Status Quo der IT-Sicherheit im Cloud Computing - IfMOS ...

Zusammenfassung zum Forschungsprojekt:
Status Quo der IT-Sicherheit im
Cloud Computing –
Anwendung der Grounded Theory
Im Rahmen des Information Systems Project
im WS 2010/11 und SS 2011
Projektmitglieder: Simon Knapp, Christian Schmutte, Stefan Truh, Benedikt Martens, Frank Teuteberg

Das Forschungsprojekt zum Thema „Status Quo der IT-Sicherheit im Cloud Computing –
Anwendung der Grounded Theory“ wurde im Rahmen des Information Systems Project der
Universität Osnabrück im Masterstudiengang Information Systems im Zeitraum von Dezember
2010 bis Juli 2011 durchgeführt. Das Projekt wurde durch Dipl.-Kfm. Benedikt Martens
und Prof. Dr. Frank Teuteberg betreut.
Motivation
Durch den Einsatz von Cloud Computing Services erhoffen sich Unternehmen eine höhere
Flexibilität und Kostenreduzierung im Bereich ihrer IT. Aus diesem Grund wird das Cloud
Computing in den letzten Jahren vor allem in der Praxis intensiv diskutiert. Cloud Computing
Services sind IT-Services (z. B. Rechenleistung, Speicherplatz und Software Services) die das
Internet als Übertragungsmedium nutzen. Sie lassen sich durch ihre hohe Skalierbarkeit, die
Verwendung von Virtualisierungstechnologien und die nutzungsabhängige Abrechnung charakterisieren.
Insbesondere Kleine und Mittlere Unternehmen (KMU) sowie Start-Up-
Unternehmen profitieren von geringen Anfangsinvestitionen in die notwendige IT-
Infrastruktur sowie geringe Fixkosten. Aufgrund der im Cloud Computing häufig einhergehenden
Auslagerung der Daten an Dritte und der verwendeten mandantenfähigen Infrastruktur,
sehen Unternehmen vor allem im Bereich der IT-Sicherheit eine Hürde für die Akzeptanz
und Verbreitung des Cloud Computing.
Ziel
Im Rahmen des Forschungsprojekts wird das Ziel verfolgt den Bereich der IT-Sicherheit im
Cloud Computing grundlegend zu untersuchen, um Faktoren in diesem Bereich zu identifizieren,
zu bewerten sowie Handlungsempfehlungen für KMUs aus der Anbieter- als auch der
Nachfragersicht zu spezifizieren.
Forschungsmethode
Die Grounded Theory ist eine qualitative Forschungsmethode und verfolgt das Ziel Theorien
zu entwickeln, die auf einer vordefinierten Datenbasis beruhen. Als Daten können Interviews,
aber auch wissenschaftliche und praxisrelevante Literatur dienen, die mithilfe von Kodiertechniken
untersucht werden. Die Besonderheit der Methode liegt in der Art der Theorieentwicklung.
So soll der Forscher möglichst unvoreingenommen ein neues Gebiet untersuchen
und die Theorie soll aus den Erkenntnissen der Kodierung hervorgehen, weiterentwickeln und
validiert werden. Die Art der Theorie in dem vorliegenden Projekt zielt auf ein Erklärungsmodells
ab, welches Faktoren, deren Eigenschaften sowie Kausalzusammenhänge zwischen
den Faktoren aufzeigen soll.
Neben parallel durchgeführten Literaturanalysen wurden innerhalb der Projektlaufzeit insgesamt
23 Experteninterviews durchgeführt, von denen 20 Experten aus KMUs und 3 Experten
aus Großunternehmen stammen. Der Fragebogen wurde in 5 iterativen Runden überarbeitet
und erweitert. Die Kodierung der über 200 Seiten transkribierten Interviews wurde mit der
Software MaxQDA durchgeführt, die die Projektarbeit beschleunigt hat.
Forschungsergebnisse
Als zentrales Ergebnis kann festgehalten werden, dass die IT-Sicherheit im Cloud Computing
einen besonders hohen Stellenwert einnimmt. Diese Meinung wurde von allen Experten ge-

teilt. Allerdings decken sich die hierfür ergriffenen Maßnahmen nicht immer mit ihrer Einstellung
zu dem Thema. So wurden auf der einen Seite Mitarbeiterschulungen im Bereich der IT-
Sicherheit nur als bedingt sinnvoll erachtet, da die Sicherheitsmechanismen in den Unternehmen
zu speziell seien. Auf der anderen Seite wurden die IT-Sicherheitsmaßnahmen des Anbieters,
an den die Daten ausgelagert wurden, nur unzureichend hinterfragt. Als zweiten wichtigen
Faktor wurde das Vertrauen des Kunden in den Anbieter als besonders relevant identifiziert.
So werden z. B. Zertifikate, die den Bereich der IT-Sicherheit abdecken, häufig von
Anbietern genutzt um beim Kunden ein grundlegendes Vertrauen zu erzeugen. Die allgemeine
Akzeptanz dieser Zertifikate konnte allerdings nicht im Rahmen der Studie belegt werden.
Dies liegt unter anderem daran, dass viele Kunden mit den Inhalten und der Qualität der Zertifikate
nicht vertaut sind.