Datensicherheit und Datenschutz im Cloud Computing. Fallstudie und kritische Analyse

Inhaltsverzeichnis

Abbildungsverzeichnis

Tabellenverzeichnis

Abkürzungsverzeichnis

1 Einleitung
1.1 Zielsetzung
1.2 Aufbau der Arbeit
1.3 Methodik

2 Grundlagen und Begriffe
2.1 Cloud Computing – Was ist das?
2.2 Begriffsdefinition Cloud Computing
2.3 Basistechnologien und Konzepte
2.3.1 Grid Computing
2.3.2 Virtualisierung
2.3.3 Utility Computing
2.4 Servicekonzepte
2.4.1 Infrastructure as a Service (IaaS)
2.4.2 Platform as a Service (PaaS)
2.4.3 Software as a Service (SaaS)
2.5 Organisationsformen
2.5.1 Public Cloud
2.5.2 Private Cloud
2.5.3 Hybrid Cloud
2.5.4 Community Cloud

3 Datenschutz
3.1 Begriffsdefinition
3.2 Rechtlicher Rahmen
3.2.1 Deutschland
3.2.2 Europäische Union
3.2.3 Vereinigte Staaten von Amerika
3.2.4 Umgehungsmöglichkeiten der Datenschutzgesetzte durch Verschlüsselung

4 Datensicherheit
4.1 Definition der Grundbegriffe
4.2 Datensicherheit als wiederkehrender Prozess
4.3 Datensicherheit als Grundlage für Datenschutz
4.4 Schutzziele als Anforderung
4.4.1 Vertraulichkeit
4.4.2 Integrität
4.4.3 Verfügbarkeit
4.4.4 Authentizität
4.4.5 Zurechenbarkeit
4.5 Finanzielle Risiken bei Datenverlust

5 Analyse und Bewertung zweier Cloud Service Provider
5.1 Fallstudie 1: Dropbox
5.1.1 Allgemeines
5.1.2 Funktionsweise
5.1.3 Datenschutz
5.1.4 Datensicherheit
5.1.5 Fazit und Empfehlung
5.2 Fallstudie 2: JiffyBox
5.2.1 Allgemeines
5.2.2 Funktionsweise
5.2.3 Datenschutz
5.2.4 Datensicherheit
5.2.5 Fazit und Empfehlung

6 Fazit und Ausblick

Literaturverzeichnis

Anlage A Testumgebung Dropbox
Registrierung
Begrüßungs-Emails
Installationsprozess der Clientsoftware auf einem Laptop
Zweistufige Überprüfung aktivieren
Verwendung von Dropbox auf einem PC
Installationsprozess der Clientsoftware auf einem Smartphone

Anlage B Testumgebung JiffyBox
Registrierung
Erstellen einer JiffyBox
JiffyBox in der Anwendung

Stichwortverzeichnis

Abbildungsverzeichnis

Abb. 2-1: Grundlegende Servicekonzepte (Bothe, 2012, S. 9)

Abb. 2-2: IaaS-Anbieter (Baun, Kunze, Nimis, & Tai, 2011, S. 33)

Abb. 2-3: IaaS-Anbieter (Baun, Kunze, Nimis, & Tai, 2011, S. 34)

Abb. 2-4: PaaS-Anbieter (Baun, Kunze, Nimis, & Tai, 2011, S. 36)

Abb. 2-5: SaaS-Anbieter (Baun, Kunze, Nimis, & Tai, 2011, S. 38)

Abb. 2-6: Organisationsformen des Cloud Computing (Bothe, 2012, S. 8)

Abb. 3-1: Datenschutzgesetzgebung in Deutschland in Anlehnung an (Felixberger, 2012)

Abb. 4-1: PDCA-Modell (Kersten & Klett, 2012, S. 9)

Abb. 4-2: Schnittstelle von Datenschutz und Datensicherheit in Anlehnung an (Viehweger, 2008, S. 3)

Abb. 4-3: CIA-Ziele in Anlehnung an (Kunhardt, IT-Sicherheit Einführung SS2012, 2012a, S. 13)

Abb. 4-4: Verschlüsselungsarten (Testberichte, 2012)

Abb. 5-1: Dropbox Clientsoftware

Abb. 5-2: Dropbox Webinterface

Abb. 5-3: JiffyBoxen – Übersicht

Abb. 5-4: Zugriff auf JiffyBox über SSH-Client

Tabellenverzeichnis

Tab. 2-1: Charakteristika der Organisationsformen in Anlehnung an (Meir-Huber, 2010, S. 41; Heininger, Wittges, & Krcmar, 2012, S. 16)

Tab. 3-1: Moderne Datenverarbeitung: Möglichkeiten und Gefahren in Anlehunung an (Felixberger, 2012)

Tab. 3-2: Datenschutzniveau-Beschlüsse der EU-Kommission in Anlehnung an (Vossen, Haselmann, & Hoeren, 2012, S. 148)

Tab. 4-1: Abgrenzung Datenschutz und Datensicherheit

Tab. 4-2: Kosten der Datenwiederherstellung

Tab. 5-1: Dropbox-Bewertung bzgl. Datenschutz und Datensicherheit

Tab. 5-2: JiffyBox-Leistungsstufen in Anlehnung an (JiffyBox, 2013d)

Tab. 5-3: JiffyBox-Bewertung bzgl. Datenschutz und Datensicherheit

Abkürzungsverzeichnis

Abbildung in dieser Leseprobe nicht enthalten

1 Einleitung

1.1 Zielsetzung

“Aren't the clouds beautiful? They look like big balls of cotton... I could just lie here all day, and watch them drift by... If you use your imagination, you can see lots of things in the cloud formations [...]” (Schulz, 2006).

Wenn man diese Aussage liest und seine Fantasie benutzt, sieht man einen wunderschönen und idyllischen Sommertag direkt vor dem eigenen inneren Auge entstehen. Dieses Zitat spiegelt deutlich den Genuss des Sprechers beim Beobachten eines alltäglichen Phänomens wieder: Wolken haben die Menschheit von jeher durch ihre Schönheit in ihren Bann gezogen. Sie stehen für Veränderbarkeit, für aufkommendes Unwetter, aber auch für lebensspendende Feuchtigkeit.

Es gibt aber durchaus auch Gruppen von Menschen, die diesen Spruch nicht sofort mit einem Sommertag assoziieren würden. Computerexperten würden wohl eher an eine Technologie in der IT-Branche denken, die nach dem grafischen Symbol der „Wolke“ benannt wurde: Das Cloud Computing (dt.: Rechnen in der Wolke). Hierbei werden Datenverarbeitungsaufgaben meist durch Dienstleister ins Internet ausgelagert. Die Daten kommen bei diesem Vorgehen in die sogenannten „Wolke“. Das bedeutet, dass sie über ein Netzwerk auf verschiedene Server verteilt werden. Von einer Cloud zu sprechen ist durchaus zutreffend, da die Symbolik veranschaulichen soll, dass man nicht genau weiß, wo sich die Daten befinden oder wo sie verarbeitet werden.

Im Bereich der Informationstechnik kommt dem Cloud Computing eine immer größer werdende Rolle zu. Die vielfältigen Einsatzmöglichkeiten dieses Konzepts scheinen keine Grenzen zu kennen. Nach einer Trendumfrage des Bundesverbands Informationswirtschaft, Telekommunikation und neue Medien e.V. (BITKOM) in der Informations- und Telekommunikationsbranche ist auch im Jahre 2013 Cloud Computing das wichtigste aller Themen (BITKOM, 2013b).

Jedoch wirft Cloud Computing auch noch viele unbeantwortete Fragen auf und ist genau wie die Wolken am Himmel bislang noch sehr undurchsichtig. So wird das Thema Cloud Computing, seit es in aller Munde ist, von nicht abreißenden Diskussionen insbesondere über die Datensicherheit und den Datenschutz begleitet. Es ist nämlich sehr schwierig zu überwachen wer auf die in der Cloud gespeicherten oder verarbeiteten Daten zugreifen kann. Cloud Service Provider (CSP) versprechen zwar, dass Daten ausreichend sicher sind, aber schlussendlich ist es denkbar, dass Unbefugte die Daten verändern oder einsehen können. Daher fühlen sich noch viele Personen unwohl bei dem Gedanken Cloud Computing zu nutzen.

Der Schwerpunkt dieser Bachelorarbeit soll deshalb die kritische Analyse des Cloud Computings hinsichtlich Datenschutz und Datensicherheit sein. Hierfür werden unter anderem exemplarisch zwei CSP in Bezug auf diese zwei Punkte eingehend untersucht. Die folgende Ausarbeitung soll potentielle Nutzer für mögliche Gefahren und Folgen des Cloud Computings sensibilisieren und den Entscheidungsprozess für oder gegen den Einsatz derartiger Technologien unterstützen.

1.2 Aufbau der Arbeit

Diese Bachelorarbeit untergliedert sich in sechs Kapitel. Nach der Einleitung werden in Kapitel 2 Grundlagen und Begriffe definiert. So werden Basistechnologien, Servicekonzepte sowie organisatorische Grundlagen des Cloud Computing beschrieben.

In Kapitel 3 wird auf wichtige Aspekte des Datenschutzes genauer eingegangen. So werden Begrifflichkeiten erläutert und der rechtliche Rahmen für Deutschland, Europa und die Vereinigte Staaten beschrieben. Zudem wird herausgearbeitet, warum es möglich ist durch Verschlüsselung Datenschutzgesetzte zu umgehen.

Kapitel 4 behandelt die Datensicherheit. Hierbei werden grundlegende Begriffe definiert und es findet eine Einordnung der Datensicherheit in die IT-Sicherheit statt. Darüber hinaus wird erklärt, warum Datensicherheit als wiederkehrender Prozess und als Grundlage für Datenschutz zu sehen ist. Anschließend werden Schutzziele eingeführt, die für das Cloud Computing wichtig sind.

Kapitel 5 beschäftigt sich konkret mit den Cloud-Angeboten JiffyBox und Dropbox. Nach einer Vorstellung der Anbieter und der Funktionalität ihrer Dienste, findet eine Analyse und Bewertung der Dienstleistung hinsichtlich Datenschutz und Datensicherheit statt.

Das letzte Kapitel schließt das Thema Cloud Computing mit einem Fazit ab, ob Datenschutz und Datensicherheit ein Hemmnis für die Nutzung von Cloud Computing sein sollte. Auch wird eine Zukunftsprognose für das Cloud Computing abgegeben.

1.3 Methodik

Bei der Erstellung dieser Bachelorarbeit, wurde in erster Linie konkrete Fachliteratur verwendet. Weiteres Wissen wurde von vertrauenswürdigen Internetseiten bezogen.

Darüber hinaus wurden die Cloud Computing Dienste Dropbox und JiffyBox ausführlich getestet, um einen praktischen Einblick in die Theorie zu erhalten (siehe Anlage A und B). Zuletzt wurde Kontakt zu verschiedenen Mitarbeitern der zu analysierenden Anbieter aufgenommen, die Stellung zu den Bewertungskriterien bezogen haben. Alle gesammelten Informationen bei der Analyse der beiden Dienste fließen schlussendlich in die Bewertung mit ein.

Jegliche verwendeten Quellen sind im Literaturverzeichnis in einer alphabetischen Auflistung wiederzufinden.

2 Grundlagen und Begriffe

Im weiteren Verlauf werden die für diese Arbeit wichtigen Begriffe definiert und Basistechnologien, Servicekonzepte sowie die organisatorischen Grundlagen des Cloud Computings erläutert. Dies ist notwendig, um die im Anschluss ausgeführte Analyse zweier ausgewählter Cloud-Anbieter besser nachvollziehen zu können.

2.1 Cloud Computing – Was ist das?

Die im Jahr 2005 eröffnete Allianz Arena in München ist eines der modernsten Fußballstadien Europas. Die Kosten dafür beliefen sich auf 340 Millionen Euro. Die meiste Zeit über ist das Stadion jedoch leer, da es für gewöhnlich nur für die wöchentlichen Heimspiele verwendet wird. Der Eigentümer^[1] hat also ein enorm hohes Kapital in Kapazitäten investiert, die er nur sehr selten benötigt.

Dieses Beispiel soll als Illustration dienen, um das Geschäftsmodell und das Potenzial von Cloud Computing zu veranschaulichen. Man stelle sich nun einmal ein Szenario vor, in dem man ein Stadion hätte, das für jeden Spieltag exakt nach den Anforderungen erbaut und anschließend wieder abgerissen werden könnte. Somit hätte man genau die richtige Anzahl von Zuschauerplätzen, Parkplätzen, Toiletten und Verpflegungsständen, womit ein Stadion für 1000 Zuschauer also genauso kosteneffizient wie eines für 70 000 wäre. Am Beispiel der Allianz Arena könnte man somit aufgrund der höheren Nachfrage an den Wochenenden, an denen der FC Bayern München ein Heimspiel hat, ein größeres Stadion bauen lassen, als an jenen Tagen, an denen der TSV 1860 München spielt.

Nun ist es zugegebenermaßen für ein Fußballstadion natürlich nicht praktikabel, jede Woche aufs Neue erbaut zu werden. Im Kontext von Cloud Computing ist aber genau dieser Ansatz die große Stärke. Anstatt sich große Rechenzentren anzuschaffen und dann zu verwalten, mietet man flexibel die benötigten Dienste. Anwendungen, Plattformen und IT-Infrastruktur können über das Internet zur Verfügung gestellt und genutzt werden. So hat man die Möglichkeit, IT-Ressourcen beliebig zu skalieren und schnell an den eigenen Bedarf anzupassen. Abgerechnet werden nur die Kapazitäten, die auch tatsächlich genutzt wurden.

2.2 Begriffsdefinition Cloud Computing

Die Begriffsdefinition des Cloud Computing stellt im Allgemeinen eine große Herausforderung dar, weswegen das Thema in der Literatur auch sehr vorsichtig angegangen wird. Manche Fachbücher vermeiden eine Definition für Cloud Computing sogar völlig und beschreiben lediglich die Charakteristika des Cloud Computings. Daraus lässt sich ableiten, dass sich auch IT-Experten noch nicht auf eine allumfassende Definition dieses vielfältigen Konzepts einigen konnten. Dies bestätigen auch Baun, Kunze,Nimis und Tai in Ihrem Buch „Cloud Computing - Web-basierte dynamische IT-Services“ (2011, S. 4). Im Folgenden werden zwei Erklärungsansätze eingeführt, die sich großer Beliebtheit erfreuen.

Das National Institute of Standards and Technology (NIST) veröffentlichte 2011 bereits ihre sechzehnte und endgültige Definition des Cloud-Computing-Begriffs, die auch von der European Network and Information Security Agency (EINSA) genutzt wir:

„Cloud computing is a model for enabling ubiquitous, convenient, on-demand network access to a shared pool of configurable computing resources (e.g., networks, servers, storage, applications, and services) that can be rapidly provisioned and released with minimal management effort or service provider interaction. This cloud model is composed of five essential characteristics, three service models, and four deployment models” (National Institute of Standards and Technology, 2011, S. 6).

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat ebenfalls versucht, mit einer Definition eine einheitliche Grundlage für den Cloud-Computing-Begriff in Deutschland zu schaffen:

„Cloud Computing bezeichnet das dynamisch an den Bedarf angepasste Anbieten, Nutzen und Abrechnen von IT-Dienstleistungen über ein Netz. Angebot und Nutzung dieser Dienstleistungen erfolgen dabei ausschließlich über definierte technische Schnittstellen und Protokolle. Die Spannbreite der im Rahmen von Cloud Computing angebotenen Dienstleistungen umfasst das komplette Spektrum der Informationstechnik und beinhaltet unter anderem Infrastruktur (z. B. Rechenleistung, Speicherplatz), Plattformen und Software“ (BSI, 2012b, S. 15 f.).

Im Folgenden soll sich insbesondere an die Definition der NIST gehalten werden, die regelmäßig an neue Entwicklungen angepasst wurde und international sehr weit verbreitet ist.

2.3 Basistechnologien und Konzepte

Cloud Computing entstand nicht durch eine neuartige Technologie, sondern vielmehr durch das Zusammenfließen von bereits bestehenden Konzepten und Techniken. Diese werden in den folgenden Unterpunkten kurz umrissen, um ein besseres Verständnis für die Entwicklung des Cloud Computings zu erhalten.

2.3.1 Grid Computing

Der Begriff „Grid“ hat seinen Ursprung im englischen Begriff für das Stromnetz (engl.: power grid) (Barth, 2006, S. 1). Hierbei wird der Grid-Computing-Ansatz mit der Strombereitstellung eines Energieversorgungsunternehmens verglichen. Der Kunde erhält nach individuellem Bedarf Strom aus der Steckdose. Es ist jedoch nicht notwendig, Stromaggregate am jeweiligen Nutzungsort bereitzustellen, da der Energielieferant für den Kunden die Stromerzeugung übernimmt.

Die Technik des Grid Computing kommt aus dem Bereich des High Performance Computing und entstand 1997 am Argonne National Laboratory. Mit Hilfe dieser Vorgehensweise ist man in der Lage, eine Art „virtuellen Supercomputer“ zu erzeugen, und zwar durch die Kombination der Rechenleistung von miteinander verbundenen Computern (Foster & Kesselman, 2003, S. 12 ff). Die Möglichkeit der verteilten Rechenleistung hat eine ganze Reihe von Vorteilen.

Zu den größten Stärken des Grid Computing zählen seine Flexibilität und seine Elastizität. Dank dieses Prinzips können Ressourcen dort eingesetzt werden, wo sie am meisten benötigt werden. Auch ein dynamisches Arbeiten wird durch die Ortsunabhängigkeit der miteinander verbunden Rechner möglich. Des Weiteren kann es zu einer Kosteneinsparung kommen, da die vorhandene Rechenleistung effizient und zielgerichtet eingesetzt werden kann, wenngleich dies in der Entwicklungsphase auch nur eine untergeordnete Bedeutung hatte. Grids eignen sich insbesondere für aufwändige Berechnungen, bei denen nicht viele Daten transportiert werden müssen (Vossen, Haselmann, & Hoeren, 2012, S. 16).

Cloud Computing ähnelt in den Grundsätzen stark dem Grid Computing und hat viele der Vorzüge für seine eigenen Zwecke genutzt. So basiert die grundsätzliche Systemarchitektur auf dem Ansatz des Grid Computing. „Grids und Clouds folgen dem Konzept ‚IT as a Service‘ zur Verfügung zu stellen“ (Weber, et al., 2009, S. 70).

2.3.2 Virtualisierung

Durch die Technik der Virtualisierung können mehrere Cloud-Nutzer gleichzeitig und unabhängig voneinander auf dieselbe Hardware, wie z.B. Speicherplatz oder Rechenleistung, beim Anbieter zugreifen (Metzger, Reitz, & Villar, 2011, S. 3).

Dies ist deshalb möglich, weil man mit Virtualisierung in der Lage ist, ein Betriebssystem innerhalb eines anderen Betriebssystems laufen zu lassen. Dem virtualisierten Betriebssystem wird vorgetäuscht, dass es auf eine eigene, reale Hardware zugreift (Meir-Huber, 2010, S. 22). So kann man zum Beispiel einen physischen Server in mehrere virtuelle Server unterteilen. Die einzelnen virtuellen Server sind zwar logisch voneinander getrennt, befinden sich aber auf der gleichen Hardware. Somit kann ein physischer Server für mehrere Cloud-Dienste und somit auch für mehrere Kunden verwendet werden.

Der CSP kann dadurch seine Hardwareauslastung erhöhen und mit hoher Flexibilität Services bereitstellen. Nur eine hohe Auslastung der Hardware erlaubt eine konsolidierte und kostengünstige IT-Umgebung und somit schließlich ausreichend niedrige Preise für die Endkunden (Vossen, Haselmann, & Hoeren, 2012, S. 18).

2.3.3 Utility Computing

Das Konzept des Utility Computing kommt aus dem Bereich des Business Computing und wurde bereits Anfang der 1960er Jahre entwickelt. Damals prophezeite John McCarthy dass Rechenleistung ein Teil der öffentlichen Versorgung werden könnte:

„If computers of the kind I have advocated become the computers of the future, then computing may someday be organized as a public utility just as the telephone system is a public utility [...] The computer utility could become the basis of a new and important industry“ (McCarthy, 1961).

Bei Utility Computing handelt es sich weniger um ein technisches Konzept als vielmehr um ein Geschäftsmodell, bei dem Computerressourcen von einem Service Provider zur Verfügung gestellt werden. Die Besonderheit hierbei ist, dass der Provider ausschließlich die aktuell benötigten Ressourcen zur Verfügung stellt, was auch bei der Rechnungsstellung berücksichtigt wird. So wird nur für das bezahlt, was gerade verbraucht wurde, ein Konzept, das sich im Fachjargon „Pay as you go“ nennt (Sosinsky, 2011, S. 25).

Auch diese Idee wurde für das Cloud Computing übernommen. Besonders bei den Preismodellen der Cloud-Services wird häufig nach dem oben beschriebenen „Pay as you go“-Verfahren abgerechnet. Somit können Cloud-Computing-Lösungen einen positiven wirtschaftlichen Effekt für ihre Anwender haben, da zum Beispiel auf risikoreiche Anfangsinvestitionen in eigene IT-Infrastruktur verzichtet werden kann.

2.4 Servicekonzepte

Das Thema der Services ist ähnlich heikel und kontrovers wie das Problem der Definition. So sind sich die verschiedenen Autoren nicht darüber einig, wie viele Servicebereiche es gibt. Services werden gerne als Schichten dargestellt, die technisch aufeinander aufbauen. „Dabei können die höheren abstrakteren Schichten die Dienste der tieferen konkreteren Schichten zu ihrer eigenen Dienstrealisierung benutzen“ (Baun, Kunze, Nimis, & Tai, 2011, S. 30). Das NIST schlägt eine Unterteilung in drei grundlegende Schichten vor, die im Nachfolgenden erläutert werden.

Abbildung in dieser Leseprobe nicht enthalten

Abb. 2-1: Grundlegende Servicekonzepte (Bothe, 2012, S. 9)

2.4.1 Infrastructure as a Service (IaaS)

Wie der Name suggeriert, impliziert IaaS nicht etwa das Kaufen, sondern das Mieten von IT-Infrastruktur. So wird Rechen- und Speicherleistung je nach Bedarf von einem Anbieter über das Internet zur Verfügung gestellt (Metzger, Reitz, & Villar, 2011, S. 21). Diese Ressourcen werden dann über virtuelle Server angeboten, die beliebig genutzt, konfiguriert und skaliert werden können. Somit ist es nicht länger notwendig, aufwändige Serverkonstruktionen zu planen und zu unterhalten. Dadurch kann enorm Zeit, Hardware und schlussendlich damit auch Kosten gespart werden. Folgend sind einige IaaS-Angebote aufgelistet.

Abbildung in dieser Leseprobe nicht enthalten

Abb. 2-2: IaaS-Anbieter (Baun, Kunze, Nimis, & Tai, 2011, S. 33)

Abbildung in dieser Leseprobe nicht enthalten

Abb. 2-3: IaaS-Anbieter (Baun, Kunze, Nimis, & Tai, 2011, S. 34)

2.4.2 Platform as a Service (PaaS)

Bei PaaS handelt es sich um die nächst höhere, auf IaaS folgende Ebene. Zusätzlich zu den Komponenten des IaaS stellen PaaS Entwicklungsumgebungen in Form von Frameworks bereit. Elemente dieser Umgebung sind Middleware, Datenbanken und Merkmale der Anwendungssoftware (Weber, et al., 2009, S. 25).

Diese Dienste richten sich meist an Softwareentwickler. So erhalten diese die Möglichkeit, in definierten Umgebungen Programme zu schreiben und diese dann auch zu testen. Außerdem heben sich Plattformen meist durch eine große Bandbreite an Services für den Entwickler hervor. Unter der Cloud-Plattform Windows Azure ist das Programmieren zum Beispiel in .Net, Node.js, Java und PHP möglich (Windows, 2013).

Laut Weber können sich Entwickler und Architekten in Zukunft stärker auf die Implementierung der Geschäftslogik und der Benutzerschnittstellen konzentrieren. Die tieferliegenden IT-Fähigkeiten der Anwendungsarchitektur und –Infrastruktur können über technische Frameworks als Service von Cloud-Anbietern bereitgestellt werden (Weber, et al., 2009, S. 26).

Die folgende Abbildung nennt einige relevante Anbieter für PaaS.

Abbildung in dieser Leseprobe nicht enthalten

Abb. 2-4: PaaS-Anbieter (Baun, Kunze, Nimis, & Tai, 2011, S. 36)

2.4.3 Software as a Service (SaaS)

SaaS ist die beliebteste Form von Clouds. Bei diesem Modell stellt ein Anbieter einem Kunden über öffentliche Netze gewünschte Anwendungen zur Verfügung, die für den tatsächlichen Endnutzer bestimmt sind. Der CSP übernimmt sowohl die Wartung als auch die Administration (Vossen, Haselmann, & Hoeren, 2012, S. 28). Die Basis für dieses Konzept stellen die beiden zuvor beschriebenen Schichten dar, das IaaS und das PaaS, wodurch eine Kombination aus IT-Infrastruktur und Anwendungen entsteht.

Weber et al. erläutert unter anderem den Vorteil des 1:n-Ansatzes dieser Architektur (Weber, et al., 2009, S. 27). Hier nutzen alle Endnutzer dieselben Anwendungen und Infrastrukturen, die sich alle bei einem Dienstleister befinden. Änderungen und Erweiterungen, wie z.B. Updates und Upgrades, müssen somit nur einmal an zentraler Stelle vorgenommen werden und sind damit für alle Anwender gültig.

Die folgende Tabelle gibt eine Übersicht über Anbieter von SaaS.

Abbildung in dieser Leseprobe nicht enthalten

Abb. 2-5: SaaS-Anbieter (Baun, Kunze, Nimis, & Tai, 2011, S. 38)

Weitere speziellere Dienste entwickelten sich, die mit Hilfe der oben angeführten Servicekonzepte einigermaßen trennscharf eingeordnet werden können. So gibt es zum Beispiel Storage as a Service, High Performance Computing as a Service, Landscape as a Service, Logic as a Service oder Security as a Service. Dies sind natürlich nur einige ausgewählte Beispiele aus der unüberschaubaren Vielfalt von Angeboten. Diese Dienste sind alle dynamisch an den Bedarf anpassbar sind und können nutzungsabhängig abgerechnet werden (Eckert, 2011, S. 228).

2.5 Organisationsformen

Für den Anwender von Cloud-Computing-Diensten sind verschiedene organisatorische Möglichkeiten der Verwirklichung vorhanden. So kann man aber laut Weber et al. zwischen zwei elementaren Typen unterscheiden - der Public Cloud und der Private Cloud (Weber, et al., 2009, S. 29). Beide Ausprägungen unterscheiden sich nicht aufgrund technischer Gegebenheiten, sondern vielmehr wegen ihren organisatorischen Grundlagen.

Die früher eingeführte Definition von Cloud Computing des NIST spricht jedoch von vier Organisationsformen („deployment models“), weshalb hier noch zwei weitere, abgeleitete Typen des Cloud-Betriebs unterschieden werden: Die Hybrid Cloud und die Community Cloud. Erstere stellt eine Kombination aus Public und Private Cloud dar, während die zweite ein Zusammenschluss von Private Clouds ist. Für welches Modell man sich schlussendlich entscheidet, hängt von den unterschiedlich gestellten Anforderungen der Organisation (z.B. Unternehmen oder Verein) ab.

2.5.1 Public Cloud

Die Public Cloud (oder auch External Cloud) zeichnet sich dadurch aus, dass der Kunde die Cloud-Dienste von einem externen Service Provider zur Verfügung gestellt bekommt (Harding, 2011, S. 16). Somit ist die Cloud-Umgebung das Eigentum des IT-Dienstleisters. Auf die Public Cloud erfolgt der Zugriff normalerweise über das Internet. Kunden teilen sich daher eine virtualisierte Infrastruktur und haben auf Aspekte wie den physischen Ort der Datenhaltung, Compliance und Sicherheit normalerweise so gut wie keinen Einfluss (Mather, Kumaraswamy, & Latif, 2009, S. 23). Dies ist auch der Grund, warum Public Clouds in der Literatur meist als unsicher eingestuft werden.

2.5.2 Private Cloud

Ein Nutzer, dem das Konstrukt der Public Cloud zu unsicher ist und der seine Daten nicht einem externen IT-Dienstleister anvertrauen möchte, hat die Möglichkeit sich der Private Cloud (oder auch Internal Cloud) zu bedienen. Hier besitzt die Organisation die IT-Infrastruktur und ist obendrein für Verwaltung und Planung zuständig (Hwang, Fox, & Dongarra, 2012, S. 193 f.). Die Ressourcen können den Anwendern wie gewohnt nach dem Prinzip des Cloud Computings flexibel zugewiesen werden. Wichtig ist es hier zu betonen, dass man unter „Anwendern“ die Anwender der einzelnen Organisation zu verstehen hat. Es teilen sich also nicht mehrere Organisationen die gleichen Ressourcen. Der Zugriff geschieht in der Regel über das Intranet.

Die Vorteile dieses Modells liegen auf der Hand. Die Daten scheinen auf den organisationseigenen Servern weitaus sicherer zu sein, als dies bei einem externen Anbieter der Fall ist (Baun, Kunze, Nimis, & Tai, 2011, S. 28). Des Weiteren kann bei hardwareseitigen Problemen direkt darauf zugegriffen werden und eine Überprüfung somit leichter stattfinden. Darüber hinaus ist eine individuellere Anpassung an die Bedürfnisse der Organisation möglich, da man sich die IT-Ressourcen, wie schon weiter oben angesprochen, nicht mit anderen teilen muss (Weber, et al., 2009, S. 30 ff).

Ein möglicher Nachteil der Private Cloud gegenüber der Public Cloud ist jedoch der hohe Kostenfaktor, der mit dem Betreiben und dem kontinuierlichen Verwalten der nötigen Hardware einhergeht. Ob man nun das Konzept der Private Cloud oder das der Public Cloud vorzieht, bleibt der persönlichen Präferenz überlassen. Die Faktoren, die eine Entscheidung diesbezüglich beeinflussen können, sind hierbei die Sensibilität der Daten, das vorhandene Budget, das Know How des Nutzers oder auch gewisse Sicherheitsaspekte.

2.5.3 Hybrid Cloud

Wer sich weder für eine Private Cloud noch für eine Public Cloud eindeutig entscheiden möchte, hat die Möglichkeit, die Modelle miteinander zu kombinieren. Dieses Konzept nennt sich dann „Hybrid Cloud“. Hier werden in der Regel zuerst die eigenen Ressourcen aus der Private Cloud oder der traditionellen IT verwendet, die dann bei Bedarf durch zusätzliche IT-Ressourcen von der Public Cloud erweitert werden können.

Laut Weber et al. werden in Zukunft meist sogenannte Mischformen anzutreffen sein, die aus Private Clouds, Public Clouds und traditioneller IT-Umgebung bestehen (Weber, et al., 2009, S. 30). Weiter sieht er die Herausforderung darin, diese Ansätze zu einer homogenen Umgebung zu vereinheitlichen.

2.5.4 Community Cloud

Unter der Community Cloud versteht man den Zusammenschluss von zwei oder mehreren Private Clouds. Das gemeinsame Nutzen von IT-Ressourcen wird angestrebt. Dies bietet sich an, wenn Private Clouds ähnliche Aufgaben und Anforderungen, in Bezug auf Sicherheit und Richtlinien zu erfüllen haben (Sosinsky, 2011, S. 7). Die Community Cloud ist nur den Mitgliedern der Community zugänglich.

Abbildung in dieser Leseprobe nicht enthalten

Abb. 2-6: Organisationsformen des Cloud Computing (Bothe, 2012, S. 8)

In Tabelle 2-1 sollen schließlich grundsätzliche Charakteristika der vier Modelle auf übersichtliche Art und Weise dargestellt werden.

Abbildung in dieser Leseprobe nicht enthalten

Tab. 2-1: Charakteristika der Organisationsformen in Anlehnung an (Meir-Huber, 2010, S. 41; Heininger, Wittges, & Krcmar, 2012, S. 16)

3 Datenschutz

Bereits ca. 400 Jahre vor Christus war die Privatsphäre ein schützenswertes Gut, wie man an einem Ausschnitt des hippokratischen Eids eindeutig erkennen kann.

„Was auch immer ich bei der Behandlung oder auch unabhängig von der Behandlung im Leben der Menschen sehe oder höre, werde ich, soweit es niemals nach außen verbreitet werden darf, verschweigen, in der Überzeugung, daß derartige Dinge unaussprechbar sind“ (Hippokrates, 1994, S. 53-55).

Die Geschichte des Datenschutzes begann Anfang der 1960er Jahre in den USA (Witt, 2010, S. 4). Der damalige Präsident der Vereinigten Staaten, John F. Kennedy, strebte zu dieser Zeit danach, eine IT-gestützte Datenbank erstellen zu lassen, in der alle amerikanischen Staatsbürger erfasst werden sollten. Diese Datenbank sollte dem Staat als Melderegister (National Data Center) dienen. Dagegen formierten sich jedoch massive Proteste, da eine solche Datenbank von der Bevölkerung als schwerer Eingriff in ihre Privatsphäre wahrgenommen wurde. Am Ende konnten sich die protestierenden Bürger durchsetzen und diese Datenbank wurde nicht erstellt.

Die Geschehnisse in den USA waren der Anfang einer weltweiten Debatte über den Datenschutz, die schnell auch in anderen Ländern das Verlangen nach Regelung weckte. In der Bundesrepublik Deutschland reagierte Hessen mit einem Gesetz, das den Begriff Datenschutz in der deutschen Rechtssprache beschreibt. Es trat bereits 1970 in Kraft und ist somit nicht nur das erste formelle Datenschutzgesetz Deutschlands, sondern das erste Datenschutzgesetz der Welt (Der Hessische Datenschutzbeauftragte, 2007). Nach seinem Vorbild wurden bis 1981 in allen anderen Bundesländern ähnliche Landesdatenschutzgesetze erlassen.

Heutzutage sind die Anforderungen an den Schutz der Privatsphäre mit den zunehmenden technologischen Mitteln zur Datenverarbeitung jedoch stark angestiegen. In Tabelle 3-1 werden exemplarisch neu gewonnene Möglichkeiten und Gefahren dieses technischen Fortschritts aufgezeigt.

Abbildung in dieser Leseprobe nicht enthalten

Tab. 3-1: Moderne Datenverarbeitung: Möglichkeiten und Gefahren in Anlehunung an (Felixberger, 2012)

Der Datenschutz spielt auch bei einem so globalen Thema wie Cloud Computing eine wichtige Rolle, da häufig ein ständiger Datenaustausch zwischen verschiedenen Beteiligten und verschiedenen Ländern geschieht. Besonders mit der zunehmenden personenbezogenen Datenverarbeitung taucht oft die Frage nach dem gegebenen rechtlichen Rahmen auf.

Diese Frage kann jedoch nicht ohne weiteres beantwortet werden, denn meistens sieht man sich beim Cloud Computing mit einer sehr geringen Transparenz konfrontiert. So wird zum Beispiel in den Standardverträgen häufig nicht einmal der Ort der Datenverarbeitung angegeben (Kaur & Kaushal, 2011, S. 106). Dies kann sich insofern als sehr problematisch erweisen, da immer die Gesetze und Regelungen des Staates gelten, in dem die Daten verarbeitet werden. Bislang gibt es nämlich keine einheitlichen, international gültigen Datenschutzregelungen. So soll im Folgenden ein Überblick über die zentralen Begriffe, den rechtlichen Rahmen und die Anwendbarkeit des Rechts beim Datenschutz gegeben werden.

3.1 Begriffsdefinition

Datenschutz wurde als Begriff nicht allumfassend definiert. Je nach Sichtweise kann er also für etwas anderes stehen. Das Gabler Wirtschaftslexikon definiert Datenschutz wie folgt:

„Sammelbegriff über die in verschiedenen Gesetzen zum Schutz des Individuums angeordneten Rechtsnormen, die erreichen sollen, dass seine Privatsphäre in einer zunehmend automatisierten und computerisierten Welt („Der gläserene Mensch“) vor unberechtigten Zugriffen von außen (Staat, andere Private) geschützt wird“ (Wichert, Siepermann, Lackes, Krumme, & Berwanger, 2009).

Diese Beschreibung soll als ein erster Erklärungsansatz dienen, der keiner nationalen gesetzlichen Grundlage entspringt.

3.2 Rechtlicher Rahmen

Eine ausführliche Behandlung aller Länder mit ihren unterschiedlichen Gesetzen und Regelungen kann hier leider nicht geschehen, da dies den Umfang dieser Arbeit deutlich überschreiten würde. Mit Blick auf die spätere Analyse der CSP soll exemplarisch die jeweilige rechtliche Situationen Deutschlands, der Europäischen Union (EU) und den Vereinigten Staaten von Amerika dargestellt werden.

[...]

---

^[1] FC Bayern München AG