Warning: main(templates/google-analytics/add.php) [function.main]: failed to open stream: No such file or directory in /hp/ah/aa/yg/www/main.php on line 42

Warning: main() [function.include]: Failed opening 'templates/google-analytics/add.php' for inclusion (include_path='.:/opt/php4/usr/share/php') in /hp/ah/aa/yg/www/main.php on line 42
Zeitschrift für Cloud Computing, Software-as-a-Service, SaaS, Outsourcing, Managed Services

Gestaltung von Cloud Computing-Verträgen


Erfahrungen aus Outsourcing-Verträgen und ASP-Verträgen auf Cloud Computing übertragen: Sieben Tipps und Tricks
Von Outsourcing- und ASP-Projekten abschauen, wie sich Cloud-Computing-Verträge vorteilhaft gestalten lassen

(09.07.12) - Viele Unternehmen fürchten, mit Cloud Computing juristische Risiken einzugehen – etwa beim Datenschutz. Deshalb hat die auf Outsourcing und Prozessoptimierung spezialisierte Unternehmensberatung microfin jetzt ihre Beratungserfahrungen in Form einer Checkliste zusammengefasst. "Cloud Computing hat in der IT-Welt eine leidenschaftliche Debatte ausgelöst – auch bei den Juristen. Viele warnen vor den Risiken bei Vertragsabschluss. Doch wer unsere 'Tipps und Tricks' beachtet, ist auf der sicheren Seite", erklärt Stefan Wendt, Senior Expert und Jurist bei microfin Unternehmensberatung.

Wendt empfiehlt, aus den Erfahrungen bei der Gestaltung von IT-Outsourcing- und ASP-Verträgen zu lernen: "Die vertragsrechtlichen Fallstricke beim Cloud Computing sind keineswegs neu; die juristischen Fragestellungen sind im Grunde dieselben wie bei den etablierten Angeboten zum Auslagern von IT-Services", so der microfin-Experte.

Wendt ist davon überzeugt, dass auch bei Cloud-Computing-Verträgen die Allgemeinen Geschäftsbedingungen angewandt werden, sobald das Rechnen in der Wolke zum Massengeschäft geworden ist. Doch bis es soweit ist, sollten sich die Auftraggeber von Outsourcing- und ASP-Projekten abschauen, wie sich Cloud-Computing-Verträge vorteilhaft gestalten lassen.

Im Einzelnen empfiehlt der microfin-Berater:

  • 1. Leistungsbeschreibung: Achten Sie auf eine differenzierte und vollständige Leistungsbeschreibung, die einen bedarfsgerechten Bezug der Leistungen aus der Cloud sicher stellt. Das heißt: Treffen Sie klare Vereinbarungen über Zugangszeiten und Datenvolumina und zahlen Sie nur für tatsächlich genutzte Kapazitäten. Nur so lassen sich künftige Diskussionen um Regelungslücken vermeiden.
  • 2. Service Level: Vereinbaren Sie für die Verfügbarkeit eindeutige Service Level und regeln Sie, in welchen Fällen Unterbrechungen, etwa bei Wartungen, zulässig sind.
  • 3. Datenschutz: Die Kunden bleiben in letzter Konsequenz für die Authentizität, Integrität, Verfügbarkeit und Vertraulichkeit der Daten verantwortlich. Lassen Sie sich deshalb einen ausreichenden Datenschutz vom Provider zusichern. Wir empfehlen, im Zweifelsfall nach Sicherheitszertifikaten zu fragen und diese als vertragliche Bestandteile aufzunehmen.
  • 4. Transparenz: Mitunter wird den Kunden verschleiert, wo und von wem ihre Daten tatsächlich verarbeitet werden. Deshalb sollten Sie im Detail festlegen, ob und unter welchen Bedingungen Drittprovider zum Zuge kommen. In jedem Fall sollte der Kunde eine Weisungsbefugnis in den Vertrag aufnehmen.
  • 5. Gesetzliche Standards: Vorsicht bei vorgesehenen Datentransfers über die EU-Landesgrenzen hinweg. Der Vertrag muss dann deutlich regeln, ob und welche mit dem EU-Datenschutzniveau vergleichbare gesetzliche Standards gelten, und sollte alle Phasen der Datenverarbeitung beschreiben.
  • 6. Gerichtsstand: Werden Services im Ausland erbracht, achten Sie bei Vertragsschluss, welche Rechtsordnung gelten und welcher Gerichtsstand vereinbart werden soll. Wer den Dienstleister verklagen will, sollte dies schon aus Kostengründen in Deutschland tun können.
  • 7. Eskalationsstufen: Stützen die Cloud-Services kritische Unternehmensbereiche, gehört in den Vertrag zwingend eine Vereinbarung für Eskalationen und Notfälle.

"Aus juristischer Sicht gibt es keinen Grund, vor Cloud Computing zurückzuschrecken – sofern die Auftraggeber unsere Empfehlungen etwa zum Datenschutz und zur Leistungsbeschreibung berücksichtigen. Sie profitieren damit von unserer langjährigen Beratungserfahrung aus Outsourcing-, ASP- und Cloud-Computing-Projekten", sagt microfin-Consultant Stefan Wendt.

Die Legal-Experten von microfin unterstützen Unternehmen, ihre IT-Vertragsrisiken zu steuern. Zugleich helfen sie, vereinbarte Qualitäten zu sichern, Kostensenkungs- und Laufzeitpotenziale zu erkennen und Abhängigkeiten so gering wie möglich zu halten. Als wirksame Ergänzung zum bestehenden Risikomanagement werden prominente Risikotreiber und -indikatoren im Vertragswesen identifiziert und Risikokategorien definiert.

Dies sichern ein Fachkonzept und Prozesse zur Risikoerkennung und -steuerung, die sich in das bestehende Risikomanagement integrieren lassen. Die Auswahl einer entsprechenden Tool-Unterstützung sowie das Customizing vorhandener Risikosysteme vervollständigt das von microfin empfohlene Maßnahmenpaket. (microfin Unternehmensberatung: ra)

microfin Unternehmensberatung: Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Kostenloser PMK-Verlags-Newsletter
Ihr PMK-Verlags-Newsletter hier >>>>>>



Meldungen: Hintergrund

  • Alle Wege führen in die Cloud

    Was es mit dem Hype um Cloud Computing-Anwendungen auf sich hat und welche Möglichkeit der Datenverwaltung sich als besonders lohnenswert herausstellt, erklärt Jerome Evans, Gründer und Geschäftsführer von firstcolo sowie der diva-e Cloud GmbH: "Nur wenige Inhalte in der IT-Branche ziehen derzeit eine größere Aufmerksamkeit auf sich als das, für die Industrie wegweisende, Thema Cloud. Moderne Unternehmensstrukturen zeichnen sich bereits seit einiger Zeit durch eine gesamtheitliche Cloud-Strategie aus, die zu einem skalierbaren sowie sicheren Datenmanagement beiträgt. Bei näherer Betrachtung fällt auf, dass nicht nur ein Weg in die Cloud führt. Je nach Bedürfnissen und Struktur des jeweiligen Unternehmens empfiehlt sich eine individuelle Ausrichtung. Entscheidungen fallen dabei meist zwischen der Public Cloud, Private Cloud sowie Hybrid Cloud Modellen, die jeweils verschiedene Vor- und Nachteile aufweisen. Heutzutage greifen viele Unternehmen bekanntlich auf einen stetig steigenden Datenbestand zurück, den es stets hochsicher aufzubewahren gilt.

  • Automatisierung von Rechenzentren

    Laut einer aktuellen Prognose des Research- und Beratungsunternehmens Gartner wird die Hälfte der Cloud-Rechenzentren bis 2025 hochentwickelte Roboter einsetzen, welche mit Künstlicher Intelligenz (KI) und Machine Learning (ML)-Fähigkeiten ausgestattet sein werden. Dies soll helfen die Betriebseffizienz um 30 Prozent zu steigern. "Es gibt eine immer größer werdende Kluft zwischen dem Fachpersonal und der zunehmenden Nachfrage für Server und Speichervolumen in den Rechenzentren", erklärt Sid Nag, Research Vice President bei Gartner. In diesen vier Bereichen sollen Roboter innerhalb der nächsten fünf Jahre bei der Automatisierung von Rechenzentren helfen: Server Upgrades und Wartung, Monitoring, Sicherheit und Einsatz von KI/ML.

  • Ohne Zwischenstopp in die Cloud

    Myrko Rudolph, Geschäftsführer der exapture GmbH und Experte für dezentrale Digitalisierung, informiert über die neuen Entwicklungen im Cloud Computing und prophezeit der Kombination mit Scanprozessen eine große Zukunft. "Unser Umgang mit Papierdokumenten hat sich bereits in den vergangenen Jahrzehnten drastisch verändert. Digitale Arbeitsweisen nahmen im Verlauf einen immer größeren Stellenwert im alltäglichen Leben ein, sodass rein analoge Prozesse heutzutage kaum noch stattfinden. Durch intelligente Scansoftware ließen sich haptische und virtuelle Datensätze weitestgehend innerhalb aneinander angepasster Abläufe vereinen. Während der Pandemie gab es nun einen weiteren Schub für diese Entwicklung, denn längst nehmen wir sogar den Arbeitsplatz selbst nicht mehr als physischen Ort wahr, den wir morgens betreten und abends wieder verlassen - in dessen vier Wänden wir Blätter abheften und bei Bedarf wieder aus den Aktenschränken suchen. ‚Immer und überall' gilt als Devise der Stunde und macht einen dezentralen Zugriff auf stetig relevante Daten unabdingbar. Das heißt, Informationen müssen in die Cloud - und das möglichst schnell. Warum also noch vermeidbare Umwege nehmen?

  • Sichere Verwahrung in der Private Cloud

    Keine Branche in der modernen Wirtschaft steht unter einem derart hohen Innovationsdruck wie die Informationstechnik. Sei es im Kundenservice, in externen wie internen Kommunikationsabläufen, im Management der Produktionsabläufe oder in der Supply Chain - in jeglichen Bereichen eines Betriebes herrscht ein großer Bedarf an digitalen Software-Lösungen, die Unternehmensprozesse automatisieren, überwachen und organisieren. Folglich resultiert daraus eine Fülle von zu verarbeitenden Datenmengen, die hohe Kosten sowie einen großen personellen und organisatorischen Aufwand verursachen."Da sich die Digitalisierung von Unternehmensprozessen in Zukunft einer vermehrten Ausweitung gegenübersieht, sollte die Frage erlaubt sein, ob die interne Datenverwaltung in einem eigenen Rechenzentrum überhaupt noch sinnvoll ist", stellt Jerome Evans, Gründer und Geschäftsführer der diva-e Datacenters GmbH, klar. Als Lösungsansatz und Versprechen für die Zukunft stellen sich dabei externe Rechenzentren und private Cloud Umgebungen heraus, die Unternehmen einerseits in jeglichen Fragen der Speicherung und Bereitstellung von Daten unterstützen, sowie Kosten senken und andererseits die vorhandenen sensiblen Daten sicher an geografisch getrennten Server-Standorten verwahren.

  • "Gaia-X" soll sichere Infrastruktur schaffen

    Wie der "Cloud-Monitor 2021" von Bitkom und KPMG zeigt, hat sich - nicht zuletzt durch die Corona-Krise - die Cloud in Deutschland durchgesetzt. Von den 550 befragten Unternehmen ab 20 Mitarbeitenden setzen 82 Prozent bereits auf Cloud Computing-Infrastrukturen. Der Großteil dieser Unternehmen ist in ihrer Cloud-Strategie allerdings abhängig von amerikanischen sowie chinesischen Cloud-Anbietern. Eine Alternative böte die europäischen Cloud Gaia-X, mit der die EU europäische Werte wahren und neue Maßstäbe bezüglich des Datenschutzes setzen wollte. Das ambitionierte Digitalprojekt deutscher und französischer Unternehmen, das im Herbst 2019 startete und an der inzwischen über 300 Organisationen beteiligt sind, darunter Bosch, Siemens, SAP, der Telekom, dem Bundesverband der Deutschen Industrie, dem Digitalverband Bitkom und der IG Metall, sieht sich jedoch Kritik ausgesetzt - auch seitens der IT-Sicherheitsexperten der PSW Group. Insbesondere die Tatsache, dass mit Microsoft, Amazon und Google US-Giganten an Gaia-X beteiligt sind, sieht Geschäftsführerin Patrycja Schrenk kritisch und gibt zu bedenken: "So könnten die europäischen Werte, die mit Gaia-X eigentlich hochgehalten werden sollten, tief fallen. Wenn Hyperscaler dieser Art beteiligt sind, können kaum europäische Standards geschaffen und etabliert werden."

  • PKI in einem as-a-Service-Angebot nutzen

    Immer mehr Unternehmen kehren kostenintensiven On-Premises-PKI-Systemen den Rücken und setzen stattdessen auf leicht skalierbare und flexible Cloud-Lösungen. HID Global, weltweit führender Anbieter von vertrauenswürdigen Identitätslösungen, erklärt die Vorteile Cloud-basierter PKI-Lösungen. Eine Public Key Infrastructure (PKI) ermöglicht die verschlüsselte Übertragung von Informationen auf der Basis von öffentlichen und privaten Schlüsseln. Mit einer solchen Infrastruktur kann jedes Unternehmen Zugriffe überwachen oder Hackerangriffe unterbinden. Für die PKI-Implementierung gibt es prinzipiell zwei Möglichkeiten.

  • Google-Infrastruktur als Täterumfeld

    Fast 60 Millionen Angriffs-Mails via Microsoft 365 und 90 Millionen via Google - das ist die erschreckende Bilanz, die der US-Cybersecurity-Spezialist Proofpoint jetzt nach einer Analyse der Cyberbedrohungen für 2020 veröffentlicht hat. Cyberkriminelle nutzen ganz offensichtlich die umfangreiche Funktionalität und nahezu grenzenlose Skalierbarkeit von Diensten wie Microsoft 365, Azure, OneDrive, SharePoint, G-Suite und Firebase Storage um digitale Angriffe auszuführen. Mehr als ein Viertel davon (27 Prozent) liefen über den Google-Mail-Service Gmail. Da es sich hier ausschließlich um eine Analyse von Angriffen handelt, die auf Kunden von Proofpoint abzielten, ist der tatsächliche Wert kaum zu ermitteln. Der Trend ist jedoch ungebrochen, im ersten Quartal 2021 wurden bereits mittels Microsoft 365 sieben Millionen gefährliche Nachrichten verbreitet und im Falle weiterer 45 Millionen nutzten die Täter die Google-Infrastruktur. Das Volumen gefährlicher Nachrichten, die mittels dieser in der Wahrnehmung vieler doch sehr vertrauenswürdigen Cloud-Dienste versendet wurden, übertraf dabei sogar das aller Botnets im Jahr 2020. Da die Angreifer hierzu eben auch Domains wie "outlook.com" und "sharepoint.com" nutzen, die bisher häufig als seriöse Quelle galten, wird die Erkennung von Attacken immer schwieriger.

  • Der Mainframe im neuen Normal

    Auch im Jahr 2021 stehen Mainframes im Zentrum des Geschehens. Trotz technologischer Fortschritte bleiben sie geschäftskritisch, denn sie überzeugen mit Leistungsfähigkeit und Zuverlässigkeit. Im Rahmen der fortschreitenden Transformation, die auch vor dem Mainframe nicht Halt macht, müssen Unternehmen nun dessen Sicherheit in den Fokus rücken. Que Mangus, Product Marketing Manager for Application Modernization and Connectivity bei Micro Focus, gibt tiefere Einblicke in die Bedeutung des Mainframes. Mainframes bleiben das Herzstück von Enterprise Computing. Laut Zahlen von IBM laufen 55 Prozent aller Enterprise-Application-Transaktionen auf dem Mainframe. Zusätzlich befinden sich, laut IBM, 80 Prozent der weltweiten Unternehmensdaten auf Mainframe-Computing-Plattformen oder stammen von diesen. Oftmals geht es dabei um sensible Informationen, wie etwa personenbezogene Daten. Diese gilt es, gemäß der im Mai 2018 eingeführten Datenschutzgrundverordnung (DSGVO), zu schützen.

  • MSPs müssen hybride Cloud-Lösungen bereitstellen

    Eines der heißesten Themen im Netzwerkbereich ist das Secure Access Service Edge (SASE)-Modell, ein von Gartner konzipiertes architektonisches Framework, das eine Roadmap zur Transformation von Legacy-WAN hin zu einem Cloud-verwalteten Edge beschreibt: SASE kombiniert WAN-Edge-Funktionen mit aus der Cloud bereitgestellten Sicherheitsfunktionen. Gute MSP-Servicebereitstellungsmodelle sind bereits auf die maßgeschneiderte Natur von integriertem SASE abgestimmt. MSPs können so Managed Services nach Bedarf definieren, verfeinern und bereitstellen, was Kosteneffizienz und Skalierbarkeit ermöglicht. Viele werden jedoch ihre siloartigen Organisationsstrukturen umgestalten müssen.

  • Cloud ist stark auf Kernprozesse fokussiert

    Cloud-Lösungen sind nichts Neues, bei SAP werden diese immerhin seitmehreren Jahren angeboten. Doch so wirklich wollten sich deutsche Unternehmen bisher nicht von ihren "On-Premise" Installationen verabschieden. Die vorherrschende Meinung: Cloud Computing-Lösungen können einfach nicht leisten was eine firmeneigene Software schafft. Während dies zu Beginn in Teilbereichen auch stimmte, offenbart die Cloud zunehmend ihre Stärken. Vor allem der "immer und überall" Zugang für Mitarbeiter, Partner und Dienstleister sowie die schnelle und effiziente Implementierung hat im vergangenen Pandemie-Jahr zunehmend an Bedeutung gewonnen. Aber auch die stetige Weiterentwicklung in Richtung künstliche Intelligenz und Automatisierung sprechen immer mehr für die Cloud. Für Unternehmen gibt es derzeit reichlich gute Gründe um im Rahmen ihrer Digitalisierungsstrategie über einen Umstieg von internen Softwarelösungen über Cloud-Lösungen nachzudenken. Für Geschäftsführung und Aktionäre steht dabei meist die Kostenminimierung im Vordergrund. Denn durch Cloud-Hosting lässt sich die Softwarestruktur effizienter betreiben und Veränderungen des Geschäftsmodells können direkt skaliert werden. Während diese Flexibilität die letzten Jahre keinen großen Stellenwert hatte, ist sie aktuell zu einem Haupttreiber für Cloud-Lösungen geworden.