Lade Inhalt...

Eignung von Cloud-Lösungen als Unternehmensressource unter Berücksichtigung von Datenschutz und Compliance

Bachelorarbeit 2013 64 Seiten

Informatik - Wirtschaftsinformatik

Leseprobe

Inhaltsverzeichnis

1 Einleitung
1.1 Problemstellungen
1.2 Ziel/Motivation der Abschlussarbeit
1.3 Aufbau der Abschlussarbeit

2 Cloud Computing
2.1 Virtualisierung
2.2 Charakteristika
2.3 Services
2.3.1 Software as a Service
2.3.2 Platform as a Service
2.3.3 Infrastructure as a Service
2.4 Architektur
2.4.1 Private Cloud – nicht öffentlich
2.4.2 Public Cloud – öffentlich
2.4.3 Community Cloud
2.4.4 Hybrid Cloud
2.5 Marktanalyse
2.6 Chancen und Risiken
2.6.1 Vorteile
2.6.2 Nachteile

3 Datenschutz und Compliance
3.1 Datensicherheit
3.1.1 Risiken
3.1.2 Schutz
3.2 Juristische Aspekte
3.2.1 Datenschutzrechtliche Bestimmungen und Compliance-Regeln
3.2.2 Vertragsgestaltung
3.2.3 Gewährleistung und Haftung
3.3 Zertifizierung
3.3.1 Safe Harbor
3.3.2 ISO
3.3.3 SAS-
3.3.4 EuroCloud
3.3.5 EuroPriSe
3.3.6 TÜV Trusted Cloud
3.3.7 FedRAMP
3.4 Verschlüsselung
3.4.1 Symmetrische Verschlüsselung
3.4.2 Asymmetrische Verschlüsselung/Public Key-Kryptografie
3.4.3 Hybride Verschlüsselung
3.4.4 Public-Key-Infrastruktur
3.4.5 Einsatz in der Cloud
3.5 Kontrolle
3.6 Lifecycle der Sicherheit

4 Kosten und Compliance

5 Fazit

6 Literaturverzeichnis

7 Eidesstattliche Erklärung

Abbildungsverzeichnis

Abbildung 1: Cloud Computing-Umsatz in Deutschland

Abbildung 2: Top drei Sicherheits-Incidents

Abbildung 3: Hürden für Cloud-Services

Abbildung 4: Sicherheitstechnologie VMsafe

Abbildung 5: Symmetrische Verschlüsselung

Abbildung 6: Asymmetrische Verschlüsselung

Abbildung 7: Authentifizierung via asymmetrischer Verschlüsselung

Abbildung 8: Hybride Verschlüsselung

Abbildung 9: Identity- und Access-Management

Abbildung 10: Zeitsynchrone 2-Faktoren-Authentifizierung

Abbildung 11: L2TP over IPSec Protokoll Aufbau

Abbildung 12: Compliance-Kosten vs. Non-Compliance-Kosten

Abkürzungsverzeichnis

Abbildung in dieser Leseprobe nicht enthalten

1 Einleitung

Durch Cloud Computing bietet sich gerade kleinen und mittleren Unternehmen ein flexibles Leistungsangebot, ohne in den Aufbau und die Wartung von großen Rechenzentren zu investieren. Es ist derzeit ein viel diskutiertes Thema in der IT-Branche und bekommt durch die dynamische Anpassungsmöglichkeit und kalkulierbare Werte eine erhöhte Aufmerksamkeit. In der heutigen Zeit, in der IT-Budgets stetig reduziert werden, ist der Einsatz von Cloud-Lösungen aufgrund der Wirtschaftlichkeit ein wichtiges Thema für eine zeitgemäße und somit skalierbar günstige IT-Infrastruktur. Die Unternehmen sehen beim Cloud Computing eine potenzielle Chance, die Wettbewerbsfähigkeit durch Einbindung von externen Serviceangeboten zu erhalten und zu erweitern. Es bietet ihnen die Möglichkeit, sich auf das Kerngeschäft zu konzentrieren. Voraussetzung hierfür ist jedoch, sich vorher mit der Thematik ausführlich auseinanderzusetzen und für die eigenen Bedürfnisse entsprechende Entscheidungen zu treffen.

Eine erhöhte Aufmerksamkeit bekommt das Thema jedoch nicht nur durch die genannten Punkte, sondern auch durch die vielen Sicherheitsbedenken in Bezug auf den Kontrollverlust der eigenen Daten und die damit verbundene Einhaltung der gesetzlichen und eigenen Regeleinhaltung. Aufgrund dessen und gerade wegen der teilweise fehlenden Transparenz der Anbieter, die überaus wichtig für die Compliance ist, distanzieren sich Unternehmen von der Inanspruchnahme. Insofern binden die mit Cloud Computing verbundenen Veränderungen auch die Politik mit ein. Die Herausforderung ist hier, den Rechtsrahmen der Cloud-Servicebereitstellung entsprechend zu überprüfen und eventuelle Anpassungen vorzunehmen. Im Rahmen der Abschlussarbeit werden die Eignung des Cloud Computings für geschäftskritische und personenbezogene Daten, deren Folgen im Hinblick auf die Compliance und Schutzmaßnahmen sowie die Compliance-Kostenaspekte thematisiert.

1.1 Problemstellungen

Viele Unternehmen nutzen bereits die Cloud-Dienste, ohne alle Risiken zu kennen beziehungsweise sich dagegen abzusichern und sich vorab ausreichend damit auseinanderzusetzen. Die Auslagerung in die Cloud muss unter den gesetzlichen und unternehmensinternen Richtlinien und Rahmenbedingungen erfolgen. Denn die technische Kompetenz und Kontrolle wird nahezu vollständig in fremde Verantwortung übergeben, jedoch bleibt die juristische Verantwortung auch weiterhin beim Unternehmen. Die Verfügbarkeit und Sicherheit der Systeme und Anwendungen sowie die Integrität der Daten müssen zwingend gewährleistet werden. Aufgrund dessen nehmen Firmen von der Nutzung der Cloud Computing-Technologie auch Abstand, da diese auf den ersten Blick eine große und für viele undurchsichtige Herausforderung im Bereich der Rechtsgrundlagen darstellt.

1.2 Ziel/Motivation der Abschlussarbeit

Das Ziel dieser Abschlussarbeit ist es, aufklärend in Bezug auf die Sicherheitsbedenken gegen Cloud Computing zu wirken, aber auch die Risiken aufzuzeigen. Die Motivation ist hierbei, diverse fundierte Schriftwerke zu dem Thema durch aktuelle Literatur aus Fachzeitschriften und Internetquellen zu komplettieren. Hierbei werden Sicherheitsmöglichkeiten und Lösungen untersucht, die den größtmöglichen Schutz der Daten gewährleisten können. Herbeigeführt durch den zügigen Fortschritt und die fortwährende Weiterentwicklung im Cloud-Umfeld fehlen wichtige neue Erkenntnisse in diverser Literatur mit veralteten Informationsständen. Um einen optimalen und bestmöglichen Geschäftserfolg zu erzielen, sollen diese Defizite mit der Bachelorthesis und ihren umfassenden spezifischen und aktuellen Ergebnissen behoben werden.

1.3 Aufbau der Abschlussarbeit

Die Arbeit gliedert sich inklusive des Fazits in fünf Kapitel. Das erste Kapitel leitet diese Abschlussarbeit mit der Problemstellung über das Ziel und die Motivation bis zum Aufbau der Abschlussarbeit ein. Zu Beginn werden die Grundlagen des Cloud Computings, verbunden mit einer Marktanalyse und den Chancen und Risiken, erläutert. Aufbauend auf diesen Informationen, folgt der Hauptteil, bestehend aus dem Datenschutz und der Compliance. Die Untergliederung in die einzelnen Kapitel beginnt zunächst mit der Datensicherheit, bei der im ersten Schritt die Risiken betrachtet werden. Auf dieser Basis werden die wichtigsten Schutzmaßnahmen dargestellt. Da Cloud Computing große juristische Risiken birgt, werden die einzelnen Aspekte in einem eigenen Kapitel (3.2) behandelt. Ein Fokus liegt hier auf dem Schutz von personenbezogenen Daten und der Vertragsgestaltung. Des Weiteren werden Verschlüsselungstechniken in Verbindung mit dem Einsatz der Cloud erläutert, um den Datenaustausch so sicher wie möglich zu gestalten. Wenn die Daten in fremde Verantwortung gegeben werden, sind die Vertragsvereinbarungen, wie im Kapitel 3.2 beschrieben, ebenso wichtig wie die Kontrolle der Einhaltung. Anschließend wird in den Lifecycle der Sicherheit übergeleitet, um für beide Vertragspartner ein bestmögliches Ergebnis zu erzielen. Nicht weniger relevant sind jedoch die Kosten, die in Kapitel 4 behandelt werden, und somit auch die Folgen der Compliance. Beendet wird die Ausarbeitung mit dem Fazit.

2 Cloud Computing

Cloud Computing steht primär für die Verlagerung von Rechenleistung und Speicherplatz in ein Data-Center. Im Fokus steht dabei besonders die zeitnahe und flexible Verfügbarkeit von Cloud-Services, eine höhere Innovationsfähigkeit sowie die bessere Performance der IT-Leistungen und der mobile Zugriff auf die Unternehmensdaten.[1] Es gibt verschiedene Definitionen für Cloud Computing. Das dem amerikanischen Wirtschaftsministerium unterstehende National Institute of Standards and Technology (NIST) beschrieb im Jahr 2009 die Technik weiterführend mit einem hohen Potenzial zur Kosteneinsparung durch das Abrechnungsmodell „pay-per-use“ – der Zahlung des tatsächlichen Gebrauchs. Zudem wird bereits das Sicherheitsrisiko in der Definition festgehalten:

Die Sicherheit steht immer im Zusammenhang mit neuer Computertechnologie, und Cloud Computing hat ebenfalls Vor- und Nachteile. Das Modell bietet die Verfügbarkeit der Services mit einer dezentralen Architektur in Verbindung mit der Datenvertraulichkeit und den Integritätsherausforderungen bei der gemeinsamen Nutzung von Hardware-Ressourcen.[2]

Letztendlich liegt dem Cloud Computing die historische Entwicklung der letzten Jahrzehnte zugrunde, die bereits früh in den 1960er Jahren begann. Damals entstanden die ersten Überlegungen, große Berechnungsprobleme effizienter zu lösen, indem die Last von einem sogenannten Supercomputer auf mehrere Rechner verteilt wird. Dies erschien bereits nach außen hin als ein einzelnes transparentes System. In den 70er Jahren entstand das Cluster-Computing mit dem Zusammenschluss von mehreren homogenen Systemen über ein Hochgeschwindigkeitsnetzwerk. Die Alternative bildet das Grid-Computing mit seiner Vielzahl an heterogenen Systemen und der Nutzung von nicht genutzter CPU-Rechenleistung, die zu beliebigen Zeitpunkten ihren Teil beitragen. Vom diesem technischen Fortschritt unabhängig, wurden in den 80er Jahren auch zunehmend im IT-Bereich Teilaufgaben outgesourct.[3]

Somit entstand bereits vor Jahren die Idee, IT-Ressourcen gegen Nutzungsentgelte zur Verfügung zu stellen, und als erster weiterführender Versuch entstand das Application Service Provider-Modell (ASP-Modell), in dem einzelne Anwendungen und Serviceleistungen nach Bedarf (beispielsweise via Terminal-Server-Zugang) zur Verfügung gestellt werden. Allerdings existierten damals noch nicht die für diese Leistungen notwendigen technischen Voraussetzungen wie schnelle und stabile Internetverbindungen. Daher hatte dies zunächst keine Zukunft.[4]

Aus selbigem Grund konnten die Ansätze, bezogen auf die Vision von John McCarthy, auch zunächst nicht kommerziell umgesetzt werden. Das sogenannte Utility Computing-Konzept sah im Jahr 1961 vor, die Rechenleistung wie den Strom aus der Steckdose zu beziehen. Die Vision wurde im heutigen Cloud Computing durch das Abrechnungsmodell Pay-per-Use wieder aufgegriffen, indem es dem Benutzer ermöglicht wird, über einen Zeitraum die Leistung intensiv zu nutzen, aber ebenso problemlos, wieder darauf zu verzichten (siehe auch Kapitel 2.2 Rapid Elasticity).[5] Die Entstehung des neuen Cloud Hypes[6] ist folglich der weiteren Entwicklung der Infrastruktur und der guten vorangegangenen Entwicklung zu verdanken. Die weitere Grundlage wird im folgenden Kapitel aufgezeigt – die Virtualisierung.

2.1 Virtualisierung

Eine Cloud Computing-Umgebung zeichnet sich durch die Ressourcenentkopplung von der physischen Infrastruktur aus. Die Virtualisierung bildet mit mehreren unabhängigen virtuellen Systemen auf einem Hardwaresystem eine Grundlage für das Cloud Computing. Bereits durch das in den 70er Jahren entwickelte Konzept des virtuellen Speichers bei der Programmierung wird die Illusion eines unendlich großen logischen Speichers gegeben, der nur durch den physischen Speicherplatz begrenzt wird. Die Virtualisierung ist demnach für den Anwender transparent.[7] Sie ist eine Abstraktionsebene in Hardwaresystemen mit getrennten, unabhängigen Rechenoperationen. Die sogenannten virtuellen Maschinen (VM) sind mit ihren vier Kernelementen der CPU, dem Arbeitsspeicher, der Festplatte und dem Netzwerk als eine Einheit zu sehen.[8] Durch die Trennung der Systeme bis auf die Ebene der Virtualisierungs-Software kann zudem die Sicherheit der Systemarchitektur erhöht werden, da in erster Linie kein Einfluss auf die anderen VMs besteht. Des Weiteren ist es für den Provider von essenzieller Bedeutung, die Hardware möglichst auszulasten, um preislich am Markt konkurrieren zu können.[9]

VMs sind in Bezug auf ihren Ort sehr flexibel einsetzbar und lassen sich innerhalb kürzester Zeit verschieben. Ebenso beweglich sollte schlussfolgernd auch die Sicherheit gewährleistet werden. Dies kann auch über eine VM gemacht werden. Hierbei werden Sicherheitsprogramme als Virtual Security Appliance auf den Servern des Cloud-Anbieters implementiert Die Voraussetzung für die Nutzung von VMs ist eine fehlerfreie Funktion des Hypervisors. Ist die vollständige Trennung zwischen Gast und Host nicht mehr gegeben, birgt dies große Sicherheitsrisiken. Wenn der Schadcode erst einmal aus der isolierten VM heraus im Hypervisor eingedrungen ist, kann er die vollständige Kontrolle über alle virtuellen Maschinen erhalten. Die Sicherheit bei VMs ist also genauso wie bei physikalischen Servern nicht zu vernachlässigen. Schwachstellen im Hypervisor können beispielsweise durch eine in der VM installierte Malware ausgenutzt werden. Somit gilt der Hypervisor als größtes Angriffsziel einer virtualisierten Umgebung. (Weiterführende Informationen zum Schutz im Kapitel 3.1.2)

2.2 Charakteristika

Die fünf zentralen Charakteristika des Cloud Computings sind Resource Pooling, Rapid Elasticity, On-Demand Self Service, Broad Network Access und Measured Service.[10]

Resource Pooling

Das Resource Pooling beschreibt die gemeinsame Nutzung von physischen Ressourcen. Hierbei erfolgt die Trennung von logischen und physischen Ressourcen.

Rapid Elasticity

Der Begriff steht für die dynamische manuelle oder automatische Anpassbarkeit in Abhängigkeit mit dem aktuellen Ressourcenbedarf.

On-Demand Self Service

Eine wichtige Voraussetzung ist die Anpassung auf die Eigeninitiative des Nutzers, der dadurch von den Mitarbeitern des Providers unabhängig wird. Dieser Prozess ist auf Anbieterseite weitestgehend automatisiert, um überhaupt funktionieren zu können und günstige Preise zu realisieren.

Broad Network Access

Über ein Netzwerk, in der Regel ist dies das Internet, stehen die Ressourcen bereit. Zum Einsatz kommen dabei Standardprotokolle wie HTTP und XML und eine Unterstützung für diverse Endgeräte, die ein mobiles Arbeiten ermöglichen.

Measured Service

Im Hintergrund jedes Cloud-Services steht die Messung der tatsächlichen Ressourcennutzung. Dies dient dem Zweck der Abrechnung (pay-per-use), der Kontrolle und auch der automatischen Anpassung des Services (zum Beispiel für mehr benötigten Speicherplatz).

2.3 Services

Es gibt eine Vielzahl von Cloud-Services. Das NIST schlägt die Klassifizierung in Software as a Service (SaaS), Platform as a Service (PaaS) und Infrastructure as a Service (IaaS) vor.[11] Nach SaaS und IaaS folgten weitere Angebote wie Storage as a Service, Logic as a Service oder Network as a Service. Alle Arten von Cloud-Services werden auch aufgrund des gemeinsamen Suffixes unter Anything as a Service (Xaas) zusammengefasst.[12] In den folgenden drei Kapitelabschnitten werden zunächst die Servicemodelle und darauffolgend die Liefermodelle erläutert.

2.3.1 Software as a Service

Der Vorgänger von Software as a Service (Saas) war das in der Einführung dieses Kapitels genannte ASP-Modell.

„Beim SaaS-Modell bietet der Provider eine Software an, die der Endkunde unmittelbar einsetzen kann. Der Betrieb der Software liegt vollständig beim Anbieter, der sich um alle Aspekte der Wartung, Aktualisierung, Fehlerbeseitigung, Weiterentwicklung oder Lizenzierung der benötigten Soft- und Hardware kümmert.“[13]

Der Grundgedanke ist der Wegfall einer lokalen Installation auf dem Endgerät und der einfache Aufruf der Software über den Browser. Historisch wurde daher der Begriff on-demand (nach Bedarf) häufig verwendet. Es war zunächst das am stärksten verbreitete Service-Modell.[14] Typische Beispiele hierfür sind SAP Business ByDesign, Oracle CRM On Demand und das führende Cloud Computing-Unternehmen Salesforce.com mit der Service Cloud 2.[15]

2.3.2 Platform as a Service

Mit Platform as a Service wird Softwareentwicklern die Möglichkeit eröffnet, eigens hergestellte Programme auf einer Plattform bereitzustellen. Hierbei liegen typische Komponenten eines Entwicklungsprojektes als vorgefertigte Services vor, um den Softwarecode bereitzustellen. Anzuführen sind Komponenten wie die Datenbankschnittstelle, das Single-Sign-On, die Reporting- und Dashboard-Funktionen sowie nutzbare Security-Konzepte und vieles mehr.[16]

Es wird dem Kunden ein Rahmen geboten, in dem er freie Verfügung hat. Schnell lassen sich somit Testumgebungen schaffen, und die Software kann schneller und produktiv zum Einsatz kommen. Üblich ist an dieser Stelle auch eine automatische Skalierung je nach Auslastung. Typische Provider sind hier Google mit der App Enginge oder Mircosoft mit Windows Azure.[17]

2.3.3 Infrastructure as a Service

Angelehnt an die Vision des Utility Computing (siehe Kapiteleinleitung) und klassifiziert unter dem Begriff IaaS ist beispielsweise Storage as a Service sowie die Nutzung von virtuellen Telefonanlagen und Back up-Services. Der Anbieter stellt virtuelle Hardware und Infrastrukturdienste wie Speicherplatz, Rechenleistung und Netzwerkbandbreite bereit.[18]

2.4 Architektur

Die genannten Servicemodelle haben noch keine Aussagekraft darüber, wie die Leistung erbracht wird. Unterschieden wird hier zwischen der Privat-, Public-, Hybrid- und Community Cloud.[19]

2.4.1 Private Cloud – nicht öffentlich

Die Private Cloud lässt das Risiko der Datensicherheit und des Datenspeicherortes möglichst gering ausfallen, da sich der Provider mit der Cloud im optimalen Fall im Unternehmen des Kunden befindet. Hier kann jedoch auch eine Auslagerung stattfinden. Sie wird in diesem Fall auch exklusiv für den einen Kunden betrieben, kann alternativ aber auch vom Kunden selbst anstelle eines externen Anbieters betrieben werden. Jedoch kommt dies in der Regel nur bei größeren Unternehmen vor, die sich intern entsprechend organisiert und unterteilt haben.

2.4.2 Public Cloud – öffentlich

Die öffentliche Cloud zeichnet sich hingegen durch eine hohe Mindestgröße aus, um einen möglichst hohen Skaleneffekt zu erzeugen, und wird immer von einem externen Anbieter betrieben. Sie wird von den unterschiedlichsten Nutzern beansprucht und hat daher ein wesentlich höheres Risiko in Bezug auf die Datensicherheit. Um auch bei diesem Architekturmodell mehr Sicherheit zu erlangen, gibt es zwei Unterformen: die Open Cloud und die Exclusive Cloud. Bei der letzteren Form gibt es keine unbekannten Nutzer. Im Normalfall werden hier explizite Verträge zwischen Anbieter und Nutzer geschlossen. Es existieren keine zufälligen Nutzer in der Cloud-Instanz. Bei der Open Cloud hingegen erfolgt kein direkter Input über den Inhalt der Nutzer. Hier werden aufgrund der Vielzahl der Nutzer lediglich SLAs (Service Level Agreements) abgeschlossen, und die Nutzung von Instanzen läuft anbieterseitig automatisiert ab.[20]

2.4.3 Community Cloud

Sie ist für mehrere Organisationen und Unternehmen mit ähnlichen Anforderungen sinnvoll. Es handelt sich dabei um eine nicht öffentliche Variante, deren Nutzung dem Verbund/Zusammenschluss vorbehalten ist. Hier ist auch der Betrieb extern oder intern möglich. Der Einsatz erfolgt auf Wunsch/nach Bedarf einer Private Cloud, die jedoch aufgrund einer kleineren Unternehmens- bzw. Organisationsgröße nicht betrieben werden kann oder aus wirtschaftlichen Gründen nicht alleine betrieben werden soll.[21]

2.4.4 Hybrid Cloud

Diese letzte Form entsteht durch den Zusammenschluss einiger der zuvor erläuterten Clouds. Ein denkbares Szenario wäre hier die Einstufung und somit auch Auswahl nach Sicherheitskriterien, indem die Wahl auf eine Private Cloud für hochwichtige und unternehmenskritische Daten fällt und niedriger Eingestuftes in der Public Cloud betrieben wird. Durch die Skalierbarkeit auch alternativ ist die Public Cloud eine Art der kurzfristigen Auslagerung.[22]

2.5 Marktanalyse

Zu Beginn wurden in der Cloud eher unkritische Daten genutzt, und die vielen bereits erwähnten Vorteile machten sich zahlreiche Serviceprovider zunutze, indem sie ebenfalls und unter hartem Wettbewerb ihre Leistungen anboten. Inzwischen geht es jedoch darum, das eigene Unternehmen weitaus gewinnbringender aufzustellen und durch die Cloud Wettbewerbsvorteile weiterentwickeln können. Zunehmend steigt somit auch das Bedürfnis an die Sicherheit, da die Cloud ein unverzichtbarer Teil der IT-Infrastruktur ist oder werden soll.

Es gibt verschiedene Möglichkeiten, um Daten im Netzwerk verfügbar zu machen. Da die zur Verfügung stehenden Budgets im IT-Bereich stetig abnehmen und wir uns in einer Servicegesellschaft befinden, ist eine zunehmende Entwicklung zu Cloud-Services zu verzeichnen. Angefangen bei Onlinespeicherkapazitäten (wie beispielsweise dem web.de-Onlinespeicher) und kleinen Diensten für Privatanwender drängen immer mehr Angebote von großen Unternehmen wie beispielsweise IBM an den Markt. Der deutsche Markt für Cloud Computing überstieg 2012 – laut einer Marktanalyse des Bundesverbands für Informationswirtschaft BITKOM – einen Umsatz von über 5 Milliarden Euro. Zudem wurde in der Studie ein Marktwachstum in Höhe von fast 50 Prozent für 2012 und ein Anstieg bis 2016 auf 17 Milliarden prognostiziert (siehe Abbildung 1).[23]

Abbildung in dieser Leseprobe nicht enthalten

Entnommen aus: http://www.bitkom.org/de/presse/74532_71376.aspx

Abbildung 1: Cloud Computing-Umsatz in Deutschland

Die Business Cloud-Umsätze im Jahr 2012 von 1,4 Milliarden Euro gliedern sich in Cloud-Dienstleistungen mit 1,1 Milliarden durch Investitionen in die Hardware und 500 Millionen Euro für Integration und Beratung auf.[24] Die Unternehmensbefragung Cloud-Monitor 2012 belegt die Nutzung von Cloud Computing bei jedem vierten Unternehmen. Dies bezieht sich auf 28 Prozent aller Unternehmen (400 IT-Verantwortliche mit einer Unternehmensgröße mit mehr als 20 Mitarbeitern) in Deutschland. Ein Großteil der Firmen sind laut dem BITKOM-Präsidenten, Prof. Dieter Kempf, damit zufrieden. Hiervon nutzen 27 Prozent die Private Clouds und nur 6 Prozent die Public Cloud. Begründet ist die untergeordnete Rolle der Public Clouds in der Angst eines möglichen Datenverlusts. Die positive Erfahrung liegt hier jedoch bei 80 Prozent.[25] Letzteres führte mutmaßlich auch zur positiven Entwicklung der Telekom-Cloud. Ein Sportzentrum in Asien schloss den längsten laufenden Vertrag über 21 Jahre über IT-Services in Höhe von 60 Millionen Euro. Das für den Bereich zuständige Tochterunternehmen T-Systems plant, bis 2015 circa eine Milliarde mit dem Cloud Geschäft zu erzielen.[26]

Trotz der positiven Erfahrungen existieren aktuell noch viele ungeklärte Fragen und Kritikpunkte, gerade in Bezug auf die Sicherheit der Cloud-Dienste. Die Bemühungen um Standards sind hierbei überfällig, da Unternehmen, öffentliche Einrichtungen, gemeinnützige Organisationen und Anwender immer größere Datenmengen speichern und verwalten müssen.[27]

Für die Definition von Standards in diesem Bereich hat die SNIA (Storage Networking Industry Association) eine Cloud Storage-Initiative gegründet.[28] Aktuell fällt die Akzeptanz gegenüber den externen Services für sicherheitskritische Daten unterschiedlich aus. Aufgrund von Meldungen wie über den großen Datenverlust im 4. Quartal 2009, der im privaten Bereich bei der Nutzung des Sidekicks von T-Mobile USA (zum Beispiel bei der Verwendung des Onlinefotoalbums) auftrat, ist es durchaus nachvollziehbar.[29] Für ein Unternehmen könnte so etwas fatale Auswirkungen haben.

Nicht nur in Deutschland gibt es Bedenken in Bezug auf Datenschutz und Datensicherheit. Dies wird durch einen Bericht des National Security Telecommunications Advisory Committee (NSTAC) an den US-Präsidenten bestätigt. Es wurde untersucht, inwieweit die Cloud für die US-Regierung sinnvoll einsetzbar ist. Laut dem Bericht erfüllt die Cloud bisher nicht die Bedingungen der nationalen Sicherheit und Notfallvorsorge. Das NSTAC fordert daher unter anderem die Verschlüsselung der Daten und regelmäßige Audits durch Dritte.[30]

Nach dem Security-Report der IT-Sicherheitsfirma Alert Logic im Herbst 2012 sind Angriffe auf Cloud Computing-Services im Jahr vor Veröffentlichung der Studie erheblich gestiegen. Eine Differenzierung zwischen Serviceprovidern und den Unternehmen mit dem Betrieb einer eigenen Cloud (On-Premise) gliedert sich hierbei wie folgt: 76% Prozent bei den Serviceprovidern und 24% im Bereich der Private Cloud. Die Studie beruht auf Erfahrungen von über 1.600 Kunden aus verschiedenen Branchen mit über 70.000 Security Incidents. Die folgende Grafik (siehe Abbildung 2) zeigt die häufigsten Gründe für die Incidents in den beiden Sektoren.[31]

Abbildung in dieser Leseprobe nicht enthalten

Entnommen aus: http://www.alertlogic.com/resources/state-of-cloud-security-report/

Abbildung 2: Top drei Sicherheits-Incidents

Es stellt sich die Frage, ob Cloud-Angebote vom Serviceprovider in mancher Hinsicht als sicherer anzusehen sind als die unternehmenseigene IT-Infrastruktur. Aufgrund der Spezialisierung des Anbieters und dessen Kerngeschäft wird die höhere Sicherheit belegt. Demnach werden Private Clouds im Verhältnis häufiger angegriffen als die Infrastrukturen der Cloud-Serviceprovider. Man kann vermuten, dass dies am Zugriff von unqualifiziertem Personal liegt, wodurch die Schutzmaßnahmen unzureichend werden. Wenn das Unternehmen andere Kernkompetenzen als IT hat, wird das Personal in vielen Fällen nur unzureichende Kenntnisse der Sicherheitsmaßnahmen haben. Wie in der oben stehenden Grafik (siehe Abbildung 2) ersichtlich, werden oftmals Angriffe auf Web-Anwendungen gestartet, und es gibt Brute Force-Attacken, um Passwörter von Usern und Systemverwaltern in Erfahrung zu bringen. Beides wird zu einem Sicherheitsproblem.[32]

Der europäische Datenschutztag am 28. Januar 2013 hat seinen Schwerpunkt auf die EU-Datenschutzreform gelegt. Neben der Reform ging es vor allem um den Datenschutz beim Cloud Computing. Hier erklärte unter anderem der Cloud-Security-Experte des TÜVs Rheinland, Hendrik Reese: "In sensiblen Bereichen werden Cloud-Dienste noch nicht zum Einsatz kommen. Der Grund: mangelndes Vertrauen in Datenschutz und Datensicherheit bei den Cloud-ServiceServiceprovidern."[33] Derzeit fehlt es noch an klaren Rahmenbedingungen. Es ist zwingend erforderlich, präzise festzulegen, was als Mindeststandard für den Auftraggeber und Auftragnehmer gelten muss.[34]

Die Sicherheit bietenden rechtlichen Möglichkeiten, Informationen und Indizien für einen sensiblen Umgang mit den Daten sind in den folgenden Kapiteln nachzulesen.

2.6 Chancen und Risiken

Für viele Unternehmen ergeben sich durch die neuen Angebote Möglichkeiten, um weiterhin wettbewerbsfähig zu bleiben. Die wirtschaftlichen Vorteile lassen sich grob in die Ressourcenteilung, Skalierbarkeit und eine schnelle Einführungszeit untergliedern. Die Cloud bietet mit ihrem flexiblen Geschäftsmodell viele Chancen, geschäftliche Herausforderungen abzudecken. Bei folgenden Szenarien kann die Nutzung der Cloud-Services wertvoll unterstützen. Die hier zugrunde liegenden Vorteile werden im weiteren Verlauf dieser Arbeit kritisch betrachtet.

2.6.1 Vorteile

Aufschub/Minimierung von Hardwareinvestitionen und schnelle Implementierung

Wenn eine schnelle Erweiterung der vorhandenen Kapazitäten und Leistungsangebote nötig ist, kann eine möglichst schnelle Bedarfsanpassung vorgenommen werden, um für eine performante IT zu sorgen und die Bedarfe des Business zeitnah zu erfüllen. Dies wird von vielen Anbietern durch standardisierte Integrationsprozesse und den simplen Einkauf von Rechenleistung ermöglicht. Somit lassen sich durch Vorlagen und Schnittstellen auch Anwendungen zeitnah in Test- und Produktionsumgebungen implementieren, deren Abläufe teilweise durch Vorlagen und Tools unterstützt werden. Wegen investiver Budgetbegrenzungen liegen hier laufende Betriebskosten zugrunde, bei denen häufig mehr Spielraum besteht. Durch häufig standardisierte Integrationsprozesse der Anbieter können hierbei nochmals Kosten bei der Integration vermieden werden.[35] [36]

Höchste Skalierbarkeit und maximale Flexibilität der Ressourcen

Die erforderliche Flexibilität für die bedarfs- und zeitgenaue Bereitstellung von Rechenressourcen wird durch eine Cloud-basierte Infrastruktur erreicht. Viele Workloads sind dynamisch und benötigen bei maximaler Auslastung gegenüber der gemittelten Rechenleistung mehr Kapazität. Nicht genutzte Rechenleistung wird dagegen vorgehalten und bleibt teilweise ungenutzt. Bei diversen Anbietern wird jedoch nur die Leistung abgerechnet, die tatsächlich auch in Anspruch genommen wurde.[37]

Konsistenz- und Qualitätsverbesserung

Während der Entwicklungs- und Implementierungsphase besteht die komfortable Möglichkeit, die Anwendungen in Verbindung mit der Rechenleistung optimal abzustimmen. „IT-Mitarbeiter können Anwendungen in einer umfassend skalierten Umgebung testen und dadurch sowohl Leistung als auch Arbeitslast präzise bestimmen.“[38] Durch den festgelegten Prozess (der Nutzung von definierten Cloud-Services) lassen sich Standardisierungen im gesamten Unternehmen leichter durchsetzen und vereinheitlichen. Dies trägt beispielsweise zur Konzernsicherheit bei, da sich standardisierte Anwendungen und Zugänge besser kontrollieren lassen.

Reduzierung des Wartungsaufwands und technologischer Fortschritt

Gerade im IT-Umfeld bedeutet Stillstand gleichzeitig auch Rückschritt. Mit dem technologischen Fortschritt zu gehen, ist daher zwingend notwendig, um einen direkten, positiven Einfluss auf das Geschäftsergebnis zu haben.

„Sind Ihre einzigen Konkurrenten beispielsweise Unternehmen, deren IT-Wartungskosten sich zwischen 80 und 90 Prozent bewegen, kann auch eine nur geringfügige Änderung dieses Verhältnisses Ihnen schon einen erheblichen Wettbewerbsvorteil verschaffen.“[39]

[...]


[1] Vgl. BITKOM (2012)b

[2] Vgl. National Institute of Standards and Technology (2009)

[3] Vgl. Vossen, G./Haselmann, T./Hoeren, T. (2012), S.13-15

[4] Vgl. Hansen, R./Neumann, G. (2009), S.553

[5] Vgl. Vossen, G./Haselmann, T./Hoeren, T. (2012), S.19

[6] Vgl. Gartner (2009)

[7] Vgl. Vossen, G./Haselmann, T./Hoeren, T. (2012), S.17

[8] Vgl. Thorns, F. (2008), S.21

[9] Vgl. Vossen, G./Haselmann, T./Hoeren, T. (2012), S.18

[10] Vgl. Vossen, G./Haselmann, T./Hoeren, T. (2012), S.22-25

[11] Vgl. National Institute of Standards and Technology (2012)

[12] Vgl. Vossen, G./Haselmann, T./Hoeren, T. (2012), S.27-28

[13] Ebd., S.28

[14] Vgl. Metzger, C./Reitz, T./Villar, J (2011), S.21-22

[15] Vgl. Salesforce.com Germany GmbH (2012)

[16] Vgl. Metzger, C./Reitz, T./Villar, J (2011), S.21

[17] Vgl. Vossen, G./Haselmann, T./Hoeren, T. (2012), S.29

[18] Vgl. ebd.

[19] Vgl. National Institute of Standards and Technology (2012)

[20] Vgl. Metzger, C./Reitz, T./Villar, J (2011), S.19

[21] Vgl. Vossen, G./Haselmann, T./Hoeren, T. (2012), S.31

[22] Vgl. Vossen, G./Haselmann, T./Hoeren, T. (2012), S.31

[23] Vgl. BITKOM (2012)a

[24] Vgl. BITKOM (2012)a

[25] Vgl. BITKOM (2012)b

[26] Chip Xonio Online GmbH (2013)

[27] Bercovici, V. (2010)

[28] SNIA ™ Cloud Storage Initiative (2010)

[29] Wilkens, A. (2009)

[30] Vgl. National Security Telecommunications Advisory Commitee (2012)

[31] Vgl. Alert Logic (2012)

[32] Vgl. ebd.

[33] Steiner, F. (2013)

[34] Vgl. Steiner, F. (2013)

[35] Vgl. Hewlett-Packard (2012)a

[36] Vgl. Stadtmueller, L. (2012), S.5

[37] Vgl. ebd.

[38] Ebd.

[39] Hewlett-Packard (2012)b

Autor

Teilen

Zurück

Titel: Eignung von Cloud-Lösungen als Unternehmensressource unter Berücksichtigung von Datenschutz und Compliance