Bundesamt für Sicherheit in der Informationstechnik

M 2.355 Auswahl von Lieferanten für eine Speicherlösung

Verantwortlich für Initiierung: Behörden-/Unternehmensleitung, IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Behörden-/Unternehmensleitung, IT-Sicherheitsbeauftragter, Leiter IT

Nachdem die Anforderungen für eine Speicherlösung spezifiziert wurden, ist ein geeigneter Lieferant zu identifizieren. Die Auswahl möglicher Lieferanten muss dabei mehr Kriterien berücksichtigen als die reine Hardwarelösung und deren Preis. Mögliche Auswahlkriterien sind:

  • Technische Anforderungen
  • Kaufmännische Anforderungen (Kauf, Leasing, Storage-on-Demand- [SoD-] Modelle)
  • Bestehende Lieferantenbeziehungen
  • Bestehende Rahmenverträge mit Lieferanten
  • Flächendeckende Serviceerbringung

Es ist davon auszugehen, dass die Unterstützung des Lieferanten mindestens bei der Lösung von Problemen im Betrieb und erst recht bei Hardwareausfällen benötigt wird. Entsprechend sind neben Preisen und Konditionen für die Beschaffung der Speicherlösung und deren Inbetriebnahme auch die Konditionen und der Leistungsumfang der angebotenen Unterstützung zu bewerten.

Die Aspekte der Wartung und Instandhaltung werden schriftlich im Vertrag im Rahmen von sogenannten Service Level Agreements (SLAs) definiert. Entsprechend sollte das Angebot eines möglichen Lieferanten neben den Hardware- und Softwarepreisen auch die Preise für denkbare SLA s beinhalten, sodass der Kunde die Gesamtpakete vergleichen kann, wenn verschiedene Hersteller oder Lieferanten in Betracht kommen.

Wichtig ist in diesem Zusammenhang auch die Bewertung von zusätzlichen Kriterien wie der Servicefähigkeit eines Anbieters, die beispielsweise von der Verteilung einzelner Servicestützpunkte abhängt. Darüber hinaus kann eine zentrale Hotline, die durch den Anbieter zur Verfügung gestellt wird, oder der Nachweis der Leistungsfähigkeit durch eine signifikante Anzahl entsprechend zertifizierter Mitarbeiter für das gewünschte System ein ausschlaggebender Aspekt sein. Institutionen sollten dazu weiterhin M 2.356 Vertragsgestaltung mit Dienstleistern für Speicherlösungen beachten.

Wenn eine Speicherlösung nicht gekauft, sondern z. B. geleast wird, muss auch vertraglich festgehalten werden, wie bei Vertragsende der Datentransfer auf Nachfolgesysteme, die Datenlöschung und andere technische und organisatorische Fragen gehandhabt werden und welche Kosten hierfür entstehen.

Generell ist festzustellen, dass gerade bei komplexen Systemen eine Lösung aus einer Hand Vorteile haben kann und daher präferiert werden sollte: In der Regel können Probleme, die beim Aufbau, Test und Betrieb entstehen, schneller und effektiver beseitigt werden, wenn nur ein Anbieter involviert ist.

Bei Lösungen aus Komponenten verschiedener Anbieter können in der Anschaffung preisliche Vorteile erzielt werden. Es ist aber wichtig zu prüfen, ob dieser Vorteil auch bestehen bleibt, wenn die Kosten der Umsetzung (Grundkonfiguration, Probebetrieb, Datenmigration) und des Betriebs (Wartung, Unterstützung bei Problemen) mit betrachtet werden.

Prüffragen:

  • Enthält der Vertrag eindeutige und quantifizierbare Leistungsbeschreibungen?

  • Sind die Auswahlkriterien und die Auswahl des Lieferanten nachvollziehbar dokumentiert?

  • Sind genaue Regelungen für das Laufzeitende des Vertrages getroffen worden?

Stand: 14. EL Stand 2014