Status Quo der IT-Sicherheit im Cloud Computing - IfMOS ...
Status Quo der IT-Sicherheit im Cloud Computing - IfMOS ...
Status Quo der IT-Sicherheit im Cloud Computing - IfMOS ...
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
Zusammenfassung zum Forschungsprojekt:<br />
<strong>Status</strong> <strong>Quo</strong> <strong>der</strong> <strong>IT</strong>-<strong>Sicherheit</strong> <strong>im</strong><br />
<strong>Cloud</strong> <strong>Computing</strong> –<br />
Anwendung <strong>der</strong> Grounded Theory<br />
Im Rahmen des Information Systems Project<br />
<strong>im</strong> WS 2010/11 und SS 2011<br />
Projektmitglie<strong>der</strong>: S<strong>im</strong>on Knapp, Christian Schmutte, Stefan Truh, Benedikt Martens, Frank Teuteberg
Das Forschungsprojekt zum Thema „<strong>Status</strong> <strong>Quo</strong> <strong>der</strong> <strong>IT</strong>-<strong>Sicherheit</strong> <strong>im</strong> <strong>Cloud</strong> <strong>Computing</strong> –<br />
Anwendung <strong>der</strong> Grounded Theory“ wurde <strong>im</strong> Rahmen des Information Systems Project <strong>der</strong><br />
Universität Osnabrück <strong>im</strong> Masterstudiengang Information Systems <strong>im</strong> Zeitraum von Dezember<br />
2010 bis Juli 2011 durchgeführt. Das Projekt wurde durch Dipl.-Kfm. Benedikt Martens<br />
und Prof. Dr. Frank Teuteberg betreut.<br />
Motivation<br />
Durch den Einsatz von <strong>Cloud</strong> <strong>Computing</strong> Services erhoffen sich Unternehmen eine höhere<br />
Flexibilität und Kostenreduzierung <strong>im</strong> Bereich ihrer <strong>IT</strong>. Aus diesem Grund wird das <strong>Cloud</strong><br />
<strong>Computing</strong> in den letzten Jahren vor allem in <strong>der</strong> Praxis intensiv diskutiert. <strong>Cloud</strong> <strong>Computing</strong><br />
Services sind <strong>IT</strong>-Services (z. B. Rechenleistung, Speicherplatz und Software Services) die das<br />
Internet als Übertragungsmedium nutzen. Sie lassen sich durch ihre hohe Skalierbarkeit, die<br />
Verwendung von Virtualisierungstechnologien und die nutzungsabhängige Abrechnung charakterisieren.<br />
Insbeson<strong>der</strong>e Kleine und Mittlere Unternehmen (KMU) sowie Start-Up-<br />
Unternehmen profitieren von geringen Anfangsinvestitionen in die notwendige <strong>IT</strong>-<br />
Infrastruktur sowie geringe Fixkosten. Aufgrund <strong>der</strong> <strong>im</strong> <strong>Cloud</strong> <strong>Computing</strong> häufig einhergehenden<br />
Auslagerung <strong>der</strong> Daten an Dritte und <strong>der</strong> verwendeten mandantenfähigen Infrastruktur,<br />
sehen Unternehmen vor allem <strong>im</strong> Bereich <strong>der</strong> <strong>IT</strong>-<strong>Sicherheit</strong> eine Hürde für die Akzeptanz<br />
und Verbreitung des <strong>Cloud</strong> <strong>Computing</strong>.<br />
Ziel<br />
Im Rahmen des Forschungsprojekts wird das Ziel verfolgt den Bereich <strong>der</strong> <strong>IT</strong>-<strong>Sicherheit</strong> <strong>im</strong><br />
<strong>Cloud</strong> <strong>Computing</strong> grundlegend zu untersuchen, um Faktoren in diesem Bereich zu identifizieren,<br />
zu bewerten sowie Handlungsempfehlungen für KMUs aus <strong>der</strong> Anbieter- als auch <strong>der</strong><br />
Nachfragersicht zu spezifizieren.<br />
Forschungsmethode<br />
Die Grounded Theory ist eine qualitative Forschungsmethode und verfolgt das Ziel Theorien<br />
zu entwickeln, die auf einer vordefinierten Datenbasis beruhen. Als Daten können Interviews,<br />
aber auch wissenschaftliche und praxisrelevante Literatur dienen, die mithilfe von Kodiertechniken<br />
untersucht werden. Die Beson<strong>der</strong>heit <strong>der</strong> Methode liegt in <strong>der</strong> Art <strong>der</strong> Theorieentwicklung.<br />
So soll <strong>der</strong> Forscher möglichst unvoreingenommen ein neues Gebiet untersuchen<br />
und die Theorie soll aus den Erkenntnissen <strong>der</strong> Kodierung hervorgehen, weiterentwickeln und<br />
validiert werden. Die Art <strong>der</strong> Theorie in dem vorliegenden Projekt zielt auf ein Erklärungsmodells<br />
ab, welches Faktoren, <strong>der</strong>en Eigenschaften sowie Kausalzusammenhänge zwischen<br />
den Faktoren aufzeigen soll.<br />
Neben parallel durchgeführten Literaturanalysen wurden innerhalb <strong>der</strong> Projektlaufzeit insgesamt<br />
23 Experteninterviews durchgeführt, von denen 20 Experten aus KMUs und 3 Experten<br />
aus Großunternehmen stammen. Der Fragebogen wurde in 5 iterativen Runden überarbeitet<br />
und erweitert. Die Kodierung <strong>der</strong> über 200 Seiten transkribierten Interviews wurde mit <strong>der</strong><br />
Software MaxQDA durchgeführt, die die Projektarbeit beschleunigt hat.<br />
Forschungsergebnisse<br />
Als zentrales Ergebnis kann festgehalten werden, dass die <strong>IT</strong>-<strong>Sicherheit</strong> <strong>im</strong> <strong>Cloud</strong> <strong>Computing</strong><br />
einen beson<strong>der</strong>s hohen Stellenwert einn<strong>im</strong>mt. Diese Meinung wurde von allen Experten ge-
teilt. Allerdings decken sich die hierfür ergriffenen Maßnahmen nicht <strong>im</strong>mer mit ihrer Einstellung<br />
zu dem Thema. So wurden auf <strong>der</strong> einen Seite Mitarbeiterschulungen <strong>im</strong> Bereich <strong>der</strong> <strong>IT</strong>-<br />
<strong>Sicherheit</strong> nur als bedingt sinnvoll erachtet, da die <strong>Sicherheit</strong>smechanismen in den Unternehmen<br />
zu speziell seien. Auf <strong>der</strong> an<strong>der</strong>en Seite wurden die <strong>IT</strong>-<strong>Sicherheit</strong>smaßnahmen des Anbieters,<br />
an den die Daten ausgelagert wurden, nur unzureichend hinterfragt. Als zweiten wichtigen<br />
Faktor wurde das Vertrauen des Kunden in den Anbieter als beson<strong>der</strong>s relevant identifiziert.<br />
So werden z. B. Zertifikate, die den Bereich <strong>der</strong> <strong>IT</strong>-<strong>Sicherheit</strong> abdecken, häufig von<br />
Anbietern genutzt um be<strong>im</strong> Kunden ein grundlegendes Vertrauen zu erzeugen. Die allgemeine<br />
Akzeptanz dieser Zertifikate konnte allerdings nicht <strong>im</strong> Rahmen <strong>der</strong> Studie belegt werden.<br />
Dies liegt unter an<strong>der</strong>em daran, dass viele Kunden mit den Inhalten und <strong>der</strong> Qualität <strong>der</strong> Zertifikate<br />
nicht vertaut sind.