Cloud Service Provider auswählen und kontrollieren

Martin Kuppinger: „Bei jedem Auswahlprozess in der IT muss geprüft werden, ob die Cloud das geeignete Modell ist.“

Wer Cloud Services in Anspruch nimmt, der sollte seinen Provider hinsichtlich der Leistungserbringung vernünftig prüfen können. Manch ein Unternehmen verlässt sich dabei auf Standards. Angesichts verschiedenster Bereitstellungsmodelle ist dies aber nicht unbedingt vernünftig.

Mein Kollege Mike Small hat in dem gerade erschienen KuppingerCole-Report „Cloud Provider Assurance“ eine Reihe von Kenngrößen zusammengestellt, mit denen die Leistungserbringung von Dienstanbietern in der Cloud überprüft werden kann. Solche Controls sind ein unverzichtbares Element in einem strategischen Ansatz für das Cloud Computing, ebenso wie standardisierte und strukturierte Vorgehensweisen für die Auswahl von Cloud Service Providern.

Unternehmen sehen sich aber bei der Definition und Umsetzung solcher Strategien in die betriebliche Praxis mit einigen Herausforderungen konfrontiert. Neben der immer noch unscharfen Sicht darauf, was die Cloud nun ist und was nicht, sind das vor allem zwei Punkte:

Es gibt eine Unzahl an Standardisierungsinitiativen rund um das Thema „Cloud Provider Assurance“, also die Überwachung und Überprüfung der korrekten Leistungserbringung durch Cloud-Service-Provider.

Auf der anderen Seite gibt es jedoch keine relevanten Standardisierungsbemühungen für eine einfache, schnelle und fokussierte Auswahl von Cloud-Service-Providern.

Eine unlängst veröffentlichte Untersuchung zählte über 30 Initiativen zur Standardisierung der Cloud Provider Assurance. Es ist offensichtlich, dass das eine für die Anwenderunternehmen wenig hilfreiche Situation ist, denn die meisten dieser Initiativen sind noch nicht ausgereift.

Erschwerend kommt hinzu, dass es schlichtweg viel zu viele und noch dazu schlecht abgestimmte Standardisierungsbemühungen sind. Es wird nicht klar, wie ein pragmatischer Ansatz aussehen kann, um diese Herausforderung zu adressieren – mein Kollege stellt eine Vorgehensweise vor, die sich eng an der ISO 27001 orientiert und damit auch die Brücke zur internen IT baut.