aus$ertungen und &tatisti"en zu (berpr(fen8 &tellt der Anbieter die abgere!hneten /eistungen in seinen 9e!hnungen transparent und na!h.ollziehbar dar8 &tellt der Anbieter 4utorials und $eitere %ilfestellungen zur 0erf(gung' mit denen der Einstieg in die ,utzung der &er.i!es .ereinfa!ht $ird8

6rganisation 9 Kommuni+ation
*nformiert der Anbieter (ber geplante Wartungszeitr ume8 #ann mit dem Anbieter in )ezug auf die Wartungen #onta"t aufgenommen $erden' um $eitere *nformationen zu erhalten8 &tehen ausrei!hend #onta"tmgli!h"eiten .on &eiten des Anbieters bereit8 0erf(gt der Anbieter (ber einen #undenser.i!e' der auer ele"tronis!h au!h telefonis!h errei!hbar ist8 %at der Anbieter bestimmte 9egelungen getroffen' die im 6alle einer Es"alation not$endig $erden8

: ;

i/A/

Bemer+ung

6rganisation 9 Aitarbeiter
3(ssen die eigenen 3itarbeiter f(r die ,utzung ges!hult $erden8 3uss der %elp<Des" f(r die ,utzung ges!hult $erden8

: ;

i/A/

Bemer+ung

6rganisation 9 !tru+turen
#ann der Anbieter in das Anbieter 3anagement der *4 7rganisation aufgenommen $erden8 #nnen die genutzten &er.i!es $ieder in das Unternehmen zur(!"geholt $erden8 Werden dur!h die ,utzung der &er.i!es des Anbieters ggf. 9edundanzen aufgebaut8

: ;

i/A/

Bemer+ung

Ren Bst | Business Technology Analytics & Strategies

Ren Bst $ % 2&'2

',

CHECKL !"E# Kriterien zur Auswahl eines Cloud Computing Anbieter

'&/

7rozesse
: ; i/A/ Bemer+ung

7rozesse 9 ndividualisierung
)esteht die 3gli!h"eit der *ndi.idualisierung der 2rozesse8 W(rde si!h die ,utzung der .om Anbieter .orgegebenen standardisierten 2rozesse auf die Effizienz des +esamtges!h ftsprozesses aus$ir"en8 %at der #unde ein 3itspra!here!ht' $enn der Anbieter neue &oft$are.ersionen bereitstellen $ill8 +estattet der Anbieter seinem #unden 5ugriff auf die An$endungen' um die +es!h ftsprozesse auf die eigenen )ed(rfnisse anzupassen8

7rozesse 9 Kommuni+ation
E-istieren feste Es"alations$ege auf der &eite des Anbieters8 Werden die Es"alations$ege transparent "ommuniziert8

: ;

i/A/

Bemer+ung

7rozesse 9 !ervi*e > !upport

Unterst(tzt der Anbieter bei der Dur!hf(hrung eines Change 9eNuests8 Unterst(tzt der Anbieter die bru!hfreie Abbildung unters!hiedli!her 2rozesse (ber mehrere Anbieter hin$eg8

: ;

i/A/

Bemer+ung

7rozesse 9 Risi+omanagement
%at der Ausfall des bei dem Anbieter genutzten &er.i!e rele.ante und "ritis!he Aus$ir"ungen auf die +es!h ftsprozesse bz$. den +esamtges!h ftsprozess8 &tehen Alternati.en zur 0erf(gung' falls der 2rozess: &er.i!e ausfallen sollte8

: ;

i/A/

Bemer+ung

''/

8inanzen
: ; i/A/ : ; i/A/ Bemer+ung Bemer+ung

8inanzen 9 nvestitionen
3(ssen mit dem We!hsel zu dem Anbieter $eitere *n.estitionen .orgenommen $erden8

8inanzen 9 3ebhren
Werden gesonderte +eb(hren erhoben' $enn die Daten aus der Cloud des Anbieters e-portiert $erden8 Erhebt der Anbieter eine Einri!htungsgeb(hr8 Erhebt der Anbieter monatli!he 3indestgeb(hren8

'2/

!onstiges
: ; i/A/ Bemer+ung

!onstiges 9 Re*ht > Risi+o

*st das Unternehmen dur!h mgli!he &!h den bei im Ausland ans ssigen Anbietern .ersi!hert8 E-istieren 6allba!" &zenarien f(r den 6all' dass der Anbieter ausf llt oder insol.ent ist8 E-istieren 6allba!" &zenarien f(r den 6all' dass es auf der &eite des Anbieters zu te!hnis!hen 2roblem "ommt8 0erf(gt das Unternehmen (ber ein 9isi"omanagement um im 0or$ege die mgli!hen 9isi"en abzus!h tzen8 *st das Unternehmen re!htli!h in der /age' seine &er.i!es f(r bestimmte )erei!he .on einem Cloud Anbieter zu beziehen8

!onstiges 9 Aanagement
3uss e.tl. der )etriebs< oder 2ersonalrat informiert $erden8 *st die Unterst(tzung dur!h das 4op<3anagement .orhanden8 Wurde Cloud Computing als enger )estandteil in die *4<&trategie integriert8

: ;

i/A/

Bemer+ung

!onstiges 9 n=rastru+tur
0erf(gt das Unternehmen (ber eine s!hnelle und stabile *nternetanbindung8 &ind die OCualit; of &er.i!esP der *nternetanbindung ausrei!hend8 3uss das &/A der *nternet.erbindung angepasst $erden8 Wurde eine Ende<zu<Ende 2erformanz )etra!htung .orgenommen und damit die +esamtperformanz bestimmt8

: ;

i/A/

Bemer+ung

Ren Bst | Business Technology Analytics & Strategies

Ren Bst $ % 2&'2