Buchrezension: Scott Feuless „The Cloud Service Evaluation Handbook“
| Autor / Redakteur: Ariane Rüdiger / Elke Witmer-Goßner
Die Nutzung der Public Cloud bringt nicht immer die erhofften Vorteile, gerade, wenn es um die IT-Kosten geht. Wer Cloud-Kosten richtig planen und später im Griff behalten will, braucht ein hersteller- und providerunabhängiges Bewertungsschema. Ein solches hat der Cloud-Spezialist Scott Feuless entwickelt.
„Oft endet die hoffnungsvoll begonnene Nutzung von Cloud-Services damit, dass Cloud- und On-Prem-IT-Kosten gleichzeitig steigen“, referierte Scott Feuless anlässlich einer Anwendertagung zum Thema TBM (Technology Business Management) in Frankfurt. Für Anwender komme es daher darauf an, die Charakteristiken der Applikationen, die in die Cloud wandern sollen, sehr genau zu kennen und dann zu evaluieren, welcher Cloud-Service welchen Providers dazu passende Eigenschaften aufweist. Das ist aber schwierig: Auf den ersten Blick ähnliche Services offenbaren beim näheren Hinsehen erhebliche Unterschiede, sei es technologisch oder bezogen auf die Abrechnung. Wer aufs falsche Pferd setze, werde unter Umständen mit viel zu hohen Kosten bestraft. Weitere Probleme ergäben sich, so Feuless, durch häufige Änderungen bei Preisen, Funktionen und übrigen Konditionen.
Metrik für Auswahlentscheidungen nötig
Wie aber geht man daran, einen sinnvollen Service auszuwählen? Am besten mit einer übergreifenden Metrik, die sich flexibel an die unterschiedlichen Auswahlaufgaben anpassen lässt. Mit der Entwicklung einer solchen begann Computer Associates (CA) zusammen mit der City University London im Jahr 2010. Die Bemühungen wurden bald an das unter anderem von CA gegründete herstellerneutrale CSMIC (Cloud Services Measurement Initiative Consortium) übergeben. Entstehen sollte ein Public-Domain-Framework für die Bewertung von Cloud-Services. Zwei Forscher der Carnegie Mellon Universität, Jane Siegel und Jeff Perdue, standen dem Gremium vor. Das Beratungsunternehmen ISG, inzwischen ebenfalls CSMIC-Mitglied, entsandte Feuless als Cloud-Spezialisten. Um nicht doppelt zu entwickeln, wurde die Cloud Control Matrix von CSA (Cloud Security Association) zu Sicherheitsthemen lizenziert. Ein erster Versuch der geplanten Matrix wurde September 2011 mit dem SMI (Service Measurement Index) zur Kommentierung freigegeben. Die Arbeiten wurden allerdings wegen mangelnder Finanzierung von der CSMIC 2014 unvollendet abgebrochen.
Um seine bisherige Arbeit nicht umsonst getan zu haben, brachte Feuless den Job allein zu Ende und publizierte im August 2016 im Alleingang die erste Auflage des „Cloud Service Evaluation Handbook“. 2018 erschien die zweite, aktualisierte Auflage. Sein Handbuch hat gegenüber Beratungsunternehmen, die ebenfalls bei der Cloud-Service-Auswahl helfen, den Vorteil, nur knapp rund 36 Euro im Online-Buchhandel zu kosten. Feuless beschreibt systematisch eine umfassende Bewertungsmatrix mit über 50 Metriken. Zugleich liefert er eine Methode, wie sich aus dem Dickicht der denkbaren Indikatoren die für den individuellen Fall sinnvollen herausfischen und so gewichten lassen, dass am Ende eine nachvollziehbare und begründbare Entscheidung zustande kommt. Anwender müssen zwar trotzdem überlegen, was für sie am wichtigsten ist, die Entscheidung für einen Service wird im Nachhinein aber transparent. So lässt sich nachvollziehen, warum und wie die Entscheidung getroffen wurde – wichtig oft bei Verhandlungen zwischen IT und Geschäftsleitung oder Finanzmanagement.
Sechs Indikator-Kategorien plus Wertigkeiten und Scores
Feuless kategorisiert seine Indikatoren in die sechs großen Gruppen Verantwortlichkeit, Agilität, Verfügbarkeit/ Zuverlässigkeit, Finanzen, Leistung, Sicherheit und Datenschutz sowie Nutzbarkeit. Zu jeder Kategorie definiert er Unterkategorien in ein bis zwei Leveln, so dass ein sehr differenziertes Bewertungsschema entsteht. Nach Feuless` Methode werden zunächst die Kategorien ausgewählt, die im individuellen Fall wichtig sind. Je nach den Umständen kann sich also die Komplexität der Bewertungsmatrix sehr stark voneinander unterscheiden. Für europäische Kunden werden beispielsweise aufgrund der europäischen Datenschutzrichtlinie Sicherheits- und Datenschutzgesichtspunkte eine wichtigere Rolle spielen als für US-Anwender des Schemas.
Jeder ins individuelle Auswahlprojekt einbezogene Indikator erhält ein eigenes Gewicht zwischen eins und zehn und eine Bewertung des einzelnen Angebots ebenfalls zwischen eins und zehn. Die Wertigkeit eines Indikators ergibt sich durch die Multiplikation der jeweiligen Wertigkeit mit der Bewertung des Einzelanbieters. Der Score des Einzelindikators wird über alle Bewertungsebenen, zu denen er gehört, mit der jeweiligen Wertigkeit multipliziert und summiert. So kann man die Wertigkeit einzelner Themen gezielt differenzieren und erhält einen aussagekräftigen Zahlenwert als Ergebnis.
Ein Beispiel: Zum Thema Zuverlässigkeit gehört das Unterthema Wiederherstellbarkeit und zu diesem die Unterkategorie Recovery-Standort. Die Wertigkeit des Recovery-Standorts in einer Gesamtbewertung ergäbe sich aus der Multiplikation der jeweiligen Wertigkeiten von Recovery-Standort, Wiederherstellbarkeit und Zuverlässigkeit mit dem Score des jeweiligen Anbieters. Außerdem empfiehlt Feuless, Mindest-Scores für wichtige Indikatoren festzulegen, wenn diese wichtig sind. Es ist auch möglich, Indikatoren gleich null zu setzen, wenn man sie sich wenigstens ansehen, aber ihnen letztlich kein entscheidendes Gewicht bei der Entscheidung zubilligen möchte.
Indikatoren – was und wie sie messen
Der wesentlich umfangreichere Teil des Buches beschreibt die einzelnen Indikatoren im Detail. Für jeden Indikator wird angegeben, was damit gemeint ist, warum der Indikator wichtig ist und wie er sich messen lässt, wie sich beispielsweise Audits in die Bewertung einbeziehen lassen und wessen Prüfungen man vertrauen beziehungsweise wer die nötigen Prüfungen vornehmen kann. Schließlich empfiehlt Feuless ein Scoring-Schema für jeden einzelnen Indikator, bei dem bestimmte Scoring-Punktzahlen bestimmten Merkmalsausprägungen zugewiesen werden. Auch dies ist nur ein Anhaltspunkt und kann von Nutzern der Systematik beliebig verändert werden.
Dass dieses Handbuch auf Englisch erschienen ist, ist ein Minuspunkt für alle, die die Sprache nicht sicher lesen können. Wer gut genug Englisch beherrscht, kann das 369 Seiten dicke, broschierte Buch entweder als Nachschlagwerk verwenden, wenn es gilt, einen neuen, wichtigen Cloud-Service auszuwählen. Oder man liest es einmal durch, um einen Einstieg in das diffizile Gebiet zu finden. Gerade in der Bewertung von Services noch Ungeübte finden bei Feuless wertvolle Hilfestellungen. So vermeiden sie, keine wichtigen Kriterien zu vergessen und gleichzeitig den Bewertungsaufwand nicht ausufern zu lassen. Zusätzlich zum Buch gibt es die Website www.cloudserviceevaluation.com.
Schreibe einen Kommentar