Was Cloud-Anbieter in den allgemeinen Geschäftsbedingungen den Nutzern ihrer Angebote zumuten, unterscheidet sich erheblich von ihren vollmundigen Versprechen und den hohen Erwartungen der Anwender. „Die Service-Garantien der Cloud-Anbieter sind dürftig, Haftungsausschlüsse weit verbreitet; verlässliche Regelungen zur Datensicherheit die Ausnahme, so dass der Anwender potenziell allein für die rechtlichen Risken haftet“, schreibt Camille Mendler, Vice President bei der Yankee Group.
Für die Studie „Cloud 99.99: The Small Print Exposed“ hat sie die allgemeinen Geschäftsbedingungen, Service-Level-Agreements und Datenschutzrichtlinien von 46 Cloud-Services von 41 unterschiedlichen Anbietern untersucht. Gegenstand der Analyse waren Software-, Infrastruktur- und Plattform-as a Service-Angebote. (SaaS, IaaS, PaaS). Mit dabei waren Schwergewichte der Branche wie Google, Amazon, Microsoft und Salesforce.com.
Fazit: Lediglich die Hälfte der Cloud-Provider bietet überhaupt klar festgelegte SLAs an, kein einziges lässt sich auf Vertragsstrafen ein, wenn diese nicht eingehalten werden. Fristen für die Problembehebung sind meist schwammig formuliert, als Kompensation bliebe den Kunden meist nur die Möglichkeit einer außerordentlichen Vertragskündigung oder die vage Hoffnung auf eine Gutschrift.
Ungenaue rechtliche Regelungen, Schwammige SLAs
Im Wesentlichen hat die Yankee-Group drei Problemfelder identifiziert:
-
Schwammige SLAs: „Die Anbieter zeigen erhebliche Creativität bei der Definition von “ Uptime“, egal wie viele Neunen in der Vereinbarung stehen“, schreibt Mendler. Zudem bezögen sich die Uptime-Garantien selten auf eine End-to-End-Verfügbarkeit. Ebenso sei es üblich, dass die Anbieter die vereinbarten Wartungsfenster sehr großzügig in ihrem Sinne auslegen.
-
Ungenaue rechtliche und Datenschutz Regelungen: Viele Anbieter werben mit einer SAS-70-Zertifizierung. „Aber eine solche Zertifizierung ist kein Blankoscheck für umfassende Sicherheit. Unternehmen sollten auch auf eine ISO 27000 Zertifizierung schauen und prüfen, ob der Anbieter in der Lage ist, die internationalen Regeln zum Datenschutz zu gewährleisten“, so Mendler.
-
Fragwürdige Messverfahren: Die Cloud-Anbieter als Betreiber der Infrastruktur sind bei der Messung der Performance gleichzeitig Partei und Richter. Deshalb müsse es eine Selbstverständlichkeit sein, dass Performance-Monitoring-Tools von Drittanbietern eingesetzt werden können, um den Kunden eine Möglichkeit der Überprüfung an die Hand zu geben.
Zwar bezieht sich die Yankee-Untersuchung vorrangig auf den amerikanischen Markt, aber eine Fraunhofer-Studie aus Deutschland kommt zu ähnlichen Ergebnissen. Werner Streitberger und Angelika Ruppel vom Fraunhofer-Institut für Sichere Informationstechnologie (SIT) in Garching bei München haben die Internetseiten von Cloud-Providern durchforstet und deren Whitepaper ausgewertet. Gegenstand der Studie "Cloud Computing Sicherheit - Schutzziele. Taxonomie. Marktübersicht" waren sowohl Infrastruktur-Anbieter als auch Anwendungsdienste wie etwa Google Apps.
Ihre Schlussfolgerungen decken sich weitgehend mit den Erkenntnissen der Yankee-Group: Wer Cloud-Services in Anspruch nimmt, bleibt in der Regel auf den rechtlichen Risiken im Zusammenhang mit der Sicherheit seiner Daten sitzen. Es fehlten noch umfassende Sicherheitsstandards, und wenn die Anbieter Angaben zur Sicherheit machen, seien diese oft zu ungenau, resümiert die Studie. Die Sicherheitstechnologien in Infrastruktur, Architektur, Verwaltung und Compliance sind der Studie zufolge nicht genügend dokumentiert, um die Cloud-Anbieter auf Basis frei verfügbarer Angaben im Hinblick auf ihre Sicherheitsmaßnahmen exakt zu beurteilen.
Kaum Gestaltungsmöglichkeit bei Cloud-Verträgen
Der direkte Vergleich von Anbietern sei fast unmöglich, weil die einzelnen Cloud-Service jeweils mit vollkommen unterschiedlichen Sicherheitsmerkmalen ausgestattet sind. Außerdem seien SLAs oft unklar definiert, und die Cloud-Provider böten diese nur als standardisierte Service Level Agreements an, die nicht frei verhandelbar sind. Der Cloud-Kunde kann deshalb nur dem ganzen Paket entweder zustimmen oder es eben ablehnen.
Die amerikanische Analystin Mendler von der Yankee-Group zieht jedenfalls ein nüchternes Fazit: "Wenn es um die vertragliche Absicherung der Versprechen der Cloud-Provider geht, überwiegt zur Zeit das Risiko die Vorteile des Cloud-Computing.“ Die Studie lässt sich auf zwei Weisen lesen: Als Warnung an potenzielle Cloud-Kunden, aber auch als Handlungsaufforderung. „Die Cloud-Provider sollten schnell ihre Angebote auf Vordermann bringen, weil große Investitionsentscheidungen in der Schwebe sind. Unternehmen verlangen Transparenz, Professionalität und Sicherheit, wenn sie in Cloud-Services investieren sollen. Aber das können heute nur wenige Provider bieten.“