Ein Vergleich zwischen traditionellem Outsourcing und Public Cloud – eine Infrastruktur-Fallstudie und ein Benchmark-Bericht

Zusammenfassung
Bei großen internationalen Unternehmen besteht ein anhaltender Trend zur Konsolidierung und Auslagerung von IT-Infrastruktur-Services an interne und/oder externe Dienstleister, um von Skaleneffekten, Standardisierung und Flexibilität bei ihren IT-Services zu profitieren. Obwohl die Vorteile auf der Hand liegen, scheitert in etwa 15 bis 20 % dieser IT-Konsolidierungs- und Outsourcing-Fälle die globale Transformation. Gründe dafür sind vor allem fehlende Managementprozesse, Unterschätzung der Projektkomplexität und der individuellen Anwendungsanforderungen sowie fehlende zentrale Governance-Strukturen. Der Heilige Gral des IT-Outsourcings, der heute von fast allen Dienstleistern versprochen wird, ist der Bezug von IT-Services aus der Public Cloud mit enormen Skaleneffekten, verbunden mit einer starren Standardisierung der Services. Im Vergleich zum traditionellen Outsourcing bestimmt hier der Kunde die Geschwindigkeit und den Umfang der Standardisierung sowie das Transformationsrisiko.
In diesem Beitrag werden die Möglichkeiten des Übergangs von einem traditionellen IT-Infrastruktur-Outsourcing (in der Regel eine private Cloud-Umgebung) zu vollständigen Public-Cloud-Services analysiert. Die in dieser Studie betrachteten Public Cloud Servics werden von Amazon, Google und Microsoft bereitgestellt. Die Analyse basiert auf einem repräsentativen Kunden-Outsourcing-Beispiel, der Lösungskonzepte vergleicht und ein Benchmarking der verschiedenen Services und Preise ermöglicht. Darüber hinaus werden rechtliche und Compliance-Fragen sowie Schlüsselfragen der Serviceintegration für traditionelles und Public-Cloud-Outsourcing erörtert.

Inhalt
1. Einführung & Ansatz
2. Traditionelles Outsourcing & führende Public Cloud Services
2.1. Ein traditioneller Outsourcing Use Case
2.2. Service Mapping & Benchmarking-Ansatz
2.3. Amazon Web Services
2.4. Microsoft Azure
2.5. Google Cloud
3. Bewertungsergebnisse
3.1. Kongruenz der Services
3.2. Commercials
3.3. Rechtliches & Compliance
3.4. Service Integration
4. Ergebnisse

1. Einleitung & Ansatz
Die Überlegung, Cloud Computing zu nutzen, ist derzeit wesentlicher Bestandteil der meisten Diskussionen in den IT-Abteilungen und auch in den Unternehmen. Da die Agilität der Unternehmen heutzutage immer weiter zunimmt, sind die IT-Abteilungen der Unternehmen mit höheren Anforderungen an Flexibilität, Kosteneffizienz und immer neuen Anforderungen in einer kürzeren Time-to-Market konfrontiert. Amazon, Microsoft und Google investieren massiv in den Ausbau ihres Cloud-Services-Portfolios und greifen damit traditionelle IT-Outsourcing-Unternehmen wie IBM, HPE/CSC, Atos, T-Systems oder die indischen Service Provider an. Diese wiederum steigen in den Kampf um Unternehmenskunden ein, indem sie ihre Rechenzentrumskapazitäten wieder aufbauen, neue Services anbieten und neue Allianzen eingehen.

Während anfangs vor allem Start-ups als frühe Anwender der Public Cloud die Führung übernahmen, nutzt heute eine zunehmende Zahl etablierter Großunternehmen Cloud Services, wobei die Nachfrage direkt aus den Geschäftsbereichen kommt. Public Cloud Services sind zu einer ernstzunehmenden Ergänzung zu herkömmlichen Cloud-Services und On-Premise Lösungen geworden. Cloud Computing verändert die Art und Weise, wie IT Services wahrgenommen und in Anspruch genommen werden, denn es verspricht eine höhere Flexibilität, Agilität und Skalierbarkeit in Verbindung mit geringeren Investitionsausgaben (CAPEX) durch ein Abrechnungsverfahren nach dem Pay-as-you-go-Prinzip. Ein wesentlicher Hebeleffekt ergibt sich aus der gemeinsamen Nutzung von IT-Infrastrukturen im Gegensatz zu dedizierten und privaten Infrastrukturen, die in Spitzenzeiten auf maximale Kapazität ausgelegt sind. Dieser Ansatz und das Angebot standardisierter Services ermöglichen eine Senkung der Total Costs of Ownership“ (TCO) und eine bessere Time-to-Market mit elastischen IT-Services. Durch die Weitergabe der Kosteneinsparungen an die Kunden in Form einer kontinuierlichen Preissenkung begannen die Cloud-Anbieter den so genannten Preiskampf „Race to Zero“. In der Folge sind einige von Cloud-Anbietern angebotene Services kostenlos oder werden z. B. mit „unbegrenztem“ Speicherplatz angeboten.
Aber auch die traditionellen Outsourcing-Anbieter beteiligen sich an diesem Kampf um Marktanteile und stellen sich dem Wettbewerb. Angetrieben durch technische Innovationen sind die Preise der traditionellen Outsourcing-Anbieter für Standard Services wie Managed Storage in den letzten Jahren deutlich gesunken. Mit neu gebildeten Allianzen bauen die traditionellen Outsourcing-Anbieter ihre eigene Public Cloud mit derzeit begrenzter Marktabdeckung auf und/oder schließen Allianzen mit Anbietern von Public Clouds.
Schließlich positionieren sich diese Anbieter als Full-Service-Provider, die von individuellen bis hin zu Commodity-Services mit einer End-to-End-Serviceverantwortung reichen.
Das traditionelle Outsourcing umfasst die Verlagerung der gesamten technischen und betrieblichen Verantwortung von einer internen IT-Organisation zu einem externen Dienstleister, implementiert als Private Cloud oder als dedizierte Umgebung. Aufgrund langfristiger vertraglicher Bindungen sowie anderer recht strenger kommerzieller Bedingungen (z. B. Mindestvolumina/Umsatzverpflichtungen) können herkömmliche Dienstleister in puncto Flexibilität nicht mit Public Cloud-Anbietern konkurrieren. Andererseits werden beim traditionellen Outsourcing im Gegensatz zur Nutzung von Public-Cloud-Services kundenrechtliche Anforderungen hinsichtlich spezifischer Industriestandards, Governance-Modelle, Disaster-Recovery-Konzepte und einzelner zu integrierender Services berücksichtigt. Die Anbieter stellen eine durchgängige Servicequalität durch die Implementierung umfassender Service-Management-Prozesse einschließlich des Anwendungsbetriebs sicher. Typischerweise enthalten traditionelle Outsourcing-Angebote Klauseln, die den Übergang von Personal, Assets und Drittverträgen (z.B. Lizenzen) sowie die Transformation in eine zukünftige Betriebsart regeln. Weder dies noch eine individuelle End-to-End-Servicequalität ist Bestandteil von Public-Cloud-Angeboten.

Die Ermittlung des besten Cloud-Angebots ist eine ziemliche Herausforderung, da sich die Service-Angebote in Bezug auf Service-Design und -Struktur, Qualität und Leistung sowie in Bezug auf Preismodelle und Geschäftsbedingungen stark unterscheiden. Häufig wird eine alleinige Analyse einzelner Serviceelemente angeboten. Dies ist jedoch irreführend, da viele Aspekte wie fehlende Servicekomponenten, Serviceintegration sowie rechtliche und Compliance-Anforderungen aus Sicht des Kunden ebenfalls berücksichtigt werden müssen. Daher ist es notwendig, eine TCO-Analyse für einen umfassenden Kundenfall durchzuführen, um einen Vergleich von „Äpfeln zu Äpfeln“ zu erhalten.
In den folgenden Kapiteln wird ein Kunden-Outsourcing-Fall und dessen vergleichbare Migration in die drei Public Cloud-Umgebungen Amazon Web Services, Microsoft Azure und Google Cloud beschrieben. Dabei werden die Machbarkeit, die kommerziellen Vorteile sowie rechtliche, Compliance- und Service-Integrationsfragen angesprochen.

2. Traditionelles Outsourcing und führende Public Cloud Services
2.1 Ein traditioneller Outsourcing-Anwendungsfall
Navisco verfügt über mehr als 15 Jahre Erfahrung in der Entwicklung und Gestaltung von Sourcing-Strategien und deren Umsetzung in Lösungen mit externen oder internen Dienstleistern auf der Grundlage eines standardisierten IT-Service- und Vertragsmodells („NORM“) für IT-Infrastruktur- und Anwendungsdienste. Zu Vergleichszwecken wurde ein traditioneller Kunden-Outsourcing-Vertrag auf der Grundlage des Navisco-Modells (NORM) ausgewählt.
Im Folgenden wird ein Bottom-up-Ansatz angewandt, um bestehende Unternehmenssysteme (Legacy) und -anwendungen in die Public Cloud zu verlagern. Sehr häufig wird ein Top-down-Transformationsansatz durchgeführt. Dieses Vorgehen empfiehlt sich für Innovatoren, bei denen das Potenzial von Cloud-Diensten durch die Definition eines neuen Anwendungsfalls freigesetzt wird. Für die Transformation bestehender Umgebungen und Anwendungsfälle ist jedoch der Bottom-up-Ansatz besser geeignet.
Der angewandte Anwendungsfall umfasst einen repräsentativen Outsourcing-Vertrag für ein kleines Kunden-Rechenzentrum mit hohen Korrelationen zu Public-Cloud-Infrastrukturdiensten. In der folgenden Abbildung sind die Dienste und Volumina des Anwendungsfalls beschrieben. Der Applikations-, Datenbank- und Middleware-Betrieb als Managed Services auf Basis von SLAs wird bisher in keinem der Public Cloud-Angebote von Amazon, Google und Microsoft angeboten.

Der Anwendungsfall umfasst den Serverbetrieb von virtuellen Maschinen (VMs), Storage und Backup, Terminal- und Maildienste, Unified Communication, VPN-Infrastruktur, Firewalls, Load Balancer sowie eine dedizierte Rechenzentrumsanbindung. Der Applikationsbetrieb sowie das Datenbankmanagement sind in diesem Anwendungsfall ausgeschlossen, da deren Kosten hauptsächlich durch individuelle Personalressourcen getrieben werden. Zudem werden solche Services derzeit von keinem der untersuchten Cloud-Anbieter angeboten. Die VMs werden konsequent für Kundenanwendungen genutzt und das Speichersystem ist für die Speicherung von Mail-, File-, Druck-, Datenbank- und Anwendungsdaten ausgelegt. Die folgenden allgemeinen Annahmen sind durch den Kundenfall definiert:
– Kontinuierliche Nutzung der Services (24/7)
– Vertraglich festgelegte SLAs für jeden Services
– Die Dienste umfassen das Servicemanagement (z. B. Planung, Design, Dimensionierung und Konfiguration der Dienste)
– Hosting-Standort innerhalb der Europäischen Union
Diese Studie konzentriert sich auf den Vergleich der Betriebskosten zwischen den verschiedenen Anbieterlösungen. Die jeweiligen Transformationskosten für die Migration der Dienste von der derzeitigen zur künftigen Betriebsweise in die Cloud werden in diesem Beitrag nicht berücksichtigt.

2.2 Service-Mapping und Benchmarking-Ansatz
Das Service Mapping der Use-Case-Services auf die drei Public-Cloud-Anbieter wurde in folgenden Schritten durchgeführt:
– Zunächst wurden verschiedene Kundensituationen und Anforderungen analysiert, um den Anwendungsfall für den Vergleich zu definieren. Zu diesem Zweck wurden vollständige IT-Outsourcing-Servicevereinbarungen, einschließlich der Definition des Leistungsumfangs, der Verantwortlichkeiten, der SLAs und der rechtlichen und Compliance-Anforderungen, berücksichtigt.
– In einem zweiten Schritt wurden ausgewählte Public-Cloud-Angebote anhand ihrer öffentlich zugänglichen Serviceverträge und Preislisten bewertet. Anschließend wurden die im zugrundeliegenden Anwendungsfall benötigten Services auf die äquivalenten Serviceprodukte der drei ausgewählten Public-Cloud-Anbieter abgebildet. Diese Zuordnung basierte auf funktionalen Anforderungen und nicht auf einer spezifischen technischen Lösung. So wurden beispielsweise E-Mail-Dienste den entsprechenden Public-Cloud-E-Mail-Lösungen wie Amazon WorkMail, Microsoft Exchange und Google Gmail zugeordnet.
– Auf der Grundlage der obigen Zuordnung und des Lösungsdesigns für jedes Public-Cloud-Service-Produkt wurden die Services so konzipiert, dass sie die in unserem traditionellen Anwendungsfall definierten Service-Levels vollständig erfüllen. Zusätzliche Kosten zur Kompensation fehlender Dienste, insbesondere für Service-Engineering und -Design sowie für Datenverkehr und Service-Administration, wurden zusätzlich zu den Public-Cloud-Preisen berücksichtigt.
– Auf der Grundlage des Mappings und des Lösungsdesigns validierten die jeweiligen Cloud-Anbieter die Ergebnisse, die Preisgestaltung sowie die rechtlichen und Compliance-Angelegenheiten. Die Public-Cloud-Anbieter Amazon, Microsoft und Google wurden aufgrund ihres umfassenden Angebots und ihres weltweiten Marktvolumens für die Studie ausgewählt.

2.3 Amazon Web Services
Amazon Web Services (AWS) ist der Marktführer im Public-Cloud-Markt, da er bereits im Jahr 2006 als Pionier gestartet ist. AWS ist hoch innovativ, reagiert sehr schnell auf den Markt und verfügt über das breiteste und tiefste Angebot an Infrastructure as a Service („IaaS“) und Platform as a Service („PaaS“). AWS verfügt derzeit über 11 Rechenzentrumsstandorte auf der ganzen Welt mit jeweils mindestens zwei Verfügbarkeitszonen (sogenannte „Regionen“).
Im Jahr 2015 wurde die Region in Frankfurt eröffnet, die seither die am schnellsten wachsende internationale Rechenzentrumsregion für Amazon ist. AWS zog die meisten Kunden im Cloud-Markt an. Unternehmen wie Netflix oder Soundcloud haben fast ihre gesamte Infrastruktur zu AWS verlagert. Wie andere Public-Cloud-Anbieter bietet Amazon Services und Software über seinen eigenen Marktplatz an.

2.3 Microsoft Azure
Microsoft ist der Marktführer für Betriebssysteme und Bürosoftware und konzentriert sich zunehmend auf die Bereitstellung seiner Software als Cloud-Services. Mit Microsoft Azure werden IaaS und PaaS auf einer Cloud-Computing-Plattform für Unternehmen angeboten. Mit O365 wird ein Bündel von Software-as-a-Service-Abonnements (SaaS) angeboten, darunter Produkte wie Microsoft Office, Outlook oder Skype sowie Produktivitäts- und Kollaborationstools, die direkt aus der Cloud genutzt werden können. Auf dem Azure-Marktplatz werden auch Software und Dienste von Drittanbietern angeboten.
Microsoft betreibt weltweit mehrere Rechenzentrumsstandorte („Regionen“). In Europa befinden sich die Rechenzentren in Irland und in den Niederlanden. Als Reaktion auf bestehende Datensicherheitsbedenken und die jüngsten Turbulenzen um die Safe-Harbor-Entscheidung in der EU hat Microsoft vor kurzem beschlossen, zwei neue Rechenzentren in Deutschland zu bauen. In diesen deutschen Rechenzentren werden die Kundendaten künftig vertrauensvoll von T-Systems kontrolliert und überwacht. Microsoft Azure umfasst einheitliche Dienste, die nahtlos mit anderen Infrastrukturdiensten und -komponenten wie Active Directory Services, Windows-Servern sowie anderen SaaS-Angeboten zusammenarbeiten können. Mit einem umfangreichen Servicepartner-Ökosystem und einem seit langem bestehenden Kundenstamm, der mit den Produkten vertraut ist, gilt Microsoft als einer der führenden Cloud-Anbieter.

2.4 Google Cloud
Google bietet verschiedene internetzentrierte Dienste wie Google Web Search, Docs, Gmail, YouTube, Google Chrome, Maps oder das Android OS an. Die Google-Cloud-Plattform umfasst IaaS- und PaaS-Angebote. Die Rechenzentren befinden sich in den USA, Europa (Belgien) und Asien. Als jüngster Neueinsteiger in den Public-Cloud-Markt in der Vergleichsgruppe bietet die Google-Cloud das kleinste Service-Portfolio.
Die Google-Cloud basiert auf der gleichen Infrastruktur wie die Google-Suchmaschine, YouTube und Gmail-Speicher. Mit diesem Konzept bietet Google seinen Kunden Zugang zu einem der größten und modernsten Computernetzwerke. Das leistungsstarke Backbone-Netzwerk von Google verbindet die Google-Rechenzentren auf der ganzen Welt miteinander. Obwohl Google nicht über einen so großen Kundenstamm von Unternehmen und Mittelständlern wie Microsoft oder Amazon verfügt, kann es in Bezug auf die technischen Standards mit den Wettbewerbern mithalten.

3. Bewertungsergebnisse
Neben der Dienstleistungskongruenz gibt es drei weitere Dimensionen, die für die Bewertung relevant sind. Erstens die kommerzielle Dimension oder der Business Case, zweitens die rechtlichen und Compliance-Aspekte und schließlich die Management- und Integrationsdimension. Im Rahmen des Business Case wird die Service-Kongruenz zu den drei verschiedenen Public-Cloud-Lösungen diskutiert und ein Äpfel-zu-Äpfel-Vergleich durchgeführt. Die meisten Daten wurden zunächst aus den öffentlichen Webangeboten der Anbieter abgeleitet. Schließlich haben Microsoft und Google die Ergebnisse der zugrundeliegenden Studie verifiziert, insbesondere im Hinblick auf das Design der Anwendungsfalllösung und die projektspezifische Preisgestaltung. Amazon war zwar an der Studie beteiligt und hat auch alle Informationen erhalten, hat aber weder projektspezifische Preise genannt noch das Lösungsdesign validiert.
3.1 Kongruenz der Services
Nahezu alle für den Anwendungsfall erforderlichen Dienste können mit den entsprechenden Lösungen der einzelnen Anbieter auf Public-Cloud-Dienste migriert werden. Da Google keine Terminaldienste anbietet, wurde die Lösung für den Anwendungsfall im Google-Fall betrachtet. Für E-Mail-Dienste wurden die eigenen Lösungen der Anbieter (Exchange von Microsoft, Gmail von Google und WorkMail von Amazon) in Betracht gezogen. Obwohl sich diese Lösungen unterscheiden, erfüllen alle Public Cloud Services die funktionalen Anforderungen des Anwendungsfalls vollständig. Solche Unterschiede können auch bei der Leistung von Servern oder Speicherdiensten auftreten. Dies wurde hier jedoch nicht berücksichtigt, da ein Benchmark nicht auf der Ebene der technischen Lösungen, sondern auf der Ebene der Funktionen und SLAs durchgeführt wird. Wie bereits erwähnt, werden Anwendungs-, Middleware- und Datenbankbetrieb als Managed Services auf der Basis von SLAs von keinem der drei Public-Cloud-Anbieter angeboten und wurden daher aus dem Anwendungsfall ausgeschlossen. Der Schwerpunkt dieser Arbeit liegt auf IT-Infrastrukturdiensten und nicht auf Anwendungsdiensten wie ERP oder CRM, da dies für einen aussagekräftigen Vergleich einen anderen methodischen Ansatz erfordern würde.

3.2 Commercials
Da alle Public-Cloud-Angebote aus einzelnen Bausteinen bestehen, die zu einer Kundenlösung zusammengesetzt werden müssen, ist das Lösungsdesign unterschiedlich und besteht aus mehreren Preiselementen, die verglichen werden müssen. Während Standardleistungen wie der Serverbetrieb bei allen Anbietern recht vergleichbar sind, sind andere Kosten wie z.B. Mailspeicher oder Servicemanagement ein integraler Bestandteil anderer Produkte und nicht separat zu bezahlen. Für den Business Case konzentriert sich Navisco daher auf die Bewertung der Gesamtkosten des definierten Anwendungsfalls und nicht auf einen Vergleich einzelner Dienste und Preiseinheiten.
Der Business Case berücksichtigt die besten Marktpreise für den traditionellen Outsourcing-Anwendungsfall auf der Grundlage der Navisco Benchmark Database. Die Public-Cloud-Preise werden auf der Grundlage von Preislisten vom 31. Januar 2016 einschließlich Rabatten entsprechend den beschriebenen Volumina berechnet. Im Business Case werden neun Servicekategorien (Server, Storage, Terminal Services, Mail, Messaging, Network, Traffic, Service Management und Service Integration) auf Basis der in Kapitel 2 beschriebenen Services und Volumina unterschieden und dargestellt.
Der Bezug von Services aus der Cloud führt zu zusätzlichen Kosten für Traffic sowie Kosten für Service Management und Integration. Schwankende Verkehrskosten wurden als zusätzliche Risikokosten in jedem der Public-Cloud-Fälle berücksichtigt. Zusätzliche Kosten entstehen auch dadurch, dass Public-Cloud-Anbieter keine vollständig verwalteten Dienste im Sinne des klassischen Outsourcing anbieten, z. B. Lösungsdesign, technische Aufgaben oder Benutzerverwaltung. Bei einigen Diensten verpflichten sich Public-Cloud-Anbieter nur zu begrenzten SLAs, und im Falle von Problemen beim Servicemanagement muss der Kunde die potenziellen Kosten tragen und ist für die Lösung des Problems verantwortlich. Diese großen Unterschiede spiegeln sich finanziell in den Verkehrs- und Integrationskosten wider, die zu jedem der analysierten Public-Cloud-Angebote hinzukommen.

In den Beispielen der Public Cloud wird das Servicemanagement als eine separate Kategorie betrachtet. Sie umfasst die notwendigen Verwaltungs- und Supportoptionen wie Identitäts- und Zugriffsmanagement, automatische Skalierung, Active Directory und zusätzliche Supportpakete. Im traditionellen Outsourcing-Anwendungsfall sind die Kosten für das Servicemanagement in jeder der anderen Servicekategorien enthalten. Da Public Cloud Services nicht in Form von Managed Services angeboten werden, geht Navisco von einem zusätzlichen Aufwand aus, um diesen Effekt zu kompensieren. Dies ermöglicht die Vergleichbarkeit mit dem traditionellen Outsourcing-Fall und spiegelt sich in der Kategorie Service Integration wider. Basierend auf der Expertise von Navisco und seiner Benchmarking-Datenbank wurden diese Service-Integrationskosten als die Personalkosten berechnet, die erforderlich sind, um die fehlenden Managed Services zu kompensieren, die von den Public Cloud-Anbietern nicht angeboten werden. Wir haben nur geringe Unterschiede in der Abdeckung der Public-Cloud-Dienste in Bezug auf die Service-Integration festgestellt.
Die folgende Abbildung zeigt die Ergebnisse der Business-Case-Bewertung auf Basis der Gesamtkosten. Fast alle Cloud-Anbieter sind in der Lage, im Vergleich zum günstigsten traditionellen Outsourcing-Fall finanzielle Vorteile zu erzielen. Die Angebote von Microsoft und Google versprechen ca. 25% Einsparungen, während Amazons Cloud im untersuchten Anwendungsfall kein finanzielles Potenzial aufweist. Des Weiteren ist zu beachten, dass im Falle einer Inhouse-Erbringung von IT-Dienstleistungen die internen IT-Kosten in der Regel höher sind als die angesetzten Kosten aus unserem Best-Peer-Outsourcing-Fall. Dies würde zu einem noch höheren finanziellen Nutzen einer Cloud-Migration führen. Zusätzlich wurde ein so genannter „bunter“ Cloud-Fall abgeleitet, indem die besten Lösungen und Preise der Public-Cloud-Dienste der Anbieter kombiniert wurden. Basierend auf den Angeboten von Microsoft Azure (Mail, Unified Communications, Terminaldienste) und Google Cloud (Server, Speicher, Netzwerk) wurden in den „kunterbunten“ Fall aufgenommen, der ähnliche Ergebnisse zeigt.

Die Kostenanalyse der einzelnen Kategorien ermöglicht keinen validen Vergleich, da unterschiedliche Abrechnungsmodelle verwendet werden. Daher wird ein solcher Vergleich hier nicht vorgenommen. Dennoch schneidet Google bei den Preisen für Server und Microsoft bei den Preisen für Terminal-Services, Speicher und Netzwerk am besten ab. Obwohl Amazon vergleichbare Preise anbietet, scheint die eigene Lösung für Terminaldienste (WorkSpaces) und Mail, einschließlich einer höheren Funktionalität, hochpreisig zu sein. Da Google keine Terminaldienste anbietet, wurden die Kosten für diese Kategorie der Nutzung im Fall von Google hinzugerechnet. Insgesamt sind die Preise der Public Cloud im Vergleich zum traditionellen Outsourcing für Server-, Mail-, Messaging- und insbesondere Speicherdienste niedriger.
Ein wesentlicher Vorteil von Cloud-Services in Bezug auf die Preisgestaltung kann durch die Elastizität der Dienste erzielt werden, da sie jederzeit während eines Tages gekündigt und genutzt werden können. Dies wurde bei dem Business-Case-Vergleich nicht berücksichtigt. Darüber hinaus ändern sich die Preise der Public-Cloud-Anbieter kontinuierlich, vor allem nach unten. Insofern sind die dargestellten Ergebnisse nur eine Momentaufnahme eines Preisvergleichs. Eine kontinuierliche Marktbeobachtung ist daher unerlässlich.

3.3 Rechtliches & Compliance
Im klassischen IT-Outsourcing-Vertrag kann der Kunde die Leistungen individuell aushandeln und den Gerichtsstand sowie den Standort der Rechenzentren wählen. Im Allgemeinen sind die Verträge für Public-Cloud-Dienste streng und nicht verhandelbar. Internationale Dienstleister haben ein globales Bereitstellungsmodell, bei dem das Betriebspersonal und die entsprechenden Zugangs- und Verwaltungsrechte außerhalb der EU-Länder angesiedelt sind. Dies ist nicht konform mit dem EU-Datenschutzrecht, da es in Nicht-EU-Ländern keine entsprechenden Datenschutzbestimmungen gibt. Um deutsche oder schweizerische Datenschutzrechte zu gewährleisten, muss dies in einem bidirektionalen Vertrag innerhalb der Organisation des Dienstleisters geregelt werden, z.B. für Indien. Im Folgenden werden die wichtigsten Unterschiede und Herausforderungen in Bezug auf rechtliche und Compliance-Fragen aufgezeigt, die zu beachten sind.

Terms & Beendigung
Public-Cloud-Anbieter haben das Recht, ihre Dienste mit einer Frist von 30 Tagen zu kündigen und Änderungen an der Unternehmensvereinbarung und den SLAs vorzunehmen. Public-Cloud-Kunden können ihre Verträge auch auf monatlicher Basis kündigen, was eine hohe Flexibilität, aber auch keine langfristige Bindung an Dienste und Preisstabilität bedeutet. Im Vergleich dazu schließen traditionelle Outsourcing-Anbieter Verträge mit einer Laufzeit von mindestens drei bis fünf Jahren ab, abhängig von den IT- und Transformationsinvestitionen. Diese individuellen vertraglichen Vereinbarungen enthalten eine starke rechtliche Verpflichtung für die Verfügbarkeit der Dienste und die Garantie der SLAs sowie der Preise. Public-Cloud-Dienste werden auf der Grundlage aktueller Preise, die sich jeden Monat ändern können, pro Stunde abgerechnet, während traditionelle Anbieter auf der Grundlage vereinbarter Preise für die Vertragslaufzeit pro Monat abrechnen. Die fehlende langfristige Bindung in Bezug auf die Preise für Public-Cloud-Dienste birgt kein Risiko, da ihre Preise bisher gesunken sind. Bei der Migration eines großen Volumens zu einem Public-Cloud-Anbieter besteht jedoch aufgrund des enormen Migrationsaufwands für den Wechsel zu einem anderen Dienstanbieter de facto ein Lock-in (nicht rechtlich). Werden bestimmte Dienste oder SLAs vom Anbieter gekündigt oder steigen die Preise kontinuierlich an, besteht für den Kunden ein potenzielles geschäftliches und finanzielles Risiko.

SLAs und Vertragsstrafen
Für Public-Cloud-Dienste werden einzelne SLAs für jeden Dienst bereitgestellt, obwohl der Kunde die notwendigen Redundanzen/Fallbacks usw. entwerfen muss. Um SLAs zu erhalten, die mit denen in herkömmlichen Outsourcing-Verträgen vergleichbar sind, ist der Kunde für das Lösungsdesign und damit für die Gesamtarchitektur verantwortlich. So verlangen beispielsweise Public-Cloud-Anbieter, dass der Kunde mehrere Verfügbarkeitszonen nutzt, damit ein Ausfall als SLA-Verletzung gewertet wird. Die einzige SLA, die von Public-Cloud-Anbietern angeboten wird, ist die Betriebszeit des Dienstes. Obwohl dies für die kritischen Geschäftsprozesse des Kunden möglicherweise nicht ausreicht, ist es nicht möglich, individuelle SLAs wie die Anzahl der Serviceausfälle oder verschiedene Serviceklassen (z. B. Gold, Silber, Bronze) auszuhandeln. Es ist auch die Pflicht des Kunden, die Reklamation einzureichen und den Nachweis zu erbringen, dass es der Anbieter der Public Cloud war, der die Service-/SLA-Verpflichtungen nicht erfüllt hat. Ansprüche oder Streitigkeiten mit Amazon AWS zum Beispiel müssen durch ein verbindliches Schiedsverfahren und nicht vor Gericht geklärt werden. Alle Public-Cloud-Anbieter gewähren bei Nichteinhaltung der Serviceverpflichtung eine Rückerstattung/Servicegutschrift zwischen 10 % und 30 % der monatlichen Servicegebühr. Diese Rückerstattungen sind niedriger als bei den Vereinbarungen in herkömmlichen Outsourcing-Verträgen mit bis zu 20 % der jährlichen Servicegebühr.

Haftung
Die Haftungsbeschränkungen sind bei Public-Cloud-Diensten insgesamt angemessen. Bei allen Angeboten ist die Haftung auf unmittelbare Schäden bis zur Höhe des Betrages beschränkt, der für den genutzten Dienst in den letzten 12 Monaten vor Entstehung des Anspruchs bezahlt wurde. Darüber hinaus ist die Haftung z. B. für entgangene Einnahmen oder indirekte und beiläufige Schäden ausgeschlossen. In herkömmlichen Outsourcing-Verträgen werden die Haftungsmechanismen ausgehandelt und können bestimmte indirekte Schäden wie Personalkosten oder Produktionsausfälle einschließen.
Alle Public-Cloud-Anbieter erfüllen die Standards der EU-Datenschutzgesetze. Das deutsche oder schweizerische Datenschutzgesetz ist jedoch nur auf die Verträge von traditionellen Outsourcing-Anbietern anwendbar. Public-Cloud-Dienste sind nach PCI DSS, SOC 1, SOC 2 oder ISO 27001 zertifiziert, bei traditionellen Outsourcing-Verträgen müssen diese Zertifizierungen (z.B. SSAE 16, ISAE 3402, PCI DSS) jedoch gesondert ausgehandelt werden. Darüber hinaus verwenden Amazon und Microsoft die sogenannten EU-Modellklauseln zum Schutz von Kundendaten vor dem Zugriff durch Drittländer, was 2014 als ausreichend bestätigt wurde (siehe Artikel 29 der Datenschutzgruppe). Die Auftragsdatenverarbeitung (ADV) nach §11 BDSG ist auch bei Azure Bestandteil des gesetzlichen Vertrages. Generell bieten alle Public-Cloud-Anbieter Verschlüsselung zum Schutz der Kundendaten sowie Transparenz der Dienste und Codes an, um den Kunden die Integrität der Dienste zu versichern und zu bestätigen, dass es keine Hintertüren gibt (z. B. wird für Regierungskunden eine angemessene Möglichkeit zur Überprüfung des Quellcodes bereitgestellt). Zum Schutz kritischer Geschäftsdaten und geistigen Eigentums ist eine kundenspezifische Verschlüsselung obligatorisch. Für Unternehmen in regulierten Branchen wird die Nutzung von Public-Cloud-Diensten in naher Zukunft aufgrund spezieller Anforderungen, die sich nicht in den Standard-Cloud-Verträgen widerspiegeln, noch sehr begrenzt sein.

Hosting und Datenstandort
Alle Public Cloud-Anbieter haben Hosting-Standorte in der EU. Die Rechenzentren von Amazon AWS in Europa befinden sich in Deutschland und Irland, die von Google Cloud in Belgien und die von Microsoft Azure in den Niederlanden und Irland. Microsoft kündigte zwei neue Rechenzentrumsstandorte für die deutsche Cloud an (Frankfurt und Magdeburg), der Treuhänder ist T-Systems. Keiner dieser Public-Cloud-Anbieter hat bisher ein Rechenzentrum in der Schweiz. Kunden aus regulierten Branchen wie dem Finanzwesen, dem Gesundheitswesen oder dem öffentlichen Sektor, in denen strenge gesetzliche oder andere Compliance-Anforderungen von Aufsichtsbehörden wie der BaFin oder der FINMA erfüllt werden müssen, können die aktuellen Public-Cloud-Dienste nur eingeschränkt nutzen.
In Deutschland könnte Microsoft mit der neu angekündigten „German Cloud“ eine Ausnahme bilden. In diesem Fall fungiert T-Systems als Kundentreuhänder für die geplanten Rechenzentren in Frankfurt und Magdeburg, die Microsoft gehören und von ihm betrieben werden. Dieser Dienst wird bis Ende 2016 eingerichtet und nutzt den Standardvertrag für Microsoft Azure mit einem zusätzlichen Zusatz, dem Kundentreuhändervertrag. Rechtlich gesehen geht es darum, den Datenzugriff der US-Behörden gemäß dem Patriot Act zu vermeiden. Über die Weitergabe vertraulicher und persönlicher Kundendaten an die US-Behörden wird vor dem US-Berufungsgericht noch gestritten. Microsoft hat daher ein spezielles Compliance-Team eingerichtet, das alle Anfragen der US-Behörden oder Gerichte bearbeitet, die betroffenen Kunden informiert sowie Dokumente zur Verfügung stellt und die Anzahl der Anfragen veröffentlicht (4.407 Anfragen der Strafverfolgungsbehörden für Deutschland seit 01-06 2015).

Zuständiger Gerichtsstand
Der mit traditionellen Outsourcing-Anbietern vereinbarte Gerichtsstand befindet sich in der Regel am Hauptsitz des Kunden. Bei Public-Cloud-Anbietern ist dies jedoch nicht verhandelbar. Der Gerichtsstand für Angebote von Microsoft Azure und Google Cloud für europäische Kunden liegt in Irland und für Amazon AWS im Bundesstaat Washington, USA. Aus rechtlicher Sicht ist dies ein Hindernis für die Nutzung von Public-Cloud-Diensten für geschäftskritische Servics des Unternehmens.

3.4 Service Integration
Die Verlagerung von Infrastruktur- und Anwendungsdiensten in die Public Cloud führt zu einem wachsenden Markt für die Service Integration und die Verwaltung mehrerer Service Provider und Verträge. Public-Cloud-Services können mit Baumärkten verglichen werden, in denen mehrere Teile erworben werden können, die jedoch selbst zusammengesetzt und implementiert werden müssen. Neben fundierten Erfahrungen mit den jeweiligen Public-Cloud-Produkten und -Plattformen sind gewisse technische Kenntnisse in der Konfiguration, Verwaltung und Skalierung aller Infrastrukturdienste erforderlich. Heutzutage, in der zweiten oder dritten Generation des Outsourcings von Commodity-IT, verfügen Kunden oft nicht über interne technische Fähigkeiten für die Konfiguration und Administration. Daher ist davon auszugehen, dass die meisten Kunden für die Verwaltung und Integration von Cloud-Diensten umfangreiche externe Unterstützung und Fachkenntnisse benötigen, entweder in Form eines Managed Service oder auf Projektbasis.
Aufgrund des anhaltenden Trends, IT-Services an verschiedene Best-of-Breed-Anbieter auszulagern, um die besten Preise und den besten Wettbewerb zu erzielen, sind die Kunden bereits mit einer hohen Komplexität in ihrer Nachfrage- und Angebotsorganisation konfrontiert. Daher müssen immer mehr Kunden ihr Servicemanagement harmonisieren und die verschiedenen Services und Anbieter aufeinander abstimmen. In naher Zukunft werden sich die Kernkompetenzen der Kunden auf die Orchestrierung verschiedener Anbieter in Bezug auf Verträge, Servicemanagement und nahtlose Integration konzentrieren. Das Angebot wird traditionelle Outsourcing-Anbieter, firmeneigene IT-Organisationen und zunehmend auch Public-Cloud-Anbieter umfassen.

Alternativ kann auch die Service Integration und -orchestrierung ausgelagert werden. Dies gilt insbesondere für IT-Organisationen, die sich in der zweiten oder dritten Generation des Outsourcing befinden. Eine Möglichkeit, mit dieser komplexen Situation umzugehen, besteht darin, die Provider-Koordination an einen eigenen oder einen der beauftragten Provider zu übertragen. Der so genannte Lead Provider übernimmt die Gesamtverantwortung für das Incident-, Problem- und Change-Management und koordiniert die verschiedenen Provider im Namen des Kunden. Der Kunde bleibt weiterhin Eigentümer aller Outsourcing- und Serviceverträge sowie der Service-Management-Tools und -Daten. Allerdings wird der Aufwand für die Providerkoordination und deren Komplexität verlagert.
Aktuell steht die IT vor Herausforderungen wie der digitalen Transformation, dem Druck, die Effizienz zu steigern und die Kosten zu senken, der kontinuierlichen Entwicklung innovativer Produkte oder der Reduzierung des Datenaufkommens. Daher ist die Auswahl eines geeigneten Sourcing-Modells unabdingbar. Das Sourcing von bestimmten IT-Infrastruktur- und Anwendungsdiensten wird in Zukunft sowohl in der IT als auch im Business stattfinden. Dabei ist die interne IT in jedem Fall mit komplexen Service-Management-, Sicherheits- und Integrationsfragen konfrontiert.
Da Public Cloud Services nicht in Form von Managed Services angeboten werden, ist ein neues Marktsegment für die Integration von Public Cloud Services entstanden.

Es gibt zwei Hauptkriterien für die Unterscheidung dieser vier Cluster: die Fähigkeit zur Erbringung von SLA-basierten IT-Dienstleistungen und eigene Investitionen in große IT-Infrastrukturen und Rechenzentrumseinrichtungen. Wirklich „schlanke“ Anbieter ohne große Investitionen in IT-Infrastrukturen und mit Erfahrung im Servicebetrieb mit Tools und Prozessen sind in einer guten Position, um auf dem Markt zu bestehen.

Housing
Housing- oder Colocation-Anbieter bieten Rechenzentrumsinfrastrukturen wie einbaufertige Racks mit der notwendigen Infrastruktur und Sicherheit sowie eine direkte Netzanbindung an Kunden und andere.
Outsourcing
Outsourcing-Anbieter verfügen über ähnliche Rechenzentrumskapazitäten wie Colocation-Zentren, konzentrieren sich aber mehr auf ihre globalen Lieferkompetenzen und ein hohes Maß an Serviceleistungen. In der Regel bieten diese Anbieter das gesamte Spektrum des IT-Outsourcings an, von der Infrastruktur bis zum Anwendungsmanagement.
Managed Services
Managed Service Provider verfügen über hohe Kapazitäten im Servicebetrieb, ohne in eigene Rechenzentren und Infrastruktur (IT-Assets) zu investieren. Die Dienstleistungen werden am Standort des Rechenzentrums erbracht, das sich entweder im Besitz des Kunden oder des Housing Providers befindet. Ähnlich wie bei Service-Integratoren gibt es eine geringe Kapitalbindung in Assets.
Service-Integratoren
Service-Integratoren konzentrieren sich hauptsächlich auf die Implementierung neuer IT-Technologien auf Projektbasis (Build). Die meisten Integratoren verfügen über geringe eigene Rechenzentrumskapazitäten und Fähigkeiten im Servicebetrieb. Aufgrund der geringen Kapitalbindung in Anlagen können Service-Integratoren sehr agil und flexibel auf veränderte Marktsituationen reagieren.

4. Ergebnisse
Das IT-Outsourcing unterliegt disruptiven Veränderungen. Etwa 50 % der Unternehmen nutzen bereits Public Cloud Services, in vielen Fällen in ihren Geschäftsbereichen. Cloud-Dienste werden einen dramatischen Einfluss auf den IT-Dienstleistungsmarkt haben; in den nächsten drei Jahren werden neue Akteure, Dienste, Preise und Verwaltungsmodelle entstehen. Monolithische IT-Outsourcing-Verträge mit einem einzigen Anbieter werden immer seltener, und die meisten Kunden suchen nach flexiblen IT-Outsourcing-Diensten und -Verträgen und sehen sich daher mit einem zunehmenden Aufwand für die Serviceintegration konfrontiert.
In der zugrundeliegenden Studie wurde untersucht, ob es für große Unternehmen möglich ist, grundlegende Infrastrukturdienste vom traditionellen IT-Outsourcing auf Public-Cloud-Dienste zu verlagern. Die Ergebnisse zeigen, dass die Verlagerung von Rechenzentrumsdiensten in eine Public-Cloud-Umgebung eine erwägenswerte Alternative darstellt. Der durchgeführte Benchmark zeigt Einsparpotenziale im Bereich von 25 % der Gesamtbetriebskosten im Vergleich zu den besten Marktpreisen für traditionelles IT-Outsourcing. Nachteilig ist, dass die technische Migration und die End-to-End-Verantwortung für den Betrieb bestimmter Anwendungen und Dienste von den internen IT-Organisationen oder einem externen Integrator übernommen werden müssen. Solche Fähigkeiten sind in den heutigen internen IT-Organisationen oft nicht vorhanden. Beim traditionellen IT-Outsourcing ist der Dienstleister für den Betrieb von Unternehmensanwendungen, Datenbanken oder Middleware verantwortlich. Bei Public Cloud Services erfordert dies immer noch interne oder externe Fähigkeiten, um die Anwendungslandschaft auf der Grundlage von Bausteinen der Cloud-Infrastrukturdienste zu migrieren und zu betreiben.
Derzeit integrieren die traditionellen Outsourcing-Anbieter Public-Cloud-Services von Drittanbietern wie AWS, Azure oder Google nur restriktiv in ihre Kundenliefermodelle. Sie ziehen es vor, ihre eigenen IT- und Cloud-Dienste zu fördern, um ihre IT-Investitionen zu nutzen. Auf der anderen Seite gibt es neue Akteure auf dem Markt, wie z. B. Managed Service Provider und Offshore-Anbieter, die bereit sind, die Gesamtintegration und Serviceverantwortung, einschließlich Public Cloud, zu übernehmen.
Rechtliche und Compliance-Fragen müssen von jeder Kundenorganisation in Abhängigkeit von der Kritikalität ihres Geschäfts und den geltenden Branchenvorschriften bewertet werden. Neben dem Gerichtsstand sind wesentliche Rechts- und Serviceanforderungen, einschließlich Datenschutzbestimmungen, in den Standardverträgen für die Public Cloud enthalten. Da diese nicht auf individueller Basis ausgehandelt werden können, sind Public-Cloud-Dienste möglicherweise nicht für alle IT-Dienste geeignet und müssen individuell bewertet werden. Wesentliches Unternehmens-Know-how und geistiges Eigentum müssten bei einer Verlagerung in die Public Cloud kundenbezogen verschlüsselt werden. Aufgrund ihrer Flexibilität und Kostenvorteile werden Public-Cloud-Dienste zunehmend für Standard-IT-Dienste genutzt werden, entweder als Teil herkömmlicher IT-Outsourcing-Verträge oder als von einem Drittanbieter verwaltete Dienste für Firmenkundenorganisationen.

Empfehlungen für Sourcing-Entscheidungen in großen IT-Organisationen

  • Cloud-Readiness und -Strategie – IT-Organisationen müssen ihre Cloud-Readniess und -Strategie für IT-Services bewerten und definieren, um in Zukunft wettbewerbsfähig zu bleiben. Die Nutzung der Public Cloud kann enorme geschäftliche Auswirkungen und möglicherweise Wettbewerbsvorteile mit sich bringen. Diese Bewertung umfasst nicht nur strategische, rechtliche, sicherheitstechnische und finanzielle Aspekte, um zu entscheiden, welche Services in die Cloud verlagert werden sollen, sondern auch die Berücksichtigung der erforderlichen Betriebs- und Integrationsdienste.
  • Aufbau eigener Kompetenzen in der Service-Konsolidierung und -Integration – Interne CIO-Organisationen müssen Kompetenzen in der Cloud-Bewertung, Vermittlung und Service-Integration verschiedener IT-Services zwischen ihren Geschäftsbereichen und mehreren IT-Lieferanten aufbauen. Erforderlich ist die interne Verwaltung eines Katalogs von IT Commodity Services, der verschiedene Geschäftsanforderungen und mehrere (interne/externe) Anbieter sowie Public-Cloud-Anbieter integriert.
  • Neugestaltung bestehender IT-Outsourcing-Verträge – Unternehmen, die IT-Infrastrukturen auslagern, müssen ihre bestehenden Outsourcing-Verträge umgestalten, insbesondere im Hinblick auf Cloud-Services. Sowohl Public Cloud Services als auch die Integration von Services mehrerer Anbieter müssen berücksichtigt und mit den bestehenden und neuen Dienstleistern ausgehandelt werden.

Sie sind interessiert?

Gerne führen wir ein erstes unverbindliches Gespräch mit Ihnen.

Dr. Michael Heym

Managing Partner
+49 40 25 31 32 80

kontaktieren Sie uns