Erstes Symposium für neue IT in Leipzig

Erstes Symposium für neue IT in Leipzig
Cloud Computing: technische und wirtschaftliche Aspekte Prof. Dr. Bogdan Franczyk Institut für Wirtschaftsinformatik, Wirtschaftswissenschaftliche Fakultät

Cloud-spezifische Wirtschaftlichkeitsbetrachtungen
Agenda Anforderungen Anbieterauswahl Cloud-spezifische Wirtschaftlichkeitsbetrachtungen Der Chief Cloud Officer (CCO) Zusammenfassende Betrachtung Erstes Symposium für neue IT in Leipzig

Kostenoptimaler Leistungsbezug
Anforderungen Kostenoptimaler Leistungsbezug Hauptargument für Schritt in die Cloud: Kosteneinsparungen Effiziente Serviceerbringung durch CSP Skalen- und Lerneffekten Wirtschaftlichkeitsdefinition: Leistungserstellung wirtschaftlich, wenn Quotient > 1 𝑊𝑖𝑟𝑡𝑠𝑐ℎ𝑎𝑓𝑡𝑙𝑖𝑐ℎ𝑘𝑒𝑖𝑡= 𝐸𝑟𝑡𝑟𝑎𝑔 𝐴𝑢𝑓𝑤𝑎𝑛𝑑 Wir beschäftigen uns in dieser Vorlesung mit den wirtschaftlichen sowie den organisatorischen Aspekten des Cloud-Computings. Auch hier beginnen wir mit einer Reihe von Anforderungen, die im Rahmen eines Cloud-Sourcing-Vorhabens präzisiert werden sollten. Kostenoptimaler Leistungsbezug: Ein Hauptargument für den Schritt »in die cloud« sind die damit verbundenen Kosteneinsparungen. Dies wird dadurch begründet, dass die infrage kommenden Services durch einen spezialisierten Anbieter, in diesem Fall durch einen CSP, effizient erbracht werden können, weil dieser von diversen Skalen- und Lerneffekten profitiert. Wir definieren Wirtschaftlichkeit in diesem Zusammenhang als Quotient aus Ertrag und Aufwand: Eine Leistungserstellung ist genau dann wirtschaftlich, wenn der Quotient echt größer als 1 ist. Erstes Symposium für neue IT in Leipzig

Kostenoptimaler Leistungsbezug
Anforderungen Kostenoptimaler Leistungsbezug Zentrale Frage der Wirtschaftlichkeit: Leistungserstellung … … im Unternehmen  „Make“ … durch Fremdbezug  „Buy“ Make-or-buy-Entscheidung Betrachtung Fremdbezug: Neue zusätzliche Kosten durch Koordination mit Anbieter die Notwendigkeit der Integration neuer Services in bestehende IT-Landschaft Kostenoptimaler Leistungsbezug: Die zentrale Frage beim Cloud-Sourcing ist nun, ob die Leistungserstellung im Unternehmen (»Make«) oder der Fremdbezug der Leistung (»Buy«) wirtschaftlicher ist; man spricht auch von einer Make-or-buy-Entscheidung. Bei einem Fremdbezug von Cloud-Services müssen neue, zusätzliche Kosten in Betracht gezogen werden, die durch eine Koordination mit dem Anbieter und die Notwendigkeit einer Integration der neuen Services in die bestehende IT-Landschaft entstehen. Erstes Symposium für neue IT in Leipzig

Fokus auf Kernkompetenzen
Anforderungen Fokus auf Kernkompetenzen Kostenoptimale Erbringung der Kernprozesse Kernkompetenzen eines Unternehmens Nicht-Kernkompetenzen tendenziell keine kostenoptimale Erbringung Auslagerung sinnvoll Fokus auf Kernkompetenzen: Die Kernprozesse eines Unternehmens sollten idealerweise kostenoptimal erbracht werden (oder zumindest nicht allzu weit vom Optimum entfernt sein), da sie in die Kernkompetenz eines Unternehmens fallen. Nicht-Kernprozesse werden jedoch tendenziell nicht kostenoptimal sein, weil es sich eben nicht um die Kernkompetenz eines Unternehmens handelt. Da man davon ausgehen kann, dass ein anderes Unternehmen diese effizienter erbringen, d. h. günstiger anbieten kann, wenn es diese Prozesse zu seiner Kernkompetenz macht, sind sie gute Kandidaten für eine Auslagerung. Erstes Symposium für neue IT in Leipzig

Verbesserung der Ressourcenverwaltung
Anforderungen Verbesserung der Ressourcenverwaltung Oft im Unternehmen keine optimale Lösungen für Bereitstellung neuer Ressourcen Umverteilung und Wiederverwendung bestehender Ressourcen Beispiel: Lebensdauer typischer Geschäftsmodelle von Logistikdienstleistern zwei bis drei Jahre Dauer für Implementierung passender Prozesse: sechs bis zwölf Monate Anpassung IT-Systeme: Verlängerung Implementierungszeit auf 12 – 24 Monate Gute Branche für Cloud-Computing Verbesserung der Ressourcenverwaltung: Oft ist eine Bereitstellung neuer Ressourcen oder eine Umverteilung und Wiederverwendung bestehender Ressourcen im eigenen Unternehmen nicht optimal gelöst. So können z. B. einschlägige Prozesse relativ langwierig sein oder es kommt aufgrund fehlender Skaleneffekte und mangelnder Professionalität des IT-Betriebs zu brachliegenden Kapazitäten. Beispielsweise beträgt die Lebensdauer typischer Geschäftsmodelle von Logistikdienstleistern zwei bis drei Jahre. Die bloße Implementierung der dazu passenden Prozesse dauert bereits sechs bis zwölf Monate. Müssen für ein neues Geschäftsmodell jedoch auch IT-Systeme angepasst werden, so verlängert sich diese Implementierungsphase auf ca Monate – also gute Branche für Cloud- Computing. Erstes Symposium für neue IT in Leipzig

Passgenaue Auswahl eines CSPs
Anforderungen Passgenaue Auswahl eines CSPs Idealer Cloud Service Provider für Unternehmen von konkretem Anwendungsfall abhängig Integrierbarkeit nicht nur auf technischer Ebene wichtig schmerzfreie Integration für organisatorische Ebene ebenso wichtig Passgenaue Auswahl eines CSPs: Was genau ein »passender« CSP ist, hängt vom konkreten Anwendungsfall ab. Man muss nicht nur auf technischer Ebene die gute lntegrierbarkeit im Blick haben; eine "schmerzfreie Integration« ist für die organisatorische Ebene mindestens ebenso wichtig. Erstes Symposium für neue IT in Leipzig

Vereinbarkeit mit Qualitätsanforderungen
Cloud-Service kann störungsanfällig sein Prüfung der Vereinbarkeit der Dienste mit firmeneigenen Service Level Requirements (SLR) SLRs als Grundlage für konkrete überprüfbare und durchsetzbare Service Level Agreements (SLA) mit dem CSP Vereinbarkeit mit Qualitätsanforderungen: Die Freude an einem neuen Cloud-Service verfliegt schnell, wenn dieser für eine Weile aufgrund einer Störung nicht verfügbar ist. Für jeden Fremdbezug von Cloud-Services sollte daher im Vorfeld geprüft werden, ob die geplanten Dienste mit den firmeneigenen Service-Level-Requirements (SLRs) vereinbar sind. Anhand der eigenen SLRs kann im Gespräch mit einem CSP dann ein passendes SLA vereinbart werden, das aber auch überprüfbar und durchsetzbar sein muss. Erstes Symposium für neue IT in Leipzig

Anbieterauswahl Dieser Abschnitt der Vorlesung vermittelt die wichtigsten Aspekte, die bei der Auswahl eines passenden CSPs zu beachten sind. Die technische Ebene, also die Frage nach der Auswahl des am besten in die IT-Landschaft passenden Cloud-Services, wird in dieser Teil der Vorlesung ausgeklammert. Stattdessen erläutert dieser Abschnitt, welche Lock-in-Effekte bei der Auswahl eines CSPs zu berücksichtigen sind, wie sich die Reputation und Zuverlässigkeit eines CSPs einschätzen lässt und wie unternehmensinterne Qualitätsstandards auch bei einem Cloud-Sourcing gewahrt werden können. Wie der Prozess der Anbieterauswahl in die eigene Organisation eingebettet werden kann, wird am Ende der Vorlesung dargestellt. Erstes Symposium für neue IT in Leipzig

Anbieterauswahl Lock-in-Effekte
Durch Fremdbezug von Services aus der Cloud (fast) immer Auslagerung von Daten zum Anbieter Abhängigkeiten auf Dateneben zum CSP Einbindung externer Dienste führt zu Umgestaltung interner Abläufe Abhängigkeiten auf Prozessebene zum CSP Unternehmen muss gewisses Maß an Abhängigkeit zum CSP tolerieren für Nutzung des Cloud-Services Lock-in-Effekte: Im Falle von Cloud-Services geht mit dem Fremdbezug von Services aus der Cloud auch (fast) immer ein Auslagern von Daten zum Anbieter einher (Abhängigkeit). Sei es, dass eine SaaS verwendet wird, die ihre Daten zwangsläufig beim CSP speichert oder dass eine laaS zum Einsatz kommt, die ebenfalls in aller Regel der Verwaltung oder Verarbeitung von Unternehmensdaten dient. Abgesehen von seltenen Fällen, in denen völlig unkritische Daten, wie z. B. anonymisierte Log-Files, übergeben werden, muss das Anwenderunternehmen also ein gewisses Maß an Abhängigkeit zum CSP tolerieren, um die Cloud-Services nutzen zu können. Gleichzeitig bedingt die Einbindung externer Dienste auch oft eine mehr oder weniger umfangreiche Umgestaltung der internen Abläufe. Daher bildet sich auch auf Prozessebene eine Abhängigkeitsbeziehung zum CSP aus. Erstes Symposium für neue IT in Leipzig

Lock-in-Effekte über die Daten
Anbieterauswahl Lock-in-Effekte über die Daten Ist und bleibt ein Unternehmen alleiniger und vollwertiger Eigentümer der Daten durch Nutzung eines Cloud-Services? Regelung nach § 11 BDSG Cloud-Nutzer muss Datenherrschaft über die von ihm eingebrachten personenbezogenen Daten behalten Muss weisungsberechtigt sein und jederzeit Kontrollrechte über Schicksal der Daten haben Fixierung im Cloud-Sourcing-Vertrag Lock-in-Effekte über die Daten: Die Frage ist hier, ob das Unternehmen alleiniger und vollwertiger Eigentümer der Daten ist und bleibt. Dies ist keineswegs selbstverständlich, da SaaS-Anbieter (z.B. ByD von SAP) nicht einmal immer vollständigen Zugriff auf alle Daten erlauben, die erst im Rahmen der Nutzung der Software im System angefallen sind. Auch ist es manchmal schwierig, die Daten in einem verwendbaren Format zu erhalten. So ist es bereits vorgekommen, dass ein SaaS-Anbieter die Daten, die im Rahmen der Service-Nutzung durch ein KMU angefallen waren, dem Unternehmen nach Beendigung des Vertragsverhältnisses nicht herausgeben wollte. Vorlesung IE I; Modul Integration und Architektur von Informationssystemen

Lock-in-Effekte über die Daten:
Anbieterauswahl Lock-in-Effekte über die Daten: Cloud-Nutzer muss Datenherrschaft über die von ihm eingebrachten personenbezogenen Daten behalten Muss weisungsberechtigt sein und jederzeit Kontrollrechte über Schicksal der Daten haben Fixierung im Cloud-Sourcing-Vertrag Erstes Symposium für neue IT in Leipzig

Anbieterauswahl Lock-in-Effekte über die Daten Klare Regelungen zwischen Kunde und Anbieter müssen getroffen werden Erstellung einer Kopie der Daten in für den Kunden verwendbarer Form (regelmäßig oder auf Anfrage) Gültigkeit für explizit im System eingetragene Daten sowie erstellte Metadaten Metadaten Daten Sachverhalt beschreiben Lock-in-Effekte über die Daten: Als Kunde muss also vor der ersten Verwendung des Cloud-Services eine klare Regelung mit dem Anbieter getroffen werden, dass dieser entweder regelmäßig oder auf Anfrage eine vollständige Kopie der Daten in für den Kunden verwendbarer Form zur Verfügung stellt. Die obigen Überlegungen gelten sowohl in Bezug auf die explizit in ein System eingetragenen Daten als auch in Bezug auf automatisch erstellte Daten und Metadaten (siehe Abbildung in der nächsten Folie) Erstes Symposium für neue IT in Leipzig

Lock-in-Effekte über die Daten:
Anbieterauswahl Lock-in-Effekte über die Daten: Erstes Symposium für neue IT in Leipzig

Anbieterauswahl Lock-in-Effekte über die Daten Für Kunde Möglichkeit (bei Bedarf) der Kontrolle der Daten über ihn und seine Geschäftstätigkeit schaffen Bsp.: Metadaten können Rückschlüsse auf Kundenstruktur erlauben Metadaten können wichtige Verwaltungsdaten enthalten Notwendig für sinnvolle Weiterverwendung der exponierten Daten Gewisser Lock-in-Effekt über Daten muss in jedem Fall einkalkuliert werden Lock-in-Effekte über die Daten: Insbesondere letzterer Aspekt wird leicht übersehen, kann aber durchaus problematische Folgen haben. Zum einen sollte der Kunde bei Bedarf kontrollieren können, was für Daten über ihn und seine Geschäftstätigkeit vorliegen. So kann es z. B. kritisch sein, wenn die Metadaten Rückschlüsse auf die Kundenstruktur erlauben oder ersichtlich machen, dass die Auftragslage momentan schlecht ist. Zum anderen können aber gerade diese Metadaten auch wichtige Verwaltungsinformationen enthalten, die für eine sinnvolle Weiterverwendung der exponierten Daten notwendig sind. Wie einfach und vollständig die Daten auch aus dem jeweiligen Dienst exportiert werden können, so muss doch immer ein gewisser Lock-in-Effekt einkalkuliert werden. Erstes Symposium für neue IT in Leipzig

Lock-in-Effekte über die Prozesse
Anbieterauswahl Lock-in-Effekte über die Prozesse Integration von Cloud-Service erfordert Anpassung der eigenen Geschäftsprozesse Lock-in-Situation möglich Abschätzung der Anpassungen durch Analyse der eigenen Prozessmodelle Kompatibilität des Cloud-Anbieters zu bestehenden Geschäftsprozessen darf nicht unterschätzt werden Lock-in-Effekte über die Prozesse: Wie bereits früher angesprochen, erfordert die Integration eines Cloud-Dienstes immer auch eine gewisse Anpassung der eigenen Geschäftsprozesse. Je nachdem, wie weit diese Anpassungen gehen, kann auch durch sie eine Lock-in-Situation entstehen. Die nötigen Anpassungen der Prozesse lassen sich zum großen Teil durch Analyse der eigenen Prozessmodelle abschätzen. Die Kompatibilität des Cloud-Anbieters zu bestehenden Geschäftsprozessen darf nicht unterschätzt werden. Erstes Symposium für neue IT in Leipzig

Anbieterauswahl Anbieterreputation
Hohe Reputation (guter Ruf) äußert sich in zuverlässigen Vorhersagbarkeit der Handlungen des Anbieters Strukturiertes Vorgehen zur Einschätzung der Anbieterreputation Berücksichtigung von drei Dimensionen Anbieter- reputation Gesamteindruck des CSPs Objektive Eckdaten Meinungen im Web Benchmarks im Cloud- Intermediäre Referenzen Eigene Sicht Weiterer Meinungen Sicht anderer Kunden Anbieterreputation: Eine hohe Reputation, also ein »guter Ruf«, äußert sich dabei vor allem in einer zuverlässigen Vorhersagbarkeit der Handlungen des Anbieters. Die einschlägigen Branchengrößen wie Amazon, Google, Microsoft und andere werden vermutlich auch auf längere Sicht ihrer Cloud-Strategie treu bleiben und genießen inzwischen eine ordentliche Reputation als CSP. Empfehlenswert ist ein strukturiertes Vorgehen zur Einschätzung der Anbieterreputation unter Berücksichtigung von drei Dimensionen (in der Reihenfolge ihrer Relevanz): die eigene Sicht, die Meinungen anderer (möglicherweise ehemaliger) Kunden sowie weitere Meinungen ggfs. ungewisser Qualität, die über Weblogs, Foren usw. verbreitet werden. Bild auf der nächsten Folie zeigt die Indikatoren zur Einschätzung der Reputation eines Cloud-Anbieters in drei relevanten Dimensionen (objektive Indikatoren grau schattiert) Erstes Symposium für neue IT in Leipzig

Anbieterauswahl Anbieterreputation: grau Grau= objektive Indikatoren
Erstes Symposium für neue IT in Leipzig

Anbieterreputation – Objektive Indikatoren
Anbieterauswahl Anbieterreputation – Objektive Indikatoren Zertifikate als Indikatoren EuroCloud Star Audit SaaS: umfangreiche Cloud-spezifische Zertifizierung Ordnet SaaS in eine von fünf Qualitätsstufen ein Nachteil: Praxistauglichkeit noch nicht bewiesen Zertifizierungen aus IT-Umfeld bedingt hilfreich: ISO oder SAS 70 Unabhängige Benchmarks oder Performance-Tests hilfreich Anbieterreputation - Objektive Indikatoren: So intuitiv das Konzept eines »guten Rufs« verständlich sein mag, so schwierig ist es, Reputation objektiv zu messen. Einschlägige Zertifikate könnten bald die hilfreichsten Indikatoren sein. Bislang gibt es jedoch noch keine wirklich aussagekräftigen, Cloud-spezifischen Zertifizierungen. Das am nächsten Kommende ist der EuroCloud Star Audit SaaS. Hierbei handelt es sich um eine recht umfangreiche, Cloud-spezifische Zertifizierung, die eine SaaS in eine von fünf Qualitätsstufen einordnet (gekennzeichnet durch 1-5 Sterne). Allerdings wurde der Star Audit bisher noch nicht sehr oft durchgeführt und konnte daher noch keinen Beweis seiner Praxistauglichkeit erbringen. Andere aus dem IT-Umfeld bekannte Zertifizierungen wie jene nach IS oder SAS 70 sind nur bedingt hilfreich. Abgesehen vom CSP selbst können auch unabhängige Benchmarks oder Performance-Tests hilfreiche Informationen liefern. Erstes Symposium für neue IT in Leipzig

Anbieterreputation – Subjektive Indikatoren
Anbieterauswahl Anbieterreputation – Subjektive Indikatoren Wichtige Faktoren: Professionalität des Web-Auftritts des CSP Vollständigkeit bereitgestellter Informationen Für Einschätzung der Transparenz eines Anbieters in seiner Informationspolitik, können folgende Fragen einen Startpunkt bieten: Werden detaillierte Informationen zu allen Fragen rund um die Servicenutzung bereitgestellt? Wird das Preismodell ausführlich erläutert? Wird auch auf Kosten hingewiesen, die nicht offensichtlich sind? Werden Informationen zu den Sicherheitsvorkehrungen und zum Stand der Technik in den Rechenzentren des Anbieters angeboten? Wie ist die Güte der verfügbaren Dokumentation zu beurteilen? Anbieterreputation - Subjektive Indikatoren: Diese Bewertung ist zwar eher „aus dem Bauch heraus“, aber gleichwohl hilfreich. Ein wichtiger Faktor ist die Professionalität des Web-Auftritts eines CSP und die Vollständigkeit der bereitgestellten Informationen. Für eine Einschätzung, wie transparent ein Anbieter in seiner Informationspolitik ist, können folgende Fragen einen Startpunkt bieten: Werden detaillierte Informationen zu allen Fragen rund um die Servicenutzung bereitgestellt? Wird das Preismodell ausführlich erläutert? Wird auch auf Kosten hingewiesen, die nicht offensichtlich sind? Werden Informationen zu den Sicherheitsvorkehrungen und zum Stand der Technik in den Rechenzentren des Anbieters angeboten? Wie ist die Güte der verfügbaren Dokumentation zu beurteilen? Darüber hinaus sollte ein Kunde versuchen, historische Kennzahlen zur Zuverlässigkeit des betrachteten Dienstes zu erlangen, am besten in den Dimensionen, die für die spätere Definition eines SLA relevant sein könnten. Beispielsweise hatte Amazon im April 2011 mit einem schwerwiegenden Ausfall seiner AWS zu kämpfen, der durch eine Kombination aus Programmierfehlern im Elastic Block Store (EBS) und menschlichem Versagen ausgelöst bzw. verschlimmert wurde. Zwar war der Ausfall für einige Websites katastrophal und viele Kunden waren erbost, dass Amazon nicht direkt öffentlich reagiert hat. Jedoch muss lobend erwähnt werden, wie detailliert Amazon den Fehler für seine Kunden im Nachhinein aufgearbeitet hat und so das Vertrauen in die Infrastruktur (zumindest größtenteils) wieder herstellen konnte. Zusätzliches Vertrauen in die Verlässlichkeit des Anbieters kann auch dadurch erlangt werden, dass geklärt wird, wie er seine Mitarbeiter und Dienstleister aussucht. Dasselbe gilt für die gesamte »Supply chain« des Anbieters, also alle Subunternehmer oder beauftragten Dienstleister. Beispielsweise könnten Backups bei anderen Cloud-Anbietern gespeichert werden, die niedrigere Standards anlegen. Schließlich bietet sich die Möglichkeit an, über Online-Foren oder –Dienste wie Twitter und Facebook Google+ mit Nutzern in Umgehungen in Kontakt zu treten, in denen sie zwar unmoderiert, aber auch ungenierter ihre Meinung äußern. Erstes Symposium für neue IT in Leipzig

Anbieterreputation – Subjektive Indikatoren
Anbieterauswahl Anbieterreputation – Subjektive Indikatoren Historische Kennzahlen zur Zuverlässigkeit des betrachteten Dienstes von großer Bedeutung Bsp.: Amazon im April 2011: schwerwiegender Ausfall seiner AWS, durch Kombination aus Programmierfehlern im Elastic Block Store (EBS) und menschlichem Versagen ausgelöst bzw. verschlimmert Zusätzliches Vertrauen durch Offenlegungen: Wie wählt Anbieter seine Dienstleister und Mitarbeiter aus? Wie sieht die Supply Chain des Anbieters aus? (Bsp.: Backups bei anderen Cloud-Anbietern mit niedrigeren Standards) Kontakt mit Nutzern in Umgebungen aufnehmen über Online-Foren wie Twitter, Facebook oder Google+ Anbieterreputation - Subjektive Indikatoren: Darüber hinaus sollte ein Kunde versuchen, historische Kennzahlen zur Zuverlässigkeit des betrachteten Dienstes zu erlangen, am besten in den Dimensionen, die für die spätere Definition eines SLA relevant sein könnten. Beispielsweise hatte Amazon im April 2011 mit einem schwerwiegenden Ausfall seiner AWS zu kämpfen, der durch eine Kombination aus Programmierfehlern im Elastic Block Store (EBS) und menschlichem Versagen ausgelöst bzw. verschlimmert wurde. Zwar war der Ausfall für einige Websites katastrophal und viele Kunden waren erbost, dass Amazon nicht direkt öffentlich reagiert hat. Jedoch muss lobend erwähnt werden, wie detailliert Amazon den Fehler für seine Kunden im Nachhinein aufgearbeitet hat und so das Vertrauen in die Infrastruktur (zumindest größtenteils) wieder herstellen konnte. Zusätzliches Vertrauen in die Verlässlichkeit des Anbieters kann auch dadurch erlangt werden, dass geklärt wird, wie er seine Mitarbeiter und Dienstleister aussucht. Dasselbe gilt für die gesamte »Supply chain« des Anbieters, also alle Subunternehmer oder beauftragten Dienstleister. Beispielsweise könnten Backups bei anderen Cloud-Anbietern gespeichert werden, die niedrigere Standards anlegen. Schließlich bietet sich die Möglichkeit an, über Online-Foren oder –Dienste wie Twitter und Facebook Google+ mit Nutzern in Umgehungen in Kontakt zu treten, in denen sie zwar unmoderiert, aber auch ungenierter ihre Meinung äußern. Erstes Symposium für neue IT in Leipzig

Anbieterauswahl Tool-Unterstützung
Zur Erleichterung der Informationssammlung Tools beinhalten u. a. Historische Daten der CSP Neben CSP-eigenen Statusseiten (Bsp. Amazon), auch unabhängige Dienste CloudSleuth Zuverlässigkeit und Verfügbarkeit der populärsten laaS- und PaaS-Anbieter in Echtzeit anhand einer Weltkarte CloudHarmony Messung Geschwindigkeit und Latenzzeit für ein- und ausgehenden Datenverkehr Analysen publiziert, die sich mit CPU-Leistung oder Datendurchsatz befassen Benchmark-Ergebnisse für einzelne CSP CloudFail.net Auskunft über Ausfälle und Störungen verschiedener Cloud-Anbieter Cloutage.org hilft bei Einschätzung der Sicherheit verschiedener Cloud-Dienste DataLossDB Informationen zu Datenlecks Site24x7 Monitoring der Verfügbarkeit per ICMP-Echo-Requests (PINGs) oder per HTTP-Verbindung zum Dienst Tool-Unterstützung: Um die Informationssammlung zu erleichtern und u.a. auch historische Daten zu einzelnen CSP zu erhalten, haben sich einige spezialisierte Dienste herausgebildet. Neben den CSP-eigenen Statusseiten, wie z. B. gibt es auch unabhängige Dienste, die herstellerübergreifendes Monitoring betreiben. Hier ein kleiner Auswahl: CloudSleuth - visualisiert u.a. Zuverlässigkeit und Verfügbarkeit der populärsten laaS- und PaaS-Anbieter, indem von zurzeit 30 sogenannten Backbone-Nodes auf die jeweiligen Dienste zugegriffen wird. Die Statistiken werden in Echtzeit anhand einer Weltkarte visualisiert. CloudHarmony - führt Tests zur Leistungsfähigkeit durch, indem die Geschwindigkeit und Latenzzeit für ein- und ausgehenden Datenverkehr gemessen wird. Im Blog werden außerdem weitere Analysen publiziert, die sich unter anderem mit CPU-Leistung oder Datendurchsatz befassen. In einer umfangreichen Bibliothek können gezielt Benchmark-Ergebnisse für einzelne CSP (teilweise kostenpflichtig) eingesehen werden. CloudFail.net - gibt Auskunft über Ausfälle und Störungen verschiedener Cloud-Anbieter. Dazu aggregiert der Dienst diverse RSS-Feeds, unter anderem von Amazon, Google und Rackpace. Cloutage.org - hilft bei einer Einschätzung der Sicherheit verschiedener Cloud-Dienste. Das Projekt möchte eine einheitliche AnlaufsteIle für bekannte und veröffentlichte sicherheitsrelevante Vorfälle (lncidents) in der Cloud werden. DataLossDB - sammelt Informationen zu Datenlecks und versucht, möglichst detaillierte Informationen zu Art und Umfang der Lecks zusammenzustellen. Zwar hat die Liste keinen expliziten Cloud-Fokus, aber Vorfälle bei CSP werden ebenfalls erfasst. Site24x7 - bietet verschiedene Möglichkeiten zur Überwachung von Cloud-Applikationen, insbesondere ein Monitoring der Verfügbarkeit per ICMP-Echo-Requests (PINGs) oder per HTTP-Verbindung zum Dienst. Erstes Symposium für neue IT in Leipzig

Anbieterauswahl Vereinbarkeit mit Qualitätsanforderungen Elementarer Aspekt: Vereinbarung geeigneter SLAs Regeln Rechte und Pflichten der beteiligten Akteure sowie Qualitätsanforderungen an die zu erbringenden Leistungen Inhalte eines SLAs: Foundation Kernprinzipien und zentrale Vereinbarungen Spezifikation von Prozessverantwortlichen mit genauen Rollen und Verantwortlichkeiten Vereinbarung von Zielen für Produkt- und Service-Performance = konkrete Service Level Targets Ein elementarer Aspekt bei der Nutzung jeglicher IT-Services ist die Vereinbarung geeigneter Service-Level-Agreements (SLAs), in denen Rechte und Pflichten der beteiligten Akteure sowie Qualitätsanforderungen an die zu erbringenden Leistungen festgeschrieben werden. Inhalte eines SLAs: Foundation: Hier werden die Kernprinzipien und zentralen Vereinbarungen eines Vertrags festgehalten. Zu dem werden Prozessverantwortliche mit genauen Rollen und Verantwortlichkeiten spezifiziert. Schließlich werden auch alle Ziele für Produkt- und Service-Performance (also die konkreten Service-Level-Targets) vereinbart. Change: Ein SLA sollte immer auch Prozesse zur Berücksichtigung und Einarbeitung unvorhersehbarer zukünftiger Bedarfe oder Innovationen (mit entsprechenden Anreizstrukturen) darlegen. Außerdem sollten Mechanismen zur Handhabung vorhersehbarer Eventualitäten und effiziente Prozesse für Feedback und Vertragsanpassungen vereinbart werden. Erstes Symposium für neue IT in Leipzig

Anbieterauswahl Vereinbarkeit mit Qualitätsanforderungen Inhalte eines SLAs: Change Darlegung von Prozessen zur Berücksichtigung und Einarbeitung unvorhersehbarer zukünftiger Bedarfe oder Innovationen Vereinbarung von Mechanismen zur Handhabung vorhersehbarer Eventualitäten und effiziente Prozesse für Feedback und Vertragsanpassungen Governance Klare Aussagen zu Messgrößen (KPIs), Strafen und Anreizen Erfüllung SLA sollte automatisiert prüfbar sein Inhalte eines SLAs: Change: Ein SLA sollte immer auch Prozesse zur Berücksichtigung und Einarbeitung unvorhersehbarer zukünftiger Bedarfe oder Innovationen (mit entsprechenden Anreizstrukturen) darlegen. Außerdem sollten Mechanismen zur Handhabung vorhersehbarer Eventualitäten und effiziente Prozesse für Feedback und Vertragsanpassungen vereinbart werden. Governance: Der dritte Themenbereich enthält klare Aussagen zu Messgrößen (insbesondere Key-Performance-Indicators, KPls), Strafen (Pönalen) und Anreizen für beide Seiten. Die Erfüllung eines SLAs sollte da bei möglichst weitgehend automatisiert prüfbar sein, um sowohl Anbieter als auch Nutzer unnötigen Aufwand zu ersparen. Erstes Symposium für neue IT in Leipzig

Vereinbarkeit mit Qualitätsanforderungen:
Anbieterauswahl Vereinbarkeit mit Qualitätsanforderungen: Ein elementarer Aspekt bei der Nutzung jeglicher IT-Services ist die Vereinbarung geeigneter Service-Level-Agreements (SLAs), in denen Rechte und Pflichten der beteiligten Akteure sowie Qualitätsanforderungen an die zu erbringenden Leistungen festgeschrieben werden. Erstes Symposium für neue IT in Leipzig

Anbieterauswahl Vereinbarkeit mit Qualitätsanforderungen Formulierung konkreter Qualitätsanforderungen Nicht-Funktional Funktional Verfügbarkeit Leistungsfähigkeit/Performance Nutzungsintensität Sicherheit Nutzungsgebühren Verortung Eingabe-/Ausgabedaten Vor-/Nachbedingungen Antwortverhalten Verhalten im Fehlerfall Formulierung konkreter Qualitätsanforderungen im Folgenden genauer. Erstes Symposium für neue IT in Leipzig

Anbieterauswahl Vereinbarkeit mit Qualitätsanforderungen Verfügbarkeit – Nicht-Funktional: … bezeichnet relativen Anteil einer Zeitspanne, in welchem der Service effektiv nutzbar war. Typische Angabe: pro Jahr mit Granularität von einigen Minuten Beispiel: Ein Jahr = Stunden Zeitscheibe à 5 Minuten ∗ 60 5 = Service verzeichnet in 480 Zeitscheiben einen Ausfall − ≅99,54% Formulierung konkreter Qualitätsanforderungen – Verfügbarkeit (nicht – funktional): Die Verfügbarkeit eines Cloud-Services bezeichnet den relativen Anteil einer Zeitspanne, in welchem der Service effektiv nutzbar war. Typischerweise wird eine Verfügbarkeit pro Jahr mit einer Granularität von einigen Minuten angegeben (z.B. 5 Min. bei Amazon). Beispiel: Wenn für ein Jahr bspw Stunden = 8.760· 60/5 = Zeitscheiben zugrunde gelegt werden und der Service in 480 Zeitscheiben zu 5 Minuten einen Ausfall zu verzeichnen hatte (unabhängig davon, ob der Ausfall jeweils die gesamten 5 Minuten gedauert hat), so ist die Verfügbarkeit ( )/( ) =~ 99,54%. Erstes Symposium für neue IT in Leipzig

Anbieterauswahl Vereinbarkeit mit Qualitätsanforderungen Leistungsfähigkeit/Performance – Nicht-Funktional: … gibt an wie schnell bestimmte Aufgaben abgearbeitet werden können. Variante 1: Spezifizierung der Zeit für Erhalt einer Anfrage an den Service bis zum Absenden der Antwort Relevant für synchrone Service-Aufrufe Bsp.: Eine Suchanfrage wird innerhalb von max. 250ms beantwortet Variante 2: Angabe der Dauer der reinen Verarbeitung Sinnvoll für asynchrone Service-Aufrufe Bsp.: Es werden min. 250 MB Log-Daten pro Minute verarbeitet. Die Leistungsfähigkeit eines Service gibt an, wie schnell bestimmte Aufgaben abgearbeitet werden können. Einerseits kann die Zeit vom Erhalt einer Anfrage an den Service bis zum Absenden der Antwort spezifiziert werden, was vor allem bei synchronen Service-Aufrufen relevant ist (z.B. Eine Suchanfrage wird innerhalb von max. 250ms beantwortet). Andererseits kann auch die Dauer der reinen Verarbeitung angegeben werden, was vor allem für asynchrone Service-Aufrufe sinnvoll ist (z. B. »Es werden min. 250 MB Log-Daten pro Minute verarbeitet«). Erstes Symposium für neue IT in Leipzig

Anbieterauswahl Vereinbarkeit mit Qualitätsanforderungen Nutzungsintensität – Nicht-Funktional: … spezifiziert die Belastbarkeit des Services sowie die geplante Belastung. Fachliche Größen sinnvoll Bsp.: „x Transaktionen pro Minute“ oder „y Anfragen pro Tag“ Sicherheit – Nicht-Funktional: Angaben von Rollen, Personen oder Systemen, die Service benutzen Angaben zu übertragenen Daten, welche sich auf die anzuwendenden technischen Sicherheitsmechanismen auswirken Nutzungsintensität Neben der reinen Leistungsfähigkeit müssen auch die maximal zulässige und die geplante Nutzungsintensität, also die Belastbarkeit des Service sowie die geplante Belastung, spezifiziert werden. Sinnvoll sind hierbei fachliche Größen, also bspw. eine Angabe von »x Transaktionen pro Minute« oder »y Anfragen pro Tag«. Sicherheit Beispielsweise können Rollen, Personen oder Systeme angegeben werden, die den Service aufrufen dürfen. Auch können Angaben zu den übertragenen Daten gemacht werden, welche sich auf die anzuwendenden technischen Sicherheitsmechanismen auswirken. Erstes Symposium für neue IT in Leipzig

Anbieterauswahl Vereinbarkeit mit Qualitätsanforderungen Nutzungsgebühren – Nicht-Funktional: Pay-per-Use-Preismodell, das auf fachliche Größen basiert Bsp.: Gebühren pro erfolgreicher Anfrage oder nach übertragenen Datenvolumen Nicht empfehlenswert: Pay-per-Use-Preismodelle, die auf den für den Anbieter relevanten Messgrößen wie CPU-Zyklen basieren Verortung – Nicht-Funktional: Festlegung wo Service zu erbringen ist (Bsp.: „innerhalb der EU“) Auch: konkrete Angaben, in welchem Netzwerksegment oder auf welchem physischen Server ein Service zu betreiben ist Nutzungsgebühren Für Cloud-Services sollte hier ein Pay-per-Use-Preismodell zum Einsatz kommen, das auf fachlichen Größen basiert (z. B. Gebühr pro erfolgreicher Anfrage oder nach übertragenem Datenvolumen). Nicht empfehlenswert sind Pay-per-Use-Modelle, die auf den für den Anbieter relevanten Messgrößen wie CPU-Zyklen basieren. Verortung Schließlich muss festgelegt werden, wo ein Service zu erbringen ist. Das kann einerseits z. B. eine generische Angabe wie »Public Cloud« oder »innerhalb der EU« sein. Andererseits kann auch sehr konkret angegeben werden, in welchem Netzwerksegment oder auf welchem physischen Server ein Service zu betreiben ist. Erstes Symposium für neue IT in Leipzig

Anbieterauswahl Vereinbarkeit mit Qualitätsanforderungen Eingabe-/Ausgabedaten – Funktional: Protokolle im Rahmen von Cloud-Services: HTTP(S) in Verbindung mit einer REST-Schnittstelle SOAP (via HTPP) Festlegung konkreter Eingabe- und Ausgabedaten Je nach Protokoll unterschiedliche Darstellungen Bsp.: Einsatz einer JSON- oder eine XML-Darstellung Als Protokoll wird im Rahmen von Cloud-Services meist HTTP(S) in Verbindung mit einer REST-Schnittstelle eingesetzt. Auch SOAP (via HTPP) ist recht verbreitet. Neben dem Protokoll müssen auch die konkreten Eingabe- und Ausgabedaten sowie deren Formate festgelegt werden. Je nach Protokoll und Schnittstelle kann z. B. eine JSON- oder eine XML-Darstellung zum Einsatz kommen. Erstes Symposium für neue IT in Leipzig

Anbieterauswahl Vereinbarkeit mit Qualitätsanforderungen Vor-/Nachbedingungen – Funktional: … spezifizieren Zustände bzw. Anforderungen, die vor oder nach dem Service-Aufruf zu erfüllen sind. Bsp.: Forderung einer existierenden Sitzung (Session) als Vorbedingung für einen Service-Aufruf Bedingungen im Betrieb nicht so relevant wie Planung, Entwicklung und Testen der Systeme Die Vor- und Nachbedingungen spezifizieren Zustände bzw. Anforderungen, die vor oder nach dem Service-Aufruf zu erfüllen sind. So könnte bspw. eine existierende Sitzung (Session) als Vorbedingung für einen Service-Aufruf gefordert werden. Diese Bedingungen sind im Betrieb nicht so relevant wie für Planung, Entwicklung und Testen der Systeme. VErstes Symposium für neue IT in Leipzig

Anbieterauswahl Vereinbarkeit mit Qualitätsanforderungen Antwortverhalten – Funktional: Synchroner Aufruf der meisten Services  Wartezeit auf Antwort Alternativ verschiedene asynchrone Muster: Fire-and-Forget – Aufruf eines Dienstes ohne Interesse an einer Antwort Push-Prinzip – Benachrichtigung des Auftraggebers bei Fertigstellung des aufgerufenen Services durch Service-Aufruf Polling – regelmäßige Abfrage des Bearbeitungsstandes So werden die meisten Services synchron aufgerufen; das aufrufende System wartet also auf eine Antwort des Service, bevor die Ausführung fortgeführt wird. Alternativ können verschiedene asynchrone Muster zum Einsatz kommen. Das einfachste ist »Fire-and-Forget«, also der Aufruf eines Dienstes ohne Interesse an einer Antwort. Deutlich häufiger wird ein asynchroner Aufruf so gestaltet, dass der aufgerufene Service bei Fertigstellung seinerseits den Auftraggeber durch einen Service-Aufruf benachrichtigt (Push-Prinzip). Alternativ kann der Auftraggeber regelmäßig den Bearbeitungsstand abfragen (Polling). VorleErstes Symposium für neue IT in Leipzig

Anbieterauswahl Vereinbarkeit mit Qualitätsanforderungen Verhalten im Fehlerfall – Funktional: Fehlerarten: Auf dem Übertragungsweg zum Anbieter oder zum Kunden Laufzeitfehler Verarbeitungsfehler Erkennung der Fehler als solche und Behandlung dieser Neben Fehlern, die auf dem Übertragungsweg zum Anbieter oder zum Kunden auftreten können, sind auch Laufzeitfehler oder Verarbeitungsfehler des aufgerufenen Service zu berücksichtigen. Vor allem aber muss ein Service-Nutzer sicherstellen, dass Fehler auch als solche erkannt und behandelt werden. Erstes Symposium für neue IT in Leipzig

Anbieterauswahl Vereinbarkeit mit Qualitätsanforderungen Formulierung konkreter Qualitätsanforderungen Abstimmung genannter Aspekte mit den Anforderungen der Sicherheitsverantwortlichen in Bezug auf Metriken und Standards Einarbeitung in Service Level Targets – einfache Ermöglichung der eigenen Sicherheitsmechanismen und Erfüllung aller regulatorischen Anforderungen Service Level Targets sind immer SMART: Spezifisch Messbar Ausführbar (erreichbar) Relevant Terminierbar (im Zeitbezug) Es sei darauf hingewiesen, dass alle der bisher genannten Aspekte auch immer mit den Anforderungen der Sicherheitsverantwortlichen in Bezug auf Metriken und Standards abgestimmt werden sollten. Durch die Einarbeitung der Vorgaben in die Service-Level-Targets kann das eigene Sicherheitsmanagement und die Erfüllung aller regulatorischen Anforderungen einfacher ermöglicht werden. Abschließend sei angemerkt, dass gute Service-Level-Targets immer SMART sind: Spezifisch, Messbar Ausführbar (also erreichbar), Relevant, Terminierbar (d.h. mit Zeitbezug). Erstes Symposium für neue IT in Leipzig

Anbieterauswahl Vereinbarkeit mit Qualitätsanforderungen Ausgewogenes Verhältnis als Schlüssel zum Erfolg Komplementäres Verhalten genauer SLAs und guter Beziehungen zwischen Kunde und Provider – nicht substitutiv Wichtig ist genaue Formulierung eines SLAs mit „harten“ Mindestanforderungen Vereinbarkeiten zu Veränderungs- und Konfliktlösungsprozessen Führt zu langfristiger Zusammenarbeit Ausgewogenes Verhältnis als Schlüssel zum Erfolg: Nach den Ausführungen dieses Teils der Vorlesung zeigt sich, dass ein passendes SLA auszuhandeln extrem aufwändig ist. Daher ist das Anwenderunternehmen leicht geneigt, ein ungenaues SLA zu akzeptieren, „zumal man sich ja gegenseitig vertrauen kann“, wie womöglich frühere Geschäftsbeziehungen gezeigt haben. Dies ist jedoch ein Trugschluss. Tatsächlich verhalten sich genaue SLAs und eine gute Beziehung zwischen Kunde und Provider komplementär und nicht substitutiv. Es lohnt sich also, mit dem Provider zusammen ein genaues SLA zu vereinbaren, in dem nicht nur die »harten« Mindestanforderungen formuliert werden, sondern auch einige Vereinbarungen zu Veränderungs- und Konfliktlösungsprozessen vorgesehen sind, sodass die Vereinbarung langfristige Zusammenarbeit ermöglicht. Erstes Symposium für neue IT in Leipzig

Hauptargument: wirtschaftliche Vorteile ABER: kein einzelner IT-Sourcing-Ansatz Spezifische Aspekte für Cloud-Sourcing: Zahlung nur noch für tatsächliche Nutzung (Pay-per-Use) Realisierung von Kostenvorteilen für Cloud-Anwender Lohnt sich Cloud-Sourcing? Vergleich zwischen Lösung im eigenen Haus und Cloud-Computing notwendig Voraussetzung: Kosten für entsprechende interne Lösungen bekannt oder ermittelbar Zweifellos sind die wirtschaftlichen Vorteile eines Cloud-Sourcings das Hauptargument, warum sich Unternehmen mit dem Thema beschäftigen. Aber das ist kein einzelnes IT-Sourcingansatz. Nach einem Überblick über die allgemeinen Vor- und Nachteile, die sich aus einem Fremdbezug von IT-Funktionen ergeben werden im weiteren Verlauf der Vorlesung daher für ein Cloud-Sourcing spezifische Aspekte herausgearbeitet. Üblicherweise werden diesbezüglich folgende Punkte angesprochen, die jeweils in einem eigenen Abschnitt vertieft werden: Cloud-Services bieten Vorteile, weil nur noch nur für die tatsächliche Nutzung bezahlt werden muss (Pay-per-Use). Ein Cloud-Anwender kann Kostenvorteile realisieren, weil Cloud-Services die Flexibilität der Unternehmens- IT steigern (Elastizität). Für einen Vergleich, ob sich Cloud-Computing im Vergleich zu einer Lösung im eigenen Haus lohnt, ist offensichtlich die erste Voraussetzung, dass die Kosten für eine entsprechende interne Lösung bekannt oder ermittelbar sind. Erstes Symposium für neue IT in Leipzig

Chancen und Risiken eines IT-Fremdbezugs Chancen Risiken Komplexitätsreduktion Abhängigkeit vom ausgewählten IT-Outsourcing-Anbieter Konsolidierung Ungewissheit über die rechtlichen Rahmenbedingungen Senkung der Stückkosten der IT-Produktion Management der Outsourcing-Beziehung Variabilisierung von Fixkosten Instabilität der Anforderungen Verbesserung der Zuverlässigkeit und Innovation Technologische Komplexität Aufwertung der Aufgaben von Mitarbeitern Know-how-Verlust Reduktion von Mitarbeitern und Erzielung von Cash-Effekten Kulturelle Konflikte zwischen Anbieter und Anwender Im Folgenden werden Chancen und Risiken näher begutachtet VorErstes Symposium für neue IT in Leipzig

Chancen Komplexitätsreduktion: Auslagerung aufwändiger und komplexer Prozesse zu externen Anbieter Entbindung des Unternehmens von „lästigen“ Aufgaben Beziehung der Aufgaben als Service bei IT-Outsourcing-Anbieter Konsolidierung: Möglichkeit historisch gewachsene Redundanzen in IT-Architektur zu konsolidieren Externer Druck eines rigorosen Konsolidierungsprozess durch IT-Outsourcing-Anbieter Entstehung eins Kostenvorteils Komplexitätsreduktion: Ein Outsourcing bietet die Möglichkeit, die Komplexität der eigenen IT deutlich zu reduzieren, indem aufwändige, komplexe Prozesse zu einem externen Anbieter ausgelagert werden. Das eigene Unternehmen wird so von der Durchführung »lästiger« Aufgaben entbunden, die nun als Service bei einem IT-Outsourcing-Anbieter bezogen werden. Konsolidierung: Outsourcing ist für einige Unternehmen die einzige Möglichkeit, historisch gewachsene Redundanzen in der IT-Architektur zu konsolidieren. Der IT-Outsourcing-Anbieter erzwingt dabei einen rigorosen Konsolidierungsprozess, der ohne externen Druck nicht in Gang zu bringen wäre. Allein dadurch kann ein erheblicher Kostenvorteil entstehen. Erstes Symposium für neue IT in Leipzig

Chancen Senkung der Stückkosten der IT-Produktion: Senkung der Kosten „pro Stück IT-Ressource“ durch Größenvorteile deutlich unter Niveau eines gut organisierten KMU Einkauf von bspw. Hardware und Infrastruktur des Rechenzentrums auf größerer Skala Verteilung auf größere Anzahl von Nutzern Einsparungen auf technischer Seite durch Automatisierung aller Aspekte der Verwaltung und der Konfiguration der Cloud-Infrastruktur Senkung der Stückkosten der IT-Produktion: Unabhängig von Chancen durch Konsolidierung und Optimierung der IT kann ein IT-Outsourcing-Anbieter durch Größenvorteile auch die Kosten »pro Stück IT-Ressource« deutlich unter das Niveau senken, das ein gut organisiertes KMU erreichen könnte. Auf der Beschaffungsseite können bspw. Hardware und Infrastruktur des Rechenzentrums auf größerer Skala eingekauft und auf eine größere Anzahl von Nutzern verteilt werden. Auf technischer Seite kann ein Anbieter zusätzliche Einsparungen erreichen, indem alle Aspekte der Verwaltung und der Konfiguration der Cloud-Infrastruktur weitestgehend automatisiert werden. Erstes Symposium für neue IT in Leipzig

Chancen Variabilisierung von Fixkosten: Pay-per-Use-Preismodell Konvertierung von Fixkosten der IT in variable Gebühren Entfall der Problematik der Zurechnung indirekter IT-Kosten Ebenfalls Nachfrage nach kombinierten Modellen oder „Flatrates“ Verbesserung der Zuverlässigkeit und Innovation: KMU oft ohne hoch spezialisiertes Personal für den IT-Betrieb Profitierung von Skaleneffekten des IT-Outsourcing-Anbieters Vorhalten entsprechender Mannschafften von Spezialisten Bsp.: große Public-Cloud-Anbieter wie Amazon, Google, Microsoft Variabilisierung von Fixkosten: Viele IT-Outsourcing-Anbieter setzen auf ein Pay-per-Use-Preismodell. Dadurch können viele Fixkosten der IT in variable Gebühren konvertiert werden. Gleichzeitig entfällt die Problematik der Zurechnung indirekter IT -Kosten. Vermutlich werden jedoch stets auch kombinierte Modelle oder »Flatrates« angeboten werden, da viele Kunden diese nachfragen. Verbesserung der Zuverlässigkeit und Innovation: Typische KMU haben nicht die benötigte Größe, um ausreichend hoch spezialisiertes Personal für den IT-Betrieb zu beschäftigen. Ein IT-Outsourcing-Anbieter kann auch hier von Skaleneffekten profitieren und eine entsprechende Mannschaft von Spezialisten vorhalten. Dies trifft insbesondere auf die großen Public-Cloud-Anbieter wie Amazon, Google oder Microsoft zu. Erstes Symposium für neue IT in Leipzig

Chancen Aufwertung der Aufgaben von Mitarbeitern: Entlastung der Mitarbeiter von „zeitraubenden“ Routineaufgaben Einsatz der Mitarbeiter in spezifischen Aufgaben im Geschäftsfeld des eigenen Unternehmens Reduktion von Mitarbeitern und Erzielung von Cash-Effekten: Abgabe von Mitarbeitern an den IT-Outsourcing-Anbieter Kurzfristige Verbesserung der Liquidität durch Verkauf von Mitarbeitern und Unternehmens-IT Aufwertung der Aufgaben von Mitarbeitern: Mitarbeiter können von einigen »zeitraubenden« Routineaufgaben entlastet werden. Sie können stattdessen mit für das Geschäftsfeld des eigenen Unternehmens spezifischen Aufgaben betraut werden. Reduktion von Mitarbeitern und Erzielung von Cash-Effekten: Im klassischen IT-Outsourcing-Modell können zudem Mitarbeiter an den IT-Outsourcing-Anbieter abgegeben werden. Gleichzeitig kann ein Verkauf von Mitarbeitern und Unternehmens-IT (z.B. Server) eine kurzfristige Verbesserung der Liquidität bedeuten. Erstes Symposium für neue IT in Leipzig

Risiken Abhängigkeit vom ausgewählten IT-Outsourcing-Anbieter: Zuverlässigkeit des Anbieters Verlass auf Erbring der Leistungen und die Sorgfalt mit Unternehmensdaten Vendor-Lock-In Gefahr, dass Service nicht mehr von anderen Anbietern erbracht werden kann durch anbieterspezifische Technologien Risiko der „Erpressung“ durch IT-Outsourcing-Anbieter Keine Aufteilung der ausgelagerten Funktionen auf verschiedenen Anbieter möglich, aufgrund von „technologischer Unteilbarkeit“ Abhängigkeit vom ausgewählten IT-Outsourcing-Anbieter: Zuverlässigkeit des Anbieters: Das auslagernde Unternehmen ist darauf angewiesen, dass der Anbieter die versprochenen Leistungen zuverlässig erbringt und sorgfältig mit den ausgelagerten Unternehmensdaten umgeht. Zudem muss das Anwenderunternehmen z.B. darauf vertrauen, dass der Anbieter keine Geschäftsgeheimnisse weitergibt. Vendor-Lock-In: Durch eine Festlegung auf bestimmte anbieterspezifische Technologien kann die Gefahr entstehen, dass der Service nicht mehr durch andere Anbieter erbracht werden kann. In einer solchen Situation besteht das Risiko einer möglichen »Erpressung« durch den IT-Outsourcing-Anbieter. Ähnlich verhält es sich, wenn aufgrund von »technologischer Unteilbarkeit« die ausgelagerten Funktionen nicht auf verschiedene Anbieter aufgeteilt werden können, selbst wenn das ökonomisch sinnvoll wäre. VoErstes Symposium für neue IT in Leipzig

Risiken Ungewissheit über die rechtlichen Rahmenbedingungen: Komplexe Abhängigkeiten Rechtsprechung hängt der Marktpraxis hinterher Nachträgliche Gefahr für „Early-Adopters“  Akkumulieren von Ausgaben, ohne Erwirtschaftung von erhofften Nutzen Management der Outsourcing-Beziehung: Komplexe Koordination zwischen Anwender und IT-Outsourcing-Anbieter Mögliches Resultat: Nicht vorhergesehene Transitions- oder Managementkosten Organisatorische sowie finanzielle Problematik Langfristige Erwartung: Jeder IT-Manager besitzt entsprechendes Fachwissen Ungewissheit über die rechtlichen Rahmenbedingungen: Hier herrschen äußerst komplexe Abhängigkeiten. Teilweise können selbst Fachanwälte bestimmte Konstrukte nicht zuverlässig beurteilen , weil die Rechtsprechung der Marktpraxis hinterherhinkt. In solchen Fällen können Early-Adopters nachträglich »auf die Nase fallen« und erhebliche Ausgaben akkumulieren, ohne den erhofften Nutzen zu erwirtschaften. Management der Outsourcing-Beziehung: Die Koordination zwischen Anwender und IT-Outsourcing-Anbieter ist ein nicht zu unterschätzendes Unterfangen. Aber auch eine rein interne Steuerung eines Outsourcing-Projekts stellt ein unerfahrenes Management mitunter vor ernsthafte Probleme. Nicht selten resultieren daraus nicht vorhergesehene Transitions- oder Managementkosten, sodass sich die organisatorische Problematik auch auf der finanziellen Seite bemerkbar macht. Langfristig ist allerdings zu erwarten, dass entsprechendes Fachwissen zum Rüstzeug eines jeden IT-Managers gehören wird. Erstes Symposium für neue IT in Leipzig

Risiken Instabilität der Anforderungen: Problematik durch unklare Anforderungen oder der Möglichkeit zukünftiger Änderungen Risiko für den Erfolg des Projekts im Zusammenspiel mit Vendor-Lock-in und unflexiblen Verträgen Zwei wichtige Aspekte: Standardisierte Services  einfacher Wechsel eines CSPs Anbieter nicht bereit auf Sonderwünsche des Kunden einzugehen  Anbieterwechsel einzige Weg zur Erfüllung geänderter Anforderungen Instabilität der Anforderungen: Wenn die Anforderungen nicht klar sind oder die Möglichkeit zukünftiger Änderungen besteht, kann dies problematisch werden. Insbesondere im Zusammenspiel mit einem Vendor-Lock-in und unflexiblen Verträgen (u.a. entsprechenden SLAs) kann daraus ein signifikantes Risiko für den Erfolg eines Outsourcing-Projekts entstehen. Zwei wichtige Aspekte: Zum einen ist der Wechsel eines es CSPs grundsätzlich einfacher, da die Services oft standardisiert sind. Zum anderen ist jedoch ein CSP in der Regel nicht bereit, auf Sonderwünsche eines Kunden einzugehen, sodass ein Anbieterwechsel womöglich der einzig gangbare Weg zur Erfüllung der geänderten Anforderungen ist. Erstes Symposium für neue IT in Leipzig

Risiken Technologische Komplexität: Erhebliche technologische Komplexität durch Vorhandensein mehrerer Standorte eines Unternehmens, mehrerer Rechenzentren und diverser IT-Services Problematik bei Einbindung einfacher Services durch alte Schnittstellen und komplexe Legacy-Systeme Risikoerhöhung durch fehlende Erfahrung in IT-Abteilung Technologische Komplexität: Je mehr Parteien an einem IT-System beteiligt sind, desto komplexer wird erfahrungsgemäß die zugrunde liegende Technologie. Bei einem IT-Outsourcing kann die technologische Komplexität - je nach Anwendungsfall - erheblich sein, wenn mehrere Standorte eines Unternehmens, mehrere Rechenzentren eines Anbieters und diverse IT-Services unter einen Hut gebracht werden müssen. Auch die Einbindung vermeintlich einfacher Services kann durch alte Schnittstellen und komplexe Legacy-Systeme problematisch werden. Hinsichtlich neuer Cloud-Technologien ist das Risiko sogar deutlich erhöht, da die Mitarbeiter der IT-Abteilung anfangs nur über geringe bis gar keine Erfahrungen mit Cloud-Services verfügen. Erstes Symposium für neue IT in Leipzig

Risiken Know-how-Verlust: Durch Abgabe bestimmter IT-Funktionen und dem damit verbundenen Transfer des Personals zum Anbieter Maßnahmen: Fachwissen versuchen im Unternehmen zu behalten Bei Cloud-Sourcing: Know-how-Verlust in Themen IT-Infrastruktur und Serververwaltung Kulturelle Konflikte zwischen Anbieter und Anwender: Problematik bei umfangreichen Offshoring-Projekten Aufeinandertreffen unterschiedlicher Kulturen und Arbeitsmentalitäten Know-how-Verlust: Durch das Abgeben bestimmter IT-Funktionen an einen externen Anbieter verliert das Anwenderunternehmen entweder direkt (wenn Personal zum Anbieter transferiert wird) oder zumindest mit der Zeit das Know-how über die Bereitstellung dieser Funktionen. Je nach Relevanz dieses Risikos sollte also darauf geachtet werden, dass erwünschtes Fachwissen im Unternehmen verbleibt, während »unwichtiges« Know-how verschwinden darf. Bei einem Cloud-Sourcing betrifft der Know-how-Verlust vor allem Themen des IT-Infrastrukturbetriebs sowie der Serververwaltung. Kulturelle Konflikte zwischen Anbieter und Anwender: Besonders bei umfangreichen Offshoring-Projekten (also einem Outsourcing zu einem ausländischen Drittanbieter, oft aus dem asiatischen Raum) kommt es regelmäßig zu Problemen, weil unterschiedliche Kulturen und Arbeitsmentalitäten aufeinandertreffen. lErstes Symposium für neue IT in Leipzig

Chancen und Risiken eines IT-Fremdbezugs - Fazit IT-Outsourcing bietet attraktive Chancen für Einsparungen und zusätzliche Flexibilität Outsourcing bietet Gelegenheit gewachsene Strukturen in der eigenen IT-Abteilung neu zu konzeptionieren und zu konsolidieren Berücksichtigung nicht unbedeutender Risiken IT-Outsourcing ist mit Kosten verbunden Übergangsphase  Anstieg der Kosten um bis zu 10% Amortisierung im zweiten bis vierten Jahr Langfristige Kosteneinsparung um etwa 20% durch IT-Outsourcing im Vergleich zum Ursprungszustand Chancen und Risiken eines IT-Fremdbezugs - Fazit: Zusammenfassend lässt sich festhalten, dass ein IT-Outsourcing attraktive Chancen für Einsparungen und zusätzliche Flexibilität bietet. Oft ist ein Outsourcing auch eine willkommene Gelegenheit, gewachsene Strukturen in der eigenen IT-Abteilung neu zu konzeptionieren und zu konsolidieren. Dem stehen allerdings nicht unbedeutende Risiken gegenüber, die es zu berücksichtigen gilt. Auch wenn alle Problemfelder erfolgreich adressiert werden können, lässt sich festhalten: IT-Outsourcing kostet in jedem Fall erst einmal Geld. Während der Übergangsphase ist ein Anstieg der Kosten um rund 10 Prozent nicht abwegig, der sich im zweiten bis vierten Jahr langsam amortisiert. Langfristig rechnet man mit etwa 20 Prozent Kosteneinsparungen durch ein IT-Outsourcing im Vergleich zum Ursprungszustand. Erstes Symposium für neue IT in Leipzig

Kostenbetrachtungen zu Pay-per-Use (PPU) Korrelation der Kosten für die Cloud-Nutzung unmittelbar mit der tatsächlichen Ressourcennutzung Zeitweilig hoher Ressourcenverbrauch bedeutet höhere Kosten Kein Ressourcenverbrauch bedeutet keine Kosten Kosten für Service-Nutzung unabhängig sowohl von der Zeit der Anfrage als auch von der Menge der nachgefragten Ressourcen Pay-per-Use nicht identisch mit dem Konzept der Elastizität Kostenbetrachtungen zu Pay-per-Use (PPU): Wird dieser Ansatz in Reinform angewendet, so hat das zur Konsequenz, dass die Kosten für die Cloud-Nutzung unmittelbar mit der tatsächlichen Ressourcennutzung korrelieren. Benötigt der Nutzer zeitweilig sehr viele Ressourcen, so bezahlt er für diese Zeit höhere Gebühren. Werden in einem Zeitraum jedoch keine Ressourcen benutzt, so fallen auch keine Kosten an. Für die weiteren Analysen in diesem Abschnitt unterstellen wir zudem, dass die Kosten für eine Service-Nutzung unabhängig sind sowohl von der Zeit der Anfrage bzw. Nutzung als auch von der Menge der nachgefragten Ressourcen. Mithin ist klar, dass Pay-per-Use nicht identisch ist mit dem Konzept der Elastizität, also der unverzüglichen Anpassbarkeit der Ressourcenmenge, was wir im folgenden untersuchen wollen. Erstes Symposium für neue IT in Leipzig

Kostenbetrachtungen zu Pay-per-Use (PPU) Alternative zu PPU  Benutzung von Ressourcen aus einem Pool mit fester Kapazität variablen Kosten c beinhalten für die Benutzung einer Ressource aus dem fixen Pool alle relevanten Kosten Unterschied zwischen variablen Kosten bei fester Kapazität und im PPU-Fall  Utility-Premium (U) Variable Kosten für PPU-Ressource: 𝑈∗𝑐 Bsp.: 3€ pro GB bei PPU-Anbieter, feste Kapazität 2€ pro GB Aufschlag um bis zu 50%  𝑈=1,5= 3 2 Annahme: unverzügliche Befriedigung der Ressourcennachfrage Die für unsere Analyse relevante Alternative zur Verwendung von PPU-Ressourcen ist die Benutzung von Ressourcen aus einem Pool mit fester Kapazität, z. B. bereitgestellt im Serverraum des eigenen Unternehmens. Vereinfachend gehen wir davon aus, dass die variablen Kosten c für die Benutzung einer Ressource aus dem fixen Pool alle relevanten Kosten beinhalten. Der Unterschied zwischen den variablen Kosten bei fester Kapazität und im PPU-Fall wird als Utility-Premium bezeichnet und durch das Symbol U dargestellt. Die variablen Kosten für die PPU-Ressource sind somit U·c. Wenn ein PPU-Anbieter 3 €/GB berechnet, während eine Lösung mit fester Kapazität 2€/GB kosten würde, dann handelt es sich um einen Aufschlag von 50%, also U = 1,5 = 3/2. Schließlich nehmen wir an, dass die Nachfrage nach einer Ressource unverzüglich befriedigt werden muss. Erstes Symposium für neue IT in Leipzig

Kostenbetrachtungen zu Pay-per-Use (PPU) Keine Entkopplung der Nachfrage D vom Angebot R Zusammensetzung des Utility-Premium (U) aus diversen Einflussgrößen Verlagerung des Investitionsrisikos vom Nutzer zum PPU-Anbieter Übernahme der Kosten für Soft- und Hardware durch Anbieter Folge: effektiv nur so viel Ressourcen bezahlt, wie Nachfrage dies erfordert Cloud-Nutzer zahlt durchschnittliche Nachfrage 𝐷 Befriedigung der Nachfragespitzen durch gute Planung des Pools Bezahlung der maximalen Nachfrage D+ Präzisierung: 𝑈<1  PPU günstiger als Lösung mit fester Kapazität 𝑈=1  PPU-Services lohnen sich, sobald Nachfrage nicht nahezu konstant ist Anders als in einem Szenario mit Pufferspeichern oder Warteschlangen kann bei einem IT-Service in aller Regel die Nachfrage D nicht vom Angebot R entkoppelt werden; D wird außerdem als gegeben unterstellt. (Die Tabelle in der nächsten Folie zeigt die verwendeten Konzepte des PPU-Ansatzes) Das Utility-Premium U, also der Aufschlag für ein PPU-Preismodell, ist ein Faktor, der sich aus diversen Einflussgrößen zusammensetzt. Mit Einführung eines nutzungsabhängigen Preismodells verlagert sich z. B. das Investitionsrisiko größtenteils vom Nutzer zum PPU-Anbieter. Der Anbieter übernimmt die Kosten für die benötigte Soft- und Hardware sowie für die Rechenzentrumsinfrastruktur. Das Pay-per-Use-Prinzip hat im Allgemeinen zur Folge, dass effektiv nur ungefähr so viele Ressourcen bezahlt werden, wie es die Nachfrage erfordert. Somit bezahlt der Cloud-Nutzer, vereinfacht gesagt, die durchschnittliche Nachfrage D . Ein Pool mit fester Kapazität (z. B. im eigenen Rechenzentrum) wird üblicherweise so geplant, dass auch die erwarteten Nachfragespitzen, z.B. zum Quartalsende, befriedigt werden können. Somit muss in diesem Fall, wieder vereinfacht ausgedrückt, die maximale Nachfrage D+ bezahlt werden. Unter den getätigten Annahmen können wir diese Aussage noch präzisieren: U<1, dann sind PPU-Services in jedem Fall günstiger als eine Lösung mit fester Kapazität, da nun c >U.c gilt. Die Nachfrage sollte in diesem Fall komplett durch PPU-Ressourcen befriedigt werden. Ist U = 1, dann lohnen sich PPU-Services, sobald die Nachfrage nicht nahezu konstant ist. Erstes Symposium für neue IT in Leipzig

Kostenbetrachtungen zu Pay-per-Use (PPU): Erstes Symposium für neue IT in Leipzig

Kostenbetrachtungen zu Pay-per-Use (PPU) 1<𝑈< 𝐷 + 𝐷  PPU-Services lohnen sich Bsp.: Doppelter Ressourcenverbrauch in Spitzenzeiten im Vergleich zum Durchschnitt  PPU-Dienst günstiger, sobald Stückkosten weniger als 200% der internen Kosten Nachfragespitze kurz  hybride Lösung von Vorteil (Anwendung eines Pools mit fester Kapazität und PPU-Ressourcen) relative Dauer der Perioden mit einer positiven Nachfrage lang genug  hybride Lösung günstiger als reine PPU-Lösung Achtung: Bei allen genannten Regeln handelt sich lediglich um Faustregeln. Kostenbetrachtungen zu Pay-per-Use (PPU): Unter den getätigten Annahmen können wir diese Aussage noch präzisieren: Gilt 1<U<D+/D , ist also U kleiner als das Verhältnis von Nachfragespitze zur mittleren Nachfrage, dann lohnen sich PPU-Services noch immer. Wenn z. B. in Spitzenzeiten doppelt so viele Ressourcen benötigt werden wie im Jahresmittel, so ist der PPU-Dienst günstiger, sobald seine Stück kosten weniger als 200 Prozent d er internen Kosten betragen. (Intuitiv lässt sich das anhand der gewonnenen Flexibilität der Abrechnung nachvollziehen: Solange die PPU-Ressourcen nicht »zu teuer« sind, werden die zusätzlichen Ausgaben für das Utility-Premium durch die in Perioden mit niedriger Nachfrage eingesparten Kosten überkompensiert.) Ist die relative Dauer der Nachfragespitzen kurz genug, dann lohnt sich eine hybride Lösung, also eine Lösung, bei der sowohl ein Pool mit fester Kapazität als auch PPU-Ressourcen zur Anwendung kommen. Ist die relative Dauer der Perioden mit einer positiven Nachfrage lang genug, dann ist eine hybride Lösung günstiger als eine reine PPU-Lösung. (Insbesondere die letzten beiden Ergebnisse machen in Kombination deutlich, dass im Regelfal1 eine hybride Lösung sinnvoll sein dürfte.) Achtung: Überhaupt ist bei allen genannten Regeln zu beachten, dass es sich lediglich um Faustregeln handelt. VErstes Symposium für neue IT in Leipzig

Kostenbetrachtungen zur Elastizität Elastizität erlaubt Erhalt gewünschter Menge an Cloud-Ressourcen on-Demand Grundsatz: Übereinstimmung von Ressourcenangebot und –nachfrage Sonst zusätzliche Kosten Problem: technisch oft nicht realisierbar Vorteil aus direkten Befriedigung der Nachfrage: Nutzerzufriedenheit: Erwartungshaltung des Nutzers: „sofortige Belohnung“ durch unverzügliches Erbringen der Dienstleistung Cloud-Service mit Wartezeit oft nicht sinnvoll: Bsp.: Wenn Autovervoll-ständigung von Suchbegriffen durch AJAX-Funktion nicht in Echtzeit Unverzügliche Antworten eröffnen neue Möglichkeiten für Prozesse im Unternehmen: Bsp.: Live-Preview neu animierter Frames bietet Grafikdesigner neue Möglichkeiten Kostenbetrachtungen zur Elastizität: Neben einem Pay-per-Use-Preismodell zeichnen sich Cloud-Services durch ihre Elastizität aus, die es erlaubt, genau die gewünschte Menge an Cloud-Ressourcen on-Demand, also im Moment des Bedarfs, zu erhalten. Grundsätzlich gilt für alle Unternehmen: Ressourcenangebot und -nachfrage müssen übereinstimmen, sonst entstehen zusätzliche Kosten aus dieser Inkongruenz. In der Cloud ist dies zum einen technologisch oft nicht machbar, zum anderen ergeben sich aber auch Vorteile aus einer direkten Befriedigung der Nachfrage, die man nicht verlieren möchte, insbesondere die folgenden: Nutzer gehen mit der Erwartungshaltung einer »sofortigen Belohnung« an Cloud-Dienste heran: Sie erwarten, dass die Dienstleistung unverzüglich erbracht wird, z. B. eine Freischaltung für die Nutzung einer SaaS direkt erfolgt. Viele Cloud-Services ergeben mit Wartezeit keinen Sinn: Eine AJAX-Funktion zur Autovervollständigung von Such begriffen muss bspw. innerhalb von wenigen hundert Millisekunden antworten, sonst verliert sie ihren Nutzen. Eine unverzügliche Antwort eröffnet neue Möglichkeiten für Prozesse im Unternehmen: Ein Live-Preview der neu animierten Frames eröffn et einem Grafikdesigner, der an einem Animationsfilm arbeitet, bspw. ganz andere Möglichkeiten als ein Batchlauf des Renderings über Nacht. Erstes Symposium für neue IT in Leipzig

Kostenbetrachtungen zur Elastizität zeitlicher Horizont für zuverlässige Prognose der Nachfrage > Vorlaufzeit um Ressourcenbedarf anzupassen ohne On-Demand-Lösung optimale Abstimmung von 𝑅 𝑡 =𝐷(𝑡) Zuverlässige Prognose in unternehmerischer Wirklichkeit nicht möglich Bsp. für Einflussfaktoren der Nachfrage: unvorhersehbare Marktereignisse, überraschender Produkterfolg, Naturkatastrophen, … Ermöglichung neuer Geschäftsabläufe und kürze Reaktionszeiten durch Dynamik der Elastizität Weitere Vorteile in Bezug auf Bearbeitungsgeschwindigkeit Prüfung des Einsatzes von Cloud-Services für konkrete Problemstellung unerlässlich ACHTUNG: Realisierung nur möglich mit Verfolgung und Umsetzung einer stringenter Cloud-Strategie Ist der zeitliche Horizont, mit dem eine zuverlässige Prognose von der Nachfrage erstell t werden kann, länger als die Vorlaufzeit, um das Ressourcenangebot anzupassen, so kann bereits ohne eine On-Demand- Lösung eine optimale Abstimmung von R(t) = D(t) erfolgen. In der unternehmerischen Wirklichkeit zeigt sich, dass ein e zuverlässige Prognose der Nachfrage in den seltensten Fällen möglich ist. Unvorhersehbare Marktereignisse, überraschender Produkterfolg, Naturkatastrophen, Veränderungen des politischen Klimas und saisonale Schwankungen sind nur einige Beispiele für Einflussfaktoren, die in Summe nur relativ ungenaue Prognosen der Nachfrage zulassen. Neben dieser nachfrageorientierten Sicht gibt es aber auch weitere gute Gründe für den Einsatz elastischer Cloud-Services: Ihre Dynamik ermöglicht neue Geschäftsabläufe und kürzere Reaktionszeiten. Elastizität bietet zudem Vorteile in Bezug auf die Bearbeitungsgeschwindigkeit einer Aufgabe. Ist ein Problem (bspw. eine Massendatenverarbeitung) gut parallelisierbar, so kann es auf eine große Zahl von Knoten verteilt werden. Bevor man sich vom Cloud-Hype mitreißen lässt, ist sachlich abzuwägen, ob sich der Einsatz von Cloud-Services für die konkrete Problemstellung lohnt. Achtung: Diese von CSP viel beworbenen Vorteile von Cloud-Services werden in der Praxis aber nur dann zu realisieren sein, wenn eine stringente Cloud-Strategie verfolgt und umgesetzt wird. VErstes Symposium für neue IT in Leipzig

Der Chief Cloud Officer – CCO
CCO = Querschnittsrolle mit Aufgaben eines CIOs (Chief Information Officer) und eines Controllers Chief Cloud Officer Cloud-Strategie Cloud-Controlling Cloud-Sicherheits- management Demand-Management Supplier Relationship- Management Sind bereits IT-Outsourcing-Prozesse im Unternehmen installiert, so muss für eine Verwaltung von Cloud-Diensten nur eine Erweiterung stattfinden. Aus heutiger Sicht ist die Entwicklung hin zu einem umfassenden Einsatz von Cloud-Services im Unternehmen nicht aufzuhalten. Diese wachsende Wichtigkeit wird im vorliegenden Buch bereits durch die Rolle des "Chief Cloud Officers« (CCO) gewürdigt, unter der alle Aufgaben, die aus einem Cloud-Sourcing entstehen, zusammengefasst werden. Der CCO kann grob verstanden werden als eine »Querschnittsrolle «, die Aufgaben ein es CIOs (Chief Information Officers) mit denen eines Controllers kombiniert. Erstes Symposium für neue IT in Leipzig

Organisatorische Aspekte eines Fremdbezugs Einbindung aller Verantwortlichen Frühzeitige Einbindung aller Entscheidungsträger in das Projekt Motivation und Information der betroffenen Mitarbeiter Betroffene Mitarbeiter für Projekt gewinnen „faire“ Wahrnehmung des Prozesses Vertragsgestaltung Sicherstellung des vollständigen Verständnisses eigener IT-Funktionen Rechtsbeistand bei Vertragsgestaltung der konkreten Outsourcing-Verträge notwendig Organisatorische Aspekte eines Fremdbezugs: Einbindung aller Verantwortlichen: Der wichtigste Schritt bei einem Outsourcing-Projekt ist die frühzeitige Einbindung aller betroffenen Entscheidungsträger. Natürlich wird die Unternehmensleitung eingebunden, da sie letztendlich die Entscheidung für oder gegen das konkrete IT-Outsourcing-Projekt trifft. Auch die Einbindung der IT-Verantwortlichen und der IT-Mitarbeiter ist naheliegend. Motivation und Information der betroffenen Mitarbeiter: Neben den Entscheidungsträgern gilt es vor allem, die betroffenen Mitarbeiter für das Projekt zu gewinnen. Der Prozess sollte als so »fair« wie möglich wahrgenommen werden, damit die Motivation des Einzelnen nicht leidet. Vertragsgestaltung: Bereits vor der eigentlichen Vertragsverhandlung muss sichergestellt sein, dass alle eigenen IT-Funktionen, insbesondere die auszulagernden, vollständig verstanden werden. Bei der Gestaltung der konkreten Outsourcing-Verträge muss ein Unternehmen spezialisierten Rechtsbeistand zu Hilfe nehmen. Für KMU bedeutet dies in der Regel das Zurückgreifen auf einen externen Fachanwalt für IT-Outsourcing. Aktuelle Forschung (2012) deutet darauf hin, dass Verträge eher auf kürzere Zeitspannen, d. h. bis zu drei Jahren, ausgelegt werden sollten. Erstes Symposium für neue IT in Leipzig

Organisatorische Aspekte eines Fremdbezugs Aufbau eines internen Outsourcing-Managements Internes Demand-Management – Bündelung der Nachfrage und der Anliegen des eigenen Unternehmen gegenüber dem Provider Supplier-Relationship-Management Vertragsüberwachungen – Sicherstellung der Erbringung vereinbarter Leistungen Vertragsförderung – Harmonisierung der Erwartungen und Veränderungen Anbieterentwicklung – Identifikation von Potenzialen über den eigentlichen Vertrag hinaus Aufbau eines internen Outsourcing-Managements: Zum einen muss ein internes Demand-Management aufgebaut werden, um die Nachfrage und die Anliegen des eigenen Unternehmens gegenüber den Providern zu bündeln. Zum anderen muss nach außen hin ein Supplier-Relationship-Management (SRM) installiert werden, das sich - ähnlich einem Customer-Relationship-Management für Kunden - um die Pflege der Beziehungen zu den IT-Outsourcing-Providern kümmert. Dazu gehören Vertragsüberwachung (Sicherstellen der Erbringung aller vereinbarten Leistungen), Vertragsförderung (Harmonisierung der Erwartungen und Veränderungen) sowie Anbieterentwicklung (Identifikation von Potenzialen über den eigentlichen Vertrag hinaus). Erstes Symposium für neue IT in Leipzig

Organisatorische Aspekte eines Fremdbezugs Cloud-Controlling Teilfunktion des IT-Controllings Überwachung aller Cloud-Services und Cloud-Service-Provider Enthält Funktionen der Cloud-Strategie und Cloud-Sicherheitsmangement Überwachung mit Cloud-Monitoring-Lösung Demand-Management Bündelung interner Nachfrage des eigenen Unternehmens Abschätzung der zukünftigen Bedarfe an Cloud-Ressourcen auf fachlicher Ebene Mit Hilfe von Prognosemodellen (Nutzerverhaltensanalyse) Cloud-Controlling: Hierbei handelt es sich im Prinzip um eine Teilfunktion des IT-Controllings, welche alle Cloud-Services und Cloud-Service-Provider eines Unternehmens überwacht. Hinzu kommen allerdings die oben genannten Aufgaben zur Cloud-Strategie und zum Cloud-Sicherheitsmanagement sowie neue Ansätze bzw. Methoden, die den Besonderheiten von Cloud-Services Rechnung tragen. Das Cloud-Controlling arbeitet eng verzahnt mit dem generellen IT-Controlling. Parallel dazu werden die tatsächliche Nutzung und die resultierenden Gebühren für alle Cloud-Services mit einer passenden Cloud-Monitoring-Lösung überwacht. Mit Hilfe der Plan- und Ist-Daten kann schließlich die Wirtschaftlichkeit der eingesetzten Cloud-Services beurteilt werden. Demand-Management: Dieses dient zuvorderst der Bündelung interner Nachfrage des eigenen Unternehmens. In Zusammenarbeit mit den Anwendern bzw. Fachabteilungen werden die zukünftigen Bedarfe an Cloud·Ressourcen abgeschätzt. Dies geschieht auf einer fachlichen Ebene, z. B. durch die Anzahl an benötigten Benutzeraccounts, der geschätzten Anzahl an Transaktionen oder anderen angemessenen Größen. Die Schätzung der Bedarfe erfolgt mit Hilfe von Prognosemodellen, die u. a. über eine Analyse des Nutzungsverhaltens und Rückmeldungen aus dem Cloud-Controlling regelmäßig verfeinert bzw. angepasst werden müssen. Erstes Symposium für neue IT in Leipzig

Organisatorische Aspekte eines Fremdbezugs Supplier-Relationship-Management Gegenstück zum Demand-Management in Richtung Cloud-Anbieter Für CSP alleiniger Ansprechpartner Einheitliches Auftreten eines Unternehmens über eine Schnittstelle gegenüber allen Cloud-Anbietern Vermeidung doppelter Anfragen, widersprüchlicher Informationen und des „Stille-Post-Effekts“ Kernaufgabe: Auswahl passender Cloud-Service-Provider und passender Cloud-Services Supplier-Relationship-Management: Das Supplier·Relatiollship-Mallagemellt (SRM) ist das Gegenstück zum Demand-Management in Richtung Cloud-Anbieter und steht den CSP als alleiniger, kompetenter Ansprechpartner zur Verfügung. Durch die Abwicklung aller Anbieterkontakte über diese Schnittstelle präsentiert ein Unternehmen sich mit einheitlichem Auftreten gegenüber allen Cloud-Anbietern. Das vermeidet u.a. doppelte Anfragen, widersprüchliche Informationen und »Stille-Post-Effekte«. Eine Kernaufgabe des SRM ist die Auswahl passender Cloud-Service-Provider und passender Cloud-Services. Erstes Symposium für neue IT in Leipzig

Zusammenfassende Betrachtung
Bereitstellung im eigenen Rechenzentrum Cloud-Sourcing Klassisches IT-Outsourcing Einmalige Vorabkosten, die sich aus notwendigen Vorbereitungen ergeben Auswahl, Kauf, Lizensierung, Installation, Customizing von Hard-/Software Ggf. Erweiterung RZ-Infrastruktur Initiale Datenmigration Integration mit internen Systemen Tests Schulungen der Mitarbeiter Serviceidentifikation Anbieterauswahl Ggf. Vorbereitung 1. Outsourcing Anpassung interner Systeme (Integration) Abgrenzung ITO-Umfang Installation, Konfiguration, Customizing begleiten Initiale Datenmigration begleiten Im Folgenden fassen wir die besprochenen Kostenfaktoren noch einmal zusammen und stellen die jeweils relevanten Faktoren für ein Cloud-Sourcing, eine klassische IT-Outsourcing-Lösung und die Bereitstellung im eigenen Rechenzentrum gegenüber. Die Faktoren gliedern sich dabei in drei Kostenkategorien: einmalige Vorabkosten, die sich aus notwendigen Vorbereitungen ergeben, periodische Kosten, die (abhängig oder unabhängig von einer tatsächlichen Nutzung) während des Betriebs entstehen, sowie kalkulatorische Kosten, die sich aus den verschiedenen Risiken der jeweiligen Szenarien ergeben. Relevante Kostenfaktoren für Bereitstellung im eigenen Rechenzentrum, Cloud-Sourcing und klassisches IT-Outsourcing im Vergleich (Teil1) Erstes Symposium für neue IT in Leipzig

Bereitstellung im eigenen Rechenzentrum Cloud-Sourcing Klassisches IT-Outsourcing Periodische Kosten Abhängig Effektiv keine PPU-Gebühren Bandbreite Unabhängig von Nutzung IT-Controlling Wartung Hard-/ Software RZ-Infrastruktur IT-Personal Support Ggf. Bandbreite Rücklagen für regelmäßige Upgrades Ggf. Abo-Gebühren CCO-Kosten Wartung interner Schnittstellen Ggf. Verbindungskosten (VPN) Mitarbeiter-Support ITO-Gebühren Bandbreite + Verbindungskosten (VPN) ITO-Controlling Support-Leistungen des ITO-Anbieters Relevante Kostenfaktoren für Bereitstellung im eigenen Rechenzentrum, Cloud-Sourcing und klassisches IT-Outsourcing im Vergleich (Teil2) Erstes Symposium für neue IT in Leipzig

Bereitstellung im eigenen Rechenzentrum Cloud-Sourcing Klassisches IT-Outsourcing Risiko Kosten durch Ausfälle Cloud-Risiken IT-Outsourcing-Risiken Vorabkosten: starke Ähnlichkeit zwischen Cloud-Lösung und klassisches IT-Outsourcing ABER: Anpassungen und Setup-Schritt beim Cloud-Sourcing durch Anbieter Periodische Kosten: Unterscheidung in abhängig von tatsächlicher Nutzung und unabhängig von Systemnutzung Kalkulatorische Risiken: Kosten für Systemausfälle in jedem Fall vorhanden Relevante Kostenfaktoren für Bereitstellung im eigenen Rechenzentrum, Cloud-Sourcing und klassisches IT-Outsourcing im Vergleich (Teil3) Im Bereich der einmaligen Vorabkosten zeigt sich eine starke Ähnlichkeit zwischen einer Cloud-Lösung und einem klassischen IT-Outsourcing. Allerdings werden bei einem IT-Outsourcing Installation, Konfiguration sowie sämtliche weiteren Anpassungen und Setup-Schritte durch den Anbieter erledigt, sodass ein Anwenderunternehmen diese Schritte lediglich begleiten muss, anstatt sie selbst auszuführen. Die periodisch anfallenden Kosten können unterschieden werden in solche, die abhängig von einer tatsächlichen Nutzung anfallen, und solche, die in ihrer Höhe unabhängig von der Systemnutzung sind. In Bezug auf das kalkulatorische Risiko der jeweiligen Lösung zeigt sich, dass Kosten für Systemausfälle in jedem Fall eine Rolle spielen. Erstes Symposium für neue IT in Leipzig

Zusammenfassende Betrachtung der Sourcing-Modelle
Relevante Kostenfaktoren für Bereitstellung im eigenen Rechenzentrum, Cloud-Sourcing und klassisches IT-Outsourcing im Vergleich (Teil1) Erstes Symposium für neue IT in Leipzig

Zusammenfassende Betrachtung der Sourcing-Modelle
Relevante Kostenfaktoren für Bereitstellung im eigenen Rechenzentrum, Cloud-Sourcing und klassisches IT-Outsourcing im Vergleich (Teil 2) Erstes Symposium für neue IT in Leipzig

Relevante beeinflussende Treiber Spezifität des Services bzw. des Systems Standardisierte Services mit niedriger Spezifität, maßgeschneiderte Lösungen mit hoher Spezifität Integrationsgrad des Services bzw. des Systems Intensität der „Zusammenarbeit“ mit anderen Systemen Unsicherheit In Bezug auf den Anbieter oder auf Lock-in-Effekte Bedarf an hoher Dienstgüte Anspruchsvolle SLAs, die Abweichungen von der Standardqualität eines Anbieters darstellen Die genannten Kostenfaktoren werden durch verschiedene Treiber beeinflusst. Die sechs relevantesten Treiber sind: die Spezifität des Services bzw. des Systems, also der Grad der Individualisierung: Standardisierte Services haben eine niedrige Spezifität, während maßgeschneiderte Lösungen eine hohe Spezifität aufweisen; der Integrationsgrad des Service bzw. des Systems, also die Intensität der »Zusammenarbeit« mit anderen Systemen; die mit der Nutzung verbundene Unsicherheit, bspw. in Bezug auf den Anbieter oder auf Lock·in-Effekte; der möglicherweise vorhandene Bedarf nach hoher Dienstgüte, d. h. anspruchsvollen SLAs, die Abweichungen von der Standardqualität eines Anbieters darstellen; Erstes Symposium für neue IT in Leipzig

Relevante beeinflussende Treiber Standortspezifität Abhängigkeit von bestimmter geografischer Konstellation Langsamere Datenverbindungen Erhöhte Gebühren Häufigkeit der Nutzung Auswirkung auf Verhältnis von festen zu variablen Kostenfaktoren Häufige Nutzung senkt relative Bedeutung der Fixkosten und steigert variable Kosten Die genannten Kostenfaktoren werden durch verschiedene Treiber beeinflusst. Die sechs relevantesten Treiber sind: die Standortspezifität, also die Abhängigkeit von einer bestimmten geografischen Konstellation, was sich u. a. in langsameren Datenverbindungen oder erhöhten Gebühren niederschlagen kann; sowie die Häufigkeit der Nutzung, die sich vor allem auf das Verhältnis von festen zu variablen Kostenfaktoren auswirkt, da eine häufige Nutzung die relative Bedeutung der Fixkosten senkt und die der variablen Kosten steigert. (Tendenziell sollten also besonders häufig genutzte Services oder Systeme besser im eigenen Rechenzentrum angesiedelt werden.) Die Auswirkungen der Treiber für jedes der drei Sourcing-Modelle sind im Einzelnen in Tabelle (schaue die nächste Folie) zusammengestellt. Erstes Symposium für neue IT in Leipzig

Auswirkungen der Treiber Bereitstellung im eigenen Rechenzentrum Cloud-Sourcing Klassisches IT-Outsourcing Spezifität Positive Korrelation mit Kosten aus allen drei Kategorien; treibt insbesondere Kosten für Anbietersuche und Risiko durch Lock-in in die Höhe Integrations-grad Positive Korrelation mit Kosten aus allen drei Kategorien; treibt insbesondere Kosten für Anpassungen der internen Systeme und Risiko durch Lock-in in die Höhe Unsicherheit Meist vernachlässigbar Steigert die Kosten für Anbieterauswahl, Monitoring, Risiko Erstes Symposium für neue IT in Leipzig

Auswirkungen der Treiber Bereitstellung im eigenen Rechenzentrum Cloud-Sourcing Klassisches IT-Outsourcing Hohe Dienstgüte (SLAs) Steigert die Kosten für RZ-Infrastruktur und Betrieb Erhöht die PPU-Gebühr Erhöht die periodische Nutzungsgebühr Standort-spezifität Abhängig vom konkreten Szenario Erhöht ggf. Kosten für übertragene Daten und ggf. Kosten für geografische Einschränkungen Häufigkeit der Nutzung Senkt die effektiven Kosten pro Nutzung einer Ressource Steigert die relative Wichtigkeit des variablen Anteils Abhängig vom ausgehandelten Vertrag Erstes Symposium für neue IT in Leipzig

Erstes Symposium für neue IT in Leipzig

Literaturangaben Erstes Symposium für neue IT in Leipzig

Literaturangaben Gottfried Vossen, Till Haselmann, Thomas Hoeren: „Cloud Computing für Unternehmen“, dPunkt Verlag 2012. Thomas Erl, Zaigham Mahmoof, Ricardo Puttini: „Cloud Computing, Concepts, Technology & Architecture“, Prentice Hall 2013 Vorlesung IE I; Modul Integration und Architektur von Informationssystemen

Dankeschön Erstes Symposium für neue IT in Leipzig

Erstes Symposium für neue IT in Leipzig

Ähnliche Präsentationen

Präsentation zum Thema: "Erstes Symposium für neue IT in Leipzig"— Präsentation transkript:

Ähnliche Präsentationen

Über Projekt

Feedback

Anmelden

Anmeldung über soziales Netzwerk:

Erstes Symposium für neue IT in Leipzig

Ähnliche Präsentationen

Präsentation zum Thema: "Erstes Symposium für neue IT in Leipzig"— Präsentation transkript:

Ähnliche Präsentationen

Über Projekt

Feedback