In diesem Beitrag stellt Ihnen Kay Wolf, einer der Autoren des Buches Incident Management. Komplexe Störungen in der IT erfolgreich beheben, die Liefermodelle in einer IT Cloud vor und geht dabei auf die Vor- und Nachteile dieser im Bezug auf die Anforderungen an das Incident Management ein.

Definitionen

Um zu verstehen, wie Incident Management in einer komplexen virtualisierten Umgebung erfolgt, müssen die einzelnen Liefermodelle in einer IT-Cloud erläutert werden. Unterschiedliche Liefermodelle stellen verschiedene Anforderungen an das Incident Management, basierend auf der Art der Kundenbeziehung, der vertraglichen und der rechtlichen Bestimmungen.

Public Cloud
Die Public Cloud bietet einer großen Anzahl an Usern oder Endkunden einen Zugang zu den einzelnen Services, wie IaaS, PaaS oder SaaS. Der Zugriff auf Public Cloud Services erfolgt meistens über das Internet.

Private Cloud
Sie besteht aus virtualisierten Systemen, wobei der Anbieter und die Endnutzer aus ein und demselben Unternehmen stammen. Der Zugriff auf die Services in der Cloud erfolgt in der Regel über das firmeneigene Netzwerk oder über gesicherte Systeme (Firewall, VPN, ISD/IPS) über das Internet. Die Public Cloud wird entweder von dem Unternehmen selbst betrieben oder der Service wird von einem Private Cloud Provider eingekauft.

Hybrid Cloud
Die Hybrid Cloud ist eine Mischung aus Private Cloud und Public Cloud. Hierzu nutzen Unternehmen die Möglichkeit, bei bestimmten Auslastungsspitzen die Private Cloud um die Komponenten und Services einer Public Cloud temporär zu erweitern.

Bedeutung für das Incident Management

Alleine die Anzahl der Nutzerverträge, die Art der Service-Verträge und der damit verbundenen rechtlichen Vorgaben unterscheiden die Art der Implementierung des Incident Management für eine Cloud-Umgebung gravierend von einer „Legacy“-Umgebung.

Public Cloud
Bei der Public Cloud schließt der Public Cloud Provider Verträge mit bis zu mehreren tausenden Endkunden ab. Dieser Umstand alleine macht bereits deutlich, dass es hier keine separaten Verträge und SLAs hinsichtlich des Incident Management geben kann. Hier können nur standardisierte SLAs und auch Incident Management Prozesse implementiert werden.

Gerade bei der Service-Erbringung ist das Thema, welches geltende Rechtssystem für den Endkunden zählt, eine vieldiskutierte Frage. Ein sehr aktuelles Beispiel ist hier das Thema Datenschutz bei den großen US-Anbietern wie Microsoft®, Amazon® oder Google®. Bei Private Cloud Providern mit Sitz in den USA gilt das amerikanische Recht und die Firmen unterliegen dem „Patriot Act“, egal, wo in der Welt die Systeme stehen oder der Daten-Owner sitzt. Dieses Beispiel zeigt, dass es rechtlich nicht so einfach ist, zu definieren, welches Recht für den Endkunden gerade zählt.

Bei der Implementierung des Incident Management ist dies nicht anders. Welches Recht ist für den Service Provider bindend? Natürlich wird man sagen, schließe ich einen Vertrag in Deutschland ab, dann gilt für mich das deutsche Rechtsystem. Wie das Beispiel mit dem Patriot Act jedoch zeigt, ist dies nicht immer der Fall. Fokussieren wir uns primär auf Deutschland.

Für IaaS Cloud Services handelt es sich zum Beispiel um einen gängigen Werkvertrag nach §§ 631 BGB. Aber auch hier kann es abweichende Vereinbarungen geben, da für Vollkaufleute das HGB greifen kann. Somit hat der Endkunde nur einen Anspruch darauf, dass der Service funktioniert. Wenn nicht anders vereinbart hat der Kunde nicht automatisch einen Rechtsanspruch darauf zu erfahren, wie die Erbringung des Service erfolgt.

Interessant dürfte auch die Weiterverfolgung der Betrachtungsweise des BGH zu den sich neu ergebenden Themen sein, denn dieser hat zum Beispiel entschieden, dass SaaS-Dienstleistungen entsprechend den mietrechtlichen Gesetzgebungen gemäß §§ 535 BGB zu betrachten sind.

Dementsprechend sind die Standardverträge seitens des Public Cloud Providers hinsichtlich der Verfügbarkeit und der Wiederherstellung des Service mit dem Endkunden zu erstellen.
Neben den rechtlichen Aspekten sind, wie bereits erwähnt, auch die Anzahl der Endkunden ausschlaggebend, welche Prozesse implementiert werden.
So spielen zum Beispiel folgende Themen eine Rolle:

  • Informationen über Ausfälle erfolgen in der Regel über Web-Seiten des Providers (was ungern praktiziert wird, da dies ein schlechtes Image am Markt zur Folge haben könnte).
  • IT-Kunden oder deren Endkunden stellen meist selbst fest, dass ein Service nicht funktioniert.
  • Die Meldung von Ausfällen erfolgen meist über Email, Live Chat oder Telefon (je nach Anbieter verschieden).
  • Es gibt oft keine direkten Informationen über einen Ausfall an den Endkunden, keine direkte Einbindung des Endkunden in die Fehlersuche bzw. keine Informationen darüber, dass ein Service wieder hergestellt ist oder die Kommunikation läuft via Email oder in einigen Fällen nur durch Ausprobieren des Endkunden.

Fazit

Die Public Cloud ist eine günstige Variante, wenn der Endkunde nicht selbst in Infrastruktur investieren will oder kann. Dann kann allerdings der Endkunde nicht damit rechnen, wie ein einzelner Endkunde oder Großkunde behandelt zu werden. Auch die Nachweispflicht, dass bei der Nichtverfügbarkeit der Services der Private Cloud Provider der Verursacher ist, ist in der Regel sehr schwer oder gar nicht zu erbringen.

Private Cloud

Im Gegensatz zur Public Cloud kann der Endkunde beim Abschluss des Vertrages meist Einfluss auf die Verfügbarkeit der Services (SLAs), den Datenschutz und die Incident Management Prozesse (eigene Service Desk Nummer, detailliertes Reporting, direkte Einbindung in die Incident Management Prozesse) nehmen. Somit liegt die Nachweispflicht der Verfügbarkeit im Gegensatz zur Public Cloud beim Private Cloud Provider.

Fazit

Wer Cloud-Technologie für seine business-kritischen Applikationen nutzen möchte, sollte sich genau überlegen, ob er in eine Private Cloud Lösung investieren möchte. Dabei sollte man sich bei der Auswahl des Public Cloud Providers genau anschauen, was dieser hinsichtlich Datensicherheit, Backup, Ausfallsicherheit und Wiederherstellungsprozessen, also dem Incident Management Prozess anbietet.

 

Wolf/Sahling, Incident Management

Wolf/Sahling, Incident Management

Mehr zum Thema Incident Management können Sie im soeben erschienenen Buch von Kay Wolf und Stefan Sahling, Incident Management. Komplexe Störungen in der IT erfolgreich beheben, nachlesen.