CLOUD COMPUTING. Jonas Mathys Luca Haubensak Dr. Ing. Christian Thiel, Dozent

Transkript

1 CLOUD COMPUTING Jonas Mathys Luca Haubensak Dr. Ing. Christian Thiel, Dozent Seminararbeit an der FHS St.Gallen, Hochschule für Angewandte Wissenschaften 2012

2 Verfasser: Jonas Mathys Luca Haubensak Kundschaft: FHS St. Gallen, Hochschule für Angewandte Wissenschaften Dr. Ing. Christian Thiel, Dozent Eingereicht am: 6. Januar 2012

3 Inhaltsverzeichnis III Inhaltsverzeichnis Inhaltsverzeichnis... III Abbildungsverzeichnis... V Tabellenverzeichnis... VI Abkürzungsverzeichnis... VII 1 Einleitung Ziel der Arbeit Vorgehen und Aufbau Cloud Computing kurz erklärt Ein Definitionsversuch Von der Unternehmensarchitektur zum Cloud Computing Unterschied zu Shared Web Hosting Verschiedene Cloud Liefermodelle Cloud Servicemodelle Vor- und Nachteile von Cloud Computing Technischer Aspekt beim Geschäftseinsatz Technische Architektur einer SaaS Technische Architektur einer PaaS Bedrohungen im technischen Aspekt Betrieblicher Aspekt beim Geschäftseinsatz Kleinunternehmen Mittelgrosse Unternehmen Grossunternehmen Bedrohungen im betrieblichen Aspekt Technische und betriebliche Aspekte zusammen Allgemeine Bedrohungen Gefahren für Nutzer virtualisierter Systeme Risiken der verschiedenen Liefermodelle Technische und betriebliche Bedrohungen Gesellschaftliche Aspekte Ökologische Problemfelder... 22

4 Inhaltsverzeichnis IV 6.2 Soziale Problemfelder Gesellschaftliche Bedrohungen Rechtliche Aspekte Problembeschreib Überblick relevante Gesetzte in der Schweiz und Europa Rechtliche Bedrohungen Massnahmen und deren Bewertung CIA-Triade und Gegenmassnahmen Vertragliche Massnahmen Technische Massnahmen Organisatorische Massnahmen Restrisiken Übersicht Massnahmen und Bedrohungen Leitfaden für Unternehmen KMU und Cloud Computing Technische Vor- und Nachteile Anforderungen von den KMU Grosse Unternehmen mit Cloud Computing Vorteile der Cloud Anforderungen bei Grosskonzernen Bedrohungen und Nachteile der Cloud Allgemeines Fazit mit Empfehlungen für KMU und Grosskonzerne Datenschutz für KMU und Grosskonzerne Empfehlungen bezüglich Transparenz Anhang Quellenverzeichnis Vertraulichkeitserklärung... 62

5 Abbildungsverzeichnis V Abbildungsverzeichnis Abb. 1: IT-Effizienz mit und ohne Cloud... 3 Abb. 2: Cloud Computing Liefermodelle... 4 Abb. 3: Private und Public Clouds und ihre Unterformen... 5 Abb. 4: Essentielle Bestandteile des Cloud Computings... 6 Abb. 5: Aufbau eines XaaS-Modells... 8 Abb. 6: Technische Architektur einer SaaS-Anwendung und Services Abb. 7: Eigener Managementanteil der einzelnen Cloudservices Abb. 8: Darstellung einer PaaS 12 Abb. 9: SWOT-Darstellung für kleine Unternehmen... Fehler! Textmarke nicht definiert. Abb. 10: SWOT-Darstellung für mittlere Unternehmen... Fehler! Textmarke nicht definiert. Abb. 11: SWOT-Darstellung für grosse Unternehmen... Fehler! Textmarke nicht definiert. Abb. 12: Risikoverteilung der verschiedenen Liefermodelle... Fehler! Textmarke nicht definiert. Abb. 13: Rechtssubjekte beim Cloud Computing... Fehler! Textmarke nicht definiert. Abb. 14: Service-Modelle und deren Vertragsform Abb. 15: CIA-Triade mit Gegenmassnahmen Abb. 16: Verantwortung für das Tragen der Compliance Abb. 17: Faktoren für die Zufriedenheit mit Cloud Computing bei KMU Abb. 18: Erfolgsfaktoren von Cloud Computing aus CIO-Sicht Abb. 19: Wichtige Punkte der Transparenz bei Private- und Public-Cloud... 41

6 Tabellenverzeichnis VI Tabellenverzeichnis Tab. 1: Vor- und Nachteile der Cloud-Liefermodelle Tab. 2: Vor- und Nachteile der Cloud-Nutzungsmodelle... 9 Tab. 3: Mögliche technische Vorteile einer SaaS Tab. 4: Elemente einer PaaS Tab. 5: Bekannte Gefahren für Cloud Computing und traditioneller IT Tab. 6: Cloud Service Provider Risks Tab. 7: Ausmass der rechtlichen Risiken Tab. 8: Übersicht Massnahmen und Bedrohungen... 38

7 Abkürzungsverzeichnis VII Abkürzungsverzeichnis aas AGB ASP BIOID BIOS BSI CAPTCHA COBIT CIA DSG HTTP IaaS IP IT ITIL PaaS QoS RAID SaaS SLA SWOT VM VPN XaaS as a Service Allgemeine Geschäftsbedingungen Application Service Providing Biometric ID Basic input/output system Bundesamt für Sicherheit in der Informationstechnik Completely Automated Public Turing test to tell Computers and Humans Apart Control Objectives for Information and Related Technology Confidentiality, Integrity und Availability Datenschutzgesetz (Schweiz) Hypertext Transfer Protocol Infrastructure as a Service Internetprotokoll Informationstechnologie, Information Technology IT Infrastructure Library Platform as a service Quality of Service Redundant Array of Independent Disks Software as a Service Service level agreement Strengths, Weaknesses, Opportunities und Threats Virtuelle Maschine Virtual Private Network Everything as a Service

8 Kapitel 1: Einleitung 1 1 Einleitung 1.1 Ziel der Arbeit Der Begriff Cloud Computing ist zurzeit in aller Munde. Während für den privaten Gebrauch bereits die ersten Produkte auf den Markt kommen, zögern Unternehmen ihre IT-Architektur und Geschäftsdaten in die Cloud zu geben. Bestehende Gesetze in der Schweiz und Europa erschweren derzeit eine rechtskonforme Umsetzung von Cloud-Diensten. Diese Arbeit soll klären, inwieweit Cloud Computing tatsächlich nach derzeitigem Stand für Unternehmen rechtlich nutzbar gemacht werden kann. 1.2 Vorgehen und Aufbau Das Projektteam bekommt mit dieser Arbeit die Chance ein aktuelles Thema aus dem IT- Umfeld zu bearbeiten. Zu Beginn ist es wichtig ein grundlegendes Wissen über Cloud Computing aufzubauen. Dazu dient das Kapitel Zwei, es gibt einen Überblick was Cloud Computing bedeutet, was es leistet und welche Formen davon zurzeit bestehen. Das dritte Kapitel geht auf die technischen Aspekte von Cloud Computing ein. Im vierten Kapitel analysiert die Projektgruppe die betrieblichen Aspekte und vergleich diese in einem SWOT-Diagramm für unterschiedliche Unternehmensgrössen. Die beiden Aspekte betrieblich und technisch fliessen im Kapitel Fünf zusammen und werden als Bedrohungen aufgelistet. Auf die rechtlichen und gesellschaftlichen Aspekte wird in den Kapiteln Sechs und Sieben eingegangen. Auch hier entsteht eine Liste der wichtigsten rechtlichen und gesellschaftlichen Bedrohungen für das Cloud Computing. Die in den Kapiteln Fünf bis Sieben gesammelten Bedrohungen werden im Kapitel Acht den Massnahmen gegenübergestellt. So entsteht ein Raster der aufzeigt welche Massnahmen gegen welche Bedrohungen nützen. Das Fazit dieser Seminararbeit soll im letzten Kapitel in Form eines Leitfadens entstehen, dieser wendet sich an Unternehmen welche sich in die Cloud wagen wollen.

9 Kapitel 2: Cloud Computing kurz erklärt 2 2 Cloud Computing kurz erklärt 2.1 Ein Definitionsversuch Der Begriff Cloud Computing ist ein Anglizismus und bedeutet auf Deutsch in etwa Rechenleistung aus der Wolke. Um diesen etwas nebulösen Begriff genauer zu fassen, haben Metzger, Reitz & Villar (2011, S. 13) in ihrem Handbuch Cloud Computing Chancen und Risiken aus technischer und unternehmerischer Sicht Cloud Computing als abstrahierte IT- Infrastruktur, fertiger Software sowie Programmierungsumgebungen, die sich dynamisch an den Bedarf anpassen und über ein Netzwerk zur Vefügung stehen, definiert. Dabei sind vor allem IaaS (Infrastructure-as-a-Service), SaaS (Software-as-a-Service), PaaS (Platform-asa-Service) sowie XaaS (Everything-as-a-Service) von Bedeutung. Eine weitere Definition kommt vom National Institute for Standards and Technology [NIST]: Cloud computing is a model for enabling convenient, ondemand network access to a shared pool of configurable computing resources (e.g., networks, servers, storage, applications, and services) that can be rapidly provisioned and released with minimal management effort or service provider interaction. This cloud model promotes availability and is composed of five characteristics, three service models and four deployment models. Die in der Definition angesprochenen Charakteristiken, Liefer- und Servicemodelle werden nachfolgend genauer angesprochen. 2.2 Von der Unternehmensarchitektur zum Cloud Computing Eine für das gesamte Unternehmen definierte und zentral gepflegte Architektur trägt dazu bei, redundante und inkonsistente Informationen des Unternehmens zu beseitigen. Sie dient als zentrales Koordinationsinstrument zwischen unterschiedlichen Unternehmensbereichen für die integrierte Gestaltung von Informationssystemen, Organisationsstrukturen und Unternehmensstrategien. (Braun, 2010) In der heutigen Zeit spielen Service-orientierte Architekturen (SOA) eine immer wichtigere Rolle. Die Modularisierung und Integrationsfähigkeit der einzelnen Applikationen hat sich massiv verbessert. Die IT-Infrastruktur wird von den Unternehmen als Service betrachtet, der Begriff IT as a Service belegt diese Entwicklung.

10 Kapitel 2: Cloud Computing kurz erklärt 3 Ein wichtiger Ansatz dabei ist eben das Cloud Computing. Die Rechen-Wolke steht für die Dienstleistung komplette Softwarelösungen als Service übers Internet zur Verfügung zu stellen. Im Gegensatz zu bestehenden Client-Server Lösungen sind solche Clouds in der Skalierbarkeit weit überlegen. 2.3 Unterschied zu Shared Web Hosting Die heute noch weit verbreiteten Anbieter von Shared Web Hosting Angeboten (eine Art Vorgänger-Technologie) stellen ihren Kunden einen klar definierten Teil ihrer Hardware zur Verfügung. Auf diesen Serversystemen erhält jeder Benutzer eine bestimmte Anzahl von Speicherplatz und Rechenleistung. Wenn die Leistung und der Speicherplatz nicht mehr ausreichen, muss ein neuer Hosting-Vertrag abgeschlossen werden. Beim Cloud Computing gibt es keine bestimmte Leistungsgrenze mehr. Der Kunde erhält von seinem Cloud Provider so viel IT-Kapazität wie er benötigt. Das heisst auch, wenn er weniger Leistung braucht, dass sich die Cloud anpasst und der Kunde im Endeffekt weniger dafür zahlen muss. Abbildung 1 zeigt die IT-Effizienz (Skalierbarkeit) eines Cloud-Systems im Gegensatz zu einer Shared Web Hosting Lösung. Die Rechenleistung wird in der Cloud dynamisch an die Nachfrage angepasst und ein Unternehmen spart so an Kosten (Cash.ch, 2011). Abb. 1: IT-Effizienz mit und ohne Cloud. Quelle: Cash.ch (2011).

11 Kapitel 2: Cloud Computing kurz erklärt Verschiedene Cloud Liefermodelle Das National Institute for Standards and Technology fügt zu der Definition von Cloud Computing noch vier Liefermodelle sowie fünf essenzielle Charakteristika auf (Metzger et al., 2011, S ). In der untenstehenden Abbildung 2 finden sich die vier Liefermodelle detailliert wieder. Cloud Liefermodelle Private Cloud Exploratory Cloud Ausprobieren und Testen im Vordergrund Departemental Cloud Nur auf eine Abteilung beschränkt Enterprise Cloud Gesamte Unternehmung Public Cloud Exclusive Cloud grössere Sicherheit als im Open Cloud, Anbieter und Nutzer kennen sich, keine "zufälligen" Nutzer Open Cloud Anbieter und Nutzer kennen sich nicht Hybrid Clouds Definition Mischung von Services aus Private und Public innerhalb einer Anwendung Community Cloud Definition Services die von verschiedenen Unternehmen gleichzeitig genutzt werden Zusammenschluss von Private Clouds zu einer Community Abb. 2: Cloud Computing Liefermodelle. Quelle: Eigene Darstellung in Anlehnung an Metzger et al. (2011, S ). Unter einer Private Cloud versteht man gemäss Metzger et al. (2011, S. 18) eine Form des Cloud Computings, dass sich sowohl Anbieter und Nutzer der Cloud-Dienste innerhalb derselben Unternehmung befinden. Die Problematik bezüglich Datenschutz sowie Datenspeicherort wird damit weniger dringend. Die Private Cloud selbst kann in drei Evolutionsstufen aufgeteilt werden: Exploratory Cloud In der Exploratory Cloud steht das Ausprobieren und Testen in einer definierten Gruppe oder im gesamten Unternehmen im Vordergrund. Hierbei sollen die Vor- und Nachteile der Cloud- Lösung untersucht werden. Department Cloud In der Evolutionsstufe des Department Clouds geht es wie der Name schon sagt, darum, dass die Cloud-Services lediglich einem Departement im Unternehmen zur Verfügung ste-

12 Kapitel 2: Cloud Computing kurz erklärt 5 hen. Anders als in der Exploratory Cloud geht es hier jedoch nicht mehr um das Testen, sondern um gezieltes Anwenden. Enterprise Cloud Als dritte und letzte Evolutionsstufe findet sich die Enterprise Cloud. Hierbei wird die Servicelösung nicht nur von einem Departement, sondern von mehreren gleichzeitig genutzt, bis hin zur unternehmensweiten Nutzung. Diese Form der Private Cloud findet sich meist nur bei Grossunternehmen und wird häufig wegen ihrer Datensicherheit gewählt. Anders sieht dies beim Modell der Public Cloud aus. Hier steht die Cloud, im Gegensatz zum Modell der Private Cloud, zur öffentlichen Nutzung bereit und kann von beliebigen Personen oder Unternehmen genutzt werden. Wie bei der Private Cloud finden sich auch hier Unterformen: Exclusive Cloud Diese Unterform bietet mehr Sicherheit als die anderen Formen der Public Cloud, da es keine Unbekannten in diesem Umfeld gibt. Anbieter und Nutzer kennen sich also, meist ist dies auch durch Verträge festgelegt. Abb. 3: Private und Public Clouds und ihre Unterformen. Quelle: IBM (2010).

13 Kapitel 2: Cloud Computing kurz erklärt 6 Open Cloud Hier kennen sich die Anbieter und Nutzer nicht, was die Sicherheit mindert. Aus diesem Grund sollte diese Form der Cloud nur für nicht-sensible Daten verwendet werden. IBM hat zum besseren Verständnis bezüglich des Unterschieds zwischen Public und Private Cloud im Dokument IBM Global Technology Services - White Paper Executive Summary die obenstehende Grafik 3 veröffentlicht. Die essenziellen Bestandteile des Cloud Computing sind On-Demand self-service, breitbandiger Netzwerkzugang, Ressourcen-Pooling, Schnelle Elastizität sowie Measured Service (Metzger et al., 2011, S ). Was diese fünf Begriffe genau beinhalten, zeigt sich in der Abbildung 4. On-Demand self-service Cloud Services können ohne menschliche Interaktion mit dem Serverprovider in Anspruch genommen werden Breitbandiger Netzwerkzugang Die Dienste müssen immer über das Standardnetzwerk verfügbar sein. Ressourcen-Pooling Die Ressourcen sollten gepoolt sein, um die physikalischen und virtuellen Ressourcen dynamisch dem Nutzer anzubieten, wenn dieser sie benötigt. Schnelle Elastizität Alle Dienste können schnell und bedarfsgerecht vergrössert werden. Bedarfsspitzen werden so abgefangen und der Betrieb kann problemlos weitergeführt werden. Measured Service Die Verwendung der Ressourcen, deren Verteilung sowie Nutzung sollen durch die Cloud-Computing-Systeme kontrolliert und bei Bedarf optimiert werden. Abb. 4: Essentielle Bestandteile des Cloud Computings. Quelle: Eigene Darstellung in Anlehnung an Metzger et al. (2011, S ).

14 Kapitel 2: Cloud Computing kurz erklärt Cloud Servicemodelle Wie bereits im vorangegangenen Kapitel erwähnt, bietet das Cloud Computing vier verschiedene Servicemodelle an. Folgend die Definitionen und einige Beispiele zu den jeweiligen Services: IaaS (Infrastructure as a Service): Stellt IT-Infra-struktur über das Internet zur Verfügung. Speicherplatz im Netz, Virtuelle Telefonanlagen und Backup-Service über das Internet. PaaS (Platform as a service): Stellt Deployment-Plattform zur Verfügung. Datenbankschnittstelle, Reporting und Dashboards, Single Sign on und Security-Konzept. SaaS (Software as a Service): Stellt die Software über das Netz zur Verfügung. Netsuit ERP, Oracle CRM On-Demand, SAP Business By Design On-Demand und Service Cloud 2. XaaS (Everything as a Service): Alle as-a-service-modelle werden gekoppelt genutzt. Während PaaS, SaaS und XaaS eher etwas für Unternehmen ist, kann IaaS problemlos auch von Privatpersonen genutzt werden. Es gibt einige Anbieter von IaaS online, wie zum Beispiel Dropbox oder Skype. Beide bieten ihre Dienstleistung (Onlinespeicher und telefonie) gratis an (skype.com (2011) sowie dropbox.com (2011)). Mit PaaS lassen sich unter anderem auch eigene SaaS entwickeln, worauf im technischen Aspekt genauer eingegangen wird. SaaS sind weitverbreitet, dies ist mit dem grossen Vorteil begründet, dass die Software nicht mehr lokal vorhanden sein muss. Die Wartung des Programmes ist somit einfacher und muss lediglich von Seiten des Anbieters erfolgen. Die Nutzung aller aas-modelle wird XaaS genannt. Der Aufbau eines solchen Modells findet sich in der Abbildung 5 auf der nächsten Seite.

15 Kapitel 2: Cloud Computing kurz erklärt 8 Abb. 5: Aufbau eines XaaS-Modells. Quelle: Cehajic, (2010, S. 10). 2.6 Vor- und Nachteile von Cloud Computing Wenn ein Unternehmen sich die Frage stellt, ob es den Nutzen von Cloud Computing für sich in Anspruch nehmen soll, so wird es mit Sicherheit eine Abwägung der Vor- und Nachteile in Betracht ziehen. Vor diesem Hintergrund werden nun, nachdem in den vorangegangenen Abschnitten eingehend auf die verschiedenen Liefer- und Servicemodellen eingegangen wurde, die Pros und Contras der einzelnen Modelle betrachtet. Tab. 1: Vor- und Nachteile der Cloud-Liefermodelle. Quelle: Metzger et al. (2011, S ). Das Liefermodell Community Cloud wird in der Tabelle 1 nicht gesondert aufgeführt, da sie ein Zusammenschluss von verschiedenen Privaten Clouds zu einer Community darstellt.

16 Kapitel 2: Cloud Computing kurz erklärt 9 Somit besitzt sie die Vor- und Nachteile des einzelnen Privaten Clouds, aus denen sie besteht. Trotzdem beinhaltet eine Community-Cloud auch die Gefahr einer Public Cloud. Dies kommt daher, da zwar die Öffentlichkeit vom Nutzen der Cloud ausgeschlossen wird und nur autorisierte Unternehmen oder Abteilungen es mitnutzen können, die Mitglieder der Community sind, diese aber Zugriff auf alle Daten haben. Somit können die Mitglieder Dateien einsehen, die eventuell nicht für sie gedacht sind. Damit ergibt sich die gleiche Problematik wie bei den Public Clouds. Bei Beachtung der Pros und Contras fällt auf, dass Public Clouds aufgrund ihrer Schwächen im Datenschutz nicht für den Gebrauch sensibler Daten verwendet werden sollte. Die grösste Flexibilität für ein Unternehmen bietet das Hybridmodell, da es die Vorteile (aber auch die Nachteile) der beiden anderen Cloud-Formen bietet. Unabhängig davon, welches Servicemodell eine Unternehmung bevorzugt, kann doch von einem allgemeinen Vorteil, der Skalierbarkeit, ausgegangen werden. Bereits in Unterkapitel 2.2 wurde die Skalierbarkeit angesprochen, doch sie soll hier nochmals genauer betrachtet werden. Die traditionelle Form der IT ist in Bezug auf ihr Leistungsmaximum auf die vorhandene Hard- und Software begrenzt. Werden zu Spitzenzeiten mehr als das zu erreichbare Maximum an Leistung oder Speicher gefordert, kann dies nur durch Beschaffung zusätzlicher Computer ausgeglichen werden. Sind die Computer, meist Server, angeschafft oder gehostet, verbleiben diese auch nach Ende der Spitzenzeit im Unternehmen und verursachen weiter Kosten. Beim traditionellen Hosting wird so zwar die verfügbare Rechenleistung angehoben, eine Skalierung findet jedoch nicht statt. Cloud Services setzen diesem Problem ein Ende, in dem sie die verfügbare Rechenleistung an die effektiv benutzte Rechenleistung anpassen. Dies beinhaltet grosse wirtschaftliche Vorteile man bezahlt das, was man auch wirklich braucht und nicht mehr. Tab. 2: Vor- und Nachteile der Cloud-Nutzungsmodelle. Quelle: Metzger et al. (2011, S ). In der Tabelle 2 finden sich die Vor- und Nachteile der jeweiligen Nutzungsmodelle. Die XaaS-Variante wurde bewusst nicht aufgeführt, da diese eine Kombination dieser drei Nut-

17 Kapitel 3: Technischer Aspekt beim Geschäftseinsatz 10 zungsmodelle darstellt und entsprechend die Vor- und Nachteile anhand ihrer Zusammensetzung kombiniert. Darüber hinaus muss beachtet werden, dass die hier aufgeführten Punkte lediglich eine Auswahl aus vielen darstellen. 3 Technischer Aspekt beim Geschäftseinsatz Im vorangegangenen Kapitel wurden die einzelnen Liefer- und Servicemodelle der Cloud genauer untersucht. Um diese nutzen zu können, müssen technische Hürden überwunden werden. Konkret bedeutet es, dass nicht jedes Unternehmen selbst die technischen Möglichkeiten hat seine Dienste, Infrastruktur oder Entwicklungsumgebung in die Cloud zu verschieben. Diesen Fragen soll in diesem Kapitel nachgegangen werden. 3.1 Technische Architektur einer SaaS Um zu verstehen, wie Software-as-a-Service und Platform-as-a-Service funktionieren, findet sich in den nachfolgenden Unterkapiteln ein kurzer Exkurs in diese Thematik. Abb. 6: Technische Architektur einer SaaS-Anwendung und Services. Quelle: Metzger et al. (2011, S. 90). Wie auf der Abbildung 6 gut zu erkennen ist, läuft bei einer SaaS-Lösung alles über die Cloud ab. Es wird kein lokaler Speicher benötigt noch eine lokale Datenbank betrieben. Auch wird keine lokale Rechenkapazität benötigt (Metzger et al., 2011, S. 90). SaaS darf nicht mit ASP (Application Service Providing) verwechselt werden. Während ASP- Dienstleister meist auf das Single-Tenant-Modell setzten, nutzt SaaS das Multi-Tenant- Modell. Bildlich lässt sich dies gut mit dem Beispiel eines Einfamilien- und eines Mehrfamilienhauses erklären. Jedes Haus hat einen eigenen Anschluss für Energie und Wasser. Wenn

18 Kapitel 3: Technischer Aspekt beim Geschäftseinsatz 11 sich etwas in der Anlage ändert, müssen alle Häuser aktualisiert werden oder das System funktioniert nicht mehr und die Familien bekommen keine Energie und Wasser mehr. In einem Mehrfamilienhaus gibt es nur einen Energie- und Wasseranschluss für den Bezug, der dann auf die Familien weiterverteilt wird muss etwas am Anschluss geändert werden, tangiert dies die einzelnen Familien nicht. Tab. 3: Mögliche technische Vorteile einer SaaS. Quelle: Metzger et al. (2011, S. 99). Mögliche Anbieter für SaaS-Lösungen sind Amazon mit Amazon Web Service, Microsoft mit Microsoft SQL Azure, salesforce.com mit Database.com sowie Remedyforce. SaaS hat einige Vorteile aufzuweisen. Eine Auswahl dessen findet sich in der Tabelle 3. Während die meisten Punkte in der Tabelle selbsterklärend sind, ist es wichtig, den Begriff der Ausfallssicherheit etwas genauer zu definieren. Mit Ausfallssicherheit ist hier die Sicherheit gegenüber einem technischen oder betrieblichen Problem, das den Betrieb der Cloud Services stören kann, gemeint. Solche Probleme können Brände, Stromausfälle oder Sabotage beim Anbieter beinhalten.

19 Kapitel 3: Technischer Aspekt beim Geschäftseinsatz Technische Architektur einer PaaS Um Missverständnisse auszuräumen ist es wichtig, einen Unterschied zwischen IaaS und PaaS zu machen. IaaS bietet laut dem business ready blog (2011) nur das Minimalpaket Abb. 7: Eigener Managementanteil der einzelnen Cloudservices. Quelle: Business Ready Blog (2011). wie Rechner-, Speicher- und Netzwerkinfrastruktur in Form von virtuellen Maschinen. Platform-as-a-Service hingegen erfüllt die Bedürfnisse derjenigen, die benutzerdefinierte Anwendungen erstellen, ausführen oder auch skalieren möchten. Für eine bessere Übersicht gibt es die Abbildung 7, welche die Abgrenzungen der einzelnen Cloud-Services genauer aufzeigt sowie den Unterschied zwischen IaaS und PaaS aus Sicht von Microsoft deutlich zu erkennen gibt. Laut Metzger et al. (2011, S. 102) ist eine PaaS dadurch gekennzeichnet, dass alle für das Bereitstellen und die Entwicklung einer SaaS-Lösung benötigten Bestandteile durch die Plattform angeboten werden. Technisch interessant ist hierbei die Tatsache, dass die SaaS-Systeme, welche so erstellt wurden, alle auf einem gemeinsamen Kern laufen. Die Abbildung 8 Abb. 8: Darstellung einer PaaS. Quellen: Metzger et al. (2011, S. 102).

20 Kapitel 4: Betrieblicher Aspekt beim Geschäftseinsatz 13 verdeutlicht den oben genannten Punkt. Laut Metzger et al. (2011, S. 102) können einmal erstellte Tabellen, Businessobjekte, Webservices, Anwendungsteile und anderes von einer beliebigen anderen Anwendung ebenfalls genutzt werden. Werden mit Hilfe des PaaS eigene SaaS-Anwendungen entwickelt, enthalten PaaS meist die folgenden grundlegenden Elemente aus Tabelle 4: Tab. 4: Elemente einer PaaS. Quelle: Metzger et al. (2011, S ). 3.3 Bedrohungen im technischen Aspekt Im technischen Bereich lassen sich folgende Bedrohungen ableiten: Datenmissbrauch Bei der Nutzung von SaaS/PaaS können kritische Daten an nicht befugte Dritte gelangen, was den Datenschutz bedroht und zu einem Datenmissbrauch führen. Ausfall Da die Dienste von einem externen Anbieter bezogen werden und nicht In-House existieren, können bei einem Ausfall auf Seiten des Anbieters die Dienstleistungen nicht mehr in Anspruch genommen werden. Dies kann sich als fatal für die betroffenen Unternehmen erweisen. 4 Betrieblicher Aspekt beim Geschäftseinsatz Neben dem technischen Aspekt spielt auch der betriebliche Aspekt eine grosse Rolle. Denn nicht für jedes Unternehmen sind dieselben Cloud-Services zu empfehlen. Vor allem die Un-

21 Kapitel 4: Betrieblicher Aspekt beim Geschäftseinsatz 14 ternehmensgrösse, aber auch die Erfahrung mit dieser Form von IT spielt hier eine grosse Rolle. 4.1 Kleinunternehmen Obwohl Cloud-Services grundsätzlich für alle Unternehmen vorteilhaft sein können, unabhängig von deren Grösse, treten dennoch einige Unterschiede bezüglich der Ergebnisse aus der SWOT-Analyse hervor. In Anlehnung an die Seiten im Buch Cloud Computing Chancen und Risiken aus technischer und unternehmerischer Sicht kann folgendes festgehalten werden in Abbildung 9: Chancen Nutzung von teuren Entwicklungen, die selbst nicht gemacht werden könnten Kostentransparenz Time to Market stehts auf dem Stand der Technik Stärken Verfügbarkeit Stabilität Performance Reaktionszeiten Skalierbarkeit SWOT Analyse - Kleinunternehmen Risiken Datenschutz / Datenmissbrauch Backup-Probleme Abhängigkeit Schwächen keine eigene IT-Kompetenz Zuverlässigkeit des Netzes Abb. 9: SWOT-Darstellung für kleine Unternehmen. Quelle: Eigene Darstellung in Anlehnung an Metzger et al. (2011, S. 42). Die Vorteile für ein Kleinunternehmen liegen eindeutig darin, dass die kostenintensiven Entwicklungen eine eigene IT-Kompetenz aufzubauen wegfallen. Diese Kosten sind vor allem für Unternehmen mit lediglich einer Handvoll Mitarbeiter nur in seltenen Fällen zu tragen. Ein weiterer Vorteil ist die Bequemlichkeit die Nutzung eines Cloud-Services ist meist leicht und von jedem Standort aus möglich. Auf der anderen Seite bestehen jedoch nicht zu unterschätzende Nachteile. Durch die Auslagerung der IT-Dienste an einen Cloud-Anbieter gibt man die Möglichkeiten eines Aufbaus einer eigenen Kompetenz in diesem Bereich aus der Hand darüber hinaus sind die Risiken des Datenschutzes nicht zu unterschätzen.

22 Kapitel 4: Betrieblicher Aspekt beim Geschäftseinsatz Mittelgrosse Unternehmen In Anlehnung an die Seiten im Buch Cloud Computing Chancen und Risiken aus technischer und unternehmerischer Sicht kann folgendes festgehalten werden in Abbildung 10: Chancen Innovationsgeschwindigkeit Kostentransparenz Kosteneinsparung Economies of Scale Userakzeptanz Stärken Verfügbarkeit Stabilität Performance Reaktionszeiten Skalierbarkeit SWOT Analyse - Mittelgrosse Unternehmen Risiken Datensicherheit / Datenmissbrauch Wildwuchs der Prozesse / Systeme Datenwiederherstellung Abhängigkeit Schwächen Zuverlässigkeit Netzwerkverbindung Keine eigene IT-Kompetenz Abb. 10: SWOT-Darstellung für mittlere Unternehmen. Quelle: Eigene Darstellung in Anlehnung an Metzger et al. (2011, S. 44). Auch für mittelgrosse Unternehmen, die über einen Personalbestand zwischen 100 und 5000 Mitarbeiterinnen und Mitarbeiter verfügen, kann die Auslagerung der Services in die Cloud eine nicht zu unterschätzende Kosteneinsparung bedeuten. Da Cloud-Anbieter ihre Dienstleistungen häufig bündeln und vielen Unternehmen dieselbe Lösung anbieten, können Economies of Scale erzeugt werden, was den Preis senkt. Darüber hinaus kann auch ein mittelgrosses Unternehmen von der IT-Kompetenz des Cloud-Anbieters profitieren und sich so verstärkt dem eigentlichen Kerngeschäft zuwenden. Gefahr droht hier, wie für Unternehmen jedweder Grösse, von Seiten der Datensicherheit. Des Weiteren kann sich der vermeintliche Vorteil der Kompetenzabgabe in einen gewichtigen Nachtteil kehren. Darüber hinaus ist man durch Services in der Cloud von einer stabilen und schnellen Netzwerkverbindung abhängig.

23 Kapitel 4: Betrieblicher Aspekt beim Geschäftseinsatz Grossunternehmen In Anlehnung an die Seiten im Buch Cloud Computing Chancen und Risiken aus technischer und unternehmerischer Sicht kann folgendes festgehalten werden in Abbildung 11: Chancen Innovationsgeschwindigkeit Kostentransparenz Kosteneinsparung Konzentration auf Kernkompetenzen Change Managment Stärken Verfügbarkeit Stabilität Performance Reaktionszeiten Skalierbarkeit SWOT Analyse Grossunternehmen Risiken Datenschutz / Datensicherheit Backup Abhängigkeit Schwächen gleiche Lösung wie Konkurrenz keine eigene IT-Kompetenz evtl. Begrenzung der Applikation Abb. 11: SWOT-Darstellung für grosse Unternehmen. Quelle: Eigene Darstellung in Anlehnung an Metzger et al. (2011, S. 45). Bei Grossunternehmen finden sich mehrheitlich dieselben Vorteile wie bei den mittelgrossen Unternehmen. Zu erwähnen ist hier die höhere Geschwindigkeit des Change Management. Da Änderungen direkt vom Anbieter aus gemacht werden, müssen Anpassungen nicht mehr mühsam selbst vorgenommen werden. Gefahr droht von Seiten der Abhängigkeit sowie davon, dass man unter Umständen dieselbe Lösung wie seine Konkurrenten besitzt und somit keinen Geschäftsvorteil erzielen kann. 4.4 Bedrohungen im betrieblichen Aspekt Im betrieblichen Bereich lassen sich folgende Bedrohungen ableiten: Abhängigkeiten Da man bei der Nutzung von Cloud-Services auf die IT-Kompetenz des Anbieters baut und aus diesem Grund selbst keine aufbauen will/kann, begibt man sich in eine Abhängigkeit gegenüber des Anbieters.

24 Kapitel 5: Technische und betriebliche Aspekte zusammen 17 Datensicherheit Eine grosse Bedrohung im betrieblichen Aspekt stellt die Problematik mit der Datensicherheit dar. Je nach Servicemodell, das ein Unternehmen bezieht, ist es stärker davon betroffen. Datenwiederherstellung (Backup) Die Daten werden beim Cloud-Computing nicht lokal gespeichert, was im Schadensfall (auf Seiten des Anbieters) die Wiederherstellung der Daten erschweren kann. Netzwerkverbindung Um die Services uneingeschränkt nutzen zu können, ist eine stabile und vor allem leistungsstarke Netzwerkverbindung unabdingbar. 5 Technische und betriebliche Aspekte zusammen Die betrieblichen und technischen Aspekte korrelieren miteinander. Dies kann beispielsweise dadurch deutlich werden, dass kleinere Unternehmen meist nicht in der Lage sind, die technischen Herausforderungen alleine zu meistern schlicht aus dem Grund, weil sie nicht über die personellen und finanziellen Mittel oder das notwendige Knowledge verfügen. Die technischen Herausforderungen können hingegen auch für grössere Unternehmen ein Problem darstellen nicht immer lohnt es sich für ein Grossunternehmen, sich mühsam eine eigene Kompetenz im Bereich IT aufzubauen. Bevor aber die einzelnen Bedrohungen im technischen und betrieblichen Bereich herausgehoben und genauer definiert werden, soll eine Einführung helfen, ein allgemeines Verständnis bezüglich Bedrohungen im IT-Bereich zu bekommen. 5.1 Allgemeine Bedrohungen Wie bei den herkömmlichen IT-Systemen gilt auch für die Cloud Services die CIA-Triade. CIA steht für Confidentiality, Integrity und Availability. Bedrohungen für die Services zielen auf einen oder mehrere dieser Punkte. Die Definition einer Bedrohung kann laut Krutz und Vines (2010, S. 141) wie folgt formuliert werden: Eine Bedrohung ist grundsätzlich jeder vorstellbare Zwischenfall, der, sofern er auch durchgeführt wird, Schaden am System anrichtet und eine Beschränkung einer oder mehrerer Punkte der CIA-Triade bewirkt. Die Bedrohung muss an sich nicht bösartig sein, auch eine zufällige Löschung einer Datei oder ein Systemfehler fällt unter diese Kategorie. Abgesehen von den Cloud-spezifischen Bedrohungen gelten für das Cloud Computing auch die Risiken der traditionellen Infrastruktur abhängig vom Liefermodell. Gemäss Krutz und Vines (2010, S. 142) ähnelt die Infrastruktur der Security einer Private Cloud sehr stark der

25 Kapitel 5: Technische und betriebliche Aspekte zusammen 18 traditionellen IT-Security Architektur. Public Cloud-Anbieter können sich verständlicherweise nicht darauf stützen. Die für beide geltenden Bedrohungen können grundsätzlich in fünf Gruppen aufgeteilt werden. Zum besseren Verständnis finden sich diese in der untenstehenden Tabelle 5. Tab. 5: Bekannte Gefahren für Cloud Computing und traditioneller IT. Quelle: Kurtz & Vines (2010, S. 142). 5.2 Gefahren für Nutzer virtualisierter Systeme Während für die Provider von Cloud Services viele der IT-Risiken herkömmlicher Provider ebenso gelten, kommen für die Nutzer virtualisierter Systeme zusätzliche Gefahren hinzu (Krutz & Vines, 2010, S. 147). Laut einer Publikation der Burton Group mit dem Namen Attacking and Defending Virtual Environments können diese (neuen) Risiken wie folgt gruppiert werden: 1. All existing attacks still work. 2. As a separate system that must be protected, the hypervisor is risk additive. 3. Aggregating separate systems into VMs increases risk. 4. An untrusted hypervisor with a trusted VM has a higher risk than a trusted hypervisor with an untrusted VM. Aussage 1 unterstreicht die Aussage von Krutz und Vines, welche besagt, dass durch die Nutzung von Cloud Services die bisherigen Gefahren keineswegs aus dem Weg geräumt

26 Kapitel 5: Technische und betriebliche Aspekte zusammen 19 sind. Die zweite Aussage bezieht sich auf den Hypervisor Virtualisierungssoftware, die eine Umgebung für virtuelle Maschinen schafft und sieht in ihm ein zusätzliches Risikopotential. Aussage drei weist darauf hin, dass die Einbindung von einzelnen Systemen in virtuelle Maschinen die Risiken erhöht, während die vierte Aussage sich darauf bezieht, lieber einen vertrauenswürdigen Hyperviser mit einer ungeprüften virtuellen Maschine zu verwenden statt umgekehrt. Auf Grundlage dieser vier Punkte haben Krutz und Vines fünf Risikobereiche für virtualisierte Systeme erarbeitet, diese finden sich in der nachfolgenden Tabelle 6. Tab. 6: Cloud Service Provider Risks. Quelle: Krutz & Vines (2010, S. 147). 5.3 Risiken der verschiedenen Liefermodelle Die Risikoausprägungen bei Cloud Computing sind stark abhängig von der Art des bezogenen Liefermodells. Um diese Aussage zu unterstreichen, findet sich auf der folgenden Seite eine Grafik dazu. Die Skala steigt von 0 als schwach bis ++ als stark.

27 Kapitel 5: Technische und betriebliche Aspekte zusammen 20 Abb. 12: Risikoverteilung der verschiedenen Liefermodelle. Quelle: Intenos Secure IT (2011). In der Abbildung 12 ist klar zu erkennen, dass Private Clouds die höchste Sicherheit bieten. Schwachpunkte sind hierbei aber die eingeschränkte Skalierbarkeit sowie die im Vergleich geringere Flexibilität. Risikotechnisch bedenklich sind hingegen die Hybrid und Public Cloud, da sie Schwächen im Bereich der Risikosteuerung sowie der Transparenz aufweisen. 5.4 Technische und betriebliche Bedrohungen TBB1 Integrity: TBB1 bezieht sich auf die Problematik mit der Datensicherheit. Das Auslagern der Dienste und damit der Daten an einen Drittanbieter birgt die Gefahr von Datenmissbrauch oder anderer Störung der Datenintegration. Die Ausprägung der Gefahr unterscheidet sich danach, welches Liefermodell verwendet wird. Public Clouds sind sicherheitstechnisch weniger vertrauenswürdig und deswegen für heikle Unternehmensdaten nicht geeignet. Bei einer Private Cloud besteht sie weniger bei einer reinen Unternehmens-Cloud gar nicht. TBB2 Availability: TBB2 beschäftigt sich mit dem Ausfall des Services auf Seiten des Anbieters. Dies kann für Unternehmen sehr kritisch sein, da sie über keine lokale Version des Services verfügt. Hat ein Unternehmen beispielsweise seine Datenspeicherung in die Cloud ausgelagert und der Betrieb dieser Plattform fällt aufgrund Fehler seitens des Anbieters aus, so kann das Unternehmen nicht mehr auf diese Daten zugreifen, bis es behoben wird. Die

28 Kapitel 5: Technische und betriebliche Aspekte zusammen 21 Bedrohung manifestiert sich vor allem durch einen kurzfristigen, nicht voraussehbaren Ausfall, wie ein Brand im Serverraum oder Stromausfall. TBB3 Dependency: Bei TBB3 handelt es sich um die Gefahr einer Abhängigkeit von den IT- Kompetenzen des Cloud-Anbieters. Da nicht alle Unternehmen die Mittel und/oder die Zeit haben, sich eine eigene IT-Kompetenz aufzubauen, beziehen diese häufig die Dienste eines Anbieters von Cloud-Services. Somit kann von der bereits vorhandenen IT-Kompetenz des Anbieters profitiert werden. Die Gefahr lauert jedoch darin, dass man bei allfälligen Fragen oder Problemen mit der eigenen IT auf die Hilfe des Anbieters angewiesen ist. TBB4 Recovery: Während TBB1 sich mit der Problematik des Datenschutzes beschäftigt, geht TBB4 in die Richtung der Datenwiederherstellung im Falle eines Crashs auf Seiten des Anbieters. Daten, die sich zur Zeit des Crashs in der Cloud befindet haben, können dadurch verloren gehen und nur mit Mühe (oder gar nicht) wieder hergestellt werden. Problematisch ist hierbei, dass keine lokale Speicherung der Daten vorhanden ist. Dies verstärkt zusätzlich TBB5 Internet Connection: Um Cloud-Services uneingeschränkt nutzen zu können, wird eine stabile und leistungsstarke Netzwerkverbindung benötigt. TBB5 bezieht sich auf die Gefahr eines Ausfalls dieser Verbindung. Fällt diese nämlich von Seiten des Providers aus oder wird gestört, ist das reibungslose Arbeiten mit den Applikationen / Services nicht oder nur eingeschränkt möglich.

29 Kapitel 6: Gesellschaftliche Aspekte 22 6 Gesellschaftliche Aspekte Cloud Computing hat das Potenzial die IT-Architekturlandschaft grundlegend zu verändern. Und daher wird in diesem Kapitel auf die gesellschaftlichen Folgen solch einer Entwicklung eingegangen. 6.1 Ökologische Problemfelder Der Strombedarf eines Rechenzentrums ist sehr hoch. In den Vereinigten Staaten laufen mehr als fünf Kraftwerke der 1000 Megawatt-Klasse lediglich um Rechenzentren mit Strom zu versorgen. Insgesamt beträgt der Strombedarf für solche Anlagen ca. 2% des Gesamtverbrauchs der Vereinigten Staaten, was einer immensen Zahl gleichkommt. Neben dem eigentlichen Betrieb der Server wird ein grosser Anteil des Strombedarfs für die Kühlung verwendet. (Kremp, 2008) Trends wie Green-IT versuchen die Geräte immer umweltfreundlicher zu gestalten. Aber auch Cloud Computing könnte einen grossen Beitrag zu einer umweltfreundlicheren Bilanz leisten. 6.2 Soziale Problemfelder Die IT-Infrastruktur wurde spätestens seit dem Artikel Does IT Matter von Nicholas Carr nicht mehr als Treiber für Wettbewerbsvorteile gegenüber anderen Unternehmen angesehen. Eine wahre Flut von Outsourcing der Hardware war die Folge. Viele Jobs gingen dadurch vor allem in westlichen Ländern verloren. Ein ähnlicher Trend könnte nun auch das Cloud Computing auslösen. Kleine Unternehmen schliessen ihre IT-Abteilung und geben die Verantwortung über die Infrastruktur an den Cloud Anbieter weiter. 6.3 Gesellschaftliche Bedrohungen GB1 Resources: Die grösste Gefahr für das Cloud Computing im gesellschaftlichen Bereich ist das Ausgehen von Ressourcen. Die Menschheit verbraucht immer mehr Strom, allein in den Vereinigten Staaten hat sich der Verbrauch von 1960 bis 2010 mehr als verdreifacht (Google Public Data, 2011). Das Betreiben eines Rechenzentrums benötigt sehr viel Strom zur Leistungsgenerierung und zur Kühlung. Und ohne ausreichende Netzverbindung nützt das beste Rechenzentrum auch nichts, daher ist die gesamte Strom- und Internetanbindung von Bedeutung. Durch eine unterbrechungsfreie Stromversorgung (USV) können kurzfristige Ausfälle (weniger als 1 Tag) kompensiert werden. Bei Umweltkatastrophen reicht dieser Zeitraum aber nicht aus wie ein Ausfall des Amazons Cloud Computing Dienstes EC2 nach einem Blitzeinschlag zeigte (Orf, 2011).

30 Kapitel 7: Rechtliche Aspekte 23 7 Rechtliche Aspekte In diesem Kapitel werden die rechtlichen Probleme beim Einsatz von Cloud Computing erläutert. Die rechtlichen Grundlagen in Form von Gesetzten sind für dieses neue IT-Feld nicht transparent. Mit einer Auflistung aller wichtigen Aspekte und Lösungsvorschlägen wird versucht Licht in den Nebel der Wolke zu bringen. 7.1 Problembeschreib Beim Cloud Computing gibt es mehrere Rechtssubjekte die miteinander in Verbindung stehen. Nicht nur der Cloud Anbieter (Provider) und der Kunde sind betroffen. In den meisten Fällen speichert der Kunde, der selbst ein Unternehmen ist, persönliche Daten über seine eigene Kundschaft ab. Diese Daten von Dritten unterliegen dem Datenschutzgesetz und müssen entsprechend behandelt werden. Der Staat kontrolliert die Einhaltung des Datenschutzgesetzes, während zwischen dem Cloud Provider und dem Kunden ein Vertrag (Innominatvertrag mit Elementen aus Miete und Pacht) die Interessen beider Parteien regelt. Abbildung 13 zeigt die Rechtssubjekte und die Rechtsbereiche beim Cloud Computing auf. Staat Öffentliches Recht Öffentliches Recht Provider Privates Recht Kunde Abb. 13: Rechtssubjekte beim Cloud Computing. Quelle: Meir-Huber (2010). Sobald der Staat im Verhältnis zu einer Rechtsperson steht, wie beim Einhalt des Datenschutzes, gilt das öffentliche Recht. Der Vertrag zwischen Provider und Kunde gehört zum Obligationenrecht und ist somit im Privatrecht angesiedelt. Diese Verträge basieren meist auf einem Servicelevel-Agreement (SLA), welches die Dienstgüte der wichtigsten Punkte regelt und Transparenz gegenüber dem Kunden schafft. (Meir-Huber, 2010, S. 197)

31 Kapitel 7: Rechtliche Aspekte 24 Schnell kann die Rechtslage kompliziert werden, wenn beispielsweise Provider und Kunde nicht im selben Land ansässig sind oder die Server noch in einem weiteren Land betrieben werden, ist die anzuwendende Gesetzesgrundlage nicht mehr klar. Die rechtlichen Regulierungen sind zurzeit von Staat zu Staat sehr verschieden. In Europa gelten die Rechtlinien der Europäischen Union, welche versuchen die einzelnen Gesetze aller Mitgliedsstaaten zu vereinheitlichen. Es fehlen aber trotz diesen Bemühungen noch Einheitliche Regelungen. Beispielsweise ist die wichtige Frage über das Eigentum der Daten nicht geklärt. Gehören Daten in der Cloud nun dem Kunden, der sie erstellt hat oder dem Hoster. (Meir-Huber, 2010, S. 197) Neben dem Datenschutz und Vertragsrecht kommen als noch weitere Problemfelder wie das oben erwähnte Urheberrecht hinzu. Und anstelle des Datenschutzes, der ausschliesslich die personenbezogenen Daten schützt, kann man einen Schritt weiter gehen und den Oberbegriff Datensicherheit gebrauchen. Dies nimmt nämlich den Cloud Anbieter in die Pflicht ein Sicherheitskonzept aufzubauen. Die Daten oder die gesamte Applikation des Kunden müssen bezüglich der Kriterien Vertraulichkeit, Integrität und Verfügbarkeit beschützt werden. Die IT-Sicherheit von Hard- und Software darf keine Schwachstellen gegenüber Angreifer besitzen. Aber auch der Kunde muss seine Risiken kennen und managen. Welche Unternehmensdaten dürfen beispielsweise in die Cloud ausgelagert werden und welche bleiben geheim im eigenen Intranet. Und wie lange kann sich ein Unternehmen erlauben auf den Dienst des Cloud Anbieters zu verzichten im Notfall, bis der Tagesbetrieb in grosse Mitleidenschaft gezogen wird. (Metzger et al., 2011, S. 47) 7.2 Überblick relevante Gesetzte in der Schweiz und Europa Das Projektteam möchte zuerst auf den Fall Schweiz eingehen und danach die Unterschiede zu Europa, insbesondere Deutschland aufzeigen. Der Vertrag zwischen Cloud Provider und Kunde ist ein gemischter Vertrag oder auch Innominatvertrag genannt, d.h. es kommen verschiedene Regelungen aus Nominatverträgen (Rechtlich geregelte Verträge wie beispielsweise ein Mietvertrag) zusammen (Geiger, 2001, S. 64). Die Elemente kommen aus dem Mietvertrag (Provider stellt Rechenleistungen zur Verfügung, die der Kunde zeitlich nutzt), aus dem Werkvertrag (Provider stellt dem Kunden Speicherplatz zur Verfügung, beispielsweise für Websites oder Datenbanken, deren Inhalt für den Kunden dauernd zur Verfügung gehalten und auch jederzeit abrufbar sein müssen) und zum Teil noch aus auftragsrechtlichen Elemente (hier werden noch zusätzlich Kontroll-, Wartungs- und Beratungsleistungen erbracht). (Niklaus, 2011, S. 8)

32 Kapitel 7: Rechtliche Aspekte 25 Die Abbildung 14 zeigt die Cloud Service-Modelle und die weiteren Dienstleistungen eines Cloud Anbieters mit deren rechtlichen Vertragsform auf. Abb. 84: Service-Modelle und deren Vertragsform. Quelle: Meents (2010). Diese Verträge werden meist als Outsourcing-Verträge qualifiziert (Niklaus, 2011, S. 9). Outsourcing bezeichnet die Auslagerung der eigenen IT-Infrastruktur an ein anderes Unternehmen. Wichtig ist dabei aber zu wissen, dass Verantwortung gegenüber Dritten nicht outgesourct werden kann. Dies betrifft vor allem den Datenschutz, der im Datenschutzgesetz (DSG) geregelt ist. Nicht alle Daten fallen in den Anwendungsbereich des Datenschutzgesetzes. Falls sie keinen Personenbezug aufweisen, wie etwa bei technischen Zeichnungen oder Warenverzeichnissen können derartige Informationen ohne datenschutzrechtliche Probleme auf jedem System verarbeitet und gespeichert werden (Heidrich, 2011). Nach Art. 6 des DSG dürfen Personendaten nicht ins Ausland geraten, sofern dort eine ausreichende Regelung wie das schweizerische Datenschutzgesetz fehlt. Zu diesen Ländern ohne ausreichenden Datenschutz gehören auch die USA. Denn dort dürfen staatliche Behörden auf Daten zugreifen, falls diese zur nationalen Sicherheit beitragen. Dies ist vor allem von grosser Bedeutung, weil 90 % der Anbieter von Cloud Computing aus den USA stammen (Metzger et al., 2011, S. 47). Durch das Unterzeichnen des Safe Harbor Acts können aber US-Unternehmen mit der Schweiz und den EU-Staaten gültige Verträge abschliessen, die das Datenschutzgesetzt nicht verletzten (U.S. Department of Commerce s International Trade Administration, 2011). Art. 7 des DSG schreibt den Unternehmen vor für einen angemessenen Schutz der Datensicherheit zu sorgen, d.h. unbefugte vor einem Zugriff fernhalten und auch für den Einhalt der anderen CIA Kriterien zu sorgen (DSG, 2011). Daten dürfen auch nicht von Dritten bearbeitet werden, wenn sie nach DSG Art. 10a b den Geheimhal-

33 Kapitel 7: Rechtliche Aspekte 26 tungspflichten unterstehen, wie beispielsweise bei Ärzten. Der Kunde des Cloud Anbieters muss selbst dafür achten, dass er über den Cloud Service keine Geschäftsgeheimnisse an Unbefugte weitergibt. Art. 162 des schweizerischen Strafgesetzbuches StGB ahndet solche Vergehen mit bis zu 3 Jahren Freiheitsstrafe. Und seinen Buchführungsvorschriften muss ein Unternehmen trotz elektronischer Speicherung nachkommen. Die Verordnung über die Führung und Aufbewahrung der Geschäftsbücher (GeBüV) beinhaltet Regelungen zur Führung und Aufbewahrung von Geschäftsbüchern, also der Buchhaltung. Auch Art. 957bis 962 im Obligationenrecht OR schreiben vor, dass Geschäftsdokumente Zehn Jahre lang archiviert werden müssen. Deren Integrität, Verfügbarkeit und Dokumentation muss über die gesamte Dauer gewährleistet sein. (Winkler, 2010) 7.3 Rechtliche Bedrohungen In diesem Unterkapitel beschreibt die Projektgruppe die wichtigsten juristischen Risiken für ein Unternehmen mit Cloud Computing. Die Tabelle 7 gibt einen Überblick der wichtigsten Bedrohungen verteilt auf drei verschiedene technische Anwendungsformen. PaaS SaaS IaaS Verfügbarkeit Grosse Risiken Grosse Risiken Mittlere Risiken Geheimhaltung Mittlere Risiken Kleine Risiken Grosse Risiken Urheberrecht Mittlere Risiken Mittlere Risiken Kleine Risiken Datenschutz Kleine Risiken Kleine Risiken Grosse Risiken Compliance Kleine Risiken Mittlere Risiken Grosse Risiken Anwendbares Recht Mittlere Risiken Kleine Risiken Grosse Risiken Vertragsgestaltung Mittlere Risiken Kleine Risiken Grosse Risiken Tab. 7: Ausmass der rechtlichen Risiken. Quelle: Eigene Darstellung in Anlehnung an Lehmann (2010). Ein grosses Risiko bedeutet, dass die Unternehmung ein immenser finanzieller Verlust oder Imageschaden hinnehmen muss und im Extremfall in ihrer Existenz bedroht ist. Mittlere Risiken kommen ihr teuer zu stehen und verärgern die Kunden, sind durch viel Aufwand wieder in Ordnung zu bringen. Kleine Risiken sind zu ertragen, trotzdem aber mühsam. Eine starke Bedrohung betrifft die Verfügbarkeit. Der Cloud Anbieter ist vertraglich verpflichtet seinem Kunden Zugriff auf eine funktionierende Cloud-Plattform zu bieten. Für manche

34 Kapitel 7: Rechtliche Aspekte 27 Unternehmen wäre schon der Ausfall von ein paar Stunden sehr fatal und kann schnell irreparable Schäden verursachen. Eine Bank ist beispielsweise sehr sensibel und die Auslage des Online-Banking in eine Cloud Plattform kommt daher in den meisten Fällen nicht in Frage. Da dieser Punkt schon im Zusammenhang mit den betrieblichen Aspekten als TBB2 Availability aufgelistet wurde, wird er hier nicht doppelt aufgeführt. RB1 Secrecy: Wie im Abschnitt 7.2 erwähnt, ist ein Unternehmen verpflichtet seine Geschäftsgeheimnisse zu schützen. Die Geschäftsgeheimnisse dürfen nicht in fremde Hände gelangen, auch wenn sie nicht explizit übergeben wurden. Allein das Speichern der relevanten Unternehmensdaten auf einem fremden System genügt, es braucht keine Absicht die Daten an eine fremde Person zu übergeben (Winkler, 2010). Neben den rechtlichen Folgen würde das Unternehmen den Schlüssel zu seiner Einzigartigkeit verlieren. Ein Konkurrent könnte die wertvollen Geheimnisse für seine Zwecke verwenden und dem Unternehmen schaden. RB2 Copyright: Das Urheberrecht sichert einem das geistige Eigentum an einer Idee oder einer materiellen Sache. Im Zusammenhang mit Cloud Computing sind vor allem Softwareprodukte und in seltenen Fällen erzeugte Daten betroffen. Wenn ein Unternehmen seine eigene Software über das System des Cloud Provider betreibt, stellt sich die Frage, ob der Provider nun als Besitzer der Software rechtliche Ansprüche hat. (siehe auch Anhang C Interview Frage 1) RB3 Protection of privacy (Confidentiality): Die dritte Bedrohung betrifft den Datenschutz und somit den Missbrauch personeller Daten. Unternehmen dürfen vertrauliche Daten ihrer Kunden nur weitergeben, wenn dafür genügend Schutz besteht. Vor allem in Drittländer ohne unzureichende Datenschutzgesetzte dürfen keine Daten gelangen, ansonsten kann das Unternehmen rechtlich Belangt werden. Viele Leute gehen aber selbst mit ihren persönlichen Daten leichtsinnig um, wie die vielen Diskussionen über Facebook und Datenschutz beweisen. Womöglich verliert die Menschheit mit der Zeit ihren Schutz vor Privatsphäre vollständig. (siehe auch Anhang C Interview Frage 1) RB4 Compliance: Ein Unternehmen muss alle relevanten Geschäftsdokumente 10 Jahre aufbewahren. Die Dokumente in elektronischer Form in der Cloud zu speichern ist erlaubt. Die Gefahr besteht aber, dass während dieser Zeit der Cloud Provider schon gewechselt wurde oder aus anderen Gründen keinen Zugriff mehr auf die Dokumente möglich ist. Nach 10 Jahren sammelt sich auch eine enorme Masse an Dokumenten an, die archiviert werden

35 Kapitel 7: Rechtliche Aspekte 28 müssen, dafür sind nicht alle Cloud Plattformen geeignet. Falls die Compliance nicht sichergestellt wird, droht dem Unternehmen eine strafrechtliche Verfolgung. Dies endet meist mit Imageverlust oder Bussgeld (Smits, 2011). RB5 Application of law: Ohne oder mit einem ungültigen Vertrag hat der Cloud Kunde keine rechtlichen Ansprüche gegenüber seinem Provider. Und selbst wenn ein rechtsgültiger Vertrag besteht, stellt sich in manchen Fällen die Frage welches Vertragsrecht von welchem Land anzuwenden ist. Mit Providern aus dem nicht-europäischen Ausland (konkret: Solche, die nicht auf der Liste der sicheren Länder des Datenschutzbeauftragten EDÖB sind), muss unbedingt ein Cross-Border Data Flow Agreement abgeschlossen werden. (siehe auch Anhang C Interview Frage 1) RB6 Contents of contract: Neben der Gültigkeit des Vertrages, kommt es natürlich auch auf dessen Inhalt an. In fast allen Ländern herrscht Vertragsfreiheit, d.h. der Inhalt kann frei gestaltet werden, solange er kein anderes Recht verletzt. Ohne genaue Kenntnisse können vor allem bei einem Innominatvertrag Lücken bleiben. Und häufig schreiben die Anbieter in ihre AGB, was ihnen gefällt. Sie erhalten so vom Nutzer die Einwilligung, mit den Nutzerdaten alles zu tun, was sie wollen. Nach altem Schweizer Recht waren solche Klauseln sogar rechtskräftig. Die Gesetze in diesem IT-Gebiet ändern auch sehr häufig, was die Vertragserstellung erschwert. (siehe auch Anhang C Interview Frage 1)

36 Kapitel 8: Massnahmen und deren Bewertung 29 8 Massnahmen und deren Bewertung Trotz den hohen Risiken sprechen viele Punkte für einen Einsatz von Cloud Computing. Das folgende Unterkapitel versucht Lösungsansätze und Massnahmen zur Risikominimierung zu präsentieren. Diese sind in drei Bereiche unterteilt, nämlich vertragsrechtliche, organisatorische und technische Massnahmen. Trotz den drei verschiedenen Arten den Risiken entgegen zu treten, gibt es Bedrohungen, die man nicht ausschalten kann. In diesen Fällen können Versicherungen eingesetzt werden, um die möglichen Risiken zu minimieren. Ein Restrisiko bleibt aber immer bestehen. 8.1 CIA-Triade und Gegenmassnahmen Die CIA-Triade, auf die schon im Unterkapitel Allgemeine Bedrohungen eingegangen wurde, spielt auch bei den Massnahmen wieder eine zentrale Rolle. Die drei Punkte Confidentiality (RB3), Availability (TBB2) und Integrity (TBB1) finden sich auch beim Cloud Computing als Bedrohungen wieder. Für diese Gefahren existieren bereits aus früheren Architekturmodellen (wie Client-Server) bekannte Gegenmassnahmen. In der Grafik 15 sind die Massnahmen als Bullet Points aufgelistet. Abb. 95: CIA-Triade mit Gegenmassnahmen. Quelle: Netcloud (2011). Unter den technischen Massnahmen werden sich hauptsächlich Lösungen aus dieser CIA- Triade finden. Die Cloud-spezifischen Anpassungen werden aber nicht ausser Acht gelassen. Meist benötigen die bekannten Gegenmassnahmen nur kleine Anpassungen, um beim Cloud Computing auch zu greifen. Bei den vertraglichen Massnahmen finden sich auch keine ganz neuen Ansätze, trotzdem muss man sich an die speziellen Gegebenheiten anpassen.

37 Kapitel 8: Massnahmen und deren Bewertung Vertragliche Massnahmen In dem Vertrag zwischen Cloud Anbieter und Kunde können folgende Inhalte definiert werden, die vor allem rechtliche Risiken minimieren: MV1: Standortauswahl Die Auswahl des Standorts vom Rechenzentrum obliegt meist nicht dem Kunden. Trotzdem muss er sich darum kümmern, denn bestimmte Staaten wie beispielsweise die USA erlauben den Zugriff auf sensible Daten, falls sie dem nationalen Interesse des Landes dienen. Beim Export der personenbezogenen Daten in die Länder der EU bestehen keine Probleme, da sie auf der Liste der Staaten stehen, die in Bezug auf das schweizerische Datenschutzgesetz einen ausreichenden Schutz bieten (EDÖB, 2011a). Die meisten Anbieter stammen aber aus den USA und diese bieten aus Sicht des schweizerischen Datenschutzgesetzes keinen angemessenen Schutz. Amerikanische Unternehmen können sich darum zertifizieren für das U.S. Switzerland und U.S. European Union Safe Harbor Framework, eine Liste der Unternehmen findet sich unter (EDÖB, 2011b). Das Framework beinhaltet Regelungen wie beispielsweise die Entscheidungsmöglichkeit, ob Daten für andere Zwecke benutzt und unwahre Daten gelöscht oder korrigiert werden können. Laut Heidrich von Spiegel Online halten sich trotz diesem Abkommen nicht alle Anbieter an die zugesicherten Regeln und darum bieten bereits viele amerikanische Unternehmen eine Cloud Variante an, bei der sich die physische Hardware im Gebiet der EU befindet (Heidrich, 2011). MV2: Rechtsgewährleistung Ein Cloud Anbieter muss die vertragliche Rechtsgewährleistung akzeptieren. Häufig versuchen sich die Anbieter aber mit Haftungsausschlüsse/-beschränkungen in ihren AGB aus der Affäre zu ziehen (Niklaus, 2011, S. 11). Daher ist eine genaue Prüfung unumgänglich. Eine entscheidende Frage ist auch, welches Recht überhaupt angewendet wird. Gilt das Recht des Staates bei dem der Anbieter seine Niederlassung hat oder jenes des Anwenders. Nur mit diesen Fragen beschäftigt sich das Kollisionsrecht. In der EU gilt dazu das Herkunftslandprinzip welches besagt, dass sich ein Anbieter an die rechtlichen Anforderungen des Staates in dem er niedergelassen ist, richten muss (Altendorfer & Wagner, 2009, S. 22). Und häufig tritt der Cloud Provider als Generalunternehmer auf, der sich anderer Anbieter als Subunternehmer bedient. Diese Konstellation birgt natürlich Risiken, denn in vielen Fällen sind die Subunternehmer dem Endkunden gar nicht bekannt. (Widmer, 2010) Die Versicherungsdeckung des Service Providers (AGB, Kollisionsrecht und weitere Auftragsverhältnisse) muss also im Vorfeld der Vertragsabschliessung genau geprüft werden.

38 Kapitel 8: Massnahmen und deren Bewertung 31 MV3: Beendigungsunterstützung Beendigungsunterstützung bei Vertragsauflösung, insbesondere bei verteilten Speicherplätzen kann schon im Voraus vertraglich geregelt werden. Meist beinhaltet diese Unterstützung nicht nur die Auflösung des eigenen Vertrages, sondern auch die Hilfe beim Wechsel zu einem neuen Anbieter. Die meisten Cloud Nutzer wechseln nach einem Vertrauensverlust ihren Anbieter und ziehen sich nicht ganz zurück. Die Situation zwischen abgelöstem Anbieter und dem Neuen ist aber nicht einfach. Sie stehen im Wettbewerb und zwischen ihnen gibt es keine vertragliche Bindung, der Kunde muss also den gesamten Umstellungsprozess managen. Die Mitwirkungspflichten des ehemaligen Anbieters müssen dazu im Vertrag geregelt sein. Dies kann folgende Punkte beinhalten: Daten und Know-how müssen zum neuen Provider transferiert werden. Der neue Provider erhält für die Übergangszeit Zugriff auf die alte Plattform. Parallelbetrieb, um die betriebsnotwendigen Funktionen am Leben zu erhalten. In komplexen Verhältnissen empfiehlt es sich eine gestaffelte Leistungsübertragung auf den neuen Provider einzuplanen. (Mathys, Isler & Zogg, 2011, S. 4-5) (siehe auch Anhang C Interview Frage 7) MV4: Servicelevel-Agreement Mit einem Service Level Agreement können Qualitätsmerkmale, auch QoS (Quality of Service) Parameter genannt, in einem Cloud Vertrag definiert werden. Falls der Provider diese Merkmale unzureichend erfüllt, kann der Kunde gegen ihn rechtlich vorgehen. In einem detaillierten Service Level Agreements ist sicherzustellen, dass die Leistungserbringung des Providers den Anforderungen des Kunden nach Datensicherheit, Verfügbarkeit und Skalierbarkeit genügt. Diese Regelungen betreffen verschiedene Aspekte der CIA Kriterien. Der Kunde sollte auf jeden Fall weitergehen, als eine blosse Definierung der Verfügbarkeit von 99.5 Prozent. Alle geschäftsrelevanten Vorgänge müssen geprüft werden, um daraus die technischen und organisatorischen Anforderungen an die Cloud abzuleiten. Dazu gehört beispielsweise eine Evaluation der benötigten Skalierbarkeit für die Cloud Plattform. Besitzt das Unternehmen Spitzenzeiten und welche Last (anzahl Benutzer, Transaktionsvolumen etc.) muss ausgehalten werden? Wichtig ist auch immer eine Regelung zum Disaster Recovery. Können Applikationen im Notfall leicht und nahtlos transferiert werden und nach welcher Zeit ist der Betrieb wieder gewährleistet? Im Anhang D findet sich eine Checkliste mit vielen Inputs für ein Service Level Agreements und im Anhang C Frage 6 eine Empfehlung. Solche Fragen sollten unbedingt in einem SLA mit konkreten QoS Zahlen und Vorgaben geregelt sein. Nach den Verhandlungen über den Inhalt des SLA ist ein Monitoring wichtig, um die definierten Merkmale zu prüfen. Nur so kann der Provider überhaupt kontrolliert wer-

39 Kapitel 8: Massnahmen und deren Bewertung 32 den. Häufig fehlen den Kunden aber die technischen Hilfsmittel zu einem detaillierten Monitoring und sie müssen ihrem Anbieter blind vertrauen. (Mathys et al., 2011, S. 4-5) MV5: Verantwortung und Umfang der Compliance definieren Eines der grössten Probleme mit Cloud Computing sind zurzeit die Regelungen der Verantwortung. Ein Beispiel der Verantwortung bei der IT-Compliance von pwc ist auf Abbildung 16 zu sehen. Die IT-Compliance ist eine Führungsaufgabe und regelt die Einhaltung der Gesetze, unternehmensinternen (wie ITIL oder COBIT) und vertraglichen Regelungen der gesamten IT-Landschaft. Die IT-Compliance ist ein Teilbereich der IT-Governance. (Thiel, 2011) Abb. 106: Verantwortung für das Tragen der Compliance. Quelle: Golkowsky & Vehlow (2011). Je nach Service- und Liefermodell liegt die Verantwortung beim Anbieter oder beim Verwender. Da aber häufig Mischformen zum Einsatz kommen (siehe Unterkapitel 2.6) sind die Verantwortlichkeiten nicht klar definiert. Zur Prüfung und Einhaltung der technischen und organisatorischen Massnahmen reichen auch die Erklärungen des Anbieters nicht aus. Daher können die Dienstleister die Einhaltung der Richtlinien meist durch eine Zertifizierung nachweisen (z.b. ISO 27001). Eine weitere Variante ist ein Audit durch einen unabhängigen Dritten wie beispielsweise PricewaterhouseCoopers (pwc). Solche Audits können wertvolle Informationen liefern, kosten aber auch viel Geld. (siehe auch Anhang C Interview Frage 4)

40 Kapitel 8: Massnahmen und deren Bewertung Technische Massnahmen Technische Lösungen schützen meist die sensiblen Daten der Cloud Kunden gemäss der CIA-Triade. Die wichtigsten Ansätze der IT-Security sind folgend erwähnt: MT1: Encrypted Communications und Kryptografie Um eine sichere Kommunikation zu gewährleisten, empfehlen Krutz und Vines (2010, S. 167) die Benutzung von Verschlüsselungstechnologien, wie beispielsweise Secure http (HTTPS), verschlüsselte Virtual Private Networks (VPNs), Transport Layer Security (TLS) oder auch Secure Shell (SSH). Im Bereich der Kryptografie gibt es einige Neuerungen, um die Sicherheit der Daten zu gewährleisten. So zum Beispiel die sogenannte voll homomorphe Verschlüsselung (heise.de, 2010). Diese Art der Verschlüsselung erlaubt den Umgang mit sensiblen Daten ohne diese entschlüsseln zu müssen. Entwickelt wurde diese Methode vom IBM-Forscher Craig Gentry. Im Bereich der Authentifizierung sind ebenfalls verschiedene Formen vorstellbar. Neben den bekannten und weitverbreiteten wie Passwörter und CAPTCHA ( Completely Automated Public Turing test to tell Computers and Humans Apart ), gibt es auch weiterentwickelte Varianten. Bei vielen neueren Laptops ist bereits ein Fingerleser integriert, der die gespeicherten Abdrücke mit dem eingegebenen vergleicht und entsprechend den Zugang erlaubt oder verweigert. Diese Form kann, wenn sie weiterentwickelt und genauer wird, als Authentifizierung bei Clients dienen. Einen Schritt weiter geht die biometrische Authentifizierung von BI- OID. Hierbei wird ein biometrisches Profil gespeichert und der Zugriff wird erst nach Prüfung der biometrischen Daten des Benutzers mit denen aus der Datenbank freigegeben (BIOID, 2011). Diese Formen der Massnahmen dienen der Erfüllung der Confidentiality sowie der Integrity. (siehe auch Anhang C Interview Frage 3) MT2: Härtung und Konfiguration des Host und des Hypervisors Mit Härten ist gemeint, das Host Operating System gegen Angriffe und/oder unerwünschter Nutzung durch nicht autorisierte Personen sicherer zu machen. Krutz und Vines (2010, S. 165) führen dazu einige bewährte Techniken auf: Use strong passwords, such as lengthy, hard to guess passwords with letters, numbers, and symbol combinations, and change them often. Disable unneeded services or programs, especially networked services. Require full authentication for access control. The host should be individually firewalled.

41 Kapitel 8: Massnahmen und deren Bewertung 34 Patch and update the host regulartly, after testing on a nonproduction unit. Darüber hinaus sollte man vorgefertigten virtuellen Appliances, die frei zum Download bereitstehen und als virtuelle Maschine gestartet werden, nur mit grösster Skepsis begegnen und soweit möglich meiden. Die Gefahr einer erfolgreichen Attacke steigt durch das zwangsläufige Einräumen von Rechten stark an (searchsecurity.de, 2011a). Neben der VM stellt der Hypervisor immer eine Schwachstelle dar. Insbesondere dann, wenn die Zugriffskontrolle nicht oder nur schlecht funktioniert oder aber keine Log-Dateien oder Aktivitätsprotokolle aufgezeichnet werden (searchsecurity.de, 2011b). Die Gefahr steigt signifikant an, wenn der Hypervisor mit dem Internet verbunden ist. Um dem entgegenzuwirken, hat es sich bewährt, eine Regelung aufzustellen, welche Systeme auf die Management- Infrastruktur zugreifen dürfen (Beispiel: GUI, Application Programming Interface). Viele dieser Techniken erscheinen selbstverständlich, doch können sie eine erste effektive Verteidigungslinie darstellen. Ziel dieser technischen Massnahme ist es, die Integrität der Daten (Integrity) sowie zum Teil auch deren Verfügbarkeit (Availability) sicherzustellen. MT3: Implementierung starker Authentifizierungsdienste Je nach Cloud-Liefermodell das genutzt wird, steigt das Risiko, Opfer von Cyber-Kriminalität zu werden. Besonders gefährdet sind Public Cloud-Modelle. Um dieser Gefahr zu begegnen, hilft es, die Implementierung starker Authentifizierungsdienste sicherzustellen. Um der Gefahr in Public Clouds zu begegnen, empfiehlt ein Autor von rsa.com die Einführung von risikobasierten respektive adaptiven Authentifizierungen. Diese Form der Authentifizierung nutzt Verhaltensprofile und führt unsichtbare Überprüfungen aus dem Hintergrund durch. So werden die Benutzeranfragen für die Services mit denen der bisherigen Anfragen verglichen. Stellt sich heraus, dass eine erhebliche Abweichung vom üblichen Verhalten feststellbar ist, wird eine automatische Meldung generiert. Mit dieser Art der Identitätsüberprüfung kann eine Drittperson auch durch das Kapern eines Benutzers nicht unentdeckt Schaden anrichten. Diese Form der Identitätsüberprüfung wird anhand [ ] verschiedener Parameter des Endanwendergeräts sowie IP-Ortsbestimmung und Netzwerkintelligenz. [ ] durchgeführt. Wird erkannt, dass ein Benutzer von einem unbekannten Standort aus versucht zuzugreifen, kann das System weitere spezifische Authentifizierungsmassnahmen starten zu nennen wären hier beispielsweise das Verwenden von spezifischen Fragen, die nur der autorisierte Anwender kennt. (rsa.com, 2009)

42 Kapitel 8: Massnahmen und deren Bewertung 35 MT4: Sicherung der Daten Obwohl die Aufrechterhaltung und das regelmässige Durchführen von Backups zur Sicherung der Daten eigentlich keiner weiteren Erwähnung bedürften, geschieht es in der Praxis oft genug, dass dieser Punkt zu wenig beachtet wird. Ebenso wichtig ist die Gewährleistung der Sicherung der Daten durch das Schaffen von Redundanzen, wie beispielsweise durch RAID 1. Neben der regelmässigen Durchführung von Backups ist es wichtig, die Hochverfügbarkeit der Systeme zu gewährleisten. Hochverfügbarkeit ist laut Thiel (2011) dann gegeben, wenn seine Funktionen auch im Fehlerfall weiterhin verfügbar sind und ohne unmittelbaren menschlichen Eingriff weiter genutzt werden können.. Erreicht wird eine Hochverfügbarkeit durch das Etablieren von Redundanzen, genauerem Performance-Management, zusätzlichem IT-Personal und weiteren Möglichkeiten. Gemäss Thiel (2011) kann zwischen drei verschiedenen Arten von Hochverfügbarkeit unterschieden werden: Cold-stand by, Hot-stand by und Cluster Bei Cold-stand by steht im Fehlerfall ein Ersatzrechner zur Verfügung, der solange nicht in Betrieb ist, bis der primäre Rechner ausfällt. Hot-stand by ähnelt dem sehr, jedoch ist der Ersatzrechner bereits im Betrieb und wird bei einem Fehlerfall genutzt. Beim Cluster sind mehrere Rechner gekoppelt und je nach Auslastung sind entsprechend viele Rechner aktiv. MT5: Schutz gegen Cyber-Kriminalität Da die Techniken der Angreifer von Tag zu Tag raffinierter werden, muss auch der Anwender mit der Aufrüstung Schritt halten. Besonders im Falle einer Public Cloud ist es von besonderer Wichtigkeit, den grösstmöglichen Schutz gegen Cyber-Kriminalität zu besitzen. Hierbei nützen Authentifizierungsprozesse alleine nicht viel, vielmehr müssen mehrstufige Ansätze für den Schutz von Identitäten und Daten angewendet werden. Im RSA Security Brief von rsa.com (2009) werden Massnahmen wie Geräte- und IP- Verfolgung, Verhaltensprofile und Out-of-Band-Technologien vorgeschlagen. Out of band bedeutet, dass beispielsweise Authentisierungsinformationen auf einem zweiten Kanal übermittelt werden. Idee dahinter ist, dass ein Angreifer nicht alle Kanäle gleichzeitig abhören kann und ihm somit die Information entgeht (catb.org, ohne Datum) Neben den obengenannten Massnahmen sind auch eher allgemeine von grosser Wichtigkeit, wie beispielsweise der Sicherung durch Antivirensoftware und die Härtung der Hardware. Antivirenhersteller haben bereits reagiert und veröffentlichen spezielle Software für den Cloud Einsatz. Auch ein regelmässiges Backup ist zu empfehlen (kasperskylap, ohne Datum).

43 Kapitel 8: Massnahmen und deren Bewertung Organisatorische Massnahmen Organisatorisch sind folgende Massnahmen möglich, um Cloud Computing sicherer zu betreiben: MO1: Limiting Physical Access Hierbei handelt es sich um eine Sicherheitsvorkehrung, die es Eindringlingen unmöglich machen soll, die Hardware der virtuellen Maschine(n) physisch anzugreifen. Sollte es einem Eindringling gelingen, an die Hardware zu gelangen, so könnte er beispielsweise Daten mit Hilfe von externen Speichermedien stehlen, Prozesse abbrechen und andere Sabotageakte vornehmen. Um solchen Problemen vorzubeugen, empfehlen Krutz und Vines (2010, S. 166) folgendes: Require card or guard access to the room with the machines. Use locks to anchor the machines to the building, and/or lock the cases to prevent removal of the hard drives. Remove floppy and CD drivers after initial setup. In the BIOS, disable booting from any device except the primary hard drive. Also, password protect the BIOS so the boot choice cannot be changed. Control all external ports through host and guest system configuration or third-party applications. MO2: Einsatz verschiedener Cloud Provider / Exit Strategie Jede Outsourcing-Konstellation auch das Cloud Computing schafft ein starkes Abhängigkeitsverhältnis des Kunden gegenüber dem Provider. Und es liegt im Interesse des Kunden, dass er die Kontrolle über seine betriebsnotwendigen Unternehmensfunktionen nicht verliert. (Mathys et al., 2011, S. 4-5) Verträge mit zwei verschiedenen Providern würden dem Kunden mehr Sicherheit bieten, sind aber wegen mehrheitlich proprietären Systemen schwer zu realisieren. Auch müssten die Verträge stark harmonisiert werden. Daher beschränken sich die meisten, wenn überhaupt auf eine Exit Strategie. Das Unternehmen sollte eine Exit Strategien zur Vermeidung von Data Lock-in haben. Daten sollten in offenen Formaten gespeichert sein, um einen Wechsel oder Austausch zwischen den Anbietern zu ermöglichen. (Höller & Pötscher, 2010, S. 13)

44 Kapitel 8: Massnahmen und deren Bewertung 37 MO3: Standardisierung der Cloud Es gibt bereits Bestrebungen von der Open Cloud Community, um einen Standard für ein Cloud System zu definieren. So wären Kunden nicht mehr abhängig von einem bestimmten Anbieter. Die Open Source Business Foundation (OSBF) hat die sechs wichtigsten Prinzipien für eine offene Cloud herausgegeben (Deutscher & Geck, 2011): Alle User- und Metadaten eines Service werden in einem offenen Standardformat dargestellt. Die Funktionalität eines Service wird über offene Standard-Schnittstellen exponiert. Jeder Service-Consumer kann den Service ohne jede Diskriminierung nutzen. Eigentums- und Zugriffsrechte sind für alle verarbeiteten Daten durch den Benutzer festlegbar. Der Service-Provider achtet die Rechte an den Daten des Benutzers/Service Consumers, die der Benutzer ihm gewährt. Open Cloud-Services stimmen über geeignete Prozesse/Infrastruktur alle Veränderungen/Erweiterungen des Services in einer Community ab. Auch weitere Non-Gouvernement Organisationen wie die Cloud Security Alliance (CSA) haben es sich zum Ziel gesetzt, die Sicherheit im Cloud Computing zu verbessern. Zu den Mitgliedern gehören Sicherheitsexperten aus dem ganzen IT-Bereich. Auch die Grosskonzerne wie HP, Google und Microsoft unterstützen die Bemühungen. Anhand von Best Practices soll die Sicherheit von Cloud Umgebungen verbessert werden. (Eriksdotter, 2010) 8.5 Restrisiken Neben den genannten Massnahmen gegen organisationale, rechtliche und technische Risiken bleiben dennoch immer noch einige Restrisiken bestehen. Zu nennen sind die allgemeinen natürlichen Risiken wie Erdbeben, Überschwemmungen und Brände, die nur schwer voraussehbar sind und effektive Vorbereitungen schwierig machen. Darüber hinaus kann das Risiko jedoch auch von Seiten verschiedener Menschen oder Organisationen drohen. Beispielsweise kann ein bösartiger Angriff die Internetverbindung einer Unternehmung lahmlegen oder der Anbieter muss Konkurs erklären. Obwohl das Schadenspotential dieser Restrisiken durchaus beträchtlich sein kann, sind die Schutzmassnahmen, meist in Form von Versicherungen sehr kostspielig. Aus diesem Grund müssen Schutzmassnahmen auf die Eintrittswahrscheinlichkeit und auf das Schadenspotential abgestimmt werden.

45 Kapitel 8: Massnahmen und deren Bewertung Übersicht Massnahmen und Bedrohungen In diesem Unterkapitel wurden die vorher zusammengetragenen Bedrohungen aus den Kapiteln Fünf bis Sieben den Massnahmen aus diesem Kapitel gegenübergestellt. Falls die Massnahme nur schwach oder gar nicht gegen die jeweilige Bedrohung wirkt, wurde das Feld Weiss gelassen. Bei einer mässigen Wirkung ist das Feld Lachsrot, bei einer stärkeren Massnahme Weinrot. Die jeweiligen Hauptmassnahmen mit einem sehr hohen Wirkungsgrad gegen die Bedrohungen sind leuchtend Rot eingefärbt. Vor allem für die Datensicherheit (und gesamte CIA Kriterien) gibt es bereits sehr gute (meist technische) Massnahmen. Auch für die anderen Bedrohungen gibt es häufig mehr als eine Massnahme, die sehr gut greifen. TBB1 TBB2 TBB3 TBB4 TBB5 GB1 RB1 RB2 RB3 RB4 RB5 RB6 MV1 MV2 MV3 MV4 MV5 MT1 MT2 MT3 MT4 MT5 MO1 MO2 MO3 Tab. 8: Übersicht Massnahmen und Bedrohungen. Quellen: Eigene Darstellung (2012).

46 Kapitel 9: Leitfaden für Unternehmen 39 9 Leitfaden für Unternehmen Um die Informationen aus dem Kapitel Acht noch praxisorientierter zu gestalten, werden sie mit den häufigsten Kontextdaten der unterschiedlichen Unternehmenstypen verknüpft. Die Projektgruppe bewertet die Massnahmen für zwei verschiedene unternehmerische Ausgangslagen und erstellt so einen hilfreichen Leitfaden für die Praxis. 9.1 KMU und Cloud Computing In diesem Unterkapitel wird auf die Situation eines typischen KMU eingegangen. Dazu ein paar Zahlen: Ein KMU hat bis 100 Mitarbeitende und nicht mehr als 10 Prozent Marktanteil. Die Mitarbeitenden haben eine breite Palette an Aufgaben und die Führungskräfte haben wegen operativen Pflichten kaum Zeit strategische Entscheide zu planen (Gadatsch, 2010, S. 347). Die IT-Abteilung dieser KMU ist meist klein und die Fachkräfte müssen verschiedene Aufgaben im Soft- und Hardwarebereich übernehmen. Ein wichtiges Thema ist Cloud Computing noch nicht bei dem meisten mittelständischen Unternehmen. Laut einer Studie von pwc bei KMU kennen knapp sechs von zehn Befragten Cloud Computing. Aber nur einer von zehn hat sich schon mit dessen Vor- und Nachteilen befasst und über eine Einführung nachgedacht. (Golkowsky & Vehlow, 2011) Technische Vor- und Nachteile Die technischen Vorteile von Cloud Computing liegen klar bei der Skalierbarkeit und der damit verbundenen Kosteneinsparung, auch gibt es fast keinen Wartungsaufwand mehr. Dies bestätigt auch Christian Bernet vom Unternehmen Bernetimux, einem Softwareentwicklungsunternehmen aus der Ostschweiz (siehe Anhang A Interview). Der Bedarf an einer hohen Leistung bei Spitzenzeiten muss für ein Softwareprojekt vorhanden sein, sonst macht Cloud Computing in Form von SaaS für Bernetimux wenig Sinn. Im Grossen und Ganzen sind die Risiken und sicherheitstechnischen Aufwände beim Cloud Computing grösser als beim Shared Web Hosting. Vor allem die Abhängigkeit vom Anbieter lassen Entscheidungsträger zögern. Aus den Vor- und Nachteilen ergibt sich ein gewisses Dilemma: Auf der einen Seite liegen die wirtschaftlichen und organisatorischen Vorteile des Cloud Computings auf der Hand, auf der anderen Seite tragen CIOs und IT-Leiter die Verantwortung für Sicherheitsbelange, die durch eine verteilte Infrastruktur weitgehend ihrem Einfluss entzogen wird. Bernet erwähnt auch, dass er beim Shared Web Hosting als Serverbetreiber noch einen gewissen Einfluss auf die Sicherheit habe, der beim komplexeren Cloud Computing kaum mehr möglich ist.

47 Kapitel 9: Leitfaden für Unternehmen 40 Und Unternehmen sind sich nicht bewusst, dass sie bei der Nutzung einer Cloud auch von ihrem Internet-Provider abhängig werden. Es gibt dafür schon technische Massnahmen, welche die Verfügbarkeit der Internetanbindung durch Redundanzen steigern, hierdurch wird das Ausfallrisiko minimiert (Kissel, 2011). Dies zeigt eigentlich gut, dass es für die meisten technischen Bedrohungen bereits gute Gegenmassnahmen gibt. Diese Aussage unterstützt auch der Raster im Unterkapitel Anforderungen von den KMU Viel schwieriger für kleinere Unternehmen ist zu wissen, wo die Bedrohungen überhaupt liegen und in welchem Ausmass sie Geld dafür investieren wollen. Die Abbildung 17 zeigt die wichtigsten Faktoren für KMU im Bezug auf Cloud Computing. Dabei fällt vor allem das hohe Informations-Sicherheitsbedürfnis auf. Auch die Performance und die Verfügbarkeit sind sehr kritische Faktoren für Cloud Kunden. Abb. 11: Faktoren für die Zufriedenheit mit Cloud Computing bei KMU. Quelle: Kohler (2011). Unternehmen sollten ihre Bedürfnisse an die IT wie in der obigen Abbildung erfassen und gewichten. Auch spezielle Geschäftsprozesse müssen dabei berücksichtigt werden. Wenn die Vorteile einer Cloud-Landschaft zur Erfüllung der Bedürfnisse beitragen, sollte man auch über deren mögliche Risiken nachdenken.

48 Kapitel 9: Leitfaden für Unternehmen Grosse Unternehmen mit Cloud Computing Während im vorangegangenen Unterkapitel das Zusammenspiel zwischen den KMU und Cloud Computing betrachtet wurde, soll hier der Fokus auf den Grossunternehmen liegen. Um zu verstehen, was ein Grossunternehmen überhaupt ausmacht, folgt nun ein Definitionsversuch. Nach einer Definition von catpool.com (ohne Datum) ist ein Unternehmen dann als Grossunternehmen zu bezeichnen, wenn es mehr als 500 Mitarbeiter beschäftigt oder entweder einen Jahresumsatz von mehr als 100 Mio. Euro oder eine jährliche Bilanzsumme von mehr als 50 Mio. Euro aufweist. Im Gegensatz zu den Unternehmen aus dem KMU-Bereich kann die IT-Abteilung eines Grossunternehmens durchaus viele Mitarbeitende umfassen und bildet damit eine eigene Abteilung oder Stabstelle, je nach Unternehmensorganisation Vorteile der Cloud Grossunternehmen vertrauen aus verschiedenen Gründen auf den Einsatz von Cloud- Services. Das Unternehmen Flughafen Nürnberg GmbH (siehe Anhang B Interview) bezieht Cloud-Services für ihren Webauftritt. Sie hebt vor allem drei grosse Vorteile des Cloud Computing heraus: Skalierbarkeit, Elastizität und wirtschaftliche Effizienz. So meinte Herr Käser in einem Interview, dass die wirtschaftliche Effizienz vor allem im Sinne eines Payment on demand zu verstehen sei. Im Bereich der Elastizität seien Möglichkeiten gegeben, die durch traditionelle IT-Infrastruktur nur unter grossen Kosten zu erreichen seien. Als Beispiel führte er im Interview den Zwischenfall mit dem Ausbruch des isländischen Vulkans Eyjafjallajökull im Jahr 2010 an. Damals schnellte, bedingt durch das Naturereignis und die vielen Streiks, die Belastung der Website um das 17- bis 30-fache in die Höhe Anforderungen bei Grosskonzernen Abb. 12: Erfolgsfaktoren von Cloud Computing aus CIO-Sicht. Quelle: cloud-practice.de (ohne Datum).