Entwicklung eines auf CMMI basierenden Kriterienkatalogs zur Zertifizierung von Cloud-Service-Providern

Transkript

1 Christopher Hut Masterarbeit im Fach Information Systems Entwicklung eines auf CMMI basierenden Kriterienkatalogs zur Zertifizierung von Cloud-Service-Providern Themensteller: Jun.-Prof. Dr. Ali Sunyaev Vorgelegt in der Masterprüfung im Studiengang Information Systems der Wirtschafts- und Sozialwissenschaftlichen Fakultät der Universität zu Köln Köln, April 2013

2 II Inhaltsverzeichnis Abkürzungsverzeichnis... IV Abbildungsverzeichnis... VI Tabellenverzeichnis... VII 1. Einleitung Grundlagen Cloud Computing Definition Abgrenzung zu verwandten Konzepten IT-Outsourcing Offshoring Serviceorientierte Architektur Utility Computing Netsourcing Application Service Providing Grid-Computing Cluster-Computing High-Performance-Computing Auswertung Beschreibung möglicher Vorteile von Cloud Computing Beschreibung möglicher Risiken von Cloud Computing Anforderung an einen Cloud-Service Der Nutzen von Frameworks und Zertifikaten CMMI for Services Vorgehensweise Ableitung von Auswahlkriterien Analyse der CMMI-Prozessgebiete anhand der Auswahlkriterien Kapazitäts- und Verfügbarkeitsmanagement Ursachenanalyse und -beseitigung Konfigurationsmanagement Entscheidungsfindung Störungsbehebung und -vermeidung Fortgeschrittenes Management der Arbeit Messung und Analyse...38

3 III 5.8 Organisationsweite Prozessentwicklung Organisationsweite Prozessausrichtung Organisationsführung auf Basis der Prozessleistung Organisationsweites Prozessfähigkeitsmanagement Organisationsweite Aus- und Weiterbildung Prozess- und Produkt-Qualitätssicherung Quantitatives Arbeitsmanagement Anforderungsmanagement Risikomanagement Zulieferungsmanagement Kontinuitätsmanagement Erbringung von Dienstleistungen Entwicklung von Dienstleistungssystemen Betriebsüberführung Strategisches Dienstleistungsmanagement Verfolgung und Steuerung der Arbeit Planung der Arbeit Entwurf des Kriterienkatalogs Abdeckung der Auswahlkriterien durch den Kriterienkatalog Strukturierung des Kriterienkatalogs Einordnung der Kriterien in die Struktur des Kriterienkatalogs Anwendungsmöglichkeiten des Kriterienkatalogs Fazit...60 Literaturverzeichnis...63 Anhang A Zitate der zu CC verwandten Konzepte...71 Anhang B Kriterienkatalog...75 Anhang C Quellen der Kriterien...96 Erklärung Lebenslauf...101

4 IV Abkürzungsverzeichnis ASP BÜ CC CC-FW CMMI CMMI-SVC COBIT CSP DDoS ED ENISA HPC IaaS ID IT KOM KVM MA NIST Application Service Provider Betriebsüberführung Cloud Computing CC-Framework Capability Maturity Model Integration CMMI for Services Control Objectives for Information and Related Technology Cloud-Service-Provider Distributed Denial of Service Erbringung von Dienstleistungen Europäische Agentur für Netz- und Informationssicherheit High-Performance-Computing Infrastructure-as-a-Service Identifikator Informationstechnik Kontinuitätsmanagement Kapazitäts- und Verfügbarkeitsmanagement Messung und Analyse National Institute of Standards and Technology

5 V OAW OWASP PaaS PG PPQS QoS RSKM SaaS SBV SOA VPN ZM Organisationsweite Aus- und Weiterbildung Open Web Application Security Project Platform-as-a-Service Prozessgebiet Prozess- und Produkt-Qualitätssicherung Quality of Service Risikomanagement Software-as-a-Service Störungsbehebung und -vermeidung Serviceorientierte-Architektur Virtual Private Network Zulieferungsmanagement

6 VI Abbildungsverzeichnis Abb. 2-1: Einordnung der vorgestellten Konzepte...13 Abb. 3-1: Vorgehensweise...28

7 VII Tabellenverzeichnis Tab. 2-1: Übersicht CC-Kerneigenschaften...6 Tab. 2-2: Vergleich der Konzepte...14 Tab. 2-3: Übersicht CC-Vorteile...17 Tab. 2-4: Übersicht CC-Risiken...20 Tab. 2-5: Übersicht über Möglichkeiten, Risiken zu vermeiden...22 Tab. 2-6: Anforderungen an einen Cloud-Service...23 Tab. 4-1: Auswahlkriterien...31 Tab. 6-1: Kürzel der Prozessgebiete...58 Tab. 6-2: Auszug Kriterienkatalog...59

8 1 1. Einleitung Der Umsatz von Cloud-Service-Providern (CSP), Anbieter eines Modells zum bedarfsabhängigen Zugriff auf geteilte Rechnerleistungen, 1 wächst in Deutschland laut Bitkom im hr 2012 voraussichtlich um 47% auf ca. 5,3 Mrd. Euro. 2 Dabei können Risiken, wie mangelnde Datensicherheit und Verfügbarkeit, potenzielle Firmenkunden davon abhalten, einen Cloud-Service in Anspruch zu nehmen. 3 Vorteile von Cloud Computing (CC), wie eine Reduzierung der IT-Kosten oder eine bedarfsabhängige Verfügbarkeit des Cloud-Services, 4 können dadurch nicht realisiert werden. Um dies aber zu erreichen, stellt sich die Frage, wie ein CSP die mit CC verbundenen Risiken minimieren kann. Bei Problemen des IT-Managements hat sich gezeigt, dass die Einführung von Frameworks eine Möglichkeit ist, auf Risiken angemessen zu reagieren. So können z. B. eine niedrige IT-Service-Qualität und geringe Kundenzufriedenheit mit Hilfe von IT Service-Management-Frameworks verbessert werden. 5 Ob ein Framework dabei richtig umgesetzt wurde, kann mit Hilfe einer Zertifizierung anhand eines festgelegten Kriterienkataloges nachgewiesen werden. Dieses Prinzip der Risikominimierung durch die Verwendung eines Frameworks und des Nachweises der richtigen Umsetzung durch eine Zertifizierung soll in der vorliegenden Arbeit auf CSP übertragen werden. Häufig bestehen in einem Unternehmen bereits Frameworks, z. B. Capability Maturity Model Integration (CMMI), 6 dessen Variante CMMI for Services (CMMI-SVC) in dieser Arbeit betrachtet wird. Um neue Frameworks mit sich widersprechenden Vorschriften zu vermeiden, wird ein Vorgehen benötigt, mit dessen Hilfe CC- Frameworks (CC-FW) in ein bestehendes Framework integriert und bei erfolgreicher Umsetzung zertifiziert werden können. Ein solcher systematischer Ansatz, um Mängel in der Umsetzung von CC auf Seiten eines CSP im Rahmen einer Zertifizierung zu identifizieren, existiert derzeit noch nicht, Vgl. Mell, Grance (2011) S. 2. Vgl. BITKOM (2012), S. 1. Vgl. IT Governance Institute (2011), S. 38 und Petruch u. a. (2011), S. 16. Vgl. Armbrust u. a. (2010), S. 51 und 52. Vgl. Potgieter, Botha, Lew (2004), S. 163 und 166 sowie Cater-Steel, Tan, Toleman (2008), S. 14. Vgl. IT Governance Institute (2011), S. 29.

9 2 was eine Forschungslücke darstellt. Ein Kriterienkatalog zur Zertifizierung von CSP, die CMMI verwenden, kann einen Beitrag dazu leisten, Mängel zu beheben und so die Risiken, welche CC birgt, zu minimieren. Hauptziel dieser Arbeit ist die Beantwortung der Frage, welche Elemente in einem Kriterienkatalog zur Zertifizierung der Bereitstellung von Cloud-Services auf Seiten eines CSP enthalten sein müssen. Um dieses Ziel zu erreichen, müssen diverse Fragen beantwortet werden. Dabei werden zuerst wichtige Begriffe und Definitionen geklärt, welche als Basis für diese Arbeit dienen. So wird aufgezeigt, was unter CC und Cloud-Services verstanden wird und welchen Verwendungsweck Zertifizierungen und Frameworks erfüllen. Als nächste muss die Frage beantwortet werden, anhand welcher Auswahlkriterien Elemente von CMMI-SVC auf Relevanz für CC untersucht werden. Da unter Verwendung der Auswahlkriterien u. a. Elemente identifiziert werden sollen, mit deren Hilfe Vorteile erreicht und Risiken minimiert werden können, müssen zuerst mögliche Vorteile sowie Risiken von CC herausgearbeitet werden. Um die Eigenschaften von CC weiter zu verdeutlichen, werden außerdem Unterschiede zu verwandten Paradigmen aufgezeigt. Daraufhin werden das Ziel und die Struktur von CMMI-SVC beschrieben. Im Anschluss wird mit Hilfe der Auswahlkriterien untersucht, welche relevanten CC- Aspekte CMMI-SVC aufweist. Für jeden relevanten Aspekt von CMMI-SVC wird dann die Frage beantwortet, ob es bereits ein bestehendes CC-FW gibt, das die optimale Umsetzung des Aspekts vorgibt und so in CMMI-SVC integriert werden kann. Diese Integration ist nötig, da CMMI-SVC lediglich beschreibt, was zu tun ist, jedoch nicht, wie dies zu geschehen hat. 7 Falls sich kein passendes CC-FW finden lässt, wird geklärt, ob sich aus der Literatur Kriterien ableiten lassen. Als letztes Teilziel wird daraufhin geklärt, wie ein Kriterienkatalog zur Zertifizierung gestaltet werden kann. Die Arbeit beginnt mit Grundlagen zu CC und einer Beschreibung der Vorteile und Risiken. Auch eine Abgrenzung zu Konzepten, die im Zusammenhang zu CC stehen, wird hergestellt. Zum einen erfolgt dies, um die Unterschiede herauszuarbeiten, aber auch, um die Eigenschaften von CC nochmals deutlich dazustellen. Dies dient bereits dazu, um hieraus später Auswahlkriterien ableiten zu können. Anhand dieser Auswahlkriterien wird CMMI-SVC analysiert und untersucht, beispielsweise auf die 7 Vgl. Forrester, Buteau, Shrum (2011), S. 11.

10 3 Frage hin, ob ein CMMI-SVC-Prozessgebiet eine Relevanz für die Bereitstellung von Cloud-Services hat. Im Anschluss an die Ableitung der Auswahlkriterien werden die einzelnen Prozessgebiete untersucht. Falls sich eines als relevant herausstellt, werden zu diesem Prozessgebiet CC-FW vorgestellt, die beschreiben, wie das betrachtete Prozessgebiet ausgestaltet sein sollte, damit die Bereitstellung eines Cloud-Services so optimal wie möglich erfolgt. 2. Grundlagen 2.1 Cloud Computing Definition Als Basis für die CC-Definition wird die Version des National Institute of Standards and Technology (NIST) verwendet. Demnach ist CC ein Modell, das jederzeit und überall einen bedarfsabhängigen Zugriff auf geteilte Rechnerleistungen, z. B. Netzwerke, Server, Speicherplatz, Anwendungen und Services, erlaubt. 8 Der Zugriff muss dabei schnell und mit minimalem Managementaufwand möglich sein. Dabei weist CC fünf Kerneigenschaften auf: On-Demand Self-Service, Breitbandnetzwerkzugang, Ressourcenbündelung, hohe Flexibilität und messbarer Service. Diese werden im Folgenden näher erläutert. On-Demand Self-Service bedeutet, dass der Zugriff auf die Rechnerleistungen vom Kunden ausgeht. 9 Dabei ist es nicht notwendig, mit dem Service-Provider persönlich in Kontakt zu treten. Es sind also keine Telefonate oder andere menschliche Interaktionen notwendig. Die Eigenschaft Breitbandnetzwerkzugang sagt aus, dass der Zugriff auf die Ressourcen über ein Netzwerk geschieht. 10 Der Zugriff ist dabei unabhängig von der Wahl des Gerätetyps, z. B. PC oder Smartphone. Ressourcenbündelung besagt, dass das Angebot des Service-Providers aus physischen und virtuellen Ressourcen besteht, welche auf unterschiedliche Standorte verteilt sein Vgl. zu diesem und den beiden folgenden Sätzen Mell, Grance (2011), S.2. Vgl. zu diesem und dem folgenden Satz Mell, Grance (2011), S. 2. Vgl. Mell, Grance (2011), S. 2.

11 4 können. 11 Der Kunde hat keinen direkten Einblick darauf, wo sich die Ressource befindet, auf die er zugreift. Durch diese Virtualisierung von Ressourcen ist es möglich, einem Kunden je nach Bedarf eine passende Ressourcenmischung zur Verfügung zu stellen. Mit einer hohen Flexibilität wird vor allem beschrieben, dass die Kapazitäten jeder Zeit flexibel bereitgestellt werden können. 12 Ein Kunde kann also Ressourcen schnell und ohne Aufwand ab- oder bestellen. Dies resultiert darin, dass es so erscheint, als stünden unbegrenzte Kapazitäten zur Verfügung. Die fünfte Eigenschaft, messbarer Service, bedeutet, dass abhängig davon, welchen Bedarf der Anwender hat, Ressourcen eines CC-Systems automatisch überwacht und optimiert werden können. 13 Für den Anwender kann dabei eine Übersicht über den Ressourcenverbrauch geschaffen werden. Des Weiteren besteht CC aus drei Service-Modellen (Software-as-a-Service (SaaS), Platform-as-a-Service (PaaS) und Infrastructure-as-a-Service (IaaS)). Hinzu kommen die vier Betriebsmodelle Private Cloud, Community Cloud, Public Cloud und Hybrid Cloud. Die Service-Modelle unterscheiden sich in der Art des angebotenen Produktes, ob also Anwendungen, Speicherplatz oder eine Entwicklungsumgebung bereitgestellt werden. So werden bei SaaS dem Kunden Software-Anwendungen zur Verfügung gestellt, welche über den Browser oder über das Interface der Anwendung verwendet werden können. 14 Das Spektrum der Anwendungen reicht dabei von simplen, nur auf eine spezielle Funktion ausgerichteten Anwendungen bis hin zu komplexen Applikationen wie einem ERP-System. PaaS bietet den Kunden eine Entwicklungsumgebung, in der mit Hilfe verschiedener Frameworks Applikationen entwickelt werden können. 15 Daher ist dieses Service- Modell primär auf Entwickler und weniger auf Endkunden ausgerichtet. Das dritte Service-Modell, IaaS, bietet dem Kunden Zugriff auf Hardware, wie z. B. Speicherplatz oder Rechenleistung. 16 Hierbei kann der Kunde aufgrund der Eigenschaft Vgl. zu diesem und dem folgenden Satz Mell, Grance (2011), S. 2. Vgl. zu diesem und den beiden folgenden Sätzen Mell, Grance (2011), S. 2. Vgl. Mell, Grance (2011), S. 2. Vgl. zu diesem und dem folgenden Satz Zissis, Lekkas (2012), S Vgl. Zissis, Lekkas (2012), S. 584.

12 5 Ressourcenbündelung keinen Einfluss auf die dem Dienst unterliegende Hardware- Struktur nehmen. Die Wahl des Betriebssystems steht ihm hingegen frei. Zusätzlich zu den Service-Modellen gibt es verschiedene Betriebsmodelle. Hier stellt sich die Frage, wie viele Organisationen Zugriff auf die Cloud-Infrastruktur haben. Die verschiedenen Varianten Private, Community, Public und Hybrid Cloud werden im Folgenden beschrieben. Bei einer Private Cloud besitzt ein Kunde exklusiven Zugriff auf die Cloud Infrastruktur. 17 Diese kann dabei im Besitz des Kunden sein, wodurch der Datentransfer bspw. über ein firmeninternes Netzwerk geschehen kann. Da so unerlaubter Zugriff auf die Daten erschwert wird, führt dies zu einer Erhöhung der Datensicherheit. Falls die Infrastruktur zum Unternehmen gehört und von diesem betrieben wird, können aber möglicherweise Vorteile von CC nicht voll ausgeschöpft werden. So müsste das Unternehmen bspw. selbst Investitionen in die Infrastruktur tätigen und auf potenzielle Kostenersparnisse verzichten. Bei einer Community Cloud teilen sich mehrere Unternehmen eine Cloud Infrastruktur. 18 Dabei haben diese Unternehmen häufig gemeinsame Schwerpunkte, wie z. B. eine hohe Datensicherheit, die sie in der Infrastruktur gemeinsam verfolgen. Hierdurch ist es möglich, sich die Kosten für die Infrastruktur mit Partnern zu teilen, aber dennoch konkrete Ziele durchzusetzen. Da sich jedoch verschiedene Unternehmen die Ressourcen teilen, besteht z. B. die Gefahr, dass die Datentrennung versagt und so Unbefugte auf die Daten zugreifen können. Eine Public Cloud öffnet sich für alle potenziellen Kunden, 19 also für Unternehmen und Privatpersonen. Hierbei besitzt kein Kunde Anteile an der Infrastruktur, da diese vollständig von einem CSP betrieben wird. Die hier zu nennenden Risiken, wie die Unkenntnis über den Standort der Ressourcen, werden in Kapitel erläutert. Die letzte Variante, welche in der NIST-Definition vorkommt, ist die Hybrid Cloud. Hierbei werden zwei oder mehr Betriebsmodell-Varianten miteinander kombiniert, um die jeweiligen Vorteile auszunutzen. 20 Dabei bleiben die Cloud-Systeme als Vgl. zu diesem und dem folgenden Satz Mell, Grance (2011), S. 3. Vgl. zu diesem und dem folgenden Satz Zissis, Lekkas (2012), S Vgl. zu diesem und dem folgenden Satz Mell, Grance (2011), S. 3. Vgl. zu diesem und dem folgenden Satz Mell, Grance (2011), S. 3. Vgl. zu diesem und dem folgenden Satz Mell, Grance (2011), S. 3.

13 6 eigenständige Einheit bestehen, werden aber an Schnittstellen miteinander verbunden, um eine Interaktion zu ermöglichen. Eine Kombination von unterschiedlichen Betriebsmodellen kann sinnvoll sein, um die Stärken der jeweiligen Modelle miteinander zu verbinden. skritische Daten könnten in einer Private Cloud abgelegt werden, um den Vorteil des geringeren Risikos durch den Zugriff von Unbefugten zu nutzen. Benötigte Rechenleistung kann hingegen aus einer Public Cloud bezogen werden, welche durch die Vielzahl an Kunden günstiger ist. Durch eine Kombination können also die Vorteile genutzt, es müssen aber auch die Nachteile der Varianten in Kauf genommen werden. Tabelle 2-1 fasst die sich aus den Kerneigenschaften und der Definition ergebenden CC- Eigenschaften zusammen. In dieser und folgenden Tabellen wird die Spalte ID als Identifikator verwendet, um insbesondere bei der Ableitung der Auswahlkriterien auf den Ableitungsursprung zu verweisen. ID CC-Eigenschaften K-1 Kunde hat jederzeit und überall Zugriff auf Cloud-Service K-2 Zugriff ist bedarfsabhängig K-3 Mehrere Kunden teilen sich die Rechnerleistungen K-4 Zugriff muss schnell und mit minimalem Managementaufwand möglich sein K-5 Zugriff auf Rechnerleistungen geht vom Kunden aus K-6 Zugriff auf die Ressourcen geschieht über ein Netzwerk K-7 Zugriff ist unabhängig von der Wahl des Gerätetyps K-8 Angebot des Service-Providers besteht aus physischen und virtuellen Ressourcen, welche auf unterschiedliche Standorte verteilt sein können K-9 Kapazitäten können jederzeit flexibel bereitgestellt werden K-10 Ressourcen eines CC-Systems werden automatisch überwacht und optimiert K-11 Für den Anwender kann eine Übersicht über den Ressourcenverbrauch geschaffen werden (messbarer Service) Tab. 2-1: Übersicht CC-Kerneigenschaften In den folgenden Kapiteln werden die Begriffe Cloud Computing (CC), Cloud-Service und Cloud-Service-Provider (CSP) häufig verwendet. Dabei wird CC als das gesamte Konzept aufgefasst, welches in diesem Teilkapitel vorgestellt wurde. Ein CSP bietet ein konkretes, auf einer CC-Infrastruktur basierendes Produkt an, wie z. B. eine Entwicklungsumgebung. Das konkrete Produkt wiederum wird in dieser Arbeit als Cloud-Service aufgefasst.

14 Abgrenzung zu verwandten Konzepten In den folgenden Unterkapiteln werden mit CC verwandte Konzepte vorgestellt. Dabei werden diese erst einzeln definiert und im Anschluss in Kapitel zu CC abgegrenzt und Gemeinsamkeiten mit CC beschrieben IT-Outsourcing Die Frage, die sich ein Unternehmen beim Outsourcing stellt, ist, ob eine Aufgabe innerhalb des Unternehmens ausgeführt oder an einen Service-Provider ausgelagert wird. 21 Dabei liegt der Fokus von IT-Outsourcing auf IT-bezogenen Entscheidungsrechten, Geschäftsprozessen und vormals internen Aktivitäten, die von einem externen Service-Provider ausgeführt werden. 22 Dieser übernimmt die Verwaltung und Administration der übergebenen Aufgaben unter Berücksichtigung von zuvor getroffenen Vereinbarungen bezüglich der Service-Qualität. Gründe für IT-Outsourcing liegen in potenziell geringeren Kosten, dem Zugang zu speziellen, technischen Fähigkeiten und der Möglichkeit, die IT-Services-Qualität zu verbessern. 23 Außerdem kann mit der Auslagerung einzelner Aufgaben der IT- Abteilung der Vorteil verbunden sein, dass es dem Service-Provider durch sein höheres Know-how möglich ist, die Unterstützung der Geschäftsziele durch die IT zu erhöhen. Falls ein Unternehmen sich dafür entscheidet, einen Cloud-Service von einem externen CSP zu beziehen, handelt es sich ebenfalls um IT-Outsourcing Offshoring Während Outsourcing die Frage klärt, ob eine Aufgabe innerhalb oder außerhalb eines Unternehmens gelöst wird, betrachtet das Konzept des Offshorings die geografische Entfernung. 24 Offshoring kann demnach auch innerhalb eines Unternehmens erfolgen, bspw. wenn ein in Deutschland ansässiges Unternehmen eine Aufgabe von einem Tochterunternehmen in Indien ausführen lässt. Eine Offshoring-Entscheidung lässt sich aber auch komplexer darstellen. So kann die Entscheidung als Spektrum repräsentiert Vgl. Loh, Venkatraman (1992), S. 9. Vgl. zu diesem und dem folgenden Satz Dhar, Balakrishnan (2006), S. 39. Vgl. zu diesem und dem folgenden Satz DiRomualdo, Gurbaxani (1998), S. 70 und S. 72. Vgl. Olsson u. a. (2008), S. 259.

15 8 werden, in dem einzelne Länder eingeordnet werden. 25 Dabei werden die Arbeitskosten (z. B. gering in China, hoch in den USA), der kulturelle Unterschied und die Qualität der Infrastruktur betrachtet. Bei einer Entscheidung für oder gegen Offshoring muss folglich abgewogen werden, wie viel niedriger die Arbeitskosten sein sollen, ohne dass der kulturelle Unterschied zu gravierend ist. Die Konzepte des Outsourcings und Offshorings können kombiniert werden. Hierbei wird eine vormals interne Aufgabe an einen externen Service-Provider ausgelagert, dessen Unternehmenssitz eine weite geografische Entfernung aufweist und demnach nicht aus derselben Region wie der Auftragsgeber stammt. 26 Ein möglicher Grund für eine Kombination der Konzepte wäre, dass die Arbeitskosten außerhalb der Region des Auftraggebers geringer sein können, was den Anreiz des Outsourcings noch verstärkt Serviceorientierte Architektur Bei einer Serviceorientierten Architektur (SOA) handelt es sich um ein Konzept, bei dem große Teile der IT-Infrastruktur, wie z. B. Applikationen, als Service aufgefasst werden. 27 Ein Service ist dabei unabhängig vom Kontext, anderen Services oder der Plattform, auf der die Architektur umgesetzt wird, wodurch ein Service stets eigenständig betrieben werden kann. Zweck solch einer SOA ist die Erhöhung der Flexibilität, mit der auf neue Anforderungen reagiert werden kann. 28 Diese Flexibilität entsteht dadurch, dass ein neuer Service aufgrund der beschriebenen Unabhängigkeit dynamisch verschoben und eingebunden werden kann, ohne dass durch Abhängigkeit zu anderen Komponenten Fehler bei der Anpassung entstehen Utility Computing Utility Computing stellt ein technisch-organisatorisches Konzept dar, das auf der Art und Weise beruht, wie Produkte aus der Grundversorgung (z. B. Strom und Wasser) abgerufen werden. 29 Produkte der Grundversorgung müssen immer genau dann verfügbar sein, wenn ein Kunde sie benötigt und werden dabei verbrauchsabhängig in Vgl. zu diesem und dem folgenden Satz Metters (2008), S Vgl. Erber, Sayed-Ahmed (2005), S Vgl. zu diesem und dem folgenden Satz Papazoglou, Heuvel (2007), S Vgl. zu diesem und dem folgenden Satz Papazoglou, Heuvel (2007), S Vgl. zu diesem und den beiden folgenden Sätzen Buyya u. a. (2009), S. 600.

16 9 Rechnung gestellt. Die zur Erzeugung und Nutzung der Produkte notwendige Infrastruktur muss nicht vom Kunden selbst errichtet werden, sondern wird vom Service-Provider zur Verfügung gestellt. Utility Computing wendet dieses Konzept der Grundversorgung auf IT-Services an. Es stellt dabei aber eher eine Vision dar, welche noch durch ein technisches Konzept wie Grid-Computing, Cluster-Computing oder CC umgesetzt werden muss. 30 Wichtige Eigenschaften, die einen Service zu einem Produkt der Grundversorgung machen, sind dabei u. a., dass der Service eine hohe Verlässlichkeit und Benutzerfreundlichkeit aufweist. 31 Weiter muss auf den Service immer, auch bei hoher Auslastung, zugegriffen werden können und der Service muss skalierbar sein. Bezogen auf Utility Computing bedeutet dies, dass ein Nutzer jederzeit bei Bedarf über das Internet Zugriff auf eine IT-Infrastruktur, Anwendungen und Geschäftsprozesse in einer sicheren Umgebung erhält. 32 Diese Ressourcen teilt er sich mit mehreren Nutzern Netsourcing Netsourcing ist eine Variante des Outsourcings, deren Basis das Internet ist. 33 Daher kann Netsourcing als ein Oberbegriff für weitere Konzepte dienen, die auf einer ähnlichen Basis beruhen. Zu nennen sind hier u. a. Application Service Providing (Kapitel ) und Cloud Computing. Hierbei bietet ein Service-Provider browserbasierte Services über das Internet an, welche Applikationen, aber auch z. B. Speicherplatz umfassen können. 34 Dieses Angebot wird zentral verwaltet, potenzielle Nutzer teilen sich die Ressourcen des Service-Providers. 35 Demnach kann ein Service von verschiedenen Nutzern in Anspruch genommen werden Application Service Providing Beim Konzept des Application Service Providing (ASP) handelt es sich um die Entwicklung und das Angebot von Anwendungen, die mehreren Parteien von einer Vgl. Buyya u. a. (2009), S Vgl. zu diesem und dem folgenden Satz Rappa (2004), S Vgl. zu diesem und dem folgenden Satz Rappa (2004), S. 38. Vgl. zu diesem und dem folgenden Satz Loebbecke, Huyskens (2006), S Vgl. Kern, Willcocks, Lacity (2002), S. 113 und 115. Vgl. Loebbecke, Huyskens (2009), S. 653.

17 10 zentral verwalteten Einrichtung über Netzwerke zur Verfügung gestellt werden. 36 Weiter ist der Service-Provider dafür verantwortlich, dass dem Kunden die neusten Versionen der Applikationen angeboten werden. 37 Zur Bewertung der Service-Qualität spielen die Benutzerfreundlichkeit und Verfügbarkeit des Services eine große Rolle. 38 Kunden des ASP beziehen hierbei Applikationen von einem externen Service-Provider, wodurch das Konzept eine Form des Outsourcings repräsentiert. Das ASP-Konzept hat eine hohe Ähnlichkeit zum CC-Service-Modell SaaS. Jeweils liegt der Fokus auf Applikationen, welche dem Kunden über ein Netzwerk zur Verfügung gestellt werden. Auch ist jeweils der Service-Provider für die Bereitstellung und Wartung des Services verantwortlich. Auf die CC-Kerneigenschaft der Ressourcenbündelung und Virtualisierung wird hingegen nicht eingegangen Grid-Computing Grid-Computing beschreibt eine Infrastruktur von geografisch verteilten, autonomen Ressourcen, welche eng zusammenarbeiten und als eine Einheit aufgefasst werden. 39 Ziel ist dabei, skalierbare Kapazitäten zur Verfügung zu stellen, mit denen rechenintensive Aufgaben gelöst werden können. 40 Bei einer Grid-Architektur werden die einzelnen Ressourcen virtualisiert, wodurch ein Fundus aus virtuellen Ressourcen entsteht. 41 Da die Ressourcen eines Grid-Systems autonom sind und so auch aus dem System entnommen werden können, kann sich der Fundus an Ressourcen dynamisch verändern. Durch die Virtualisierung und der Autonomie der Ressourcen ist es einem Anwender eines Grid-Systems nicht immer klar, auf welche physischen Ressourcen er momentan zugreift. Dabei werden Aufgaben, welche eine Grid-Infrastruktur benötigen, projektorientiert durchgeführt. 42 Dies bedeutet, dass ein bestimmtes Kontingent an Ressourcen nur für einen bestimmten Zeitraum zur Verfügung gestellt wird Vgl. Yao, Watson, Kahn (2010), S Vgl. Walsh (2003), S Vgl. Walsh (2003), S Vgl. Buyya u. a. (2009), S Vgl. Messerschmidt, Hinz (2012), S. 2. Vgl. zu diesem und den beiden folgenden Sätzen Németh, Sunderam (2003), S. 12. Vgl. Foster u. a. (2008), S. 3.

18 11 Um eine höhere Datensicherheit zu gewährleisten, wird bei der Anforderung von Ressourcen ein persönlicher Kontakt benötigt, der die Identität des Kunden sicherstellt. 43 Da auf diese Weise keine anonymen Accounts möglich sind und Passwörter nicht via verschickt werden, entsteht eine erhöhte Datensicherheit Cluster-Computing Bei Cluster-Computing handelt es sich um einen Zusammenschluss von Computern zu einem verteilten System, welches parallel Aufgaben lösen kann und als eine gemeinsame Ressource auftritt. 44 Dabei werden gewöhnliche Computer verwendet, 45 was dazu führt, dass die Kosten im Verhältnis zur verfügbaren Rechenleistung gering gehalten werden können. Während beim Grid-Computing die einzelnen Ressourcen des Systems von unterschiedlichen Einheiten verwaltet werden, geschieht dies beim Cluster-Computing lediglich durch eine Einheit. 46 Durch den Zusammenschluss mehrere Computer kann neben der erhöhten, günstigen Rechenleistung außerdem eine höhere Stabilität des Systems erreicht werden. 47 Fällt ein Computer aus, kann dies vom System aufgefangen werden, ohne dass es zu hohen Ausfällen bei der Rechenleistung kommt High-Performance-Computing High-Performance-Computing (HPC) ist ein Konzept, mit dessen Hilfe Arbeiten verkürzt oder überhaupt erst durchgeführt werden können, die sehr viel Rechenleistung oder -zeit benötigen. 48 Dabei werden neuste Technologien verwendet, um zusätzliche, über dem gewöhnlich benötigtem Niveau liegende Rechenleistung verwenden zu können. 49 So können z. B. Grid-Computing oder CC verwendet werden, um die notwendige Rechenleistung zu gewährleisten und dieses Konzept umzusetzen Vgl. Foster u. a. (2008), S. 8. Vgl. Yousif (1999), S Vgl. Buyya u. a. (2009), S Vgl. Buyya u. a. (2009), S Vgl. zu diesem und dem folgenden Satz Bansal, Sharma (2010), S. 2. Vgl. Vecchiola, Pandey, Buyya (2009), S. 4. Vgl. zu diesem und dem folgenden Satz Mateescu, Gentzsch, Ribbens (2011), S

19 12 HPC steht primär dem Besitzer der Infrastruktur zur Verfügung, was dazu führt, dass die Datensicherheit in dieser Umgebung hoch ist, da nur der Besitzer der Infrastruktur Zugriff auf die Ressourcen erhält. 50 Die zur Verfügung gestellte Infrastruktur hat eine fixe Kapazität, die jedoch eine hohe Leistungsfähigkeit bietet. Soll die Kapazität also erweitert werden, müssen folglich neue Ressourcen gekauft werden. HPC stellt keine Unterform der vorgestellten Konzepte dar, sondern wird aufgeführt, da CC genutzt werden kann, um die notwendigen Ressourcen für HPC bereitzustellen Auswertung In Abbildung 2-1 sind drei Ebenen dargestellt, in die die vorgestellten Konzepte eingeordnet werden, um den Überblick über den Zusammenhang zwischen den Konzepten zu verbessern. Dabei handelt es sich erstens um übergeordnete Konzepte mit den Teilbereichen organisatorische und technisch-organisatorische Konzepte, zweitens um Spezialformen der übergeordneten Konzepte und drittens um Architektur-Konzepte, welche einen technischeren Fokus haben. HPC wird gesondert behandelt, da es in keine der gewählten Ebenen passt. Im Folgenden werden die vorgestellten Konzepte sowie CC in die Ebenen einsortiert und Unterschiede zwischen CC und den Konzepten Grid- Computing und Cluster-Computing aufgezeigt. IT-Outsourcing und Offshoring stellen organisatorische Konzepte dar. Bei beiden spielt die technische Umsetzung keine so wichtige Rolle wie z. B. bei Utility Computing. Auch SOA und Utility Computing haben Auswirkung auf die Organisation einer IT- Abteilung, allerdings hat hier die Frage, wie diese technisch umgesetzt werden, eine höhere Bedeutung. Der zweiten Ebene sind die Konzepte ASP und Netsourcing zugeordnet. Es sind jeweils Konzepte, die eine Form des Outsourcings darstellen. Je nach Sitz des Service- Providers kann es sich um Offshore-Outsourcing handeln. Zu den technischen Architektur-Varianten zählen Grid-Computing, Cluster-Computing und CC. Hierbei handelt es sich um Konzepte, die die Architektur eines Systems von verteilten Ressourcen betrachten. Sie können u. a. verwendet werden, um die Spezialformen des Outsourcings umzusetzen. 51 Es ist aber auch denkbar, dass die hier genannten Konzepte in der internen IT eines Unternehmens verwendet werden Vgl. zu diesem und dem folgenden Satz Mateescu, Gentzsch, Ribbens (2011), S Vgl. Buyya u. a. (2009) S. 599.

20 13 Abb. 2-1: Einordnung der vorgestellten Konzepte. Die Unterschiede und Gemeinsamkeiten der vorgestellten Konzepte sind in Tabelle 2-2 aufgeführt. Deutlich wird dabei, dass CC mit allen Konzepten Gemeinsamkeiten hat. So kann es sich bei CC um IT-Outsourcing handeln, falls sich ein Unternehmen dazu entschließt, einen Cloud-Service zu verwenden, der von einem externen CSP angeboten wird. Hingegen kann ein Unternehmen natürlich auch seinen eigenen Cloud-Service betreiben und verwenden. Je nachdem, wo der CSP sitzt, kann CC eine Form von Offshoring sein. Wenn ein Unternehmen sich dafür entscheidet, einen Cloud-Service zu verwenden, werden Teile des SOA-Konzeptes verwendet, da ein Cloud-Service wichtige Elemente einer SOA erfüllt. Bei beiden Konzepten werden unabhängige Services verwendet, welche eigenständig und flexibel eingesetzt werden können. Auch die Aspekte der erhöhten Flexibilität und Verschiebbarkeit sind bei Cloud-Services vorhanden. Dies bedeutet jedoch nicht, dass ein Unternehmen durch die Verwendung eines Cloud- Services das vollständige SOA-Konzept umsetzt. So können neben dem Cloud-Service weiterhin Applikationen verwendet werden, welche das SOA-Konzept nicht erfüllen. Es ist jedoch möglich, mit Hilfe von Cloud-Services das SOA-Konzept umzusetzen, da ein Cloud-Service ein eigenständiger Service ist, der unabhängig von anderen Komponenten ist und dank seiner virtuellen Ressourcen außerdem dynamisch verschoben werden kann.