Bundesamt für Sicherheit in der Informationstechnik

G 2.196 Fehlende Kosten-Nutzen-Betrachtung der Cloud-Nutzung über den gesamten Lebenszyklus

In der Praxis lässt sich, aufgrund der großen Popularität und Vielfalt von Cloud Services, beobachten, dass nutzende Institutionen die zu erwartenden Kosten kleinrechnen, häufig verbunden mit dem Großrechnen des erhofften Nutzens.

Der Verzicht auf eine realistische Kosten-Nutzen-Betrachtung der Cloud-Nutzung über den gesamten Lebenszyklus zieht häufig finanzielle Einbußen für die nutzende Institution nach sich. Bei der Kosten-Betrachtung ist zwischen Investitionskosten (Capex - capital expenditure) und Kosten für den operativen Geschäftsbetrieb (Opex - operational expenditure) zu unterscheiden. Cloud-Angebote werben oft damit, dass die Investitionskosten durch operative Kosten abgelöst werden, die weniger langfristig und besser mit dem tatsächlichen Bedarf skalieren.

Beim Umstieg auf Cloud Services entstehen zunächst zusätzliche Kosten, da vorhandene Dienste und die dafür benötigte Infrastruktur nicht sofort abgelöst werden können.

In vielen Institutionen ist zu beobachten, dass bei einer Kosten-Nutzen-Betrachtung jedoch lediglich die Kosten für den operativen Geschäftsbetrieb herangezogen werden, da Cloud Services in der Regel nach Verbrauch abgerechnet und somit klassisch als Opex angesehen werden.

Bei der Entscheidung für die Nutzung von Cloud Services wird eine Reihe von Kosten häufig nicht oder unzureichend in eine Kosten-Nutzen-Betrachtung einbezogen, wie zum Beispiel:

  • Kosten für die notwendige Anpassung der Prozesse beziehungsweise der vorhandenen Infrastruktur an die Cloud-Nutzung
  • Kosten für Fallback-Szenarien im Falle etwaiger Probleme
  • Kosten, die im Zusammenhang mit einem möglichen Vendor-Lock-In, also der Abhängigkeit von einem spezifischen Cloud-Diensteanbieter, stehen
  • Kosten für die Durchführung von Schulungen, sowohl für Administratoren als auch für Benutzer
  • Kosten für die Durchführung von Audits beim Cloud-Diensteanbieter
  • Kosten, die durch eine notwendige Anpassung anderer Services in Folge der Cloud-Nutzung entstehen, wie zum Beispiel Backup oder Rechnungslegung in der Buchhaltung

Als Folge einer fehlenden oder unzureichenden Kosten-Nutzen-Betrachtung über den kompletten Lebenszyklus erweisen sich Services, die durch Cloud-Nutzung erbracht werden, unter Umständen als unrentabel. Zudem ist der Nutzen den Kosten gegenüberzustellen. Es kann vorkommen, dass Cloud-Dienste im Produktivbetrieb keinen signifikanten Nutzwert erzielen. Werden solche Cloud-Dienste in die interne IT zurückgeführt, entstehen für die Institution sowohl Kosten für die Auslagerung des Services in die Cloud, als auch für die spätere Wiedereingliederung.

Darüber hinaus existieren weitere Aspekte, die im Zusammenhang mit der Nutzung von Cloud Services als Gefährdung angesehen werden können und die sowohl finanzielle Risiken als auch Risiken für die Verfügbarkeit des Services nach sich ziehen:

  • Die Abschätzung der zu erwartenden Pay-per-Use-Kosten ist falsch beziehungsweise lückenhaft. Grund hierfür ist beispielsweise das Zugrundelegen eines typischen Nutzverhaltens und die Nichtberücksichtigung saisonaler Schwankungen. Dies ist insbesondere dann problematisch, wenn die betroffenen Cloud Services durch externe Benutzer angestoßen werden und die Institution damit nur schwer Einfluss auf den tatsächlichen Verbrauch nehmen kann.
  • Bei Risikobewertungen, wie sie beispielsweise hinsichtlich IT -Ausfällen vorgenommen werden, erfolgt keine Anpassung an das Cloud-Nutzungsmodell oder diese Risiken werden schöngerechnet. Zwar werden einige Risiken an den Cloud-Diensteanbieter übertragen, jedoch wird dabei häufig übersehen, dass dadurch neue Risiken für die Institution entstehen können.

Stand: 14. EL Stand 2014