Benutzer:Birkenkrahe/HWR-MBA-BIS-ENCM/cloud

Chancen und Risiken von Cloud Computing für KMU

Der vorliegende Artikel stellt in erster Linie eine persönliche Einschätzung dar, die eines der Teammitglieder verfasste. Auf Grundlage dessen fand durch die anderen Teammitglieder an einigen Stellen eine genauere Recherche der Inhalte statt, um das Thema aus verschiedenen Blickwinkeln zu betrachten.

Einleitung

Bearbeiten

Bei einem ersten Gespräch mit unserem IT Verantwortlichen in der Firma und der Frage, was er von Cloud-Computing halten würde, bekam ich eine IT-typisch trockene Antwort und er verwies sofort darauf, dass das System (also Internet) grundsätzlich immer ausfallen könnte und dann keine Möglichkeit mehr bestünde, zu arbeiten. Auf meine nächste Nachfrage, wie hoch die Wahrscheinlichkeit wäre, dass das Internet ausfällt, antwortete er sofort, dass vier Tage im Jahr durchschnittlich seien. Dann rechnete er mir vor, wie viele Arbeitnehmer dann untätig in der Gegend herumsitzen würden und was das am Ende kosten würde.

Würde man Cloud-Computing losgelöst von allen anderen Faktoren betrachten, wäre die Rechnung im Prinzip genauso einfach. Man müsste nur den Ausfall von vier Arbeitstagen auf die gesamte Belegschaft gegen die Kosten rechnen, die man einspart, wenn man sich für den Schritt in die Cloud entscheidet.

In meiner Recherche hatte sich dies anfänglich leider auch oft genau so dargestellt, dass vor allen Dingen die finanziellen Einsparungen, welche eine Firma machen kann (ausgelöst durch aufregend klingende Größenregressionseffekte) in den Vordergrund gespielt wurden. Doch leider ist die Entscheidung, ob oder ob man nicht ins Cloud-Computing einsteigt, nicht ganz so einfach. Gerade für kleinere und mittlere Unternehmen (KMU) ist der Einstieg ins Cloud-Computing mit vielen Hemmfaktoren interner und externer Art verbunden. In der Folge möchte ich, gespiegelt an den eigenen Erfahrungen, einen kurzen Abriss darüber geben was die mögliche Implementierung von Cloud-Computing Services in einem KMU bedeuten könnte.

Definition Cloud Computing

Bearbeiten

Beim Cloud Computing handelt es sich um eine flexible, also an dem Bedarf angepasste, Form von IT-Dienstleistungen. Cloud Computing fast alle möglichen Cloud-Dienste (zum Beispiel Dokumentenverarbeitung oder Transaktionen) unter einem Begriff zusammen und beschreibt eine abstrahierte IT-Infrastruktur, welche durch einen Provider über ein Netzwerk den jeweiligen Nutzern zur Verfügung gestellt wird. Die Nutzung der Dienste kann vom Anwender zu jeder Zeit an jedem beliebigen Zugangsort erfolgen. Wörtlich übersetzt kann man es also als "Arbeiten in der virtuellen Rechenwolke" betrachten.[1] Sehr populäre Cloud-Anwendungen sind beispielsweise E-Mail Provider wie Yahoo!, G-Mail oder Web.de. Eigentlich kann man mit Sicherheit behaupten, dass jeder, der schon mal das Internet genutzt hat, wissentlich oder unwissentlich auch schon einmal eine Cloud Anwendung genutzt hat - ob er nun ein Video gestreamt oder seinen Sonntagnachmittag als stolzer Ritter in World of Warcraft verbracht hat. Cloud Computing wird dabei grundsätzlich in drei unterschiedliche Cloud-Arten aufgeteilt.

Private Clouds

Bearbeiten

Diese Clouds werden vor allen Dingen den Bedürfnissen von Unternehmen gerecht, die hohen Wert auf Datenschutz und IT Sicherheit legen, da sie, wie der Name bereits verrät, privat sind. Zwar machen die Systeme grundsätzlichen Gebrauch von der Skalierbarkeit und Flexibilität der Cloud, die Daten befinden sich dabei aber in einem System, was der Öffentlichkeit nicht zugänglich ist. Diese Systeme werden nach wie vor von der eigenen IT und auch nur für eigene Mitarbeiter zur Verfügung gestellt und sind auch nur diesen bekannt. Zugriff auf die Private Cloud und damit verbundene Dienste und Anwendungen erhalten berechtigte Personen (beispielsweise Mitarbeiter, Geschäftspartner) über ein firmeneigenes Intranet oder, bei Nutzung außerhalb des Unternehmens, über eine VPN-Verbindung (Virtual Private Network). Beim Erreichen der klassischen Mehrwerte der Cloud, speziell bei den Kosteneinsparungen und im Bezug auf die Skalierbarkeit, werden diese allerdings mit privaten Clouds nicht im selben Maße erreicht.[2]

Public Clouds

Bearbeiten

Hierbei handelt es sich um ein Angebot eines öffentlichen, externen Providers, welcher seine Dienste über das Internet jedermann zugänglich macht und zur Verfügung stellt. Beispiele hierfür sind die kostenfreie Variante Google Docs oder auch der kostenpflichtige Dienst Microsoft 365. Auch das Portal Youtube, das täglich millionenfach genutzt wird, stellt eine Public Cloud Lösung dar. Man unterscheidet innerhalb der Public Clouds zwischen Open Clouds und Exclusive Clouds. Die Open Cloud birgt ein potenzielles Datenschutz-Risiko, da Anbieter und Nutzer sich nicht kennen und keinen direkten Kontakt zueinander haben. Innerhalb einer Exclusive Cloud existiert ein verbindlicher Vertrag zwischen Anbieter und Nutzer mit festen Bedingungen und Konditionen. Erst nach der Autorisierung des Anbieters und nach Zustimmung zu Nutzungsbedingungen und Datenschutzbestimmungen kann der Nutzer auf die Cloud-Dienste zugreifen.[3]

Hybride Clouds

Bearbeiten

Hybride Clouds sind Mischformen zwischen der privaten und der öffentlichen Cloud. Die kritischen Anwendungen laufen nach wie vor im Unternehmen, während bestimmte, einfache Services ausgelagert werden. Entscheidend hierbei ist die saubere Trennung von wichtigen und unwichtigen Inhalten, welche einen erheblichen Mehraufwand bei der Klassifizierung von Daten im Workflow voraussetzt. Vorteile ergeben sich durch die gemeinsame Nutzung von standardisierten Schnittstellen. Teilen sich mehrere Institutionen mit ähnlichen Interessen ein und dieselbe Cloud-Infrastruktur, so spricht man von einer Community-Cloud. Diese kann entweder von einem externen Provider oder von einer der Institutionen betrieben werden.[4]

Servicemodelle

Bearbeiten

Es lassen sich drei verschiedene Arten von Servicemodellen unterscheiden, die im folgenden kurz vorgestellt werden.

Infrastructure as a Service (IaaS)

Bearbeiten

Bei IaaS handelt es sich um einen Cloud-Service, bei dem alle IT-Infrastruktur-Komponenten von einem Provider als Dienst angeboten werden. Der Anwender kann auf diese virtuellen und standartisierten Komponenten, beispielsweise Rechenleistung oder Netzkapazitäten, zugreifen und darauf eigene Services zum internen und externen Gebrauch aufbauen. Die Abrechnung erfolgt bedarfsabhängig auf Grundlage der tatsächlichen Nutzung. Weitere Vorteile für den Anwender sind, dass immer mit der modernsten und sichersten Software gearbeitet werden kann, da Updates automatisch erfolgen und dass die Wartung durch den Provider erfolgt. Anbieter von IaaS-Services sind beispielsweise IBM und Microsoft.[5]

Platform as a Service (PaaS)

Bearbeiten

Bei diesem Cloud-Dienst bietet der Provider eine Plattform mit standardisierten Schnittstellen an und steckt dem Anwender einen Rahmen, der als Entwicklungsgrundlage und -umgebung dient. Der Anwender kann stets auf die aktuellen Versionen zugreifen, hat jedoch keinen Zugriff auf darunterliegende Schichten. PaaS-Dienste werden nutzungsabhängig abgerechnet und unter anderem von Force.com und Google angeboten.[6]

Software as a Service (SaaS)

Bearbeiten

Dieser Service, auch Application Service Provider (ASP) genannt, basiert darauf, dass der Provider eine Anwendung betreibt und bereitstellt, die der Anwender je nach Bedarf aus dem Internet downloaden kann. Dem SaaS-Provider kommt somit eine hohe Verantwortung zu, da er die Software "on demand" bereitstellen und jederzeit auf Kundenanforderungen reagieren können muss. Der Anwender hingegen kann sich durch diese "IT-Auslagerung" auf sein Kerngeschäft konzentrieren, da erforderliche administrative Aufgaben durch den Provider abgedeckt werden.[7]

Geschichte des Cloud Computing

Bearbeiten

Im Brockhaus "Computer und Informationstechnologie" aus dem Jahr 2003 war der Begriff des Cloud Computing noch nicht zu finden[8], heute ist er nicht nur Privatpersonen, sondern auch Unternehmen sehr bekannt. Doch wie kam diese rasante Entwicklung zustande?

Die Voraussetzungen für Cloud Computing wurden bereits mit der Entwicklung des Internets und der Wirtschaftstechnologie geschaffen. Besonders wichtig war dabei die Weiterentwicklung des Computers vom großen Taschenrechner hin zum Lieferanten von Geschäftslösungen. Etwa zu der Zeit, als der Computer sich im Geschäftsbereich etablierte, setzte auch ein internationales Denken ein, sodass für die Bereitstellung weltweiter Computerservices der Weg geebnet wurde.

In den 1960er Jahren entwickelte J.C.R. Licklider den Internet-Vorläufer ARPANET und die Idee des "intergalaktischen Computernetzes". Licklider glaubte daran, dass das Internet bald den Globus dominieren würde, und stand mit dieser Auffassung nicht allein da. John McCarthy stellte bereits 1961 seine Idee vor: "Computer-Services, die als öffentlicher Dienst bereitgestellt werden". Die Visionen dieser beiden Herren bilden ebenso wie die technischen Entwicklungen die Grundlage für die Existenz des Internets und damit auch des Cloud Computing. In den folgenden Jahren entwickelten sich die Vorgeschlagenen Begriffe und Konzepte ernsthaft weiter, 1971 wurde beispielsweise die erste E-Mail gesendet und 1974 wird Microsoft gegründet. APRANET wurde vom US-Verteidigungsministerium zum Internet weiterentwickelt und das Onlinegehen diverser Anbieter ließ ahnen, dass das Internet bald von Service-Providern bereitgestellt werden würde. In den 1980er Jahren kam es zu einem Boom im Computerbereich, zunächst zu staatlichen und geschäftlichen Zwecken, später auch zu perönlichen Zwecken. Der Weg für den Aufstieg des Internets war damit klar vorgezeichnet. Nachdem die Welt in den 1990er Jahren durch das World Wide Web neu miteinander verknüpft wurde, gingen auch Unternehmen online und begannen mit der Auslotung kommerzieller Möglichkeiten, die diese Neuerung ihnen eröffnete. Die ersten Cloud Computing Websites gingen schließlich im Jahr 1999 online (Google und salesforce.com).

Auch wenn es Cloud Computing bereits länger gibt, wurde es vor allem im Jahr 2006 durch Amazon, Google und Yahoo maßgeblich geprägt. Amazon, bekannt als weltweiter Internetversandhandel, hat gerade zur Weihnachtszeit einen enormen Nutzeranstieg zu verzeichnen. Durch die Nutzung des Cloud Computings, also den Einsatz zusätzlicher Server in der Weihnachtszeit, die man zukauft, konnten die Peaks im Weihnachtsgeschäft problemlos abgefangen werden.[9]

Der Siegeszug des Cloud Computings setzte sich bei den Privatnutzern fort. Durch die Nutzung von Nachrichtendiensten wie Twitter und Social Media Plattformen wie Facebook sowie neuer Smartphones und Apps, die von überall darauf zugreifen lassen, stieg das weltweit produzierte Datenvolumen beträchtlich an.

Dass sich das Konzept, Anwendungen flexibler, mobiler und einfacher zu machen, auch auf den Geschäftsbereich übertragen lässt, stellten kurz darauf auch Unternehmen fest. Cloud Computing bietet dafür unzählige Möglichkeiten, die immer mehr Unternehmen für ihre Zwecke entdecken und zu nutzen beginnen, vor allem auch dadurch, dass die technischen Möglichkeiten, allen voran eine schnelle Internetverbindung, heutzutage nahezu flächendeckend gegeben sind. Dies ruft gleichzeitig IT-Serviceanbieter auf den Plan, die im Angebot von "Dienstleistungen in der Wolke" einen zukünftigen und rentablen Geschäftszweig entdeckt haben. Die Geschichte des Cloud Computings wird somit kontinuierlich weitergeschrieben.

Vor- und Nachteile des Cloud Computing

Bearbeiten

Ein wichtiger Teil der Reflexion von Chancen und Risiken von Cloud-Computing für KMU ist die gründliche Betrachtung der Vor- und Nachteile von Cloud Anwendungen.

Vorteile aus Sicht der KMU

Bearbeiten

Ein Vorteil ist die schnelle Verfügbarkeit der Services. Es dauert in der Regel nur wenige Stunden und man kann mit einem neuen Service loslegen. Langwieriges Einrichten von Software entfällt im SaaS-Modell, da dieses direkt im Internet aufgerufen wird. Auch gibt es geringe Anfangsinvestitionen und, erfreulich für den IT-Support, keinerlei laufende Betriebsverantwortung, sprich keinerlei Notwendigkeit, regelmäßige Backups durchzuführen, sich um Integration oder aktuelle Updates zu kümmern.

Der wichtigste Vorteil liegt aber vielleicht in der flexiblen Skalierbarkeit. Ein berühmtes Beispiel hierzu ist der Weihnachtsverkauf bei Amazon. Um den starken Leistungsschwankungen über Weihnachten gerecht zu werden, hat Amazon leistungsstarke Server-Kapazitäten aufgebaut. Die Leistungsspitzen, denen die IT Infrastruktur in jenen wenigen Tagen gerecht werden musste, waren enorm. Wegen dieser Kurzfristigkeit waren aber auch viele der teuer aufgebauten Ressourcen und ihr Potenzial für den Rest des Jahres ungenutzt. So begann Amazon, ein Business-Modell aus den frei gewordenen Ressourcen zu machen und diese zu vermieten und unterschiedlichen Nutzern in ihrer Elastic Computer Cloud verfügbar zu machen.

Dies ist ein Angebot, welches extrem attraktiv für viele schnell wachsende Unternehmen ist oder für Unternehmen, welche immer wieder Leistungsspitzen gerecht werden müssen. Ebenso profitieren dynamische Arbeitsgemeinschaften, welche sich nur projektbezogen zusammenfinden. Gerade in der Arbeitswelt von heute, in der viele Freelancer sprunghaft Angebote annehmen, Mitarbeiter von Unternehmen bei den Klienten vor Ort sitzen, um zu unterstützen und sich immer wieder flexible Teams bilden, sind solche Lösungen nicht nur für die Freelancer, sondern auch für die Unternehmen, welche Sie anstellen, eine interessante Alternative. Ein weiterer Vorteil, der mit dem vorangegangenen eng verknüpft ist, ist die Omnipräsenz der Services, die es mir ermöglicht, mit den unterschiedlichen Mitarbeitern von unterschiedlichen Orten der Welt aus zusammen zu arbeiten. Denkt man diesen Gedanken konsequent zu Ende, könnte man auch die Sinnhaftigkeit von großen Investitionen in teure gemeinsame Büroräume in Frage stellen. Es zeigt sich hier, dass sich Cloud-Computing-Lösungen vor allen Dingen für Unternehmen anbieten, die sich in der Startup-Phase befinden und noch nicht genau abschätzen können, wie sich Ihr Unternehmen weiter entwickelt. Viele dieser Services sind in ihrem Abrechnungssystem an die Nutzung gebunden, d.h. je mehr ich sie nutze, desto mehr zahle ich. Je mehr Ressourcen und Leistungen ich beanspruche, desto mehr zahle ich. Anders herum zahle ich natürlich ebenfalls weniger, wenn ich weniger nutze. Das ist ein faires Modell, welches dem Grundanspruch jedes Startups gerecht wird, Fixkosten gering zu halten, indem es sie in diesem Fall in variable Kosten umwandelt. Durch diese verbrauchsorientierte Abrechnung spricht man von einer durchschnittlichen Kostensenkung in der IT von bis zu 70% (siehe Wirtschaftlichkeitsbetrachtung).

Ein weiterer Vorteil, der sich speziell bei Startups und KMU positiv auswirkt, ist, dass die Hardware längerfristig immer weniger Leistungsansprüchen gerecht werden muss. Oft reicht ein minimaler performanter Client, sprich also PC, Smartphone oder Tablet, eine stabile Internet-Verbindung und ein Browser, welcher an sich kaum mehr als 1 MB Größe hat. Die Leistungen und der Service sowie die Daten sind komplett ausgelagert. Ein interessanter Punkt ist, unter diesen Vorzeichen die Hardware Entwicklungen parrallel zur Entwicklung der Cloud zu beobachten, also ob die Cloud leistungsstärker wird und unsere Geräte im Zeitalter des ständigen Online-seins dies nicht mehr müssen.

Zu den weiteren Vorteilen zählen unter anderem, wie oben bereits erwähnt, dass Technologie und Software immer auf dem neuesten Stand der Zeit sind.Das bedeutet, sie sind sicherer und wachsen mit den Anforderungen der Netzkultur mit. Zusätzlich entfällt die Sorge um den Datenverlust ausgelöst durch Ausfall des Stromnetzes, den berüchtigten Festplattencrash oder Virenbefall.

Überraschend mag hier vielleicht klingen, dass sich bei einem der sensibelsten Punkte, was die Cloud angeht, nämlich der Datensicherheit, die Geister scheiden. Während grundsätzlich, geradezu fast intuitiv und unreflektiert davon ausgegangen wird, dass die Daten im eigenen Serverraum sicherer sind als irgendwo sonst auf der Welt, können wir objektiv betrachtet davon ausgehen, dass genau das Gegenteil der Fall ist. Zum einen ist die Überflutung des Serverraums oder der Brand des Gebäudes das sichere Aus für den Server, zum anderen haben wir in KMU meist nur einige wenige IT-Experten, die für den lokalen Server verantwortlich sind und für sämtliche Systeme, die in dem Unternehmen laufen. Sie befinden sind, wenn man so will, ständig in einer Situation, in der sie kurz vor der Überforderung stehen. Alternativ sind bei den großen Cloud-Computing-Anbietern eine komplette Heerschar von hoch geschulten IT Experten, 24 Stunden, 7 Tage die Woche, 365 Tage im Jahr mit nichts anderem beschäftigt, als damit, für die Sicherheit der ihnen anvertrauten Daten zu sorgen. Sollte dennoch ein Server ausfallen, so sind die Kundendaten mit verschiedenen Persistenzsystemen geschützt, so dass ein kompletter Datenverlust im Prinzip unmöglich ist.

Nachteile aus Sicht der KMU

Bearbeiten

Bei den Nachteilen ist allen voran natürlich der zwingenden Netzzugang als erstes aufzuführen. Eng damit verbunden ist die Tatsache, dass dies gleichzeitig das Arbeitstempo beeinträchtigen kann, wenn keine ausreichend belastbare Internetverbindung besteht. Es ist aber abzusehen, dass sich mit dem Ausbau von Glasfaser-Netzen auch dieses Problem früher oder später lösen lassen wird. Einer der meiner Meinung nach stark unterschätzen Nachteile ist, dass es sich bei der Einführung von Cloud-Computing-Services in einem KMU nicht nur um die Implementierung einer neuen IT Infrastruktur handelt, sondern es sich gleichzeitig auch um ein grundlegendes Change-Projekt innerhalb des Unternehmens handelt. Die unterschiedlichen neuen Prozesse bedeuten nämlich auch, dass ich bei den Mitarbeitern ein grundlegendes Verständnis für die Sicherheit im Umgang mit Daten etablieren muss. Dies ist ein kritischer Prozess, der sich stark auf die Produktivität des Unternehmens auswirken kann. Der Zeitraum dafür ist dabei schwer zu beziffern.

Sprechen wir gleich von einem kompletten Umzug eines Unternehmens in die Cloud, dann stellt die Datenmigration, insbesondere für Daten, die mit der Rechnungslegung zu tun haben und bei denen es um Vollständigkeit, Nachvollziehbarkeit und Richtigkeit geht, mit unter sehr hohe Mehraufwände für die Unternehmen dar. Unterstützung vom Provider gibt es hier zwar in der Regel, doch sprechen wir hier momentan noch von kostenpflichtigen Zusatzleistungen. Die Datenmigration ist aber nicht nur beim Einzug in die Cloud ein kritischer Punkt, sondern auch beim Auszug. Gerade hier macht sich, so glaube ich, ein psychologisches Phänomen, nämlich die Angst vor dem Kontrollverlust, bei den Unternehmen breit. Typische Sorgen sind: Was passiert mit den Daten, die ich ursprünglich in die Cloud geladen habe? Werden sie wirklich nachhaltig und rückstandslos gelöscht? Gerade viele der Unternehmen werben ja genau da mit einer unüberwindbaren Persistenz, welche es Ihnen ermöglicht, sicherzustellen, dass Daten eben nicht einfach verloren gehen können. Auch wenn dies technisch mit Sicherheit beherrschbar ist, beißt sich hier die Vorteilsargumentation rein intuitiv mit dem Angebot der spurlosen Löschung. Die abstrakte Vorstellung, dass die Daten des eigenen Unternehmens verteilt über unterschiedliche Server in unterschiedlichen Ländern auf der Welt herumliegen, bereitet Unbehagen. Versucht man den Gedanken an den Auszug aus der Cloud zu vermeiden, so kommt man zweifelsohne zu einem neuen Punkt, an dem sich eine andere Angst breitmacht, nämlich die des so genannten Vendor-Lock-in Effekt. Dies meint, ich bin auf Gedeih und Verderb an meinen Cloud-Anbieter und seine Konditionen gebunden. Man landet bei der Wahl zwischen Pest und Cholera. Eine andere Möglichkeit scheint es bisher noch nicht zu geben, die Cloud-Anbieter kooperieren bis jetzt noch nicht miteinander. Sie stellen alle geschlossene Systeme dar. Vielleicht jedoch, am Rande bemerkt, ein möglicherweise interessantes Businessmodell, diesem Problem zu begegnen.

Ein weiterer Punkt ist natürlich die Sicherheit der Daten, habe ich mich im Abschnitt über Vorteile noch sehr positiv darüber geäußert, muss man hier der Vollständigkeit halber festhalten, dass die Sicherheit der Cloud Lösung stark abhängig ist von der Qualität des Anbieters. Es gibt kleinere Unternehmen, bei denen die Daten zwar verschlüsselt auf dem Server liegen, während jedes Bearbeitungsvorganges jedoch rein theoretisch vom Administrator eingesehen werden können. Bei den etablierteren Anbietern hingegen werden die Dateien bereits vor dem Upload verschlüsselt und sind in keiner Phase des Bearbeitungsvorganges lesbar. Siehe im Detail auch den Punkt Datensicherheit. Anpassbarkeit stellt einen letzten Punkt dar, der gerade bei KMU, die mitunter sehr spezielle Anforderungen an ihre Prozesse und Tools haben, einen nicht unerheblichen Nachteil dar. Wird die komplette Infrastruktur als Service (IaaS) gemietet, habe ich als Unternehmen noch fast allen Einfluss, den ich nehmen will – dies ist aber auch deutlich teurer. Sprechen wir jedoch von der breiten Masse der Anwendungen, nämlich Software als Service (SaaS), dann ist auffällig, dass die Anpassbarkeit von Standards relativ gering ist.

Wirtschaftlichkeitsbetrachtung

Bearbeiten

Ziel des Einsatzes von Cloudcomputing in Unternehmen ist, neben den vorgenannten Punkten, auch die Einsparung personeller und finanzieller Ressourcen. In der nachfolgenden Wirtschaftlichkeitsbetrachtung werden die beiden Fälle, ausschließliche Nutzung der Cloudservices (substitutiv) und ausschließliche Anschaffung und Nutzung unternehmenseigener Systeme, gegenübergestellt. Unter Berücksichtigung der rein monetär messbaren Unterschiede sowie der nicht monetär messbaren Unterschiede zwischen den beiden Systemen soll am Ende der Wirtschaftlichkeitsbetrachtung, anhand eines Realbeispiels, eine Aussage getroffen werden können, ob eines und wenn ja, welches der beiden Systeme wirtschaftlicher ist.

Zur Wirtschaftlichkeitsbetrachtung von Cloudcomputing kann sich in dieser Betrachtung auf die zwei nachfolgend genannten Methoden, die in den Unternehmen Akzeptanz gefunden haben, gestützt werden. Als allgemein anerkannt gelten dabei die Kapitalwertrechnung und die Investitionsrechnung. Die Kapitalwertrechnung, auch Return on Invest, wird erfolgreich zur Wirtschaftlichkeitsbetrachtung bei Investitionen eingesetzt, bei denen überwiegend oder sogar nur ausschließlich monetär messbare Einsparungen eintreten. Für IT-Systeme, in denen ein Großteil des Nutzens monetär nicht quantifizierbar ist, hat sich der Einsatz jedoch als nicht geeignet herausgestellt. Aus den vorgenannten Gründen findet die Kapitalwertrechnung im dieser Betrachtung keine Anwendung. In der Investitionsrechnung werden neben den Investitionen und den monetär quantifizierbaren Einsparungen auch die qualitativen Unterschiede, d.h. auch der neu entstandenen Nutzen mit berücksichtigt. Aus diesem Grund wird die Investitionsrechnung zur Betrachtung der Wirtschaftlichkeit von Cloudcomputing in diesem Fall herangezogen.

Um die Schnittstelle zwischen Cloudcomputing und ausschließliche Nutzung der eigenen Systeme ziehen zu können, wurde geprüft, welche Rechentechnik von dem Nutzer vorgehalten werden muss, um die Dienste in der Cloud nutzen zu können. Denn ganz ohne eigene Investition in Rechentechnik und Infrastruktur wird der Zugang zur Cloud nicht erfolgen können. Zur Nutzung von Cloudservices ist es für die Nutzer somit weiterhin notwendig, die Endgeräte wie PC´s, Laptops oder Smartphones zu erwerben und zu administrieren. Aufgrund der mittlerweile recht hohen Performance der Rechensysteme wird in der Bertachtung davon ausgegangen, dass sich bei Einsatz der eigenen Systeme oder dem Einsatz von Cloudcomputing keine Unterschiede an den Endgeräten ergeben. Die Wirtschaftlichkeitsbetrachtung setzt somit genau hinter den Endgeräten an.

Die Betrachtung wird am Beispiel eines mittelständischen Unternehmens mit ca. 200 Mitarbeitern, die im Dienstleistungsbereich tätig sind, vorgenommen. Die Mitarbeiter werden aufgrund der unterschiedlichen Nutzung des Servers und des Internets in drei Nutzergruppen eingeteilt. Bei Nutzergruppe 1, 35 Angestellte, handelt es sich um Büroangestellte die über einen festen Arbeitsplatz verfügen. Die PC´s der Nutzergruppe 1 sind direkt über das firmeninterne Netzwerk mit dem Server verbunden. Die 35 Arbeitsplätze der Nutzergruppe 2 verteilen sich auf mehrere Bürostandorte innerhalb Deutschlands. Für die Nutzergruppe 2 ist der Zugriff auf die Unternehmensdaten via Internet zwingend erforderlich. Ein Ausfall des EDV-Systems während der normalen Geschäftszeiten ist unbedingt zu verhindern. Nutzergruppe 3 mit 130 Mitarbeitern verfügt über keinen festen Arbeitsplatz. Der notwendige Zugriff beschränkt sich auf die vom Unternehmen zur Verfügung gestellten Vorlagen und auf das E-Mailpostfach. Ein Zugriff auf die vollständigen Unternehmensdaten ist nicht notwendig. Ein Ausfall der Zugriffsmöglichkeit auf die E-Mails und die Unternehmensvorlagen kann für einen Zeitraum von ein bis zwei Stunden am Stück toleriert werden.

Nutzergruppe 1 Nutzergruppe 2 Nutzergruppe 3
Anzahl der Mitarbeiter 35 35 130
Arbeitsplatz fest, Büro mobil, verschiedene Standorte mobil
Softwareanwendung Exchange-Server Exchange-Server Exchange-Server
Auswirkung bei Ausfall des Internets bei Nutzung des eigenen Servers irrelevant relevant kurzzeitig tolerierbar
Auswirkung bei Ausfall des Internets bei Nutzung der Cloudservices relevant relevant kurzzeitig tolerierbar

Aufgrund des beschränkten Umfangs dieser Hausarbeit wurde die Nutzung bzw. Bereitstellung von Software im Rahmen der Wirtschaftlichkeitsbetrachtung nicht berücksichtigt. Als einzige Software wurde die für den Betrieb des Exchange-Servers, Bereitstellung von E-Mails, notwendige Anwendung mit berücksichtigt. Die Kosten für diese Anwendung sind im Anschaffungspreis des Servers bereits mit berücksichtigt. Um eine aussagefähige Entscheidungsgrundlage liefern zu können, sollte die hier getätigte Betrachtung in einer weiterführenden Arbeit um wirtschaftliche Auswirkung des Erwerbs bzw. der Auslagerung der Software in die Cloud erweitert werden.

Nutzung unternehmenseigener Systeme

Bearbeiten

Bei der Wirtschaftlichkeitsbetrachtung "Nutzung der unternehmenseigenen Systeme" werden alle entstehenden Kosten unter der Beachtung der vorgenannten Betrachtungsgrenze mit berücksichtigt. Bei den TCO (Total Cost of Ownership) ist zwischen den direkten und den indirekten Kosten zu unterscheiden. Eine grobe Übersicht über die Kostenarten ist in der nachstehenden Tabelle dargestellt. Zu den Sach- und Personalkosten zählen ausschließlich die im unmittelbaren Zusammenhang mit der IT-Infrastruktur entstehenden Kosten. Hierzu zählen alle Kosten, die während des Betriebs des Systems und auch die, die durch die Erstinvestition in die IT-Technik entstanden sind. Die durch den Ausfall des Servers entstehenden Kosten werden unter den indirekten Kosten berücksichtigt.

Direkte Kosten Indirekte Kosten
Sach- und Personalkosten (fix und variabel) Ausfallzeiten
Erstinvestition (fix und irreversibel)
Betriebskosten (fix und variabel)

Im Fall der Nutzung der eigenen IT-Systeme müssen alle Komponenten selbst erworben werden. Das heißt, die Hardware (Leistung des Systems) und die Software müssen zur Abdeckung der Spitzenlast ausgelegt sein. Als extremes Beispiel kann der Weihnachtsverkauf im Onlineshop oder das Projektgeschäft angebracht werden. In beiden Fällen gibt es eine stark schwankende Auslastungskurve über das Jahr hinweg gesehen. Das Projektgeschäft, im Vergleich zum Onlineverkauf, wo aufgrund der Erfahrungen die erwarteten Leistungsspitzen vorhersehbar sind, ist sehr volatil. Extreme Spitzenzeiten, in denen viel Personal und viel Rechenleistung benötigt wird, werden von unregelmäßig wiederkehrenden und unterschiedlich langen „Flauten“ abgewechselt. Aufgrund der irreversiblen Investition in die Rechentechnik und der vorab nicht genau bekannten Anforderung ist die Wahrscheinlichkeit einer Über- oder Unterinvestition sehr hoch. Beide Fälle sind für das Unternehmen teuer. Im Fall der Überinvestition ist das Kapital gebunden, ohne dass es einen Mehrwert erzeugt. Im Falle einer Unterinvestition ist das Unternehmen nicht ausreichend leistungsfähig. Dies hat zur Folge, dass die personellen Ressourcen nicht hinreichend ausgelastet werden können und aufgrund der reduzierten Arbeitsgeschwindigkeit unter Umständen der Auftrag nicht termingerecht beendet werden kann.

Neben der notwendigen Investition in die Hard- und Software ist es notwendig, die IT zu administrieren. Die anfallenden Kosten sind zum Teil fix, Vorhaltung eines Bereitschaftdienstes oder regelmäßige Sicherung, und auch variabel. Die Herausforderung für den Administrator und auch das Unternehmen besteht darin, dass alle Bereiche der zu administrierenden IT abgedeckt werden müssen. Gerade in KMU stellt genau dieser Punkt eine Herausforderung dar. Aufgrund des vielfältigen und unterschiedlichen Softwareeinsatzes im Unternehmen kann ein zufriedenstellender Support durch einen Administrator nicht erfolgen. Um einen vollständigen Support sicherstellen zu können, müssen in diesem Fall Experten hinzugezogen werden. Laut einer Studie des Marktforschungsinstitutes PersonalMarkt Services betrug das Bruttojahresgehalt in Deutschland in der IT-Branche 2007 für Angestellte ohne Personalverantwortung 37.340 € bis 63.239 € pro Jahr. Zuzüglich des Arbeitgeberanteils zur Erreichung der Gesamtarbeitskosten von 31 % (Eurostat 2008) ergibt sich ein durchschnittlicher monatlicher Bruttoverdienst in Höhe von 5.489 € oder einem Stundenverrechnungssatz von 34,31 € brutto. Der durchschnittliche wöchentliche Einsatz des Administrators wird mit 2 Stunden angenommen.[10]

Die größte Erstinvestition ist wohl die Anschaffung des Servers. Aufgrund der Erfahrungen in dem betrachteten Unternehmen lag die Investition für einen kürzlich angeschafften Server bei 3.500 €. Der Server verfügt über 2 Prozessoren mit je 2,4 GHz, 4 TB Festplattenspeicher im RAID 5-Verbund. Von dem beschriebenen Server sind aufgrund der organisatorischen Ausrichtung zwei identische Server in Betrieb. Als Lebensdauer für den Server können aus Erfahrungswerten 3-5 Jahr angenommen werden. Für die Erstinvestition in die beiden Server ergeben sich daher monatliche Kosten in Höhe von 145,83 €. Die Stromaufnahme der genannten Server liegt bei je durchschnittlich 500 Watt. Bei den derzeitigen Berliner Strompreisen von rund 26,88 Cent/kWh und einem 24 Stunden Betrieb ergeben sich monatliche Stromkosten in Höhe von 196,22 €. Zur Klimatisierung des Serverraumes wir ein kompaktes Klimagerät verwendet. Die elektrische Leistungsaufnahme beträgt maximal 300 Watt. Es wird als Jahresmittel mit einer mittleren Leistungsaufnahme von 90 Watt gerechnet. Die Konditionen für den Strombezug bleiben in der Betrachtung gleich. Für die Herstellung der Datenverkabelung für eine Bürofläche von ca. 700 m² müssen 4.800 € gerechnet werden. Die Lebensdauer der Datenverkabelung ist mit 15 Jahren angenommen.[11] Wie in der Einleitung bereits erwähnt, ist der Betrieb eines Servers störanfällig. Die Auswertung des letzten Jahres ergab eine Gesamtausfallzeit der Server von 6 Stunden. Wirtschaftlich von einem Ausfall des Systems ist nur die Nutzergruppe 1 und 2, die mit ca. 70 Mitarbeitern vertreten ist, betroffen. Bei der Nutzergruppe 3 kann der wirtschaftliche Schaden, der durch den Ausfall des Systems für die Dauer von einigen Stunden entsteht, vernachlässigt werden. Die Nutzergruppe 1 und 2 besteht primär aus Ingenieuren mit einem Gehaltsgefüge, das dem des Administrators gleich kommt. Unter Berücksichtigung der Betrachtungsgrenzen entstehen pro Jahr, durch die während der Ausfallzeit des Servers nicht nutzbaren Personalressourcen, Kosten in Höhe von 14.410,20 €.[12]

Zur Herstellung der Zugriffsmöglichkeit für die externen Mitarbeiter wird eine ausreichend schnelle Verbindung zum Internet benötigt. In dem vorgenommenen Praxisbeispiel ist eine synchrone 4 Mbit Anbindung des Servers ausreichend. Die Kosten für die Internetanbindung liegt derzeit in Berlin bei ca. 250 € pro Monat. Trotz langer Recherchen konnte eine belegbare Aussage über die Downtime, Ausfallzeit, des Zugangs zum Internet nicht gefunden werden. In Foren wird von einer Jahresausfallzeit von 0,1 % gesprochen. Die Ausfallzeit von 0,1% würde einem Ausfall von 8 Stunden und 45 Minuten entsprechen. Aus den Erfahrungen aus dem eigenen Betrieb lag die Ausfallzeit im Bereich von 20 Minuten pro Jahr. Für die angestrebte Wirtschaftlichkeitsberechnung werden die 20 Minuten Ausfallzeit pro Jahr als Basis herangezogen. In der Ausfallzeit, die ausschließlich die Angestellten der Nutzergruppe 2 betrifft, entstehen Personalkosten in Höhe von 33,36 €.

Eigene Systeme / Kosten pro Monat
Direkte Kosten
Administrator 297,35 €
Erstinvestitionen Server 145,83 €
Stromverbrauch Server 196,22 €
Stromverbrauch Kühlung 17,66 €
Datenverkabelung 26,67 €
Internetanbindung des Servers 250,00 €
Indirekte Kosten
Ausfallzeiten Server 1.200,85 €
Ausfallzeit des Internetzugang 33,36 €
Summe 2.167,94 €

Die monatlichen Kosten in Höhe von 2.167,94 € enthalten bis zu diesem Punkt eine funktionsfähige Serverplattform, die die Unternehmensdaten aufnehmen bzw. speichern und auch bereitstellen kann. Der notwendige Administrationsaufwand und der Aufwand zur Herstellung und zur Erhaltung der Infrastruktur wurden ebenfalls mit berücksichtigt.

Nutzung von Cloudservices

Bearbeiten

In der vorangegangenen Betrachtung wurden die Kosten, die bei der Anschaffung und dem Betrieb eines eigenen Servers entstehen aufgeführt. Im Rahmen der Nutzung der Cloudservices wird der Server aus dem eigenen Betrieb in die Cloud verlagert. Durch die Verlagerung des Servers in die Cloud kann auf die Investition in die Hardware des Servers komplett verzichtet werden. Die laufenden Betriebskosten wie Stromverbrauch, Kühlung des Serverraumes und Administration des Servers entfallen vollständig. Die entfallenden Kosten entstehen, in veränderter Höhe, beim Betreiber der Cloud und werden entsprechend der Leistungsanforderungen an den Kunden weiterberechnet. Aufgrund der Auslagerung des Servers in die Cloud erwartet man zunächst eine notwendige Anpassung der Bandbreite der Internetverbindung. Im vorgenommenen Praxisbeispiel ist die Größe der Nutzergruppe 1 identisch der der Nutzergruppe 2. das heißt die 35 Nutzer die zuvor von außen auf den Server zugegriffen haben, entfallen und die 35 Nutzer der Nutzergruppe 1 greifen jetzt auf den externen Server, der sich in der Cloud befindet, zu. Die Kosten für die Internetanbindung bleiben somit unverändert. In Änderung zur Nutzung des eigenen Servers sind beim Ausfall der Internetanbindung die Nutzergruppen 1 und 2 betroffen. Für die Nutzergruppe 3 bleibt die Annahme, dass die Internetverbindung jeweils nur kurzzeitig ausfällt und daher der Ausfall tolerierbar ist, bestehen. Durch die Nutzung des ausgelagerten Datenspeichers, der mindestens die Sicherheit des beim Server verwendeten Raid 5 Systems entspricht, verursacht monatliche Kosten in Höhe von 298,00 €.[13] Ebenfalls ausgelagert in die Cloud wird die Funktion des Exchange-Servers zur Bereitstellung der E-Mails für die Mitarbeiter. Die anfallenden Kosten betragen je User 5,79 € monatlich.[14]

Cloudservices / Kosten pro Monat
Direkte Kosten
Cloud Datenspeicher 298,00 €
Cloud Exchange 1.158,00 €
Datenverkabelung 26,67 €
Internetanbindung des Servers 250,00 €
Indirekte Kosten
Ausfallzeit des Internetzugang 66,71 €
Summe 1.799,38 €

Die am Realbeispiel vorgenommene Wirtschaftlichkeitsbetrachtung stellt heraus, dass die Auslagerung der Hardware und des Exchange-Servers in die Cloud wirtschaftlich sinnvoll ist. Durch die Auslagerung in die Cloud werden monatlich 368,56 € eingespart. In einer weiterführenden Ausarbeitung sollte die wirtschaftliche Auswirkung, die durch die Auslagerung der Softwareanwendung in die Cloud entsteht, untersucht werden.

Der Weg in die Cloud - Erfolgsfaktoren für die Einführung

Bearbeiten

Cloud Computing und vor allem die Potentiale, die es birgt, sind bei KMU noch nicht so bekannt wie bei den großen Unternehmen. Laut einer Studie von PwC sind jedoch die wenigen KMU, die es bereits nutzen, sehr zufrieden.[15] Das lässt die Akzeptanz ebenso mehr und mehr steigen wie das Bemühen der Dienstleister, ihre Angebote kontinuierlich zu verbessern. Dennoch ist die Aufgeschlossenheit der Rechnerwolke gegenüber bisher noch nicht allzu groß, die neuen Ansätze werden mit Argwohn betrachtet.[16] Ob sich Mitarbeiter wohl dessen bewusst sind, dass sie die Cloud im Privatleben viel häufiger nutzen als es ihnen im Berufsleben manchmal lieb wäre?

Legt man die Berührungsängste ab und beschäftigt sich mit dem Thema, wird schnell klar, dass die Einführung von Cloud Computing einen Wettbewerbsvorteil bilden und Ausgangspunkt für Innovation und Wachstum sein kann. Vor allem das obere Management sollte seinen Blick schärfen und die Cloud nicht allein als komplexes, technisches Thema sehen, was zusätzliche Kosten bringt. Es sollte viel mehr verstehen, dass gerade in KMU durch kürzere Entscheidungswege, weniger komplexe IT und geringere IT-Investitionen der Weg in die Wolke sehr vorteilhaft ist.

Die Wichtigkeit besteht vor allem darin, für die Einführung des Cloud Computing eine ganzheitliche Strategie zu entwickeln - es handelt sich bei der Implementierung weniger um eine IT-Umstellung als mehr um eine Transformation des gesamten Unternehmens und sollte als Change-Projekt betrachtet werden. Erforderlich ist vor allem, dass es zu einem Umdenken kommt, da sich funktionale Rollen verändern. War beispielsweise das IT-Team bisher dafür verantwortlich, die IT-Infrastruktur am Standort zu gewährleisten, so pflegt es zukünftig intensiven Kontakt mit dem Cloud-Anbieter, prüft die Einhaltung der Service Level Agreements (SLA) und die Verfügbarkeit der Services. Für die Entwicklung der Strategie ist weiterhin zu beachten, dass diese auf das Unternehmen passt. Da es nicht mehr ausschließlich um die Optimierung des IT-Betriebs, sondern um die bestmögliche Unterstützung und Fürderung des Kerngeschäfts geht, ist es möglich, dass die bisherige IT-Lösung nicht voolkommen zur zukünftigen passt. Es muss also die Identifikation und Bewertung derjenigen Felder und Prozesse erfolgen, die durch einen zielgerichteten Cloud-Einsatz eine nachhaltige Unterstützung der Unternehmensziele zur Folge haben. Es gibt keine pauschale Vorgabe, auf welche Felder besonders geachtet werden muss. Jedes Unternehmen bietet eigene Innovationspotentiale, verfolgt eigene Prioritäten und benötigt eigene Voraussetzungen. Feststellbar ist jedoch, dass Cloud Computing KMU ermöglicht, kundenfokussierte Prozesse zu intensivieren - ein Beispiel ist der Einsatz von Social Media als Marketing- und Vertriebsplattform. Feststellbar ist auch, dass die Cloud-Strategie trotz aller Neuerungen, die sie mit sich bringt, die organisatorischen Voraussetzungen und auch die bestehende Unternehmenskultur nicht außer acht lassen darf.[17]

Doch welche Rolle spielen Teamwork und Teamwork bei der Implementierung und der aktiven Arbeit mit Cloud Computing? Aus persönlicher Erfahrung heraus kann ich berichten, dass das Teamverständnis für die tägliche Arbeit in der Cloud eine große Rolle spielt. Die Cloud muss als Arbeitsmittel verstanden und auch genutzt werden - dies passiert jedoch nur, wenn alle sich dessen bewusst sind, dass das Team über die Bürogrenze hinaus in virtueller Umgebung besteht. Besonders bei der Internationalisierung von Teams und der damit verbundenen Änderung von Arbeitsabläufen und -mitteln kann das anfangs für Schwierigkeiten sorgen und zu Informationsverlusten führen (die die Arbeit in der Cloud ja eigentlich gerade verhindern soll!). Dies spielt nicht nur in Großkonzernen eine Rolle, auch im KMU-Kontext wächst die Rolle der Internationalisierung mehr und mehr. Für Führungskräfte spielt Virtual Leadership innerhalb von Clouds eine wesentliche Rolle. Es geht darum, als Führungskraft sichtbar zu sein, auch wenn man nicht immer vor Ort sein kann. Dies zu gewährleisten und das Team zusammenzuhalten stellt eine große Herausforderung dar. E-Mail ist dabei, wie eventuell vermutet, nicht der ideale Kommunikationsweg, besser ist es vielmehr, beispielsweise Telefonate mit virtuellen Arbeitsbereichen/Chatrooms zu kombinieren und eine kreative Arbeitsumgebung zu schaffen, in der Teammitglieder sich aktiv einbringen.

Alles in allem geht es bei der Einführung des Cloud Computing vor allem um Vertrauen: dem Anbieter gegenüber, dem System gegenüber, der eigenen Mannschaft gegenüber. Dieses aufzubauen, ist ein schwieriger und langwieriger Prozess. Vor allem die Bedenken im Bereich Datensicherheit lassen sich schwierig aus dem Weg schaffen. Werden jedoch durchweg positive Erfahrungen mit dem neuen System gemacht, gelingt es dieses zu etablieren. Negative Erfahrungen müssen sichtbar gemacht werden, ernst genommen werden und evaluiert werden. Sie können im schlimmsten Fall zu einem Wechsel des Anbieters innerhalb der Implementierung führen.[18]

Datensicherheit und Rechtslage

Bearbeiten

Wie bereits zuvor geschildert, eröffnet die Nutzung von Cloud Diensten dem Unternehmer zwar eine Fülle von Möglichkeiten zur Kostenreduktion, Effizienzsteigerung und Kollaboration, es entstehen jedoch auch eine Menge komplexer Problemfelder rechtlicher und technischer Natur, die nicht außer Acht gelassen werden dürfen. Es soll nun speziell auf die für Unternehmen enorm wichtigen Fragen der Datensicherheit und der Haftung eingegangen werden. Um dies bei der schier unendlichen Menge an verschiedenen Applikationsformen des Cloud Computing in der gebotenen Kürze überhaupt sinnvoll darstellen zu können, soll der Fokus hier explizit auf Anwendungen im Bereich der Cloud-Speicher Angebote liegen. Diese umfassen die Speicherung und Synchronisation von Dateien auf Webserven und die Bereitstellung von Synchronisationstools zur Offline Nutzung, sowie ein GUI (graphical user interface) zur online Verwaltung der Dateien. Keine Betrachtung finden hier komplexe Cloud Anwendungen wie Bürosoftware, Lohnabrechnung oder ganze ERP Lösungen.

Datensicherheit

Bearbeiten

Das Thema Datensicherheit stellt im Zusammenhang mit Cloud Computing eines der zentralen Probleme dar. Hinter dem Wort Datensicherheit verstecken sich unter anderem zwei hier relevante Themen: Die Datenvertraulichkeit, also der Schutz der hochgeladenen, bzw. synchronisierten Dateien vor dem Zugriff Dritter oder des Anbieters, sowie die Datenintegrität, also dem Schutz der Dateien vor Korruption (Beschädigung) oder Verlust.

Datenvertraulichkeit

Bearbeiten

Noch mehr als Verbraucher müssen Unternehmen ihre Dateien vor dem Zugriff Dritter schützen. Dies geschieht normalerweise durch besondere Sicherung der Computer des Unternehmens. Mit der Migration in die Cloud bedarf es hierfür neuer Methoden. Wichtig ist nicht nur der Schutz vor Zugriffen durch Dritte, sondern auch und vor allem der Schutz vor Zugriffen durch den Cloud Anbieter. Um den Zugriff für Dritte zu erschweren ist vor allem die Verschlüsselung der Dateien unerlässlich. Hier gibt es unterschiedliche Herangehensweisen die nun verglichen werden sollen.

Server side encryption
Bearbeiten

Bei der Variante der serverseitigen Verschlüsselung vertraut der Kunde die Verschlüsselung dem Cloud-Speicheranbieter an. Die Daten werden erst nach der Übertragung in die Cloud, deshalb serverseitig, verschlüsselt. Dies schützt die Dateien zumindest vor physischen Zugriffen im Rechenzentrum sowie neugierigen Mitarbeitern des Cloud Anbieters, jedoch nur wenn die Schlüssel getrennt und vor allem nicht für Menschen nachvollziehbar einem Kunden zuweisbar, gespeichert werden. Ein Vorteil liegt zunächst darin, dass der Kunde sich nicht um die Verschlüsselung der Daten kümmern muss. Dadurch werden zum einen Fehlerquellen beseitigt, die im schlimmsten Fall zu Datenverlust führen können, zum anderen, kann der Anbieter die Verschlüsselungstechnologien laufend an den Stand der Technik anpassen. Ein weiterer Vorteil ist, dass das Browser GUI des Anbieters ohne Einschränkungen genutzt werden kann, da der Anbieter die Verschlüsselung vornimmt. Dies erleichtert die Kollaboration durch die Mitarbeiter des Kunden über die mitgelieferten Browsertools. Von Nachteil ist, dass der Kunde dem Cloud Anbieter quasi blind vertrauen muss, dass dieser seine Sicherheitsstandards einhält und die Dateien verschlüsselt. Eine Kontrolle ist nicht möglich. Auch kann es passieren dass ein unachtsamer Mitarbeiter des Kunden vergisst sich aus der Browser GUI auszuloggen, wodurch Personen mit Zugriff auf den Computer auch der Zugang zu den Dateien in der Cloud haben. Darüber hinaus werden die Dateien unverschlüsselt übertragen, dadurch besteht erhöhte Gefahr dass professionelle Hacker den Datenverkehr abfangen und Zugriff auf unverschlüsselte Dateien bekommen.

Client side encryption durch den Anbieter
Bearbeiten

Eine andere Alternative ist die Verschlüsselung der Dateien vor der Übertragung in die Cloud. Dies kann durch die vom Anbieter gestellte Synchronisationssoftware, oder durch die Webapplikation vor der Übertragung der Dateien geschehen. In diesem Fall sind die Daten bereits verschlüsselt bevor sie den Computer verlassen. Dadurch sind die Daten zumindest vor dem Zugriff während der Übertragung geschützt. Auch hier muss sich der Kunde nicht um die Verschlüsselung kümmern. Die Verschlüsselung bleibt jedoch vollends in der Hand des Anbieters. Wie gut dieser die Schlüssel vor Zugriffen durch Mitarbeiter schützt bleibt für den Kunden intransparent. Dazu kommt vor allem im US-Amerikanischen Raum die Problematik des Zugriffs durch Behörden, den Amerikanische Cloud Anbieter im Falle des Verdachts einer Straftat gewährleisten müssen.[19][20]. Dies ist einer der Gründe warum Deutsche Unternehmen aus Datenschutzgründen personenbezogene Kundendaten nicht auf Amerikanische Server laden dürfen. Ausnahmen stellen Server von Unternehmen die den Safe Harbour Grundsätzen folgen, dies soll jedoch hier nicht vertieft werden.

Client side encryption durch den Anwender
Bearbeiten

Da der Nutzer so gut wie keine Möglichkeit hat den Zugriff des Anbieters auf seine Dateien, dessen Verschlüsselungsmethoden und die Art der Speicherung der Passwörter, sowie die Vulnerabilität der Infrastruktur seines Anbieter gegen böswillige Angriffe von außen zu kontrollieren, ist es sinnvoll die Verschlüsselung seiner Dateien selbst vorzunehmen. Dies geschieht vor dem Hochladen/Synchronisieren der Dateien mit Applikationen und Verfahren von Drittanbieten wie TrueCrypt, Systemeigenen verschlüsselten Images oder Opensource Erweiterungen wie EncFS. Vorteile liegen hier darin, dass der Zugriff des Anbieters oder von Behörden nach heutigem Stand der Technik unmöglich gemacht wird. Die Dateien und im Idealfall auch die Dateinamen liegen nur in verschlüsselter Form auf dem Server. Lange Zeit galt jedoch die clientseitige Verschlüsselung als zu rechenintensiv, dies stellt jedoch bei heutigen Systemen keine spürbare Problematik mehr dar. Ein echter Nachteil stellt jedoch die erschwerte Kollaboration durch die (gewollte) Unfähigkeit des Browser GUI auf die Dateien zuzugreifen. Durch moderne Tools wie BoxCryptor[21], die verschlüsselte Images in der Cloud generieren und diese automatisch im System als Laufwerk einbinden, wird dies jedoch weitgehend gelöst. Durch das teilen des Schlüssels kann gemeinsam an verschlüsselten Laufwerken gearbeitet werden. Außerdem werden Applikationen für mobile Betriebssysteme wie iOS und Android zur Verfügung gestellt um die sichere Arbeit auch von Unterwegs zu ermöglichen.

Datenintegrität

Bearbeiten

Um dem Problem von Datenverlust oder -beschädidung entgegenzutreten gibt es verschiedene Möglichkeiten. Ideal ist es sich mehrerer Methoden zu Bedienen um dem Ausfallrisiko zu begegnen.

Eigene Snapshots des Cloud Anbieters
Bearbeiten

Zunächst ist es wichtig einen seriösen Cloud Anbieter auszuwählen der bereits selber hohe Standards beim Thema Datensicherheit an den Tag legt und regelmäßig eigene Backups durchführt. Die Sicherheit der Dateien jedoch gänzlich dem Anbieter zu überlassen ist für ein Unternehmen nicht zu empfehlen.

Backup durch Kunden
Bearbeiten

Der Kunde sollte regelmäßig eigene Backups seiner Cloud Laufwerke vornehmen. Hierzu gibt es je nach Größe des Unternehmens und des Umfangs der Cloudnutzung verschiedene Möglichkeiten. Nutzen nur wenige Mitarbeiter Cloud Angebote zur Kollaboration in begrenztem Umfang können regelmäßige Backups der synchronisierten Laufwerke auf lokalen Festplatten reichen. Sinnvoll ist es darüberhinaus die Cloud Inhalte bei einem zweiten Cloud Anbieter zu "mirrorn", also mittels Software synchron zu halten. Dafür kann auch Webspace auf dem firmeneigenen Server genutzt werdem. Für größere Unternehmen und bei intensiver Cloudnutzung mit sensiblen Daten empfiehlt sich dagegen ein professionelles Backup durch die IT-Abteilung auf eigenen Servern.

Haftungsfragen beim Datenverlust/Datendiebstahl

Bearbeiten

Ist es nun trotz aller Vorkehrungen dennoch zu einem Datenverlust oder einem Zugriff durch Dritte gekommen, stellt sich besonders bei Verwendung durch ein Unternehmen die Frage nach der Haftung für entstandene Schäden.

Vertragstyp

Bearbeiten

Um zu bestimmen, ob für etwaige Schäden eine Haftung des Betreibers vorliegt, ist zunächst die Frage zu erörtern, um was für einen Vertrag es sich eigentlich handelt, da die Rechte und Pflichten der Parteien, insbesondere das gesetzliche Gewährleistungsrecht je nach vertragstyplogischer Einordnung sehr unterschiedlich sein können. Vor allem auch deswegen, weil man für eine Prüfung von evtl. genutzten AGB wissen muss, welche gesetzliche Regelung normalerweise gilt. Sind zum Beispiel besondere Gewährleistungsrechte Vereinbart, die zu weit von der gesetzlichen Regelung abweichen, sind diese Vereinbarungen unwirksam. [22] Die Einordnung von IT Serviceverträgen in das 1900 in Kraft getretene Vertragssystem des Bürgerlichen Gesetzbuches ist jedoch mitunter nicht ganz trivial. Bei Verträgen die zunächst nicht genau auf die typischen Kauf-, Werk-, Dienst- oder Mietverträge des BGB passen, wird zunächst der eigentliche Kern der Leistung, vor allem aus Sicht der Vertragsparteien herausgearbeitet. Hier ist es sinnvoll, zunächst genau zu betrachten was der Cloud-Speicheranbieter für eine Leistung erbringt. Wie zuvor erfahren gibt es verschieden Servicemodelle bei der Nutzung von Cloud Angeboten. Während beim IaaS sämtliche Ebenen ab dem Betriebssystem selbst gemanagt werden, kann der Kunde beim PaaS lediglich seine Anwendungen selbst managen. SaaS stellt das Servicemodell mit der geringsten Anpassung durch den Kunden dar, hier wird auch die Anwendungssoftware komplett durch den Anbieter betrieben, der Kunde ist lediglich Nutzer dieser. Manche ordnen Speicherangebote wie Dropbox, Box und Co. dem IaaS zu, da hier ihrer Meinung "nur" Speicher und keine Software angeboten wird.[23]. Dies ist jedoch falsch, die Unterscheidung zwischen IaaS, PaaS und SaaS richtet sich primär nach der Frage, welche Ebenen des Systems der Nutzer selber managt. Siehe auch folgende Tabelle:

Violett = Vom Nutzer administriert, Grün = Vom Anbieter administriert[24]
Packaged Software (≠ Cloud) IaaS PaaS SaaS
Applications Applications Applications Applications
Data Data Data Data
Runtime Runtime Runtime Runtime
Middleware Middleware Middleware Middleware
O/S O/S O/S O/S
Virtualization Virtualization Virtualization Virtualization
Servers Servers Servers Servers
Storage Storage Storage Storage
Networking Networking Networking Networking

Bei einfachen Cloud-Speicherlösungen erhält der Kunde Out-of-the-Box ein fertiges System und muss keine eigenen Anwendungen installieren. Er nutzt die Applikationen des Anbieters im Browser sowie die Tools zur Synchronisation mit seinem Computer. Folglich handelt es sich hier um eine klassische SaaS Anwendung.[25] Zunächst könnte man Cloud-Speicherlösungen mit einem Webhostingvertrag vergleichen, es wird Speicherplatz zur Verfügung gestellt und dieser abrufbar gehalten. Beim Webhostingvertrag nimmt der BGH einen gemischttypischen Vertrag mit Elementen aus Miet-, Kauf- und Dienstvertrag an. In den meisten Fällen sieht er jedoch den Schwerpunkt der Leistungspflicht nicht primär im Überlassen von Speicherplatz, sondern in einem Erfolg, nämlich der Abrufbarkeit im Internet. Daher wendet der BGH im Falle des Webhosting Vertrages schwerpunktmäßig das Werkvertragsrecht an.[26]
Bei der zur Verfügung Stellung von Software (SaaS), wird in der Regel ein „Application Service Providing“-Modell (ASP) gewählt. Hierbei wird durch den Anbieter die temporäre Nutzung von Applikationen durch den Kunden gestattet. Der Bundesgerichtshof hat entschieden, dass Application-Service-Providing-Verträge grundsätzlich einem Mietverhältnis entsprechen.[27] Es hängt im Detail von der Leistungsbeschreibung im Vertrag ab wo der Schwerpunkt liegt.[28] Wie wir jedoch bei der Einordnung gesehen haben, sind Cloud-Speicherlösungen ein Fall von SaaS und damit wohl näher am ASP und somit im Kern dem Mietrecht zu unterstellen.[29]. In den allermeisten Fällen der Nutzung von Standart Cloud-Speicherlösungen, welche nicht extra für den Kunden angepasst wurden, ist dies der Fall.[30]

Ist nun die Frage geklärt was für ein Vertragstyp vorliegt, richtet sich die Haftung nach den §§ 280 I, 535 BGB. Es bedarf zunächst einer Pflichtverletzung durch den Anbieter die dieser auch zu vertreten haben muss. Dadurch muss dem Kunden ein Schaden entstanden sein. Hier beginnen jedoch die Probleme. Wann liegt im einzelnen eine Pflichtverletzung vor? Wann hat der Anbieter diese zu vertreten? Viele der Kernleistungspflichten eines Cloud-Speicherangebotes passen nur schwerlich in die Vorstellungen des Gesetzgebers zum Mietrecht. Viele Fragen sind überhaupt nicht geregelt, zum Beispiel die im IT-Wirtschaftsleben wichtige Frage wie schnell ein Mangel zu beseitigen ist, welche Einschränkungen der Verfügbarkeit von Leistungen noch akzeptabel sind, sowie die finanzielle Bewertung von Leistungsstörungen bei denen kein eindeutiger Schaden messbar ist.[31].

Service Level Agreements

Bearbeiten

Vermieden werden können solche Unsicherheiten durch die Vereinbarung eines detaillierten und individuellen Service Level Agreements (SLA). In einer solchen Vereinbarung werden die Leistungen, Standards, Verantwortungen und vor allem die Rechtsfolgen der Nichteinhaltung wie z.B. Vertragsstrafen genau geregelt. Es gilt der Grundsatz des Vorrangs von Verträgen vor gesetzlichen Regelungen, solange sie disponibel (abdingbar) sind, was bei Verträgen zwischen Gewerbetreibenden häufig der Fall ist. Hier zeigt sich wie wichtig eine detaillierte vertragliche Regelung der Leistungspflichten sowie einer genau festgelegten Gewährleistungshaftung oder standardisierten Ausfallzahlungen im Nutzungsvertrag oder durch ein gesondertes SLA sind. Zusammenfassend kann festgehalten werden, dass genaue vertragliche Regelungen, SLA sowie standardisierte Ausfallzahlungen helfen können Probleme bei der schwierigen gesetzlichen Einordnung von Cloud Nutzungsvertragen sowie der dürftigen gesetzlichen Regelung im Gewährleistungsfall zu vermeiden.

Die Zukunft von Cloud-Computing und KMU

Bearbeiten

Es scheint, als seien KMU grundsätzlich sehr kritisch gegenüber neuen IT-Themen eingestellt, denn sie haben ihr laufendes Tagesgeschäft, müssen akquirieren und wollen sich nicht jeden Tag mit neuen Themen und Hypes auseinandersetzen. Des Weiteren kommt wohl hinzu, dass die unterschiedlichen Anbieter von Software immer sehr rosig über ihre Angebote sprechen. Die letztendlichen Leistungen jedoch werden dem nicht immer gerecht, was versprochen wird. Man könnte sie in dieser Hinsicht auch als "gebrannte Kinder" bezeichnen.

Auch Cloud-Computing wird mit seinen vielen vermeintlichen Vorteilen so wahrgenommen, schon fast zu perfekt zu sein und als Allheilmittel für alles zu dienen. Gerade deswegen ist es vielleicht verständlich, dass die meisten KMU momentan eher abwarten und beobachten, wie sich Dinge entwickeln. Trotz der vielen Vorteile, die ich im Cloud-Computing sehe, denke ich, man muss differenziert betrachten. Es gibt Situationen, in denen es besonders sinnvoll für ein Unternehmen ist, sich für Cloud-Computing zu entscheiden. Dazu gehört ganz klar die Unternehmensgründung, der Standortwechsel, bei dem häufig sowieso Infrastruktur aktualisiert werden muss oder weswegen der Standortwechsel vielleicht sogar überhaupt erst vollzogen wurde. Die Eröffnung eines neuen Office, der Zukauf eines anderen Office (merger&acqusition), ein grundsätzlicher IT-Wandel, der ansteht, wenn eine kritische Größe des Unternehmens erreicht ist, wenn Einsparungen im IT Bereich zu erzielen sind, oder wenn besondere Lastspitzen immer wieder in der IT auftreten, denen es gerecht zu werden gilt. Allesamt Situationen, in denen erhöhte Flexibilität oder das Senken von Kosten Priorität hat. Gerade die großen finanziellen Ersparnisse, das Steckenpferd des Cloud-Computing, ist bei genauerer Betrachtung jedoch auch etwas differenzierter zu sehen. Wie bereits erwähnt, lassen sich rund 40 % der Cloud Anbieter gerade den wichtigen Moment der Datenmigration in die Cloud gerne durch zusätzliche kostenpflichtige Services bezahlen. Ein weiterer Punkt ist, dass der Löwenanteil der Ersparnis, nämlich der Verzicht auf den hauseigenen Server, erst dann eintritt, wenn wirklich sämtliche Dienste in die Cloud verlagert wurden. Das bedeutet, dass, solange man den Server zwar entlastet aber nicht komplett in die Cloud geht, es sehr stark auf die Preisgestaltung der einzelnen Services ankommt. Hinzu kommen Compliance-Kosten die notwendig werden, um individuell eine Abstimmung für das Unternehmen vorzunehmen, als auch Produktivitätseinbußen, da Mitarbeiter unter Umständen für den Umgang mit der neuen Software geschult werden müssen. In Unternehmen, in denen die Wertschöpfungskette unmittelbar verbunden ist mit der Verfügbarkeit von IT, stellt jeder Wechsel innerhalb der Infrastruktur und auch der Ausfall dieser ein erhebliches Risiko dar. Auch andere externe Faktoren müssen berücksichtigt werden. So kann für ein Unternehmen mit einem festen Kundenstamm diese interne Umstellung auch Verunsicherung bei den Kunden auslösen, deren Tragweite nicht abzuschätzen ist. Es ist ein denkbares Szenario, dass der Wechsel in die Cloud Reputationsschäden beim Unternehmen auslösen kann, und im schlimmsten Fall sogar hemmt, neue Kunden zu akquirieren. Wir sprechen hier auch von einem nicht unerheblichen Risiko für die Unternehmen selbst, denn obgleich der Provider für die Sicherheit der Daten aufkommen muss, liegt die Verantwortung, also der Schutz der Daten, immer noch beim Besitzer, sprich dem Unternehmen selbst.

Schlussbetrachtung

Bearbeiten

Ich denke, Cloud Anwendungen werden in der Zukunft immer weiter zunehmen, auch die Industrie selbst ist der Hype-artigen Meinung, dass das Wachstum unaufhaltsam sein wird. Ich denke, dass es einige Unternehmen gibt, bei denen der komplette Sprung in die Cloud Sinn macht und andere, die langsam hinein wachsen sollten. Ersteres sind für mich vor allen Dingen Startups, bei denen Cloud-Computing als wirklicher Katalysator funktionieren kann. Sie erhalten die Möglichkeit, Prozesse und Systeme für einen Bruchteil der ursprünglichen Kosten zu nutzen und somit die Chance, was IT angeht, auf Augenhöhe mit den großen Unternehmen mitzuspielen. Etablierte Unternehmen müssen zum einen an ihren Kundenstamm denken und seinen Ansprüchen nach Sicherheit und Datenschutz gerecht werden und verfügen zusätzlich über eine etablierte IT-Strutur, die sich nicht von heute auf morgen umstellen lässt. Gleichzeitig wird es auch ihnen auf lange Sicht nicht möglich sein, dieser Bewegung zu entkommen, spätestens dann, wenn immer mehr ihrer Kunden Cloud-Anwendungen zur gemeinsam Kooperation nutzen oder es die Konkurrenz tut und sich so einen Wettbewerbsvorteil verschafft. In jedem Fall stellt der Schritt in die Cloud eine Herausforderung für den Bereich IT-Governance dar, welche unbedingt mitgestalten sollte und auf dessen Rückhalt die IT-Mitarbeiter auch angewiesen sind.

Ein Punkt, der mir in der allgemeinen Diskussion etwas zu kurz kommt, ist das konsequent von B2B Situationen gesprochen wird. Ich glaube jedoch, dass Cloud-Computing noch viel mehr Potenzial im B2C Sektor hat. Die privaten Nutzer machen zwar bisher nur einen kleinen Teil des gesamten Umsatzes aus, was aber, wenn sich unser Empfinden von Privatsphäre über die Jahre immer mehr auflöst und Cloud-Anwendungen immer selbstverständlicher werden!? Ich denke das wir dann nicht nur einen extremen Wandel in der Software-Landschaft erleben werden, sondern auch in der grundsätzlichen Hardware Landschaft. Es wäre immer mehr Anbietern möglich, mit Geräten und Lösungen auf den Markt zu kommen, denn diese müssten nicht mehr sehr performant sein, sondern nur eine stabile Internetverbindung ermöglichen. Ob es uns momentan schon gefällt oder nicht, ich glaube fest daran, dass die Cloud so wenig weggehen wird wie das Internet. Das Cloud-Computing erscheint vielmehr die logische Konsequenz des Internets. Wahrscheinlich hat es auch KMU in den Neunzigern gegeben, die ein mulmiges Gefühl hatten, als sie das erste Mal eine E-Mail verschickt haben. So gibt es auch heute Zweifler gegenüber der Cloud, das wird sie jedoch nicht davon abhalten, weiter zu wachsen.

Quellenverzeichnis

Bearbeiten
  1. IT-Wissen Cloud Computing, Abrufdatum: 13.3.2013
  2. Private Cloud und Public Cloud, Abrufdatum: 13.03.2013
  3. Private Cloud und Public Cloud, Abrufdatum: 13.03.2013
  4. BSI Cloud Computing, Abrufdatum: 12.03.2013
  5. Infrastructure as a Service, Abrufdatum: 11.03.2013
  6. Platform as a Service, Abrufdatum: 11.03.2013
  7. Software as a Service, Abrufdatum: 11.03.2013
  8. Telekom: Geschichte der Cloud, Abrufdatum: 13.03.2013
  9. Cloud Computing - Die vollständige Geschichte, Abrufdatum 13.03.2013
  10. Make-or-Buy im Cloud-Computing – Einentscheidungsorientiertes Modell für den Bezug von Amazon Web Services; Raimund Matros, Philipp Stute, Nicolaus Heereman von Zuydtwyck, Torsten Eymann; Bayreuther Arbeitspapiere zur Wirtschaftsinformatik
  11. Vattenfall, Abrufdatum: 14.03.2013
  12. Persönliches Gespräch mit dem Administrator am 05.03.2013
  13. strato, Abrufdatum: 14.03.2013
  14. QualityHosting, Abrufdatum: 14.03.2013
  15. PwC-Studie: Cloud Computing im Mittelstand, Abrufdatum 05.03.2013
  16. "Sicher und erfolgreich mit der Wolke", Welt am Sonntag vom 10.02.2013
  17. Keine Angst vor der Cloud Abrufdatum: 04.03.2013
  18. HMD Heft 288, Dezember 2012, Cloud Service Management, Hans-Peter Fröschle (Hrsg.),
  19. Brooksreview, Abrufdatum 14.03.2013
  20. TUAW, Dropbox under fire. Abrufdatum 14.03.2013
  21. Offizielle Boxcryptor Webseite
  22. IT Rechtsinfo.de Abrufdatum 14.03.2013
  23. So die Cloudtimes Abrufdatum 14.03.2013
  24. Angelehnt an Venturebeat.com Abrufdatum 14.03.2013
  25. So auch VentureBeat.com Abrufdatum 14.03.2013
  26. Webshoprecht.de Abrufdatum 14.03.2013
  27. IT-Recht-Kanzlei.de unter 2.1.2 Abrufdatum 14.03.2013
  28. BITKOM Leitfaden, S. 31 Abrufdatum 14.03.2013
  29. So auch BITKOM Leitfaden S. 40 Tabelle Abrufdatum 14.03.2013
  30. IT-Rechtsinfo.de Abrufdatum 14.03.2013
  31. Vgl. Artikel auf Cloud-Practice.de Abrufdatum 14.03.2013