In zwanzig Schritten zum SLA

Anforderungskatalog, Eskalationswege, Provider-Steuerung - im Outsourcing gibt es viele Fallstricke. Die Experton Group nennt zwanzig Eckpunkte zur Gestaltung eines wasserdichten Service-Level-Agreements (SLAs).

System, Gültigkeit, Rollen, Zufriedenheit

1. Systembeschreibung: Die Anforderungen an einen Service sollten detailliert beschrieben werden. Das ist in der Regel Aufgabe der Anwender. Je exakter die Beschreibung ist, desto weniger Probleme gibt es im Betrieb. Bei Standardleistungen sollten die Service-Levels der Anbieter übernommen werden.

2. Gültigkeitszeitraum für die SLAs: Jeder Leistungsschein muss einen Anfang und ein Ende enthalten. Leistungsscheine, die während der Vertragslaufzeit zusätzlich abgeschlossen werden, sollten mit dem Rahmenvertrag enden. Nur so lässt sich das komplette Paket erneut ausschreiben.

3. Hauptrollen in dem SLA: Die Rollen- und Rechtematrix ist ein Regelwerk, das festlegt, wer für welche Aufgaben zuständig ist. Dabei geht es um Zuständigkeiten, Verantwortung, Mitwirkungs- und Informationspflicht. Zusätzlich sollten die Rollen im Rahmen der Zusammenarbeit definiert werden. Ansprechpartner auf Arbeits-, Entscheidungs-, Change-Management- und Business-Ebene sollten benannt werden.

4. Nutzerzufriedenheit: Die Anwender und nicht die Technik stehen bei der Definition der Service-Parameter im Vordergrund. Deshalb sollten KPIs so gewählt werden, dass sie die Erwartungen des Nutzers widerspiegeln. Zu diesem Zweck kommen Messmethoden auf Anwendungs-Level zum Einsatz. Das können etwa SAP-Agents oder Erhebungen zur Kundenzufriedenheit sein.

Verfügbarkeit, Ausfallzeiten, Service, Zuverlässigkeit

5. Verfügbarkeit: Die Verfügbarkeit nennt Zeiten, in denen der Endanwender den Service nutzen kann. Der Mail-Services muss oft rund um die Uhr laufen, der Hotline-Support orientiert sich zumeist an Bürozeiten. Die tatsächliche Verfügbarkeit technischer Systeme lässt sich mit Hilfe von Messcomputern ermitteln.

6. Geplante Ausfallzeiten: Für die Wartung und für Notfallübungen müssen geplante Ausfallzeiten außerhalb der Servicezeiträume vereinbart werden.

7. Serviceschnittstellen: Für den Servicebetrieb sind Schnittstellen zu anderen IT-Diensten sowohl eingangs- als auch ausgangsseitig erforderlich. Die Wechselwirkungen müssen untersucht und beschrieben werden.

8. Zuverlässigkeit: Mit diesem Parameter wird gemessen, wie häufig ein System ausfällt und wie lange es dauert, bis der Service in der vereinbarten Güte wiederhergestellt ist. Im Gegensatz zur Verfügbarkeit, die über eine definierte Zeitstrecke gemessen wird, lässt sich die Zuverlässigkeit fallweise ermitteln. Die Fehlerbehebung wird je nach Wichtigkeit für das Geschäft oft in Wiederherstellungsklassen mit unterschiedlichen Zeiten definiert.

Leistung, Reporting, Benachrichtigung, Wartung

9. Leistungserwartung: Angaben zur Performance einzelner Komponenten bringen wenig. Leistungsangaben sollten sich auf das komplette System erstrecken. Das gilt etwa für Antwortzeiten und Durchsatzrate.

10. Problem-Reporting und -lösung: Ein wesentlicher Grundsatz ist, dass der Service nur dann als erbracht gilt, wenn der erfolgreiche Betrieb auch berichtet wird. Deshalb sollte zu jedem KPI das Messverfahren definiert und der Umfang des Reporting festgelegt werden. Ein Service-Level, der nicht belegt ist, sollte wie ein nicht eingehaltener KPI gewertet werden.

11. Benachrichtigungs- und Eskalationswege: Gibt es Probleme, müssen die Eskalationswege bekannt sein. Darüber hinaus sollten Dienstleister frühzeitig auf mögliche Gefahren hinweisen, selbst wenn KPIs noch eingehalten werden.

12. Wartung: Die Wartungszyklen der IT-Systems sind einzuhalten. Insbesondere für automatische Updates gilt es, ein Verfahren zu definieren, das die betrieblichen Anforderungen des Kunden unterstützt.

Wachstum, Backup, Archivierung, Recovery

13. Wachstum und Veränderungen: Für seine Planungssicherheit benötigt der Dienstleister Angaben zum erwarteten Wachstum. Sind Veränderungen absehbar (etwa SAP-Release), sollten SLAs dazu vereinbart werden. Sind künftige Anforderungen hingegen unbekannt, kommt es auf Change-Prozesse an.

14. Backup und Wiederherstellung: Jedes System benötigt Backup- und Recovery-Prozesse. Dazu gehört auch geeignetes Personal, so dass die Service-Levels auch dann eingehalten werden, wenn Mitarbeiter ausfallen. Das gilt auch für die Migrationsphase.

15. Archivierung und Datenspeicherung: Dienstleister müssen die gesetzlichen und betrieblichen Archivierungsregeln erfüllen. Der Datenzugriff ist regelmäßig zu überprüfen. Ein Archivierungskonzept muss auch die Speichersysteme umfassen. Es nutzt nichts, wenn die Daten gelesen, aber mangels geeigneter Geräte nicht mehr verarbeitet werden können.

16. Business-Recovery und -Continuity: Die Notfallplanung beinhaltet einen Maßnahmenkatalog für den Schadensfall und beschreibt die Auswirkungen auf Geschäftsprozesse. Zusätzlich sollte eine Risikobewertung den möglichen Schaden klassifizieren.

Sicherheit, Meetings, Unterschriften, Administration

17. Security: Alle Maßnahmen rund um die Sicherheit, die in diesem Service beachtet werden müssen, sollten aufgeführt werden. Oft existieren IT-Sicherheitskonzepte, die Regelungen für solche Fälle enthalten.

18. Regelmäßige Lagebesprechung: In der Migrationsphase ist eine intensive Kommunikation zwischen Kunde und Dienstleister wichtig. Zudem sollten im Rahmen regelmäßiger Reviews - in der Regel monatlich - KPIs überprüft werden. Zu den Besprechungen gehören auch der Informationsaustausch über den abgelaufenen Berichtszeitraum, Diskussionen über neue Anforderungen sowie Verbesserungsvorschläge.

Die Anbieter im Härtetest
In der Studie werden die Cloud-Services folgender Anbieter analysiert: Amazon, Deutsche Telekom AG Geschäftskundensegment (DTGK), Fujitsu Technology Solutions (FTS), Google, Hewlett-Packard (HP), IBM, Microsoft, Nionex, Pironet NDH, Salesforce.com, T-Systems.

Public-Cloud: So positioniert Experton die Anbieter
Nur fünf der elf untersuchten Hersteller bieten Public Cloud- Services ohne Zugangsbeschränkungen über das Internet an. Das Feld wird beherrscht von US-amerikanischen Anbietern. Ihre Verträge und SLAs - wenn es welche gibt – sind zumeist in englischer Sprache.

Public-Cloud-Anbieter Amazon:
Schon vor acht Jahren hat Jeff Bezos die eigenen Rechenkapazitäten anderen Anwendern zur Nutzung angeboten. Mit diesem großen Erfahrungsvorsprung hat sich Amazon laut Experton-Einschätzung einen Spitzenplatz verdient.

Public-Cloud-Anbieter Microsoft:
Microsoft hat in kurzer Zeit zu Amazon aufgeschlossen. Der Softwarehersteller nutzt seine Marktpräsenz offensiv aus.

Public-Cloud-Anbieter Nionex:
Nionex fordert mit seinem IaaS-Angebot die etablierten Hersteller heraus. Die Bertelsmann-Tochter überzeugte Experton mit Transparenz und einem deutschen Rechenzentren.

Cloud-Angebote für den Mittelstand
Der Mittelstand hat deutlich breitere Anforderungen an Cloud- Anbieter und deren Leistungen. Reine IaaS- und PaaS-Angebote im Public-Modus decken nur einen Teil der Anforderungen ab.

Privat-Cloud im Mittelstand, Microsoft:
Gutes Produktspektrum und hohes Vertrauen: Microsoft ist für mittelständische Anwender mit Interesse an Cloud-Diensten eine gute Anlaufstation. <br/> Quelle: Microsoft.

Privat-Cloud im Mittelstand, IBM:
Auch IBM kann im Mittelstandssegment punkten. Dem Unternehmen kommt vor allem zugute, dass es hohes Vertrauen genießt.

Privat-Cloud im Mittelstand, Deutsche Telekom:
Der Geschäftskundenbereich der Deutschen Telekom bietet unter anderem auch Telco-Cloud-Services und deckt laut Experton-Einschätzung nahezu alle Use-Cases ab.

Privat-Cloud im Mittelstand, Nionex:
Die Bertelmann-Tochter betreibt Server- und Storage-Dienste. Weil Rechenzentren in Deutschland stehen und alle Unterlagen in Deutsch geschrieben sind, bietet sich Nionex als Alternative an.

Privat-Cloud im Mittelstand, HP:
Die Cloud-Angebote von HP sind noch verbesserungsdürftig, meinen die Experton-Analysten. Zudem fehlt das eindeutige Bekenntnis des obersten Managements zum Cloud-Geschäft.

Privat-Cloud im Mittelstand, Amazon:
Google bietet günstige Preise, richtet sich mit den Services jedoch vor allem an den Massenmarkt. Wer bei Bedarf einen lokalen Ansprechpartner benötigt, wird bei Google selten fündig.

Privat-Cloud im Mittelstand, Amazon:
Das gleiche gilt für Amazon. Selbstversorger sind hier bestens aufgehoben. Doch das vertrauen im Mittelstand muss sich Amzon noch erarbeiten.

19. Unterschrift: Mit dem Unterzeichnen des SLA-Dokuments übernimmt der Dienstleister die Verantwortung für die ausgelagerten Services.

20. Kontinuierliche Administration: Unmittelbar nach Vertragsbeginn startet auch die permanente Kontrolle durch den Kunden. Dazu zählen die Berichte und Abrechnungen. Ein vertraglich vereinbarter Zugang zum Reporting-System des Providers kann Prüfungen vereinfachen.

Der Artikel stammt von der ChannelPartner-Schwesterpublikation Computerwoche. Autor des Beitrages ist Heinz Schick, Mitglied des Vorstandes der Experton Group.