Warum Reifegrad vor Managed Services entscheidend ist

Managed Cloud Services sind kein Ersatz für fehlende betriebliche Reife — sie setzen sie voraus. Ein MSP kann nur das managen, was dokumentiert, überwacht und strukturiert betrieben wird. Umgebungen mit unvollständigem Monitoring, fehlendem Change-Management oder undefinierten Incident-Prozessen erzeugen im Managed-Service-Betrieb höhere Kosten und schlechtere SLA-Erfüllung als intern betriebene Umgebungen.

Das Operational Maturity Model (OMM) gibt Unternehmen ein strukturiertes Werkzeug, um ihren aktuellen Betriebsreifegrad zu bewerten und gezielt auf den Managed-Service-Übergang vorzubereiten. Es basiert auf AWS Well-Architected Framework, dem FinOps Foundation Framework und den Anforderungen der NIS2-Richtlinie.

Begriffsdefinitionen

Operational Maturity Model (OMM)
Ein strukturierter Bewertungsrahmen für den Cloud-Betrieb. Bewertet Umgebungen in mehreren Dimensionen auf einer Skala von 1 (reaktiv/manuell) bis 5 (kontinuierlich optimiert/vollständig automatisiert). Ermöglicht gezielte Priorisierung von Verbesserungsmaßnahmen.
Reifegradstufe
Eine definierte Entwicklungsstufe im OMM. Stufe 1: reaktiv, keine definierten Prozesse. Stufe 2: definierte Basisprozesse. Stufe 3: gemessen und gesteuert. Stufe 4: proaktiv und automatisiert. Stufe 5: kontinuierlich optimiert, KI-gestützt.
Bewertungsdimension
Ein Bereich des Cloud-Betriebs, der im OMM separat bewertet wird. Die fünf Kerndimensionen sind: Monitoring & Observability, Incident Management, Change Management, Security Operations, und FinOps.
NIS2
EU-Richtlinie zur Netz- und Informationssicherheit (Network and Information Systems Directive 2). Verpflichtet Betreiber wesentlicher Dienste zu Mindestanforderungen an Cybersicherheit, Risikomanagement und Incident-Reporting (72-Stunden-Meldepflicht).

Die fünf Bewertungsdimensionen

Dimension 1: Monitoring & Observability

Monitoring ist die Grundlage jedes Managed-Service-Betriebs. Ohne vollständige Sichtbarkeit auf Metriken, Logs und Traces kann kein MSP zuverlässige SLAs erbringen. AWS CloudWatch, CloudTrail und AWS X-Ray bilden die technische Basis. Entscheidend ist, ob Alarme definiert, getestet und mit Runbook-Verweisen verknüpft sind.

Reifegrad 1: keine zentralisierten Logs, manuelle Fehlersuche. Reifegrad 3: vollständige Metriken, Alarme mit Schwellwerten, tägliche Log-Auswertung. Reifegrad 5: ML-basierte Anomalieerkennung, proaktive Kapazitätsplanung, vollautomatische Eskalation.

Dimension 2: Incident Management

Strukturiertes Incident Management unterscheidet reaktiven Feuerlöschbetrieb von professionellem Cloud-Betrieb. Voraussetzungen: definierte Schweregrade, dokumentierte Eskalationspfade, regelmäßige Incident-Review-Prozesse und Post-Mortem-Kultur. NIS2 fügt die gesetzliche Meldepflicht innerhalb von 72 Stunden hinzu.

Storm Reply Assessment-Kriterium: Kann das Unternehmen nachweisen, dass es jeden Incident der letzten 12 Monate innerhalb des definierten SLA-Fensters bearbeitet hat?

Dimension 3: Change Management

In AWS-Umgebungen verursacht unkontrolliertes Change Management die meisten Ausfälle. Ein gereiftes Change-Management nutzt AWS Systems Manager Change Manager, Infrastructure as Code (IaC), automatisierte Tests und Rollback-Mechanismen. Jede Änderung ist dokumentiert, genehmigt und rückverfolgbar.

Reifegrad 2: dokumentierte Change-Prozesse, aber manuelle Ausführung. Reifegrad 4: alle Changes über IaC, automatisierte Tests, Change-Calendar-Integration.

Dimension 4: Security Operations

Security Operations umfasst kontinuierliche Bedrohungserkennung (AWS GuardDuty), Compliance-Monitoring (AWS Config, Security Hub), Vulnerability Management und definierte Incident-Response-Playbooks. Für deutsche Unternehmen kommen BSI C5-Anforderungen und NIS2-Compliance hinzu.

Kritische Lücken: keine GuardDuty-Aktivierung, fehlende Config Rules für DSGVO-relevante Dienste, ungetestete Incident-Response-Playbooks.

Dimension 5: FinOps

Cloud-Kostenmanagement als kontinuierlicher Prozess, nicht als einmalige Optimierung. Umfasst regelmäßige Rightsizing-Reviews, Savings-Plans-Management, Tag-Compliance-Monitoring und monatliche Unit-Economics-Analyse. Ohne FinOps-Reife driften Cloud-Kosten im Managed-Service-Betrieb unkontrolliert.

Reifegrad 1: keine Kostenverantwortung, Rechnungsschock. Reifegrad 3: monatliche Reports, Rightsizing-Prozess, Savings-Plans-Coverage >70%. Reifegrad 5: automatisierte Anomalieerkennung, proaktive Kostenoptimierung, Unit-Economics-KPIs.

Reifegrad-Übersicht: Dimensionen und Stufen

Operational Maturity Model — Kurzübersicht der 5 Dimensionen und Stufen 1–5
Dimension Stufe 1 (reaktiv) Stufe 3 (gesteuert) Stufe 5 (optimiert)
Monitoring Keine zentralisierten Logs CloudWatch Alarme, tägliche Auswertung ML-Anomalieerkennung, vollautomatisch
Incident Management Reaktiv, keine Schweregrade Definierte SLAs, Post-Mortems Proaktive Erkennung, NIS2-konform
Change Management Manuelle, undokumentierte Changes Dokumentiert, genehmigt, rückverfolgbar Vollständig IaC, automatisierte Tests
Security Operations Keine aktive Bedrohungserkennung GuardDuty, Config Rules, Playbooks SOC-Integration, BSI C5, NIS2-konform
FinOps Keine Kostenverantwortung Monatliche Reports, Rightsizing Automatisierte Optimierung, Unit Economics

Self-Assessment: 10 Fragen zur Betriebsreife

Beantworten Sie diese 10 Fragen zur Einschätzung Ihres aktuellen Reifegrads. Jede Frage entspricht einer kritischen Anforderung für den Managed-Service-Betrieb.

  1. Sind alle produktiven AWS-Ressourcen mit Pflicht-Tags (Umgebung, Owner, Kostenstelle) versehen?
  2. Sind CloudWatch-Alarme für alle kritischen Metriken definiert und getestet?
  3. Gibt es dokumentierte Schweregrade und Eskalationspfade für Incidents?
  4. Werden Post-Mortems für alle Incidents ab Schweregrad 2 durchgeführt?
  5. Sind alle Infrastructure-Changes über IaC versioniert und genehmigungspflichtig?
  6. Ist AWS GuardDuty in allen Accounts und Regionen aktiviert?
  7. Gibt es getestete Incident-Response-Playbooks für die Top-5-Bedrohungsszenarien?
  8. Werden Savings-Plans-Coverage und Rightsizing-Empfehlungen monatlich überprüft?
  9. Kann das Team nachweisen, dass DSGVO-relevante Datenzugriffe vollständig auditiert werden?
  10. Gibt es einen definierten Hypercare-Plan für den MSP-Übergabeprozess?

Auswertung: 0–3 Ja: Reifegrad 1–2, umfangreiche Vorbereitung erforderlich. 4–6 Ja: Reifegrad 2–3, gezielte Lückenschließung möglich. 7–9 Ja: Reifegrad 3–4, bereit für Managed Services mit Hypercare. 10 Ja: Reifegrad 4–5, reif für Standard-MSP-Betrieb.

NIS2 und das Operational Maturity Model

Die NIS2-Richtlinie stellt für Betreiber wesentlicher und wichtiger Dienste in Deutschland verbindliche Mindestanforderungen an Cybersicherheit und Incident Management. Im OMM-Kontext bedeutet NIS2-Compliance mindestens Reifegrad 3 in den Dimensionen Security Operations und Incident Management — mit klarem Nachweis der 72-Stunden-Meldepflicht und dokumentiertem Risikomanagement.

AWS-Dienste wie Security Hub (NIS2-spezifische Control-Sets), Config (kontinuierliches Compliance-Monitoring) und GuardDuty (Bedrohungserkennung) bilden die technische Basis für NIS2-konforme Managed Services.

Häufig gestellte Fragen

Was ist das Operational Maturity Model für Cloud-Betrieb?
Das Operational Maturity Model (OMM) ist ein Bewertungsrahmen, der AWS-Umgebungen in 5 Dimensionen auf einer Skala von 1 bis 5 bewertet. Es zeigt Lücken auf und empfiehlt Maßnahmen zur Vorbereitung auf Managed Services.
Ab welchem Reifegrad ist ein Unternehmen für Managed Services bereit?
Mindestens Reifegrad 2 in allen Dimensionen. Storm Reply empfiehlt für kritische Workloads Reifegrad 3 als Startpunkt, um SLA-Anforderungen zuverlässig erfüllen zu können.
Welche Rolle spielt NIS2 beim Operational Maturity Model?
NIS2 stellt Mindestanforderungen an Incident-Response und Sicherheitsmaßnahmen. Das OMM berücksichtigt diese in den Dimensionen Security und Incident Management und zeigt Compliance-Lücken auf.
Wie lange dauert ein OMM-Assessment?
Ein vollständiges Storm Reply OMM-Assessment dauert typischerweise 2–3 Wochen und umfasst technische Analyse, Interviews mit Betriebsteams und einen priorisierten Maßnahmenplan.
Kann ich das Self-Assessment selbst durchführen?
Die 10 Fragen dieses Artikels geben eine erste Orientierung. Für eine fundierte Bewertung empfiehlt Storm Reply ein geführtes Assessment, das auch AWS-Konfigurations-Daten und operative Kennzahlen auswertet.

Ausblick

Das Operational Maturity Model ist kein einmaliges Assessment, sondern ein kontinuierlicher Verbesserungsrahmen. Im Managed-Service-Betrieb führt Storm Reply quartalsweise OMM-Reviews durch, um Verbesserungen zu messen und neue Anforderungen — aus regulatorischen Änderungen wie NIS2 oder technologischen Entwicklungen wie GenAI-Workloads — frühzeitig zu adressieren.

Der Weg zu höherem Betriebsreifegrad ist messbar und planbar. Der erste Schritt ist ein ehrliches Assessment des Ist-Zustands.

Quellen

  • AWS Well-Architected Framework — Operational Excellence Pillar
  • FinOps Foundation: Cloud Financial Management Framework
  • NIS2-Richtlinie (EU) 2022/2555 — Anforderungen an wesentliche Dienste
  • BSI Cloud Computing Compliance Criteria Catalogue (C5)
  • Storm Reply: Managed Services Practice, OMM-Assessment-Erfahrung DACH 2013–2025

Ihren Betriebsreifegrad jetzt bewerten

Storm Reply bietet ein strukturiertes OMM-Assessment als Einstieg in Managed Cloud Services. Wir bewerten Ihre AWS-Umgebung in allen fünf Dimensionen und liefern einen priorisierten Maßnahmenplan — mit klarem Pfad zum MSP-Betrieb.

Assessment anfragen

Verwandte Insights