Cloud Computing aus Sicht der Betriebswirtschaft

Inhaltsverzeichnis

Abkürzungsverzeichnis

Abbildungsverzeichnis

1 Einleitung

2 Grundlagen des Cloud Computing
2.1 Cloud Computing-Ebenen und Varianten
2.1.1 Von der Private bis zur Public Cloud - Die Varianten
2.1.2 Von der Infrastruktur bis zur Software - Die Ebenen
2.1.3 Ebenen und Varianten auf einen Blick - Das Cloud-Diagramm
2.2 Pay as you go - Das Bezahlsystem der Cloud
2.3 Datenschutz, Datensicherheit und das Vertrauen in den Anbieter
2.3.1 Wer hat Zugriff auf meine Daten - Datenschutz in der Cloud
2.3.2 Wie sicher sind meine Daten - Datensicherheit in der Cloud
2.3.3 Vertrauen - Unternehmensdaten in der Cloud
2.4 Dienste aus der Cloud - Von Amazon über IBM und Microsoft bis hin zu Salesforce
2.4.1 Vom Buchhändler über den Supermarkt des Internets hin zum Cloud-Anbieter - Amazon Web Services
2.4.2 Der Softwarehersteller wird zum Service Dienstleister - Microsoft Online Services
2.4.3 Der Schritt zum Cloud Anbieter war nur klein - IBM Smart Cloud
2.5 Zusammenfassung

3 Grundlagen des IT-Controlling
3.1 Begriffe aus der Wirtschaftlichkeitsanalyse
3.1.1 Die statischen Verfahren - Return on Investment
3.1.2 Ein dynamisches Verfahren - Net Present Value
3.1.3 Das wertorientierte Verfahren - Value at Stake
3.2 Ermittlung der Kosten in der IT - Das Total Costs of Ownership Modell
3.2.1 Das ursprüngliche TCO-Modell - GartnerGroup TCO
3.2.2 Der Klassiker - Forrester Research TCO
3.2.3 Das unbekannte TCO-Modell - Real Cost of Ownership von der Meta Group
3.2.4 Vor- und Nachteile des TCO-Modells
3.3 Zusammenfassung

4 Anpassung des IT-Controllings auf Cloud Computing
4.1 Kosten- und Nutzenbestandteile der ROI-Berechnung für die Cloud
4.2 Anpassung des TCO-Modells nach Gartner auf die Cloud
4.3 Zusammenfassung

5 Einführung von Exchange Online aus Sicht des IT-Controllings - Das Praxis- beispiel
5.1 Das Szenario
5.2 Einführung von Exchange - Betrachtung der TCOs
5.3 Die Abschätzung des Return on Investment

6 Fazit

Literaturverzeichnis

Internetverzeichnis

Abkürzungsverzeichnis

Abbildung in dieser Leseprobe nicht enthalten

Abbildungsverzeichnis

1 Gartner Hype Cycle 2011

2 Grafische Zusammenfassung des Cloud Computing

3 Grafik zur Prognose und tatsächlichen IT-Last

4 Darstellung der Skalierbarkeit in On-Premise-Umgebungen

5 Darstellung der Skalierbarkeit in On-Premise-Umgebungen

6 Die größten Herausforderungen der Cloud aus Sicht der Anbieter

7 Problembewusstsein des Management hinsichtlich des Datenschutzes

8 Anteil der Ursachen, die zu Datendiebstahl führten

9 Grafische Darstellung der Verlagerung der Einkünfte bei IBM

10 Grafische Darstellung der Cloud-Dienste von IBM

11 Bedeutung der IT im Unternehmen

12 Entwicklung des IT-Budgets in Unternehmen in Prozent

13 Potenziale des IT-Einsatzes im Unternehmen in Prozent

14 Kosten- und Nutzenverlauf eines IT-Projekts

15 Investitionsrechenverfahren in der IT

16 Projektspezifische Gewinn- und Verlustrechnung

17 Projektspezifische Gewinn- und Verlustrechnung

18 Total Cost of Ownership - Die Komponenten

19 Bestandteile der Total Cost of Ownership - Unterteilung in Phasen

20 TCO-Kostenkategorien und Kostenarten

21 Gegenüberstellung der Kostenfaktoren der Modelle von Forrester Rese- arch und GartnerGroup

22 Das Meta RCO-Konzept

23 Geschwindigkeiten der Kostenersparnis

24 Graphische Darstellung zur Optimierung des TCO

25 Zeitliche Optimierung der Einführung neuer Dienste

26 Erweiterung der Gewinnspanne durch Flexibiltät der Cloud

27 Effekt des Cloud Computing auf Green-IT

28 Gartners TCO-Modell angepasst auf Cloud Computing

29 IT-Kostenstruktur des Unternehmen von 04/2009 bis 04/2010

30 OnPremise-TCOs im Praxisbeispiel

31 Cloud-TCOs im Praxisbeispiel

1 Einleitung

Vom Großrechner, welcher Keller füllte, über die Client-Server-Architektur hin zum Internet und der Virtualisierung. Experten, wie die GartnerGroup, sind sich sicher, dass Cloud Computing in der Zukunft eine entscheidende Rolle spielen wird. Hierzu kann der von Gartner alljährlich veröffentlichte Hype Cycle heran gezogen werden.¹ Dieser gibt neben den in den nächsten Jahren zu erwartenden neuen Technologien in der IT auch Aufschluss darüber, welche Themen bereits heute einer Betrachtung wert sind.

Abbildung 1: Gartner Hype Cycle 2011 Quelle: Entnommen aus o.V. (2011b, o.S.)

Abbildung in dieser Leseprobe nicht enthalten

Aus diesem Grund ist es für das Controlling der IT und für Entscheidungen, die IT betreffend, unerlässlich bereits bekannte Methoden zur Messung der Effektivität und Effizienz der IT-Infrastruktur auf die neue Technologie des Cloud Computing anzupas- sen. Einige große Beratungsunternehmen haben bereits damit begonnen, verschiedene Dienstleistungen miteinander zu vergleichen.² Hierbei werden aber selten alle Kosten mit einbezogen. Im Fall des Kostenvergleichs von Exchange Online und Exchange vor Ort durch den Microsoft Cloud Berater Himmlische IT werden zum Bespiel die Kosten für den Betrieb außer Acht gelassen.³

Darüber hinaus hat Forrester Research bereits einen Cloud-Calculator entwickelt und diesen zur freien Benutzung im Internet freigegeben. Dieser legt aber nicht offen, wie er OnPremise- und Cloud-Lösungen miteinander vergleicht, welchen Anbieter er dafür verwendet und wie sich die Kosten in der Berechnung zusammensetzen.⁴ Die Arbeit wird daher zunächst einen Überblick über die Grundlagen des Cloud Computing geben, bevor auf die Grundlagen des IT-Controllings eingegangen wird. Danach erfolgt die Entwicklung von Methoden um Cloud-Dienste aus einer kaufmännischen Sicht bewerten zu können. Diese Methoden werden in Kapitel fünf verwendet, um anhand eines Praxisbeispiesl, die Vorteile des Cloud Computing für die kaufmännische Betrachtung der IT darzulegen. Zuletzt wird ein Fazit über die Zukunft des Cloud Computing gegeben und weitere offene Fragestellungen genannt.

2 Grundlagen des Cloud Computing

Um die kaufmännischen Zusammenhänge und die, durch das Cloud Computing entste- henden, Kosten einordnen zu können, wird in diesem Kapitel eine Einführung in die Grundlagen des Cloud Computing geliefert. Dabei wird nicht auf die technischen Vari- anten eingegangen, sondern ein Überblick über die Möglichkeiten und die verfügbaren Dienste gegeben. Darüber hinaus wird das neue Bezahlsystem Pay as you go betrachtet und die Abrechnungsmodelle einiger Anbieter erörtert. Das Kapitel wird durch eine Be- trachtung von Aspekten des Datenschutzes, der Datensicherheit und einer Betrachtung des Begriffs Vertrauen abgerundet. Die Zusammenfassung mit einer kurzen Betrachtung der Vor- und Nachteile des Cloud Computing stellt den Abschluss des Kapitels dar.

2.1 Cloud Computing-Ebenen und Varianten

Cloud Computing stellt eine neue Entwicklungsstufe der IT dar. Diese Technologie zeichnet sich besonders durch ihre Flexibilität und die Möglichkeit aus, weit stärker als in der IT-Infrastruktur vor Ort nach unten und oben zu skalieren.⁵

Durch diese neue Technologie ist es für Unternehmen möglich, die vorhandene IT- Kapazität an die tatsächlich benötigte Kapazität jederzeit anzupassen. Diese Neuerung definiert Michael Armbrust in seinem Buch als Hauptcharakteristikum des Cloud Com- puting:

„The appearance of infinite computing resources available on demand, quickly enough to follow load surges, thereby eliminating the need for cloud computing users to plan far ahead for provisioning.

The elimination of an up-front commitment by cloud users, thereby allowing com- panies to start small and increase hardware resources only when there is an increase in their needs.

The ability to pay for use of computing resources on a short-term basis as needed (for example, processors by the hour and storage by the day) and release them as needed, thereby rewarding conservation by letting machines and storage go when they are no longer useful.“⁶

Die Definitionen des Cloud Computing bekannter Experten unterscheiden sich in einzelnen Teilbereichen signifikant, jedoch haben alle Modelle und Definitionen gemeinsam, dass sie das Cloud Computing in unterschiedliche Ebenen und Varianten einteilen. Diese werden im Folgenden erörtert. Jedoch wird nur auf die, in der Wissenschaft definierten, vier Varianten eingegangen.

2.1.1 Von der Private bis zur Public Cloud - Die Varianten

Die Definitionen der einzelnen Varianten aus verschiedenen Richtungen der Wissenschaft und Wirtschaft überschneiden sich sehr stark und lassen sich damit gut in ein Gesamtbild integrieren. Bei den Varianten geht es vor allem um den Standort der Cloud Lösung. Im Folgenden werden die vier in der Wissenschaft am häufigsten verwendeten Varianten erörtert. Dabei wird besonders auf die Lokation der Lösung eingegangen, aber auch Beispiele werden genannt.

Die Public Cloud

Die gängigste aller Cloud Computing Varianten ist die der Public Cloud. Viele IT- Verantwortliche haben sich in den vergangenen Monaten mit dieser auseinandergesetzt und versucht, diese in Konzepten in ihre bisherige IT-Infrastruktur zu integrieren und dadurch zu bewerten.⁷ Das signifikanteste Merkmal der Public Cloud ist die Tatsache, dass diese Variante nicht innerhalb der IT-Umgebung eines Unternehmen betrieben wird.⁸ Die Mehrzahl der Angebote auf dem Markt der Public Cloud wird durch IT- Dienstleister oder Hersteller von IT-Geräten bereitgestellt. Ein zweites entscheidendes Merkmal, das die Public Cloud von der im Anschluss erörterten Community Cloud un- terscheidet, ist die Verfügbarkeit des Angebots. So steht die Public Cloud theoretisch jeder Person oder jedem Unternehmen zur Verfügung.⁹ Dieser theoretische Ansatz wird teilweise durch Einstiegshürden in der Praxis ausgehebelt. Verwendet ein Unternehmen die Public Cloud, so ist seine Infrastruktur physikalisch nicht von anderen Kunden ge- trennt. Die Trennung der Infrastrukturen erfolgt durch den Anbieter auf einer logischen Ebene.¹⁰

Das in den USA ansässige NIST (National Institute of Standards and Technology) hat die Public Cloud wie folgt definiert: „The cloud infrastructure is made available to the general public or a large industry group and is owned by an organization selling cloud services.¹¹ “

Die Community Cloud

Verfolgen unterschiedliche Unternehmen, Behörden oder Institute den gleichen oder einen ähnlichen Ansatz bei der Verwendung von Cloud Computing und möchten aus den unterschiedlichsten Gründen nicht die Variante Public Cloud verwenden, können sie sich gemeinsam für den Einsatz einer Community Cloud entscheiden. Diese Varian- te des Cloud Computing steht dann nur der Gruppe von Unternehmen oder anderen Institutionen zur Verfügung, die sich zu dieser Gruppe mit ihren speziellen Anforde- rungen zusammengeschlossen haben. Gemeinsame Anforderungen an die Cloud-Lösung können hierbei zum Beispiel die Themen Datensicherheit und Datenschutz umfassen.¹² Zum Betrieb dieser Cloud Computing Lösung stehen der Gruppe zwei Möglichkeiten offen. Sie können, wie auch schon bei der Public Cloud, einen externen Anbieter verwenden, der aber nur der vorher definierten Gruppe die Cloud Infrastruktur zur Verfügung stellt oder zumindest physikalisch die Infrastruktur von anderen trennt. Oder die Gruppe betreibt die Cloud Infrastruktur selbstständig bei einem seiner Mitglieder vor Ort und stellt sie dann den anderen Institutionen zur Verfügung.¹³

Das NIST hat die Community Cloud in Abgrenzung zur Public Cloud wie folgt definiert „The cloud infrastructure is shared by several organizations and supports a specific community that has shared concerns (e.g., mission, security requirements, policy, and compliance considerations). It may be managed by the organizations or a third party and may exist on premise or off premise.¹⁴ “

Die Private Cloud

Der nächste logische Schritt, nach der Variante für alle und der Variante für eine Grup- pe, ist die eine Cloud Variante, die nur für ein Unternehmen betrieben wird. Diese Umgebung nennt die Wissenschaft und Wirtschaft Private Cloud und steht nur einer Institution zur Verfügung.¹⁵ Zur Bereitstellung der Private Cloud Infrastruktur wird eine hochautomatisierte virtuelle Umgebung von Seiten der IT zur Verfügung gestellt, auf der die Dienste im Anschluss dem Endanwender bereitgestellt werden.¹⁶ Das Al- leinstellungsmerkmal besteht darin, dass diese Infrastruktur nur dem Unternehmen zur Verfügung steht, welche diese auch betreibt. Bei der Bereitstellung dieser Cloud Va- riante wird im Gegensatz zu den anderen bisher erörterten Varianten nicht nur eine logische Verknüpfung mit dem Unternehmen hergestellt. Viel mehr befindet sich die Infrastruktur auch physikalisch innerhalb des Unternehmensnetzwerkes und lässt sich somit genau einem Unternehmen zuordnen.¹⁷

Das NIST hat für diese Variante ebenfalls eine Definition veröffentlicht: „The cloud infrastructure is provisioned for exclusive use by a single organization comprising mul- tiple consumers (e.g., business units). It may be owned, managed, and operated by the organization, a third party, or some combination of them, and it may exist on or off premises.¹⁸ “

Die Hybrid Cloud

Die vierte, aus der Wissenschaft stammenden Definition für das Cloud Computing, ist die der Hybrid Cloud. Um eine Hybrid Cloud zu errichten, müssen verschiedene andere Varianten miteinander kombiniert werden. Dies kann zum Beispiel durch die Kombination von Public und Private Cloud erfolgen.¹⁹ Um dies zu veranschaulichen, sei zum Beispiel der Betrieb eines Clusters zur Berechnung von Luftströmen bei der Automobilentwicklung genannt. Hierbei werden für Zeiten mit rechenintensiven Berechnungen die Cluster aus der Private Cloud durch die Hinzunahme von Rechnerkapazitäten aus der Public Cloud ergänzt und somit die Performance des gesamten Systems sichergestellt.²⁰ Die beiden Cloud Varianten kommunizieren hierbei über, im Vorfeld definierte und von dem Public Cloud-Anbieter angebotene Schnittstellen. Dadurch entsteht für den Benutzer der Eindruck als würde er auf einer Umgebung arbeiten und nicht auf zwei physikalisch voneinander getrennten Systemen.²¹ ‚

Auch hierfür steht vom NIST eine Definition zur Verfügung: „The cloud infrastructure is a composition of two or more distinct cloud infrastructures (private, community, or public) that remain unique entities, but are bound together by standardized or proprietary technology that enables data and application portability (e.g., cloud bursting for load balancing between clouds).²² “

2.1.2 Von der Infrastruktur bis zur Software - Die Ebenen

Im Folgenden sollen die verschiedenen Ebenen des Cloud Computing Betrachtung fin- den. Ging es bei den Varianten um den Standort der Cloud Lösung, so ist das Unter- scheidungsmerkmal der Ebenen der angebotene Dienst. Im Gegensatz zu den Varianten sind sich die Experten bei den Ebenen nicht ganz einig wie diese unterteilt werden können. Einige, der bis heute erstellten Klassifikationen, unterteilen einzelne Ebenen weiter als Andere.²³ Häufig werden jedoch die drei Ebenen Infrastruktur²⁴, Platform²⁵ und Software²⁶ zur Unterteilung des Cloud Computing verwendet. Diese Begriffe werden mit dem Zusatz as a Service ergänzt. Es werden nun diese drei Begriff näher erläutert.

Cloud Computing für den IT-Administrator - Infrastructure as a Service - IaaS Der Begriff Infrastructure as a Service, in der Literatur auch als Cloud Software Infrastructure- Layer bezeichnet²⁷, steht für einen Service aus dem Bereich des Cloud Computing, der Dienste der IT zur Verfügung stellt, welche die Grundlage einer IT Infrastruktur bilden. Diese grundlegenden Dienste werden in der Wissenschaft in drei Bereiche unterteilt.

Zur Speicherung von Daten benötigt ein Unternehmen Speicherplatz. Diesen stellen Cloud-Betreiber zur Verfügung, den das Unternehmen durch die eigene IT verwalten und nach eigenen Vorstellungen verwenden kann. Um dem Kunden Zugriff auf den Spei- cherplatz zu gewähren, stellen die Anbieter dieser Services unterschiedliche Schnittstel- len und Protokolle zur Verfügung. Dies fängt bei gängigen Protokollen, wie File Transfer Protocol (FTP) oder Secure Shell (SSH) an, geht über die Verwendung eines Webin- terfaces bis hin zur Verwendung eines Clients, welcher vollautomatisch die Daten auf dem Computer, Tablett oder SmartPhone mit dem Speicherplatz des Cloud-Anbieter abgleicht.²⁸ Dieser Service wird in einigen Publikationen ebenfalls als Data-Storage as a Service (DaaS) bezeichnet.²⁹

Eine weitere Komponente der IT-Infrastruktur, ist die Verwendung von Computer Res- sourcen.³⁰ Der Anbieter stellt hierbei eine, im höchsten Maße automatisierte, virtuelle Umgebung zur Verfügung, in der sich das Unternehmen durch Buchung einer dieser Res- sourcen eine Rechenkapazität anmieten kann. Dabei kann der Kunde das Betriebssys- tem, die Software und die benötigten Hardwareanforderungen selbst zusammenstellen. Als Grundlage dieses Services wird häufig Speicherplatz aus der DaaS-Ebene heran- gezogen, um die Umgebung möglichst hoch skalierbar aufzubauen. Ein wichtiges Un- terscheidungsmerkmal zwischen den einzelnen Anbietern sind die, dem Kunden zur Verfügung gestellten Administrationswerkzeuge. Diese können von Webzugriff über Re- motezugriffsmöglichkeiten, wie zum Beispiel über das Remote Desktop Protokoll (RDP) und SSH, bis hin zum Konsolenzugriff reichen.³¹

Der letzte Bereich wird als Communications as a Service (CaaS) bezeichnet. Der Begriff bezeichnet hierbei die Schaffung einer Kommunikationsinfrastruktur und nicht die Kommunikationsmöglichkeit zwischen Endbenutzern, welche der Ebene Software as a Service zuzuordnen ist. Grundlegende Services innerhalb des CaaS sind das Session Initiation Protokoll (SIP), der Security und der Directory Service.³²

Die IaaS-Ebene bildet wie bereits beschrieben in vielen Fällen die Grundlage für die Ebene Platform as a Service.

Cloud Computing für den Entwickler - Platform as a Service - PaaS

Ist die IaaS Schicht eher für IT-Systemadministratoren geeignet, so stellt die auch öfters als Cloud Softwareentwicklungs-Layer genannte, PaaS-Ebene Ressourcen zur Entwick- lung von Software oder Dienstleistungen zur Verfügung. Die Abnehmer dieser Dienste sind daher meist Entwicklungsunternehmen.³³ Der Entwurf, die Programmierung, die

Teststellungen und die Paketierung, wird dabei wie früher On-Premise, also in der Um- gebung der Entwickler durchgeführt.³⁴ Ist die Entwicklung abgeschlossen wird sie aber nicht On-Premise in den Betrieb genommen, sondern auf einer von den Entwicklern zuvor ausgewählten PaaS-Plattform. Durch die Verwendung von bereits bekannten En- terprise Modellen, wie zum Beispiel JEE und .Net, wird die Einstiegshürde verkleinert, da eine Migration aus einer On-Premise auf eine Cloud basierte Umgebung durch die Entwickler vereinfacht wird.³⁵

Zur Verwendung der Dienste aus der Ebene des IaaS stehen dem Entwickler Programmierschnittstellen (application programming interface - APIs) zur Verfügung. Damit kann er seine Lösung so entwickeln, dass diese auf Speicherressourcen und Datenbanken zugreifen kann.³⁶ Dadurch wird eine bessere Skalierung bei höherem Ressourcenbedarf erreicht. Die auf PaaS basierende und von einem Entwickler bereitgestellte Anwendung, kann ein Service der nächsten und letzten Schicht des Cloud Computing sein. Aber nicht jeder PaaS Dienst ist automatisch ein SaaS-Angebot.

Cloud Computing für den Endanwender - Software as a Service - SaaS

Neben den Schichten für Administratoren und Entwickler, bietet die Cloud aber auch einen Lösungsansatz für Endanwender. Diese Ebene wird in der Literatur als Software as a Service oder kurz SaaS bezeichnet. Sie stellt für den Endanwender eine Möglichkeit da, auch ohne IT-Know-How, Dienste schnell und komfortabel einzusetzen. Die meisten Dienste werden dabei als Webservice zur Verfügung gestellt, welche der Endanwender selbst mit geringem Know-How konfigurieren und verwenden kann.³⁷

Hierbei stehen dem Kunden unterschiedliche Dienste zur Verfügung. Sie reichen von dem einfach zu verwendenden E-Maildienst, über das umfangreiche, standardisierte CRM-Tool bis zu der auf PaaS-Ebene durch Entwickler erstellte Spezialdienste.³⁸ Der Kunde wird dabei von der Last befreit, sich ein eigenes IT Know-How anzueignen. Das Thema Verfügbarkeit wird, wie bei den anderen Cloud-Layern, über das Service Level Agreement (SLA) festgelegt³⁹.

2.1.3 Ebenen und Varianten auf einen Blick - Das Cloud-Diagramm

Um eine Übersicht zu geben, wie die Varianten und die Ebenen sich gegenseitig ergänzen hat es in den letzten Jahren vermehrt Versuche gegeben eine grafische Darstellung zu finden.⁴⁰

In dem in Abbildung zwei gezeigten Modell, wurden als Grundlage die verschiedenen Varianten Private, Public, Community und Hybrid Cloud verwendet. Darauf aufbauend wurden die nicht näher betrachteten Varianten Trusted und Dedicated Cloud eingefügt, um so ein ganzheitliches Bild auf Seiten der unterschiedlichen Varianten aufzuzeigen.

In der nächsten Spalte der Abbildung werden die einzelnen Ebenen dargestellt. Darun- ter befinden sich die Ebenen Infrastruktur, Hardware und Software. In der Ebene In- frastruktur sind alle Themen der Gebäude-, Strom-, Netzwerk- und WAN-Architektur zusammengefasst. Die Hardware-Ebene beschreibt die benötigte Serverhardware und die Software-Ebene den benötigten Hypervisor, die Management-Software und Monito- ringsoftware.

Aus diesen Ebenen werden in der nächsten Spalte die benötigten Elemente der einzelnen Ebenen beschrieben. Aufgrund der Vielzahl dieser Elemente ist die Ansicht auf einige begrenzt, welche als Beispiele zu verstehen sind. Durch die Darstellung entsteht ein Cloud Computing Stack, der darstellt, welche Elemente der Ebenen aufeinander basieren und wie diese zusammenarbeiten.

Der Pfeil beschreibt die Voraussetzungen aller Ebenen. Hierzu gehören zum Beispiel das Service Level Agreement, die Zahlungs-Modalitäten und die Sicherheit des Cloud Computing.

Abbildung 2: Grafische Zusammenfassung des Cloud Computing Quelle: Angelehnt an Syed A. Ahson (2011, o.S)

Abbildung in dieser Leseprobe nicht enthalten

2.2 Pay as you go - Das Bezahlsystem der Cloud

Nachdem die Möglichkeiten der verschiedenen Ebenen und Varianten des Cloud Com- puting im letzten Abschnitt betrachtet wurden, dient dieses Kapitel zur Einführung in die Zahlungsmodelle der Cloud. Die Abrechnungsmethode ist ein wichtiger Bestand- teil des Cloud Computing, da es der Flexibilität der technischen Umgebung Rechnung trägt.⁴¹ Sowohl in der Literatur als auch die Anbieter haben den Begriff des Pay as you go für die Bezahlung von Cloud-Diensten geprägt. Eine ähnliche Erscheinung gibt es bei Handyverträgen. Bei den von Handyanbietern angebotenen Prepaid-Veträgen, bezahlt der Kunde nur den tatsächlichen Verbrauch. In den vergangenen Jahren erfreut sich die Methode der Bezahlung zumindest bei Handyverträgen einer immer größeren Anzahl an Kunden.⁴² Im Gegensatz zu den Handyverträgen, leistet der Cloud-Kunde jedoch keine Vorauszahlung, sondern bezahlt nur die tatsächlich verbrauchte Cloud- Dienstleistung.

Dies bringt einige Vorteile für Unternehmen mit sich. Im Normalfall plant die IT eines Unternehmens die benötigten Ressourcen eine gewisse Zeit im voraus und erstellt da- bei eine Zukunftsprognose, welche die Kapazitäten der IT-Infrastruktur betrifft. Dies wird in Abbildung drei grafisch dargestellt. Hierbei bleibt offen, welchen Zeitraum die Prognose umfasst.

Abbildung 3: Grafik zur Prognose und tatsächlichen IT-Last Quelle: Angelehnt an Syed A. Ahson (2011, o.S)

Abbildung in dieser Leseprobe nicht enthalten

Nach dieser Prognose muss das Unternehmen nun die Planung der Beschaffung und In- betriebnahme von Hardware, Betriebssystemen, Lizenzen und anderen IT-Ressourcen durchführen. Diese Entwicklung geschieht meist in Stufen. Ein Beispiel hierfür ist die erstmalige Beschaffung eines Netzwerkspeichers. Das Unternehmen hat eine anfängliche Kapitalinvestition um sich eine bestimmte Größe an Festplattenspeicher zu kaufen. Zu Beginn wird dieser wahrscheinlich nicht ausgelastet sein. Die Prognose lautet jedoch, dass nach einer bestimmten Zeitspanne der Speicher ausgeschöpft sein wird. Der einzige Weg eine Unterversorgung zu verhindern, ist die Beschaffung von mehr Speicherplatz. Damit wird die nächste Stufe erreicht. Entwickeln sich jedoch das Unternehmen, die Kundenprojekte oder andere Umweltfaktoren anders als von der IT geplant, so kommt es entweder im weniger schwerwiegenden Fall zu einer Überversorgung mit IT Kapazität oder in einem wesentlich gravierenderen Fall zu einer Unterversorgung mit IT Kapazi- tät. In dem Speicherplatzbeispiel können die Mitarbeiter keine Daten mehr ablegen, da der Speicherplatz erschöpft ist. Dies hat unmittelbare Folgen auf die Produktivität der Mitarbeiter, da diese nicht in uneingeschränkter Form ihrer Arbeit nachgehen können. Daraus resultieren für das Unternehmen niedrigere Umsätze und im schlimmsten Fall sogar der Verlust von Kunden. Erreicht ein Unternehmen darüber hinaus einmal eine be- stimmt IT Kapazität innerhalb des Unternehmens, können die entstehenden Fixkosten nur sehr schwierig abgebaut werden. Diese Tatsache hat eine Belastung des IT Bud- gets zur Folge. Nachfolgend wird die On-Premise-Lösung in Abbildung drei eingefügt, wodurch Abbildung vier entsteht.

Abbildung 4: Darstellung der Skalierbarkeit in On-Premise-Umgebungen Quelle: Angelehnt an Syed A. Ahson (2011, o.S)

Abbildung in dieser Leseprobe nicht enthalten

Im Gegensatz zu den herkömmlichen Modellen der IT steht das Modell der Cloud. Das Zahlungssystem pay as you go ermöglicht es Organisationen, immer genau die IT- Kapazität zu beziehen, die sie zu einem bestimmten Zeitpunkt benötigen und genau diese Menge auch zu bezahlen. Um bei dem Beispiel des Speicherplatzes zu bleiben. Ein Unternehmen entschließt sich Amazons Cloudspeicherservice Simple Storage Ser- vice (S3) zu verwenden. Im Gegensatz zur OnPremise Lösung muss nicht in Hardware und die Installation investiert werden, sondern nur in die Einrichtung des Dienstes. Der Speicher wächst dann anhand der Bedürfnisse der Organisation. Das bedeutet, wenn das Unternehmen mehr Speicherplatz benötigt, verwendet es mehr Ressourcen des S3-Dienstes, ohne sich Gedanken um die technische Realisierung machen zu müs- sen. Benötigt das Unternehmen aufgrund des Abschlusses eines großen Projektes mit Datenübergang an den Kunden signifikant weniger Speicherplatz, verwendet es einfach weniger Ressourcen bei Amazon, auch wieder ohne sich Gedanken machen zu müssen, wie der Speicherplatz anderweitig verwendet werden kann. Die Berechnung der Verwen- dung des Dienstes erfolgt stündlich. Das Unternehmen kann also nicht nur auf der tech- nischen Seite nach oben und unten skalieren, sondern mit dem Pay as you go-Modell ist dies auch auf der Kostenseite möglich. Die verschiedenen Cloud-Anbieter bieten hierbei jedoch unterschiedliche Zeitintervalle an. Dies reicht von der stündlichen Berechnung wie bei Amazon⁴³ bis hin zur einjährigen Bindung bei Microsofts Office 365.⁴⁴ Der Un- terschied zwischen einer On-Premise- und der Cloud-Lösung wird in Abbildung fünf deutlich.

Abbildung 5: Darstellung der Skalierbarkeit in On-Premise-Umgebungen Quelle: Angelehnt an Syed A. Ahson (2011, o.S)

Abbildung in dieser Leseprobe nicht enthalten

Die Vorteile dieses Zahlungssystems sind offenkundig. Zum Einen wird am Anfang keine Anfangsinvestition benötigt und zum Anderen wird im laufenden Betrieb kein Kapital gebunden und somit der Cashflow erhöht.

2.3 Datenschutz, Datensicherheit und das Vertrauen in den Anbieter

Nachdem die technischen Details und das Zahlungssystem erarbeitet wurden, soll im Anschluss ein kurzer Überblick über die drei Themen Datenschutz, Datensicherheit und Vertrauen zum Cloud Anbieter folgen. Hierbei wird besonders darauf eingegangen, welche Auswirkungen diese drei Themen aus kaufmännischer Sicht auf die Gesamtkosten eines Cloud-Dienstes haben.

2.3.1 Wer hat Zugriff auf meine Daten - Datenschutz in der Cloud

Erwägt eine Organisation den Umzug auf Cloud Computing, so muss eine Bewertung der rechtlichen Konsequenzen im Rahmen des Datenschutzes erfolgen. Die Ergebnisse der Umfrage der PricewaterhouseCoopers im Oktober 2010 heranziehend, ist zu beobachten, dass dies mehr als 60 Prozent der befragten Anbieter für Cloud Computing Dienste erkannt haben.⁴⁵ Diese Betrachtung erfolgt nicht selten durch die Beauftragung von Rechtsanwälten, welche zusätzliche Kosten erzeugen. Dies wird nötig, da nur in den wenigsten Fällen ein Cloud-Anbieter eine rechtskräftige Rechtsberatung leisten kann.

Abbildung 6: Die größten Herausforderungen der Cloud aus Sicht der Anbieter Quelle: Statistik von PricewaterhouseCoopers (2010, S.13)

Abbildung in dieser Leseprobe nicht enthalten

Neben den Clound Anbietern, die dieses Thema in fast jedem Gespräch mit möglichen Kunden zu diskutieren haben, agieren auch immer mehr IT-Führungskräfte (CIOs) sensibler mit diesem Thema.⁴⁶

Abbildung 7: Problembewusstsein des Management hinsichtlich des Datenschutzes Quelle: Statistik von PricewaterhouseCoopers (2010, S.13)

Abbildung in dieser Leseprobe nicht enthalten

Die Frage, welche Daten überhaupt vom Datenschutz betroffen sind, kann dabei durch die Heranziehung des Bundesdatenschutzgesetzes geklärt werden (BDSG). Sie wird nämlich in Paragraph 3 Abs. 1 erörtert und festgelegt:

„Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Ver- hältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener).“⁴⁷

Die Einzelangaben müssen also einer Person zugeordnet werden können, um für den Datenschutz relevant zu sein.⁴⁸

Nach Auslegung der deutschen und europäischen Gesetzgebung ist es möglich, auch personenbezogene Daten durch Cloud-Anbieter im europäischen Ausland verarbeiten zu lassen. Erfolgt die Verarbeitung jedoch im nicht-europäischen Ausland, besteht zu- nächst keine datenschutzrechtliche Legitimation, daher ist deren Einsatz grundsätzlich im ersten Schritt unzulässig.⁴⁹ Ausgenommen davon sind Staaten, die ein angemesse- nes Datenschutzniveau erreicht haben.⁵⁰ Zu diesen Staaten gehören zum Beispiel die Schweiz, Kanada und Argentinien.⁵¹ Darüber hinaus gehören auch die USA dazu, je- doch ist es für die Verarbeitung von personenbezogenen Daten notwendig, dass der Cloud-Anbieter die Safe Harbor-Regeln anerkennt und umsetzt. Dabei verpflichtet sich das US-Unternehmen gegenüber der Federal Trade Commission (FTC), sich an sie- ben datenschutzrechtliche Grundprinzipien zu halten.⁵² Diese sind Notice (Benachrich- tigung), Choice (Freiwilligkeit), Onward Transfer (Übermittlung), Security (Datensi- cherheit), Data Integrity (Datenintegrität), Access (Zugang) und Enforcement (Durch- setzung).⁵³

Das Thema Datenschutz ist also tatsächlich, wie bereits von den Befragten in Abbildung sechs genannt, die größte Herausforderung bei der Einführung von Public, Hybrid oder Dedicated/Trusted Cloud-Dienstleistungen in einem Unternehmen und muss auch bei der Entwicklung der Kosten betrachtet werden.

2.3.2 Wie sicher sind meine Daten - Datensicherheit in der Cloud

Nachdem die Anforderungen und Gesetzeslage der Verarbeitung von personenbezoge- nen Daten im vorigen Abschnitt erörtert wurden, werden im Folgenden die allgemeinen Sicherheitsanforderungen von Unternehmen an Cloud-Dienste erörtert. Als Einleitung findet zuvor eine Definition von Daten- bzw. Informationssicherheit statt. Darauf auf- bauend werden Richtlinien erörtert, mit denen Unternehmen einen sicheren Einsatz von Cloud-Diensten gewährleisten können. Dazu gehört die Beobachtung von, auf dem Markt bereits vorhandenen, Audit-Anbietern und deren Audits, sowie vorhandene Zerti- fikate für Rechenzentren und die sich in der Vorbereitung befindlichen speziellen Cloud- Zertifikate. Dabei wird auch darauf eingegangen, welche Unterschiede es zwischen den Sicherheitslösungen vor Ort und denen der Cloud-Anbieter gibt.

In den letzten Monaten gelang den Gruppen LulzSec⁵⁴, Anonymous⁵⁵ und der No Name Crew⁵⁶ immer wieder in vermeintlich gesicherte Systeme einzudringen und damit wiederholt für Aufsehen zu sorgen. Doch zeigt die folgende Abbildung 8, dass nur 15 Prozent der Datendiebstähle auf Hacker aus dem Internet zurückzuführen sind.⁵⁷ Hingegen erfolgten 36 Prozent der Datendiebstähle im Jahr 2010 durch den Verlust oder Diebstahl von Datenträgern bzw. Daten an sich.⁵⁸

Abbildung 8: Anteil der Ursachen, die zu Datendiebstahl führten Quelle: Statistik von symantec (2011, S. 4)

Abbildung in dieser Leseprobe nicht enthalten

Von Bedeutung für Cloud Computing sind also die 15 Prozent der Datendiebstähle durch Hackerangriffe, da durch die Verwendung von Cloud Computing die anderen Angriffspunkte weder verhindert werden können, noch diese Angriffspunkte sich durch den Einsatz vergrößern.

Welche Richtlinien gibt es also für den Einsatz der verschiedenen Cloud-Varianten? Beim Einsatz der Private Cloud ist das einfach zu beantworten, denn die Dienstleistung wird innerhalb des Unternehmens erbracht und daher unterliegt sie den selben Sicherheitsvorkehrungen wie bei anderen IT-Diensten der internen IT-Abteilung bzw. den Experten eines externen Dienstleisters.

Bei dem Einsatz der Public Cloud ist das etwas differenzierter zu betrachten. Es muss geregelt werden, ob bzw. in welchem Maße der Anbieter oder der Kunde des Cloud- Dienstes für die Sicherheit der Daten zuständig ist. Hierbei ist insbesondere zu klären, wie der Zugriff auf die Daten erfolgt und wie sichergestellt wird, dass Dritte keinen Zu- gang zu diesen bekommen. Hierbei kommen verschiedene Zertifikate und Audits zum Einsatz, die es dem Anbieter ermöglichen, sich von der physischen Sicherheit der Re- chenzentren, über die Abschottung der einzelnen Kundenbereiche bis hin zur Über- tragung über das Internet überprüfen und zertifizieren zu lassen. Dies beginnt bereits bei der Gebäudeinfrastruktur. Die Baukosten der Rechenzentren von großen Cloud- Anbieter bewegen sich in einem Kostenspektrum von 500 Millionen bis zu einer Milli- arde US-Dollar.⁵⁹

Für die Sicherheit dieser Gebäude und speziell auch für die Daten der Cloud-Kunden ist es wichtig, dass keine unbefugten Personen in das Gebäude gelangen können. Daher wird bei speziellen Audits, die zum Beispiel von Datacenter Star Audit ausgeführt werden, besonders auf die Zugangskontrollen geachtet. Diese können je nach Rechenzentrum va- riieren. In Google Rechenzentren ist die Verifizierung der Zugangsberechtigung an drei voneinander unabhängigen Orten notwendig, um ein Rechenzentrum zu betreten.⁶⁰ Die Verifizierungsmethode unterscheidet sich von Rechenzentrum zu Rechenzentrum. Meist ist es eine Kombination aus unterschiedlichen Methoden, wie einer Smartcard und der Abfrage von biometrischen Daten.⁶¹ Die Rechenzentren werden 24 Stunden am Tag von Sicherheitspersonal überwacht. Um die Überwachung der kompletten Areale sicherzu- stellen, kommen Videokameras, Bewegungssensoren und andere Sicherheitskomponen- ten zum Einsatz.⁶² Im Fall eines unbefugten Zutritts werden automatisch die örtlich zuständigen Ordnungshüter verständigt.⁶³

[...]

---

¹ Vgl. o.V. (2011b), o.S..

² Vgl. Kappen (2011), o.S..

³ Vgl. Kappen (2011), o.S..

⁴ Vgl. o.V., o.S..

⁵ Vgl. Plummer (2009), o.S.

⁶ Vgl. Michael Armbrust (2010), S. 61.

⁷ Vgl. Michael Armbrust (2010), S. 61.

⁸ Vgl. Peter Mell (2011), S. 3.

⁹ Vgl. Michael Armbrust (2010), S. 61.

¹⁰ Vgl. Michael Armbrust (2010), S. 62.

¹¹ Vgl. Peter Mell (2011), S. 3.

¹² Vgl. Weichert (2010), S. 680.

¹³ Vgl. Peter Mell (2011), S. 3.

¹⁴ Vgl. Peter Mell (2011), S. 3.

¹⁵ Vgl. Michael Armbrust (2010), S. 61.

¹⁶ Vgl. John W. Rittinghouse (2010), S. 24.

¹⁷ Vgl. Rajkumar Buyya (2011), S. 15.

¹⁸ Vgl. Peter Mell (2011), S. 3.

¹⁹ Vgl. Weichert (2010), S. 680.

²⁰ Vgl. Rajkumar Buyya (2011), S. 16.

²¹ Vgl. Weichert (2010), S. 680.

²² Vgl. Peter Mell (2011), S. 3.

²³ Vgl. Hoff (2009), o.S.

²⁴ Vgl. Lamia Youseff (2008), S. 3.

²⁵ Vgl. Anderson (2008a), o.S.

²⁶ Vgl. Crandell (2008), o.S.

²⁷ Vgl. Syed A. Ahson (2011), S. 8.

²⁸ Vgl. o.V. (2012), o.S.

²⁹ Vgl. Anderson (2008a), o.S.

³⁰ Vgl. Anderson (2008a), o.S.

³¹ Vgl. Syed A. Ahson (2011), S. 8.

³² Vgl. Hofstader (2007), o.S.

³³ Vgl. Anderson (2008b), o.S.

³⁴ Vgl. o.V. (2011c), S. 18.

³⁵ Vgl. Wolff (2011), S. 1 f.

³⁶ Vgl. Wolff (2011), S. 1.

³⁷ Vgl. Anderson (2008a), o.S.

³⁸ Vgl. Gunten (2010), o.S.

³⁹ Vgl. Anderson (2008a), S. 4.

⁴⁰ Vgl. Lamia Youseff (2008), S. 3.

⁴¹ Vgl. Chun Chen (2010), S. 5.

⁴² Vgl. Summer (2009), o.S.

⁴³ Vgl. o.V., o.S.

⁴⁴ Vgl. o.V., o.S.

⁴⁵ Vgl. PricewaterhouseCoopers (2010), S. 13.

⁴⁶ Vgl. PricewaterhouseCoopers (2009), S. 3.

⁴⁷ Vgl. Abel (2011), §3 Abs. 1.

⁴⁸ Vgl. Weichert (2010), S. 681.

⁴⁹ Vgl. Weichert (2010), S. 683.

⁵⁰ Vgl. Abel (2011), §4 Abs. 2,3.

⁵¹ Vgl. Weichert (2010), S. 686.

⁵² Vgl. Ninja Marnau (2011), S. 312.

⁵³ Vgl. Ninja Marnau (2011), S. 312.

⁵⁴ Vgl. Eikenberg (2011), o.S.

⁵⁵ Vgl. o.V. (2011a), o.S.

⁵⁶ Vgl. o.V. (2011d), o.S.

⁵⁷ Vgl. symantec (2011), S. 4.

⁵⁸ Vgl. symantec (2011), S. 4.

⁵⁹ Vgl. Melanchthon (2011), Minute 3:30f.

⁶⁰ Vgl. o.V. (2011c), Min. 0-3.

⁶¹ Vgl. o.V. (2009b), S. 17.

⁶² Vgl. o.V. (2011c), Min. 4:30f.

⁶³ Vgl. o.V. (2011c), Min. 4:40ff.