Service Level Agreements
Service Level Agreements legen fest, welche messbaren Leistungen Dienstleister in der IT zu erbringen haben. In der Ära des Cloud Computing müssen sich diese Regelwerke auf die Beschreibung von Geschäftsprozessen konzentrieren und nicht mehr auf die technische Umsetzung – diese wird zur notwendigen Aufgabe des Dienstleisters. Dieses Rahmenbedingungen setzen eine sehr enge Zusammenarbeit von Auftraggeber und Service Provider voraus.
Bild: Fotolia / mipan
Dienstleistungen sind nie statisch, sondern dynamisch, verändern sich, hängen von einer Vielzahl von Rahmenbedingungen ab und sind auch anfällig gegenüber äußeren Einwirkungen. Trotzdem benötigt ein Unternehmen, das eine Dienstleistung einkauft, Sicherheit bezüglich der tatsächlich erbrachten Leistungen. Abweichungen vom Erwünschten mögen bei einfachen Serviceleistungen noch ärgerlich, aber letzten Endes akzeptabel sein. Bei komplexen IT-Dienstleistungen, von denen der Betrieb, wenn nicht sogar die Existenz des Auftraggebers abhängt, muss jedoch sichergestellt werden, dass die tatsächliche Leistung dem erwarteten und vereinbarten Umfang vollkommen entspricht.
Qualität und Umfang von Leistungen werden in der IT üblicherweise durch Service Level Agreements (SLA) festgelegt. In diesen verbindlichen Vereinbarungen zwischen Auftraggeber und Dienstleister wird festgelegt, was ein Provider leistet und was sein Kunde erwarten kann, und wie zu verfahren ist, wenn Abweichungen von der Leistung auftreten. Dabei ist beispielsweise zu klären, ob ausgelagerte Applikationen oder IT-Adminstrationsaufgaben sieben Tage in der Woche rund um die Uhr zu 99,99 Prozent verfügbar sein müssen, oder ob das nur für Kernzeiten gilt. Für Unternehmen geht es hier um die Abwendung von Risiken für ihre Geschäftsprozesse, während Anbieter der Dienstleistungen Lösungen benötigen, die im Fehlerfall technisch den Prozessrisiken gerecht werden. Insofern haben SLA, neben einer fachlich-technischen, immer auch eine juristische Dimension. Provider können nur Leistungen garantieren, die messbar sind.
Für die Umsetzung von SLA ist es deshalb wichtig, dass nur Bestimmungen aufgenommen werden, die konkret überprüfbar sind. Eine allgemeine Forderung wie ‚Verfügbarkeit von 99,99 Prozent‘ genügt nicht – es muss genau festgelegt werden, wann, wo und mit welchen Methoden diese Verfügbarkeit ermittelt wird, und die Risiken für den Provider müssen ebenfalls eingeschränkt werden. Ein umfassendes und skalierbares Monitoring sowie ein entsprechendes Reporting sollten daher ebenfalls in ein SLA eingehen. Üblicherweise wird ein Dienstleister seine Services in unterschiedlichen Levels anbieten. Es liegt auf der Hand, dass ein höheres Verfügbarkeitsniveau seitens des Anbieters einen höheren Aufwand verlangt. Der höhere Aufwand, etwa für deutlich mehr Server oder andere Hardware, schlägt sich meist im Preis der Leistung nieder, so dass ein SLA immer auch den Bezug zu Leistungsumfang und Kosten darstellt.
SLA für Managed Hosting und Managed Applications
Im Bereich Managed Hosting und Managed Applications haben SLA eine besondere Bedeutung. Hier stellt ein Provider einem Unternehmen wesentliche und unternehmenskritische Prozesse als Dienstleistung zur Verfügung, beispielsweise den Betrieb eines Enterprise Resource Planning-Systems (ERP) oder kompletten Webshops. Der Auftraggeber verzichtet dabei auf den Aufbau eigener Ressourcen und konzentriert sich auf Kompetenzen wie die Bereitstellung von Waren oder Dienstleistungen. Der technische Shop-Betrieb wird vom Provider übernommen. Der Kunde spart Investitionen, da er keine eigenen Systeme implementieren, administrieren, pflegen und überwachen muss.
Im Gegenzug ist er davon abhängig, dass der Provider seine Aufgaben mit der nötigen Zuverlässigkeit erfüllt.
Ein Vertrauensverhältnis ist also die Grundlage und Voraussetzung für ein derartiges Geschäft, noch vor der Formulierung von SLA und der zu konzipierenden technischen Lösung. Gerade im Rahmen von Hosting-Services muss ein IT-Dienstleister eine Vielzahl von Faktoren und Szenarien berücksichtigen. So muss er zum Beispiel für die Sicherheit eines Rechenzentrums von Naturschäden über Einbruchsdiebstahl bis zu Flugzeugabstürzen unterschiedliche Gefahren berücksichtigen. Dadurch sind detaillierte Vertragsregeln heute gängige Praxis – entsprechend umfangreich fällt die Seitenzahl von SLA aus.
Vertragliche Regelungen für Cloud Computing
Mit der zunehmenden Verbreitung des Cloud-Computing-Konzepts wird hier allerdings ein Umdenken notwendig, denn der bisherige Ansatz der SLA passt nicht recht zum Cloud Computing. Traditionell legen Unternehmen, die wesentliche Geschäftsprozesse auslagern, möglichst genau fest, auf welche Weise und mit welcher Technik der Provider seine Leistungen zu erbringen hat. Das geht in vielen Fällen so weit, dass der Einsatz bestimmter Hardware vorgeschrieben wird; auch die Prozessor-Ausstattung der Server, die Geschwindigkeit der Festplatten oder die Latenzzeiten der Netzwerkinfrastruktur können in SLA eingehen.
Beim Cloud Computing hingegen wird IT explizit nur als Service aufgefasst, der Geschäftsprozesse zur Verfügung stellt: Das Unternehmen beauftragt den Provider mit der Bereitstellung eines Geschäftsprozesses, wie zum Beispiel den Betrieb einer E-Commerce-Plattform mit einem definierten Leistungsniveau – also einen kompletten, reibungslosen Verkaufsvorgang mit bestimmten Reaktionszeiten. Wie ein solcher Online-Shop technisch realisiert wird – mit welcher Hard- und Software, mit welcher Infrastruktur, mit welchen personellen Ressourcen – das fällt beim Cloud Computing ausschließlich in die Kompetenz des Providers.
Die technischen Details etwa zu Rechenleistung, Kühlungssystemen oder Personaleinsatz des Providers gehören damit auch nicht mehr in das SLA. Für viele IT-Abteilungen bedeutet das ein Umdenken, denn sie sind damit nicht mehr in die Bereitstellung involviert, sondern übernehmen nur noch eine kontrollierende Funktion. Sie prüfen, in wie weit die Vorgaben hinsichtlich der Geschäftsprozesse vom Provider erfüllt werden, ohne sich darum zu kümmern, wie dieser seine Aufgaben erfüllt. Vereinbarungen zu Cloud Computing sollten daher möglichst auf prozessbezogene Kennzahlen beschränkt bleiben, die zwar Geschäftsprozesse, aber keine umfassende technische Infrastruktur beschreiben. Zum anderen gewinnen SLA dadurch an Bedeutung, denn mit dem Wegfall der technischen Aspekte stellt das SLA die zentrale Schnittstelle zwischen den Geschäftsprozessen des Auftraggebers und den technischen Systemen des Providers dar.
Geschäftsprozesse als Basis für IT-Dienstleitsungen
Eine grundlegende Voraussetzung für diesen Ansatz besteht darin, dass der Provider die Geschäftsprozesse seines Kunden kennt und versteht. Nur auf dieser Basis ist die Definition von ausschließlich prozessbezogenen Kennzahlen sinnvoll. Weder Webshop noch ERP-System bestehen aus nur einem Geschäftsprozess, sie verbinden eine Vielzahl von verflochtenen Prozessen. Das SLA muss die gesamte Prozesslandschaft abbilden, gewichten und dazu passende Messpunkte definieren. Diese komplexe Aufgabe erfordert umfangreiche Beratungsleistung durch den Anbieter und enge Zusammenarbeit zwischen ihm und dem Unternehmen.
In der Praxis zeigt regelmäßig, dass Betriebe die Komplexität ihrer Prozesse erheblich unterschätzen, so dass bei der Umsetzung häufig wesentlich mehr Messpunkte berücksichtigt werden müssen als ursprünglich geplant: Die Verfügbarkeit etwa eines Webshops ist nicht nur eine einzige Zahl, sondern ergibt sich aus einer Reihe von Faktoren, wie dem Aufruf, der Anzeige einer Artikelauswahl oder der Dauer des Einstellens von Waren in den Warenkorb. Je besser die Geschäftsprozesse im SLA abgebildet werden, desto individueller ist dieses ausgestaltet. Ein an Geschäftsprozessen orientiertes SLA gibt es daher nicht ‚von der Stange‘. Ein SLA ist vielmehr ein Dokument, das individuell konzipiert ist und sich mit den Geschäftsprozessen verändert. Will beispielsweise ein Unternehmen in seinem Webshop statt Fotos von Artikeln 3D-Ansichten oder Videos zeigen, so hat das Auswirkungen auf Datenvolumen und Antwortzeiten – und damit auf die garantierte Verfügbarkeit. Die Anzeige von Videos erfordert hier also eine Änderung des Regelwerks. Auch Veränderungen, die sich aus dem Geschäftsumfang – etwa steigender Kunden- oder Produktzahl – ergeben, müssen dynamisch abgedeckt werden.
Enge Zusammenarbeit für tragfähige Regelungen
Die Komplexität solcher Geschäftsprozesse ist vielen Unternehmen allerdings im Detail nicht komplett bewusst, und der Provider kann diese Prozesse als Außenstehender nicht ohne Unterstützung des Auftraggebers beschreiben. Das Aufsetzen eines SLA muss daher in gemeinsamer Arbeit und in enger Abstimmung erstellt werden. Die Entwicklung des Regelwerkes aus den Geschäftsprozessen heraus kann daher nicht a priori erfolgen. Das verbreitete Vorgehen, SLA gewissermaßen als letzten Akt der Vertragsverhandlungen festzulegen, lässt sich ebenfalls schwerlich auf Cloud Computing anwenden. Stattdessen sollten sich die Partner verständigen, welche SLA benötigt werden, die der Provider dann als Notwendigkeit in die technische Lösung integriert.
Gleichzeitig ist ein Iterationsverfahren sinnvoll, um SLA und deren Umsetzung detailliert anzupassen. Erst dann lassen sich Bestimmungen aufsetzen, die in der Lage sind, die Dynamik der Geschäftprozesse abzubilden. Die durch das Cloud Computing notwendig gewordene Neuausrichtung der Vertragsgestaltung ist noch nicht bei vielen Unternehmen Realität. Einige wollen die IT zwar als Service nutzen, aber dennoch technische Kriterien in das SLA aufnehmen. Sobald sich das Cloud Computing als fester Besantdteil in der industriellen IT etabliert, dürfte aber auch hier ein großes Umdenken stattfinden.
