Analyse von Anforderungen der Unternehmen zur Auswahl eines Cloud Computing Providers

Abstract

Cloud Computing zählt aktuell zu den wichtigsten Trends der Informationstechnik (IT) und war das Leitmotiv der CeBIT 2011. Die Bedeutung von Cloud Computing für den Unternehmensbereich nimmt kontinuierlich zu, vor allem weil es Potentiale wie Kostenreduzierung, erhöhte Flexibilität sowie verbesserte Qualität der IT-Ressourcen bietet. Cloud Computing ist damit auch für kleine und mittlere Unternehmen, ohne eigene IT-Abteilung, ein vielversprechendes Konzept. Demgegenüber stehen jedoch zahlreiche Bedenken der Unternehmen, zu denen vor allem Sicherheitsrisiken und Angst vor Kontrollverlust gehören. Diese könnten allerdings durch geeignete Maßnahmen seitens des Anbieters eliminiert beziehungsweise reduziert werden. Die genannten Bedenken, der noch sehr neue und undurchsichtige Markt, sowie die relativ wenigen Referenzkunden hemmen das Vertrauen der Unternehmen in die Cloud Computing Provider. Dieses Vertrauen und damit auch die Nutzung von Cloud Services könnten jedoch erhöht werden, wenn die Anbieter die von den Unternehmen geforderten Maßnahmen nachweislich erfüllen.

Im Rahmen dieser Arbeit wurden daher durch Analyse von wissenschaftlicher und praxisorientierter Literatur die Anforderungen der Unternehmen zur Auswahl eines Cloud Computing Providers analysiert und anschließend durch Experteninterviews ergänzt. Darauf aufbauend wurde ein Anforderungsmodell entwickelt und mittels einer Onlineumfrage validiert. Das Modell enthält 50 konkrete Anforderungen an einen Cloud Computing Provider, die in die Kategorien Informationssicherheit, Technologie, Recht, Kosten und Transparenz des Anbieters aufgeteilt sind. Es dient als Orientierung für Unternehmen, die den Einsatz von Cloud Services planen und Angebote von verschiedenen Anbietern bewerten wollen. Zusätzlich hat es eine Relevanz für die Cloud Computing Anbieter, da diese auf Basis des Anforderungsmodells ihre Services zielgerichtet weiter entwickeln können.

Abstract I

Analyse  von Anforderungen der Unternehmen zur Auswahl eines Cloud Computing Providers  

Inhaltsverzeichnis

Abstract   I

Inhaltsverzeichnis   II

Abbildungsverzeichnis   V

Abk  ürzungsverzeichnis  VI

1  Einleitung  1

2  Cloud Computing Grundlagen  4

2.1  Basistechnologien und -konzepte  4

2.1.1  Virtualisierung  4

2.1.2  Service-orientierte Architekturen und Web Services  5

2.1.3  Grid Computing  6

2.1.4  Utility Computing  6

2.1.5  Application Service Providing  7

2.2  Charakteristika und Definition von Cloud Computing  7

2.2.1  Charakteristika  7

2.2.2  Definition  9

2.3  Service-Kategorien  10

2.3.1  Infrastructure as a Service  11

2.3.2  Platform as a Service  12

2.3.3  Software as a Service  12

2.4  Organisationsformen  14

2.4.1  Public Cloud  14

2.4.2  Private Cloud  15

2.4.3  Hybrid Cloud  15

2.4.4  Community Cloud  16

2.5  Potentiale von Cloud Computing  17

2.5.1  Kosteneinsparungen  17

2.5.2  Flexibilität  18

2.5.3  Höhere Qualität der IT-Ressourcen  19

2.6  Risiken von Cloud Computing  20

2.6.1  Abhängigkeit vom Anbieter  21

2.6.2  Kontrollverlust  21

Inhaltsverzeichnis   II

Analyse  von Anforderungen der Unternehmen zur Auswahl eines Cloud Computing Providers  

2.6.3  Unzureichende Sicherheit  22

2.6.4  Verstoß gegen rechtliche Anforderungen  22

2.6.5  Mangelnde Verfügbarkeit und Performance  26

3  Analyse von Anforderungen zur Auswahl eines Cloud Computing  

Providers   27

3.1  Methode  27

3.1.1  Ermittlung der Anforderungen durch eine Literaturanalyse  29

3.1.2  Vervollständigung der Anforderungen durch Experteninterviews  30

3.1.3  Entwicklung des Anforderungsmodells  32

3.1.4  Validierung des Anforderungsmodells durch Onlineumfrage  32

3.2  Anforderungen aus der Literaturanalyse  33

3.2.1  Rechenzentrumssicherheit  33

3.2.2  Netzwerksicherheit  34

3.2.3  Serversicherheit  34

3.2.4  Anwendungs- und Plattformsicherheit  35

3.2.5  Sicherheitsmanagement  35

3.2.6  Zugriffsschutz  36

3.2.7  Verschlüsselung  37

3.2.8  Isolierung der Kundendaten  38

3.2.9  Datenentsorgung  38

3.2.10  Vertrauenswürdiges Personal  39

3.2.11  Integrität  39

3.2.12  Verfügbarkeit  40

3.2.13  Zuverlässigkeit  41

3.2.14  Fehlertoleranz  41

3.2.15  Datensicherung und Wiederherstellung  41

3.2.16  Unsichtbare Wartung  42

3.2.17  Monitoring und Security Incident Management  42

3.2.18  Notfallmanagement  43

3.2.19  Funktionalität  44

3.2.20  Performance  44

3.2.21  Skalierbarkeit  44

3.2.22  Individualisierung  45

3.2.23  Benutzerfreundlichkeit  45

Inhaltsverzeichnis   III

Analyse  von Anforderungen der Unternehmen zur Auswahl eines Cloud Computing Providers  

3.2.24  Datenmigration  45

3.2.25  Support  46

3.2.26  Portabilität  46

3.2.27  Interoperabilität  46

3.2.28  Service Level Agreement  47

3.2.29  Einhaltung des Bundesdatenschutzgesetzes  48

3.2.30  Verarbeitung von Daten innerhalb der EU/sicheren Drittländern  48

3.2.31  Akzeptierung von EU Standardverträgen/ Safe Harbor Principles  48

3.2.32  Angabe des aktuellen physikalischen Speicherorts  49

3.2.33  Informierung des Kunden über geltende Rechtsvorschriften  49

3.2.34  Monitoring des Speicherorts durch den Kunden  49

3.2.35  Compliance  50

3.2.36  Flexible Preisoptionen  50

3.2.37  Servicekatalog  50

3.2.38  Aufschlüsselung der Kosten  51

3.2.39  Kostenvorteil  51

3.2.40  Zertifizierung  51

3.2.41  Audit  52

3.2.42  Rechts- und Besitzverhältnisse  53

3.2.43  Finanzielle Stabilität  53

3.2.44  Reputation des Anbieters  53

3.2.45  Referenzkunden  54

3.2.46  Offenlegung von Subunternehmern  54

3.3  Anforderungen aus den Experteninterviews  54

3.3.1  Offline Verfügbarkeit der Daten  55

3.3.2  Modularität  55

3.3.3  Demoversion des Service  55

3.3.4  Strukturierte interne Organisation  55

3.4  Anforderungsmodell  55

3.5  Validierung des Anforderungsmodells  58

4  Zusammenfassung  66

Literaturverzeichnis   VI

Anhang   XVII

Inhaltsverzeichnis   IV

Analyse  von Anforderungen der Unternehmen zur Auswahl eines Cloud Computing Providers  

Abbildungsverzeichnis   

Abbildung  1: Schichtenmodell der Service-Kategorien  

Abbildung  2: Service-Kategorien  

Abbildung  3: Cloud Organisationsformen  

Abbildung  4: Zusammensetzung der Experten  

Abbildung  5: Anforderungsmodell  

Abbildung  6: Einstellung der Unternehmen zu Cloud Computing  

Abbildung  7: Einsatz von Cloud Computing im Unternehmen  

Abbildung  8: Zufriedenheit mit Cloud Computing  

Abbildung  9: Art der eingesetzten Cloud Services  

Abbildung  10: Einsatzwahrscheinlichkeit von Cloud Computing  

Abbildung  11: Wichtigkeit der Anforderungen für die Unternehmen  

Abbildung  12: Ranking der Anforderungskategorien  

Abbildungsverzeichnis   

Analyse von Anforderungen der Unternehmen zur Auswahl eines Cloud Computing Providers

Abkürzungsverzeichnis

AO Abgabenordnung ASP Application Service Providing BDSG Bundesdatenschutzgesetz BITKOM Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e.V BSI Bundesamt für Sicherheit in der Informationstechnik CaaS Communication as a Service DaaS Data as a Service ENISA European Network and Information Security Agency EstG Einkommensteuergesetz EU Europäische Union EWR Europäischer Wirtschaftsraum FAQ Frequently Asked Questions GDPdU Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen GLB Gramm-Leach-Bliley Act GoBS Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme HaaS Hardware as a Service HGB Handelsgesetzbuch HIPAA Health Insurance Portability and Accountability Act HTTP Hypertext Transfer Protocol IaaS Infrastructure as a Service IDC International Data Corporation ISO International Organization for Standardization IT Informationstechnik ITIL Information Technology Infrastructure Library KMU Kleine und mittlere Unternehmen KWG Kreditwesengesetz NIST National Institute of Standards and Technology PaaS Platform as a Service PwC PricewaterhouseCoopers

Abkürzungsverzeichnis VI

Analyse von Anforderungen der Unternehmen zur Auswahl eines Cloud Computing Providers

SaaS Software as a Service SIEM Security Incident und Event Monitoring SLA Service Level Agreement SOA Service-orientierte Architektur SOAP Simple Object Access Protocol SOX Sarbanes-Oxley-Act SSL Secure Sockets Layer StGB Strafgesetzbuch TMG Telemediengesetz UDDI Universal Description, Discovery and Integration USA United States of America VPN Virtual Private Network W3C World Wide Web Consortium WSDL Web Services Description Language XML Extensible Markup Language ZAG Zahlungsdiensteaufsichtsgesetz

Abkürzungsverzeichnis VII

Analyse von Anforderungen der Unternehmen zur Auswahl eines Cloud Computing Providers

1 Einleitung

„Cloud Computing“ wurde laut Clarke (2010a, S. 569) und Fowler (2009) erstmalig von Eric Schmidt, zu diesem Zeitpunkt CEO von Google, auf einer Konferenz 2006 erwähnt. Breiteres öffentliches Interesse erlangte der Begriff 2007, als IBM und Google ihre Zusammenarbeit an einem Cloud Computing Forschungsprojekt bekannt gaben (Gong et al., 2010 , S. 1; Jena, 2010, S. 14; Lohr, 2007). Bereits zwei Jahre später wird Cloud Computing vom Marktforschungs- und Beratungsunternehmen Gartner zum „latest super-hyped concept in IT“ (Fenn et al., 2009, S. 2) ernannt. Die Ergebnisse einer Studie der International Data Corporation (IDC) aus dem gleichen Jahr widersprechen dieser Aussage jedoch. Gemäß der Umfrage unter 805 deutschen Unternehmen mit mehr als 100 Mitarbeitern hatten sich im Jahr 2009 75 % der befragten Unternehmen noch nicht einmal mit dem Thema Cloud Computing befasst (Horton, 2009).

Im Gegensatz dazu ist das Bewusstsein für Cloud Computing in den letzten beiden Jahren stark gestiegen (Thorenz, 2011, S. 5), nicht zuletzt durch die diesjährige CeBIT mit ihrem Leitmotiv „Work and Life with the Cloud". Die Analysten der IT-Beratung Experton Group sehen die Kommunikationsaktivitäten auf der CeBIT als eindeutiges Zeichen dafür, dass die Relevanz von Cloud Computing für den Unternehmensbereich steigt (Velten & Janata, 2011, S. 8). Außerdem sehen die fünf wichtigsten IT-Marktforschungsunternehmen (darunter Forrester, Gartner und IDC) Cloud Computing als einen der IT-Mega-Trends im Jahr 2011 (Freimark, 2011).

Trotz des gestiegenen Bekanntheitsgrades ist der Einsatz von Cloud Computing in Unternehmen bisher relativ gering. Aktuelle Studien von Experton Group und PricewaterhouseCoopers (PwC) zeigen auf, dass bisher nur 12 % bis 13 % der Unternehmen Cloud Services nutzen (Thorenz, 2011, S. 5; Vehlow & Golkowsky, 2011, S. 16). Besonders für kleinere Unternehmen könnten durch Cloud Computing erhebliche Potentiale im Bereich Kosten und Technologie realisiert werden (Holtkamp, 2010, S. 15ff), jedoch sind die Risiken, denen Unternehmen beim Einsatz von Cloud Computing begegnen, vielfältig und das Vertrauen zu den Anbietern noch gering (BSI, 2011, S. 7). Diese Tatsache lässt sich dadurch erklären, dass es sich um einen relativ neuen und „nebulösen“ Markt handelt. Bisher gibt es nur wenige

Einleitung 1

Analyse von Anforderungen der Unternehmen zur Auswahl eines Cloud Computing Providers

Referenzkunden und die Unklarheiten bei Cloud Computing beginnen bereits bei der Suche nach einer einheitlichen Definition (Marwan, 2010). Die genannten Aspekte erschweren es den Unternehmen, die konkreten Anforderungen zu identifizieren, die sie bei der Auswahl eines geeigneten Cloud Services zu beachten haben.

Im Gegensatz zum Kauf traditioneller IT-Ressourcen (zum Beispiel Softwarelizenzen) sind bei der Auswahl eines geeigneten Cloud Services neben funktionellen Kriterien Aspekte wie Vertrauen zum Provider, Leistungsfähigkeit des Anbieters und Zuverlässigkeit der Leistungserbringung von besonderer Bedeutung (Häussler, 2009). Bisher ist in der wissenschaftlichen Literatur kein Modell zu finden, das Unternehmen bei der Identifizierung der konkreten Auswahlkriterien unterstützt. Der Fokus liegt eher auf technischen Aspekten des Cloud Computings (Youseff et al., 2008; Vaquero et al., 2009). Beiträge, die nicht ausschließlich technikorientiert sind, zum Beispiel von Armbrust et al. (2010) oder Chow et al. (2009), erwähnen meist nur die Risiken beim Einsatz von Cloud Computing. Die konkreten Anforderungen, die ein Anbieter zu erfüllen hat, um diese Risiken zu minimieren beziehungsweise zu eliminieren, werden jedoch nicht genannt. Die Unternehmen erhalten bisher nur von

öffentlichen Institutionen, wie dem Bundesamt für Sicherheit in der Informationstechnik (BSI) oder der European Network and Information Security Agency (ENISA), konkrete Hinweise bezüglich der Kriterien, die sie bei der Auswahl eines Cloud Computing Providers zu beachten haben. Aus den Veröffentlichungen ist jedoch nicht ersichtlich, dass die Anforderungen durch wissenschaftliche Methoden identifiziert und validiert wurden.

Im Rahmen dieser Arbeit soll analysiert werden, welche konkreten Anforderungen ein idealer Cloud Computing Anbieter beziehungsweise Service aus Sicht der Unternehmen erfüllen sollte. Durch die Verbindung von wissenschaftlichen und praxisorientierten Quellen soll ein Modell erstellt werden, das potenzielle Nutzer von Cloud Services als Grundlage für die Evaluierung von Cloud Computing Providern verwenden können. Für die Anbieter ist das Modell ebenfalls von Nutzen, wenn sie die Marktbedürfnisse analysieren und ihr Angebot zielgerichtet weiterentwickeln wollen.

Einleitung 2

Analyse von Anforderungen der Unternehmen zur Auswahl eines Cloud Computing Providers

Im ersten Teil der Arbeit werden die Grundlagen des Cloud Computings erläutert. Zu Beginn erfolgt die Beschreibung der Basistechnologien und -konzepte, um zu verdeutlichen, dass Unternehmen nicht mit einer völlig neuen Technologie konfrontiert werden. Es handelt sich vielmehr um eine Kombination von bereits bekannten Technologien und Konzepten, die in einem neuen Geschäftsmodell zusammengeführt werden. Im Anschluss werden die charakteristischen Merkmale von Cloud Computing und die für diese Arbeit relevante Definition bestimmt, um ein einheitliches Verständnis für den Verlauf der Arbeit sicherzustellen. Nach der Abgrenzung der verschiedenen Service-Kategorien und Organisationsformen von Cloud Computing werden die Potentiale und Risiken, die Wissenschaftler und Unternehmen bei der Nutzung von Cloud Computing sehen, dargelegt.

Im Hauptteil wird analysiert, welche konkreten Anforderungen für die Unternehmen wichtig sind, wenn sie einen Cloud Computing Provider auswählen. Nach der detaillierten Beschreibung der wissenschaftlichen Vorgehensweise werden die einzelnen Anforderungen, die mittels Literaturanalyse und Experteninterviews identifiziert wurden, erläutert. Im Anschluss wird das darauf basierende Anforderungsmodell vorgestellt. Bevor im letzten Kapitel die Zusammenfassung der Ergebnisse erfolgt, werden die komprimierten Resultate der Onlineumfrage, die zur Validierung des Anforderungsmodells durchgeführt wurde, präsentiert.

Die vorliegende Arbeit fokussiert sich auf Unternehmen in Deutschland, da im Rahmen der Analyse der Anforderungen rechtliche Aspekte betrachtet werden, die aus Sicht der deutschen Rechtsprechung erläutert werden.

Einleitung 3

Analyse von Anforderungen der Unternehmen zur Auswahl eines Cloud Computing Providers

2 Cloud Computing Grundlagen

Im Folgenden Kapitel werden die für diese Arbeit wichtigen Begriffe definiert und die technischen sowie organisatorischen Grundlagen des Cloud Computings erläutert. Zuletzt werden Potentiale und Risiken dargestellt, die sich aus einem Einsatz von Cloud Computing im Unternehmen ergeben. In der Praxis ist die Verwendung der englischen Begriffe für die Cloud Service-Kategorien und Organisationsformen gebräuchlich, weshalb auf eine Übersetzung ins Deutsche verzichtet wird.

2.1 Basistechnologien und -konzepte

Cloud Computing ist keine neue Technologie sondern baut auf existierenden Technologien und Konzepten auf. Die Virtualisierung von Ressourcen und die Nutzung von serviceorientierten Architekturen sind die technischen Grundlagen dafür, dass Cloud Computing möglich ist. Als Vorgänger für das Geschäftsmodell von Cloud Computing werden in der Literatur Grid Computing, Utility Computing sowie Application Service Providing (ASP) genannt (Foster et al., 2008, S. 1; Leavitt, 2009, S. 16; Repschläger et al., 2010, S. 6; Weber, 2009, S. 69f.). Die erwähnten Basistechnologien und -konzepte werden im Anschluss näher beschrieben.

2.1.1 Virtualisierung

Durch Virtualisierung bleiben die physikalischen Eigenschaften des Systems vor dem Nutzer verborgen, das heißt ihm wird nur ein abstraktes System präsentiert. Die darunterliegende Hardware und die Funktionalitäten der unteren Systemschichten sind für den Benutzer unsichtbar, da das logische System von der physischen Implementierung abstrahiert wird (Vouk, 2008, S. 33). Dadurch wird die Portabilität von Funktionalitäten der oberen Systemschichten sowie die gemeinsame Nutzung und Zusammenführung von physikalischen Ressourcen ermöglicht. Ein Anbieter kann mit Hilfe von Virtualisierung Services für verschiedene Kunden auf einer physikalischen Maschine laufen lassen, wobei für den Kunden der Eindruck entsteht, dass er das System alleine nutzt. Durch Virtualisierung können Ressourcen wesentlich besser ausgelastet und flexibler bereitgestellt werden (Leavitt, 2009, S. 16; Skurk, 2009, S. 4).

Cloud Computing Grundlagen 4

Analyse von Anforderungen der Unternehmen zur Auswahl eines Cloud Computing Providers

2.1.2 Service-orientierte Architekturen und Web Services

Weitere grundsätzliche Voraussetzungen für Cloud Computing sind Service-orientierte Architekturen (SOA) und Webservices. SOA ist ein Architekturmuster, bei dem sich einzelne, unabhängige Anwendungsbausteine gegenseitig ihre Funktionalitäten in Form von Services anbieten (Baun et al., 2010, S. 16). Die Services haben jeweils eine definierte fachliche Aufgabe, können flexibel gebunden und orchestriert werden sowie über Nachrichten kommunizieren. Technische Details werden bei SOA in den einzelnen Services gekapselt und die Zuständigkeiten nach fachlichen Gesichtspunkten getrennt. Es werden standardisierte und offene Schnittstellen verwendet, sodass die Services unabhängig von der Plattform oder der Programmiersprache genutzt werden können. Beim Cloud Computing werden Infrastrukturen, Plattformen, und Anwendungen als Dienste realisiert und stehen zur Nutzung in Service-orientierten Architekturen zur Verfügung (Haller et al., 2005, S. 413).

Die Ausführung von Cloud Services erfolgt normalerweise in Form von Web Services, die Standards nutzen, wie die Schnittstellenbeschreibungssprache WSDL (Web Services Description Language), das Nachrichten-Protokoll SOAP (Simple Object Access Protocol) oder den Standard für Dienstverzeichnisse UDDI (Universal Description, Discovery and Integration) (Wang et al., 2008, S. 828). Das World Wide Web Consortium (W3C) definiert Web Services als eine Software-Anwendung die auf Basis von Webprotokollen Maschine-zu-Maschine Kommunikation über Netzwerke ermöglicht. Die Schnittstellen der Web Services haben dabei ein maschinenlesbares Format (WSDL). Der Zugriff von anderen Anwendungen auf den Web Service wird durch SOAP, welches typischerweise auf dem Hypertext Transfer Protocol (HTTP), der Extensible Markup Language (XML) und weiteren Web Standards basiert, gesteuert. Die Services interagieren so, wie es in der Servicebeschreibung definiert wurde (Booth et al., 2004, S. 7). Das Besondere an Web Services ist nicht die genutzte Technologie, sondern vielmehr die Möglichkeit Anwendungen mit einem kompositionellen Ansatz zu entwickeln. Dies ermöglicht zum Beispiel Funktionen, die für eine Anwendung benötigt werden, über externe Services zu beziehen oder Legacy Systeme einbinden zu können (Baun et al., 2010, S. 21).

Cloud Computing Grundlagen 5

Analyse von Anforderungen der Unternehmen zur Auswahl eines Cloud Computing Providers

2.1.3 Grid Computing

Beim Grid Computing, das seinen Ursprung in der Forschung hat, werden verteilte Ressourcen zu einem virtuellen Hochleistungscomputer verbunden, um rechenintensive Prozesse effektiv und schnell bearbeiten zu können. Rechenkapazitäten und Informationen können dadurch von verschiedenen Organisationseinheiten standortunabhängig gemeinsam genutzt werden (Foster et al., 2001, S. 200). Im Gegensatz zum Cloud Computing gehören die Ressourcen verschieden Institutionen. Die Verwaltung sowie die Ressourcen-Provisionierung laufen dezentralisiert ab. Beim Grid Computing werden offene, standardisierte Protokolle und Schnittstellen verwendet (Buyya et al., 2009, S. 604; Foster I. , 2002). Der wirtschaftliche Aspekt steht beim Grid Computing nicht im Vordergrund, es geht vielmehr um die Bereitstellung von Infrastruktur in Form von Speicher und Rechenressourcen. Daher kann Grid Computing laut Weber (2009, S. 70) als „Platform as a Service“ (PaaS) und in Teilbereichen als „Infrastructure as a Service“ (IaaS) verstanden werden. Die Entwicklung von Grid Computing zu Cloud Computing führen Foster et al. darauf zurück, dass sich der Fokus von der reinen Bereitstellung von Infrastruktur hin zur Bereitstellung von komplexeren Diensten und Anwendungen verschoben hat, die mit Hilfe von Cloud Computing realisierbar sind (Foster et al., 2008, S. 2).

2.1.4 Utility Computing

Utility Computing ist gemäß Vouk (2008, S. 31) ein weiteres wichtiges Konzept, auf dem Cloud Computing aufbaut. Es handelt sich dabei nicht um eine neue Technologie, sondern vielmehr um ein Geschäftsmodell, bei dem

Computerressourcen, wie Rechenleistung oder Speicherplatz, als Servicepaket angeboten und gemäß dem Verbrauch verrechnet werden. Vergleichbar ist dieses Modell mit dem Bezug von öffentlichen Gütern, wie Strom oder Wasser. Utility Computing basiert typischerweise auf der Nutzung von externer IT-Infrastruktur und stellt Abrechnungs- und Überwachungsservices bereit. Cloud Services werden Kunden in Form von Utility Computing angeboten (Foster et al., 2008, S. 2; Leavitt, 2009, S. 16).

Cloud Computing Grundlagen 6

Analyse von Anforderungen der Unternehmen zur Auswahl eines Cloud Computing Providers

2.1.5 Application Service Providing

Das Application Service Providing stellt eine besondere Form des IT-Outsourcings dar, bei der ein Anbieter dem Kunden Leistungen, wie Hosting, Administration oder Support über das Internet zur Verfügung stellt, wobei die Leistungserbringung über Service Level Agreements definiert ist (Buxmann & Hess, 2008, S. 500). Beim ASP handelt es sich hauptsächlich um Standardlösungen mit geringem Individualisierungsgrad, wohingegen beim Cloud Computing höhere

Individualisierungsmöglichkeiten bestehen, die es für die IT-gestützte Abwicklung komplexer Geschäftsprozesse qualifizieren (Repschläger et al., 2010, S. 7).

2.2 Charakteristika und Definition von Cloud Computing

Marc Benioff, CEO von Salesforce.com, einem Anbieter von Online-Unternehmenssoftware, bezeichnet Cloud Computing als „most powerful term in the industry" (Fowler & Worthen, 2009). Trotz der wirtschaftlichen Bedeutung von Cloud Computing gibt es weder unter den Anbietern noch in der wissenschaftlichen Literatur eine einheitliche Definition dafür (Deussen et al., 2010, S. 14; Weinhardt et al., 2009, S. 454). Wang et al. (2008, S. 858) erklären das Fehlen einer einheitlichen Definition damit, dass sich Wissenschaftler und Techniker aus verschiedenen Disziplinen mit der Thematik beschäftigen und daher sehr unterschiedliche Sichtweisen haben. Vaquero et al. (2009, S. 50), Youssef et al. (2008, S. 1) und Weiss (2007, S. 25) kritisieren, dass die Akzeptanz von Cloud Computing durch das Fehlen einer einheitlichen Definition gefährdet sein könnte. Gong et al. (2010 , S. 275) hingegen sind der Meinung, dass eine Definition von Cloud Computing in gewissem Maße vernachlässigbar ist, sofern die Charakteristika eindeutig definiert sind. Daher werden zunächst die charakteristischen Merkmale von Cloud Computing bestimmt und anschließend verschiedene Definitions-Ansätze aus der Literatur diskutiert. Zuletzt wird die für diese Arbeit relevante Definition abgegrenzt.

2.2.1 Charakteristika

Bei der Bestimmung der für Cloud Computing charakteristischen Eigenschaften, wird in der Literatur häufig auf die Ausführung des National Institute of Standards and Technology (NIST) verwiesen (Mell & Grance, 2009). Daher wurde diese als Basis

Cloud Computing Grundlagen 7

Analyse von Anforderungen der Unternehmen zur Auswahl eines Cloud Computing Providers

für die Definition der Charakteristika verwendet und um eine weitere, mehrfach in der Literatur genannte Eigenschaft, ergänzt. Charakteristika von Cloud Computing sind:

Automatische Service-Erbringung bei Bedarf: Der Nutzer kann bei Bedarf selbstständig Computerressourcen/ -dienste anfordern, ohne persönlichen Kontakt zu den jeweiligen Service-Anbietern haben zu müssen (Mell & Grance, 2009; Vogels, 2008; Wang et al., 2008, S. 828).

Netzwerkbasierter Zugriff: Auf die Ressourcen/Dienste wird über ein Netzwerk mittels standardisierter Technologien zugegriffen, wobei dem Nutzer frei steht, ob er dies mittels PC, Laptop, Mobiltelefon oder PDA macht (Mell & Grance, 2009).

Ressourcen-Pooling und Virtualisierung: Die Ressourcen des Anbieters sind in Pools konsolidiert, um eine parallele Diensterbringung für mehrere Nutzer zu ermöglichen. Die Ressourcen werden den Kunden entsprechend dem aktuellen Bedarf dynamisch zugeordnet. Der Speicherort der Daten ist flexibel und dem Kunden unbekannt, falls dies nicht explizit anders vereinbart wird (Gong et al., 2010 , S. 278; Mell & Grance, 2009).

Schnelle Elastizität: Ressourcen/Dienste werden dem Nutzer entsprechend seines aktuellen Bedarfs (automatisch) zur Verfügung gestellt und können innerhalb kurzer Zeit nach oben oder unten skaliert werden. Der Nutzer hat den Eindruck, dass Ressourcen unbeschränkt zur Verfügung stehen (Mell & Grance, 2009; Vogels, 2008).

Messbarer Service: Cloud Services kontrollieren und optimieren die Nutzung der Ressourcen automatisch mittels integrierter Messfunktionen. Um Transparenz für den Anbieter und den Nutzer zu schaffen, kann die Ressourcennutzung überwacht, kontrolliert und aufgezeichnet werden (Mell & Grance, 2009).

Nutzungsabhängige Abrechnung: Der Nutzer bezahlt in Abhängigkeit von seinem Verbrauch (Pay-per-use Modell) und ist nicht langfristig an eine bestimmte Anzahl von Ressourcen gebunden (Vogels, 2008; Weber, 2009, S. 24).

Mandantenfähigkeit: Der Cloud Service stellt sicher, dass die Daten und Anwendungen der verschiedenen Nutzer, die sich physikalische Ressourcen (Hardware und Software) in einer gemeinsamen Umgebung teilen, völlig isoliert voneinander sind (Brunette & Mogull, 2009, S. 17; Weber, 2009, S. 24).

Cloud Computing Grundlagen 8

Analyse von Anforderungen der Unternehmen zur Auswahl eines Cloud Computing Providers

2.2.2 Definition

Vaquero et al. (2009) analysieren die in der Literatur vorkommenden Definitionen für Cloud Computing, wobei der Fokus dabei auf den 21 Experten-Definitionen von Geelan (2009) liegt, und leiteten daraus eine ausführliche sowie minimale Definition ab. Die „Cloud“ wird von ihnen als ein Pool von virtualisierten Ressourcen, die leicht zugänglich und einfach nutzbar sind, definiert. Die Ressourcen können dynamisch konfiguriert werden und damit elastisch an aktuelle Anforderungen angepasst werden (skalieren). Dadurch wird eine optimale Ressourcenauslastung ermöglicht. Typischerweise basieren die Angebote auf einem verbrauchsabhängigen Abrechnungsmodell, dem sogenannten Pay-per-use Modell, bei dem den Kunden vom Infrastruktur Anbieter mittels kundenspezifischer Service Level Agreements (SLA) bestimmte Garantien gewährt werden. Als minimale Definition für Cloud Computing werden Skalierbarkeit, Pay-per-use Modell sowie Virtualisierung aufgeführt (Vaquero et al., 2009). Armbrust et al. (2009) ordnen dem Begriff Cloud Computing sowohl die Anwendungen, die als Service über das Internet angeboten werden, als auch die darunter liegende Hardware und Systemsoftware in den Rechenzentren zu. Die Anwendungen bezeichnen die Autoren als Software as a Service und nur die Hardware und Systemsoftware der Rechenzentren wird als Cloud verstanden. Wird diese Cloud der Öffentlichkeit mit einem verbrauchsabhängigen Abrechnungsmodell angeboten, so definieren Armbrust et al. dies als Public Cloud, wobei der bereitgestellte Service als Utility Computing bezeichnet wird. Cloud Computing wird von ihnen als Summe von Software as a Service und Utility Computing gesehen und beinhaltet Private Clouds (unternehmensinterne Clouds) normalerweise nicht. Auch Böhm et al. (2009) stellen die Ansichten verschiedener Autoren bezüglich der charakteristisch aufgefassten Merkmale des Cloud Computings gegenüber und erarbeiten darauf basierend ihre eigene Definition. Für sie ist CIoud Computing

„...ein auf Virtualisierung basierendes IT-Bereitstellungsmodell, bei dem Ressourcen sowohl in Form von Infrastruktur als auch Anwendungen und Daten als verteilter Dienst über das Internet durch einen oder mehrere Leistungserbringer bereitgestellt wird. Diese Dienste sind nach Bedarf flexibel skalierbar und können verbrauchsabhängig abgerechnet werden.“

Cloud Computing Grundlagen 9

Analyse von Anforderungen der Unternehmen zur Auswahl eines Cloud Computing Providers

Um sowohl die wissenschaftliche als auch die praxisorientierte Sichtweise zu erfassen, soll auch die Definition des Bundesverbands Informationswirtschaft, Telekommunikation und neue Medien e.V (BITKOM) genauer betrachtet werden. Dieser definiert Cloud Computing als „eine Form der Bereitstellung von gemeinsam nutzbaren und flexibel skalierbaren IT-Leistungen durch nicht fest zugeordnete IT-Ressourcen über Netze. Idealtypische Merkmale sind die Bereitstellung in Echtzeit als Self Service auf Basis von Internet-Technologien und die Abrechnung nach Nutzung“ (Weber, 2010).

Die Cloud Definition von Vaquero et al. ist sehr ausführlich, allerdings beinhaltet sie das Kriterium des kundenspezifischen SLAs, das in der Praxis nicht immer umsetzbar ist. Armbrust et al. schränken den Cloud Begriff mit der Fokussierung auf die Public Cloud zu sehr ein. Im Rahmen dieser Masterarbeit wird daher die Definition von Böhm et al. herangezogen, die sich Großteils mit der Definition von BITKOM deckt.

2.3 Service-Kategorien

Nicht nur bei der Definition von Cloud Computing herrscht Uneinigkeit, sondern auch bei der Einteilung in Service-Kategorien. Wang et al. (Wang et al., 2008, S. 827) beschreiben die drei sich ergänzenden Kategorien Hardware as a Service (HaaS), Software as a Service (SaaS) und Data as a Service (DaaS). Die Kombination aus diesen drei definieren sie als Platform as a Service (PaaS), welches in Form von Cloud Computing angeboten wird. Youseff et al. (Youseff et al., 2008, S. 3) unternahmen einen der ersten Versuche, eine einheitliche Cloud Ontologie festzulegen. Im Zuge dessen wurde ein 5-Schicht-Modell für Cloud Computing entwickelt. Cloud Services werden demnach in die Kategorien Anwendung (zum Beispiel SaaS), Software Umgebung (zum Beispiel PaaS), Infrastruktur (zum Beispiel IaaS, DaaS, Communication as a Service (CaaS)), Software Kernel und Hardware eingeteilt. Jede Schicht bildet dabei ein Abstraktionslevel, welches die darunterliegenden Komponenten und Funktionalitäten vor dem Nutzer verbirgt.

In den neueren wissenschaftlichen Beiträgen und den praxisrelevanten Veröffentlichungen hat sich jedoch ein vereinfachtes Modell durchgesetzt, das Cloud

Cloud Computing Grundlagen 10

Analyse von Anforderungen der Unternehmen zur Auswahl eines Cloud Computing Providers

Services in die drei Schichten Infrastructure as a Service (IaaS), Platform as a Service (PaaS) und Software as a Service (SaaS) einteilt (Brunette & Mogull, 2009, S. 15; Louridas, 2010, S. 17; Mell & Grance, 2009; Velten & Janata, 2011, S. 22). Abbildung 1 zeigt das Schichtenmodell. Die einzelnen Service-Kategorien werden im Folgenden näher erläutert.

2.3.1 Infrastructure as a Service

Im Rahmen von Infrastructure as a Service werden dem Kunden grundlegende IT-Infrastruktur Komponenten angeboten. Kunden sind hierbei hauptsächlich Spezialisten für den IT-Betrieb sowie IT-Dienstleister, denen Rechen- und Speicherleistung auf virtualisierten Servern zur Verfügung gestellt werden (Louridas, 2010, S. 7). Diese können vom Nutzer entsprechend seiner Bedürfnisse konfiguriert und skaliert werden. IaaS bildet die Basis für PaaS und SaaS, da es ihnen die benötigte Infrastruktur zur Verfügung stellt (Leimeister et al., 2010, S. 5). Darüber hinaus bietet IaaS standardisierte Netzwerkinfrastruktur-Funktionalität und System-Management als Service an (Weber, 2009, S. 22f.). IaaS wird meist auf Basis von Pay-per-use Modellen oder Abonnements bezogen. Häufig erweitern IaaS Anbieter ihr Angebot durch zusätzliche Dienste für die Verwaltung der zugrunde liegenden Hardware (zum Beispiel Skalierung, Migration), die über das Internet zugänglich sind (Weinhardt, et al., 2009, S. 5). Die Vorteile von IaaS gegenüber traditioneller IT-Bereitstellung sieht Weber (2009, S. 25) in der gesteigerten Effizienz, der hohen Skalierbarkeit und Flexibilität sowie der Unterstützung neuer Software Architekturen. Zu den bekanntesten Angeboten im Bereich IaaS in Deutschland gehören Amazon Elastic Compute Cloud (EC2), Microsoft Windows Azure Platform, IBM Smart Business Cloud, HP Cloud Enabling Computing sowie BT Virtual Data Center (Velten & Janata, 2011, S. 33ff.; Weber, 2009, S. 23).

Cloud Computing Grundlagen 11

Analyse von Anforderungen der Unternehmen zur Auswahl eines Cloud Computing Providers

2.3.2 Platform as a Service

Eine Ebene über der Infrastruktur liegt die Kategorie Platform as a Service. Es handelt sich hierbei um eine Plattform, auf der Softwarekomponenten auf Basis von technischen Frameworks entwickelt und integriert werden können. Die Entwicklung der Anwendungen erfolgt online, wodurch die gemeinsame Programmierung durch räumlich verteilte Entwickler erleichtert wird (Leavitt, 2009, S. 17). Die Plattform bietet typischerweise Programmierschnittstellen an, die eine Verwendung verschiedener Programmiersprachen erlauben und die Nutzung von und Interaktion mit anderen Cloud Services unterstützen. Nutzer können dadurch von Funktionen wie automatischem Skalieren, Lastverteilung, Authentifizierungsdiensten und

Komponenten für grafische Benutzeroberflächen profitieren (Louridas, 2010, S. 7; Youseff et al., 2008, S. 4). Kunden von PaaS sind hauptsächlich System-Architekten und Anwendungsentwickler, die wiederum selbst Anbieter von Cloud Services (SaaS) sein können. Produkte wie Google App Engine, Microsoft Azure Services, Force.com von Salesforce, IBM Smart Business Development and Test on the IBM Cloud gelten als die bekanntesten Angebote im Bereich PaaS im deutschen Raum (Velten & Janata, 2011, S. 42ff.; Weber, 2009, S. 23).

2.3.3 Software as a Service

Als Software as a Service werden Anwendungen bezeichnet, die der Kunde bei Bedarf über das Internet nutzen kann. Die dafür benötigte Infrastruktur ist Teil des Gesamtservices, d.h. der Kunde muss sich nicht darum kümmern. SaaS ist im Gegensatz zu IaaS oder PaaS an den Endkunden, also den eigentlichen Nutzer einer Anwendung, gerichtet. Entwickler können ihre Anwendung entweder mit Hilfe der PaaS Schicht entwickeln und bereitstellen, oder direkt die Dienste von IaaS in Anspruch nehmen, um ihre Anwendung darauf laufen zu lassen (Lenk et al., 2009, S. 24). Neben Anwendungen für die private Nutzung werden von SaaS Geschäftsanwendungen angeboten, die als standardisierte Services von einem Dienstleister bereitgestellt werden. Anpassungs- und Integrationsmöglichkeiten sind im Gegensatz zu normaler Software oft eingeschränkt. Typische Einsatzbereiche von SaaS sind standardisierte Anwendungen wie Customer Relationship Management, Kollaboration und Kommunikation sowie industriespezifische Geschäftsabläufe, die technologieunabhängig sind (Weber, 2009, S. 22f.). Eine Cloud Anwendung kann

Cloud Computing Grundlagen 12

Analyse von Anforderungen der Unternehmen zur Auswahl eines Cloud Computing Providers

aus verschiedenen anderen Cloud Services zusammengesetzt sein. Diese werden vom Kunden jedoch als eine integrierte Anwendung wahrgenommen (Leimeister et al., 2010, S. 4). Der Vorteil von SaaS gegenüber der traditionellen Nutzung von Software, d.h. Kauf von Lizenzen und Installation auf lokalen Rechnern, liegt darin, dass der Nutzer nur für das zahlt, was er tatsächlich nutzt. Die Anzahl der berechtigten Nutzer kann flexibel nach oben oder unten korrigiert werden. Darüber hinaus muss sich der Nutzer nicht mehr um die Wartung der Software kümmern (Weber, 2009, S. 27). Zu den bekanntesten SaaS Anbietern und Lösungen für den betrieblichen Einsatz gehören Salesforce.com, Google Apps for Business, SAP Business by Design sowie Microsoft Online Services (Weber, 2009, S. 23; Weinhardt, et al., 2009, S. 459).

Abbildung 2 fasst die wichtigsten Aspekte der drei Service-Kategorien zusammen und nennt die bekanntesten Anbieter je Kategorie (in Anlehnung an Weber, 2009, S. 23).

Neben den drei genannten Service-Kategorien entwickeln sich derzeit zahlreiche weitere Ausprägungen auf dem Markt, beispielsweise Security as a Service, Storage as a Service, Information as a Service etc. (Linthicum, 2009).

Cloud Computing Grundlagen 13

Analyse von Anforderungen der Unternehmen zur Auswahl eines Cloud Computing Providers

2.4 Organisationsformen

Für die Nutzung von Cloud Computing stehen dem Kunden verschiedene Organisationsformen, in der Literatur auch Betriebsmodelle genannt, zur Verfügung. Diese unterscheiden sich hauptsächlich nach Besitz der Infrastruktur sowie Zuständigkeit für Verwaltung und Betrieb der Cloud. Als Hauptausprägungen werden hierzu in der Literatur die Public Cloud (öffentliche Cloud) und die Private Cloud (unternehmensinterne Cloud) genannt. Die Wahl des passenden Betriebsmodells wird bedingt durch die jeweiligen Anforderungen des Unternehmens. Grundsätzlich sind Cloud Services über das Internet beziehungsweise das Intranet entweder für die breite Masse oder ausschließlich für einen bestimmten Kunden zugänglich. Im ersten Fall spricht man von einer Public Cloud und im zweiten von einer Private Cloud. Darüber hinaus gibt es Mischformen wie die Hybrid Cloud oder die Community Cloud (Deussen et al., 2010, S. 20). Die einzelnen Organisationsformen werden im Folgenden dargelegt.

2.4.1 Public Cloud

Die Public Cloud ist die bekannteste Organisationsform und zeichnet sich dadurch aus, dass die Öffentlichkeit mittels eines Webbrowsers über das Internet auf in der Regel standardisierte IT-Ressourcen und Anwendungen zugreift, die von einem Dritten angeboten werden. Es handelt sich hierbei um einen externen IT-Dienstleister, der Eigentümer der Public Cloud ist, diese betreibt und verwaltet. Die Nutzer der Public Cloud sind organisatorisch nicht miteinander verbunden (Weber, 2010, S. 18). Sie teilen sich aber eine virtualisierte, multimandantenfähige Infrastruktur, d.h. Daten von unterschiedlichen Kunden werden auf gemeinsamen Ressourcen gespeichert und verarbeitet, bleiben jedoch logisch getrennt. Die Zuordnung der Ressourcen zu einem bestimmten Kunden ist normalerweise nicht möglich. Sofern nicht anders vertraglich vereinbart, ist der Speicherort der Daten für den Nutzer nicht bekannt. Die Nutzung der Public Cloud Services erfolgt auf Basis von standardisierten oder individualisierten Service Level Agreements, die der Kunde mit dem Anbieter abschließt (Ramgovind et al., 2010, S. 2; Weber, 2010, S. 18). Public Clouds werden in der Literatur als tendenziell unsicher eingestuft, da der Kunde seine Daten beziehungsweise die seiner Kunden in fremde Hände gibt und keinen direkten Einfluss mehr auf die Sicherheit der Daten und die Einhaltung von

Cloud Computing Grundlagen 14

Analyse von Anforderungen der Unternehmen zur Auswahl eines Cloud Computing Providers

gesetzlichen Vorgaben hat. Trotzdem behält er die komplette Verantwortung für die Sicherheit der Daten (Brunette & Mogull, 2009, S. 22; Hofmann & Woods, 2010, S. 91).

2.4.2 Private Cloud

Im Gegensatz zur Public Cloud wird die Private Cloud nicht von der breiten Masse, sondern ausschließlich von einer Organisation genutzt. Eigentümer, Betreiber und Verwalter ist entweder die Organisation selbst oder ein externer Anbieter. Wenn der externe Anbieter die Cloud auf Basis eines Service Level Agreements verwaltet, die Infrastruktur jedoch Eigentum der nutzenden Organisation ist, spricht man von einer Managed Private Cloud. Die Service Level Agreements sind individuell verhandelbar. Verwaltet der externe IT-Dienstleister die Cloud nicht nur, sondern ist auch Besitzer der Infrastruktur, so handelt es sich um eine Outsourced Private Cloud (Deussen et al., 2010, S. 21; Weber, 2009, S. 31). Nur die vom Betreiber autorisierten Personen (zum Beispiel auch Kunden und Lieferanten) haben über das Intranet oder ein Virtual Private Network (VPN) Zugang zur Cloud. Durch eine Private Cloud hat das Unternehmen die Möglichkeit eine sichere, effiziente, standardisierte und virtualisierte Betriebsumgebung für seine IT zu schaffen (Ramgovind et al., 2010, S. 2; Weber, 2010, S. 18). In Bezug auf Sicherheit und Compliance hat die Private Cloud einen wesentlichen Vorteil im Vergleich zur Public Cloud, da das Unternehmen die Kontrolle über seine Daten behält und diese nicht gemeinsam mit denen anderer Nutzer gespeichert werden (Vogel et al., 2010, S. 126). Nachteil der Private Cloud sind die relativ hohen Kosten, da sich die Nutzer keine Cloud Infrastruktur mit anderen teilen, sondern selbst für die Beschaffung und den Betrieb verantwortlich sind (Rimal et al., 2011, S. 15).

2.4.3 Hybrid Cloud

Bei der Hybrid Cloud handelt es sich um kein eigenständiges Cloud Betriebsmodell, sondern um eine Bezeichnung für Kombinationen aus traditioneller IT, Private Clouds und Public Clouds. Die einzelnen Bereiche arbeiten unabhängig voneinander, sind aber über standardisierte Technologien so miteinander verbunden, dass bei Bedarf ein Daten- oder Anwendungstransfer möglich ist. Von einer Hybrid Cloud spricht man zum Beispiel, wenn der normale IT-Betrieb über traditionelle IT oder Private Cloud

Cloud Computing Grundlagen 15