Cloud-Beschaffung
Cloud-Beschaffung
Cloud-Beschaffung umfasst den Einkauf von Infrastructure-as-a-Service (IaaS), Platform-as-a-Service (PaaS) und Software-as-a-Service (SaaS) bei Hyperscalern wie Amazon Web Services (AWS), Microsoft Azure und Google Cloud Platform (GCP) sowie europäischen Anbietern wie OVHcloud, Ionos oder T-Systems Open Telekom Cloud.
Detaillierte Erklärung
Maßgebliches Sicherheitsregelwerk im deutschsprachigen Raum ist der Cloud Computing Compliance Criteria Catalogue (BSI C5), 2016 vom Bundesamt für Sicherheit in der Informationstechnik (BSI) eingeführt und 2020 grundlegend überarbeitet, mit rund 125 Einzelkriterien in 17 Themenfeldern. Seit 1. Juli 2025 ist die C5-Typ-2-Testierung verpflichtend für Cloud-Dienste, die Gesundheits- und Sozialdaten verarbeiten. AWS hat 2025 die C5-Typ-2-Testierung für 183 Services abgeschlossen, Azure und GCP halten die Testierung für den Großteil ihrer Dienste. Der Bitkom-Cloud-Monitor 2024 zeigt, dass 81 Prozent der deutschen Unternehmen produktive Cloud-Dienste nutzen, der Cloud-Anteil am IT-Budget liegt im Mittel bei 24 Prozent. Beschaffer müssen den US CLOUD Act mitdenken, der US-Behörden Zugriff auf Daten in europäischen Rechenzentren amerikanischer Anbieter erlaubt; technische Gegenmittel sind kundenseitig verwaltete Schlüssel (Customer-Managed Keys), Treuhänder-Modelle wie Microsoft Cloud Deutschland by Telekom und der EU-Data-Boundary-Bereich von Microsoft 365. Die GAIA-X-Initiative hat Ende 2025 das Trust Framework 3.0 Danube veröffentlicht und positioniert sich als Vertrauensrahmen, nicht als Hyperscaler-Konkurrent. Bei öffentlichen Vergaben nach EVB-IT Cloud verlangen Bund und Länder üblicherweise BSI-C5-Typ-2 oder eine gleichwertige SOC-2-Type-2-Zuordnung. Eine Flexera-Studie 2024 beziffert den Anteil ungenutzter Cloud-Ressourcen bei Großanwendern auf 32 Prozent; FinOps-Praktiken nach FOCUS 1.0 (Stand 2024) reduzieren diesen Verschnitt um 15 bis 25 Prozent.
Praxisbeispiel (konkretes Einkaufsszenario)
Ein Logistikunternehmen aus Norddeutschland mit 2.100 Beschäftigten betreibt ab 2024 eine produktive AWS-Landschaft mit Cloud-Spend von 4,8 Mio Euro pro Jahr. Im internen FinOps-Audit Q1 2025 zeigen sich Auslastungslücken: 28 EC2-Instanzen mit Durchschnittsauslastung unter 12 Prozent, 14 RDS-Datenbanken im Reserved-Instance-Modell mit dreijähriger Bindung trotz nachweislich saisonalem Bedarf, und 480 TB S3-Speicher in Standard-Klasse, von denen 380 TB seit über 6 Monaten nicht zugegriffen wurden. Der Einkauf etabliert ein FinOps-Team von zwei Personen plus ein Tooling-Abo (32.000 Euro pro Jahr), führt das FOCUS-1.0-Kostenmodell ein und verhandelt mit AWS Enterprise Discount Program (EDP) eine dreijährige Verpflichtung über 12 Mio Euro mit 18 Prozent Pre-Commit-Rabatt. Maßnahmen: Rightsizing der EC2-Instanzen (Einsparung 480.000 Euro), Spot-Instances für Batch-Jobs (Einsparung 220.000 Euro), Lifecycle-Policies S3 nach Glacier (Einsparung 96.000 Euro), Reduktion der RDS-Reserved-Instances auf 8 statt 14 (Einsparung 140.000 Euro). Gesamtersparnis 936.000 Euro pro Jahr oder 19,5 Prozent vom Cloud-Spend, plus Pre-Commit-Rabatt 720.000 Euro über drei Jahre.
Typische Fehler & Verhandlungskontext
Erster Fehler: Cloud-Vertrag wie Hardware-Vertrag mit fester Stückmenge ausschreiben — die On-Demand-Abrechnungsmodelle der Hyperscaler funktionieren nur, wenn die RFQ Flexibilität für Reserved Instances und Spot Capacity zulässt. Zweiter Fehler: Datenstandort nicht vertraglich fixieren — eine bloße Standardklausel zur Region (z. B. eu-central-1) ist nicht gleichbedeutend mit vollständiger EU-Verarbeitung; Sub-Services wie globale Logging- oder Monitoring-Tools können Daten in die USA replizieren. Dritter Fehler: kein Exit-Plan im Vertrag — Cloud-Migrationen kosten typisch 0,8 bis 1,4 Prozent des dreijährigen Vertragswerts; ohne dokumentierten Exit-Pfad mit Datenformat-Standards (z. B. Open API Initiative, CNCF) wird Lock-in zur Verhandlungsschwäche im Renewal. Im Verhandlungskontext mit AWS, Azure und GCP sind Pre-Commit-Programme der Hebel: dreijährige Committed-Use-Verpflichtungen bringen 16 bis 22 Prozent Listenpreis-Rabatt, kombinierbar mit Marketplace-Direct-Sourcing-Vorteilen. Eine [[bedarfsbuendelung]] über Konzerngesellschaften plus eine harte FinOps-Disziplin nach FOCUS 1.0 multiplizieren die Hebelwirkung.
Verwandte Begriffe
Die Cloud-Beschaffung ist Teilkategorie der [[it-beschaffung]] neben [[software-beschaffung]], [[saas-beschaffung]] und [[hardware-beschaffung]], setzt einen [[auftragsverarbeitungsvertrag-avv]] mit dokumentiertem Verarbeitungsstandort voraus, ein klar geregeltes [[service-level-agreement]] über Verfügbarkeit und Performance ergänzt durch [[total-cost-of-ownership]]-Modellierung über Hardware-Migration und Lizenzkosten, und mündet bei Auslagerungstiefe in einen [[it-outsourcing-vertrag]].