Benutzer:Birkenkrahe/HWR-WIINF-BIS-SS13/BIS-SS2013-P07

Wie sinnvoll ist der Einsatz von Cloud Computing für ein studentisches Unternehmen?

1) Bearbeiten

1.1) Was ist Cloud Computing?

Unter Cloud Computing versteht man „Datenverarbeitung in der Wolke“. Es umfasst aber nicht nur die Datenverarbeitung über das Internet, sondern mehrer Dienstleistungsdimensionen. Dabei wird das Prinzip von Cloud Solutions und Ressourcen beschrieben, welche nicht direkt von einem Rechner aus bereitgestellt werden. Es ist eher in Form von vielen verschiedenen, miteinander vernetzten und verbundenen Rechner zu verstehen, welche diese virtuelle Rechenwolke bilden. Anders aber beschreibt Cloud Computing die Bereitstellung von IT- Infrastruktur und IT- Leistungen, wie zum Beispiel Speicherplatz, Rechenleistung oder Anwendungssoftware als Service über das Internet. Die Cloud Dienste werden dabei abgerufen und nach Bedarf berechnet.

1.2) Inwiefern unterscheiden sich Public und Privat Cloud voneinander?

• Public Cloud:

Bei der Public Cloud gibt es mehrere Anbieter, deren Cloud-Dienste öffentlich zugänglich sind, d.h. es gibt mehrere Kunden, wie z.B. Unternehmen oder Organisationen, die die Cloud-Ressourcen, wie z.B. Speichermedien oder Anwendungsprogramme, ohne komplizierte Vertragsabschlüsse gemeinsam nutzen können, d.h. die Kunden teilen sich eine virtualisierte Infrastruktur. Die entstehenden Kosten werden nach den tatsächlich erbrachten Leistungen abgerechnet. Der Nachteil ist, dass die Kunden z.B. die Art der Datenhaltung wenig beeinflussen können, sowie Sicherheitsaspekte. Öffentliche Cloud Anbieter sind z.B. Amazon, Google.

• Private Cloud:

Im Unterschied zu Public Cloud sind Private Clouds nicht öffentlich zugänglich. Der Anbieter und der Benutzer gehören zum selben Unternehmen, d.h. der Benutzer bzw. der Kunde betreibt selber und kontrolliert seine Cloud-Umgebung und stellt es ausschließlich seinen Mitarbeitern zur Verfügung. Der Zugang erfolgt über ein Intranet. Die Dienste in der Private Cloud werden an die Geschäftsprozesse des Unternehmens angepasst. Der Vorteil ist, dass Private Clouds sicherer sind als Public Clouds und haben auch einen besseren Ausfallschutz.

1.3) Welche Servicemodelle werden angeboten?

Ebenenmodell-Cloud Computing: „Software as a Service“(= SaaS) Die oberste Ebene umfasst Anwendungen, die über Cloud Dienste bereitgestellt werden.

• Software + IT- Infrastruktur werden bei externen IT- Dienstleistern betrieben und vom Kunden als Service genutzt
• Zugriff auf Software über Webbrowser
• Servicegeber stellt die Software im Rechenzentrum bereit, leistet gleichzeitig technische Unterstützung und betreibt das System(Netzwerke, Speicher, Datenbanken, Anwendungsserver, auch Überwachung, Fertigung, Anpassung)

• Rechen- und Speicherleistungen werden auf virtualisiertem Server und für die Netzwerkinfrastruktur bereitgestellt

• Ziel dabei: hohe Kosten für IT- Infrastruktur ( Hardware, Speicher) + IT- Aufgaben (Updates) zu sparen
• (z.B.: Saleforce.com  stellt Dienste für CRM- Software bereit)

„Platform as a Service“(= PaaS) In dieser Modellebene lassen sich Anwendungssoftware und Anwendungskomponenten sowohl entwickeln, als auch integrieren.

• Service für Entwickler von Webanwendungen
• Laufzeit- und Entwicklungsumgebung sollen dadurch mit geringem Aufwand und ohne extra Anschaffung von Hard- und Software genutzt werden
• Entwicklungsdienste (z.B. Betriebssysteme) + Programmierwerkzeuge sollen dadurch bereitgestellt werden
• durch PaaS- Umgebung können SaaS- Angebote entstehen

„Infrastructure as a Service“ (= IaaS) Die Unterste Ebene des Modells umfasst alle IT- Leistungen in der Basisinfrastruktur und wird auch als Cloud Foundation bezeichnet. Komponenten der Infrastruktur wären zum Beispiel Rechnerkapazitäten, Netzwerke und Speicherplatz

• Anwendungen, die über einen Webbrowser navigiert werden, werden bereitgestellt
• Die Infrastruktur umfasst Netzwerke und Server, die sowohl firmenintern, als auch - extern über das Internet Zugriff haben können
• Für die Nachbildung von Hardware und deren Systemsoftware werden bei der Virtualisierung spezielle und systemnahe Software genutzt
• Skalierbarkeit der Recheninstanz ; Erweiterungen oder Einschränkungen nach Anforderung

2) Bearbeiten

2.1) Worin unterscheidet sich Cloud Computing vom klassischen IT- Outsourcing

• 1. Outsourcing: kurze Definition

• Unternehmen will nicht interne Ressourcen für Informationssysteme verwenden wie Personal Fachkräfte, Rechenzentren, Räume/Gebäude etc.
• --> beauftragt externes Unternehmen
• Externe Unternehmen ist spezialisiert auf Bereitstellung dieser Dienstleistungen
• Betrieb des Rechenzentrums, Telekommunkiationsnetzwerke, Anwendungsentwicklung etc. kann an externe Anbieter weitergegeben werden --> Outsourcing

• 2. Beispiel mit Puma

• Entstehung des Internet
• --> Puma steht vor Problem: sie haben keine Internetpräsenz
• Puma entscheidet sich für“ Microsoft Commerce Server 2000“ für die Erstellung der Weboberfläche des E-Commerce
• --> keine erfahrenes Personal zur unternehmensinternen Entwicklung
• Außerdem kein Geld und Zeit investieren für den Aufbau eines neuen Informationssystems  verbunden mit Kosten
• Man will sich nur auf Marketing konzentrieren
• Deshalb sucht Puma einen Anbieter der Erfahrung mit Microsoft.NET hat
• Man wählt Surebridge(USA, Lexington), weil besitzen bereits Erfahrung und bieten angemessene Preise
• Laut Peter Kim(internationaler Marketingmanager für interaktive Geschäfte) erzielte man Kosteneinsparungen in erheblicher Größenordnung

• IT-Outsourcing:

• Beim Outsourcing werden Arbeits-, Produktions- oder Geschäftsprozesse eines Unternehmens ganz oder teilweise zu externen Dienstleistern ausgelagert
• Der Kunde mietet eine Infrastruktur und nutzt diese auch allein (Single-Tenant-Nutzungsmodell)
• Eine Erweiterung setzt eine Kommunikation mit dem externen Dienstleister voraus
• Das typische an IT-Outsourcing ist, dass die Verträge meistens langfristig sind

• Cloud Computing:

• Bei Cloud Computing mietet der Kunde ebenso eine IT-Infrastruktur. Der Unterschied zum klassischen Outsourcing ist, dass der Cloud Computing Kunde die IT- Infrastruktur nicht alleine nutzt, sondern sie mit anderen Kunden teilt (Multi-Tenant-Nutzungsmodell)
• Eine Erweiterung des Cloud-Service ist dynamisch und automatisierbar, eine vorausgehende Kommunikation mit dem CloudDienstleister ist nicht nötig
• Charakteristisch für Cloud Computing ist, dass die Verträge in der Nutzungsdauer sehr flexibel sind, d.h. man kann es für wenige Minuten oder für mehrere Jahre nutzen

2.2) Kann Cloud Computing mit andren, neuen Technologien zum Unternehmenserfolg beitragen? Was sind neue Technologien ?

• Mobile Computing:

Mobile Computing ist ein Oberbegriff für die Datenverarbeitung auf einem tragbaren Computer wie z.B. ein Notebook, Smartphone oder ein Tablet-Computer. Durch die Kombination mit Mobile Computing (und weiteren Technologien) kann Cloud Computing einen entscheidenden Beitrag zur Effizienz und Effektivität der IT-Services eines Unternehmens leisten. Mobile Anwendungen nehmen dann an Bedeutung, wenn die Informationen und Daten in der Cloud liegen, d.h. die Daten sind auf mehreren mobilen Rechnern gleichzeitig verfügbar. Wieso soll der Zugang zur Unternehmensinfrastruktur über die Cloud stattfinden? Die Cloud bietet den einzelnen Unternehmen Mobile-Communications-Anwendungen, welche ein Unternehmen nicht wirtschaftlich selbst betreiben könnte. Ein Beispiel wäre, wenn ein Mitarbeiter außerhalb des Unternehmens ist und mit seinem Tablet eine Videokonferenz starten möchte, in der aber verschiedene Systeme verwendet werden. Dies erfordet erhebliche Infrastruktur-Investitionen.

• In-Memory- Comuting

• Unterschied zu traditionellen Datenbanken ?

• Man muss jetzt nicht mehr zu verarbeitende Daten jedesmal aus der Festplatte abrufen
• Alle angeforderten Daten werden in den Arbeitsspeicher geladen und können dort in Echtzeit bearbeitet werden
• --> Antwortzeiten der Datenbanken werden um ein vielfaches verkürzt und man kann in Echtzeit mit diesen Daten arbeiten
• Es handelt sich um 100 Milliarden Datensätze pro Unternehmen
• --> d.h. man braucht nun nicht mehr Tage oder Wochen um eine vollständige Analyse durchzuführen

• Beispiel an Red Bull

• Platz 1 Energy Dring Getränkehersteller weltweit
• Marktführer in 160 Ländern
• Herausforderung für Redbull:
• --> Redbull muss in der Lage sein sehr schnell zu erkennen ob sich die Marktsituation in den internationalen Märkten ändert…
• --> damit sie schneller eingreifen können um rechtzeitige Maßnahmen zu ergreifen
• Deshalb müssen sie riesige Datenmengen aus verschiedenen Zeitzonen und Ländern analysieren
• Problem:  die Zeit zwischen Analyse und Auswertung der Ergebnisse war zu groß
• --> die Situation hatte sich in der Zwischenzeit schon wieder verändert
• Deshalb arbeitet man jetzt mit In-Memory Technologie von SAP(HANA)
• Man ist nun in der Lage auf Daten 3600 mal schneller zuzugreifen
• -->Analysen und Berechnungen können in Echtzeit gemacht werden

Veränderungen auf dem Markt kann man jetzt schneller handhaben

• Wie lassen sich Cloud Computing und In-Memory Computing miteinander vereinbaren?

• Unabhängig voneinander lassen sich In-Memory Computing und Cloud Computing sehr gut miteinander vereinbaren
• D.h. Ergebnisse die aus einer In-Memory Datenbank in Echtzeit gewonnen wurden, können jetzt sehr viel schneller in eine Cloud-Anwendung manuell integriert werden um die Geschäftsprozesse für einen Markt zu verbessern
• Problem:--> Umso größer die Geschäftsdaten in der Cloud werden umso wichtiger wird auch die Frage wie sich In-Memory Computing in die Cloud eines Anbieters einbauen lässt
• Denn es wäre erheblich einfacher Datensätze direkt in der Cloud in Echtzeit zu bearbeiten und für die ggb. Anwendung anzupassen statt manuell
• Herausforderung:--> Sind die Menschen bereit ihre Daten in eine Cloud zu überführen?
• --> aus Sicherheitsgründen weigern sich noch viele Unternehmen ihre kritischen Daten an dritt Unternehmen weiterzugeben wie z.B. Cloud-Anbieter

3) Bearbeiten

3.1) Welche Sicherheitsrisiken hat ein Unternehmen, dass Cloud Computing betreiben will?

• Welche bekannten Sicherheitsrisiken habe ich als Nutzer in einer Cloud?

1.

• Daten müssen durch gesetzliche Regelungen gelöscht werden
• Nach Beendigung eines Auftrags/ Vertragsende müssen alle verarbeiteten Daten und Zwischenergebnisse komplett von den Datenbanken des Anbieters entfernt werden
• --> Problem : Risiko unzureichende bzw. unvollständige Löschung durch den Anbieter
• --> Kunde/Wir hat kein Einfluss darauf

2.

• Nicht ausreichende Kundentrennung
• -->Problem: Gefahr dass dritte unerlaubten Zugriff auf unsere Daten haben und diese einsehen oder manipulieren können
• Risiko ist in der Public Cloud größer, weil es keine physikalische Trennung der Daten der Kunden gibt
• Alle Daten liegen im selben physikalischen Speicher

3.

• Unklarheit über Standort der Rechenzentren
• Wir wissen nicht auf welchen Servern mit welcher Software Anwendungen betrieben bzw. Daten gespeichert werden
• Dadurch --> könnte es zu Datenschutzverletzungen kommen

4.

• Was passiert wenn mein Anbieter pleite/ in Insolvenz geht?
• --> Rechenzentren werden verkauft
• -->Alle meine Daten gehen an den neuen Anbieter
• --> Verträge und Vereinbarungen können ihre Gültigkeit verlieren
• --> Meine Daten befinden sich in den Händen eines anderen Unternehmens und sind nicht mehr vor unerlaubten Zugriff geschützt

• Wie ist Datenschutzrecht in Deutschland geregelt?

• --> Wenn in den Daten/Unterlagen Namen, Kundendaten, Gehaltsabrechnungen etc. auftauchen, fallen diese unter das BDSG (Bundesdatenschutzgesetz)
• Und wenn diese zusätzlich extern gespeichert werden gilt $11
• Denn Cloud Computing wird gesetzlich dem Auftragsdatenverarbeitung zugeordnet
• D.h. die Verantwortung und die Verfügungsgewalt über die Daten liegt immer noch bei uns als Nutzer

3.2) Wie kann ein studentischsn Unternehmen diesen Risiken vorneugen?

• --> Mögliche Lösungsansätze um die Risiken vorzubeugen

• 'Vorbereitung

• 1. Zunächst einmal sollte euch im Klaren sein, was für ein Unternehmen ihr gründen wollt und ob es überhaupt Sinn macht Cloud Computing zu verwenden.
• 2. Falls das der Fall ist, solltet ihr euch Gedanken darüber machen, welche Art von Anwendungen bzw. Software ihr brauchen werdet
• 3. BEACHTEN : In welchem Umfang wollen wir Cloud Computing betreiben ?
• --> bei lediglich nur Anwendungssoftware ist es natürlich nicht so tragisch
• --> will man aber seine Gesamte IT-Infrastruktur(Server und Speicherplatz) auslagern, höhere Abhängigkeit und deshalb sollte die Planung intensiver gemacht werden

• Providerauswahl

• 1. Passenden Provider gefunden (Angebote passen/stimmen)
• Hilfreich sind Zertifikate, die für verschiedene Kategorien vergeben werden.
• Eines der wichtiges Siegel ist die ISO-27001-Zertifizierung des Bundesamtes für Sicherheit in der Informationstechnik (BSI).
• Anbieter, die dieses Zertifikat bekommen, verfügen über einen hohen Grad an IT-Sicherheit gegenüber ihren Kunden.
• Allerdings wird das Siegel oft auch nur für Teilbereiche vergeben
• -->Deshalb sollte man sich vorher informieren, wofür ein Provider genau zertifiziert ist.
• Einen Leitfaden dieser Mindestanforderungen könnt ihr auf der Homepage des BSI finden(bsi.de)

• Ein weiteres Zertifikat, das neben der IT-Sicherheit auch Aspekte wie Vertragsgestaltung, Infrastruktur und Prozesse bewertet, ist das Eurocloud Star Audit SaaS.
• Unternehmen können dabei bis zu fünf Sterne erreichen. Provider, die über diese Höchstwertung verfügen, gelten unter Experten als vertrauenswürdig.

• Vertrag & Austrittsklausel

Darunter sollte man folgende Aspekte beachten: Vertrag – Eigentumsregelung & Löschung

• Zuerst sollten vertragliche Regelungen geprüft werden, wie zum Beispiel die vertragliche Regelung bezüglich eigentümlicher Daten, sodass außer der Vertragsprüfung auch die Daten durch den Anbieter immer dann komplett gelöscht werden, wenn der Kunde dieses wünscht bzw. selbst vornimmt
• In dem Vertrag sollte ebenso auch geregelt sein, dass die Daten nach Vertragsende gelöscht aber auch Datenträger ggf. zurückgegeben werden

Die Aspekte Insolvenz & Vertragsende beziehen sich im Vertrag darauf,

• Ob die Kündigungsrechte des Vertrags ausreichend flexibel gestaltet sind, sodass jederzeit von dem vereinbarten Vertrag zurück getreten werden kann
• Aber auch, ob Regelungen festgehalten werden, falls im Falle einer Insolvenz des Anbieters, diese Regelungen über den Schutz und der Verfügbarkeit der Daten entscheidet

Nicht zu vergessen: Vereinbarungskriterien in Hinsicht auf Subunternehmen sollten auch vertraglich festgehalten werden.

• Dabei soll gewährleistet sein überhaupt die Auslagerung von Bereichen eines Unternehmens an einen Subunternehmer vertraglich aufgenommen wurde
• Und letzten Endes müssten bestimmte Regelungen vorhanden sein, welche dem Subunternehmen, falls er zum Wettbewerb gehört, den Zugriff auf interne Unternehmensdaten untersagt, sodass der Datenschutz intern immer noch gewährleistet wird

• Austrittsregelungen definieren

Unternehmen unterliegen Archivierungspflichten über bestimmte Zeiträume. Nicht nur die Laufzeit soll geregelt werden, auch die Rückgabe oder Löschung von Daten bei Vertragsende. Außer diese rechtlichen und vertraglichen Regelungen hat Cloud Computing auch das Kriterium Vertrauen zu beachten, da Provider auch kulturell und von seiner Größe her zum eigenen Unternehmen passen sollte. Was ein Cloud- Computing- Vertrag regeln sollte:

• 1. Zunächst sollte das Leistungsangebot konkret definiert sein: zu diesem Service- Level Agreement gehören Verfügbarkeit der Services, die zulässige Ausfallrate, die Reaktionszeiten bei Störungen oder die Wideranlaufzeit der Systeme nach einem Ausfall
• 2. Sicherheit und Datenschutz sollten ebenso unter einer Datenschutzvereinbarung festgehalten werden. Da ein Cloud- Computing- Vertrag meistens über einige Jahre hinausläuft, sollte sichergestellt werden, ob das Sicherheitskonzept des Providers der technischen Entwicklung angemessen ist.
• 3. Der Vertragspartner sollte eine gewisse „Strafe“ bei Nichterfüllung von Vereinbarungen vertraglich festhalten.
• 4. Wichtig ist auch darauf zu achten, in welcher Form der Provider Subunternehmen beauftragen kann. Ein Cloud-Anbieter darf grundsätzlich nur solche Unternehmen beauftragen, die dasselbe Schutzniveau sicherstellen wie der Auftragnehmer selbst.
• 5. Der Auftraggeber sollte sich rechtlich sichern, den Cloud-Anbieter regelmäßig in Hinsicht auf Datenverarbeitung und Sicherheitsmaßnahmen kontrollieren zu dürfen.
• 6. Löschung und Rückgabe
• 7. Zum Schluss sollte noch die Exit- Strategie beachtet werden, so dass bei frühzeitiger Rückgabe der Daten - zum Beispiel im Falle der Insolvenz eines Providers oder bei einem Anbieterwechsel, der Auftraggeber die Berechtigung hat Daten von Subunternehmen zurückzufordern.