You are on page 1of 14

Eliminate the Status Quo Find your Blue Ocean

Checkliste
Kriterien zur Auswahl eines Cloud Computing Anbieter

INSIGHTS Paper Anal st! "en# $%st &'( August )*&)

INSIGHTS

+berblick
Cloud Computing Anbieter haben auf Unternehmen den gr ten !influss auf dem "eg in die Cloud. Da#u #$hlen die !igenschaften und der Chara%ter des Anbieters b#gl. des Umgangs mit seinen &unden und wie dieser arbeitet. Die gr te 'erausforderung stellt #udem die (ele%tion eines oder mehrerer Anbieter dar) um die Anspr*che des Unternehmens in +e#ug auf die ,ntegrationsmglich%eiten) die Unterst*t#ung der -esch$ftspro#esse etc. so optimal wie mglich #u erf*llen. !ine Norm f*r die +ewertung und Auswahl eines Anbieters e.istiert der#eit noch nicht und es wird ebenfalls schwierig werden eine #u entwerfen) da die indi/iduelle (ituation /on Unternehmen #u Unternehmen sehr /ielf$ltig ist. (pe#iell die indi/iduelle (ituation in &ombination mit den Anspr*chen des Unternehmens f*hrt #u einer hohen &omple.it$t) was die (chwierig%eit erhht) e.a%t den Anbieter #u finden) dessen Angebot und 0eistungen optimal #u dem Unternehmen passen. (chon eine %leine Auswahl /on Anbietern und ihren (er/ices #eigt) dass es sehr schwierig ist) einen dire%ten 1ergleich /or#unehmen. Auf den ersten +lic% sehen sich die meisten Angebote sehr $hnlich. !ine detaillierte +etrachtung legt aber offen) dass sich die 2eweiligen Angebote in +e#ug auf ihren Aufbau) den Umfang der Dienste und der 3reisstru%tur deutlich unterscheiden. Das stellt Unternehmen /or eine gro e 'erausforderung. 4*ssen sie #war heute nicht mehr f*r den Aufbau und die "artung der ,nfrastru%tur sorgen) hat die Auswahl der richtigen und passenden (er/ices 2edoch allerhchste +edeutung. Da#u %ommen 5hemen wie Compliance) -o/ernance) Datenschut# usw. 6udem wird die Auswahl eines Anbieters immer sehr star% /on den eigenen +ed*rfnissen des Unternehmens beeinflusst. !in +eispiel sind (0As. Die (0As der gro en 3ublic Cloud Anbieter sind nicht sehr umfangreich und aussage%r$ftig. &ann die garantierte 1erf*gbar%eit nicht eingehalten werden) erstatten diese #war den +etrag #ur*c%) der in diesem 6eitraum #u entrichten war) eine #us$t#liche (trafe) wie sie in %lassischen (0As stehen) gibt es 2edoch nicht. !s e.istieren daher grundlegende 7ragen) die einem Anbieter) unabh$ngig in welchem Cloud Computing +ereich dieser t$tig ist) gestellt werden m*ssen. Dies sollte auf +asis eines 7ragen%atalogs /orgenommen werden) mit dem der Anbieter auf die grunds$t#lichen 7a%ten *berpr*ft wird. Dieser &atalog %ann /on 2edem Unternehmen /erwendet werden) das (er/ices /on einem Cloud Computing Anbieter /erwenden mchte. Da der &atalog generisch nur die 7ragen abbilden %ann) die f*r alle Unternehmen gleicherma en dieselbe (chnittmenge beinhalten) muss der &atalog /on dem 2eweiligen Unternehmen um die eigenen 7ragen und +ed*rfnisse) die wichtig sind) erweitert werden.

2012 NewAgeDisruption.com

Der Anbieterauswahl%atalog dient als eine 8rientierungshilfe) die Unternehmen nut#en %nnen) um einen Anbieter anhand /ordefinierter &riterien aus#uw$hlen. Auf -rund seiner Allgemeing*ltig%eit %ann der &atalog nicht die 2eweiligen spe#iellen +ed*rfnisse eines Unternehmens abbilden) sondern nur die &riterien als 3r*fgegenstand nehmen) die f*r 2edes Unternehmen gleicherma en gelten. An der einen oder anderen (telle wird der &atalog 0*c%en aufweisen) aber dennoch einen -esamt*berblic% #u den wichtigen +ereichen f*r die Auswahl eines Cloud Computing Anbieter geben.

2012 NewAgeDisruption.com

Inhalts,erzeichnis
1. 'intergrund 2. 5echnologie :. 1ertrag <. Abrechnung 9. Compliance ?. -o/ernance ;. Datenschut# =. (icherheit >. 8rganisation 10. 3ro#esse 11. 7inan#en 12. (onstiges 9 9 ; = > > 10 11 12 1: 1: 1:

2012 NewAgeDisruption.com

&( Hintergrund
Hintergrund Reputation
Verfgt der Anbieter bereits ber mehrere hunderte oder tausende Kunden? Nimmt die Anzahl der Kunden stetig zu? Verfgt der Anbieter bereits ber mehrere Referenzprojekte? Stehen bereits Anwendungsflle (Use Cases) zur Verfgung? Gibt es Aussagen/ Bewertungen von bestehenden Kunden? Stehen auf der Webseite Informationen bzgl. des Top Managements zur Verfgung? Wird ber den Anbieter in traditioniellen Magazinen und Technology Blogs positiv berichtet? Betreibt der Anbieter aktiv einen eigenen Blog und Social Media Seiten?

J N

i.A.

Bemerkung

Hintergrund Expertise
Hat der Anbieter Erfahrung mit dem Betrieb und der Verwaltung einer globalen, redundanten, hochverfgbaren und zuverlssigen Infrastruktur? Verfgt der Anbieter ber ausreichend Rechenzentrumskapazitten? Verfgt der Anbieter ber eine unabhngige Zertifizierung?

J N

i.A.

Bemerkung

Hintergrund Finanzen
Kann ein positiver Rckschluss auf die Finanzstrke des Anbieters geschlossen werden? Handelt es sich um ein brsennotiertes Unternehmen? Wird der Anbieter ggf. ber serise Investoren finanziert? Konnte der Anbieter im vergangenen Geschftsjahr einen Gewinn erzielen?

J N

i.A.

Bemerkung

Hintergrund Sonstiges
Kann das Angebot zunchst whrend einer Testphase kostenlos evaluiert werden? Verfgt der Anbieter ber eine physische Adresse sowie Kontaktdaten wie z.B. eine Telefonnummer?

J N

i.A.

Bemerkung

)( Technologie
Technologie Standort
Werden die Daten und Anwendungen in mehreren geographisch voneinander getrennten Regionen gespeichert? Ist mehr als ein Rechenzentrum vorhanden? Wenn ja, wie viele gibt es und in welchen Lndern stehen diese? Stehen die Rechenzentren in einem durch eine Naturkatastrophe nicht bedrohtem Gebiet?

J N

i.A.

Bemerkung

Technologie Infrastruktur & Dimensionierung


Kann der Zugriff auf die Services und Daten von berall aus stattfinden? Kann der Zugriff auf die genutzten Services und Daten beschrnkt werden? Stehen ausreichend Rechen- und Speicherkapazitten zur Verfgung? Knnen in einem kurzen Zeitraum weitere Kapazitten hinzugefgt oder wieder entfernt werden? Stehen Methoden zur dynamischen Erhhung und Verringerung, zur Indizierung, Durchsuchung und Verarbeitung zur Verfgung? Kann auf die Services des Anbieters mittels des Single Sign-On Verfahrens zugegriffen werden? Wird die <x> Speichertechnologie eingesetzt? Wird die <x> Virtualisierungstechnolgie eingesetzt? Steht das <x> Betriebssystem zur Verfgung? Ist die konstante Stromversorgung der Rechenzentren sichergestellt? Findet eine ordnungsgeme Verwaltung der unterschiedlichen Typen von Anwendungen und Daten statt? Stehen Methoden fr das Klonen von virtuellen Servern innerhalb der Cloud Umgebung zur Verfgung? Existieren Einschrnkungen bzgl. der Gre des zu verwendenden Speicherplatzes? Kann eine Remote Verbindung mit der Cloud hergestellt werden? Wenn ja, welche Verbindungen stehen zur Verfgung? Stehen bereits fertige Betriebssystem-Templates fr die Nutzung auf den virtuellen Servern zur Verfgung?

J N

i.A.

Bemerkung

2012 NewAgeDisruption.com

Technologie Schnittstellen
Sind die Schnittstellen des Anbieters standardisiert? Handelt es sich bei den Schnittstellen um offene Standards? Existieren Schnittstellen fr die Integration in die eigene, bestehende Infrastruktur? Ist der Zugriff auf die API des Cloud Anbieters mglich? Verursacht der Zugriff auf die API separate Kosten?

J N

i.A.

Bemerkung

Technologie Kompatibilitt & Integration


Ist die Kompatibilitt zu anderen Cloud Services garantiert? Ist die Kompatibilitt zur eigenen Infrastruktur gewhrleistet? Ist ggf. die Kompatibilitt zu vorhanden Applikationen gewhrleistet? Knnen die bentigten Programmiersprachen selbst gewhlt werden? Kann die bentigte Anwendungsplattform selbst ausgewhlt werden? Stehen die bereits zuvor eingesetzten Betriebssysteme zur Verfgung? Stehen die bereits zuvor eingesetzten Anwendungsumgebungen zur Verfgung? Steht der bereits eingesetzte Technologiestack zur Verfgung? Kann ggf. die eigene Architektur auf der Infrastruktur genutzt werden? Stehen Mechanismen fr die Automatisierung und die Orchestrierung zwischen der Cloud des Anbieters und der eigenen Infrastruktur zur Verfgung? Kann eine Integration mit anderen Anwendungen oder Cloud Services stattfinden? Wird die Integration mit anderen Systemen untersttzt? Wird ggf. die Integration von lteren Anwendungen untersttzt? Arbeitet der Anbieter mit Unternehmen zusammen, die sich auf die Integration von (Cloud)Anwendungen spezialisiert haben?

J N

i.A.

Bemerkung

Technologie Service & Support


Stehen hinreichende Monitoringfunktionen zur Verfgung? Stehen hinreichende Reportingfunktionen zur Verfgung? Stellt der Anbieter Dokumentationen fr die Nutzung der Infrastruktur bereit. Hilft der Anbieter dabei, seine Infrastruktur zu verstehen und bestmglich zu nutzen? Verfgt der Anbieter ber eine ffentliche und transparente Webseite, auf welcher der aktuelle Status der Services eingesehen werden kann? Wird auf der Status-Webseite ber mgliche Probleme und Ausflle berichtet? Steht eine Weboberflche fr die Verwaltung der Ressourcen zur Verfgung?

J N

i.A.

Bemerkung

Technologie Backup & Disaster Recovery


Stehen Methoden zur Verfgung, mit denen ggf. Ausfallzeiten und Datenverluste innerhalb der Infrastruktur vorgebeugt werden knnen? Stehen ausreichend Speicherplatzressourcen zur Verfgung, mit denen die Backup- und Disaster Recovery Strategien umgesetzt werden knnen? Verfgt der Anbieter ber ein Disaster Recovery und eine Business-Continuity Strategie? Arbeitet der Anbieter mit einem spezialisierten Unternehmen fr die Datenrettung zusammen? Werden die Backup- und Disaster Recovery Strategien regelmig durchgefhrt und einem Test unterzogen? Wenn ja, wie oft pro Jahr? Wird regelmig ein Backup der Unternehmensdaten vorgenommen? Wenn ja, wie oft wird das Backup durchgefhrt? Werden die Daten auf zuverlssigen Datentrgern gespeichert? Findet eine regelmige Defragmentierung der Daten statt?

J N

i.A.

Bemerkung

Technologie Migration & Export


Werden offene Formate fr den Datenaustausch verwendet? Knnen die Daten ohne groen Aufwand exportiert und zu einem anderen Anbieter/ Service migriert werden? Stehen Migrationspfade zu anderen Cloud Computing Anbietern zur Verfgung? Knnen virtuelle Maschinen zwischen der Cloud des Anbieters und der eigenen Infrastruktur transferiert werden? Knnen alle Daten aus der Cloud in einem fr das Unternehmen lesbaren Format exportiert werden? Knnen die Daten auf einem einfachen Weg exportiert und zu einem neuen Cloud Service migriert werden? Knnen die Daten in einem offenen Format wie z.B. XML oder JSON exportiert werden? Entstehen fr den Export der Daten weitere Kosten?

J N

i.A.

Bemerkung

2012 NewAgeDisruption.com

Technologie Expertise
Sind die Mitarbeiter entsprechend Ihrer Ttigkeiten geschult? Verfgen die Mitarbeiter ber die <x> Zertifizierung? Sind ausreichend personelle Ressourcen vorhanden? Verfgt der Anbieter ber strategische Partnerschaften zu seinen Technologieanbietern?

J N

i.A.

Bemerkung

Technologie Netzwerk
Erfllt die Zuverlssigkeit des Anbieternetzwerks die eigenen Ansprche? Ist die globale Reichweite des Anbieternetzwerks ausreichend? Knnen den eigenen Kunden ggf. weltweit und zuverlssig Inhalte bereitgestellt werden? Verfgt der Anbieter ber eine schnelle und stabile Internetanbindung? Verfgt der Anbieter ber Mechanismen, um die Latenzen auf Grund langer Netzwerkverbindungen zum Kunden zu minimieren?

J N

i.A.

Bemerkung

Technologie Sonstiges
Muss ggf. in die eigene Infrastruktur investiert werden, um den Cloud Service zu nutzen? Stehen Zusatzleistungen zur Verfgung, die bspw. ein anderer Anbieter nicht leistet?

J N

i.A.

Bemerkung

-( .ertrag
Vertrag Form & Gestaltung
Wird der Vertrag in schriftlicher Form geschlossen? Wird der Vertrag online vereinbart?

J N

i.A.

Bemerkung

Vertrag Subunternehmer
Ist die Auslagerung von Bereichen an einen Subunternehmer vertraglich festgehalten? Sind Regelungen vorhanden, die dem Subunternehmer, der mglicherweise zum Wettbewerb gehrt, untersagen, Zugriff auf interne Unternehmensdaten zu erhalten?

J N

i.A.

Bemerkung

Vertrag Service Level Agreement


Stellt der Anbieter ein Service Level Agreement (SLA) zur Verfgung? Handelt es sich dabei um ein Standard SLA? Sind die SLAs ausreichend? Sind die Leistungen in dem SLA hinreichend beschrieben? Bietet das SLA eine garantierte Verfgbarkeit von <x>% Ist der Anbieter bereit das SLA nach den eigenen Wnschen anzupassen? Wird beschrieben, wie der Anbieter die Einhaltung der SLAs sicherstellt?

J N

i.A.

Bemerkung

Vertrag Anpassungen
Sind die Methoden zur nderung der Leistungen festgehalten? Sind die Methoden zur nderung der Qualittsstandards festgehalten? Mssen die Vertrge neu verhandelt werden, wenn sich die eigenen Anforderungen ndern?

J N

i.A.

Bemerkung

2012 NewAgeDisruption.com

Vertrag Insolvenz & Vertragsende


Sind die Kndigungsrechte des Vertrags ausreichend flexibel gestaltet, so dass jederzeit vom Vertrag zurckgetreten werden kann? Ist die Rcknahme und der Export der Daten bei Vertragsende festgehalten? Sind vertragliche Regelungen festgehalten, die im Falle einer Insolvenz des Anbieters ber den Schutz und der Verfgbarkeit der Daten entscheiden?

J N

i.A.

Bemerkung

Vertrag Eigentumsregelung & Lschung


Ist das Eigentum smtlicher Daten vertraglich geregelt? Ist vertraglich geregelt und gewhrleistet, dass die Daten durch den Anbieter immer dann tatschlich gelscht werden, wenn der Kunde dieses wnscht bzw. selbst vornimmt? Ist vertraglich geregelt, dass die Daten nach Vertragsende gelscht und Datentrger ggf. zurckgegeben werden?

J N

i.A.

Bemerkung

Vertrag Haftung
Wird in dem Vertrag beschrieben, ob und wie der Anbieter den finanziellen Verlust ausgleicht, wenn das Unternehmen durch eine Nichterreichbarkeit geschftsunfhig ist? Sind die Datenschutzbestimmungen vertraglich geregelt? Sind die Regelungen bzgl. des Geschftsgeheimnisses festgehalten? Sind die Regelungen bzgl. des Bankgeheimnisses festgehalten? Ist die Gewhrleistung vertraglich detailliert festgehalten? Ist die Haftung vertraglich detailliert festgehalten? Ist die Haftung gegenber anderen Nutzern auf derselben Infrastruktur so geregelt, dass der Anbieter fr die Nichteinhaltung von Sicherheitsstandards haftbar ist?

J N

i.A.

Bemerkung

Vertrag Aufgabenverteilung
Sind die erforderlichen Rechte fr die berwachung im Vertrag festgehalten? Sind die jeweiligen Verantwortungen im Vertrag festgehalten? Sind die jeweiligen Zustndigkeiten im Vertrag festgehalten? Sind die jeweiligen Schnittstellen im Vertrag festgehalten? Ist vertraglich festgehalten, ob der Anbieter ber einen Ausfall automatisch informiert? Ist die Berichterstattung im Vertrag vereinbart? Ist die Kontrolldichte im Vertrag vereinbart? Sind die Mglichkeiten der Skalierung vertraglich festgehalten?

J N

i.A.

Bemerkung

Vertrag Sonstiges
Darf der Anbieter seiner Ttigkeit nachgehen? Sind die Lizenzmodelle der eingesetzten Software fr den Einsatz im Bereich des Cloud Computing gltig? Verfgt das Unternehmen ber andere Vertrge, die der Nutzung des Cloud Computing im Wege stehen?

J N

i.A.

Bemerkung

'( Abrechnung
Abrechnung Abrechnungsart
Erfolgt die Abrechnung der Services pauschal? Erfolgt die Abrechnung der Services abhngig vom Verbrauch? Erfolgt die Abrechnung der Services abhngig von <x>?

J N

i.A.

Bemerkung

Abrechnung Anpassung & Kompatibilitt


Kann das Bezahlmodell (z.B. ber eine Kreditkarte) durch das Unternehmen umgesetzt werden? Ist das Bezahlmodell kompatibel zur Abrechnung der internen IT-Leistungen? Knnen Mengenrabatte bzw. spezielle Tarife auf Basis der garantiert genutzten Services ausgehandelt werden? Kann der Tarif ggf. bei der nderung der Nutzung von Seiten des Kunden angepasst werden?

J N

i.A.

Bemerkung

Abrechnung Sonstiges
Stellt der Anbieter Methoden bereit, mit denen das Unternehmen vor der unkontrollierten Nutzung geschtzt wird? Entstehen fr eine virtuelle Maschine und die von ihr genutzten Ressourcen auch dann Kosten, wenn diese nicht genutzt wird? Entstehen fr die Lizenzen von Betriebssystemen und Anwendungen, die auf den virtuellen Ressourcen genutzt werden, weitere Kosten?

J N

i.A.

Bemerkung

2012 NewAgeDisruption.com

/( Compliance
Compliance Allgemein
Wurde die Auslagerung von einem Wirtschaftsprfer abgenommen? Erfllt der Anbieter die rechtlichen Regelungen und Bestimmungen? Erfllt der Anbieter die technischen Voraussetzungen fr die rechtlichen Regelungen und Bestimmungen? Entspricht die Datenhaltung den unternehmenseigenen Richtlinien zur Aufbewahrungen von Dokumenten? Befindet sich der Rechtsstand im Ausland und ist das ggf. nicht mit den Unternehmensrichtlinien zu vereinbaren? Erhlt das Unternehmen auf Grund von gerichtlichen Anfragen und Beschlssen unverzglich Zugriff auf die in der Anfrage relevanten Daten?

J N

i.A.

Bemerkung

Compliance Zertifizierung
Ist Ist Ist Ist Ist der Anbieter nach SAS 70 Typ 1 zertifiziert? der Anbieter nach SAS 70 Typ 2 zertifiziert? der Anbieter nach SSAE-16 zertifiziert? der Anbieter nach ISO 27001 zertifiziert? der Anbieter PCI-Compliance zertifiziert?

J N

i.A.

Bemerkung

Compliance Datenschutz
Hlt sich der Anbieter an die gesetzlichen Regelungen und des Datenschutzes und sind diese dokumentiert? Kann der Anbieter nachweisen, dass er die Datenschutzrichtlinien einhlt? Werden die Daten ggf. in einem fr das Unternehmen nicht zulssigen Land gespeichert?

J N

i.A.

Bemerkung

Compliance Transparenz
Darf eine Prfung durch interne und externe Prfer vorgenommen werden? Haben Computer-Forensiker mglicherweise unautorisierten Zugriff auf Daten um diese zu rekonstruieren? Gibt der Anbieter Auskunft darber, wo die Daten und Anwendungen gespeichert und verarbeitet werden? Nennt der Anbieter die Standorte wie das Land und die Region? Gibt der Anbieter Auskunft darber, wer Zugriff auf die Daten erhlt? Gibt der Anbieter ggf. Auskunft ber seine Subunternehmer? Legt der Anbieter transparent offen, welche Eingriffe er an den Daten der Kunden vornimmt? Gibt der Anbieter regelmige Ausknfte ber Vernderungen wie neue oder entfernte Funktionen sowie neue Subunternehmer? Legt der Anbieter transparent offen, ob der Staat Zugriff auf die Daten erhlt?

J N

i.A.

Bemerkung

0( Go,ernance
Governance Kompatibilitt
Kann zwischen der Cloud des Anbieters und der Unternehmensinfrastruktur eine konsistente und einheitliche Verbindung hergestellt werden? Kann mit der Nutzung der Cloud die Portabilitt zu einer anderen Cloud sichergestellt werden?

J N

i.A.

Bemerkung

Governance Sicherheitsmanahmen
Sind die jeweiligen Schnittstellen gegen Angriffe oder Ausflle geschtzt? Ist der Schutz vor internen Angreifern sichergestellt? Wird die Vertraulichkeit der Daten sichergestellt? Verfgt der Anbieter ber Sicherheitsmanagement-Prozesse?

J N

i.A.

Bemerkung

Governance Audit
Ist es dem Kunden gestattet, Audits beim Anbieter vorzunehmen? Stellt der Anbieter dem Kunden dazu ggf. entsprechende Schnittstellen zur Verfgung? Kann der Anbieter aktuelle und unabhngige Auditberichte vorweisen? Erhlt der Kunde die Mglichkeit einen Penetrationstest beim Anbieter vorzunehmen?

J N

i.A.

Bemerkung

Governance Sonstiges
Werden die Daten physisch in einem fr das Unternehmen konformen Land gespeichert? Erhlt der Kunde die Mglichkeit die SLAs zu berwachen, z.B. die Qualitt der genutzen Services?

J N

i.A.

Bemerkung

2012 NewAgeDisruption.com

1( 2atenschutz
Datenschutz Gesetzeskonformitt
Handelt es sich um personenbezogene Daten? Werden die personenbezogenen Daten auerhalb der EU bzw. des EWR verarbeitet? Sind die Kunden ber die Verarbeitung der Daten unter diesen Umstnden informiert worden? Verfgt der Anbieter ber einen Datenschutzbeauftragten? Kann der Anbieter nachweisen, dass seine Mitarbeiter ber Datengeheimnis nach 5 BDSG aufgeklrt wurden? Kann der Anbieter nachweisen, dass er die Bestimmungen des BDSG einhlt? Verfgt der Anbieter ber ein Konzept oder eine Dokumentation, in der er die Umsetzung der technischen und organisatorischen Manahmen bzgl. der Vergaben des Anhang zu 9 BDSG nachweisen kann? Existieren in den Lndern, von denen der Anbieter aus seine Services bereitstellt, bestimmte Gesetze, die mit den Unternehmensrichtlinien nicht vereinbart werden knnen?

J N

i.A.

Bemerkung

Datenschutz Audit
Erhlt der Kunde oder eine durch den Kunden bevollmchtigte Personen beim Anbieter vor Ort das Recht Kontrollen vorzunehmen? Unterzieht sich der Anbieter regelmigen Kontrollen, Audits und Zertifizierungen, durch die der Anbieter bzgl. des Datenschutzes berprft und zertifiziert wird?

J N

i.A.

Bemerkung

Datenschutz Vertraulichkeit
Nimmt der Anbieter besondere Manahmen bei der Auswahl und der Einstellung seiner Mitarbeiter vor? Werden die Daten vollstndig von den Systemen entfernt, wenn diese von dem Kunden ber den Web Service gelscht werden? Verwendet der Anbieter die Kundendaten, um damit das Unternehmen zu bewerben? Wertet der Anbieter die Daten aus, um damit Werbung zu betreiben? Verkauft der Anbieter seine Kundendaten sowie das Kundenverhalten an andere Unternehmen? Gibt der Anbieter bspw. im Falle der Strafverfolgung den Behrden Zugriff auf die Kundendaten?

J N

i.A.

Bemerkung

2012 NewAgeDisruption.com

3( Sicherheit
Sicherheit Sicherheitsmanagement
Verfgt der Anbieter ber ein IT-Sicherheitskonzept? Verfgt der Anbieter ber eine Identittsverwaltung? Verfgt der Anbieter ber eine Zwei-Faktor-Authentisierung fr seine Kunden? Hat der Anbieter das Vier Augen Prinzip fr schwierige Administrationsaufgaben implementiert? Verfgen die Administratoren maximal nur ber die Rechte, die sie fr das Erledigen ihrer Aufgaben bentigen? Verfgen die Kunden maximal nur ber die Rechte, die sie fr die Nutzung der Cloud bentigen? Kann der Anbieter eine vollstndige berwachung, 24 Stunden am Tag und 7 Tage die Woche, seiner Cloud nachweisen? Ist der Anbieter in die CERT Strukturen sowie sein nationales IT Krisenmanagement involviert? Kann der Anbieter nachweisen, dass er interne Angriffe von Kunden auf andere Kunden erkennt? Kann der Anbieter nachweisen, dass er die Erfassung und Auswertung von Logdaten vornimmt? Verfgt der Anbieter ber ein dauerhaft (24/7) erreichbares und funktionierendes Cloud Management sowie Troubleshooting? Kann der Anbieter die Realisierung eines Notfallmanagements nachweisen? Kann der Anbieter regelmige bungen nachweisen? Kann der Zugriff auf Daten und Funktionen fr spezielle Bereiche auf Basis einer Rechteverwaltung gesteuert und kontrolliert werden? Kann der Anbieter nachweisen, dass er feststellen kann, ob und wie eine Anwendungen angegriffen wurde? Knnen im Falle eines Angriffs detaillierte Informationen schnellstmglich an das Unternehmen berstellt werden? Existiert eine bestimmte Aufbewahrungsfrist fr die Daten?

J N

i.A.

Bemerkung

Sicherheit Transparenz
Legt der Anbieter offen, welche Lsungen eingesetzt werden, um seine Cloud zu schtzen? Wird das Lschen der nicht mehr bentigten Daten von dem Anbieter dokumentiert? Werden die nicht mehr bentigten Daten ggf. mit speziellen Verfahren von den Festplatten entfernt? Kann der Anbieter nachweisen, dass das Lschen von Daten von einem unabhngigen Unternehmen zertifiziert wird?

J N

i.A.

Bemerkung

Sicherheit Kommunikation
Wird der Kunde von dem Anbieter regelmig ber den Status seines IT Sicherheitszustands informiert? Nennt der Anbieter garantierte Reaktionszeiten, falls es zu einem Sicherheitsvorfall kommt?

J N

i.A.

Bemerkung

Sicherheit Zertifizierung
Kann der Anbieter auf Basis von Zertifizierungen den aktuellen Stand seines Sicherheitslevels nachweisen? Verfgt der Anbieter ber ein ISMS (Information Security Management System), z.B. ISO 27001 oder BSI-Standard 100-2 (IT-Grundschutz)? Verfgt der Anbieter ber ein definiertes Vorgehensmodell seiner IT-Prozesse, z.B. ITIL und COBIT?

J N

i.A.

Bemerkung

2012 NewAgeDisruption.com

Sicherheit Audit
Nimmt der Anbieter eine regelmige, unabhngige Prfung seines IT Sicherheitszustands vor? Nimmt der Anbieter stndig umfassende Sicherheitstests an seiner Infrastruktur vor? Nimmt der Anbieter stndig umfassende Sicherheitstests an der Infrastruktur seiner Subunternehmer vor? Werden bei dem Anbieter stndig unabhngige Sicherheitsrevisionen vorgenommen? Werden bei den Subunternehmen des Anbieters stndig unabhngige Sicherheitsrevisionen vorgenommen?

J N

i.A.

Bemerkung

Sicherheit Personal
Kann der Anbieter vertrauenswrdiges Personal nachweisen? Verfgt der Anbieter ber gut ausgebildete Mitarbeiter? Erhalten die Mitarbeiter des Anbieters regelmige Schulungen? Sind die Mitarbeiter des Anbieters bzgl. der Datensicherheit und des Datenschutzes sensibilisiert? Wurden die Mitarbeiter hinsichtlich des Datenschutzes sowie der Einhaltung der Sicherheitsmanahmen und der vertraulichen Behandlung der Kundendaten verpflichtet?

J N

i.A.

Bemerkung

Sicherheit Technologie
Kann der Anbieter mit der <x> Verschlsselungsmethode angebunden werden? Werden die Daten mit der <x> Verschlsselungsmethode beim Anbieter verschlsselt? Verfgt der Anbieter ber eine ganzheitliche Sicherheitsarchitektur? Kann der Anbieter die Rechenzentrumssicherheit nachweisen? Kann der Anbieter die Netzsicherheit nachweisen? Kann der Anbieter die Sicherheit der Host- und Servervirtualisierung nachweisen? Kann der Anbieter die Anwendungs- und Plattformsicherheit nachweisen? Kann der Anbieter ein Verschlsselungs- und Schlsselmanagement nachweisen? Kann der Anbieter die strikte Trennung seiner Mandanten innerhalb der Cloud nachweisen? Werden die Daten redundant gespeichert? Kann der Anbieter sein Netzwerk in virtuelle LANs segmentieren?

J N

i.A.

Bemerkung

4( 5rganisation
Organisation Service & Support
Wie oft wird ein Upgrade der Anwendungen durch den Anbieter vorgenommen? Nehmen Upgrades direkten Einfluss auf die Nutzung der Anwendung? Welchen Zeitraum nimmt ein Upgrade in Anspruch? Stellt der Anbieter Mglichkeiten zur Verfgung, mit denen die Daten weiterhin bereitgestellt werden knnen, wenn der Anbieter insolvent sein sollte? Stellt der Anbieter den Kunden Mglichkeiten zur Verfgung, das Nutzungsverhalten auf Basis von Auswertungen und Statistiken zu berprfen? Stellt der Anbieter die abgerechneten Leistungen in seinen Rechnungen transparent und nachvollziehbar dar? Stellt der Anbieter Tutorials und weitere Hilfestellungen zur Verfgung, mit denen der Einstieg in die Nutzung der Services vereinfacht wird?

J N

i.A.

Bemerkung

Organisation Kommunikation
Informiert der Anbieter ber geplante Wartungszeitrume? Kann mit dem Anbieter in Bezug auf die Wartungen Kontakt aufgenommen werden, um weitere Informationen zu erhalten? Stehen ausreichend Kontaktmglichkeiten von Seiten des Anbieters bereit? Verfgt der Anbieter ber einen Kundenservice, der auer elektronisch auch telefonisch erreichbar ist? Hat der Anbieter bestimmte Regelungen getroffen, die im Falle einer Eskalation notwendig werden?

J N

i.A.

Bemerkung

Organisation Mitarbeiter
Mssen die eigenen Mitarbeiter fr die Nutzung geschult werden? Muss der Help-Desk fr die Nutzung geschult werden?

J N

i.A.

Bemerkung

Organisation Strukturen
Kann der Anbieter in das Anbieter Management der IT Organisation aufgenommen werden? Knnen die genutzten Services wieder in das Unternehmen zurckgeholt werden? Werden durch die Nutzung der Services des Anbieters ggf. Redundanzen aufgebaut?

J N

i.A.

Bemerkung

2012 NewAgeDisruption.com

&*( Prozesse
Prozesse Individualisierung
Besteht die Mglichkeit der Individualisierung der Prozesse? Wrde sich die Nutzung der vom Anbieter vorgegebenen standardisierten Prozesse auf die Effizienz des Gesamtgeschftsprozesses auswirken? Hat der Kunde ein Mitspracherecht, wenn der Anbieter neue Softwareversionen bereitstellen will? Gestattet der Anbieter seinem Kunden Zugriff auf die Anwendungen, um die Geschftsprozesse auf die eigenen Bedrfnisse anzupassen?

J N

i.A.

Bemerkung

Prozesse Kommunikation
Existieren feste Eskalationswege auf der Seite des Anbieters? Werden die Eskalationswege transparent kommuniziert?

J N

i.A.

Bemerkung

Prozesse Service & Support


Untersttzt der Anbieter bei der Durchfhrung eines Change Requests? Untersttzt der Anbieter die bruchfreie Abbildung unterschiedlicher Prozesse ber mehrere Anbieter hinweg?

J N

i.A.

Bemerkung

Prozesse Risikomanagement
Hat der Ausfall des bei dem Anbieter genutzten Service relevante und kritische Auswirkungen auf die Geschftsprozesse bzw. den Gesamtgeschftsprozess? Stehen Alternativen zur Verfgung, falls der Prozess/ Service ausfallen sollte?

J N

i.A.

Bemerkung

&&( 6inanzen
Finanzen Investitionen
Mssen mit dem Wechsel zu dem Anbieter weitere Investitionen vorgenommen werden?

J N

i.A.

Bemerkung

Finanzen Gebhren
Werden gesonderte Gebhren erhoben, wenn die Daten aus der Cloud des Anbieters exportiert werden? Erhebt der Anbieter eine Einrichtungsgebhr? Erhebt der Anbieter monatliche Mindestgebhren?

J N

i.A.

Bemerkung

&)( Sonstiges
Sonstiges Recht & Risiko
Ist das Unternehmen durch mgliche Schden bei im Ausland ansssigen Anbietern versichert? Existieren Fallback Szenarien fr den Fall, dass der Anbieter ausfllt oder insolvent ist? Existieren Fallback Szenarien fr den Fall, dass es auf der Seite des Anbieters zu technischen Problem kommt? Verfgt das Unternehmen ber ein Risikomanagement um im Vorwege die mglichen Risiken abzuschtzen? Ist das Unternehmen rechtlich in der Lage, seine Services fr bestimmte Bereiche von einem Cloud Anbieter zu beziehen?

J N

i.A.

Bemerkung

Sonstiges Management
Muss evtl. der Betriebs- oder Personalrat informiert werden? Ist die Untersttzung durch das Top-Management vorhanden? Wurde Cloud Computing als enger Bestandteil in die IT-Strategie integriert?

J N

i.A.

Bemerkung

Sonstiges Infrastruktur
Verfgt das Unternehmen ber eine schnelle und stabile Internetanbindung? Sind die Quality of Services der Internetanbindung ausreichend? Muss das SLA der Internetverbindung angepasst werden? Wurde eine Ende-zu-Ende Performanz Betrachtung vorgenommen und damit die Gesamtperformanz bestimmt?

J N

i.A.

Bemerkung

2012 NewAgeDisruption.com

Kontakt
New Age Disruption
Eliminate the Status Quo Find your Blue Ocean

@enA +*st Dipl.B,nformati%er C7'D 4.(c. in ,5B4anagement and ,nformation (Estems &rnerstrasse :0 2<10: &iel 5elefonF G<> C0D<:1 2= >: <2 92 4obilF G<> C0D1;: :? <> <?1 !B4ailF helloHnewagedisruption.com "ebF httpFIInewagedisruption.com 5witterF H@ene+uest CloudUserF httpFIIclouduser.de

2012 NewAgeDisruption.com