Am einfachsten machen es sich die Public-Cloud-Provider: Internet-Unternehmen wie Google und Amazon haben durchweg einheitliche SLAs, die nicht verhandelbar sind. Kritiker sprechen von "Low Level SLAs". Beispielsweise legt Amazon für seinen In-frastrukturdienst EC2 generell Server-Verfügbarkeiten von mindestens 99,95 Prozent innerhalb von 365 Tagen fest. Microsoft bietet für seine SaaS-Dienste Exchange Online oder SharePoint Online ein Uptime-Service-Level von 99,9 Prozent. Aber lassen sich Unternehmensanforderungen mit standardisierten SLAs überhaupt komplett abdecken? Oder sollte man doch die kostspieligeren, aber individuell zugeschnittenen Cloud-Services der traditionellen IT-Dienstleister nutzen?
"Kommt darauf an", sagt Senior Advisor Carlo Velten von der Experton Group und Autor des kürzlich veröffentlichten Cloud-Vendor-Benchmarks 2010. "Wenn es um unkritische Anwendungen geht, ums Testen und Entwickeln, kann man das bei den preisgünstigen Public-Cloud-Providern wunderbar erledigen." Für simple Web-Applikationen fürs Marketing, kurzfristiges High Performance Computing oder für Genom-Analysen, bei denen man nur Rechen-Power braucht, seien Amazon Cloud, Salesforce oder Microsofts Azure geeignet. "In diesen Bereichen kann man die Nachteile von standardisierten SLAs und die rechtlichen Vorschriften beruhigt in Kauf nehmen", sagt Velten.
SLA-Diskussion ist theoretisch
"Für viele Unternehmen ist die SLA-Diskussion ohnehin zu theoretisch", ergänzt Markus Eilers, Geschäftsführer von Runtime Software. Sein Spin-off Pulsd entwickelt für mittelständische Unternehmen SaaS-Angebote auf der Microsoft-Azure-Plattform. Mit den auf Azure aufgebauten Diensten Pulsd Sales und Pulsd Service können Kunden beispielsweise ihre mobilen Nutzer ohne technisches Know-how in ihre Geschäftsprozesse integrieren.
Was die Service-Qualität betrifft, macht sich Eilers keine großen Sorgen. Er gibt die Microsoft-SLAs einfach an seine Kunden weiter. "Die Verfügbarkeiten im Bereich von 99,8 bis 99,9 Prozent, die von Microsoft garantiert werden, sind für unsere Kunden akzeptabel. Sollte ein Dienst tatsächlich einmal für kurze Zeit ausfallen, ist er für viele Unternehmen trotzdem wirtschaftlicher, als hohe Summen in garantierte 100 Prozent Verfügbarkeit zu investieren."
Der IT-Unternehmer gibt aber zu, dass die nicht verhandelbaren SLAs Ausschlusskriterien sein können. So entschädigt Microsoft bei Ausfall zwar die entgangene Servicezeit, nicht aber den entgangenen Umsatz. "Wenn Sie einen großen Online-Shop betreiben, und Sie bekommen den entgangenen Umsatz für die Ausfallzeit nicht ersetzt, ist das natürlich unbefriedigend."
Amazon verhandelt keine SLAs
Für Ralph Treitz, Gründer und Vorstand der VMS AG aus Heidelberg, sind solche Unwägbarkeiten nicht hinnehmbar. Das Beraterhaus betreut große DAX-Unternehmen wie Henkel, Bayer, Hypovereinsbank und Telekom und hat sich auf das Optimieren von SAP-Systemen spezialisiert. Dazu gehört auch die Planung von SAP Grid und Cloud Computing. Die Mission-Critical-Features, die seine Kunden verlangen, können Public-Cloud-Provider - Stand heute - nicht bedienen. "Cloud-Dienstleister wie Amazon bieten überhaupt keine SLAs in dem Sinn, dass eine nicht erbrachte Leistung spürbare Konsequenzen für den Diensteanbieter hat", erklärt Treitz. "Ich konnte keine SLA mit Amazon vereinbaren. Ich konnte Services buchen und nett per E-Mail korrespondieren, ja. Aber ich bekam keinen definierten Ansprechpartner, und vor allem: Ich bekam keine Zusicherung von Amazon hinsichtlich der Folgen im Falle von Problemen mit dem Cloud-Service."
Für Treitz sind die Public-Cloud-Anbieter nichts anderes als Self-Service-Webshops: "Sie gehen rein, suchen sich Ihre Ware und bekommen sie - oder auch nicht. Sie haben keine kommerzielle Handhabe außer der Beendigung des Leistungsbezugs." Das gilt auch für deutsche Dienstleister, bei denen Treitz auf ähnliche Widerstände gegen aushandelbare SLAs stieß. 1&1 reagierte auf seine Bitte um schriftliche Antwort für gewünschte SLA-Requirements mit der lapidaren telefonischen Auskunft, man werde sich im Fall der Fälle Mühe geben.
Stehen Sicherheit, Mission-Critical-Applikationen oder langfristiger Betrieb von Anwendungen im Vordergrund, sollte man sich bei Private-Cloud-Anbietern umsehen - angeboten von etablierten IT-Dienstleistern wie IBM, Fujitsu oder T-Systems. Die haben zwar das Cloud-Konzept nur bedingt umgesetzt, bieten aber einen geeigneten SLA-Katalog an, ein breites, integriertes Angebot und anpassbare Lösungen - bei T-Systems können beispielsweise dynamische SAP-Ressourcen nach Bedarf abgerechnet werden. "Zu 100 Prozent virtualisiert ist die IT dort noch nicht", sagt VMS-Vorstand Treitz. "Aber doch schon weitgehend. Vor allem ist T-Systems in der Lage, den Kunden verhandelbare und problemadäquate SLAs anzubieten."
Probleme bei End-to-End-SLAs
Zu bedenken ist auch, dass Cloud-SLAs neben Serviceparametern wie Uptime oder Verfügbarkeit noch eine zweite Komponente haben: das Routing des Traffics, also wie schnell und zuverlässig Daten vom Provider zum Kunden transportiert werden. Das normale Internet ist in kritischen Fällen nur bedingt geeignet, End-to-End-SLAs abzubilden. Denn Verfügbarkeit, Antwortzeiten und Schnelligkeit sind hier extrem variabel. Wenn der Cloud-Provider sein Rechenzentrum in den USA hat, gehen die Datenpakete über mehrere Stationen zum deutschen Kunden - was lange dauern kann. Private-Cloud-Dienstleister, die aus dem TK-Umfeld kommen, haben es etwas einfacher, weil sie RZ-Leistungen und TK-Kapazitäten aus einer Hand anbieten können. Große Unternehmen wie IBM gehen bei umfangreicheren Projekten oft gemeinsam mit einem TK-Provider in eine Ausschreibung.
Deutscher Rechtstext wichtig
Public-Cloud-Dienste, bei denen die Content-Auslieferung über eine normale Internet-Verbindung läuft, haben hier ein Defizit. Einige Public-Cloud-Provider behelfen sich mit Content Distribution Networks (CDNs). Das sind lokale Caching-Server, auf denen die Daten geografisch verteilt zwischengespeichert werden, sodass sie schneller am Zielort sind. Vorbildlich macht das Amazon mit seiner CloudFront, das die Daten weltweit in 18 verschiedenen Datencentern, darunter Frankfurt, zwischenspeichert. User erhalten die Daten vom besten für sie erreichbaren Caching-Server. Ob das reicht, muss von Fall zu Fall entschieden werden.
Bei unternehmenskritischen Anwendungen empfiehlt Experton, auf europäische Rechtskonformität zu achten. Die SLAs seien komplex, Anwender hätten zudem wenig Erfahrung mit den Angeboten, weshalb deutsche Fassungen wichtig seien. Selbst wer gut Englisch spricht, muss sich durch Dokumente mit zehn bis 15 Seiten kämpfen, die rechtliche und IT-Kompetenz voraussetzen. "Ein Provider, der in Deutsch formuliert und am besten auch den Gerichtsstand in Deutschland hat, ist zweifellos von Vorteil", sagt Experton-Analyst Velten. Das könne natürlich auch ein US-Anbieter sein, der hier tätig wird.
Künftig könnten SLAs anwenderfreundlich in verschiedene Leistungsklassen kategorisiert werden. So entwickelt der Verband der Cloud-Services-Industrie in Deutschland, EuroCloud-Deutschland_eco e.V., gerade ein Gütesiegel zur Zertifizierung von Software-as-a-Service-Lösungen. "Der Cloud-Services-Markt ist noch sehr unübersichtlich", sagt Verbandsvorsitzender Bernd Becker. Dabei sind Vergleichbarkeit und gesicherte Qualität die wichtigsten Entscheidungskriterien.