Handbuch IT-Outsourcing. Joachim Schrey
bspw. „der Application Service Provider räumt dem ASP-Kunden die zur Nutzung der ASP-Leistungen notwendigen einfachen Nutzungsrechte ein“[360], genügt. An dieser Stelle sollte die Form der Nutzung doch ein wenig deutlicher beschrieben werden, ggf. in der Form des ASP-Modells.
ee) SLA
389
Daneben stellen gerade Service-Level-Agreements im Vertragsverhältnis zum ASP-Kunden eine bedeutene Rolle dar. Der ASP-Kunde möchte natürlich über eine max. Verfügbarkeit der Applikationen verfügen, welche sich kaum von einer lokalen Installation der Applikationen unterscheidet. Hier trägt der Application Service Provider auch das Risiko der WAN-Leitung, da es dem Kunden nur wenig hilft, wenn die Applikationen im Rechenzentrum des Application Service Provider verfügbar sind (letzter Router im Netz des Anbieters).
390
Die vertragliche Definition muss hierbei schon auf eine Verfügbarkeit ab dem ersten Router im Netz des Kunden lauten. Denkbar wäre auch eine Arbeitsplatzverfügbarkeit, dann müsste der Application Service Provider entweder die Verantwortung für das LAN übernehmen oder als Prämisse bzw. Mitwirkungspflicht im ASP-Vertrag darauf hinweisen, dass seine KPIs für die Verfügbarkeit ein funktionierendes LAN mit aktiven und passiven Komponenten voraussetzt.
391
Zu den weiteren Anforderungen von SLA siehe 3. Kap.
9. Cloud Computing
392
Durch die weltweite Vernetzung über das Internet ist es möglich, Rechenzentren oder auch einzelne Server effektiv miteinander zu verbinden. Dabei werden verschiedene IT-Systeme zu einem (virtuellen) IT-System zusammengefasst. Das virtuelle IT-System (z.B. Rechenkapazität, Datenspeicher, Netzwerkkapazitäten oder auch fertige Software) stellt dann die gemeinsame Leistung dem Kunden zur Verfügung. Dabei ist es möglich, IT-Systeme dynamisch an den Bedarf angepasst über ein Netzwerk zur Verfügung zu stellen. Aus Nutzersicht scheint das zur Verfügung gestellte virtuelle IT-System wie in einer „Wolke“ verhüllt. Daher kommt auch die inoffizielle Begründung für den Begriff Cloud Computing.[361] Mit der Komplexität des Cloud Computings sind auch eine Reihe von juristischen Herausforderungen verbunden, die entsprechend beantwortet werden müssen.
Abb. 25:
Cloud Computing
a) Definition
393
In der Regel betreibt beim „Cloud Computing“ ein Betreiber die Applikationen, Filespace & Datenbanken für Dritte. Die Basis stellt ein sehr leistungsfähiges Netzwerk (auch als Grid Computing bezeichnet) dar, welches die Verbindung zwischen den Instanzen des Konzeptes verschiedener Dienstanbieter (Clouds) ermöglicht.[362] Demzufolge geht Cloud Computing über ältere Businessmodelle wie ASP/Software as a Service – SaaS, Organic Computing, Island Computing und Konzepte (Virtualisierung) hinaus. Die Bezahlung für den Dienst richtet sich in der Regel nach Art und Dauer der Nutzung“.[363]
394
Die Computerwoche[364] versteht unter dem Begriff Cloud Computing Techniken und Geschäftsmodelle, mit denen ein Provider seinen Kunden IT-Leistungen in Form von Services zur Verfügung stellt und diese nach Verbrauch abrechnet. Dazu zählen Server-Kapazität, Speicherplatz und Applikationen. Zu den Techniken für dieses Konzept gehören Grid-Computing und Virtualisierung. Die Anwender betreiben ihre IT-Infrastruktur inklusive Hard- und Software nicht mehr selbst, sondern beziehen diese Ressourcen über einen Anbieter, der beides für ihn und andere Nutzer betreibt. Beim Cloud Computing werden in einem entfernten Rechenzentrum parallelisierte Rechner mit zusammen hoher Leistung bereitgestellt. In dieser „Wolke“ können viele Anwendungen („traditionell“ sogenannte Rich Internet Applications mit AJAX-Technik) gleichzeitig laufen und von vielen Nutzern gleichzeitig verwendet werden. Das Konzept verspricht Unternehmen aber auch Universitäten die Möglichkeit, Ressourcen gemeinsam zu nutzen, statt ihre teuren eigenen Rechenzentren immer weiter auszubauen. Auf der Gegenseite stellen sich natürlich Fragen nach Sicherheit, Verfügbarkeit und Benutzerfreundlichkeit.“
395
Grundsätzlich wird zwischen einer Public Cloud und einer Privat Cloud unterschieden, wobei auch eine Mischform beider Modelle als sog. Hybrid Cloud möglich ist. Die NIST unterscheidet vier Bereitstellungsmodelle (Deployment Models):[365]
| – | In einer Private Cloud wird die Cloud-Infrastruktur nur für eine Institution betrieben. Sie kann von der Institution selbst oder einem Dritten organisiert und geführt werden und kann dabei im Rechenzentrum der eigenen Institution oder einer fremden Institution stehen. |
| – | Von einer Public Cloud wird gesprochen, wenn die Services von der Allgemeinheit oder einer großen Gruppe, wie beispielsweise einer ganzen Industriebranche, genutzt werden können und die Services von einem Anbieter zur Verfügung gestellt werden. |
| – | In einer Community Cloud wird die Infrastruktur von mehreren Institutionen geteilt, die ähnliche Interessen haben. Eine solche Cloud kann von einer dieser Institutionen oder einem Dritten betrieben werden. |
| – | Werden mehrere Cloud-Infrastrukturen, die für sich selbst eigenständig sind, über standardisierte Schnittstellen gemeinsam genutzt, wird dies Hybrid Cloud genannt. |
396
Die oben genannten Definitionen decken aber nicht alle Varianten von Cloud-Angeboten ab, was zu weiteren Definitionen wie „Virtual Private Cloud“, etc. führt. Tatsächlich bekannte Modelle sind die Hybrid Cloud und die Community Cloud:[366]
| – | Hybrid Cloud – die hybride Rechnerwolke – bietet kombinierten Zugang zu abstrahierter IT-Infrastrukturen aus den Bereichen von Public Clouds und Private Clouds, nach den Bedürfnissen ihrer Nutzer. |
| – | Community Cloud – die gemeinschaftliche Rechnerwolke – bietet Zugang zu abstrahierten IT-Infrastrukturen wie bei der Public Cloud – jedoch für einen kleineren Nutzerkreis, der sich, meist örtlich verteilt, die Kosten teilt (z.B. mehrere städtische Behörden, Universitäten, Betriebe/Firmen mit ähnlichen Interessen, Forschungsgemeinschaften). |
397
Das BSI grenzt Cloud Computing vom klassischen IT-Outsourcing wie folgt ab:[367] Beim Outsourcing werden Arbeits-, Produktions- oder Geschäftsprozesse einer Institution ganz oder teilweise zu externen Dienstleistern ausgelagert. Dies ist ein etablierter Bestandteil heutiger Organisationsstrategien. Das klassische IT-Outsourcing ist meist so gestaltet, dass die komplette gemietete Infrastruktur exklusiv von einem Kunden genutzt wird (Single Tenant Architektur), auch wenn Outsourcing-Anbieter normalerweise mehrere Kunden haben. Zudem werden Outsourcing-Verträge meistens über längere Laufzeiten abgeschlossen.
398
Die Nutzung