WAF-COST-050 – Cost Impact Assessment in Architecture Decision Records

Pillar: Cost Optimization | Severity: High | Kategorie: Architectural Cost Debt | Automatisierbar: Teilweise

Beschreibung

Jedes Architecture Decision Record (ADR) mit Infrastruktur-Impact MUSS eine strukturierte Cost-Impact-Assessment-Sektion enthalten mit: TCO-Schätzung (EUR/Jahr), Lock-in-Risiko-Score (1–5), Datentransfer-Kostenschätzung, Betriebsaufwand (FTE/Jahr), Exit-Kosten-Schätzung und 3-Jahres-NPV.

ADRs mit Lock-in-Score >= 4 erfordern die Genehmigung des Architecture Boards vor der Implementierung.

Dieser Control ist der primäre Prävention-Mechanismus für Architektonische Kostenschuld.

Rationale

Architektonische Kostenschuld entsteht genau in dem Moment, in dem eine Infrastrukturentscheidung ohne vollständige wirtschaftliche Bewertung getroffen wird. Einmal implementiert, ist die Kostenstruktur für Jahre eingefroren. Cost-Impact-Assessments in ADRs erzwingen die wirtschaftliche Bewertung beim einzigen Zeitpunkt, zu dem die Entscheidung noch geändert werden kann.

Bedrohungskontext

Risiko	Beschreibung
Architektonische Kostenschuld	Kostenstrukturen, die sich in der Architektur festsetzen, ohne je bewertet worden zu sein.
Vendor Lock-in ohne Rechtfertigung	Proprietäre Services ohne Exit-Plan und ohne wirtschaftliche Begründung des Lock-ins.
HA-Over-Engineering	Multi-AZ/Multi-Region ohne SLO-Anforderung, die dies begründet: versteckte monatliche Zusatzkosten.
TCO-Unterschätzung	FTE-Betriebsaufwand, Lizenzkosten und Exit-Kosten werden systematisch aus Evaluierungen ausgeblendet.

Risiko

Beschreibung

Architektonische Kostenschuld

Kostenstrukturen, die sich in der Architektur festsetzen, ohne je bewertet worden zu sein.

Vendor Lock-in ohne Rechtfertigung

Proprietäre Services ohne Exit-Plan und ohne wirtschaftliche Begründung des Lock-ins.

HA-Over-Engineering

Multi-AZ/Multi-Region ohne SLO-Anforderung, die dies begründet: versteckte monatliche Zusatzkosten.

TCO-Unterschätzung

FTE-Betriebsaufwand, Lizenzkosten und Exit-Kosten werden systematisch aus Evaluierungen ausgeblendet.

Lock-in-Risiko-Score

Score	Bewertung	Beispiele
1	Kaum Lock-in	Standard-APIs, Open-Source, portables Datenformat, einfacher Anbieterwechsel
2	Geringer Lock-in	Geringe Proprietarität; Alternativen verfügbar; überschaubarer Migrationsaufwand
3	Mittlerer Lock-in	Proprietäre APIs, aber Alternativen vorhanden; Migration mit moderatem Aufwand
4	Hoher Lock-in ⚠️	Starke Proprietarität; Migration teuer; erfordert Architecture-Board-Genehmigung
5	Extremer Lock-in 🔴	Migration sehr teuer oder praktisch unmöglich; erfordert Architecture-Board-Genehmigung

Score

Bewertung

Beispiele

Kaum Lock-in

Standard-APIs, Open-Source, portables Datenformat, einfacher Anbieterwechsel

Geringer Lock-in

Geringe Proprietarität; Alternativen verfügbar; überschaubarer Migrationsaufwand

Mittlerer Lock-in

Proprietäre APIs, aber Alternativen vorhanden; Migration mit moderatem Aufwand

Hoher Lock-in ⚠️

Starke Proprietarität; Migration teuer; erfordert Architecture-Board-Genehmigung

Extremer Lock-in 🔴

Migration sehr teuer oder praktisch unmöglich; erfordert Architecture-Board-Genehmigung

ADR-Template Cost-Impact-Sektion

## Cost Impact Assessment (WAF-COST-050)

| Dimension            | Bewertung                          |
|---------------------|------------------------------------|
| Geschätzte TCO/Jahr | XX.XXX EUR                         |
| Lock-in-Risiko      | X/5 – [Begründung]                 |
| Datentransfer-Kosten | ~XXX EUR/Monat                    |
| Betriebsaufwand     | X.X FTE/Jahr                       |
| Exit-Kosten (est.)  | ~XX.XXX EUR                        |
| 3-Jahres-NPV        | -XX.XXX EUR                        |

**Kostenschuld-Risiko:** Gering / Mittel / Hoch

**Begründung:** [Warum ist diese Entscheidung trotz Kosten/Lock-in die richtige?]

**Cost-Debt-Register:** [CD-YYYY-XXX angelegt / Nicht erforderlich weil ...]

**Architecture-Board-Genehmigung:** [Erforderlich bei Lock-in >= 4]

Reifegrad-Abstufung

Level	Bezeichnung	Kriterien
1	Keine Kosten in ADRs	ADR-Template ohne Cost-Sektion; wirtschaftliche Bewertung fehlt systematisch.
2	Informelle Kostennotizen	Einzelne ADRs erwähnen Kosten, aber ohne strukturiertes Format oder Lock-in-Bewertung.
3	Strukturiertes Cost-Assessment in ADRs	ADR-Template mit Pflicht-Cost-Sektion; alle neuen ADRs vollständig ausgefüllt; AB-Review für Score >= 4.
4	TCO-Modell mit Actuals-Vergleich	TCO-Schätzungen aus ADRs werden nach 6 Monaten mit tatsächlichen Kosten verglichen.
5	Automatisiertes Cost-Impact aus IaC-Plan	Infracost o.ä. im PR-Pipeline; automatische Lock-in-Score-Ableitung aus Ressourcentypen.

Level

Bezeichnung

Kriterien

Keine Kosten in ADRs

ADR-Template ohne Cost-Sektion; wirtschaftliche Bewertung fehlt systematisch.

Informelle Kostennotizen

Einzelne ADRs erwähnen Kosten, aber ohne strukturiertes Format oder Lock-in-Bewertung.

Strukturiertes Cost-Assessment in ADRs

ADR-Template mit Pflicht-Cost-Sektion; alle neuen ADRs vollständig ausgefüllt; AB-Review für Score >= 4.

TCO-Modell mit Actuals-Vergleich

TCO-Schätzungen aus ADRs werden nach 6 Monaten mit tatsächlichen Kosten verglichen.

Automatisiertes Cost-Impact aus IaC-Plan

Infracost o.ä. im PR-Pipeline; automatische Lock-in-Score-Ableitung aus Ressourcentypen.

Terraform Checks

waf-cost-050.tf.any.high-lockin-resource-tagged

Prüft: Hochpropietäre Ressourcen müssen lock-in-risk-Tag tragen.

Compliant Non-Compliant

Compliant	Non-Compliant
`resource "aws_kinesis_stream" "events" { name = "payment-events" shard_count = 4 tags = merge(module.mandatory_tags.tags, { lock-in-risk = "4" adr-reference = "ADR-0042" }) }`	`resource "aws_kinesis_stream" "events" { name = "payment-events" shard_count = 4 tags = { cost-center = "data-team" # lock-in-risk Tag fehlt # Kein Nachweis der Lock-in-Bewertung # WAF-COST-050 Violation } }`

resource "aws_kinesis_stream" "events" {
  name        = "payment-events"
  shard_count = 4

  tags = merge(module.mandatory_tags.tags, {
    lock-in-risk  = "4"
    adr-reference = "ADR-0042"
  })
}

resource "aws_kinesis_stream" "events" {
  name        = "payment-events"
  shard_count = 4
  tags = {
    cost-center = "data-team"
    # lock-in-risk Tag fehlt
    # Kein Nachweis der Lock-in-Bewertung
    # WAF-COST-050 Violation
  }
}

Remediation: lock-in-risk-Tag (Wert: 1–5) auf alle hochproprietären Ressourcen setzen. Bei Score 4–5: ADR mit Architecture-Board-Genehmigung erforderlich.

Evidenz

Typ	Pflicht	Beschreibung
Architecture	✅ Pflicht	ADR-Dokumente mit ausgefüllter Cost-Impact-Assessment-Sektion.
Governance	✅ Pflicht	Architecture-Board-Genehmigungen für ADRs mit Lock-in-Score >= 4.
Architecture	Optional	Infracost oder Cost-Estimation-Tool-Output für Infrastrukturänderungen.
Process	Optional	Cost-Debt-Register-Einträge verlinkt zu ADRs.

Typ

Pflicht

Beschreibung

Architecture

✅ Pflicht

ADR-Dokumente mit ausgefüllter Cost-Impact-Assessment-Sektion.

Governance

✅ Pflicht

Architecture-Board-Genehmigungen für ADRs mit Lock-in-Score >= 4.

Architecture

Optional

Infracost oder Cost-Estimation-Tool-Output für Infrastrukturänderungen.

Process

Optional

Cost-Debt-Register-Einträge verlinkt zu ADRs.

Regulatorisches Mapping

Framework	Controls
ISO 27001:2022	A.5.36 – Compliance with policies, rules and standards; A.8.1.1 – Access control strategy; A.8.10 – Information deletion; A.8.24 – Use of cryptography
ISO 20000-1:2018	9.4.1 – Configuration management; 9.4.2 – Configuration records; 10.2.2 – Financial management; 10.2.4 – Budgeting and accounting
BSI C5:2020	COM-01 – Network and service security; COM-02 – Cloud monitoring; GOV-01 – Governance, risk and compliance
AWS Well-Architected Framework	Cost Optimization Pillar – Cost allocation tagging; Financial Security – Budgeting and forecasting
Azure Well-Architected Framework	Cost management – Tagging; Governance – Resource governance; Cost optimization – Cost allocation
Google Cloud Architecture Framework	Organization and folders – Tagging; Billing – Cost allocation; Resource management – Resource hierarchy
FinOps Foundation	Core Module – Tagging standards; Management Layer – Cost attribution; Open Module – Financial accountability
GDPR	Art. 28 – Processor obligations; Art. 32 – Security of processing (cost of security measures)
CSRD	ESRS G1 – Governance – Disclosure of information; ESRS M1 – Materiality – Disclosure of information
NIST CSF 2.0	GV.PO – Policy; FR.AN – Analysis; RP.RP – Recovery planning
CIS Controls v8	CIS 2 – Inventory and Control of Software Assets; CIS 2.1 – Software inventory; CIS 2.2 – Hardware inventory
TISAX	Information security – Resource management
ANSSI SecNumCloud	Domain – Financial management; Domain – Resource management
BIO	BIO – Financieel beheer
ENS High	org.2 – Control de gestión; op.exp.1 – Gestión de incidentes
UK NCSC CAF	A2 – Financial management; A3 – Resource management
CMMC 2.0	AC.L2-3.1.1 – Access control policy
IRAP	ISM – Financial management
CCCS PBMM	CM-6 – Configuration management
MAS TRM	Ch.6 – Financial management
ISMAP	Resource management and cost control
FISC	Operational measures – Financial management

Framework

Controls

ISO 27001:2022

A.5.36 – Compliance with policies, rules and standards; A.8.1.1 – Access control strategy; A.8.10 – Information deletion; A.8.24 – Use of cryptography

ISO 20000-1:2018

9.4.1 – Configuration management; 9.4.2 – Configuration records; 10.2.2 – Financial management; 10.2.4 – Budgeting and accounting

BSI C5:2020

COM-01 – Network and service security; COM-02 – Cloud monitoring; GOV-01 – Governance, risk and compliance

AWS Well-Architected Framework

Cost Optimization Pillar – Cost allocation tagging; Financial Security – Budgeting and forecasting

Azure Well-Architected Framework

Cost management – Tagging; Governance – Resource governance; Cost optimization – Cost allocation

Google Cloud Architecture Framework

Organization and folders – Tagging; Billing – Cost allocation; Resource management – Resource hierarchy

FinOps Foundation

Core Module – Tagging standards; Management Layer – Cost attribution; Open Module – Financial accountability

GDPR

Art. 28 – Processor obligations; Art. 32 – Security of processing (cost of security measures)

CSRD

ESRS G1 – Governance – Disclosure of information; ESRS M1 – Materiality – Disclosure of information

NIST CSF 2.0

GV.PO – Policy; FR.AN – Analysis; RP.RP – Recovery planning

CIS Controls v8

CIS 2 – Inventory and Control of Software Assets; CIS 2.1 – Software inventory; CIS 2.2 – Hardware inventory

TISAX

Information security – Resource management

ANSSI SecNumCloud

Domain – Financial management; Domain – Resource management

BIO

BIO – Financieel beheer

ENS High

org.2 – Control de gestión; op.exp.1 – Gestión de incidentes

UK NCSC CAF

A2 – Financial management; A3 – Resource management

CMMC 2.0

AC.L2-3.1.1 – Access control policy

IRAP

ISM – Financial management

CCCS PBMM

CM-6 – Configuration management

MAS TRM

Ch.6 – Financial management

ISMAP

Resource management and cost control

FISC

Operational measures – Financial management

WAF-COST-050 – Cost Impact Assessment in Architecture Decision Records

Beschreibung

Rationale

Bedrohungskontext

Lock-in-Risiko-Score

ADR-Template Cost-Impact-Sektion

Reifegrad-Abstufung

Terraform Checks

waf-cost-050.tf.any.high-lockin-resource-tagged

Evidenz

Regulatorisches Mapping

Verwandte Controls

Weitere Informationen