Abbildungsverzeichnis
Tabellenverzeichnis
Abkürzungsverzeichnis
1 Einleitung
1.1 Problemstellungen
1.2 Aufbau und Zielsetzung der Arbeit
2 Grundlagen des Cloud Computing und der IT-Sicherheit
2.1 Definition und Betriebsarten
2.2 Modelle in der Cloud-Architektur
2.3 IT-Sicherheit, Datensicherung und Datenschutz
3 Statistische Entwicklung des Cloud Computing
4 Kritische Betrachtung des Cloud Computing
4.1 Herausforderungen von Cloud Computing
4.1.1 Chancen des Cloud Computing
4.1.2 Risiken des Cloud Computing
4.1.3 Mobilität
4.2 Gesetzliches und vertragliches Gerüst
4.2.1 Rechtliche Einordnung des Cloud Computing
4.2.2 Richtlinien und Standards
4.2.3 Service Level Agreements
4.3 Praxisbeispiele
5 IT-Sicherheit und Vertrauensbildung im Cloud Computing
5.1 Maßnahmen zur Vertrauensgewinnung
5.2 Erfolgreicher Cloud-Einsatz: Ein Leitfaden für KMU
5.2.1 Cloud-Strategie
5.2.2 Planungsphase
5.2.3 Auswahl eines CSP
5.2.4 Vertragsgestaltung
5.2.5 Migrationsphase
5.2.6 Betriebsphase
5.3 Checkliste für KMU
6 Fazit und Ausblick
Literaturverzeichnis
Erklärung
Abb. 1: Entwicklung der wichtigsten IT-Trends in den Jahren 2012 bis 2014
Abb. 2: Auswirkungen von Kostendruck und Marktdruck auf die Cloud Computing Entscheidung
Abb. 3: Die fünf wichtigsten Charakteristika des Cloud Computing
Abb. 4: Strategischer Einsatz von Cloud Computing in deutschen Unternehmen
Abb. 5: Nutzeranteil der KMU an Cloud Computing in ausgewählten europäischen Ländern
Abb. 6: Einsatz von Cloud Computing nach Cloud- Ressourcen
Abb. 7: Einsatz von Cloud Computing in den Unternehmensbereichen
Abb. 8: Prognostizierte Entwicklung des Marktvolumens von Cloud Computing Services
Abb. 9: Prognostizierter Anteil von Public Cloud an den gesamten IT-Ausgaben
Abb. 10: Standorte der Rechenzentren und Server deutscher Provider
Abb. 11: Checkliste: Einhaltung der Basisanforderungen des BDSG an ein Cloud-Sourcing
Abb. 12: Checkliste: Basisanforderungen des BDSG
Abb. 13: Checkliste: Datenverlagerung in Drittstaaten
Tab. 1: Wachstumsraten des Marktvolumens in den Jahren 2013 bis 2017
Tab. 2: Unterschiede der drei Servicemodelle (Kompaktübersicht)
Abbildung in dieser Leseprobe nicht enthalten
Das Thema Cloud Computing, insbesondere dessen Einsatz und die Bereitstellung von Cloud-Services, ist seit einigen Jahren eines der am meist diskutierten zentralen Themengebiete in der Informationstechnik (IT).1 Das klassische IT-Outsourcing wird immer stärker durch dynamischere Cloud-Lösungen ersetzt, die als Zukunftskonzept gelten.2 Dabei sinkt der Anteil des klassischen IT-Outsourcings im Sourcing-Mix zugunsten des Bezugs von IT-Leistungen aus der Cloud. Den Grundstein für die Entstehung des Begriffs Cloud Computing legte der namenhafte Online-Händler Amazon im Jahr 2005. Mit der Bereitstellung überschüssiger IT-Ressourcen, die lediglich im Vorweihnachtsgeschäft benötigt wurden, begannen das Angebot und der Bezug von IT-Ressourcen als Service über das Internet.3 Dabei stehen hinter dem Begriff des Cloud Computing weniger neue Technologien, als vielmehr eine innovative Kombination bereits etablierter Technologien zu neuen Geschäftsmodellen und IT-Services.4
Die Akzeptanz und die Anwendung des Cloud Computing von Privatnutzern sind im Vergleich zu der betrieblichen Nutzung schon recht fortgeschritten, da die Vorbehalte gegen Cloud-Services aus verschiedenen Gründen nicht so stark ausgeprägt sind wie bei Unternehmen. So wird man derzeit kaum einen privaten Internetnutzer finden, der noch keine Cloud-Anwendung nutzt. Allein die Nutzung von E-Mail-Postfächern wie Gmail und web.de und Online Datenspeichern wie Dropbox zählen zu solchen Cloud-Angeboten. Dabei werden die freigegebenen Daten des Nutzers in einem externen Rechenzentrum (RZ) des Cloud-Anbieters gespeichert. Dies hat den Vorteil, dass keine Speicherkapazität des eigenen Rechners verbraucht wird.
Auch im betrieblichen Umfeld hat die Bedeutung des Cloud Computing in den vergangenen Jahren deutlich zugenommen. Jedoch fällt es Unternehmen vor allem bei sensiblen Daten noch schwer eine Speicherung und Übermittlung in die Cloud vorzunehmen. Nachdem die Bedenken bezüglich des Datenschutzes und der IT-Sicherheit bei der Anwendung von Cloud-Services in den letzten Jahren zurückgegangen sind und Unternehmen vermehrt die Integration von Cloud-Diensten in die unternehmenseigenen IT-Systeme nutzen, sind diese mit der Medienberichterstattung um die NSA-Abhöraffäre im vergangenen Jahr wieder gestiegen.5 Diese Entwicklung wird anhand der nachstehenden Grafik (Abb. 1) verdeutlicht.
Abb. 1: Entwicklung der wichtigsten IT-Trends in den Jahren 2012 bis 2014
Abbildung in dieser Leseprobe nicht enthalten
Quelle: In Anlehnung an BITKOM (Hrsg.) 2014 zitiert nach Statista GmbH (Hrsg.) 2014; BITKOM (Hrsg.) 2013 zitiert nach Statista GmbH (Hrsg.) 2013b; BITKOM (Hrsg.) 2012a zitiert nach Statista GmbH (Hrsg.) 2012.
Trotz der vermehrten Inanspruchnahme der IT-Dienstleistungen aus der Cloud zeigen Umfragen und Studien nach wie vor, dass Verunsicherung und Bedenken potentielle Kunden vor einem verstärkten Einsatz von Cloud-Diensten hemmen.6 Viele Unternehmen bevorzugen, trotz aller Vorteile des Cloud Computing, aus mangelndem Vertrauen weiterhin die traditionellen Bereitstellungskonzepte, wie z. B. den Betrieb eines eigenen RZ.7 Als wesentlicher Beweggrund bei der Entscheidung für oder gegen Cloud-Angebote wird derzeit von den potentiellen Kunden am häufigsten das Vertrauen in die Cloud-Service Provider (CSP) und deren angebotenen Cloud-Dienste angegeben. Dabei basiert das Vertrauen auf der Einschätzung des jeweiligen Kunden, ob der CSP alle Risiken aus den Bereichen IT-Sicherheit, Datenschutz, Technik und Recht zufriedenstellend abgedeckt hat.8
Entgegen des oftmals fehlenden Vertrauens und der Risiken ist Cloud Computing für Unternehmen zunehmend als attraktives Konzept im IT-Sourcing-Mix anzusehen.9 Diese Entwicklung wird maßgeblich von zwei zentralen Themen angetrieben: Zum einen von dem durch den starken Wettbewerb anhaltendem Kostendruck und den damit verbundenen Anforderungen der Unternehmensführung an die IT. Zum anderen von der Dynamisierung der Märkte und den damit einhergehenden anspruchsvollen Kundenerwartungen (Abb. 2).10 Beide Faktoren fordern eine Effizienz- und Effektivitätssteigerung der IT-Systeme, um dem steigenden Wettbewerb entgegnen zu können und beeinflussen maßgeblich die Sourcing-Entscheidungen eines Unternehmens.11 Denn führt ein Konkurrent ein neues Produkt vor dem eigenen Unternehmen im Markt ein, sinken die Möglichkeiten der Vermarktung und damit die Chance auf Umsatzwachstum und Gewinn.12 Durch die Dynamisierung der Märkte gelangen neue Produkte in immer kürzeren Zyklen auf den Markt und ersetzen bereits vorhandene Produkte. Dadurch veraltet das entsprechende Know-how immer schneller und lässt Wissensvorsprünge in kurzer Zeit dahin schmelzen. Die einst als Unterstützung eingeführte IT steht nun im Zentrum der Wettbewerbsfähigkeit der Unternehmen, von der eine immer höhere Agilität und Flexibilität erwartet wird.13 So entsteht ein großer Bedarf an kurzfristigen IT-Ressourcen.14 Bislang waren dynamische IT-Lösungen größeren Unternehmen vorbehalten, aufgrund entsprechend vorhandenem Know-how in deren IT-Abteilungen. Cloud Computing macht jedoch hochwertige IT-Lösungen, wie z. B. ein international einheitliches Kundenmanagement-System vor allem für kleine und mittelständische Unternehmen (KMU) zugänglich und attraktiv.15
Abb. 2: Auswirkungen von Kostendruck und Marktdruck auf die Cloud Computing Entscheidung
Abbildung in dieser Leseprobe nicht enthalten
Quelle: In Anlehnung an Pauly, M. 2013, S. 20.
Ungeachtet der zunehmenden Beliebtheit von Cloud Computing-Diensten und deren Migration in deutschen Unternehmen in den vergangenen Jahren stehen KMU der Inanspruchnahme dieser Dienste weiterhin kritisch gegenüber. Grund dafür sind fehlendes Vertrauen in die IT-Sicherheit sowie fehlende oder unzureichende gesetzliche Vorschriften und Richtlinien, aber auch ein hohes Maß an Kontrollverlust über die unternehmensinternen Daten.16 Dabei sind nicht nur die klassischen Angriffsszenarien für Cloud-Systeme relevant, sondern auch die Tatsache, dass die IT-Infrastruktur des CSP von mehreren Nutzern in Anspruch genommen wird sowie bezogene IT-Leistungen über mehrere Standorte hinweg dynamisch verteilt sein können.17 Zudem begibt sich der Nutzer meist in eine starke Abhängigkeit vom CSP und dessen Services.18 Diese Vorbehalte potentieller Kunden wurden zusätzlich in den letzten Monaten durch aktuelle Fälle von Datendiebstahl und Spionageaktionen negativ bestätigt.19 Dabei bietet der Einsatz von Cloud Computing vor allem KMU die Chance, wettbewerbsfähig zu bleiben, durch innovative Technik und moderne Software möglicherweise sogar einen Vorteil gegenüber Wettbewerbern zu erlangen und die IT-Kosten des Unternehmens zu reduzieren.20 Oftmals besitzen CSP bessere Möglichkeiten die IT-Sicherheit und den Schutz sensibler Daten zu gewährleisten, da diese durch die Beschäftigung hochqualifizierten Fachpersonals ein höheres Maß an zentriertem Know-how aufweisen können als es meist in KMU der Fall ist.21 Außerdem unterhält der CSP im Regelfall ein oder mehrere Backups zur Wiederherstellung beschädigter oder verloren gegangener Daten.22 Die größte Herausforderung der CSP ist es daher das Vertrauen der potentiellen Kunden mit Hilfe von entsprechenden Institutionen in den nächsten Jahren kontinuierlich aufzubauen und die Vorbehalte zu widerlegen.23
Ziel dieser Arbeit ist es herauszufinden, welche Maßnahmen für den erfolgreichen Einsatz des Cloud Computing in deutschen Unternehmen ergriffen werden müssen, um das Vertrauen der potentiellen Kunden zu gewinnen, die IT-Sicherheit zu gewährleisten und kontinuierlich zu verbessern. Außerdem wird untersucht, welche Institutionen die Verantwortung über die Einhaltung vorhandener und neuer Richtlinien und Standards besitzen. Neben den Herausforderungen und aktuellen rechtlichen Grundlagen des Cloud Computing beschäftigt sich diese wissenschaftliche Arbeit im Wesentlichen mit der IT-Sicherheit beim Einsatz von Cloud Computing in KMU. Dabei wird lediglich das betriebliche Umfeld aus Nutzer-Perspektive betrachtet und untersucht, wie eine bessere Vertrauensbasis zwischen CSP und Kunde hergestellt werden kann. Um einen besseren Einblick in das Thema zu erlangen, werden vorab die wichtigsten Grundlagen des Cloud Computing und der IT-Sicherheit in Kapitel 2 behandelt. Kapitel 3 gewährt einen Einblick in die statistische Entwicklung des Cloud Computing. In Kapitel 4 wird eine kritische Betrachtung des Cloud Paradigmas vorgenommen. Dafür werden die Herausforderungen von Cloud Computing für die Unternehmen untersucht und erläutert. Diese sind in Chancen, Risiken und die Mobilität unterteilt. Darüber hinaus wird ein Überblick über die gesetzlichen und vertraglichen Rahmenbedingungen gegeben. Kapitel 4 schließt mit einigen Praxisbeispielen der vergangenen Zeit ab. Darauf aufbauend wird im weiteren Verlauf dieser Arbeit die Planung und Organisation des Einsatzes sowie die Einführung von Cloud-Lösungen näher betrachtet. Hier wird vor allem auf die Vertrauensbildung der Unternehmen zu den CSP näher eingegangen. Für die Gewinnung des Kundenvertrauens in dieses neue IT-Paradigma ist es wichtig, dass CSP sowohl Verantwortung übernehmen als auch die Möglichkeit besitzen, die Daten ihrer Kunden vor Angriffen von außen und vor anderen unberechtigten Dritten zu schützen. Ergänzend dazu wird in diesem Kapitel ein möglicher Leitfaden für die Überlegung, Planung und den Einsatz von Cloud Computing für KMU entwickelt, der den Unternehmen bei der Entscheidungsfindung, Anbieterauswahl und Vertragsgestaltung mit dem CSP helfen soll. Denn sollte es den CSP gelingen die Vorbehalte beim Anwender und dessen IT-Abteilung zu beseitigen, wäre die entscheidende Hürde für die verstärkte Nutzung und Einführung des Cloud Computing in die Unternehmen genommen.24 Kapitel 6 schließt mit einer Aussage über die mögliche zukünftige Entwicklung des Vertrauens und der IT-Sicherheit des Cloud Computing ab.
Bis heute konnte sich keine allgemeingültige Definition des Begriffs Cloud Computing durchsetzen, jedoch werden in Publikationen oder Vorträgen oft Definitionen genutzt, die sich stark ähneln, in einigen Punkten aber doch voneinander abweichen.25 Daher ist in der Praxis häufig die Beschreibung wesentlicher Charaktereigenschaften des Cloud Computing als Definition zu finden. Dies ist insbesondere bei CSP festzustellen, da diese bevorzugt ihre Vorteile und eingesetzten Technologien beschreiben. Meist finden sich in diesen Definitionen auch die Gemeinsamkeiten der ungezählten Angebote von Cloud-Services wieder.26
Im Eckpunktpapier des deutschen Bundesamtes für Sicherheit in der Informationstechnik (BSI), einer unabhängigen und neutralen Stelle für alle Fragen zur IT-Sicherheit in der Informationsgesellschaft, ist der Begriff Cloud Computing definiert als „das dynamisch an den Bedarf angepasste Anbieten, Nutzen und Abrechnen von IT-Dienstleistungen über ein Netz. Angebot und Nutzung dieser Dienstleistungen erfolgen dabei ausschließlich über definierte technische Schnittstellen und Protokolle. Die Spannbreite der im Rahmen von Cloud Computing angebotenen Dienstleistungen umfasst das komplette Spektrum der Informationstechnik und beinhaltet u. a. Infrastruktur (z. B. Rechenleistung, Speicherplatz), Plattformen und Software.“27
Eine weitere Definition stammt von der US-amerikanischen Standardisierungsstelle NIST, welche den Begriff des Cloud Computing wie folgt definiert: „Cloud computing is a model for enabling ubiquitious, convenient, on-demand network access to a shared pool of configurable computing resources (e.g., [] networks, servers, storage, applications, [] and services) that can be rapidly provisioned and released with minimal management effort or service provider interaction.“28
Da die Definition des NIST nicht nur in Fachkreisen herangezogen, sondern auch von der Europäischen Agentur für Netz- und Informationssicherheit (ENISA) genutzt wird und somit bereits eine hohe Akzeptanz im Cloud Computing erlangt hat, wird diese im Folgenden als Standard vorausgesetzt.29 Zusätzlich zu der Definition hat das NIST, in Zusammenarbeit mit der Cloud Security Alliance (CSA), fünf wichtige Charakteristika aufgestellt, die Cloud Computing beschreiben (Abb. 3). Diese sind On-Demand Self-Service, Broad Network Access, Resource Pooling, Rapid Elasticity sowie Measured Service und werden im Folgenden näher betrachtet.
Abb. 3: Die fünf wichtigsten Charakteristika des Cloud Computing
Abbildung in dieser Leseprobe nicht enthalten
Quelle: In Anlehnung an Vossen, G./Haselmann, T./Hoeren, T. 2012, S. 21.
Das Merkmal On-Demand Self-Service beschreibt, dass benötigte Ressourcen vom Cloud-Service-Nutzer selbst angefordert werden können. Die Bereitstellung der Dienste erfolgt in der Regel innerhalb kurzer Zeit automatisch ohne menschliche Interaktion zwischen Nutzer und CSP.30
Mit der Eigenschaft Broad Network Access ist die Verfügbarkeit von Ressourcen über ein Netzwerk gemeint. Durch standardisierte Mechanismen und Schnittstellen ist es möglich die Services auf einer breiten Palette von Endgeräten abzurufen, wie z. B. Smartphones, Tablets, Notebooks und PCs.31
Resource Pooling bedeutet, dass die Ressourcen des CSP in einem Pool gesammelt werden, aus dem sich mehrere Nutzer gleichzeitig (Multi-Tenant Modell) bedienen können. Im Regelfall haben die Nutzer keine Kenntnis über den genauen Standort der bereitgestellten Ressourcen. Allerdings kann der Speicherort über zusätzliche vertragliche Regelungen eingegrenzt werden, beispielsweise auf ein Land, eine Region oder ein RZ.32
Unter Rapid Elasticity wird hauptsächlich die dynamische Anpassung der Ressourcen nach oben oder unten an die tatsächlich benötigten Kapazitäten verstanden, die meist unverzüglich oder mit geringen Vorlaufzeiten stattfindet.33 Dabei scheinen die Ressourcen für den Anwender unerschöpflich zu sein.34 Bei gemieteter Infrastruktur ist es häufig so, dass der Nutzer selbst aktiv werden muss, um die Ressourcenmenge anzupassen. Bei dem Bezug von Plattform- oder Softwarediensten findet diese Anpassung oft automatisch statt. Der Anwender profitiert allerdings nur dann von der dynamischen Anpassung, wenn die genutzten Anwendungen skalierbar sind.35
Die Charaktereigenschaft Measured Service umfasst die Möglichkeit der Konfiguration, Nutzung und Steuerung der erworbenen Cloud-Services für den Nutzer über Programmierschnittstellen zur dynamischen Anpassung des Verbrauchs von Ressourcen. Außerdem ermöglicht es dem CSP, das Ressourcenmanagement zu automatisieren.36
Des Weiteren ist die Abrechnung der tatsächlich in Anspruch genommenen Leistungen der Cloud-Services nach der Pay-per-Use-Methode typisch, welche vom Prinzip her mit der Abrechnung von Wasser, Strom und Gas im Haushalt zu vergleichen ist.37 Dabei fallen im Regelfall keine oder nur geringe Fixkosten an. Die Abrechnung erfolgt üblicherweise nach dem Datentransfervolumen oder Datenspeichervolumen. Dies ermöglicht dem Anwender, die Berechnungsgrundlagen selbst nachzuvollziehen.38
Durch die vorstehend genannten Charakteristika unterscheidet sich das Cloud Computing deutlich von klassischen Outsourcing-Modellen. Diese sind eher statisch aufgestellt – bedingt durch längere Laufzeiten und zeitaufwendige Vertragsverhandlungen zwischen Anbieter und Nutzer – und erfüllen demnach nicht die dynamische Anpassungsfähigkeit und Flexibilität des das Cloud Computing.39 Zudem lagern Unternehmen beim klassischen IT-Outsourcing Arbeits-, Produktions- oder Geschäftsprozesse ganz oder teilweise zu externen Dienstleistern aus. Dabei ist es üblich, dass die gemietete Infrastruktur von nur einem Kunden genutzt wird (Single-Tenant Modell) und die Mandantentrennung in jedem Fall gesichert ist, im Gegensatz zu der Multi-Tenant Strategie, die meist bei CSP verfolgt wird.40
Das NIST unterscheidet im Cloud Computing zudem vier wesentliche Betriebsarten einer Cloud: Private Cloud, Public Cloud, Hybrid Cloud und Community Cloud. In der Praxis existieren jedoch viele weitere Mischformen und alternative Begrifflichkeiten der wesentlichen Betriebsarten, die sich aus den elementaren Betriebsarten des Cloud Computing zusammensetzen. Diese werden hier nicht weiter behandelt.
In der Private Cloud wird die Cloud-Infrastruktur ausschließlich für eine einzige Organisation (z. B. Behörde, Firma, Verein) betrieben. Die Verwaltung der Private Cloud kann durch diese selbst oder einen externen Dienstleister erfolgen.41 Das RZ kann dabei entweder ausgelagert sein oder auf dem Gelände der Organisation selbst betrieben werden. Der Zugriff auf die Cloud-Dienste ist jedoch in beiden Fällen auf die Mitglieder der Organisation beschränkt und erfolgt im Regelfall über das Intranet der Institution oder ein Corporate Network.42 Da eine Private Cloud extrem hohe Investitionen in Hardware, Software und Personal erfordert, ist dieses Modell im Regelfall nur für sehr große Organisationen attraktiv und für KMU daher meist uninteressant.43 Der häufigste Entscheidungsgrund für diese Bereitstellungsart des Cloud Computing ist die sichere IT-Betriebsumgebung und der vollständige Verbleib der Kontrolle bei der Organisation selbst.44
Die sogenannte Public Cloud ist eine weitere elementare Betriebsart und der Standardfall im Cloud Computing.45 Typisch für diese Art von Cloud ist, dass im Gegensatz zur eingeschränkten Nutzung der Dienste in der Private Cloud jeder die angebotenen Services beziehen kann. Die Verwaltung der Cloud-Dienste in der Public Cloud erfolgt jedoch nicht durch den Nutzer selbst, sondern durch den CSP, der sich auf die Bereitstellung solcher Cloud-Services spezialisiert hat.46 Meist erfolgt der Zugriff auf die Public Cloud durch das Internet.47 Public Clouds erfordern für eine rentable Funktionalität eine enorme Mindestgröße, bieten dann jedoch die attraktivsten Skaleneffekte.48 Die Hauptmotivation für die Public Cloud ist der Kostenvorteil durch den Wegfall von hohen Investitionen in Rechner- und Datenzentrumsinfrastruktur sowie die hohe Skalierbarkeit der Cloud-Dienste.49
Die Hybrid Cloud ist eine Zusammensetzung aus zwei oder mehreren eigenständigen Cloud-Infrastrukturen, die über standardisierte Schnittstellen gemeinsam genutzt werden.50 Dabei erfolgt der Regelbetrieb meist in einer Private Cloud, wohingegen Lastspitzen des Anwenders und bestimmte benötigte Funktionen durch den Betrieb in der Public Cloud abgefangen werden.51 Zudem können in der Hybrid Cloud die Sicherheitsansprüche der Private Cloud mit den Kostenvorteilen der Public Cloud kombiniert werden. Allerdings ist in der Praxis für den Einsatz hybrider Cloud-Systeme ein hohes Maß an Integrationskompetenz notwendig.52
Die vierte geläufige Betriebsart der Cloud ist die Community Cloud. Diese ist als eine Art Private Cloud zu sehen, die sich mehrere Organisationen (z. B. städtische Behörden, Universitäten, Forschungsgemeinschaften, Unternehmen mit gemeinsamen Interessen) mit ähnlichen Ansprüchen (z. B. spezielle Sicherheitsanforderungen, gleiche inhaltliche Anforderungen) teilen.53 In der Praxis schließen sich häufig mehrere Krankenhäuser, Banken oder Steuerberater für den Betrieb einer Community Cloud zusammen, um den speziellen gesetzlichen Anforderungen gerecht werden zu können.54 Die Verwaltung einer Community Cloud kann entweder von einer der beteiligten Institutionen oder einem externen Dienstleister übernommen werden.55
Da für KMU die Public Cloud von größter Bedeutung ist, wird sich der weitere Verlauf der Arbeit auf diese Betriebsart beziehen. Das Misstrauen der Unternehmen bezieht sich aufgrund von Sicherheitsaspekten und Kontrollverlusten überwiegend auf die Public Cloud-Dienste. Daher ist die Betrachtung dieser Bereitstellungsart, in Bezug auf die IT-Sicherheit und die Vertrauensbasis der KMU, für die Thematik dieser Arbeit von größerer Bedeutung als die übrigen vorab erläuterten Betriebsarten.
Bevor die einzelnen Cloud-Modelle näher betrachtet werden, wird zunächst einmal der Aufbau der Cloud-Architektur erläutert. Von elementarer Bedeutung des Cloud-Gebildes ist dabei eine bestehende Hardware (z. B. Notebooks, PCs oder Tablets) als Grundstein beim Anwender. Außerdem muss eine qualitative Netzwerkinfrastruktur vorhanden sein. Diese beiden Aspekte stellen die Grundvoraussetzung für den Bezug von Cloud-Services von einem CSP dar. Zusätzliche Hardware wie Rechnerinfrastruktur und Datenspeicher kann darauf aufbauend angemietet werden. Dies dient z. B. dazu eigene Lastspitzen abzufangen. Dieser Teil der Cloud, der die Erweiterung der unternehmenseigenen Infrastruktur betrifft, wird als Infrastructure-as-a-Service (IaaS) bezeichnet und stellt die unterste Ebene der Cloud-Services dar. Auf der nächst höheren Ebene der Cloud-Architektur werden dem Nutzer – je nach Bedarf – Plattformen zur Verfügung gestellt, welche die angemietete Infrastruktur aufwerten sollen. Diese Dienste sind als Platform-as-a-Service (PaaS) bekannt. Die oberste Ebene der Cloud-Architektur stellt die sogenannte Software-as-a-Service (SaaS) dar.56
Beim IaaS-Modell bezieht der Anwender virtuelle Hardware als Infrastruktur von einem CSP, die in die unternehmenseigene IT-Landschaft integriert wird. Dies können u. a. erweiterter Speicherplatz, Rechenleistung oder Netzwerkbandbreite sein. Vor allem die hohe Verfügbarkeit und regelmäßige Wartungen durch den Anbieter, aber auch automatische Backup-Systeme können für den Nutzer von Vorteil sein. Außerdem lassen sich diese Leistungen beliebig, u. a. durch zusätzliche Sicherheitsfeatures, eine höhere Performance oder Verfügbarkeit, erweitern.57 Die Ressourcennutzung ist dabei sehr flexibel. Kostenintensive Investitionen in eigene RZ bleiben dem Cloud-Nutzer somit erspart. Dies bedeutet ebenfalls eine geringere Kapitalbindung und bewirkt größere finanzielle Möglichkeiten durch die Verlagerung von langfristigen Investitionen hin zu variablen Kosten.58 Allerdings verbleibt die Verwaltung der Schichten oberhalb der Infrastruktur, wie z. B. des Betriebssystems und der Datenbankserver, beim Anwender selbst, der somit die Kontrolle behält.59 Auf diese Weise kann der Cloud-Nutzer auf den angemieteten IT-Ressourcen ein Betriebssystem und Anwendungen seiner Wahl installieren und verwenden.60
Das PaaS-Modell stellt eine Ablaufumgebung für Anwendungen dar, die verschiedene Services wie Mandantenfähigkeit, Skalierbarkeit und Zugriffskontrollen zur Verfügung stellen kann.61 Der Zugriff auf die darunter liegenden Schichten, wie Betriebssystem und Hardware, bleiben dem Nutzer jedoch verwehrt. Dafür hat der Anwender die Möglichkeit selbst entwickelte SaaS-Anwendungen auf der Plattform laufen zu lassen, weshalb dieses Cloud-Angebot hauptsächlich von Softwareentwicklern genutzt wird.62 Im Regelfall stellt der CSP für die Entwicklung neuer Anwendungen entsprechende Programmierwerkzeuge auf der Plattform zur Verfügung.63
Bei SaaS bietet der Provider dem Endanwender schlüsselfertige Anwendungen als fertige Softwarelösungen an, deren Betrieb vollständig in der Verantwortung des Anbieters liegt.64 Bei diesem Modell des Cloud-Services gibt der Anwender die Kontrolle vollständig an den Provider ab, denn die Wartung, Software-Updates, der Erwerb von Lizenzen und die Weiterentwicklung der benötigten Soft- und Hardware werden vom CSP verwaltet. Außerdem hat dieser dafür Sorge zu tragen, dass regelmäßige Backups der Daten vollzogen werden. Durch den Bezug von SaaS-Leistungen profitiert der Anwender von der Aktualität der verwendeten Software auf die via Internet zugegriffen werden kann.65
Unter dem Begriff IT-Sicherheit ist, nach Definition des BSI, der Schutz von elektronisch gespeicherten Informationen und deren Verarbeitung zu verstehen. In der Literatur ist häufig der Begriff Informationssicherheit synonym zu finden, der sowohl elektronisch gespeicherte Informationen als auch auf Papier geschriebene oder im menschlichen Gedächtnis gespeicherte Informationen umfasst. Da jedoch der ursprüngliche Begriff im IT-Grundschutz weiterhin Anwendung findet, wird im Folgenden ebenfalls der Begriff IT-Sicherheit verwendet.66
Bei der IT-Sicherheit geht es in erster Linie darum Daten vor unberechtigtem Zugriff zu schützen. Dabei handelt es sich nicht um Datenverluste, sondern um Datendiebstahl, Manipulation und Spionage. Vornehmlich die Grundsätze Vertraulichkeit, Integrität und Verfügbarkeit der Informationen müssen stets gewährleistet sein. Der Schutz der Daten stellt jedoch derzeit das größte Problem für KMU bei der Entscheidung zur Auslagerung von Anwendungen und Daten in eine Public Cloud dar. Umso wichtiger ist der Einsatz von technischen Vorkehrungen zum Schutz der Daten, wie beispielsweise die Verschlüsselung von Daten durch kryptographische Verfahren und ein angemessenes Schlüsselmanagement.67 Aber auch gegen den Datenverlust sollten technische Vorkehrungen getroffen werden, vor allem wenn der Cloud-Anwender rechtliche Anforderungen wie gesetzliche Aufbewahrungsfristen einzuhalten hat.68 Dies kann z. B. über eine Datensicherung erfolgen. Dabei handelt es sich um die Möglichkeit gelöschte oder beschädigte Daten, anhand von vorab getätigten Backups, wiederherzustellen, um einem Datenverlust zu entgehen.69
Ein weiterer wichtiger Begriff bei der Speicherung und Verarbeitung von Daten ist der Datenschutz. Dieser ist dann zwingend einzuhalten, wenn es sich bei der Datenverarbeitung oder -speicherung um personenbezogene Daten handelt.70 Bei der Auslagerung von solch sensiblen Daten in die Cloud wird die Verantwortung über die Einhaltung des Datenschutzes nicht an den CSP abgegeben. Verantwortlich für die Einhaltung der Datenschutzbestimmungen des Bundesdatenschutzgesetzes (BDSG) bleibt trotz Weitergabe der Daten der Cloud-Anwender, der die vertraulichen Daten erhoben hat.71
Für die größtmögliche Sicherheit im Cloud Computing sollte der Anwender einen kompetenten und verlässlichen CSP wählen, der die notwendigen Schutzmaßnahmen garantieren kann. Da die RZ die technische Basis des Cloud Computing darstellen, hat ein CSP dafür Sorge zu tragen, dass die Sicherheit der verwendeten Anlagen auf dem aktuellen Stand der Technik bleibt. Es ist wichtig, dass die Zugänge zu den RZ dauerhaft überwacht werden. Dies kann beispielsweise durch ein Videoüberwachungssystem in Verbindung mit geschultem Sicherheitspersonal gewährleistet werden. Klimatisierung, Internetanbindung und Stromversorgung sollten redundant vorhanden sein, um eine höchstmögliche Verfügbarkeit sicherstellen zu können. Insgesamt müssen RZ ausreichend vor Elementarschäden, die z. B. durch Hochwasser oder Gewitter entstehen können, als auch vor unbefugtem Eindringen geschützt sein.72 Ebenso wichtig wie die RZ-Sicherheit ist auch die Sicherheit der Server, auf denen die Prozesse und Anwendungen ausgeführt werden. Dazu sind gehärtete Betriebssysteme notwendig, die eine möglichst geringe Angriffsfläche bieten. Zusätzlich sollte der CSP Maßnahmen zum Schutz des IT-Systems integrieren. Dies sind z. B. Host-based Intrusion Detection Systems, welche üblicherweise dafür eingesetzt werden Angriffe auf Anwendungs- oder Betriebssystemebene, wie Login-Fehlversuche oder Trojanische Pferde, zu erkennen und Schaden rechtzeitig abzuwehren.73 Des Weiteren sollte der CSP die Netzsicherheit des Cloud Computing gewährleisten. Dazu müssen maßgeblich die gängigen IT-Sicherheitsmaßnahmen wie Virenschutz, Spam-Schutz, Firewalls und Trojaner-Detektion vom CSP bereitgestellt werden. Ergänzend dazu sollte jegliche Kommunikation zwischen dem Cloud-Anwender und dem CSP verschlüsselt stattfinden.74
Nicht nur die Sicherheit der RZ, der Server und der Netze sind von hoher Bedeutung, auch die Sicherheit der durch den Kunden entwickelten Software ist nicht zu vernachlässigen. So sollte ein CSP dazu in der Lage sein, den Anwender bei gewissen Mindestanforderungen der Sicherheit, Dokumentation und Qualität seiner entwickelten Anwendungen zu unterstützen, um Gefahren durch Sicherheitslücken in der Kundensoftware zu vermeiden. Durch diesen zusätzlichen Sicherheitsaspekt zeichnen sich kompetente CSP aus.75
Um sensible Daten vor einem unberechtigten Zugriff zu wahren, können außerdem Sicherheitskontrollen durch Authentisierung und Zugriffskontrollen, aber auch durch Autorisierungen durchgeführt werden. Bei der Authentisierung wird die Identität des Anwenders festgestellt und überprüft, der auf die Daten oder bestimmte Bereiche zuzugreifen versucht. Dies kann z. B. durch ein Passwort geschehen. Bei einer Autorisierung haben die Beteiligten durch ein integriertes Rechtemanagement eingeräumte Zugangsberechtigungen abhängig von der Rolle und Kompetenz des Beteiligten.76
Die folgenden Grafiken geben einen Überblick über die statistische Entwicklung des Cloud Computing im betrieblichen Umfeld. Dabei zeigen die Abb. 4 und 5, in welchem Ausmaß die Unternehmen bereits Cloud Computing nutzen und wie der Nutzungsgrad des Cloud Computing in deutschen Unternehmen im Ländervergleich mit dem ausgewählter europäischer Länder abschneidet. In Abb. 6 wird die Nutzung der Cloud-Angebote zwischen den Servicemodellen IaaS, PaaS und SaaS unterschieden, die in Kapitel 2.2 ausführlich erläutert worden sind. Abb. 7 gibt Auskunft über den Einsatz der Cloud-Services in den verschiedenen Unternehmensbereichen, bevor Abb. 8 mit einer Prognose über das Marktvolumen bis einschließlich 2017 abschließt.
Abb. 4: Strategischer Einsatz von Cloud Computing in deutschen Unternehmen
Abbildung in dieser Leseprobe nicht enthalten
Quelle: In Anlehnung an IDC Central Europe GmbH (Hrsg.) 2012.
An der Befragung des weltweit führenden Anbieters von Marktinformationen IDC Central Europe GmbH über den strategischen Einsatz von Cloud Computing in deutschen Unternehmen (Abb. 4) durften lediglich Unternehmen mit mehr als 100 Mitarbeitern teilnehmen. Insgesamt nahmen an der im Frühsommer 2012 durchgeführten Umfrage 284 Unternehmen teil.
Es wird deutlich, dass mit 83% ein Großteil der befragten Unternehmen im Jahr 2012 bereits Cloud-Dienste nutzt. Der Trend des Cloud Computing scheint demnach in deutschen Unternehmen angekommen zu sein. Allerdings verwenden lediglich 23% der Befragten diese Dienste in einem höheren Ausmaß. Die Mehrheit der Unternehmen setzt Cloud Computing jedoch in Teilbereichen des Unternehmens ein und immerhin weitere 11% der befragten Unternehmen nutzen Cloud-Services geringfügig. Dass mit 38% die meisten der Befragten lediglich die Nutzung von Teilbereichen des Cloud Computing angegeben haben, ist vermutlich auf das fehlende Vertrauen der Anwender in die IT-Sicherheit ihrer sensiblen Daten zurückzuführen, die weiterhin eher im eigenen Unternehmen verarbeitet werden statt in der Cloud abgelegt zu werden.
Nur noch 17% der Befragten nutzen keine Cloud-Anwendungen oder konnten zu der Verwendung des Cloud Computing im Unternehmen keine Angabe machen. Von den 17% haben 6% noch keine konkreten Pläne für den Bezug und Einsatz von Cloud-Diensten und 4% hatten sich im Vorfeld noch nicht mit Cloud Computing beschäftigt. Lediglich 3% der Unternehmen schließen eine Nutzung von Cloud Computing im eigenen Unternehmen aus. Eine Entwicklung der Zahlen im Jahr 2013 wurde bislang vom IDC nicht veröffentlicht. Durch die Skandale in Bezug auf die IT-Sicherheit im Cloud Computing im vergangenen Jahr ist jedoch zu vermuten, dass der Anteil der umfassenden Cloud-Nutzung im Unternehmen nicht weiter angestiegen sondern eher zurückgegangen sein dürfte.
Abb. 5: Nutzeranteil der KMU an Cloud Computing in ausgewählten europäischen Ländern
Abbildung in dieser Leseprobe nicht enthalten
Quelle: In Anlehnung an VMware Global, Inc. (Hrsg.) 2011 zitiert nach Statista GmbH (Hrsg.) 2011.
Aus der Befragung der VMware Global, Inc. über den Nutzeranteil europäischer KMU an Cloud Computing aus dem Frühjahr 2011 (Abb. 5) geht hervor, dass der Nutzungsgrad des Cloud Computing in deutschen Unternehmen 54% beträgt und damit vor allem gegenüber Russland und Spanien deutlich niedriger ausfällt. An dieser Umfrage haben insgesamt 1.616 Unternehmen aus den folgenden ausgewählten europäischen Ländern teilgenommen: Deutschland, Frankreich, Großbritannien, Italien, Niederlande, Polen, Spanien und Russland. Zur Teilnahme berechtigt waren ausschließlich KMU mit einer Mitarbeiterzahl von bis zu 250 Beschäftigten.
In der vorab untersuchten Umfrage der IDC Central Europe GmbH aus dem Jahr 2012 (Abb. 4) gaben 83% der Befragten an, in irgendeinem Ausmaß bereits Cloud Computing im eigenen Unternehmen zu verwenden. Zwischen diesem Wert und dem Wert der VMware Global, Inc. Umfrage aus dem Jahr 2011 (Abb. 5) von 54% liegt ein großer Unterschied. Dies ist vor allem darin begründet, dass an der Befragung der IDC Central Europe GmbH sowohl KMU als auch Großunternehmen teilgenommen haben, während bei der Befragung der VMware Global, Inc. lediglich KMU befragt wurden. Daher eignen sich diese Werte nicht für einen direkten Vergleich zwischen dem Nutzungsgrad des Jahres 2011 und dem des Jahres 2012, zeigt jedoch die Zurückhaltung der KMU beim Thema Cloud Computing im Gegensatz zu den Großunternehmen.
Die Auswertung der Umfrage zeigt ebenfalls deutlich, dass sich die deutschen KMU mit einem Nutzungsgrad von 54% im Ländervergleich eher auf den hinteren Rängen einsortieren müssen. Sowohl Russland mit 79% als auch Spanien mit 77% und Frankreich mit 63% weisen einen wesentlich höheren Nutzungsgrad von Cloud Computing in KMU auf. Hinter Deutschland reihen sich mit einem niedrigeren Nutzungsgrad von 40% nur noch die Niederlande ein. In Deutschland war die Innovation Cloud Computing mit einem zeitlichen Verzug von den Nutzern akzeptiert worden. In den kommenden Jahren wird jedoch das Wachstum des Cloud Computing am deutschen Markt deutlich steigen. Dies zeigen Untersuchungen des BITKOM.77 Die Länder Großbritannien, Italien und Polen erscheinen in der Statistik nicht. Dies ist möglicherweise darauf zurückzuführen, dass die Anzahl an Unternehmen, die aus diesen Ländern an der Befragung teilgenommen haben, unzureichend war und somit keine signifikante Aussage über den Nutzungsgrad des Cloud Computing möglich war.
Abb. 6: Einsatz von Cloud Computing nach Cloud- Ressourcen
Abbildung in dieser Leseprobe nicht enthalten
Quelle: In Anlehnung an Ponemon Institut LLC. (Hrsg.) 2010, S. 4 zitiert nach Statista GmbH (Hrsg.) 2010d.
An der Umfrage über die Verteilung der eingesetzten Cloud-Ressourcen (Abb. 6) nahmen insgesamt 283 europäische Unternehmen teil. Einzige Voraussetzung zur Teilnahme an der Befragung war der Einsatz von Cloud Computing im eigenen Unternehmen. Bei der Umfrage des amerikanischen Forschungsinstituts Ponemon waren Mehrfachnennungen möglich.
Die Untersuchung der Umfrage hat ergeben, dass 62% der Befragten die Cloud Computing in ihrem Unternehmen bereits nutzen, SaaS-Angebote nutzen. 46% gaben an IaaS-Anwendungen zu verwenden. Lediglich 33% der befragten Unternehmen nutzen Angebote von PaaS. Dies beinhaltet, dass PaaS-Anwendungen die geringste Nutzung der Cloud-Services abbilden. Vermutlich ist dies auf den Umstand zurückzuführen, dass PaaS-Anwendungen überwiegend von Software-Entwicklern in den IT-Abteilungen der Unternehmen genutzt werden.78 Da der Gebrauch von IaaS-Anwendungen die Nutzung von SaaS- oder PaaS-Angeboten nicht ausschließt kamen bei dieser Befragung Mehrfachnennungen zustande.
Abb. 7: Einsatz von Cloud Computing in den Unternehmensbereichen
Abbildung in dieser Leseprobe nicht enthalten
Quelle: In Anlehnung an S.A.R.L. Martin (Hrsg.) 2010, S. 19 zitiert nach Statista GmbH (Hrsg.) 2010c.
An der Befragung des S.A.R.L. Martin über den Einsatz von Cloud Computing in den verschiedenen Unternehmensbereichen (Abb. 7) nahmen 84 Unternehmensvertreter teil, deren Unternehmen sich bereits ausgiebig mit Cloud Computing beschäftigt hatten. Aus dieser im September 2010 veröffentlichten Umfrage geht hervor, dass die Unternehmensbereiche Vertrieb und Marketing mit je 15,2% am häufigsten auf die Unterstützung durch Cloud-Services vertrauen, dicht gefolgt vom Bereich Kundensupport/Service mit 12,1%. Dies zeigt deutlich, dass Cloud Computing überwiegend in den Unternehmensbereichen eingesetzt wird, die in direkter Verbindung zum Kunden stehen oder bestmöglich auf individuelle Kundenwünsche reagieren müssen. Wie in Kapitel 4.1.1 noch erläutert wird, setzen Unternehmen auf die Business Intelligence (BI) zur Ermittlung der Kundenwünsche, Vorlieben des Kunden und Auswertung des Kundenverhaltens, um dynamisch auf Kunden und Marktveränderungen zu reagieren. Dies dient dem Erhalt oder der Steigerung der Wettbewerbsfähigkeit des Unternehmens. Die Berechnungen der BI werden von den Unternehmen häufig durch Cloud-Services unterstützt, um möglichst zeitnahe Informationen aus der Masse an auszuwertenden Daten zu erlangen.
Abb. 8: Prognostizierte Entwicklung des Marktvolumens von Cloud Computing Services
Abbildung in dieser Leseprobe nicht enthalten
Quelle: In Anlehnung an Experton Group AG (Hrsg.) 2013 zitiert nach Statista GmbH (Hrsg.) 2013a.
Im Januar 2013 veröffentlichte das führende voll integrierte Research-, Advisory- und Consulting-Haus für KMU und Großunternehmen, Experton Group AG, eine Prognose über die zukünftige Entwicklung des Marktvolumens von Cloud Computing Services in Deutschland bis einschließlich 2017 (Abb. 8). In den Marktvolumen enthalten sind dabei sämtliche Cloud-Services aus den Servicemodellen IaaS, PaaS und SaaS. Bei den Marktvolumina für 2013 bis 2017 handelt es sich um prognostizierte Werte. Die Werte aus den Jahren 2011 und 2012 sind die tatsächlichen Marktvolumina aus den jeweiligen Jahren.
Anhand dieser Prognose lässt sich die Wichtigkeit des Themas Cloud Computing noch einmal aufzeigen und verdeutlicht erneut, dass das Interesse um das IT-Paradigma Cloud Computing weiter steigen wird. Sollte die Entwicklung des Marktvolumens von Cloud Computing annähernd wie von der Experton Group AG prognostiziert eintreffen, wird das Marktvolumen des Cloud Computing von 1.401,5 Mio. € im Jahr 2012 auf 10.910,6 Mio. € im Jahr 2017 ansteigen. Dies ist ein Gesamtanstieg von 778,5% innerhalb von 5 Jahren. Die Wachstumsrate wird dabei zwar von Jahr zu Jahr niedriger (Tab. 1), das Marktvolumen wird jedoch im Jahr 2017 trotzdem das knapp 7,8-fache vom Basiswert in 2012 erreichen. Selbst wenn die Werte durch fehlendes Vertrauen in die IT-Sicherheit aufgrund der Datenskandale und der NSA-Abhöraffäre in den vergangenen Monaten vermutlich niedriger ausfallen werden, wird das Cloud Computing in den nächsten Jahren weiterhin enorm an Bedeutung gewinnen.
Tab. 1: Wachstumsraten des Marktvolumens in den Jahren 2013 bis 2017
Abbildung in dieser Leseprobe nicht enthalten
Quelle: Eigene Darstellung
Zusammen mit dem Cloud Computing-Paradigma eröffneten sich auch unzählige Herausforderungen, die es nach wie vor zu bewältigen gilt. Dabei bietet diese neue Technologie nicht nur Chancen sondern birgt auch Risiken, die den breiten Einsatz des Cloud Computing in der Unternehmensumgebung hemmen. Eine wesentliche Herausforderung sind dabei vorhandene Systeme und Strukturen. Abhängig von der in der Vergangenheit aufgebauten und anhand neuer Trends weiterentwickelten technischen Architektur des Unternehmens, wie Softwareanwendungen, Datenbanken und IT-Systemen müssen die Verantwortlichen neue Entscheidungen treffen. Dabei hindert die vorhandene technische Struktur oftmals den Einsatz moderner Systeme, da diese durch das Entwicklungsmuster der Unternehmen geprägt ist und sich gewisse Richtungsänderungen in den vergangenen Entscheidungen erkennen lassen. Dies kann die Kapazitäten des Unternehmens für innovative Technik, so auch den Einsatz und die Integration von Cloud-Anwendungen, stark einschränken. Zudem erfordern vor allem Bestandssysteme einen hohen Pflege- und Wartungsaufwand, wodurch die personellen Ressourcen im Unternehmen fest eingebunden sind. Dadurch besteht möglicherweise auch ein Mangel an Freiräumen für Weiterbildungen und den Aufbau des notwenigen Know-hows, was das Unternehmen schwächt. Daher bedarf es bei vielen Unternehmen einer enormen Umstrukturierung und Anpassung der Bestandssysteme, um die Voraussetzungen für Cloud Computing zu ermöglichen. Eine solche Umstrukturierung ist jedoch nicht für jedes Unternehmen ohne weiteres durchführbar. Es gilt daher, die alten Bestandssysteme flexibel in neue Systeme mit einzubinden, um bereits getätigte Investitionen in die vorhandene IT zu schützen und die Wettbewerbsfähigkeit des Unternehmens zu steigern.79 Mit dem Einsatz von Cloud-Anwendungen kann die Dynamik der IT gesteigert werden. Durch diesen Umstand wird die Reaktionsgeschwindigkeit auf ein verändertes Nutzerverhalten und auf neue Märkte verbessert.80 Dies zeigt, dass die IT ein unternehmenskritischer Faktor ist und bedeutenden Einfluss auf die Wettbewerbsfähigkeit des Unternehmens hat. Ausfälle und Störungen der Cloud-Systeme, wie beispielsweise der IT-Services können enorme wirtschaftliche Folgen für das Unternehmen bewirken sowie langfristig auch Imageschäden hervorrufen.81 Daher stehen Sicherheit und Qualität der Services bei der Entscheidung für eine Cloud-Anwendung im Vordergrund.82 Aber nicht nur die Verfügbarkeit der Cloud-Dienste ist von größter Bedeutung bei der Frage der Sicherheit, auch klassische Angriffsszenarien und die Standortwahl stellen eine Herausforderung in punkto Sicherheit dar.83 Die Chancen und Risiken sowie die rechtlichen Grundlagen und Richtlinien des Cloud Computing werden im Folgenden genauer betrachtet. Zum Abschluss des Kapitels werden einige Negativbeispiele aus der Praxis des Cloud Computing aufgezeigt.
Die Zeiten ändern sich und soziale Netzwerke gehören längst zum privaten und betrieblichen Alltag dazu. Die Unternehmen haben gelernt, sich die täglich generierten Datenmengen an Log-Daten aus den Aktionen ihrer User zu Nutze zu machen und haben ein gesteigertes Interesse daran, diese Datenmengen effizient analysieren zu können. Dies geht auch aus Abb. 1 hervor. Dadurch erlangen Unternehmen die Chance den individuellen Ansprüchen ihrer Kunden entgegnen zu können und das Verhalten ihrer Kunden besser zu verstehen. Dieses Vorgehen bezeichnet man in der betrieblichen Praxis als BI. Um diese Datenanalysen bei der Masse an Daten in Realzeit durchführen zu können, bedienen sich Unternehmen immer häufiger unterstützenden Rechenkapazitäten durch den Bezug von Cloud-Services.84 Der flexible Erwerb von zusätzlichen Rechenkapazitäten stellt jedoch lediglich einen von vielen Vorteilen des Cloud Computing dar. Cloud Computing profitiert davon, dass die übermittelten und gespeicherten Daten in weltweiten RZ verarbeitet werden und oftmals weit über nationale Grenzen hinweg abgelegt werden. Dies ermöglicht einen schnellen Zugriff auf die Daten und bietet ein enormes Kosteneinsparpotential aufgrund der effizienteren Auslastung vorhandener Ressourcen.85 Durch die Bündelung, der zur Verfügung stehenden Ressourcen, wird der Zugriff auf Speicherkapazität und Rechenleistung nach Bedarf ermöglicht, ohne vorab hohe Investitionskosten tätigen zu müssen. Der Bezug der zusätzlichen Ressourcen erfolgt beispielsweise zum Abfangen von Lastspitzen. Dabei sind die Leistungen aus der Cloud in jede Richtung skalierbar. Cloud-Services können aber auch dann von Vorteil sein, wenn es um die Annahme neuer Projekte, Testumgebungen für selbstprogrammierte Anwendungen oder – wie vorab bereits erwähnt – die Datenauswertung und die BI geht.86
Die beschriebene Skalierbarkeit und Flexibilität des Cloud Computing nennen KMU als einen der vorrangigen Gründe bei der Entscheidung für Cloud Computing. Dabei ist maßgeblich die dynamische und unverzügliche Anpassung der Ressourcen an den aktuellen Bedarf des Anwenders besonders gefragt. Die meisten Cloud-Dienste sind weitgehend autonom gestaltet und benötigen daher keine bis wenig Interaktion mit dem CSP. Die Services verwalten sich im Idealfall selbst, denn nur durch einen hohen Grad der Automatisierung kann das Modell der Selbstbedienung von Ressourcen funktionieren. Ein SaaS-Beispiel für eine automatische Anpassung der benötigten IT-Ressourcen sind Webmail-Programme, die zu jeder Zeit und von jedem Ort über einen Internetzugang abgerufen werden können, ohne für den Aufruf des Postfachs eine Software installieren zu müssen. Je nach Mailaufkommen des Nutzers wächst der verfügbare Speicherplatz in der Regel mit.87 Auf Art, Umfang und Qualität der Automatisierung im Cloud Computing sollte bei der Auswahl des CSP in jedem Fall geachtet werden, um optimal von den Vorteilen der Skalierbarkeit profitieren zu können.88 Vor allem der Umfang der Skalierbarkeit, aber auch der zeitliche Rahmen in dem die Anpassung der Ressourcen nach oben oder nach unten durchgeführt werden, sollte mit dem CSP eindeutig vertraglich festgelegt werden, um eventuelle Unstimmigkeiten zwischen CSP und dem Cloud-Kunden nach Abschluss des Vertrages zu vermeiden.89 Die Skalierbarkeit der Cloud-Dienste ist für die Unternehmen daher so interessant, weil diese außer Kosteneinsparungen ebenso die Flexibilität des Unternehmens erhöhen kann. Dies ist darin begründet, dass die Unternehmen durch skalierbare Ressourcen viel flexibler auf schwankende Anforderungen reagieren können. So können vor allem einmalige Aufträge und Projekte flexibel unterstützt werden. Während das Unternehmen solche Aufträge in der Vergangenheit oft aus wirtschaftlichen Gründen ablehnen musste, da die nötigen Ressourcen im Unternehmen fehlten und die Investitionsausgaben die Einnahmen überstiegen hätten, kann dasselbe Unternehmen durch den Bezug von dynamischen Cloud-Lösungen ein solches Projekt heute kurzfristig durchführen, ohne hohe Investitionen in IT-Systeme zu tätigen. Zudem kann das Unternehmen z. B. zu Werbezwecken kurzfristige Rabattaktionen starten, da selbst bei unerwartet hohem Erfolg keine Ressourcenengpässe auftreten. Nach Beendigung der Rabattaktion oder des durchgeführten Auftrags werden die überschüssigen Ressourcen wieder frei gegeben. Auch die langfristigen Kapazitätsplanungen gestalten sich durch die Dynamik des Cloud Computing einfacher als zuvor.90 Weiterhin profitiert das Unternehmen von der Aktualität der zur Verfügung gestellten Software und IT-Systeme, da das Unternehmen durch die Cloud-Services jederzeit Zugriff auf individuelle und neueste Technologien hat. Dies sorgt für eine höhere Effizienz der IT-basierten Prozesse im Unternehmen.91
Ein weiterer Haupttreiber bei der Entscheidung zum Cloud Computing in KMU ist die Reduzierung der Kosten, denn durch den Bezug und Einsatz von Cloud-Services können im Unternehmen Freiräume geschaffen werden. Von dem Budget für IT-Services, das den zuständigen Fachabteilungen im Unternehmen zur Verfügung steht, kann häufig maximal ein Drittel in Neuanschaffungen und Innovationen investiert werden, da der Großteil des Budgets für Wartungsverträge, Personalkosten und laufende Kosten der vorhandenen IT-Infrastruktur benötigt wird.92 Gerade der Bezug von Infrastruktur durch Cloud-Services bietet Unternehmen die Chance auf enorme Einsparpotentiale von deutlich mehr als 30% der klassischen IT-Kosten, da Lizenzgebühren und Wartungskosten sowie die hohen Investitionskosten in die vorhandene IT-Infrastruktur und dessen Sicherheit entfallen.93 Der CSP hat durch das Angebot der Cloud-Services die Möglichkeit, die Auslastung seiner Server auf bis zu 80% zu steigern, wohingegen in traditionellen RZ, die in den eigenen Unternehmen vorgehalten werden die Auslastung häufig nur 5 - 10% beträgt. Der CSP kann seine RZ demnach wesentlich rentabler unterhalten, da die Investitionen in Hardware sowie die Kosten für Strom und Kühlung sinken.94 Die besseren wirtschaftlichen Bedingungen spiegeln sich dann in den Konditionen der Cloud-Angebote für das anwendende Unternehmen wieder. Außerdem kann durch standardisierte Cloud-Services eine deutliche Senkung der Administrations- und Betriebskosten eintreten, da die Administrationsaufgabe und die Sicherstellung des Betriebs durch qualifiziertes Fachpersonal auf Seiten des CSP geleistet werden. In der Praxis verfügen KMU zudem eher selten über entsprechendes Fachpersonal für die verantwortungsvollen Verwaltungsaufgaben innovativer IT-Landschaften.95
Dass Unternehmen diesen Vorteil bereits erkannt haben und die klassischen IT-Systeme im Sourcing-Mix – Prognosen zufolge – in Zukunft vermehrt durch Cloud-Systeme ersetzt werden, zeigt Abb. 9.
Abb. 9: Prognostizierter Anteil von Public Cloud an den gesamten IT-Ausgaben
Abbildung in dieser Leseprobe nicht enthalten
Quelle: In Anlehnung an BMWi (Hrsg.) 2010, S. 58 zitiert nach Statista GmbH (Hrsg.) 2010a.
Um eine Entscheidung für oder gegen den Einsatz von Cloud Computing zu vereinfachen, sollte vorab die Wirtschaftlichkeit des Cloud-Betriebes und des Eigenbetriebes der IT-Systeme anhand einer Kosten-/Nutzenanalyse ermittelt und verglichen werden. Dies dient dazu herauszufinden, ob der Einsatz von Cloud-Diensten im Unternehmen langfristig tatsächlich kostengünstiger ist. Entscheidend dabei ist die Höhe der Fixkosten des Betriebes der eigenen IT-Systeme.96 Die vorgenannten Kosteneinsparungen durch die Einführung und den Einsatz von Cloud Computing für das Unternehmen genau zu beziffern, ist in der Praxis jedoch schwierig, weil für die Berechnung der Einsparungen bereits vorhandene Vergleichsgrößen der klassischen IT-Kosten notwendig sind. Da viele IT-Architekturen jedoch bislang nicht über eine detaillierte Kostenkontrolle verfügten, ist nur eine äußert ungenaue Bezifferung des Einsparpotentials möglich.97 Diese Grundlage bietet den Unternehmen lediglich die Möglichkeit einer tendenziellen Entscheidung.
Die Abrechnung der bezogenen Cloud-Services erfolgt üblicherweise nach der Pay-per-Use-Methode, bei der die Bezahlung allein von der tatsächlichen Ressourcennutzung abhängig ist. Die Berechnungsgrundlagen werden vorab in einer für den jeweiligen Cloud-Service sinnvollen Maßeinheit festgelegt. So kann z. B. bei Nutzung eines Datenbanktools nach den verarbeiteten Datensätzen abgerechnet werden oder bei dem Bezug von Speicherressourcen nach Megabyte des belegten Speicherplatzes.98
Da das Thema Nachhaltigkeit in Unternehmen ebenfalls an Bedeutung gewinnt, bietet Cloud Computing außerdem die Chance für Unternehmen ihre Energieeffizienz zu verbessern und die Umwelt nachhaltig zu entlasten. Durch den Einsatz von Cloud Computing sind Energieeinsparungen möglich. Diese kommen dadurch zustande, dass durch den Bezug von Cloud-Services nicht jedes Unternehmen ein eigenes RZ betreiben muss, sondern insgesamt wenige zentrale RZ durch die CSP betrieben werden können. Der Betrieb von einigen Client-PCs ist – im Vergleich zu der Vielzahl an leistungsfähigen Einzel-PCs und vielen kleinen RZ – energiesparender. Hinzu kommt die Tatsache, dass die Client-PCs der CSP in der Praxis einen wesentlich höheren Auslastungsgrad erreichen als die RZ einzelner Unternehmen. Weiterhin kann der Leerlauf von Einzel-PCs durch den Einsatz von Cloud-Services unter den entsprechenden Umständen vermieden oder zumindest beträchtlich reduziert werden. Die positiven Skaleneffekte führen zur Vermeidung unnötigen Stromverbrauchs. Folglich wird der Energieverbrauch der RZ von CSP auf einen höheren Auslastungsgrad verteilt und somit die Energieeffizienz gesteigert. Abgesehen davon ist auch die Herstellung von Client-PCs und mobilen Endgeräten, wie Tablets und Smartphones, ressourcenschonender als die Produktion von Desktop-PCs. Einige große Internetunternehmen betreiben zudem mittlerweile einige ihrer RZ mit Wasserkraft. Die Betriebsart erneuerbarer Energien hat den Vorteil, dass sie CO2-Emissionen reduziert.99 Aufgrund dieser Chancen arbeitet das Projektteam PeerEnergyCloud des Technologieprojektes Trusted Cloud seit einiger Zeit an einer Cloud-Lösung zur intelligenten Nutzung erneuerbarer Energien.100
Cloud Computing bewirkt jedoch nicht nur Vorteile, sondern auch Risiken, die bei der Entscheidung im Unternehmen bedacht werden müssen. Der große Vorteil des Cloud Computing Flexibilität stellt ebenfalls ein Risiko für die Unternehmen dar. Durch die Abgabe von sensiblen Daten, Know-how und vor allem der Kontrolle erfährt das Unternehmen eine Abhängigkeit vom CSP.101 Gerade durch den Verlust von fachspezifischem Know-how kann ein eventuelles Insourcing-Vorhaben erschwert werden und steigert somit die Gefahr eines Vendor-Lock-ins, einer Abhängigkeit vom CSP. Sollte die Möglichkeit einer Rückführung der IT-Systeme ins eigene Unternehmen von besonderer Bedeutung sein, muss darauf geachtet werden, dass wichtiges Fachwissen über die IT-Infrastruktur und die Serververwaltung im Unternehmen verbleibt und nur peripheres Fachwissen aus dem Unternehmen verschwindet.102 Eine weitere Befürchtung der KMU sind Schwierigkeiten bei der Integration der Cloud-Services in Inhouse-Lösungen des Unternehmens.103 Zusätzlich müssen Anwender auf die Servicequalität, Ausfallsicherheit und eine faire Preispolitik des CSP vertrauen.104 Gerade die Verfügbarkeit ist bei der Auswahl des CSP ein wichtiges Kriterium das überprüft werden sollte. Die Vorgaben an die sich der CSP zu halten hat sind meist in den Service Level Agreements (SLA) zu finden und in der Regel in Prozentpunkten angegeben.105 Auch wenn eine Vorgabe von 99%-iger Verfügbarkeit je Kalendermonat dem Anwender als nahezu stetige Abrufbarkeit der Services vorkommen mögen, können die Server des CSP dennoch für rund 7 Stunden im Monat ausfallen. Der CSP liegt damit im Rahmen seines Leistungsbereiches. Für den Anwender kann dies jedoch weitreichende Konsequenzen haben.106
Die Abhängigkeit vom CSP und der Kontrollverlust werden von den KMU als häufigster Grund für eine Entscheidung gegen Cloud Computing genannt, stellen jedoch längst nicht die einzigen Risiken dar. Ein weiteres beträchtliches Risiko im Cloud Computing ist die IT-Sicherheit. Dabei handelt es sich nicht um Datenverluste sondern um bewusste Angriffe auf Daten, wie beispielsweise Datendiebstahl und Spionage. Die Angst der Unternehmen vor unberechtigten Zugriffen auf die sensiblen Daten ist nicht ganz unbegründet, denn ein vollkommener Schutz dieser Daten kann im Cloud Computing nicht gewährleistet werden. In der Praxis wird diesem Risiko jedoch durch Verschlüsselungstechniken begegnet.107 Den erwähnten Datenverlusten die ein weiteres Risiko darstellen kann in der Praxis mit Replikationen entgangen werden und stellen bei einem qualifizierten CSP eher ein geringeres Risiko dar als die vorab bereits erwähnten Gefahren des Datendiebstahls und der Spionage.
Ebenso kann der Ausfall von Servern beim CSP ein erhebliches Risiko für die Unternehmen darstellen. Für einige Institute, wie beispielsweise Finanzunternehmen, können Serverausfälle einen Verlust von mehreren Millionen € bedeuten.108 Selbst wenn ursächlich der CSP den Ausfall bewirkt hat, muss das Anwenderunternehmen zunächst die Verantwortung gegenüber der Öffentlichkeit tragen und kann dadurch einen großen Imageschaden erleiden.109 Da die Ausfallsicherheit und somit eine nahezu hundertprozentige Verfügbarkeit der Server bereits bekannte Anforderungen sind, haben sich die geeigneten Maßnahmen zur Vermeidung von Ausfällen seit den 70er Jahren kontinuierlich verbessert. Dabei setzen die CSP auf verteilte Systeme, um im Fall eines Ausfalls die außer Kraft gesetzten Serverressourcen durch redundante Instanzen ersetzen zu können. Das System der Redundanz hat sich in der Praxis bereits vielfach bewährt. Eine Möglichkeit dabei ist es, zusätzliche Hardware vorzuhalten, auf der identische Softwaresysteme laufen. Bei einem Ausfall des einen Systems kann dann das jeweils andere redundant vorliegende System die laufenden Prozesse verzögerungsfrei übernehmen, damit der Anwender den Ausfall im Optimalfall nicht einmal bemerkt und keine Einschränkungen erleidet.110 Das System ist auch dann von Vorteil, wenn der CSP geplante oder ungeplante Wartungsarbeiten durchzuführen hat.111 So hat der Cloud-Anwender keine Verfügbarkeitseinbußen durch notwendige Wartungsarbeiten. Allerdings bieten komplex verteilte Systeme, die aus diverser Hard- und Software bestehen, ebenfalls zahlreiche Risiken, z. B. durch Fehlfunktionen oder Bedienfehler. Auf diese Weise sind Cloud-Lösungen durch menschliches Versagen, missbräuchliches Handeln von Mitarbeitern oder Subunternehmern des CSP sowie Manipulation von virtuellen Maschinen weiteren Gefahren ausgesetzt. Auch werden die Plattformen der CSP gerne für externe Angriffe missbraucht, um z. B. Schad-Software einzuschleusen, Spam-Nachrichten mit Trojanern oder Viren im Anhang zu versenden oder für Brute-Force-Angriffe auf Passwörter der Kunden des Cloud-Anwenders.112
Da es sich beim Cloud Computing um verteilte Systeme handelt, in denen die Ressourcen aus verschiedenen RZ gebündelt und je nach Bedarf verteilt werden, handelt es sich um die sogenannte Multi-Tenancy oder auch Multi-Mandantenfähigkeit. Diese Tatsache macht die wirtschaftliche Rentabilität des Cloud Computing aus. Resultierend daraus teilen sich demnach viele verschiedene Unternehmen die gleiche Infrastruktur des CSP.113 Am Beispiel von relationalen Datenbanken aufgezeigt kann dies bedeuten, dass physische Tabellen von mehreren Kunden parallel genutzt werden, es bei den Mandanten jedoch den Anschein erweckt, dass diese mit separierten Tabellen arbeiten. So liegen beim CSP die Daten verschiedener Mandanten nebeneinander auf demselben Server.114 Es sollte daher vom CSP sichergestellt sein, dass die einzelnen Mandanten keinen unautorisierten Zugriff auf die Daten der anderen Mandanten haben.115
Der Ausstieg aus dem Cloud-Verhältnis mit dem CSP kann ein weiteres Risiko darstellen. Nicht immer ist ein Wechsel zu einem anderen Provider oder zurück zu eigenen IT-Systemen im Unternehmen problemlos möglich. Hauptsächlich dann, wenn der CSP anbieterspezifische Technologien verwendet und die bezogenen Services des Unternehmens nicht mehr durch andere Anbieter erbracht werden können, ist die Gefahr eines Vendor-Lock-in und somit die Abhängigkeit von diesem einen CSP besonders groß.116 Ob ein Ausstieg mit Rückübertragung sämtlicher Daten und Funktionen ins eigene Unternehmen oder zu einem anderen Anbieter möglich ist, kommt maßgeblich auf das Format an, in dem die Daten beim bisherigen CSP vorgehalten und verarbeitet werden.117 Der Ausstieg wird dann sehr kostspielig, komplex und risikoreich, wenn die Daten nicht oder nur in einem unpassenden Format zurückübertragen werden können.118 Außerdem muss das Unternehmen zur Erfüllung der Datenschutzbestimmungen gewährleisten, dass nach Ausstieg aus der Cloud sensible Daten und deren Kopien auf sämtlichen Servern des CSP gelöscht werden können. Dies stellt für die Unternehmen jedoch eine weitere Herausforderung dar, da der genaue Standort der abgelegten Daten in der Regel nicht bekannt ist.119 Besonders schwierig wird es, wenn der CSP mit weiteren Subunternehmen zusammenarbeitet oder erst kürzlich von einem anderen Anbieter übernommen worden ist.120 Der CSP entscheidet selbst darüber, wo welche Daten abgelegt werden sollen. Dabei ist die unterschiedliche Rechtslage verschiedener Länder in Bezug auf die Aufbewahrung und Informationsweitergabe von Daten zu beachten. Je nachdem in welchem Land sich der Standort der Daten befindet hat der Staat Zugriffsrecht auf die Daten.121 Die Angebote der CSP haben sich jedoch in den vergangenen Jahren dahingehend weiterentwickelt, dass der Anwender die Möglichkeit besitzt die Standorte auf das Gebiet der Europäischen Union (EU) und des Europäischen Wirtschaftsraums (EWR) zu beschränken, um den datenschutzrechtlichen Vorschriften bei der Handhabung mit personenbezogenen Daten gerecht werden zu können.122 Die nachfolgende Abb. zur Standortverteilung deutscher CSP zeigt zudem, dass diese sich auf die Wünsche der Kunden eingestellt haben. Bei der Beantwortung der Frage war eine Mehrfachnennung möglich, wenn sich die RZ der Befragten in mehreren Ländern befinden.
[...]
1 Vgl. BSI (Hrsg.) 2012, S. 8.
2 Vgl. Gadatsch, A./Klein, H./Münchhausen, M. 2014, S. 88.
3 Vgl. Kett, H./Weiner, N./Falkner, J. 2012, S. 35.
4 Vgl. BSI (Hrsg.) 2012, S. 8.
5 Vgl. Köhler-Schute, C. 2013, S. 5; Höllwarth, T. 2012, S. o.A. zitiert nach Pauly, M. 2013, S. 19.
6 Vgl. BSI (Hrsg.) 2012, S. 8 f.
7 Vgl. Gadatsch, A./Klein, H./Münchhausen, M. 2014, S. 88.
8 Vgl. BSI (Hrsg.) 2012, S. 24.
9 Vgl. Köhler-Schute, C. 2011, S. 5.
10 Vgl. Pauly, M. 2011, S. 18 f.
11 Vgl. ebd., S. 19 f; Arbitter, P. et al. 2011, S. 38.
12 Vgl. Wanke, S. 2013, S. 32.
13 Vgl. Pauly, M. 2013, S. 19 f; Köhler-Schute, C. 2013, S. 5.
14 Vgl. Wanke, S. 2013, S. 32.
15 Vgl. BITKOM (Hrsg.) 2009, S. 8.
16 Vgl. Vossen, G./Haselmann, T./Hoeren, T. 2012, S. 8.
17 Vgl. BSI (Hrsg.) 2012, S. 3.
18 Vgl. ebd., S. 47.
19 Vgl. Köhler-Schute, C. 2013, S. 5.
20 Vgl. Pauly, M. 2013, S. 19 f.
21 Vgl. Herrmann, W. 2014.
22 Vgl. Vossen, G./Haselmann, T./Hoeren, T. 2012, S. 8.
23 Vgl. Gadatsch, A./Klein, H./Münchhausen, M. 2014, S. 89.
24 Vgl. Kiehne, A. 2011, S. 25.
25 Vgl. BSI (Hrsg.) 2012, S. 14.
26 Vgl. Lamberth, S. et al. 2009, S. 5 f.
27 BSI (Hrsg.) 2012, S. 15 f.
28 Mell, P./Grance, T. 2011, S. 2; Cloud Computing ist ein Modell, das es erlaubt, bei Bedarf, jederzeit und überall bequem über ein Netz auf einen gemeinsam genutzten Pool von konfigurierbaren Rechnerressourcen (z.B. Netze, Server, Speichersysteme, Anwendungen und Dienste) zuzugreifen, die schnell und mit minimalem Managementaufwand oder geringer Serviceprovider-Interaktion zur Verfügung gestellt werden können (Übersetzung d. Verf. Höllwarth, T. 2014, S. 146 f.).
29 Vgl. BSI (Hrsg.) 2012, S. 14.
30 Vgl. Mell, P./Grance, T. 2011, S. 2.
31 Vgl. ebd., S. 2.
32 Vgl. ebd., S. 2.
33 Vgl. Vossen, G./Haselmann, T./Hoeren, T. 2012, S. 23.
34 Vgl. Mell, P./Grance, T. 2011, S. 2.
35 Vgl. Vossen, G./Haselmann, T./Hoeren, T. 2012, S. 23.
36 Vgl. Höllwart, T. 2014, S. 147.
37 Vgl. Lamberth, S. et al. 2009, S. 6.
38 Vgl. Gadatsch, A./Klein, H./Münchhausen, M. 2014, S. 89.
39 Vgl. ebd., S. 89.
40 Vgl. BSI (Hrsg.) 2012, S. 18 f.
41 Vgl. BSI (Hrsg.) 2012, S. 16.
42 Vgl. Vossen, G./Haselmann, T./Hoeren, T. 2012, S. 30; Brömmer, J./Tresp, J. 2011, S. 52.
43 Vgl. Gadatsch, A./Klein, H./Münchhausen, M. 2014, S. 90; Vossen, G./Haselmann, T./Hoeren, T. 2012, S. 30; Kett, H./Weiner, N./Falkner, J. 2012, S. 38.
44 Vgl. Brömmer, J./Tresp, J. 2011, S. 52.
45 Vgl. Gadatsch, A./Klein, H./Münchhausen, M. 2014, S. 91.
46 Vgl. Vossen, G./Haselmann, T./Hoeren, T. 2012, S. 30.
47 Vgl. Arbitter, P. et al. 2011, S. 40.
48 Vgl. Vossen, G./Haselmann, T./Hoeren, T. 2012, S. 30.
49 Vgl. Beckereit, F. 2013, S. 85.
50 Vgl. BSI (Hrsg.) 2012, S. 16.
51 Vgl. Bernhardt, N. 2010, S. 25.
52 Vgl. Arbitter, P. et al. 2011, S.40.
53 Vgl. Beckereit, F. 2013, S. 85; Bernhardt, N. 2010, S. 26.
54 Vgl. Vossen, G./Haselmann, T./Hoeren, T. 2012, S. 28.
55 Vgl. BSI (Hrsg.) 2012, S. 16.
56 Vgl. Kett, H./Weiner, N./Falkner, J. 2012, S. 36 f.
57 Vgl. Kiehne, A. 2011, S. 24.
58 Vgl. BITKOM (Hrsg.) 2009, S. 16.
59 Vgl. Vossen, G./Haselmann, T./Hoeren, T. 2012, S. 29 f.
60 Vgl. BSI (Hrsg.) 2012, S. 17.
61 Vgl. Christmann, S. 2010, S. 62.
62 Vgl. BSI (Hrsg.) 2012, S. 17; Vossen, G./Haselmann, T./Hoeren, T. 2012, S. 29.
63 Vgl. BSI (Hrsg.) 2012, S. 17.
64 Vgl. Christmann, S. 2010, S. 62.
65 Vgl. Vossen, G./Haselmann, T./Hoeren, T. 2012, S. 28 f; Kiehne, A. 2011, S. 25.
66 Vgl. BSI (Hrsg.) 2009.
67 Vgl. BSI (Hrsg.) 2012, S. 39.
68 Vgl. Vossen, G./Haselmann, T./Hoeren, T. 2012, S. 52 f.
69 Vgl. ebd., S. 68.
70 Vgl. ebd., S. 68.
71 Vgl. BITKOM (Hrsg.) 2012b, S.70 f.
72 Vgl. BSI (Hrsg.) 2012, S. 28.
73 Vgl. ebd., S. 30.
74 Vgl. ebd., S. 32.
75 Vgl. BSI (Hrsg.) 2012, S. 35.
76 Vgl. ebd., S. 43 ff.
77 Vgl. BITKOM (Hrsg.) 2009, S. 10.
78 Vgl. Kiehne, A. 2011, S. 24.
79 Vgl. Sondermann, K. 2013, S. 162 f.
80 Vgl. Köhler-Schute, C. 2013, S. 13.
81 Vgl. Pauly, M. 2013, S. 25.
82 Vgl. Köhler-Schute, C. 2013, S. 13.
83 Vgl. BSI (Hrsg.) 2012, S. 3.
84 Vgl. Vossen, G./Haselmann, T./Hoeren, T. 2012, S. 9.
85 Vgl. Eckhardt, J. 2013, S. 233.
86 Vgl. Pauly, M. 2013, S. 21.
87 Vgl. Kett, H./Weiner, N./Falkner, J. 2012, S. 37.
88 Vgl. Vossen, G./Haselmann, T./Hoeren, T. 2012, S. 23 f.
89 Vgl. Eckhardt, J. 2013, S. 242.
90 Vgl. Vossen, G./Haselmann, T./Hoeren, T. 2012, S. 33 f.
91 Vgl. Kiehne, A. 2011, S. 31.
92 Vgl. Wanke, S. 2013, S. 33.
93 Vgl. ebd., S. 45; Sondermann, K. 2013, S. 174 f.
94 Vgl. Vossen, G./Haselmann, T./Hoeren, T. 2012, S. 22.
95 Vgl. Glöckl-Frohnholzer, J./Lingner, S. 2013, S. 104 f.
96 Vgl. Summerer, S. 2011, S. 35.
97 Vgl. Wanke, S. 2013, S. 38.
98 Vgl. Vossen, G./Haselmann, T./Hoeren, T. 2012, S. 36.
99 Vgl. Bedner, M. 2013, S. 90 ff.
100 Vgl. BMWi (Hrsg.) 2014, S. 7.
101 Vgl. Vossen, G./Haselmann, T./Hoeren, T. 2012, S. 34.
102 Vgl. ebd., S. 123.
103 Vgl. KPMG AG Wirtschaftsprüfungsgesellschaft (Hrsg.) 2013, S. 5.
104 Vgl. Kett, H./Weiner, N./Falkner, J. 2012, S. 39.
105 Vgl. Meyer-Spasche, G. 2010, S. 72.
106 Vgl. Meyer-Spasche, G. 2010, S. 72.
107 Vgl. Heier, H. et al. 2013, S. 48.
108 Vgl. Wanke, S. 2013, S. 34.
109 Vgl. Vossen, G./Haselmann, T./Hoeren, T. 2012, S. 121.
110 Vgl. Vossen, G./Haselmann, T./Hoeren, T. 2012, S. 50.
111 Vgl. Eckhardt, J. 2013, S. 237.
112 Vgl. Vossen, G./Haselmann, T./Hoeren, T. 2012, S. 176.
113 Vgl. Heier, H. et al. 2013, S. 49.
114 Vgl. Vossen, G./Haselmann, T./Hoeren, T. 2012, S. 22.
115 Vgl. Heier, H. et al. 2013, S. 49.
116 Vgl. Vossen, G./Haselmann, T./Hoeren, T. 2012, S. 121.
117 Vgl. Eckhardt, J. 2013, S. 235.
118 Vgl. Heier, H. et al. 2013, S. 49.
119 Vgl. ebd., S. 49.
120 Vgl. Vossen, G./Haselmann, T./Hoeren, T. 2012, S. 177.
121 Vgl. Heier, H. et al. 2013, S. 49.
122 Vgl. Eckhardt, J. 2013, S. 233.
