Kernfunktionen von Azure Managed Services (Plattform + MSP)
| Funktionsbereich | Was Microsoft verwaltet (PaaS) | Was ein MSP verwalten sollte | Wer ist verantwortlich |
|---|---|---|---|
| Infrastruktur-Patching | OS- und Host-Patches für PaaS-Dienste | OS-Patches für IaaS-VMs, AKS-Node-Pools | MSP für IaaS; Microsoft für PaaS |
| Monitoring & Alerting | Plattform-Health (Azure Status Page) | Workload-spezifisches Monitoring (Azure Monitor, Datadog, Dynatrace) mit zielgerichtetem Alert-Routing | MSP |
| Incident Response | Plattformseitige Incidents | Anwendungs- und Workload-Incidents, Sicherheitsereignisse, On-Call-Eskalation | MSP + Ihr Team |
| Backup & DR | Automatische Backups für PaaS (z. B. SQL MI Retention) | Design von Backup-Policies, regionsübergreifende DR-Tests, Restore-Validierung | MSP |
| Security Posture | Integrierte Plattformsicherheit (Verschlüsselung im Ruhezustand, DDoS auf Netzwerkebene) | Microsoft Defender for Cloud-Konfiguration, Sentinel-SIEM-Regeln, WAF-Tuning, Identity Governance | MSP + SOC |
| Kostenoptimierung | Azure Advisor-Empfehlungen (passiv) | Aktives FinOps: Reservierungskauf, Spot-Instance-Orchestrierung, Bereinigung verwaister Ressourcen, Budget-Alerts | MSP |
| Compliance | Plattformzertifizierungen (ISO 27001, SOC 2, BSI C5 etc.) | Workload-Level-Compliance-Mapping, Erfassung von Audit-Nachweisen, Durchsetzung der Datenresidenz | MSP + Ihr Compliance-Team |
Vorteile, die in der Praxis wirklich zählen
Reduzierung operativer Routinearbeit
Azure gut zu betreiben ist kein Ein-Personen-Job. Zwischen Azure-Advisor-Alerts, Defender-for-Cloud-Empfehlungen, Kostenanomalie-Untersuchungen, AKS-Versions-Upgrades und NSG-Rule-Audits erzeugt eine mittelgroße Azure-Umgebung (50–200 Ressourcen) einen kontinuierlichen Strom operativer Arbeit, der sich nicht sauber in Sprint-Planungen einordnen lässt. Ein MSP absorbiert diese Routinearbeit unter einer planbaren monatlichen Gebühr und gibt Ihren Ingenieuren den Freiraum, Produktfeatures zu entwickeln.
Schnellere Incident-Behebung
Aus unserem SOC heraus ist das Muster eindeutig: Organisationen ohne 24/7-Monitoring entdecken Azure-Incidents Stunden nach deren Beginn – in der Regel, wenn sich ein Kunde beschwert. Mit professionellem Monitoring (Azure Monitor Workspace, das PagerDuty oder Opsgenie speist, kombiniert mit Sentinel für Sicherheitsereignisse) sinkt die Mean Time to Detect von Stunden auf Minuten. Der On-Call-Engineer des MSP triagiert, eskaliert bei Bedarf und dokumentiert die Root Cause, während Ihr Team schläft.
Compliance als kontinuierlicher Prozess
Compliance ist keine einmalige Checkbox-Übung. NIS2 (für wesentliche und wichtige Einrichtungen in 18 EU-Sektoren) erfordert kontinuierliches Risikomanagement, eine 24-Stunden-Meldepflicht an CSIRTs sowie dokumentierte Lieferkettensicherheit – einschließlich Ihres Cloud-Providers und Ihres MSP. Die DSGVO (Artikel 28 und 32) legt spezifische Auftragsverarbeiterpflichten fest. Darüber hinaus verlangt der BSI-C5-Kriterienkatalog nachweisbare Sicherheitskontrollen für Cloud-Dienste, die in deutschen Behörden und regulierten Branchen eingesetzt werden.
Ein Azure-MSP, der Ihre Umgebung betreibt, ist per Definition ein Auftragsverarbeiter. Ihr Vertrag mit ihm muss dies widerspiegeln: Auftragsverarbeitungsverträge (AVV), Offenlegung von Unterauftragsverarbeitern, Fristen für Verletzungsbenachrichtigungen und Auditrechte. Wenn ein potenzieller MSP diese Dokumente nicht auf Anfrage vorlegen kann, sollten Sie Abstand nehmen.
FinOps – Weil Azure-Rechnungen für Überraschungen sorgen
Laut dem State-of-the-Cloud-Report von Flexera ist das Management von Cloud-Ausgaben durchgehend die größte Herausforderung für Organisationen aller Reifegrade. Die Azure-Abrechnung ist besonders undurchsichtig für Organisationen, die neu auf der Plattform sind – Hybrid-Benefit-Lizenzierung, Reserved-Instance-Scoping (Shared vs. Single Subscription), Spot-VM-Eviction-Policies und die Kluft zwischen den Sparempfehlungen des Azure Advisor und deren tatsächlicher Umsetzung.
Ein kompetenter MSP betreibt kontinuierliches FinOps: wöchentliche Kostenanomalie-Reviews, vierteljährliches Reservierungs-Right-Sizing und proaktive Bereinigung verwaister Ressourcen. Reserved Instances und Azure Savings Plans bieten typischerweise 30–60 % Einsparungen gegenüber Pay-as-you-go-Preisen – aber nur, wenn jemand das Commitment-Portfolio aktiv verwaltet. Diese Aufgabe sollte bei Ihrem MSP liegen, nicht bei einem Ingenieur, der einmal pro Quartal nachschaut.
Praxisbeispiele
Anwendungsfall 1: Deutsches SaaS-Unternehmen – NIS2, DSGVO und Datensouveränität
Ein mittelständisches SaaS-Unternehmen mit Hauptsitz in Deutschland, eingestuft als „wichtige Einrichtung" unter NIS2, betreibt seine Produktions-Workloads auf Azure Germany West Central (Frankfurt) und Azure West Europe (Niederlande) als sekundäre Region. Die Anforderungen:
- Daten dürfen die EU nicht verlassen. Azure-Policy-Zuweisungen erzwingen
allowedLocationsauf ausschließlich EU-Regionen. - Incident Response innerhalb von 24 Stunden (NIS2-Artikel 23). Das SOC des MSP arbeitet 24/7 mit einem dokumentierten Incident-Response-Playbook, das in den CSIRT-Meldeprozess des Unternehmens integriert ist.
- Lieferketten-Risikomanagement. Der MSP liefert jährliche SOC-2-Type-II-Berichte, weist BSI-C5-Konformität nach und ist vertraglich als Auftragsverarbeiter gemäß DSGVO Art. 28 gebunden.
- Azure SQL Managed Instance ersetzt die On-Premises-SQL-Server-Instanz und eliminiert OS-Patching, während TDE (Transparent Data Encryption) mit kundenverwalteten Schlüsseln in Azure Key Vault (Region eu-central-1 Frankfurt) beibehalten wird.
Anwendungsfall 2: Europäischer Finanzdienstleister – Regulierung und Multi-Region
Ein Finanzdienstleister mit regulatorischen Anforderungen (BaFin, EBA-Leitlinien) betreibt seine Azure-Umgebung über Azure Germany West Central (Frankfurt) für Produktion und eu-central-2 (Zürich) für DR. Die Rolle des MSP:
- Managed Kubernetes (AKS) mit Node-Pool-Auto-Scaling und Versions-Upgrade-Orchestrierung.
- Microsoft Defender for Cloud mit regulatorischem Compliance-Dashboard, gemappt auf BSI-C5-Kriterien, DSGVO-Anforderungen und BaFin-/EBA-Leitlinien.
- Automatisierte Backup-Validierung: wöchentliche Restore-Tests in einer Staging-Umgebung, deren Ergebnisse für Audits protokolliert werden.
- FinOps: Spot Instances für Batch-Processing-Workloads (Risikomodell-Berechnung), Reserved Instances für den Always-on-API-Tier.
Anwendungsfall 3: Multi-Cloud-Unternehmen – Azure + AWS
Viele Unternehmen betreiben Azure nicht isoliert. Sie nutzen AWS für bestimmte Workloads, Azure für andere (oft wegen der Microsoft-365- und Entra-ID-Integration) und manchmal GCP für Daten- und ML-Workloads. Der MSP muss cloud-übergreifend und herstellerneutral agieren.
Aus unserem NOC heraus ist das häufigste Multi-Cloud-Muster: Azure für Identity (Entra ID), Collaboration (M365) und .NET-Workloads; AWS für Container-Workloads und Data Lakes. Der MSP stellt ein einheitliches Monitoring bereit (typischerweise Datadog oder Grafana Cloud), vereinheitlichtes Incident Management (PagerDuty) und cloud-übergreifendes FinOps-Reporting, sodass der CTO die gesamten Cloud-Ausgaben sieht – nicht isolierte Einzelrechnungen.
ASM vs. ARM: Warum das noch immer relevant ist
Azure Service Management (ASM), das „klassische" Bereitstellungsmodell, wurde vor Jahren abgekündigt – dennoch stoßen wir bei Onboarding-Assessments weiterhin auf ASM-Ressourcen in Produktion: Classic Cloud Services, klassische VNets, klassische Storage Accounts. Diesen Ressourcen fehlen sämtliche ARM-Features: keine Ressourcengruppen, kein RBAC, kein Tagging, keine Azure-Policy-Durchsetzung, keine Integration mit modernem Monitoring.
Azure Resource Manager (ARM) ist das aktuelle und einzige unterstützte Bereitstellungsmodell. Alle neuen Ressourcen werden über ARM bereitgestellt, und Microsoft hat klassische Dienste schrittweise eingestellt. Wenn Ihre Umgebung noch ASM-Ressourcen enthält, ist deren Migration zu ARM-Äquivalenten nicht optional – es ist eine Sicherheits- und Supportfähigkeitsanforderung. Ein guter MSP identifiziert diese während des Onboarding-Assessments und plant die Migration.
Auswahl eines Azure-MSP: Worauf Sie achten sollten
Nicht alle MSPs sind gleichwertig. Folgendes unterscheidet kompetenten Azure-Betrieb von reinem Helpdesk-Ticketing:
Technische Tiefe
- Verfügt der MSP über Microsoft Solutions Partner-Designierungen (Infrastructure, Security, Digital & App Innovation)? Die Designierungen haben die früheren Gold-/Silver-Kompetenzen abgelöst und erfordern nachgewiesenen Kundenerfolg und zertifiziertes Personal.
- Kann er mit Azure-nativen Tools arbeiten (Bicep/ARM Templates, Azure Policy, Azure Landing Zones) oder beherrscht er nur Terraform? Beides ist valide, aber wenn er keine Bicep-Datei lesen kann, wird er mit Microsofts publizierten Referenzarchitekturen Schwierigkeiten haben.
Operatives Modell
- 24/7-SOC/NOC mit definierten SLAs für P1/P2/P3/P4-Incidents – nicht „Best Effort während der Geschäftszeiten".
- Runbooks für gängige Szenarien: AKS-Node-Pool-Ausfälle, Entra-ID-Conditional-Access-Lockouts, App-Service-Plan-Skalierungsereignisse, ExpressRoute-Circuit-Degradation.
- Change-Management-Prozess: Wie werden Ihre Change Requests bearbeitet? Gibt es ein CAB (Change Advisory Board) oder einen leichtgewichtigen PR-basierten Freigabe-Workflow?
Compliance und Governance
- Kann der MSP seinen eigenen SOC-2-Type-II-Bericht und sein ISO-27001-Zertifikat vorlegen?
- Entspricht sein Betrieb dem BSI-C5-Kriterienkatalog, sofern Sie in einem regulierten Sektor operieren?
- Verfügt er über einen dokumentierten Auftragsverarbeitungsvertrag (AVV) gemäß DSGVO Art. 28?
- Für NIS2-betroffene Organisationen: Akzeptiert der MSP vertraglich die Lieferkettenpflichten?
FinOps-Reife
- Verwaltet der MSP proaktiv Reservierungen und Savings Plans oder sendet er Ihnen lediglich Azure-Advisor-Screenshots?
- Kann er ein FinOps-Dashboard mit Unit-Economics-Tracking (Kosten pro Kunde, Kosten pro Transaktion) vorweisen?
Tooling-Stack: Was in der Praxis eingesetzt wird
Transparenz beim Tooling ist wichtig. Hier ein repräsentativer Stack für ein Azure-MSP-Engagement:
| Funktion | Primäres Tool | Alternative | Anmerkungen |
|---|---|---|---|
| Monitoring | Azure Monitor + Log Analytics | Datadog, Dynatrace | Azure Monitor ist obligatorisch für Plattformtelemetrie; ein Drittanbieter-Tool ergänzt APM und cloud-übergreifende Korrelation |
| SIEM | Microsoft Sentinel | Splunk Cloud, Elastic Security | Sentinels native Integration mit Entra ID und Defender for Cloud macht es zum Standard für Azure-lastige Umgebungen |
| Alerting & On-Call | PagerDuty | Opsgenie, Grafana OnCall | Muss Eskalationsrichtlinien, Bereitschaftspläne und Incident-Timelines unterstützen |
| IaC | Terraform + Bicep | Pulumi | Terraform für Multi-Cloud-Konsistenz; Bicep für Azure-native Module und Azure Verified Modules |
| FinOps | Azure Cost Management + Custom Dashboards | Kubecost (für AKS), CloudHealth | Natives Azure Cost Management deckt 80 % der Anforderungen ab; Kubecost ergänzt Namespace-Level-Kubernetes-Kostenallokation |
| Compliance | Microsoft Defender for Cloud Regulatory Compliance | Prisma Cloud, Wiz | Defenders integrierte regulatorische Standards (CIS, NIST, PCI DSS, BSI C5, Custom Initiatives) sind der Ausgangspunkt |
Häufige Fehler, die wir in unserem NOC beobachten
Überdimensionierte VMs überall. Organisationen migrieren On-Premises-VMs per „Lift and Shift" zu Azure und behalten die gleiche Dimensionierung bei. Azure-VMs werden minutengenau abgerechnet. Right-Sizing von D4s_v5 auf D2s_v5 bei einer durchschnittlichen CPU-Auslastung von 12 % ist geschenktes Geld.
Defender for Cloud auf „Free Tier" gesetzt und vergessen. Der Free Tier bietet nur grundlegende Security-Posture-Bewertung. Die Defender-Pläne (für Server, SQL, Kubernetes, Storage, Key Vault etc.) liefern Bedrohungserkennung, Schwachstellenbewertung und regulatorisches Compliance-Scoring. Die Kosten sind real, aber für Produktions-Workloads gerechtfertigt.
Keine Netzwerksegmentierung. Ein einzelnes VNet mit einem Subnet und einer Standard-NSG, die allen internen Traffic erlaubt. Das ist das Azure-Äquivalent eines flachen Netzwerks. Verwenden Sie eine Hub-Spoke-Topologie (Azure Virtual WAN oder traditionelles Hub-VNet mit Peering), NSG Flow Logs und Azure Firewall oder eine NVA eines Drittanbieters für East-West-Traffic-Inspektion.
Backup-Policies konfiguriert, aber nie getestet. Azure Backup läuft zuverlässig, aber der Restore-Prozess ist das, was zählt. Wenn Sie noch nie einen Test-Restore Ihrer Produktionsdatenbank durchgeführt haben, ist Ihr Backup eine Hypothese – keine Kontrollmaßnahme.
Wann Sie keinen MSP benötigen
Ehrlichkeit ist hier entscheidend. Sie benötigen wahrscheinlich keinen externen Azure-MSP, wenn:
- Sie weniger als 20 Azure-Ressourcen haben und einen kompetenten Platform Engineer, der diese überwacht.
- Ihre Workloads vollständig serverless sind (Azure Functions Consumption Plan, Logic Apps, Cosmos DB Serverless) und keine Compliance-Verpflichtungen bestehen.
- Sie ein ausgereiftes internes Platform-Engineering-Team mit bereits besetzter 24/7-On-Call-Rotation haben.
Sie benötigen wahrscheinlich einen MSP, wenn:
- Ihre Azure-Umgebung über das hinausgewachsen ist, was Ihr Team während der Geschäftszeiten überwachen kann.
- Sie Compliance-Verpflichtungen haben (NIS2, DSGVO, BSI C5, SOC 2), die dokumentierte, kontinuierliche Kontrollen erfordern.
- Sie hybrid (Azure + On-Premises) oder Multi-Cloud (Azure + AWS/GCP) betreiben und einheitlichen Betrieb benötigen.
- Ihre Azure-Rechnung schneller wächst als Ihr Umsatz und niemand weiß, warum.
Häufig gestellte Fragen
Was sind Azure Managed Services?
Azure Managed Services umfasst zwei unterschiedliche Aspekte: Microsofts eigene plattformverwaltete Angebote (Azure SQL Managed Instance, Managed Disks, Managed Applications), bei denen Microsoft die zugrunde liegende Infrastruktur betreibt, und externe Managed Service Provider, die Ihre Azure-Umgebung unter einem vertraglichen SLA betreiben, überwachen, absichern und optimieren. Die meisten Produktionsumgebungen nutzen beide Ebenen gemeinsam.
Welche fünf Arten von Managed Services gibt es?
Die fünf allgemein anerkannten Typen sind: Managed Infrastructure (Compute, Netzwerk, Storage), Managed Security (SOC, SIEM, Bedrohungserkennung und -reaktion), Managed Databases (SQL- und NoSQL-Administration, Patching, Backups), Managed Applications (Deployment-Pipelines, Skalierung, Patching) und Managed Cloud Financial Operations – FinOps – mit Kostenoptimierung, Reservierungsmanagement und Budget-Governance.
Was ist der Unterschied zwischen ASM und ARM?
ASM (Azure Service Management) war Azures ursprüngliches „klassisches" Bereitstellungsmodell mit XML-basierten APIs und ohne Unterstützung für Ressourcengruppen, RBAC oder Policies. ARM (Azure Resource Manager) hat es abgelöst und ist heute das einzige unterstützte Modell – mit JSON-/Bicep-Templates, granularem RBAC, Tagging und Azure-Policy-Integration. Microsoft hat die klassischen ASM-Dienste schrittweise eingestellt; verbliebene ASM-Ressourcen sollten umgehend zu ARM migriert werden.
Was ist ein Managed Device in Azure?
Ein Managed Device ist jedes Endgerät – Laptop, Smartphone, Tablet –, das in Microsoft Intune (Teil der Microsoft Entra Suite) registriert ist. Die Registrierung erzwingt Conditional-Access-Richtlinien, Compliance-Prüfungen (Verschlüsselung, OS-Version, Passcode) und ermöglicht Remote Wipe. Managed Devices sind eine grundlegende Komponente von Zero-Trust-Architekturen für den Zugriff auf Azure-gehostete Anwendungen und Daten.
Wie unterstützen Azure Managed Services die NIS2-Compliance?
NIS2 verpflichtet wesentliche und wichtige Einrichtungen in 18 EU-Sektoren zur Implementierung eines kontinuierlichen Risikomanagements, zur Meldung signifikanter Vorfälle an CSIRTs innerhalb von 24 Stunden und zum Management der Lieferkettensicherheit. Ein Azure-MSP mit 24/7-SOC-Kapazitäten, dokumentierten Incident-Response-Runbooks und auditfähigem Compliance-Reporting unterstützt diese Anforderungen direkt – vorausgesetzt, der MSP ist vertraglich als Teil Ihrer Lieferkette gebunden und kann seine eigenen Sicherheitszertifizierungen (SOC 2 Type II, ISO 27001, BSI C5) nachweisen.
