Als wir im April 2024 über das Governance-Modell für die Azure-Cloud geschrieben haben, waren die Grundlagen bereits in Ordnung: eine Multi-Provider-Umgebung, klare Verantwortlichkeiten, Kostenmanagement und Informationssicherheit. Zwei Jahre später stehen dieselben Themen weiterhin im Mittelpunkt, aber das Spiel hat sich verändert. NIS2 ist in Finnland in Kraft getreten und betrifft eine überraschend große Zahl von Organisationen. Cloud-Rechnungen landen inzwischen auch auf dem Tisch des CFO, und „die Cloud ist flexibel“ reicht als Antwort nicht mehr aus.In diesem aktualisierten Beitrag erläutert der Above IT-„Consigliere“ Juha Kari, wie ein sinnvolles Azure-Governance-Modell im Jahr 2026 aussieht.
Die Multi-Vendor-Umgebung ist nach wie vor die Realität von Azure
Azure ist für die meisten Unternehmen eine Multi-Vendor-Umgebung. Die IT-Verwaltung kümmert sich um die Kernbereiche, ein Partner liefert das Data Warehouse, ein anderer betreibt die Integrationsplattform, ein dritter ist für Identitäten verantwortlich und kümmert sich um Modern Workplace-Dienste. Hinzu kommen Anwendungsanbieter, deren Lösungen irgendwann nach Azure migriert wurden, und niemand erinnert sich mehr so recht, warum.
Dies ist eine typische Ausgangssituation und an sich kein Problem. Zum Problem wird es, wenn niemand dokumentiert hat, wie all diese Akteure in der Umgebung zusammenarbeiten. Das Verwaltungsmodell ist ein gemeinsames Playbook, auf das verwiesen werden kann, wenn ein neuer Partner hinzukommt. Ohne dieses gerät die Umgebung leicht in einen Zustand, in dem sich nach einigen Jahren niemand mehr traut, irgendetwas anzufassen.
Die Verantwortung liegt weiterhin beim Auftraggeber
Azure-Abonnements laufen auf den Namen Ihrer IT-Verwaltung, die Rechnung geht an Sie und die IT-Sicherheitsverantwortung liegt bei Ihnen. Auch wenn ein Partner eine Ressource erstellt, liegt die Verantwortung für deren Existenz und Kosten letztendlich bei Ihnen. Mein Fünf-Sterne-Tipp für alle Organisationen, die Azure-Cloud nutzen, lautet daher: Damit das Heck nicht leckt, ist eine Grundvoraussetzung bereits die Definition von Budgets für Azure-Abonnements.
Ein guter Partner fragt nach Richtlinien und befolgt diese, aber er muss Richtlinien haben, die er befolgen kann. Wenn es kein Verwaltungsmodell gibt, handelt der Partner nach bestem Wissen und Gewissen. In der Regel ist das sinnvoll, aber wenn sich dieselbe Situation mit drei verschiedenen Partnern wiederholt, gibt es in der Umgebung drei unterschiedliche Vorgehensweisen für dieselbe Aufgabe. Die Aufgabe der IT-Verwaltung besteht darin, Rahmenbedingungen zu schaffen, und das Verwaltungsmodell liefert dafür ein gemeinsames Vokabular.
Was gehört 2026 zum Verwaltungsmodell
Das technische Grundgerüst hat sich in den letzten Jahren nicht wesentlich verändert. Das Verwaltungsmodell beschreibt typischerweise die Struktur der Management Groups und die Organisation der Abonnements, die Netzwerkarchitektur, RBAC-Rollen und deren Vergabeprinzipien, Azure Policies zur Steuerung der Ressourcenerstellung und -konfiguration, Namenskonventionen und Tagging-Richtlinien, Backups und Kontinuität, die technische Grundlage der IT-Sicherheit sowie die Verantwortungsteilung zwischen IT-Verwaltung, Partnern und internen Teams. Microsofts eigenes Cloud Adoption Framework bietet hierfür einen guten Bezugsrahmen, aber ein reines Modellhandbuch reicht in dieser Form für niemanden aus.
Das Jahr 2026 hat eher eine Verschiebung der Schwerpunkte mit sich gebracht. Die Bedeutung der IT-Sicherheit ist durch NIS2 gestiegen, und das Kostenmanagement ist zu einer konkreteren Anforderung geworden. Diese beiden Aspekte werde ich im Folgenden genauer erläutern.
FinOps in Azure: Kosten unter Kontrolle
Die Cloud wurde einst als flexibel und kostengünstig verkauft. Die Flexibilität stimmt, aber die Kosteneffizienz wird nur erreicht, wenn jemand die Kosten tatsächlich verwaltet. Wenn dies nicht geschieht, wächst die Rechnung still und leise so lange, bis irgendwann jemand Fragen stellt, auf die es keine gute Antwort gibt.
Der FinOps-Abschnitt des Verwaltungsmodells beantwortet drei Fragen. Wohin das Geld fließt, ist eine Frage des Taggings: Wenn Ressourcen nicht mindestens mit Eigentümer, Kostenstelle und Umgebungskennung getaggt sind, funktioniert das Kostenreporting für das Business nicht glaubwürdig. Ob das Geld sinnvoll eingesetzt wird, ist eine Frage der Überprüfung: In allen Azure-Umgebungen laufen Testmaschinen, die eingeschaltet geblieben sind, überdimensionierte SKUs, veraltete Snapshots und Festplatten, deren virtuelle Maschinen gelöscht wurden. Die Bereinigung dieser Ressourcen bedeutet in einer mittelgroßen Umgebung oft eine jährliche Einsparung von mehreren Zehntausend Euro. Und die Kostenprognose ist eine Frage von Reservations und Savings Plans, mit denen die Kosten stabiler Workloads erheblich gesenkt werden können, sofern die Nutzung prognostiziert werden kann.
Ein nützliches Detail: FinOps ist nicht nur eine IT-Angelegenheit. In einem guten Verwaltungsmodell werden die Kosten so auf das Business verteilt, dass jede Einheit ihren Anteil an der Cloud-Rechnung sieht. Wenn die Cloud-Rechnung auf der eigenen Budgetlinie steht, ändert sich das Verhalten grundlegend.
NIS2 und Azure-Verwaltungsmodell: Verantwortungsteilung in Ordnung bringen
Die NIS2-Richtlinie wurde in Finnland im April 2025 als Cybersicherheitsgesetz in die nationale Gesetzgebung aufgenommen. Sie betrifft eine deutlich breitere Gruppe von Organisationen, als viele noch verstehen. Die Verpflichtungen sind proportional zur Größe und Kritikalität der Organisation, aber von allen, die unter die Richtlinie fallen, wird etwas verlangt.
Aus Sicht des Azure-Verwaltungsmodells bringt NIS2 drei praktische Anforderungen mit sich. Das Management der Lieferkette bedeutet, dass Sie wissen müssen, wer Ihre Daten verarbeitet und mit welchen Berechtigungen. Wenn fünf verschiedene Partner Owner-Rollen haben und diese vor ein paar Jahren vergeben wurden, ist die Ausgangslage nicht gut. Störungsmanagement und Berichterstattung bedeuten, dass Protokollierung, Alarme und Reaktionsprozesse in Ordnung sein müssen, da erhebliche Störungen innerhalb festgelegter Fristen an die Behörden gemeldet werden müssen. Und die Verantwortung der Geschäftsleitung bedeutet, dass das Verwaltungsmodell nicht nur ein technisches Dokument sein sollte, sondern auch eine für die Geschäftsleitung verständliche Zusammenfassung darüber enthalten sollte, wie Risiken in der Cloud-Umgebung verwaltet werden.
Für Auditoren reicht es selten aus zu sagen, dass die Angelegenheit geregelt ist. Man muss ihnen ein Dokument vorlegen können.
Wo beginnt man mit dem Azure-Verwaltungsmodell
Wie vor zwei Jahren lautet die Antwort gleich: Man sollte nicht versuchen, auf einmal ein perfektes 50-seitiges Dokument zu erstellen. Das dauert Monate, niemand hat die Geduld, es zu lesen, und nach einem Jahr ist es bereits veraltet.
Ein guter Ausgangspunkt sind 10 Seiten, nicht 50. Darin werden die Abonnementstruktur, RBAC-Prinzipien, Tagging-Richtlinien, der Rhythmus der Kostenüberwachung, das Mindestniveau der IT-Sicherheit und eine Verantwortungsmatrix für die wichtigsten Bereiche beschrieben. Dies wird erweitert, sobald sich die Anforderungen konkretisieren. Ebenso wichtig ist, dass jemand für die Pflege des Modells verantwortlich ist und dass die Geschäftsleitung sich dazu verpflichtet. Ein Verwaltungsmodell ohne Genehmigung auf höchster Ebene ist nur eine Empfehlung, auf die man sich gegenüber einem Partner schwer berufen kann.
Verwaltete Cloud als Service
Wir haben im Laufe der Jahre ein eigenes fertiges Verwaltungsmodell-Framework entwickelt, das wir als Grundlage für alle unsere Managed-Cloud-Kunden verwenden. Es wird an die Bedürfnisse jeder Organisation angepasst, aber der Kern bleibt derselbe. Bei der Implementierung definieren wir gemeinsam die Verantwortlichkeiten, setzen die technischen Richtlinien in der Umgebung um und unterstützen anschließend Ihre IT-Verwaltung und Ihre Partner im Alltag.
Wenn Sie darüber sprechen möchten, wie Ihr Verwaltungsmodell aufgebaut oder aktualisiert werden sollte, buchen Sie ein 15-minütiges Gespräch in meinem Kalender, und wir können loslegen!
Als vertrauenswürdiger Berater Ihrer IT-Verwaltung ist es unsere Aufgabe sicherzustellen, dass die Azure-Umgebung für Ihre und die Bedürfnisse Ihrer Partner mit vernünftigen Kosten und nachhaltiger IT-Sicherheit funktioniert. Gemeinsam gelingt das.