Einsatzgebiete und Grenzen des Cloud Computing in Unternehmen

Inhaltsverzeichnis

Abkürzungsverzeichnis

Abbildungsverzeichnis

1 Einleitung
1.1 Problemstellung und Relevanz dieser Arbeit
1.2 Ziel dieser Arbeit
1.3 Aufbau dieser Arbeit

2 Theoretische Grundlage
2.1 Cloud Computing

3 Einsatzgebiete von kommerziellem Cloud Computing
3.1 Cloud Computing in der Wirtschaftsprüfung

4 Grenzen des Cloud Computing
4.1 Technische Perspektive
4.2 Wirtschaftliche Perspektive
4.3 Rechtliche Perspektive

5 Schlussbetrachtung
5.1 Zusammenfassung
5.2 Kritische Reflexion der eigenen Vorgehensweise

Literaturverzeichnis

Abkürzungsverzeichnis

AGB Allgemeine Geschäftsbedingungen

AWS Amazon Web Services

BSI Bundesamt für Sicherheit in der Informationstechnik

bzw. beziehungsweise

CRM Customer Relationship Management

DSGVO Datenschutz-Grundverordnung

EU Europäische Union

IaaS Infrastructure as a Service

i.d.R. in der Regel

IDW Institut der Wirtschaftsprüfer

IPO Initial Public Offering

ISA International Standards on Auditing

ISO International Standards Organizations

JET Journal Entry Testing

KI Künstliche Intelligenz

O/S Operating System (Betriebssystem)

PaaS Platform as a Service

SaaS Software as a Service

SLA Service Level Agreement

sog. sogenannte

u.a. unter anderem

USA United States of America

USV unterbrechungsfreie Stromversorgung

vgl. Vergleiche

VPN Virtual Private Network

WPO Wirtschaftsprüferordnung

z.B. zum Beispiel

Abbildungsverzeichnis

Abbildung 1: Gegenüberstellung der Grenzen der Verantwortungsbereiche

Abbildung 2: Aufbau einer Cloud-Architektur für Datenanalyse in der Wirtschaftsprüfung

1 Einleitung

1.1 Problemstellung und Relevanz dieser Arbeit

Cloud Computing hat das Stadium eines Trends überwunden. Die neue Art der Dienstleistungserbringung disruptierte den Markt. Anstatt „Cloud first“ heißt es heute unternehmensübergreifend „cloud only“.¹ Schritt für Schritt verändert das Cloud Computing die Welt und stellt bestehende IT-Infrastrukturen auf den Prüfstand. Unternehmen erkennen zunehmend die Möglichkeiten Daten fernab eigener Datenbankkapazitäten zu verarbeiten. Welche Risiken die Unternehmen dabei eingehen, und wo Grenzen des Cloud-Computings liegen, ist vielen oft nicht bewusst.

1.2 Ziel dieser Arbeit

Das Ziel dieser Arbeit ist es, die Einsatzgebiete und die Grenzen des Cloud Computings aufzuzeigen. Dabei soll untersucht werden welche Cloud Service- und Liefermodelle es gibt und welche Vor- und Nachteile insbesondere letztere haben. In diesem Zusammenhang soll auch skizziert werden, wann es sich für ein Unternehmen eher nicht empfiehlt Cloud Computing einzusetzen.

1.3 Aufbau dieser Arbeit

Anknüpfend an die Einleitung im ersten Kapitel erfolgt die Erarbeitung der theoretischen Grundlagen im zweiten Teil dieser Arbeit. In diesem werden wichtige Begrifflichkeiten definiert und erläutert. Daneben erfolgt eine technische Einteilung von Cloud Services und wie diese organisiert werden. Das dritte und vierte Kapitel bildet den Schwerpunkt dieser Arbeit. In diesem werden die Einsatzgebiete von Cloud Computing in Unternehmen herausgearbeitet und exemplarisch an einem Praxisbeispiel aus dem Bereich der Wirtschaftsprüfung beschrieben. Darauf aufbauend erfolgt eine Erläuterung der Grenzen anhand der technischen, der wirtschaftlichen und der rechtlichen Perspektive. Abschließend werden die Ergebnisse und eine kritische Reflexion der eigenen Vorgehensweise kurz zusammengefasst.

2 Theoretische Grundlage

2.1 Cloud Computing

Der Begriff Cloud (auf Deutsch: Wolke) steht als Metapher für das Internet. Cloud Computing beschreibt die Bereitstellung von gemeinsam nutzbaren und flexibel skalierbaren IT-Leistungen über Netzwerke idealtypisch in Echtzeit. Es bietet den Nutzern eine Umschichtung von Investitions- zu Betriebsaufwänden und ist insbesondere für Unternehmen, die über keine eigene IT-Infrastruktur verfügen, eine Alternative.² Je nachdem welche Leistungen durch Cloud Computing erbracht werden, unterscheiden sich die Servicemodelle externer Anbieter und die Verantwortungsbereiche der Unternehmen, wie in Abbildung 1 dargestellt.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 1: Gegenüberstellung der Grenzen der Verantwortungsbereiche³

- Software-as-a-Service (Abkürzung: SaaS)

Bei SaaS handelt es sich um eine ganzheitlich gemietete Dienstleistung, wobei die traditionelle IT-Infrastruktur vollständig ersetzt wird.⁴ Der Dienstleister stellt Softwareanwendungen über ein Webinterface oder eine Programmierschnittstelle zur Verfügung. In der Regel hat der Anwender keinen Einfluss auf den Betrieb und die Realisierung derbereitgestellten Anwendungsdienste, kann diese jedoch in gewissem Umfang konfigurieren.⁵ Ein Beispiel ist Salesforce, welches CRM-Funktionalitäten bereitstellt.⁶

- Platform-as-a-Service (Abkürzung: PaaS)

Bei PaaS wird auf eine bestehende Infrastruktur aufgebaut. Dem Kunden werden sog. Tools und Umgebungen angeboten, mit denen eine Weiter- oder Neuentwicklung von Anwendungen ermöglicht wird.⁷ Der Anwender behält die Kontrolle über die Anwendungssoftware, nutzt aber standardisierte Softwarekomponenten (Entwicklungssoftware, Middleware, Softwarebibliotheken, Betriebssystem), welche vom Dienstleister zur Verfügung gestellt und gewartet werden.⁸ Ein Beispiel hierfür ist die Cloud Computing Plattform Azure von Microsoft.⁹

- Infrastructure-as-a-Service (Abkürzung: IaaS)

Bei IaaS bietet der Dienstleister elementare Dienste an, wie beispielsweise Rechenleistungen in Form von virtuellen Maschinen, Speicher- oder Nachrichtendiensten sowie Netzwerkdiensten, welche vom Anwender genutzt werden können.¹⁰ Tendenziell nutzen Kunden mit komplexen Anwendungslandschaften dieses Modell, welche mit bestehender Hardware nicht handhabbar ist.¹¹ Ein Beispiel sind die Amazon Web Services.¹²

Die Cloud-Dienstleistungen besitzen verschiedene Organisationsformen. Das Bereitstellungsmodell bzw. Liefermodell hängt dabei von den Eigentumsverhältnissen und der Betriebsart ab. Eine Public Cloud ist hochstandardisiert und für die breite Öffentlichkeit zugänglich. Die Private Cloud hingegen ist nicht frei zugänglich und stellt häufig eine unternehmensindividuelle Cloud dar, welche Daten und Informationen entweder ausschließlich dem Unternehmen oder auch deren Kunden und Lieferanten bereitstellt. Die Hybrid Cloud stellt eine Mischform aus Public und Private Cloud dar. Dabei erfolgt innerhalb der Private Cloud der Zugang über eine gesicherte Verbindung, wie z.B. VPN, während gleichzeitig eine Public Cloud verwendet wird.¹³ Ein eher seltener Spezialfall ist die sog. Community Cloud oder Gemeinschaftscloud, welche von mehreren Unternehmen nicht öffentlich genutzt und bereitgestellt werden, um gemeinsam auf bestimmte Dienste zurückzugreifen.¹⁴

3 Einsatzgebiete von kommerziellem Cloud Computing

Die Einführung von Cloud Computing schreitet in verschiedenen Branchen dynamisch voran. Gründe dieser Entwicklung und die zunehmende Integration in Unternehmen liegen in den charakteristischen Eigenschaften, wie den netzwerkbasierten Zugriffsmöglichkeiten, der hohen Flexibilität, den Leistungssteigerungen, der Elastizität und den Skalierungsmöglichkeiten, welche das Cloud Computing für die Weiterentwicklung von Unternehmensprozessen bietet. Dabei unterscheidet man in industrielle und kommerzielle Clouds. Während industrielle Cloud Lösungen hochspezialisiert und für einen industriellen Prozess, wie z.B. die Komponentenherstellung entwickelt und eingesetzt werden, bezieht sich der kommerzielle Einsatz von Cloud Computing auf zahlende Kunden, ohne Spezialisierung auf eine bestimmte Branche. Ein großer Unterschied zwischen den beiden Cloud Lösungen besteht darin, wie sie in den Geschäftsbetrieb integriert werden. Der Hauptfokus der industriellen Cloud ist den vertikalen Integrationsprozess zu forcieren und Mehrwerte innerhalb von Branchengrenzen zu erzielen. Kommerzielle Cloud Lösungen, auf welche sich nachfolgend diese Arbeit konzentriert, setzen hingegen auf einen horizontalen Ansatz und darauf, Werte außerhalb bestehender Branchengrenzen zu schaffen.¹⁵ Jede Cloud ist prinzipiell eine selbständige Plattform mit unterschiedlichen Diensten. Die aktuell prominentesten kommerziellen Cloud Plattformen sind Microsoft Azure, Google Cloud Platform und Amazon Web Services (AWS).¹⁶ Nachfolgend wird exemplarisch am Beispiel der Wirtschaftsprüfung dargestellt, was beim Einsatz einer kommerziellen Cloud Lösung berücksichtigt werden muss und wie eine Cloud Architektur darauf aufbauend aussehen könnte.

3.1 Cloud Computing in der Wirtschaftsprüfung

Die Digitalisierung von Prozessen führt zu einem dynamischen Anstieg der Datenmengen in Unternehmen. Um die zunehmende Datenflut beherrschbar zu machen, muss die Wirtschaftsprüfung bzw. international agierenden Wirtschaftsprüfungsgesellschaften neue Methoden und IT-Architekturen für die Datenanalyse entwickeln und implementieren.

Eine zentrale Herausforderung bei der Umstellung auf eine Cloud für Datenanalyse ist insbesondere die Akzeptanz auf der Kunden- bzw. Mandantenseite. Des Weiteren müssen bestehende Programme und IT-Strukturen migriert und angepasst, die Mitarbeiter geschult und gegebenenfalls zusätzliche Mitarbeiter mit entsprechendem Know-How akquiriert werden.

Der Einsatz von Cloud Computing verspricht für Unternehmen bzw. Wirtschaftsprüfungsgesellschaften prinzipiell folgende klassische Vorteile:

- Kosteneinsparungen durch den flexiblen Bezug von Rechenressourcen (Public Cloud) oder Komprimierung bestehender Ressourcen im Unternehmen (Private Cloud)
- Performancevorteile und erhöhte Datenverfügbarkeit durch Bündelung bestehender IT-Ressourcen und redundante Datenhaltung, was insbesondere bei der Analyse großer Datenmengen (Big Data) Effizienzvorteile bringt
- Kompensierung von temporären Auslastungsspitzen bestimmter Bereiche entweder durch interne, freie Kapazitäten (Private Cloud) oder externe Ressourcen (Public Cloud)
- Steigerung der Flexibilität der Organisation und Reduzierung von IT-Administrationsaufwand durch Zentralisierung der Hardware und des Cloud-Betriebs
- Zentralisierung der Datensicherheitsverantwortung und -umsetzung ermöglicht effektivere Kontrolle der Einhaltung der Datenschutz-, Datensicherheitsvorschriften und -mechanismen

Neben den klassischen ergeben sich zudem wirtschaftsprüfungsspezifische Vorteile, wie beispielsweise Netzwerkeffekte. Durch die Zusammenarbeit auf einer gemeinsamen Plattform, Erhöhung der Transparenz und Vergleichbarkeit innerhalb des Netzwerkes wird ermöglicht, dass Mandanten und Märkte besser miteinander verglichen werden und die Prüfung zielgerichteter erfolgen kann. Letztendlich ermöglicht der Einsatz des Cloud Computings neue Prüfungsmöglichkeiten und -methoden, insbesondere für rechenintensive Ansätze und Nutzung von Big-Data-Anwendungen, wie beispielsweise Massedaten-Analysen aus verschiedenen Quellen und Systemen.

So können beispielhaft durch Methoden des Process Minings alle Prozess- und Transaktionsspuren in Echtzeit zusammengeführt werden und traditionelle „analoge“ Prüfungshandlungen, wie Interviews oder Befragungen, entfallen. Dadurch kann sich die Effizienz des Prüfungsprozesses signifikant erhöhen. Auch Technologien wie künstliche Intelligenz (KI) oder Text Mining, welche zukünftig in der Wirtschaftsprüfung zum Einsatz kommen können, lassen sich durch Cloud Computing realisieren und die Prüfungsleistung weiter optimieren und qualitativ verbessern.¹⁷

Aber es gibt auch Nachteile und Risiken, welche berücksichtigt werden müssen:

- Daten können über das Internet durch Cyberangriffe Dritten zugänglich gemacht werden. Da es keine einheitlichen Standards für die Cloud gibt, kann derzeit nicht automatisch davon ausgegangen werden, dass diese vollkommen sicher ist. Zudem ist die Umsetzung von Datenschutz beim Cloud Anbieter durch den Endkunden häufig nur unzureichend prüfbar. Nachgelagert können daraus aber rechtliche Risiken entstehen, auf welche in Kapitel 4 näher eingegangen wird.
- Cloud Systeme benötigen eine schnelle Internetverbindung. Bei Ausfall des Internets können Mitarbeiter eventuell nicht mehr auf Dokumente zugreifen und könnten temporär arbeitsunfähig sein. Zudem kann langsames Internet auch das Arbeitstempo und damit die Produktivität beeinflussen.¹⁸
- Public Cloud-Modelle sehen nur Standardanwendungen innerhalb der Cloud vor, was die Möglichkeit der Integration von Eigenanwendungen begrenzt.¹⁹ Daneben obliegt die Verfügungshoheit der Daten i.d.R vollständig dem Cloud-Dienstleister, was insbesondere im Hinblick auf die Sensibilität der Daten im Bereich der Wirtschaftsprüfung kritisch gesehen werden kann.
- Durch Nutzung des Cloud Computings gehen zunehmend Fachkenntnisse im IT-Bereich für die nutzenden Unternehmen zurück und es entstehen anbieterseitige Abhängigkeiten, die in Form von Preis- und Gebührenanpassungen ausgenutzt werden können. Da es keine einheitlichen Standards für Cloud Computing gibt, können sich Anbieterwechsel zudem kostenintensiv darstellen.²⁰
- Die Komplexität der IT-Orchestrierung erhöht sich, insbesondere wenn unterschiedliche Lösungen (Public, Private) mit On-Premise-Standardsoftware und On-Premise-Eigenentwicklungen sowie gegebenenfalls Drittanbieter-Anwendungen interagieren müssen. Dadurch erschwert sich u.a. die Wartung und es kann zu Netzwerkausfällen kommen.²¹

[...]

¹ vgl. Kollmann (2020), S. 877

² vgl. Riggert, 2012, S.11

³ vgl. https://www.cloud-mag.com/was-ist-cloud-computing/ (abgerufen 15.03.2021)

⁴ vgl. Kollmann, 2020, S. 887

⁵ vgl. Hansen/ Mendling/ Neumann, 2019, S. 615

⁶ vgl. https://www.salesforce.com/de/products/ (abgerufen am 15.03.2021)

⁷ vgl. Kollmann, 2020, S. 887

⁸ vgl. Hansen/ Mendling/ Neumann, 2019, S. 615

⁹ vgl. https://azure.microsoft.com/de-de/ (abgerufen 15.03.2021)

¹⁰ vgl. Hansen/ Mendling/ Neumann, 2019, S. 617

¹¹ vgl. Kollmann, 2020, S. 886f

¹² vgl. https://aws.amazon.com/de/ (abgerufen 15.03.2021)

¹³ vgl. Kollmann, 2020, S. 887f

¹⁴ vgl. https://www.cloud.fraunhofer.de/de/faq/publicprivatehybrid.html (abgerufen 24.03.2021)

¹⁵ vgl. https://www.exorint.com/de/blog/was-ist-der-unterschied-zwischen-einer-kommerziellen-und-einer-industriellen-cloud (abgerufen 24.03.2021)

¹⁶ vgl. Borges/ Werners (2018), S. 16

¹⁷ vgl. Adelmeyer/ Teuteberg (2018), S. 91f

¹⁸ vgl. Lindner/ Niebler/ Wenzel (2018), S. 17ff

¹⁹ vgl. Heuberger/ Herrmann (2018), S. 22

²⁰ vgl. Borges/ Werners (2018), S. 16

²¹ vgl. Lünendonk (2019)