Abstract
Inhaltsverzeichnis
Abbildungsverzeichnis
Abkürzungsverzeichnis
1 Einleitung
2 Cloud Computing Grundlagen
2.1 Basistechnologien und -konzepte
2.1.1 Virtualisierung
2.1.2 Service-orientierte Architekturen und Web Services
2.1.3 Grid Computing
2.1.4 Utility Computing
2.1.5 Application Service Providing
2.2 Charakteristika und Definition von Cloud Computing
2.2.1 Charakteristika
2.2.2 Definition
2.3 Service-Kategorien
2.3.1 Infrastructure as a Service
2.3.2 Platform as a Service
2.3.3 Software as a Service
2.4 Organisationsformen
2.4.1 Public Cloud
2.4.2 Private Cloud
2.4.3 Hybrid Cloud
2.4.4 Community Cloud
2.5 Potentiale von Cloud Computing
2.5.1 Kosteneinsparungen
2.5.2 Flexibilität
2.5.3 Höhere Qualität der IT-Ressourcen
2.6 Risiken von Cloud Computing
2.6.1 Abhängigkeit vom Anbieter
2.6.2 Kontrollverlust
2.6.3 Unzureichende Sicherheit
2.6.4 Verstoß gegen rechtliche Anforderungen
2.6.5 Mangelnde Verfügbarkeit und Performance
3 Analyse von Anforderungen zur Auswahl eines Cloud Computing Providers
3.1 Methode
3.1.1 Ermittlung der Anforderungen durch eine Literaturanalyse
3.1.2 Vervollständigung der Anforderungen durch Experteninterviews
3.1.3 Entwicklung des Anforderungsmodells
3.1.4 Validierung des Anforderungsmodells durch Onlineumfrage
3.2 Anforderungen aus der Literaturanalyse
3.2.1 Rechenzentrumssicherheit
3.2.2 Netzwerksicherheit
3.2.3 Serversicherheit
3.2.4 Anwendungs- und Plattformsicherheit
3.2.5 Sicherheitsmanagement
3.2.6 Zugriffsschutz
3.2.7 Verschlüsselung
3.2.8 Isolierung der Kundendaten
3.2.9 Datenentsorgung
3.2.10 Vertrauenswürdiges Personal
3.2.11 Integrität
3.2.12 Verfügbarkeit
3.2.13 Zuverlässigkeit
3.2.14 Fehlertoleranz
3.2.15 Datensicherung und Wiederherstellung
3.2.16 Unsichtbare Wartung
3.2.17 Monitoring und Security Incident Management
3.2.18 Notfallmanagement
3.2.19 Funktionalität
3.2.20 Performance
3.2.21 Skalierbarkeit
3.2.22 Individualisierung
3.2.23 Benutzerfreundlichkeit
3.2.24 Datenmigration
3.2.25 Support
3.2.26 Portabilität
3.2.27 Interoperabilität
3.2.28 Service Level Agreement
3.2.29 Einhaltung des Bundesdatenschutzgesetzes
3.2.30 Verarbeitung von Daten innerhalb der EU/sicheren Drittländern
3.2.31 Akzeptierung von EU Standardverträgen/ Safe Harbor Principles
3.2.32 Angabe des aktuellen physikalischen Speicherorts
3.2.33 Informierung des Kunden über geltende Rechtsvorschriften
3.2.34 Monitoring des Speicherorts durch den Kunden
3.2.35 Compliance
3.2.36 Flexible Preisoptionen
3.2.37 Servicekatalog
3.2.38 Aufschlüsselung der Kosten
3.2.39 Kostenvorteil
3.2.40 Zertifizierung
3.2.41 Audit
3.2.42 Rechts- und Besitzverhältnisse
3.2.43 Finanzielle Stabilität
3.2.44 Reputation des Anbieters
3.2.45 Referenzkunden
3.2.46 Offenlegung von Subunternehmern
3.3 Anforderungen aus den Experteninterviews
3.3.1 Offline Verfügbarkeit der Daten
3.3.2 Modularität
3.3.3 Demoversion des Service
3.3.4 Strukturierte interne Organisation
3.4 Anforderungsmodell
3.5 Validierung des Anforderungsmodells
4 Zusammenfassung
Literaturverzeichnis
Anhang
Cloud Computing zählt aktuell zu den wichtigsten Trends der Informationstechnik (IT) und war das Leitmotiv der CeBIT 2011. Die Bedeutung von Cloud Computing für den Unternehmensbereich nimmt kontinuierlich zu, vor allem weil es Potentiale wie Kostenreduzierung, erhöhte Flexibilität sowie verbesserte Qualität der IT-Ressourcen bietet. Cloud Computing ist damit auch für kleine und mittlere Unternehmen, ohne eigene IT-Abteilung, ein vielversprechendes Konzept. Demgegenüber stehen jedoch zahlreiche Bedenken der Unternehmen, zu denen vor allem Sicherheitsrisiken und Angst vor Kontrollverlust gehören. Diese könnten allerdings durch geeignete Maßnahmen seitens des Anbieters eliminiert beziehungsweise reduziert werden. Die genannten Bedenken, der noch sehr neue und undurchsichtige Markt, sowie die relativ wenigen Referenzkunden hemmen das Vertrauen der Unternehmen in die Cloud Computing Provider. Dieses Vertrauen und damit auch die Nutzung von Cloud Services könnten jedoch erhöht werden, wenn die Anbieter die von den Unternehmen geforderten Maßnahmen nachweislich erfüllen.
Im Rahmen dieser Arbeit wurden daher durch Analyse von wissenschaftlicher und praxisorientierter Literatur die Anforderungen der Unternehmen zur Auswahl eines Cloud Computing Providers analysiert und anschließend durch Experteninterviews ergänzt. Darauf aufbauend wurde ein Anforderungsmodell entwickelt und mittels einer Onlineumfrage validiert. Das Modell enthält 50 konkrete Anforderungen an einen Cloud Computing Provider, die in die Kategorien Informationssicherheit, Technologie, Recht, Kosten und Transparenz des Anbieters aufgeteilt sind. Es dient als Orientierung für Unternehmen, die den Einsatz von Cloud Services planen und Angebote von verschiedenen Anbietern bewerten wollen. Zusätzlich hat es eine Relevanz für die Cloud Computing Anbieter, da diese auf Basis des Anforderungsmodells ihre Services zielgerichtet weiter entwickeln können.
Abbildung 1: Schichtenmodell der Service-Kategorien
Abbildung 2: Service-Kategorien
Abbildung 3: Cloud Organisationsformen
Abbildung 4: Zusammensetzung der Experten
Abbildung 5: Anforderungsmodell
Abbildung 6: Einstellung der Unternehmen zu Cloud Computing
Abbildung 7: Einsatz von Cloud Computing im Unternehmen
Abbildung 8: Zufriedenheit mit Cloud Computing
Abbildung 9: Art der eingesetzten Cloud Services
Abbildung 10: Einsatzwahrscheinlichkeit von Cloud Computing
Abbildung 11: Wichtigkeit der Anforderungen für die Unternehmen
Abbildung 12: Ranking der Anforderungskategorien
Abbildung in dieser Leseprobe nicht enthalten
„Cloud Computing“ wurde laut Clarke (2010a, S. 569) und Fowler (2009) erstmalig von Eric Schmidt, zu diesem Zeitpunkt CEO von Google, auf einer Konferenz 2006 erwähnt. Breiteres öffentliches Interesse erlangte der Begriff 2007, als IBM und Google ihre Zusammenarbeit an einem Cloud Computing Forschungsprojekt bekannt gaben (Gong et al., 2010 , S. 1; Jena, 2010, S. 14; Lohr, 2007). Bereits zwei Jahre später wird Cloud Computing vom Marktforschungs- und Beratungsunternehmen Gartner zum „latest super-hyped concept in IT“ (Fenn et al., 2009, S. 2) ernannt. Die Ergebnisse einer Studie der International Data Corporation (IDC) aus dem gleichen Jahr widersprechen dieser Aussage jedoch. Gemäß der Umfrage unter 805 deutschen Unternehmen mit mehr als 100 Mitarbeitern hatten sich im Jahr 2009 75 % der befragten Unternehmen noch nicht einmal mit dem Thema Cloud Computing befasst (Horton, 2009).
Im Gegensatz dazu ist das Bewusstsein für Cloud Computing in den letzten beiden Jahren stark gestiegen (Thorenz, 2011, S. 5), nicht zuletzt durch die diesjährige CeBIT mit ihrem Leitmotiv „Work and Life with the Cloud". Die Analysten der IT- Beratung Experton Group sehen die Kommunikationsaktivitäten auf der CeBIT als eindeutiges Zeichen dafür, dass die Relevanz von Cloud Computing für den Unternehmensbereich steigt (Velten & Janata, 2011, S. 8). Außerdem sehen die fünf wichtigsten IT-Marktforschungsunternehmen (darunter Forrester, Gartner und IDC) Cloud Computing als einen der IT-Mega-Trends im Jahr 2011 (Freimark, 2011).
Trotz des gestiegenen Bekanntheitsgrades ist der Einsatz von Cloud Computing in Unternehmen bisher relativ gering. Aktuelle Studien von Experton Group und PricewaterhouseCoopers (PwC) zeigen auf, dass bisher nur 12 % bis 13 % der Unternehmen Cloud Services nutzen (Thorenz, 2011, S. 5; Vehlow & Golkowsky, 2011, S. 16). Besonders für kleinere Unternehmen könnten durch Cloud Computing erhebliche Potentiale im Bereich Kosten und Technologie realisiert werden (Holtkamp, 2010, S. 15ff), jedoch sind die Risiken, denen Unternehmen beim Einsatz von Cloud Computing begegnen, vielfältig und das Vertrauen zu den Anbietern noch gering (BSI, 2011, S. 7). Diese Tatsache lässt sich dadurch erklären, dass es sich um einen relativ neuen und „nebulösen“ Markt handelt. Bisher gibt es nur wenige Referenzkunden und die Unklarheiten bei Cloud Computing beginnen bereits bei der Suche nach einer einheitlichen Definition (Marwan, 2010). Die genannten Aspekte erschweren es den Unternehmen, die konkreten Anforderungen zu identifizieren, die sie bei der Auswahl eines geeigneten Cloud Services zu beachten haben.
Im Gegensatz zum Kauf traditioneller IT-Ressourcen (zum Beispiel Softwarelizenzen) sind bei der Auswahl eines geeigneten Cloud Services neben funktionellen Kriterien Aspekte wie Vertrauen zum Provider, Leistungsfähigkeit des Anbieters und Zuverlässigkeit der Leistungserbringung von besonderer Bedeutung (Häussler, 2009). Bisher ist in der wissenschaftlichen Literatur kein Modell zu finden, das Unternehmen bei der Identifizierung der konkreten Auswahlkriterien unterstützt. Der Fokus liegt eher auf technischen Aspekten des Cloud Computings (Youseff et al., 2008; Vaquero et al., 2009). Beiträge, die nicht ausschließlich technikorientiert sind, zum Beispiel von Armbrust et al. (2010) oder Chow et al. (2009), erwähnen meist nur die Risiken beim Einsatz von Cloud Computing. Die konkreten Anforderungen, die ein Anbieter zu erfüllen hat, um diese Risiken zu minimieren beziehungsweise zu eliminieren, werden jedoch nicht genannt. Die Unternehmen erhalten bisher nur von öffentlichen Institutionen, wie dem Bundesamt für Sicherheit in der Informationstechnik (BSI) oder der European Network and Information Security Agency (ENISA), konkrete Hinweise bezüglich der Kriterien, die sie bei der Auswahl eines Cloud Computing Providers zu beachten haben. Aus den Veröffentlichungen ist jedoch nicht ersichtlich, dass die Anforderungen durch wissenschaftliche Methoden identifiziert und validiert wurden.
Im Rahmen dieser Arbeit soll analysiert werden, welche konkreten Anforderungen ein idealer Cloud Computing Anbieter beziehungsweise Service aus Sicht der Unternehmen erfüllen sollte. Durch die Verbindung von wissenschaftlichen und praxisorientierten Quellen soll ein Modell erstellt werden, das potenzielle Nutzer von Cloud Services als Grundlage für die Evaluierung von Cloud Computing Providern verwenden können. Für die Anbieter ist das Modell ebenfalls von Nutzen, wenn sie die Marktbedürfnisse analysieren und ihr Angebot zielgerichtet weiterentwickeln wollen.
Im ersten Teil der Arbeit werden die Grundlagen des Cloud Computings erläutert. Zu Beginn erfolgt die Beschreibung der Basistechnologien und -konzepte, um zu verdeutlichen, dass Unternehmen nicht mit einer völlig neuen Technologie konfrontiert werden. Es handelt sich vielmehr um eine Kombination von bereits bekannten Technologien und Konzepten, die in einem neuen Geschäftsmodell zusammengeführt werden. Im Anschluss werden die charakteristischen Merkmale von Cloud Computing und die für diese Arbeit relevante Definition bestimmt, um ein einheitliches Verständnis für den Verlauf der Arbeit sicherzustellen. Nach der Abgrenzung der verschiedenen Service-Kategorien und Organisationsformen von Cloud Computing werden die Potentiale und Risiken, die Wissenschaftler und Unternehmen bei der Nutzung von Cloud Computing sehen, dargelegt.
Im Hauptteil wird analysiert, welche konkreten Anforderungen für die Unternehmen wichtig sind, wenn sie einen Cloud Computing Provider auswählen. Nach der detaillierten Beschreibung der wissenschaftlichen Vorgehensweise werden die einzelnen Anforderungen, die mittels Literaturanalyse und Experteninterviews identifiziert wurden, erläutert. Im Anschluss wird das darauf basierende Anforderungsmodell vorgestellt. Bevor im letzten Kapitel die Zusammenfassung der Ergebnisse erfolgt, werden die komprimierten Resultate der Onlineumfrage, die zur Validierung des Anforderungsmodells durchgeführt wurde, präsentiert.
Die vorliegende Arbeit fokussiert sich auf Unternehmen in Deutschland, da im Rahmen der Analyse der Anforderungen rechtliche Aspekte betrachtet werden, die aus Sicht der deutschen Rechtsprechung erläutert werden.
Im Folgenden Kapitel werden die für diese Arbeit wichtigen Begriffe definiert und die technischen sowie organisatorischen Grundlagen des Cloud Computings erläutert. Zuletzt werden Potentiale und Risiken dargestellt, die sich aus einem Einsatz von Cloud Computing im Unternehmen ergeben. In der Praxis ist die Verwendung der englischen Begriffe für die Cloud Service-Kategorien und Organisationsformen gebräuchlich, weshalb auf eine Übersetzung ins Deutsche verzichtet wird.
Cloud Computing ist keine neue Technologie sondern baut auf existierenden Technologien und Konzepten auf. Die Virtualisierung von Ressourcen und die Nutzung von serviceorientierten Architekturen sind die technischen Grundlagen dafür, dass Cloud Computing möglich ist. Als Vorgänger für das Geschäftsmodell von Cloud Computing werden in der Literatur Grid Computing, Utility Computing sowie Application Service Providing (ASP) genannt (Foster et al., 2008, S. 1; Leavitt, 2009, S. 16; Repschläger et al., 2010, S. 6; Weber, 2009, S. 69f.). Die erwähnten Basistechnologien und -konzepte werden im Anschluss näher beschrieben.
Durch Virtualisierung bleiben die physikalischen Eigenschaften des Systems vor dem Nutzer verborgen, das heißt ihm wird nur ein abstraktes System präsentiert. Die darunterliegende Hardware und die Funktionalitäten der unteren Systemschichten sind für den Benutzer unsichtbar, da das logische System von der physischen Implementierung abstrahiert wird (Vouk, 2008, S. 33). Dadurch wird die Portabilität von Funktionalitäten der oberen Systemschichten sowie die gemeinsame Nutzung und Zusammenführung von physikalischen Ressourcen ermöglicht. Ein Anbieter kann mit Hilfe von Virtualisierung Services für verschiedene Kunden auf einer physikalischen Maschine laufen lassen, wobei für den Kunden der Eindruck entsteht, dass er das System alleine nutzt. Durch Virtualisierung können Ressourcen wesentlich besser ausgelastet und flexibler bereitgestellt werden (Leavitt, 2009, S. 16; Skurk, 2009, S. 4).
Weitere grundsätzliche Voraussetzungen für Cloud Computing sind Serviceorientierte Architekturen (SOA) und Webservices. SOA ist ein Architekturmuster, bei dem sich einzelne, unabhängige Anwendungsbausteine gegenseitig ihre Funktionalitäten in Form von Services anbieten (Baun et al., 2010, S. 16). Die Services haben jeweils eine definierte fachliche Aufgabe, können flexibel gebunden und orchestriert werden sowie über Nachrichten kommunizieren. Technische Details werden bei SOA in den einzelnen Services gekapselt und die Zuständigkeiten nach fachlichen Gesichtspunkten getrennt. Es werden standardisierte und offene Schnittstellen verwendet, sodass die Services unabhängig von der Plattform oder der Programmiersprache genutzt werden können. Beim Cloud Computing werden Infrastrukturen, Plattformen, und Anwendungen als Dienste realisiert und stehen zur Nutzung in Service-orientierten Architekturen zur Verfügung (Haller et al., 2005, S. 413).
Die Ausführung von Cloud Services erfolgt normalerweise in Form von Web Services, die Standards nutzen, wie die Schnittstellenbeschreibungssprache WSDL (Web Services Description Language), das Nachrichten-Protokoll SOAP (Simple Object Access Protocol) oder den Standard für Dienstverzeichnisse UDDI (Universal Description, Discovery and Integration) (Wang et al., 2008, S. 828). Das World Wide Web Consortium (W3C) definiert Web Services als eine Software-Anwendung die auf Basis von Webprotokollen Maschine-zu-Maschine Kommunikation über Netzwerke ermöglicht. Die Schnittstellen der Web Services haben dabei ein maschinenlesbares Format (WSDL). Der Zugriff von anderen Anwendungen auf den Web Service wird durch SOAP, welches typischerweise auf dem Hypertext Transfer Protocol (HTTP), der Extensible Markup Language (XML) und weiteren Web Standards basiert, gesteuert. Die Services interagieren so, wie es in der Servicebeschreibung definiert wurde (Booth et al., 2004, S. 7). Das Besondere an Web Services ist nicht die genutzte Technologie, sondern vielmehr die Möglichkeit Anwendungen mit einem kompositionellen Ansatz zu entwickeln. Dies ermöglicht zum Beispiel Funktionen, die für eine Anwendung benötigt werden, über externe Services zu beziehen oder Legacy Systeme einbinden zu können (Baun et al., 2010, S. 21).
Beim Grid Computing, das seinen Ursprung in der Forschung hat, werden verteilte Ressourcen zu einem virtuellen Hochleistungscomputer verbunden, um rechenintensive Prozesse effektiv und schnell bearbeiten zu können.
Rechenkapazitäten und Informationen können dadurch von verschiedenen Organisationseinheiten standortunabhängig gemeinsam genutzt werden (Foster et al., 2001, S. 200). Im Gegensatz zum Cloud Computing gehören die Ressourcen verschieden Institutionen. Die Verwaltung sowie die Ressourcen-Provisionierung laufen dezentralisiert ab. Beim Grid Computing werden offene, standardisierte Protokolle und Schnittstellen verwendet (Buyya et al., 2009, S. 604; Foster I. , 2002). Der wirtschaftliche Aspekt steht beim Grid Computing nicht im Vordergrund, es geht vielmehr um die Bereitstellung von Infrastruktur in Form von Speicher und Rechenressourcen. Daher kann Grid Computing laut Weber (2009, S. 70) als „Platform as a Service“ (PaaS) und in Teilbereichen als „Infrastructure as a Service“ (IaaS) verstanden werden. Die Entwicklung von Grid Computing zu Cloud Computing führen Foster et al. darauf zurück, dass sich der Fokus von der reinen Bereitstellung von Infrastruktur hin zur Bereitstellung von komplexeren Diensten und Anwendungen verschoben hat, die mit Hilfe von Cloud Computing realisierbar sind (Foster et al., 2008, S. 2).
Utility Computing ist gemäß Vouk (2008, S. 31) ein weiteres wichtiges Konzept, auf dem Cloud Computing aufbaut. Es handelt sich dabei nicht um eine neue Technologie, sondern vielmehr um ein Geschäftsmodell, bei dem Computerressourcen, wie Rechenleistung oder Speicherplatz, als Servicepaket angeboten und gemäß dem Verbrauch verrechnet werden. Vergleichbar ist dieses Modell mit dem Bezug von öffentlichen Gütern, wie Strom oder Wasser. Utility Computing basiert typischerweise auf der Nutzung von externer IT-Infrastruktur und stellt Abrechnungs- und Überwachungsservices bereit. Cloud Services werden Kunden in Form von Utility Computing angeboten (Foster et al., 2008, S. 2; Leavitt, 2009, S. 16).
Das Application Service Providing stellt eine besondere Form des IT-Outsourcings dar, bei der ein Anbieter dem Kunden Leistungen, wie Hosting, Administration oder Support über das Internet zur Verfügung stellt, wobei die Leistungserbringung über Service Level Agreements definiert ist (Buxmann & Hess, 2008, S. 500). Beim ASP handelt es sich hauptsächlich um Standardlösungen mit geringem Individualisierungsgrad, wohingegen beim Cloud Computing höhere Individualisierungsmöglichkeiten bestehen, die es für die IT-gestützte Abwicklung komplexer Geschäftsprozesse qualifizieren (Repschläger et al., 2010, S. 7).
Marc Benioff, CEO von Salesforce.com, einem Anbieter von OnlineUnternehmenssoftware, bezeichnet Cloud Computing als „most powerful term in the industry” (Fowler & Worthen, 2009). Trotz der wirtschaftlichen Bedeutung von Cloud Computing gibt es weder unter den Anbietern noch in der wissenschaftlichen Literatur eine einheitliche Definition dafür (Deussen et al., 2010, S. 14; Weinhardt et al., 2009, S. 454). Wang et al. (2008, S. 858) erklären das Fehlen einer einheitlichen Definition damit, dass sich Wissenschaftler und Techniker aus verschiedenen Disziplinen mit der Thematik beschäftigen und daher sehr unterschiedliche Sichtweisen haben. Vaquero et al. (2009, S. 50), Youssef et al. (2008, S. 1) und Weiss (2007, S. 25) kritisieren, dass die Akzeptanz von Cloud Computing durch das Fehlen einer einheitlichen Definition gefährdet sein könnte. Gong et al. (2010 , S. 275) hingegen sind der Meinung, dass eine Definition von Cloud Computing in gewissem Maße vernachlässigbar ist, sofern die Charakteristika eindeutig definiert sind. Daher werden zunächst die charakteristischen Merkmale von Cloud Computing bestimmt und anschließend verschiedene Definitions-Ansätze aus der Literatur diskutiert. Zuletzt wird die für diese Arbeit relevante Definition abgegrenzt.
Bei der Bestimmung der für Cloud Computing charakteristischen Eigenschaften, wird in der Literatur häufig auf die Ausführung des National Institute of Standards and Technology (NIST) verwiesen (Mell & Grance, 2009). Daher wurde diese als Basis für die Definition der Charakteristika verwendet und um eine weitere, mehrfach in der Literatur genannte Eigenschaft, ergänzt. Charakteristika von Cloud Computing sind:
Automatische Service-Erbringung bei Bedarf: Der Nutzer kann bei Bedarf selbstständig Computerressourcen/ -dienste anfordern, ohne persönlichen Kontakt zu den jeweiligen Service-Anbietern haben zu müssen (Mell & Grance, 2009; Vogels, 2008; Wang et al., 2008, S. 828).
Netzwerkbasierter Zugriff: Auf die Ressourcen/Dienste wird über ein Netzwerk mittels standardisierter Technologien zugegriffen, wobei dem Nutzer frei steht, ob er dies mittels PC, Laptop, Mobiltelefon oder PDA macht (Mell & Grance, 2009).
Ressourcen-Pooling und Virtualisierung: Die Ressourcen des Anbieters sind in Pools konsolidiert, um eine parallele Diensterbringung für mehrere Nutzer zu ermöglichen. Die Ressourcen werden den Kunden entsprechend dem aktuellen Bedarf dynamisch zugeordnet. Der Speicherort der Daten ist flexibel und dem Kunden unbekannt, falls dies nicht explizit anders vereinbart wird (Gong et al., 2010 , S. 278; Mell & Grance, 2009).
Schnelle Elastizität: Ressourcen/Dienste werden dem Nutzer entsprechend seines aktuellen Bedarfs (automatisch) zur Verfügung gestellt und können innerhalb kurzer Zeit nach oben oder unten skaliert werden. Der Nutzer hat den Eindruck, dass Ressourcen unbeschränkt zur Verfügung stehen (Mell & Grance, 2009; Vogels, 2008).
Messbarer Service: Cloud Services kontrollieren und optimieren die Nutzung der Ressourcen automatisch mittels integrierter Messfunktionen. Um Transparenz für den Anbieter und den Nutzer zu schaffen, kann die Ressourcennutzung überwacht, kontrolliert und aufgezeichnet werden (Mell & Grance, 2009).
Nutzungsabhängige Abrechnung: Der Nutzer bezahlt in Abhängigkeit von seinem Verbrauch (Pay-per-use Modell) und ist nicht langfristig an eine bestimmte Anzahl von Ressourcen gebunden (Vogels, 2008; Weber, 2009, S. 24).
Mandantenfähigkeit: Der Cloud Service stellt sicher, dass die Daten und Anwendungen der verschiedenen Nutzer, die sich physikalische Ressourcen (Hardware und Software) in einer gemeinsamen Umgebung teilen, völlig isoliert voneinander sind (Brunette & Mogull, 2009, S. 17; Weber, 2009, S. 24).
Vaquero et al. (2009) analysieren die in der Literatur vorkommenden Definitionen für Cloud Computing, wobei der Fokus dabei auf den 21 Experten-Definitionen von Geelan (2009) liegt, und leiteten daraus eine ausführliche sowie minimale Definition ab. Die „Cloud“ wird von ihnen als ein Pool von virtualisierten Ressourcen, die leicht zugänglich und einfach nutzbar sind, definiert. Die Ressourcen können dynamisch konfiguriert werden und damit elastisch an aktuelle Anforderungen angepasst werden (skalieren). Dadurch wird eine optimale Ressourcenauslastung ermöglicht. Typischerweise basieren die Angebote auf einem verbrauchsabhängigen Abrechnungsmodell, dem sogenannten Pay-per-use Modell, bei dem den Kunden vom Infrastruktur Anbieter mittels kundenspezifischer Service Level Agreements (SLA) bestimmte Garantien gewährt werden. Als minimale Definition für Cloud Computing werden Skalierbarkeit, Pay-per-use Modell sowie Virtualisierung aufgeführt (Vaquero et al., 2009). Armbrust et al. (2009) ordnen dem Begriff Cloud Computing sowohl die Anwendungen, die als Service über das Internet angeboten werden, als auch die darunter liegende Hardware und Systemsoftware in den Rechenzentren zu. Die Anwendungen bezeichnen die Autoren als Software as a Service und nur die Hardware und Systemsoftware der Rechenzentren wird als Cloud verstanden. Wird diese Cloud der Öffentlichkeit mit einem verbrauchsabhängigen Abrechnungsmodell angeboten, so definieren Armbrust et al. dies als Public Cloud, wobei der bereitgestellte Service als Utility Computing bezeichnet wird. Cloud Computing wird von ihnen als Summe von Software as a Service und Utility Computing gesehen und beinhaltet Private Clouds (unternehmensinterne Clouds) normalerweise nicht. Auch Böhm et al. (2009) stellen die Ansichten verschiedener Autoren bezüglich der charakteristisch aufgefassten Merkmale des Cloud Computings gegenüber und erarbeiten darauf basierend ihre eigene Definition. Für sie ist CIoud Computing
„...ein auf Virtualisierung basierendes IT-Bereitstellungsmodell, bei dem Ressourcen sowohl in Form von Infrastruktur als auch Anwendungen und Daten als verteilter Dienst über das Internet durch einen oder mehrere Leistungserbringer bereitgestellt wird. Diese Dienste sind nach Bedarf flexibel skalierbar und können verbrauchsabhängig abgerechnet werden.“
Um sowohl die wissenschaftliche als auch die praxisorientierte Sichtweise zu erfassen, soll auch die Definition des Bundesverbands Informationswirtschaft, Telekommunikation und neue Medien e.V (BITKOM) genauer betrachtet werden. Dieser definiert Cloud Computing als „eine Form der Bereitstellung von gemeinsam nutzbaren und flexibel skalierbaren IT-Leistungen durch nicht fest zugeordnete IT- Ressourcen über Netze. Idealtypische Merkmale sind die Bereitstellung in Echtzeit als Self Service auf Basis von Internet-Technologien und die Abrechnung nach Nutzung“ (Weber, 2010).
Die Cloud Definition von Vaquero et al. ist sehr ausführlich, allerdings beinhaltet sie das Kriterium des kundenspezifischen SLAs, das in der Praxis nicht immer umsetzbar ist. Armbrust et al. schränken den Cloud Begriff mit der Fokussierung auf die Public Cloud zu sehr ein. Im Rahmen dieser Masterarbeit wird daher die Definition von Böhm et al. herangezogen, die sich Großteils mit der Definition von BITKOM deckt.
Nicht nur bei der Definition von Cloud Computing herrscht Uneinigkeit, sondern auch bei der Einteilung in Service-Kategorien. Wang et al. (Wang et al., 2008, S. 827) beschreiben die drei sich ergänzenden Kategorien Hardware as a Service (HaaS), Software as a Service (SaaS) und Data as a Service (DaaS). Die Kombination aus diesen drei definieren sie als Platform as a Service (PaaS), welches in Form von Cloud Computing angeboten wird. Youseff et al. (Youseff et al., 2008, S. 3) unternahmen einen der ersten Versuche, eine einheitliche Cloud Ontologie festzulegen. Im Zuge dessen wurde ein 5-Schicht-Modell für Cloud Computing entwickelt. Cloud Services werden demnach in die Kategorien Anwendung (zum Beispiel SaaS), Software Umgebung (zum Beispiel PaaS), Infrastruktur (zum Beispiel IaaS, DaaS, Communication as a Service (CaaS)), Software Kernel und Hardware eingeteilt. Jede Schicht bildet dabei ein Abstraktionslevel, welches die darunterliegenden Komponenten und Funktionalitäten vor dem Nutzer verbirgt.
In den neueren wissenschaftlichen Beiträgen und den praxisrelevanten Veröffentlichungen hat sich jedoch ein vereinfachtes Modell durchgesetzt, das Cloud
Services in die drei Schichten Infrastructure as a Service (IaaS), Platform as a Service (PaaS) und Software as a Service (SaaS) einteilt (Brunette & Mogull, 2009, S. 15; Louridas, 2010, S. 17; Mell & Grance, 2009; Velten & Janata, 2011, S. 22). Abbildung 1 zeigt das Schichtenmodell. Die einzelnen Service-Kategorien werden im Folgenden näher erläutert.
Abbildung in dieser Leseprobe nicht enthalten
Abbildung 1: Schichtenmodell der Service-Kategorien
Im Rahmen von Infrastructure as a Service werden dem Kunden grundlegende IT- Infrastruktur Komponenten angeboten. Kunden sind hierbei hauptsächlich Spezialisten für den IT-Betrieb sowie IT-Dienstleister, denen Rechen- und Speicherleistung auf virtualisierten Servern zur Verfügung gestellt werden (Louridas, 2010, S. 7). Diese können vom Nutzer entsprechend seiner Bedürfnisse konfiguriert und skaliert werden. IaaS bildet die Basis für PaaS und SaaS, da es ihnen die benötigte Infrastruktur zur Verfügung stellt (Leimeister et al., 2010, S. 5). Darüber hinaus bietet IaaS standardisierte Netzwerkinfrastruktur-Funktionalität und SystemManagement als Service an (Weber, 2009, S. 22f.). IaaS wird meist auf Basis von Pay-per-use Modellen oder Abonnements bezogen. Häufig erweitern IaaS Anbieter ihr Angebot durch zusätzliche Dienste für die Verwaltung der zugrunde liegenden Hardware (zum Beispiel Skalierung, Migration), die über das Internet zugänglich sind (Weinhardt, et al., 2009, S. 5). Die Vorteile von IaaS gegenüber traditioneller IT- Bereitstellung sieht Weber (2009, S. 25) in der gesteigerten Effizienz, der hohen Skalierbarkeit und Flexibilität sowie der Unterstützung neuer Software Architekturen. Zu den bekanntesten Angeboten im Bereich IaaS in Deutschland gehören Amazon Elastic Compute Cloud (EC2), Microsoft Windows Azure Platform, IBM Smart Business Cloud, HP Cloud Enabling Computing sowie BT Virtual Data Center (Velten & Janata, 2011, S. 33ff.; Weber, 2009, S. 23).
Eine Ebene über der Infrastruktur liegt die Kategorie Platform as a Service. Es handelt sich hierbei um eine Plattform, auf der Softwarekomponenten auf Basis von technischen Frameworks entwickelt und integriert werden können. Die Entwicklung der Anwendungen erfolgt online, wodurch die gemeinsame Programmierung durch räumlich verteilte Entwickler erleichtert wird (Leavitt, 2009, S. 17). Die Plattform bietet typischerweise Programmierschnittstellen an, die eine Verwendung verschiedener Programmiersprachen erlauben und die Nutzung von und Interaktion mit anderen Cloud Services unterstützen. Nutzer können dadurch von Funktionen wie automatischem Skalieren, Lastverteilung, Authentifizierungsdiensten und Komponenten für grafische Benutzeroberflächen profitieren (Louridas, 2010, S. 7; Youseff et al., 2008, S. 4). Kunden von PaaS sind hauptsächlich System-Architekten und Anwendungsentwickler, die wiederum selbst Anbieter von Cloud Services (SaaS) sein können. Produkte wie Google App Engine, Microsoft Azure Services, Force.com von Salesforce, IBM Smart Business Development and Test on the IBM Cloud gelten als die bekanntesten Angebote im Bereich PaaS im deutschen Raum (Velten & Janata, 2011, S. 42ff.; Weber, 2009, S. 23).
Als Software as a Service werden Anwendungen bezeichnet, die der Kunde bei Bedarf über das Internet nutzen kann. Die dafür benötigte Infrastruktur ist Teil des Gesamtservices, d.h. der Kunde muss sich nicht darum kümmern. SaaS ist im Gegensatz zu IaaS oder PaaS an den Endkunden, also den eigentlichen Nutzer einer Anwendung, gerichtet. Entwickler können ihre Anwendung entweder mit Hilfe der PaaS Schicht entwickeln und bereitstellen, oder direkt die Dienste von IaaS in Anspruch nehmen, um ihre Anwendung darauf laufen zu lassen (Lenk et al., 2009, S. 24). Neben Anwendungen für die private Nutzung werden von SaaS Geschäftsanwendungen angeboten, die als standardisierte Services von einem Dienstleister bereitgestellt werden. Anpassungs- und Integrationsmöglichkeiten sind im Gegensatz zu normaler Software oft eingeschränkt. Typische Einsatzbereiche von SaaS sind standardisierte Anwendungen wie Customer Relationship Management, Kollaboration und Kommunikation sowie industriespezifische Geschäftsabläufe, die technologieunabhängig sind (Weber, 2009, S. 22f.). Eine Cloud Anwendung kann aus verschiedenen anderen Cloud Services zusammengesetzt sein. Diese werden vom Kunden jedoch als eine integrierte Anwendung wahrgenommen (Leimeister et al., 2010, S. 4). Der Vorteil von SaaS gegenüber der traditionellen Nutzung von Software, d.h. Kauf von Lizenzen und Installation auf lokalen Rechnern, liegt darin, dass der Nutzer nur für das zahlt, was er tatsächlich nutzt. Die Anzahl der berechtigten Nutzer kann flexibel nach oben oder unten korrigiert werden. Darüber hinaus muss sich der Nutzer nicht mehr um die Wartung der Software kümmern (Weber, 2009, S. 27). Zu den bekanntesten SaaS Anbietern und Lösungen für den betrieblichen Einsatz gehören Salesforce.com, Google Apps for Business, SAP Business by Design sowie Microsoft Online Services (Weber, 2009, S. 23; Weinhardt, et al., 2009, S. 459).
Abbildung 2 fasst die wichtigsten Aspekte der drei Service-Kategorien zusammen und nennt die bekanntesten Anbieter je Kategorie (in Anlehnung an Weber, 2009, S. 23).
Abbildung in dieser Leseprobe nicht enthalten
Abbildung 2: Service-Kategorien
Neben den drei genannten Service-Kategorien entwickeln sich derzeit zahlreiche weitere Ausprägungen auf dem Markt, beispielsweise Security as a Service, Storage as a Service, Information as a Service etc. (Linthicum, 2009).
Für die Nutzung von Cloud Computing stehen dem Kunden verschiedene Organisationsformen, in der Literatur auch Betriebsmodelle genannt, zur Verfügung. Diese unterscheiden sich hauptsächlich nach Besitz der Infrastruktur sowie Zuständigkeit für Verwaltung und Betrieb der Cloud. Als Hauptausprägungen werden hierzu in der Literatur die Public Cloud (öffentliche Cloud) und die Private Cloud (unternehmensinterne Cloud) genannt. Die Wahl des passenden Betriebsmodells wird bedingt durch die jeweiligen Anforderungen des Unternehmens. Grundsätzlich sind Cloud Services über das Internet beziehungsweise das Intranet entweder für die breite Masse oder ausschließlich für einen bestimmten Kunden zugänglich. Im ersten Fall spricht man von einer Public Cloud und im zweiten von einer Private Cloud. Darüber hinaus gibt es Mischformen wie die Hybrid Cloud oder die Community Cloud (Deussen et al., 2010, S. 20). Die einzelnen Organisationsformen werden im Folgenden dargelegt.
Die Public Cloud ist die bekannteste Organisationsform und zeichnet sich dadurch aus, dass die Öffentlichkeit mittels eines Webbrowsers über das Internet auf in der Regel standardisierte IT-Ressourcen und Anwendungen zugreift, die von einem Dritten angeboten werden. Es handelt sich hierbei um einen externen IT- Dienstleister, der Eigentümer der Public Cloud ist, diese betreibt und verwaltet. Die Nutzer der Public Cloud sind organisatorisch nicht miteinander verbunden (Weber, 2010, S. 18). Sie teilen sich aber eine virtualisierte, multimandantenfähige Infrastruktur, d.h. Daten von unterschiedlichen Kunden werden auf gemeinsamen Ressourcen gespeichert und verarbeitet, bleiben jedoch logisch getrennt. Die Zuordnung der Ressourcen zu einem bestimmten Kunden ist normalerweise nicht möglich. Sofern nicht anders vertraglich vereinbart, ist der Speicherort der Daten für den Nutzer nicht bekannt. Die Nutzung der Public Cloud Services erfolgt auf Basis von standardisierten oder individualisierten Service Level Agreements, die der Kunde mit dem Anbieter abschließt (Ramgovind et al., 2010, S. 2; Weber, 2010, S. 18). Public Clouds werden in der Literatur als tendenziell unsicher eingestuft, da der Kunde seine Daten beziehungsweise die seiner Kunden in fremde Hände gibt und keinen direkten Einfluss mehr auf die Sicherheit der Daten und die Einhaltung von gesetzlichen Vorgaben hat. Trotzdem behält er die komplette Verantwortung für die Sicherheit der Daten (Brunette & Mogull, 2009, S. 22; Hofmann & Woods, 2010, S. 91).
Im Gegensatz zur Public Cloud wird die Private Cloud nicht von der breiten Masse, sondern ausschließlich von einer Organisation genutzt. Eigentümer, Betreiber und Verwalter ist entweder die Organisation selbst oder ein externer Anbieter. Wenn der externe Anbieter die Cloud auf Basis eines Service Level Agreements verwaltet, die Infrastruktur jedoch Eigentum der nutzenden Organisation ist, spricht man von einer Managed Private Cloud. Die Service Level Agreements sind individuell verhandelbar. Verwaltet der externe IT-Dienstleister die Cloud nicht nur, sondern ist auch Besitzer der Infrastruktur, so handelt es sich um eine Outsourced Private Cloud (Deussen et al., 2010, S. 21; Weber, 2009, S. 31). Nur die vom Betreiber autorisierten Personen (zum Beispiel auch Kunden und Lieferanten) haben über das Intranet oder ein Virtual Private Network (VPN) Zugang zur Cloud. Durch eine Private Cloud hat das Unternehmen die Möglichkeit eine sichere, effiziente, standardisierte und virtualisierte Betriebsumgebung für seine IT zu schaffen (Ramgovind et al., 2010, S. 2; Weber, 2010, S. 18). In Bezug auf Sicherheit und Compliance hat die Private Cloud einen wesentlichen Vorteil im Vergleich zur Public Cloud, da das Unternehmen die Kontrolle über seine Daten behält und diese nicht gemeinsam mit denen anderer Nutzer gespeichert werden (Vogel et al., 2010, S. 126). Nachteil der Private Cloud sind die relativ hohen Kosten, da sich die Nutzer keine Cloud Infrastruktur mit anderen teilen, sondern selbst für die Beschaffung und den Betrieb verantwortlich sind (Rimal et al., 2011, S. 15).
Bei der Hybrid Cloud handelt es sich um kein eigenständiges Cloud Betriebsmodell, sondern um eine Bezeichnung für Kombinationen aus traditioneller IT, Private Clouds und Public Clouds. Die einzelnen Bereiche arbeiten unabhängig voneinander, sind aber über standardisierte Technologien so miteinander verbunden, dass bei Bedarf ein Daten- oder Anwendungstransfer möglich ist. Von einer Hybrid Cloud spricht man zum Beispiel, wenn der normale IT-Betrieb über traditionelle IT oder Private Cloud abgewickelt wird und bei Bedarf bestimmte Funktionalitäten oder Lastspitzen in die Public Cloud ausgelagert werden. Entsprechend der Sicherheitsanforderungen des Unternehmens ist abzuwägen, welche Funktionen und Daten in eine Public Cloud verschoben werden können (Baun et al., 2010, S. 27; Ramgovind et al., 2010). Durch Hybride Modelle können Unternehmen die Kontrolle über ihre kritischen Anwendungen behalten und Cloud Computing dort nutzen, wo es sinnvoll ist (Vogel et al., 2010, S. 127). Die Herausforderung der Hybrid Cloud ist es, ein für den Endanwender homogen erscheinendes System zu erstellen. Voraussetzung dafür sind einheitliche Standards in Bezug auf Technologie und Sicherheit bei traditioneller IT-Umgebung, Private Cloud und Public Cloud (Weber, 2009, S. 31).
Bei der Community Cloud handelt es sich um den Zusammenschluss mehrerer Unternehmen oder Organisationen der gleichen Branche, die aus ihren einzelnen Private Clouds eine gemeinsam nutzbare und für die Mitglieder exklusive Cloud bilden. Die Community Cloud ermöglicht die Kollaboration der Mitglieder bei der Ausführung gemeinsamer Geschäftsprozesse (Deussen et al., 2010, S. 22). Aus technischer Sicht ist die Community Cloud der Private Cloud sehr ähnlich, wobei jedes Mitglied nur Zugriff auf die für ihn relevanten Services erhält. Geschäftskritische Anwendungen und Daten bleiben in einer gesicherten Private Cloud, die jedoch von allen Mitgliedern genutzt wird. Das Modell bietet sich speziell für Organisationen mit sehr ähnlichen Anforderungen, zum Beispiel besonderen Sicherheits- oder Compliance- Anforderungen, oder für Firmen mit einer gemeinsamen geschäftlichen Aufgabe an (Deussen et al., 2010, S. 22; Langewisch, 2011). Vorteil der Community Cloud ist, dass die Mitglieder auf Basis von Vereinbarungen zum einen die Vorteile der Cloud, wie Skalierbarkeit und niedrigere Betriebskosten, nutzen können und zum anderen keine Risiken in Bezug auf Sicherheit eingehen müssen (Birk & Wegener, 2010, S. 642). Abbildung 3 fasst die Eigenschaften der verschiedenen Cloud Organisationsformen zusammen (in Anlehnung an Deussen et al., 2010, S, 21).
Abbildung in dieser Leseprobe nicht enthalten
Cloud Organisationsformen
Abbildung 3: Cloud Organisationsformen
Die anschließenden Ausführungen dieser Arbeit fokussieren sich auf die Nutzung von Public Cloud Services im Unternehmen, können aber mit entsprechenden Anpassungen auch auf die anderen Organisationsformen übertragen werden.
Durch die Verlagerung von IT-Systemen und Anwendungen in die Cloud ergibt sich für die Unternehmen eine Vielzahl von Potentialen. Besonders die Bereiche Kosten und Flexibilität machen Cloud Computing zu einem attraktiven Konzept für Unternehmen (Catteddu & Hogben, 2009a, S. 7; Thorenz, 2011, S. 10). Welche konkreten Potentiale der Einsatz von Cloud Computing mit sich bringt, wird im Folgenden näher betrachtet.
Durch die Nutzung von Cloud Computing im Unternehmen können die Betriebskosten für die IT gesenkt und eine geringere Kapitalbindung erreicht werden. Das Unternehmen muss sich nicht mehr um den Kauf, die Verwaltung, Wartung und Lizensierung von Software oder Infrastruktur kümmern, sondern gibt diese Verantwortung bei der Nutzung von Cloud Services an den Anbieter ab (Clarke, 2010a, S. 577; Leavitt, 2009, S. 17). Zudem werden ungenutzte Kapazitäten reduziert, die in Rechenzentren 50 Prozent oder mehr betragen können (Leavitt, 2009, S. 17). Beim Cloud-basierten IT-Betrieb fallen nur noch Kosten für den Bezug der benötigten Serverkapazitäten an. Dabei erfolgt eine nutzungsabhängige Abrechnung. Dies bedeutet, dass die fixen Kosten in variable Kosten umgewandelt werden (Meir-Huber, 2010, S. 61). Durch den Wegfall von Investitionen in Infrastruktur und Software können Gelder stattdessen in Kernbereiche des Unternehmens investiert werden (Armbrust et al., 2010, S. 63). Die monatlichen Nutzungsgebühren, die an den Anbieter gezahlt werden, sind in Summe in der Regel niedriger als bei Eigenbetrieb der Systeme, da der Cloud Computing Provider über Skaleneffekte geringere Kosten erzielt (Clarke, 2010a, S. 577). Diese Einsparungen werden üblicherweise an die Kunden weitergereicht. Darüber hinaus wird die Komplexität des IT-Betriebs reduziert, sodass eine erhöhte Prozess- und Kostentransparenz realisiert wird (Repschläger et al., 2010, S. 14). Der Aufwand für die Bestimmung der genauen Anforderungen des Unternehmens, die Evaluierung von verschiedenen Lösungen und die anschließende Einführung und Überwachung eines neuen Systems bleiben jedoch auch bei einer Cloud Lösung bestehen.
Durch den Einsatz von Cloud Computing erhalten Unternehmen die Möglichkeit, auf wechselnde Kapazitätsbedarfe schnell und flexibel reagieren zu können. Dies wird durch kurze Vertragslaufzeiten, nutzungsabhängige Preismodelle und skalierbare Systeme ermöglicht (Repschläger et al., 2010, S. 14). Besonders interessant ist dies bei Anwendungen und Systemen, die einer stark schwankenden Auslastung unterliegen oder nur punktuell, zum Beispiel für Testzwecke, benötigt werden (Leavitt, 2009, S. 17). In Bezug auf Innovationen kommt der Flexibilität der IT- Systeme ebenfalls eine besondere Bedeutung zu. Damit sich ein Unternehmen, das ein innovatives Produkt entwickelt hat, den Vorteil des Ersten am Markt (First to market) sichern kann, ist eine schnelle Unterstützung der Markteinführung durch die IT erforderlich. Die rasche Verfügbarkeit von Ressourcen und Anwendungen auf Basis von Cloud Computing kann ein entscheidender Wettbewerbsvorteil für das Unternehmen sein (Jansen & Grance, 2011, S. 9; Vehlow, o.A.). Die erhöhte Flexibilität bezieht sich nicht nur auf die benötigten Ressourcen, sondern auch auf die Nutzung der IT. Cloud Services können mit Hilfe verschiedener Geräte (zum Beispiel Notebook, Tablet PC, Smartphone etc.) von jedem beliebigen Ort aus genutzt werden, der eine Internetverbindung bietet. Die Nutzer sind theoretisch vollkommen flexibel bei der Wahl des verwendeten Gerätes und ihres Arbeitsorts. Die zentrale Datenhaltung beim Cloud Computing ermöglicht es dem Nutzer jederzeit und mit jedem Endgerät auf seine Dokumente zuzugreifen. Außerdem sind die Daten zentral gesichert, jederzeit in der aktuellsten Version verfügbar und für kollaboratives Arbeiten gut geeignet (Vogel et al., 2010, S. 128). Des Weiteren sind für die Nutzung von rechenintensiven Anwendungen Geräte mit geringer Kapazität ausreichend (zum Beispiel internetfähige Handys), da der Großteil der Rechenleistung nicht mehr auf dem Gerät selbst erfolgt, sondern auf den Servern des Cloud Computing Anbieters (Clarke, 2010a, S. 576). Geschäftsprozesse, die auf Basis von Cloud Services realisiert werden, können leichter abgeändert werden als solche, die auf herkömmlichen IT-Systemen basieren, da sie normalerweise SOAP und WSDL nutzen. Ein weiterer Grund dafür sind die relativ kurzen Vertragslaufzeiten bei Cloud Computing. Ebenso leicht können neue Geschäftsprozesse eingeführt oder Workflows in bestehende Geschäftsprozesse und Altsysteme integriert werden (Holtkamp, 2010, S. 17; Leavitt, 2009, S. 17).
Durch die oben erwähnte Veränderung der Kostenstrukturen durch Cloud Computing haben auch Unternehmen, die weniger finanzstark sind und nicht die benötigte Fachkompetenz im Unternehmen haben, die Möglichkeit hochwertige und moderne IT-Systemen zu nutzen und auf einer Ebene mit finanzstarken Unternehmen zu konkurrieren. Insbesondere kleine und mittlere Unternehmen (KMU) erhalten durch Cloud Computing die Chance IT-Infrastruktur und IT-Management Ressourcen zu nutzen, deren Anschaffung sie nur schwer finanzieren könnten. Durch die Nutzung von Public Cloud Diensten können mittelständische Unternehmen in der Regel deutlich höhere Standards bei Verfügbarkeit, Zuverlässigkeit und Sicherheit erreichen als mit ihrer eigenen IT-Landschaft (Clarke, 2010a, S. 576; Holtkamp, 2010, S. 17; Townsend, 2009, S. 131). Obwohl viele Unternehmen auf Grund negativer Pressemeldungen Bedenken bezüglich der Verfügbarkeit von Cloud Services haben, können nur wenige Unternehmen mit ihrer internen IT die Verfügbarkeit von Cloud Angeboten übertreffen (Armbrust et al., 2010, S. 54). Die Tatsache, dass Cloud Computing Anbieter oftmals über redundante Rechenzentren verfügen, die geografisch verteilt sind, führt ebenfalls zu einer erhöhten Informationssicherheit, da die Verfügbarkeit von Daten durch lokale Probleme nicht beeinträchtigt wird (Helmbrecht, 2010, S. 555). Durch die Nutzung von Cloud Services werden professionelle Backup- und Wiederherstellungs-Mechanismen sichergestellt, da diese in der Regel zu den Kernkompetenzen eines Anbieters zählen (Clarke, 2010a, S. 576). Außerdem kann der Nutzer immer automatisch die aktuellste Version von Web-basierten Anwendungen nutzen, ohne dass er sich selbst um ein Update kümmern muss (Vogel et al., 2010, S. 127). Größe und Fachkompetenz des Cloud Computing Anbieters bringen nicht nur Vorteile bei Verfügbarkeit und Zuverlässigkeit, sondern auch bei der Datensicherheit. Grund dafür ist, dass Sicherheitsmaßnahmen grundsätzliche günstiger werden, wenn sie in großem Maße eingesetzt werden (Helmbrecht, 2010, S. 554; Holtkamp, 2010, S. 17). Gemäß Catteddu und Hogben (2009b, S. 17) bedeutet dies im Kontext von Cloud Computing, dass bei gleichem Kostenaufwand bessere Sicherheitssysteme beschafft werden können. Cloud Computing Anbieter haben durch ihre Größe die Möglichkeit, Mitarbeiter auf Informationssicherheit und Datenschutz zu spezialisieren. Die Struktur von Cloud Plattformen ist normalerweise einheitlicher als bei traditionellen IT- Systemen und bietet daher die Möglichkeit bessere Sicherheitssysteme zu implementieren (Jansen & Grance, 2011, S. 8). Cloud Computing Provider unternehmen derzeit große Bemühungen, um ihre Sicherheitsvorkehrungen zu optimieren. Sie erhoffen sich, dadurch einen entscheidenden Wettbewerbsvorteil zu erlangen (Catteddu & Hogben, 2009b, S. 17).
Cloud Computing bietet den Unternehmen nicht nur Potentiale, sondern bringt auch einige Risiken mit sich. Aktuellen Studien zufolge sind Abhängigkeit vom Anbieter, Kontrollverlust, unzureichende Sicherheit, Verstoß gegen gesetzliche Vorgaben sowie mangelnde Verfügbarkeit und Performance die größten Risiken, die Unternehmen in Bezug auf Cloud Computing sehen (Catteddu & Hogben, 2009a, S. 15; Hosting, 2009, S. 11; NTT Communications, 2009, S. 13; Thorenz, 2011, S. 8; Booth, et al., 2004). Kim (2009, S. 67) ist jedoch der Meinung, dass sich die Ängste der Unternehmen beim Einsatz von Cloud Computing nicht von den Bedenken bei herkömmlicher IT und Software unterscheiden, sondern die Nutzer lediglich ein neues Bewusstsein für die Risiken entwickeln, da ihre Daten und Anwendungen nicht mehr direkt von ihnen kontrolliert werden können. Im Folgenden werden die am häufigsten genannten Risiken beim Einsatz von Cloud Computing erläutert.
Durch die Auslagerung von IT-Services an einen Dritten entsteht immer ein Abhängigkeitsverhältnis, das in der Praxis auch als „Vendor-Lock in“ bezeichnet wird. Bei drohendem Preisanstieg, sich ändernden Konditionen oder Unzufriedenheit mit dem Cloud Service ist ein Wechsel zu einem anderen Anbieter oder die Rückabwicklung zum Eigenbetrieb nicht immer sofort und ohne größeren Kostenaufwand möglich. Gründe dafür sind, dass Interoperabilität und standardisierte Formate bei Cloud Services bisher noch nicht oder nur kaum gegeben sind (Armbrust et al., 2010, S. 54; Catteddu & Hogben, 2009b, S. 9; Clarke, 2010b, S. 628; Meir-Huber, 2010, S. 60).
Unternehmen befürchten, durch den Einsatz von Cloud Computing, die Kontrolle über ihre Daten und Anwendungen zu verlieren (Vaught, 2010). Sobald Firmen ihre Daten in die Cloud verlagern, ist eine direkte Kontrolle nicht mehr möglich, wodurch das Risiko entsteht, dass bei Bedarf nicht auf die Daten zugegriffen werden kann, zu Beispiel bei einem kurzzeitigen Ausfall der Cloud. Dies kann in einigen Fällen zum Erliegen der Geschäftsprozesse führen und hohe Kosten verursachen (Rimal et al., 2011, S. 16; Townsend, 2009, S. 129). Außerdem ist der Nutzer nicht mehr in der Lage selbständig Änderungen an den Cloud Services vorzunehmen. Er ist darauf angewiesen, dass der Anbieter die benötigten Anpassungen vornimmt (Leavitt, 2009, S. 18). Des Weiteren besteht das Risiko, dass der Cloud Computing Anbieter nicht die erforderlichen und vereinbarten Maßnahmen für Datensicherheit und Datenschutz ergreift und das Unternehmen dadurch gegen gesetzliche Regelungen oder Compliance Vorgaben verstößt (Catteddu & Hogben, 2009b, S. 28).
Sicherheitsbedenken sind die in Studien am häufigsten geäußerten Bedenken gegenüber Cloud Computing (Hosting, 2009, S. 11; Vehlow & Golkowsky, 2011, S. 29). Die Informationssicherheit, auch Datensicherheit genannt, hat das Ziel Vertraulichkeit, Verfügbarkeit und Integrität von betriebsrelevanten Daten zu schützen (Bedner & Ackermann, 2010, S. 323). Vertraulichkeit bedeutet, dass Informationen vor unbefugter Preisgabe geschützt sind. Verfügbarkeit bezeichnet die Tatsache, dass dem Benutzer Dienstleistungen und Funktionen eines IT-Systems sowie Informationen zum geforderten Zeitpunkt zur Verfügung stehen. Von Integrität spricht man, wenn Daten vollständig und unverändert sind (BSI, o.J., S. 11). Durch die Auslagerung von betriebsrelevanten Daten in die Cloud haben die Unternehmen keinen direkten Einfluss mehr auf die Wahrung dieser Schutzziele. Sie sind darauf angewiesen, dass der Cloud Computing Anbieter auf Basis vertraglicher Vereinbarungen vertrauenswürdig mit den Daten umgeht, diese nicht unberechtigt verändert und geeignete Schutzmaßnahmen ergreift.
Auch wenn ein Unternehmen seine Prozesse und Daten an einen Dritten auslagert, bleibt es selbst dafür verantwortlich, dass die relevanten rechtlichen Anforderungen eingehalten werden (Terplan & Voigt, 2011, S. 188). Auf Grund der Vielzahl und damit einhergehenden Unübersichtlichkeit der gesetzlichen Regelungen, die bei Cloud Computing zum Einsatz kommen, sehen Unternehmen ein großes Risiko, dass Sie durch den Einsatz von Cloud Computing gegen rechtliche Anforderungen in Bezug auf Datenschutz und Informationssicherheit verstoßen und dadurch Finanz- und Imageschäden entstehen (Pohle & Ammann, 2009, S. 277).
Bei der Nutzung von Cloud Services kommt es regelmäßig zur Speicherung von personenbezogenen Daten des Nutzers auf den Systemen des Anbieters, die über die ganze Welt verteilt sein können. Cloud Services berühren daher in besonderem Maße datenschutzrechtliche Bestimmungen (Pohle & Ammann, 2009, S. 276). In Deutschland erhält der Cloud Nutzer durch die Bestimmungen des Bundesdatenschutzgesetzes (BDSG) zahlreiche Pflichten, die es einzuhalten gilt. Ein Verstoß kann für den Nutzer gravierende Folgen haben, zum Beispiel drohen ihm Bußgelder und Schadensersatzzahlungen (Christmann et al., 2010, S. 68).
[...]
