This content is only partially available in English.

Motivation und Relevanz

Der Studie Cloud-Monitor 2021 des Bundesverbandes Informationswirtschaft, Telekommunikation und neue Medien (bitkom e.V.) zufolge setzen 82% der Unternehmen in Deutschland mit einer Größe ab 20 Mitarbeitern auf Cloud Computing [He21]. Im Jahr 2019 waren es noch 76% der Unternehmen [He21]. Cloud Computing ermöglicht es Organisationen, bedarfsorientiert Ressourcen (Netze, Server, Speicher, Anwendungen und Dienste) über Hochgeschwindigkeitsnetze mit minimalem Managementaufwand zu beziehen. Allerdings stehen Bedrohungen  der Informationssicherheit einer umfassenden Akzeptanz und Durchdringung von Cloud Computing entgegen. Um Verletzungen der Informationssicherheit im Cloud Computing vorzubeugen, können Organisationen bestimmte Maßnahmen ergreifen und sich dabei an Standards orientieren. So beschreibt der internationale Standard ISO/IEC 27001:2013 Sicherheitstechniken und Anforderungen an ein Informationssicherheitsmanagementsystem (ISMS), welches das oberste Ziel hat die Informationssicherheit in den drei Schutzzielen Vertraulichkeit, Integrität und Verfügbarkeit unter Berücksichtigung von Chancen und Risiken zu beschützen. Im Standard ISO/IEC 27001:2013 ist sichere Softwareentwicklung im Anhang A Kapitel 14.2 ‚Sicherheit in Entwicklungs- und Unterstützungsprozessen‘ beschrieben. Ein Prozess zur sicheren Softwareentwicklung wird zunehmend wichtiger, um Schwachstellen zu reduzieren und integriert Sicherheitspraktiken  in allen Phasen eines Softwareentwicklungsprojektes [Do19; Wa13].

Problemstellung

Das Problem besteht darin, dass der Einsatz von Cloud Computing für die Speicherung und Verarbeitung von kritischen Geschäftsdaten von Organisationen in Deutschland durch Informationssicherheitsbedenken beeinträchtigt wird und somit folgende Vorteile und Chancen von Cloud Computing den Organisationen in Deutschland nicht oder vermindert  zugänglich werden [Be13] : Kostenersparnis, Hohe Skalierbarkeit, Verfügbarkeit, Elastizität und Flexibilität, Energieeffizienz und Umweltschutz, Ortsunabhängigkeit, Einfachheit, Unabhängigkeit von proprietären Betriebssystemen, Sicherheit, Ver-ringerung von Datensätzen und Verarbeitungsvorgängen durch Zentralisierung, Innovationsförderung und Zukunftssicherheit. Über einen sicheren Software-entwicklungsprozess kann dem Problem entgegengewirkt werden, dies unter der Annahme, dass sichere Softwareentwicklung dann auch Cloud-Anwendungen mit einem erhöhtem Sicherheitsniveau hervorbringen. Bei der Umsetzung von sicherer Softwareentwicklung bestehen Einflussfaktoren sowohl aus strategischer als auch aus operativer Perspektive . Sicherere Softwareentwicklung betrifft Systeme, Prozesse und Werkzeuge gleichermaßen. Prozesse und Werkzeuge , die in Wechselbeziehung zueinanderstehen, können nach der allgemeinen Systemtheorie von Bertalanffy [Be49] als ein System bezeichnet werden [Be49;Fu72]. Das Promotionsvorhaben legt in der Berücksichtigung von Systemen, Prozessen und Werkzeugen einen Schwerpunkt.

Forschungsstand

Die Studienlage beschäftigt sich vornehmlich damit zu ergründen warum Unternehmen keine oder unzureichende sichere Softwareentwicklungsprozesse etablieren anstelle deren Erfolg zu optimieren: Geer [Ge10] stellt fest, dass die Mehrheit der befragten Unternehmen einen sicheren Softwareentwicklungsprozess zu zeitintensiv empfinden oder sich der sicheren Softwareentwicklung nicht bewusst sind. Alghamdi [Al20] hat untersucht, welche Charakteristiken einen positiven Einfluss auf den sicheren Softwareentwicklungsprozess haben. Assal und Chiasson [As18] haben Diskrepanzen zwischen konzeptionell beschriebener sicherer Softwareentwicklung und der in Organisationen gelebten Praxis festgestellt. Bei der Umsetzung eines sicheren Softwareentwicklungsprozesses von Cloud-Anwendungen stellt sich für Organisationen die Frage, welche Faktoren einen positiven Einfluss auf den Erfolg haben, wobei Erfolg als ein erhöhtes Sicherheitsniveau von Cloud-Anwendungen definiert wird. Die Erfolgsfaktorenforschung legt die Annahme zugrunde, dass trotz einer Multidimensionalität des Erfolgs und einer Multikausalität von potenziellen Erfolgsfaktoren, einige wenige Erfolgsfaktoren herausgestellt werden können, die einen Erfolg maßgeblich beeinflussen [Ba09; Da94]. Sie kann in die Funktionen Selektion, Explikation und Technologie gegliedert werden [Da94]. Bei der Selektion werden aus einer Vielzahl von Faktoren potenzielle Erfolgsfaktoren ausgewählt, welche einen Zusammenhang zum Erfolg haben können. Diese potenziellen Erfolgsfaktoren werden dann in der Explikation nach Erfolgsindikatoren bewertet. Die Technologie stellt das Instrumentarium dar, mit Hilfe dessen die Komplexitätsreduktion und die Gestaltung der Erfolgsfaktoren ermöglicht wird [Ba09; Da94]. Die Erfolgsfaktorenforschung in sicherer Softwareentwicklung von Cloud-Anwendungen spielt für Organisationen in Deutschland eine entscheidende Rolle, da ihr Ergebnis zur Ausgestaltung der eigenen Vorgehensweise zur sicheren Softwareentwicklung die erfolgsbeeinflussenden Faktoren aufzeigt und die Effektivität und Effizienz der eigenen sicheren Softwareentwicklung steigern und im Ergebnis Cloud-Anwendungen mit einem erhöhten Sicherheitsniveau hervorbringen.

Ziel des Promotionsvorhabens

Das Ziel der Promotionsarbeit ist es, Erfolgsfaktoren in sicherer Softwareentwicklung von Cloud-Anwendungen aus strategischer und operativer Perspektive unter besonderer Berücksichtigung von Systemen, Prozessen und Werkzeugen zu identifizieren und zu validieren, um das Sicherheitsniveau von Cloud-Anwendungen zu erhöhen. Das angestrebte Ergebnis ist ein Erfolgsfaktorenmodell in sicherer Softwareentwicklung von Cloud-Anwendungen. Die identifizierten und validierten Erfolgsfaktoren sollen bei entsprechender Berücksichtigung einen positiven Effekt auf den Einsatz von Cloud Computing für die Speicherung und Verarbeitung von kritischen Geschäftsdaten von Organisationen in Deutschland haben.

Forschungsfragen und Vorgehen

In der Promotionsarbeit sollen Beiträge zur Beantwortung der folgenden Forschungsfragen (FF) geleistet werden, die im Anschluss begründet werden: 
1.    Welche Merkmale  zeichnen eine Cloud-Anwendung  aus?
2.    Wie kann Erfolg von sicherer Softwareentwicklung von Cloud-Anwendungen gemessen werden?
3.    Welche Rolle spielen strategische und operative Aspekte in sicherer Software-entwicklung von Cloud-Anwendungen?
4.    Welche Rollen spielen Systeme, Prozesse und Werkzeuge in sicherer Software-entwicklung von Cloud-Anwendungen?
5.    Welche theoretischen Grundlagen erklären Erfolg in sicherer Softwareentwicklung von Cloud-Anwendungen aus strategischer und operativer Perspektive?
6.    Welche subjektiv-validierten Erfolgsfaktoren bestehen in sicherer Software-entwicklung von Cloud-Anwendungen aus strategischer und operativer Perspektive?
7.    Welche objektiv-validierten Erfolgsfaktoren bestehen in sicherer Software-entwicklung von Cloud-Anwendungen aus operativer Perspektive und gegebenenfalls strategischer Perspektive ?
Zu Beginn muss der Begriff der Cloud-Anwendung und deren Merkmale aus Sicht deutscher Organisationen systematisiert werden (siehe FF1). Zudem muss eine Messgröße zum Erfolg erarbeitet werden. Eine denkbare Messgröße ist das Common Vulnerability Scoring System (CVSS)  (siehe FF2). Ein Schwerpunkt des Promotionsvorhaben liegt in der Berücksichtigung der strategischen und operativen Perspektive (siehe FF3) sowie der Systeme, Werkzeuge und Prozesse (siehe FF4). Die Identifikation von geeigneten Theorien ist notwendig, um ein theoriegeleitetes Vorgehen zu ermöglichen (siehe FF5) . Die erste und zweite Teilstudie sollen Experten / Umfrageteilnehmer nach ihrer subjektiven Wahrnehmung befragen (siehe FF6). Die Ergebnisse sollen durch ein Feldexperiment weiter untersucht werden (siehe FF7).  Das Vorgehen des Promotionsvorhaben ist in drei Teilstudien gegliedert: Die Teilstudie I ist eine qualitative-explorative Expertenstudie, die induktiv und deduktiv (basierend auf einem vorläufigen Modell) potenzielle Erfolgsfaktoren identifiziert. Die Teilstudie II überprüft quantitativ das erweiterte Modell anhand theoriegeleiteter Hypothesen. Die Teilstudie III validiert in einem Feldexperiment einzelne subjektiv-validierte Erfolgsfaktoren.

Teilstudien

Das Vorgehen des Promotionsvorhaben ist in drei Teilstudien gegliedert:

  • Teilstudie I ist eine qualitative-explorative Expertenstudie, die induktiv und deduktiv (basierend auf einem vorläufigen Modell) potenzielle Erfolgsfaktoren identifiziert.
  • Teilstudie II überprüft quantitativ das erweiterte Modell anhand theoriegeleiteter Hypothesen.
  • Teilstudie III validiert in einem Feldexperiment einzelne subjektiv-validierte Erfolgsfaktoren.

Die Teilstudien sollen Beiträge zur Beantwortung der folgenden Forschungsfragen (FF) leisten, die im Anschluss begründet werden: 

  1. Welche Merkmale  zeichnen eine Cloud-Anwendung  aus?
  2. Wie kann Erfolg von sicherer Softwareentwicklung von Cloud-Anwendungen gemessen werden?
  3. Welche Rolle spielen strategische und operative Aspekte in sicherer Software-entwicklung von Cloud-Anwendungen?
  4. Welche Rollen spielen Systeme, Prozesse und Werkzeuge in sicherer Software-entwicklung von Cloud-Anwendungen?
  5. Welche theoretischen Grundlagen erklären Erfolg in sicherer Softwareentwicklung von Cloud-Anwendungen aus strategischer und operativer Perspektive?
  6. Welche subjektiv-validierten Erfolgsfaktoren bestehen in sicherer Software-entwicklung von Cloud-Anwendungen aus strategischer und operativer Perspektive?
  7. Welche objektiv-validierten Erfolgsfaktoren bestehen in sicherer Software-entwicklung von Cloud-Anwendungen aus operativer Perspektive und gegebenenfalls strategischer Perspektive ?

Zu Beginn muss der Begriff der Cloud-Anwendung und deren Merkmale aus Sicht deutscher Organisationen systematisiert werden (siehe FF1). Zudem muss eine Messgröße zum Erfolg erarbeitet werden. Eine denkbare Messgröße ist das Common Vulnerability Scoring System (CVSS)  (siehe FF2). Ein Schwerpunkt des Promotionsvorhaben liegt in der Berücksichtigung der strategischen und operativen Perspektive (siehe FF3) sowie der Systeme, Werkzeuge und Prozesse (siehe FF4). Die Identifikation von geeigneten Theorien ist notwendig, um ein theoriegeleitetes Vorgehen zu ermöglichen (siehe FF5) . Die erste und zweite Teilstudie sollen Experten / Umfrageteilnehmer nach ihrer subjektiven Wahrnehmung befragen (siehe FF6). Die Ergebnisse sollen durch ein Feldexperiment weiter untersucht werden (siehe FF7).  

Literaturverzeichnis

[Al20] Alghamdi, F.: Motivational Company’s Characteristics to Secure Software. S. 1–5 in 2020 3rd International Conference on Computer Applications & Information Security (ICCAIS). Riyadh, Saudi Arabia: IEEE, 2020.
[As18] Assal, H.; Chiasson S.: Security in the software development lifecycle. S. 281–96 in Fourteenth Symposium on Usable Privacy and Security, 2018.
[Ba09] Baumgarth, C.; Eisend M.; Evanschitzky H.: Empirische Mastertechniken. S. 3–26 in Empirische Mastertechniken, Gabler Verlag, 2009.
[Be13] Bedner, M.: Cloud Computing: Technik, Sicherheit und rechtliche Gestaltung. Kassel. Kassel University Press, 2013.
[Be49] Bertalanffy, L.: Zu einer allgemeinen Systemlehre. Biologia Generalis 19:114–29, 1949.
[Da94] Daschmann, H. A.: Erfolgsfaktoren/Erfolgsfaktoren mittelständischer Unternehmen: Ein Beitrag zur Erfolgsfaktorenforschung. Stuttgart, 1994.
[Fu72] Fuchs, H.: Systemtheorie. S. 47–57 in Organisation als System, herausgegeben von K. Bleicher. Wiesbaden: Gabler Verlag, 1972.
[Ge10] Geer, D.: Are Companies Actually Using Secure Development Life Cycles? Computer 43(6):12–16. doi: 10.1109/MC.2010.159., 2010.
[He21] Heidkamp, P.; Vogel, M.; Gentemann, L.: Bitkom Cloud Monitor 2021, 2021.
[Is17] ISO/IEC/IEEE: ISO/IEC/IEEE Systems and software engineering Vocabulary. ISO/IEC/IEEE 24765:2017(E) 1–541. doi: 10.1109/IEEESTD.2017.8016712, 2017.
[Sc06] Schmalen, C.; Kunert M.; Weindlmaier H.: Erfolgsfaktorenforschung: Theoretische Grundlagen, methodische Vorgehensweise und Anwendungserfahrungen in Projekten für die Ernährungsindustrie, 2006.
[To17] Torkura, K. A.; Sukmana, M. I. H.; Meinel C.: Integrating Continuous Security Assessments in Microservices and Cloud Native Applications. S. 171–80 in Proceedings of the10th International Conference on Utility and Cloud Computing. Austin Texas USA: ACM, 2017.
[Wa13] Waidner, M.: Entwicklung sicherer Software durch Security by Design, 2013.