Sie sind auf Seite 1von 34

Ist das Rechnungswesen in der Cloud objektiv und

subjektiv betrachtet sicherer als das Rechnungswe-


sen auf On-Premise Servern?

Wissenschaftliches Praxisprojekt

Autoren: Nicole BÜTIKOFER (07-101-082)


Yan PEYER (06-654-479)
Katrin POHL (16-670-549)

Einreichdatum: 09.12.2019

Referent: Dr. Albert Jung

Ist das Rechnungswesen in der Cloud objektiv und subjektiv betrachtet sicherer als das Rechnungswesen auf On-
Premise Servern?
i
Inhalt
1 Einleitung...........................................................................................................1
1.1 Problemstellung und Abgrenzung des Themas .......................................2
1.2 Forschungsfragen....................................................................................3
1.3 Zielsetzung der Arbeit ..............................................................................3
2 Cloud-Computing .............................................................................................. 3
2.1 Cloud-Computing Servicemodelle ........................................................... 4
2.1.1 IaaS ............................................................................................. 5
2.1.2 PaaS ............................................................................................ 5
2.1.3 SaaS ............................................................................................ 6
2.2 Cloud Bereitstellungsmodelle ..................................................................6
2.2.1 Private-Cloud ...............................................................................7
2.2.2 Public-Cloud ................................................................................7
2.2.3 Community- und Hybrid-Cloud ..................................................... 8
2.3 On-Premise Server ..................................................................................9
2.4 Vergleich zwischen Cloud und On-Premise Server................................ 10
3 Das Rechnungswesen in der Cloud............................................................... 11
3.1 Pflicht zur Buchführung und Rechnungslegung .....................................11
3.2 Aufbewahrungspflicht ............................................................................12
4 Sicherheit des Rechnungswesens in der Cloud ...........................................14
4.1 Datenschutz .......................................................................................... 14
4.2 Integrität von Daten in der Cloud ........................................................... 16
4.3 Verfügbarkeit der Daten in der Cloud ..................................................... 17
4.4 Vertrauen in die Sicherheit der Cloud .................................................... 18
5 Fazit und Ausblick .......................................................................................... 19
6 Literaturverzeichnis ........................................................................................ 22
7 Abbildungsverzeichnis ................................................................................... 27
8 Anhang ............................................................................................................28
8.1 Anhang 1: Cloud Servicemodelle ........................................................... 28
8.2 Anhang 2: Glossar .................................................................................30
Selbständigkeitserklärung ..................................................................................... 0

Ist das Rechnungswesen in der Cloud objektiv und subjektiv betrachtet sicherer als das Rechnungswesen auf On-
Premise Servern?
ii
1 Einleitung
Wer ein Gewerbe betreibt, hat Buch zu führen. Gemäss Haarmann H. (2002) wurden
bereits vom achten bis zum vierten Jahrtausend v. Chr. Symbole als Inventarlisten
und Quittungen für den Warenverkehr der Völker des Vorderen Orients verwendet.
Die Gesellschaft und deren technologische Möglichkeiten haben sich seither weiter-
entwickelt, was einen Wandel des Rechnungswesens und dessen Speicherort mit
sich einher brachte. Bis heute dient es als Instrument zur Unternehmensführung und
System der Informationsgewinnung, welches den Ansprüchen und Zielvorstellungen
einer Vielzahl von Stakeholdern innerhalb und ausserhalb des Unternehmens zu ent-
sprechen hat.
Das Gesetz schreibt gewisse rechtliche Rahmenbedingungen des Rechnungswe-
sens vor. Dazu gehören seitens Obligationenrechts die Aufbewahrungspflicht von Un-
terlagen sowie die Lesbarkeit, Verfügbarkeit und Integrität der Daten. Diese Normen
sind zu erfüllen, unabhängig davon, ob die Buchführung auf Papier, auf eigenen Ser-
vern (On-Premise Server) oder in der Cloud erfolgt.
Im Zeitalter der Digitalisierung wird der Bedarf zum Dialog bezüglich der Sicherheit
von neuen Technologien immer dringlicher. Technologische Innovationen bieten zwar
enorme Chancen, sie fördern jedoch laut Zoche P., Kaufmann S., & Haverkamp R.
(2010) auch diverse Informationen ans Tageslicht, die bis anhin in der Dunkelheit
verborgen waren. Neben der Datensicherheit besteht das Risiko, dass Störungen die
Infrastruktur beeinträchtigen und so Datenverluste nach sich ziehen. Nicht zuletzt be-
steht eine latente Gefährdung durch rechtliche Konsequenzen aufgrund von Verlet-
zungen der Rechtsnormen, wie dem Datenschutz oder den Vorschriften zur kaufmän-
nischen Buchführung. Eine hundertprozentige Sicherheit existiert in der digitalen Welt
nicht. Wo Menschen und Technologien zusammenarbeiten, kann durch Unachtsam-
keit, Unwissen oder fehlerhafte Nutzung ein Schaden entstehen. Ist das Risikopoten-
tial von Daten auf einem On-Premise Server nun grösser, kleiner oder gleich gross
wie das Risiko der Datenspeicherung in einer Cloud? In der vorliegenden Praxisarbeit
wird dieser Frage genauer nachgegangen. Bei der Bewertung der Sicherheit ist der
Faktor Mensch als auch seine Bedürfnisse, Ängste und sein Vertrauen in die Tech-
nologie massgeblich. Aufgrund dessen wird im anschliessenden Praxisteil ebenfalls
auf die Frage eingegangen, wie die subjektive Wahrnehmung und das Vertrauen in
die Sicherheit des Rechnungswesens in der Cloud sind.

Ist das Rechnungswesen in der Cloud objektiv und subjektiv betrachtet sicherer als das Rechnungswesen auf On-
Premise Servern?
1
1.1 Problemstellung und Abgrenzung des Themas
Unternehmen haben unabhängig ihrer Grösse vermehrt Kontakt zu Cloud-Ressour-
cen. Die Frage «Wie sicher ist das Rechnungswesen in der Cloud?» ist sehr offen
und lässt viel Interpretationsspielraum zu. Das betriebliche Rechnungswesen um-
fasst nach Definition der Springer Fachmedien Wiesbaden (1988, S. 1173): «Verfah-
ren zur systematischen Erfassung und Auswertung aller quantifizierbaren Beziehun-
gen und Vorgänge der Unternehmung für die Zwecke der Planung, Steuerung und
Kontrolle des betrieblichen Geschehens». Langer S. (2013, S.4) definiert Sicherheit
als: «Zustand des Sicherseins, Geschütztseins vor Gefahr oder Schaden…». Es stellt
sich die Frage, von welchen Gefahren und Schäden aufgrund der Auslagerung des
Rechnungswesens in die Cloud im Gegensatz zum Führen des Rechnungswesens
auf On-Premise Servern ausgegangen werden muss. Robinson N. et al. (2011) stüt-
zen das Argument, dass Cloud-Technologien grundsätzlich nichts Neues sind, son-
dern dass ihre Entwicklung durch Cloud-Computing neu belebt wurde.
In der vorliegenden Arbeit wird der aktuelle Stand der Wissenschaft bezüglich Sicher-
heit der Cloud im Gegensatz zu On-Premise Servern recherchiert. Die Daten des
Rechnungswesens werden als besonders schützenswert klassifiziert. Die Sicherheit
des Rechnungswesens in der Cloud wird anhand der Erfüllung von rechtlichen und
sicherheitsspezifischen Risiken des Cloud-Computings analysiert. Es werden die Ser-
vicemodelle des Cloud-Computing untersucht, nach Bereitstellungsmodell der Cloud
unterschieden und deren objektive Sicherheit bewertet.
Einzelunternehmen und Personengesellschaften sind aufgrund Art. 957 ff. des Obli-
gationenrechts gesetzlich dazu verpflichtet, Buch zu führen. Neben den Vorschriften
zur Buchführung unterliegen Unternehmen weiteren gesetzlichen Normen, wie dem
Bundesgesetz über den Datenschutz oder die Steuergesetze des Bundes. In der vor-
liegenden Praxisarbeit wird erörtert, ob das Rechnungswesen in der Cloud aus recht-
licher Sicht ein Sicherheitsrisiko darstellt.
Robinson N. et al. (2011) stützen das Argument, dass die Vorteile der Verwendung
von Clouds vom Finden geeigneter technologischer Antworten, von den Herausfor-
derungen in Bezug auf Sicherheit, Datenschutz und Vertrauen abhängen. Neben Si-
cherheit und Datenschutz ist das Vertrauen in die Sicherheit des Cloud-Computings
von zentraler Bedeutung. Die subjektive Einschätzung der Sicherheit des Rechnungs-
wesens in der Cloud wird im Praxisteil erhoben.

Ist das Rechnungswesen in der Cloud objektiv und subjektiv betrachtet sicherer als das Rechnungswesen auf On-
Premise Servern?

2
1.2 Forschungsfragen
1. Erfüllt das Rechnungswesen in der Cloud die rechtlichen Normen im gleichen
Masse wie die Datenspeicherung auf On-Premise Servern?
2. Erfüllt das Rechnungswesen in der Cloud die sicherheitsspezifischen Anfor-
derungen gemäss CIA-Triade im gleichen Masse wie die Datenspeicherung
auf On-Premise Servern?
3. Wie ausgeprägt ist das Vertrauen der Unternehmen gegenüber der Sicherheit
des Rechnungswesens in der Cloud?

1.3 Zielsetzung der Arbeit


Die vorliegende Arbeit befasst sich im Literaturteil mit den sicherheitsrelevanten As-
pekten des Rechnungswesens in der Cloud in Bezug auf Einhaltung der rechtlichen
Vorschriften des Obligationenrechts sowie den sicherheitsspezifischen Anforderun-
gen gemäss dem CIA-Triade, mit dem Ziel, diese mit der Sicherheit des Rechnungs-
wesens auf On-Premise Servern zu vergleichen und anschliessend zu beurteilen.
Ebenfalls werden sicherheitsspezifische Herausforderungen des Rechnungswesens
in der Cloud und deren Lösungsvorschläge betrachtet, um zu beurteilen, ob der zu-
sätzlichen Nutzen des Cloud-Computings grösser sind als die zugrunde liegenden
Risiken der Cloud. Die sicherheitsrelevanten Aspekte des Cloud-Computings werden
möglichst breit betrachtet, ohne technisch detailliert in die Tiefe zu gehen. Neben den
objektiv messbaren Sicherheitskriterien wird im Praxisteil die subjektive Sicherheits-
wahrnehmung des Rechnungswesens in der Cloud erhoben, um im Anschluss zu
beantworten, ob allfällige Bedenken oder Misstrauen gegenüber der Cloud vorwie-
gend auf die subjektive Wahrnehmung oder objektive Fakten zurückzuführen sind.

2 Cloud-Computing
Cloud-Computing ist gemäss Ravi Kumar P. et al. (2018) eine der am schnellsten
aufkommenden Technologien im Bereich des Computings. Link V. (2018) weist da-
rauf hin, dass Cloud-Computing nicht nur die Berechnung in Rechenzentren beinhal-
tet, sondern allgemein das Angebot und die Nutzung von Ressourcen, die in einer
Cloud zur Verfügung gestellt werden. Dies umfasst neben der reinen Rechenleistung
auch Datenspeicher und Netzwerktechnologien für die Kommunikation zwischen An-
wendungen. In unserem täglichen Leben nutzt ein Grossteil der Bevölkerung Cloud-
Computing in der einen oder anderen Form, sei es Gmail, Dropbox oder Microsoft

Ist das Rechnungswesen in der Cloud objektiv und subjektiv betrachtet sicherer als das Rechnungswesen auf On-
Premise Servern?

3
Office. Haas A., & Hofmann A. (2013) sehen die Besonderheit des Cloud-Computings
in der Trennung der Computerressourcen von der zugrundeliegenden IT-Infrastruktur.
Die grossen Vorteile sind die geringen Infrastrukturkosten, die bessere geografische
Abdeckung und die orts- und zeitunabhängige Erreichbarkeit. Es existieren jedoch
auch Herausforderungen betreffend Datenschutz und Datensicherheit.
Mell P., & Grance T. (2011) beschreiben Cloud-Computing als ein Modell für den all-
gegenwärtigen, bequemen On-Demand-Netzwerkzugriff auf einen gemeinsam ge-
nutzten Pool konfigurierbarer Computerressourcen, wie zum Beispiel Netzwerke, Re-
chenleistung, Speicher, Anwendungen und Dienste, die typischerweise über das In-
ternet erreichbar sind. Mit minimalem Verwaltungsaufwand und Interaktion mit einem
Dienstanbieter können diese schnell über die Weboberfläche bereitgestellt und frei-
gegeben werden. Die Abrechnung erfolgt anhand der Menge der konsumierten Com-
puterressourcen. Nenngrössen für die Berechnung der Kosten sind beispielsweise
verbrauchter Speicherplatz, übertragene Bytes, verwendete Rechenleistung oder
Laufzeit benutzter Software. Durch die Nutzung von Cloud-Computing können grosse
initiale Investitionen in Serverräume mit ausreichender Kühlung oder allgemein in In-
formatik Hardware umgangen werden. Andere Cloud-Computing Nutzer bedienen
sich der Technologie, um kurzfristig Auslastungsengpässe zu überwinden. Beispiels-
weise kann durch das Aufschalten von zusätzlichen Computer Ressourcen in der
Cloud die zusätzlichen Besucher eines Online-Shops am Black-Friday abgefangen
werden, damit ein Online-Shop trotz höherer Besucherzahlen reibungslos und ohne
Verzögerung funktioniert.

2.1 Cloud-Computing Servicemodelle


In Cloud-Computing kommen zu den herkömmlichen Outsourcing Definitionen neue
hinzu. Ravi Kumar P. et al. (2018) beschreiben die Hauptakteure des Cloud-Compu-
ting: Der Cloud Konsument bzw. Cloud Service Customer (CSC) nutzt den Service
und bezahlt für den Service und dessen Nutzung. Der Cloud Service Provider (CSP),
stellt die Clouddienste dem Konsumenten bereit. Der Cloud-Auditor führt eine unab-
hängige Bewertung bezüglich des Betriebes des Informationssystems, Leistung und
Sicherheit der Cloud-Implementierung durch. Die Art und der Umfang wie der CSC
und CSP zusammenarbeiten, hängt nach Angaben von Mailsow B. (2017) vom jewei-
ligen Cloud Modell ab. Ursprünglich wurden drei Servicemodelle definiert. Mit der Zeit
wurden neue Namen für neue Konzepte entwickelt, diese unterscheiden sich jedoch
nicht wesentlich von den ursprünglichen Modellen. Mell P., & Grance T. (2011)

Ist das Rechnungswesen in der Cloud objektiv und subjektiv betrachtet sicherer als das Rechnungswesen auf On-
Premise Servern?

4
formulieren die drei anerkannte Servicemodelle wie folgt: Infrastructure-as-a-Service
(IaaS), Plattform-as-a-Service (PaaS) und Software-as-a-Service (SaaS).

2.1.1 IaaS
Im Gegensatz zu traditionellen Informatik-Servicemodellen (On-Premise Server), bei
welchen die Infrastruktur selbst betrieben wird und die Verantwortung allein in eige-
nen Händen bleibt, wird beim Servicemodell IaaS laut Mailsow B. (2017) die Basisinf-
rastruktur an einen Partner (CSP) übergeben. Zur Basisinfrastruktur gehören vorwie-
gend die physischen Komponenten eines Serverraums respektive eines Rechenzent-
rums. Gemäss Link V. (2018) können dank IaaS grosse Investitionen in einen Ser-
verraum und in die benötigte Hardware auf den CSP abgewälzt werden. Hingegen
geht ein Teil der Kontrolle der physischen Sicherheit, wie die Zutrittskontrolle zum
Serverraum bzw. die physische Wartung der Server zum Cloud Service Provider über.
Der Kunde trägt die Verantwortung für das Betriebssystem und alle höheren Ebenen
wie Middleware, Datenbanken, Applikationen, Datenbackup und den Daten weiterhin
selbst.

2.1.2 PaaS
Beim Servicemodell PaaS werden laut Mailsow B. (2017) nebst den Elementen in
IaaS zusätzliche Dienstleistungen wie die Middleware, also Schnittstellen zu anderen
Umgebungen, und eine Laufzeitumgebung durch den CSP verwaltet. Die Nutzer die-
ser Plattformen benötigen somit kein tiefgehendes Wissen über den Betrieb der Hard-
ware oder die Einrichtung der Middleware. PaaS als Servicemodell eignet sich vor-
wiegend für Entwicklungsumgebungen und Applikationen, welche sich schnell skalie-
ren lassen und die Eigenschaft haben, kurzzeitig und kurzfristig die normale Anzahl
an Benutzeranfragen zu überschiessen. Möchte beispielsweise ein CSC seine Buch-
haltungssoftware weiterhin selbst betreiben, jedoch kommt es bei den jährlichen Ge-
schäftsabschlüssen aufgrund von einer hohen Anzahl an Anfragen der Endnutzer zu
Engpässen auf dem Server, auf welchem die Buchhaltungssoftware betrieben wird,
so können mit dem PaaS Servicemodell zum Zeitpunkt des Geschäftsabschlusses
zusätzliche Ressourcen bestellt werden. Der CSC zahlt dadurch nur für diejenigen
Ressourcen, welche er in diesem Zeitfenster zusätzlich bestellt hat und benötigt keine
weiteren grossen Investitionen in eine neue Infrastruktur.

Ist das Rechnungswesen in der Cloud objektiv und subjektiv betrachtet sicherer als das Rechnungswesen auf On-
Premise Servern?

5
2.1.3 SaaS
Werden die Infrastruktur inklusive der Software und Datenhaltung komplett in der
Cloud betrieben, so spricht Mailsow B. (2017) von einem SaaS Servicemodell. Bei
diesem Servicemodell übernimmt der CSP die volle Kontrolle über die Entwicklung
und den Betrieb der bereitgestellten Software. Anwender integrieren in diese nur noch
ihre Geschäftsprozesse. Die Entwicklung und der Betrieb der Software werden hier-
bei vom Anbieter übernommen. Als SaaS werden nach Zarnekow R. et al. (2018)
auch Buchhaltungssoftwarelösungen angeboten. Das Rechnungswesen in der Cloud
stellt somit kein Neuland dar und es existieren etablierte Virtualisierungsmethoden,
um die Cloud-spezifischen Sicherheitsrisiken zu kontrollieren und reduzieren. Der
CPC profitiert von minimalen Investitionen im Hinblick auf den IT-Betrieb und vom
Wegfallen zusätzlich anfallender Entwicklungskosten für die Software.

Abbildung 1: Schematische Darstellung der Cloud-Service-Modelle IaaS, PaaS und SaaS (Zarnekow, 2018)

2.2 Cloud Bereitstellungsmodelle


Unabhängig vom gewählten Servicemodell können Clouds hinsichtlich des Anbieters
und dem Umfang der Nutzerzugriffe in unterschiedliche Bereitstellungsmodelle kate-
gorisiert werden. Cloud-Computing Modelle unterscheiden sich nach Haas A., & Hof-
mann A. (2013) betreffend der Betreiber-, Eigentümer- und Nutzerstruktur sowie des
Standorts des Rechenzentrums und können grundsätzlich in Private, Öffentliche,
Community- und Hybrid-Clouds eingeteilt werden. Die Art des Cloud Modells hat ei-
nen entscheidenden Einfluss auf den Grad der Kontrolle über die Systeme und auf
die Sicherheitsaspekte. Public-Cloud Infrastrukturen weisen im Gegensatz zu

Ist das Rechnungswesen in der Cloud objektiv und subjektiv betrachtet sicherer als das Rechnungswesen auf On-
Premise Servern?

6
Privaten Cloud Infrastrukturen tendenziell ein geringeres garantiertes Sicherheitsni-
veau, standardisierte und nicht verhandelbare Dienstvereinbarungen, nicht definier-
bare Datenstandorte als auch Nutzerbeschränkungen auf.

2.2.1 Private-Cloud
Beim Private-Cloud Modell werden die Ressourcen durch den CSC geplant, vollstän-
dig finanziert und betrieben. Gemäss Lanz A. (2014) steht die Private-Cloud exklusiv
dieser Organisation, wenn auch verschiedenen Geschäftsbereichen, zur Verfügung.
Dadurch bleibt die Kontrolle der Systeme, Applikationen und Daten beim Inhaber der
Daten. Jegliche Investitionen in Serverraum, respektive Datenzentrum, die Virtuali-
sierungs-Plattform als auch Applikation und Datenhaltung sind aus eigenen Mittel zu
leisten. Der Aufbau und das Betreiben einer Private-Cloud-Umgebung bedingt eine
hohe Kapitalbindung und ein ausgezeichnetes IT-interdisziplinäres Know-how. Pri-
vate-Clouds können beispielsweise innerhalb von Organisationen betrieben werden,
in welchen IT-Kosten intern weiterverrechnet werden. Durch die Bereitstellung einer
eigenen Cloud bleiben sämtliche Daten innerhalb des Unternehmens bei gleichzeiti-
gem Profitieren der Vorzüge einer Cloud-Automatisierung. Der Eidgenössische Da-
tenschutz- und Öffentlichkeitsbeauftragte EDÖB (2019) beschreibt die Private-Cloud
als viel sicherer, jedoch kostspieliger als Öffentliche Clouds. Gemäss Link V. (2018)
werden die stärkeren Lastschwankungen der Auslastung und die höheren Kosten in
Kauf genommen, da die Sicherheit der Daten oft von Bedeutung ist, wie dies im Rech-
nungswesen ebenfalls der Fall ist. In Öffentlichen Clouds ist diese laut Link V. (2018)
nicht gegeben.

2.2.2 Public-Cloud
In einer Öffentlichen Cloud, auch Public-Cloud genannt, wird gemäss dem Eidgenös-
sischen Datenschutz- und Öffentlichkeitsbeauftragten EDÖB (2019) die Infrastruktur
vollständig durch den CSP bestimmt und bewirtschaftet. Die Plattform ist für jeder-
mann zugänglich und wird von mehreren Anwendern genutzt. Der CSC kann nach
Aussage des EDÖB (2019) keinen oder nur bedingten Einfluss auf beispielsweise
den Ort des Servers nehmen. Dies kann zu einem Kontrollverlust der Daten führen,
da der Standort der Daten für den Dateninhaber nicht genau bekannt ist, was eine
Unsicherheit der Datenspeicherung zur Folge hat. Dies liegt unter anderem daran,
dass die Datenschutzgesetze nicht in allen Ländern dem hohen Standard des schwei-
zerischen Datenschutzes entsprechen. Zudem sind Daten in politisch instabilen

Ist das Rechnungswesen in der Cloud objektiv und subjektiv betrachtet sicherer als das Rechnungswesen auf On-
Premise Servern?

7
Ländern oder Kriegsgebieten einem erhöhten Risiko ausgesetzt. Auch Deussen P.,
Strick L., & Peters J. (2010) kommen in ihrer Studie zum Schluss, dass die Öffentliche
Cloud nicht für den Umgang mit besonders schützenswerten Daten, wie beispiels-
wese vertrauliche Finanzdaten aus dem Rechnungswesen, geeignet ist. Kebbedies
J. (2017) präzisiert in seiner Dissertation, dass für Geschäftsbereiche mit hohen An-
forderungen an Vertraulichkeit und Datenschutz für die Öffentliche Cloud keine Be-
nutzerakzeptanz ausgewiesen werden kann. Dies einerseits aufgrund der fehlenden
Verantwortlichkeiten und andererseits wegen dem fehlenden Vertrauen der Cloud-
Anwendern.

2.2.3 Community- und Hybrid-Cloud


Die Community-Cloud ist gemäss Gilje Jaatun M., Zhao G. und Rong C. (2009) eine
gemeinschaftlich betriebene Private-Cloud mit einer begrenzten Zahl von Cloud-Nut-
zern. Die Bildung einer Community macht Sinn, wenn sich durch die Zusammenle-
gung der IT-Infrastruktur von zwei oder mehreren Organisationen Synergien, bei-
spielsweise bei Ausübung ähnlicher Tätigkeiten, ergeben. Link V. (2018) weist darauf
hin, dass Anforderungen an die Sicherheit, den Datenschutz und die Privatsphäre
analog der Private-Cloud gewährleistet werden können, während die Vorteile einer
Cloud erhalten bleiben.
Das Modell der Hybrid-Cloud verbindet laut Reinheimer S. (2018) die Private-Cloud,
respektive die Community-Cloud mit der Öffentlichen Cloud. Sie wird eingesetzt,
wenn beispielsweise firmeninterne Clouds mit einer Öffentlichen Cloud kombiniert
werden sollen. Wird bereits eine Private- oder Community-Cloud betrieben, können
mittels Zuschaltung von zusätzlichen Ressourcen durch die Public-Cloud Spitzenaus-
lastungen abgefangen werden.

Abbildung 2: Einordnung der Bereitstellungsmodelle (Bräuninger, Haucap, Stepping, & Stühmeier, 2012)

Ist das Rechnungswesen in der Cloud objektiv und subjektiv betrachtet sicherer als das Rechnungswesen auf On-
Premise Servern?

8
2.3 On-Premise Server
Im Gegensatz zum Cloud-Computing stehen On-Premise Server physisch in den
Räumlichkeiten des Unternehmens und die Leistung wird über das interne Netzwerk
bereitgestellt. Für die Sicherheit, die Bereitstellung des notwendigen Fachpersonals,
Etablierung eines Business-Continuity- und Desaster-Recovery-Managements sind
sie gemäss Zarnekow R. et al. (2018) selbst zuständig. Schützenswerte und kritische
Daten bleiben jedoch in der Organisation und unter deren Kontrolle. Vehlow M., &
Golkowsky C. (2010) besagen, dass On-Premise Provider in der Regel Firewalls ein-
richten, um ihre Daten gegen unerlaubte Zugriffe und Angriffe von innen als auch von
aussen zu schützen. Dennoch sind Inhouse-Standorte nach ihren Ansichten in Kata-
strophensituationen meist anfälliger für Datenverluste als Clouds. Daten auf On-
Premise Server sind gemäss Subashini, A., & Kavitha, V. (2011) den Gefahren von
aussen genauso ausgesetzt wie in einer Cloud-Lösung. Mangelhafte Verwaltung der
On-Premise Ressourcen eines Unternehmens können diese anfälliger für Sicher-
heitsbedrohungen machen.
In Kapitel 2.4 werden die bisher gewonnenen Erkenntnisse zur Cloud und zu On-
Premise Server tabellarisch gegenübergestellt.

Ist das Rechnungswesen in der Cloud objektiv und subjektiv betrachtet sicherer als das Rechnungswesen auf On-
Premise Servern?

9
2.4 Vergleich zwischen Cloud und On-Premise Server

CLOUD ON-PREMISE SERVER

Die Ressourcen sind selbst zu installieren


Schnelle und einfache Bereitstellung der
Bereitstellung und bereit zu stellen, damit ein Service zur
Ressourcen
Verfügung gestellt werden kann

Wesentliche Investitionen in
Investitionen Keine Vorinvestitionen in Hardware
z.B. Hardware

Bedarf an Mitarbeitende oder externe Berater


Unternehmens- Kunden erhalten professionelle mit dem nötigen Know-how, um den
sicherheit Sicherheitsservices komplexen Sicherheitsthemen gerecht zu
werden

Zuständigkeit für die


Wird vom CSP angeboten Komplett in der eigenen Hand
Sicherheit

Viele Provider können den Anforderungen Oft wird zusätzliche Hard- und/ oder
Mobile Benutzung
gerecht werden Software benötigt, um diese bereitzustellen

Um Skalieren zu können, bedarf es die


Zusätzliche Ressourcen können flexibel
Skalierung Reservierung bestehender Ressourcen oder
zugekauft werden
eine zusätzliche Investition in Hardware

Zusätzlich zu den Hard- und Software-


Anhand der Menge der konsumierten
Betriebskosten kommen die Administrationskosten und
Computerressourcen
solche für das Personal hinzu

Kein Bedarf nach externen Leitungen, aber


Eine stabile, redundante Leitung zum CSP
Bandbreite dennoch benötigt man ein stabiles Netzwerk
mit genügend Bandbreite ist unabdingbar
innerhalb der Organisation

Umfangreiche Administration zur


Minimale tägliche Administration. Einmal
Überwachung und Verwaltung der Server,
eingestellt, werden grundsätzliche
Administration regelmässige Durchführung von Updates. Die
administrative Routinearbeiten durch den
Tools für die Administration sind selbständig
CSP durchgeführt
zu installieren und zu unterhalten

Der CSP überwacht und aktualisiert die


Die Gewährleistung der Sicherheit ist
Services und Ressourcen konstant. Die
Generelle Sicherheit Aufgabe des Unternehmens was jedoch in
Gewährleistung der Sicherheit gehört zum
der Regel nicht dessen Kerngeschäft ist
Kerngeschäft des CSPs

Abbildung 3: Vergleich zwischen Cloud und On-Premise Server (tabellarische Gegenüberstellung der gewonnenen
Erkenntnisse aus der Literaturrecherche)

Ist das Rechnungswesen in der Cloud objektiv und subjektiv betrachtet sicherer als das Rechnungswesen auf On-
Premise Servern?

10
3 Das Rechnungswesen in der Cloud
Gemäss Mumm M. (2006) besteht das Rechnungswesen grundlegend aus vier Kern-
bereichen, wobei diese häufig in der Literatur in zwei Gruppen logisch zusammenge-
fasst werden. Das externe Rechnungswesen, die sog. Finanzbuchhaltung (FIBU,
Buchführung und Bilanzierung), ist primär für die Dokumentation der Geschäftsvor-
fälle auf Belegbasis verantwortlich. Sie nimmt eine zentralisierte Stellung innerhalb
des gesamten Unternehmens ein, da sie die gesetzlich geforderten Informationen be-
reitstellt und anhand diesen über die Höhe des Vermögens, des Kapitals sowie des
Unternehmenserfolges Rechenschaft ablegt. Das interne Rechnungswesen, die sog.
Betriebsbuchhaltung (BEBU, internes Rechnungswesen), umfasst die Kernbereiche
Kosten- und Leistungsrechnung, Statistik als auch die Planungsrechnung.

Abbildung 4: Überblick betriebliches Rechnungswesen (Mumm, 2006)

3.1 Pflicht zur Buchführung und Rechnungslegung


Das schweizerische Obligationenrecht sieht mit sieben Artikel (Art. 957 – Art. 963) im
Verhältnis zu beispielsweise IFRS (rund 2'400 Seiten) oder Swiss GAAP FER (rund
240 Seiten) nur wenige Normen der kaufmännischen Buchführung vor. Gemäss
Art. 957 Abs 1 OR unterliegen der Pflicht zur Buchführung und Rechnungslegung alle
Einzelunternehmen und Personengesellschaften, die einen Umsatzerlös von mindes-
tens 500’000 CHF im letzten Geschäftsjahr erzielt haben und müssen diese somit
den Grundsätzen der ordnungsmässigen Buchführung (Art. 957a Abs 2 OR) und
Rechnungslegung (Art. 958c Abs 1 OR) folgen.

Ist das Rechnungswesen in der Cloud objektiv und subjektiv betrachtet sicherer als das Rechnungswesen auf On-
Premise Servern?

11
Bezüglich der Sicherheit des Rechnungswesens in der Cloud ist der Aufbewahrung
von Geschäftsbüchern, welche in Art. 958f des OR geregelt ist, besondere Aufmerk-
samkeit zu schenken. Die Begründung liegt in der Tatsache, dass in Art. 957a Abs 3
des OR die elektronische Form der Buchführung zwar ausdrücklich erlaubt ist, da
jedoch im Cloud-Computing, im Vergleich zur On-Premise Variante, die Daten nicht
länger auf Servern im Besitz des Unternehmens sind, ist die sichere Aufbewahrung
von zentraler Bedeutung.

3.2 Aufbewahrungspflicht
Gemäss Art. 958f OR sind Unternehmen dazu verpflichtet, ihre Geschäftsbücher und
Buchungsbelege sowie Geschäfts- und Revisionsberichte während zehn Jahren auf-
zubewahren. Seit dem 01. Juni 2002 sind zusätzlich, gestützt auf den Art. 958f Abs. 4
des Obligationenrechts, die Bestimmungen der Verordnung über die Führung und
Aufbewahrung der Geschäftsbücher (Verordnung über die Führung und Aufbewah-
rung der Geschäftsbücher; GeBüV) des Schweizerischen Bundesrats einzuhalten. In
dieser wird eingehend auf die Grundsätze der ordnungsmässigen Führung und Auf-
bewahrung der Bücher verwiesen als auch auf die Grundsätze der ordnungsmässi-
gen Datenverarbeitung, sofern die Geschäftsbücher bzw. Buchungsbelege auf elekt-
ronischer oder vergleichbarer Weise geführt bzw. erfasst und aufbewahrt werden, wie
beispielsweise in einer Cloud (Art. 2, Abs. 1 und 2 GeBüV). Das Gesetz definiert des
Weiteren die Anforderungen zur Integrität, also der Echtheit und Unverfälschbarkeit
der Dokumente. Dementsprechend müssen diese so geführt, erfasst und aufbewahrt
werden, dass allfällige Änderungen klar nachvollzogen werden können (Art. 3 Ge-
BüV).
Im dritten Abschnitt der Geschäftsbücherverordnung werden die Grundsätze für die
ordnungsgemässe Aufbewahrung dargelegt. Diese umfassen:
- Eine allgemeine Sorgfaltspflicht, nach welcher die Geschäftsbücher und Bu-
chungsbelege sorgfältig, geordnet und vor schädlichen Einwirkungen ge-
schützt aufzubewahren sind (Art. 5 GeBüV)
- Die Sicherstellung der Verfügbarkeit der archivierten Geschäftsbücher und
Buchungsbelege (Art. 6 GeBüV).
- Die klare Trennung von archivierten und aktuellen Informationen (Art. 7 Ge-
BüV)
- Die systematische Inventarisierung der Informationen sowie deren Schutz vor
unbefugtem Zugriff. Zusätzlich müssen jegliche Zugriffe und Zutritte

Ist das Rechnungswesen in der Cloud objektiv und subjektiv betrachtet sicherer als das Rechnungswesen auf On-
Premise Servern?

12
aufgezeichnet werden und unterliegen diese Aufzeichnungen denselben Auf-
bewahrungspflichten wie die Datenträger selbst (Art. 8 GeBüV).
Die Geschäftsbücherverordnung determiniert im Artikel 9 Absatz 1 als zulässige In-
formationsträger:
- Unveränderbare Informationsträger, namentlich Papier, Bildträger und unver-
änderbare Datenträger
- Veränderbare Informationsträger, wenn:
- technische Verfahren zur Anwendung kommen, welche die Integrität der ge-
speicherten Informationen gewährleistet (z.B. digitale Signaturverfahren)
- der Zeitpunkt der Speicherung der Informationen unverfälschbar nachweisbar
ist (z.B. durch Zeitstempel)
- die zum Zeitpunkt der Speicherung bestehenden weiteren Vorschriften über
den Einsatz der betreffenden technischen Verfahren eingehalten werden, und
- die Abläufe und Verfahren zu deren Einsatz festgelegt und dokumentiert so-
wie die entsprechenden Hilfsinformationen (wie Protokolle und log Files)
ebenfalls aufbewahrt werden.
Per Art. 9 Abs. 2 GeBüV gilt ein Informationsträger als veränderbar, wenn die auf
ihnen gespeicherten Informationen geändert oder gelöscht werden können, ohne
dass die Änderung oder Löschung auf dem Datenträger nachweisbar ist (wie Mag-
netbänder, magnetische oder magnetoptische Disketten, Fest- oder Wechselplatten,
solid State-Speicher).
Schliesslich sind die Informationsträger regelmässig auf ihre Integrität und Lesbarkeit
zu prüfen. Eine Übertragung der Daten (Datenmigration) ist im Sinne von Art. 10 Ge-
BüV möglich.
Somit ist die Aufbewahrung von Rechnungswesen-Daten in der Cloud von Gesetzes
wegen grundsätzlich erlaubt, sofern die Daten sorgfältig aufbewahrt und vor unbefug-
tem Zugriff geschützt werden, während deren Verfügbarkeit langfristig sichergestellt
und deren Integrität gewährleistet ist. Ob die Cloud diesen Anforderungen nach In-
tegrität, Verfügbarkeit und Sicherheit gerecht wird, ist Gegenstand des nächsten Ka-
pitels.

Ist das Rechnungswesen in der Cloud objektiv und subjektiv betrachtet sicherer als das Rechnungswesen auf On-
Premise Servern?

13
4 Sicherheit des Rechnungswesens in der Cloud
Verwaltet ein Unternehmen seine Daten auf On-Premise Servern, werden Daten ge-
mäss Subashini A., & Kavitha V. (2011) innerhalb ihrer Organisation gespeichert und
stehen vollständig unter der Kontrolle des Unternehmens. Beim Cloud-Computing
werden die Daten ausserhalb des Unternehmensbereichs gespeichert, wobei die Si-
cherheit der Informationen weiterhin vom Unternehmen zu gewährleisten sind. Das
Rechnungswesen beinhaltet sensible Daten, die besonders schützenswert sind und
deren Verlust für ein Unternehmen mit wirtschaftlichem und rechtlichem Schaden ver-
bunden sein kann. Dies gilt nicht nur für die personenbezogenen, sondern für sämtli-
che Daten, bei denen es auf Vertraulichkeit und Integrität ankommt. Im nachfolgen-
den Kapitel wird die Sicherheit des Rechnungswesens in der Cloud anhand des CIA-
Triades analysiert. Vertraulichkeit, Integrität und Verfügbarkeit sind gemäss Ravi
Kumar P. et al. (2018) die drei wichtigsten Eigenschaften der Datensicherheit und
werden als CIA-Triade bezeichnet. Vertraulichkeit bezieht sich auf den Datenschutz,
dass Daten des Unternehmens nicht an unbefugte Dritte weitergegeben werden. Die
Integrität von Daten stützt sich auf die Gewissheit, dass die in der Cloud gespeicher-
ten Daten nicht von Unbefugten manipuliert werden. Die Verfügbarkeit beruht auf der
Sicherstellung, dass dem CSC seine Daten, wann immer er diese benötigt, ohne Ver-
zögerung oder Zugriffsverweigerung zur Verfügung stehen.

4.1 Datenschutz
Unter Datenschutz wird gemäss Hanschke I. (2019, S.2) «…der Schutz von perso-
nenbezogenen Daten vor missbräuchlicher Verwendung und Datenverarbeitung ver-
standen…». In Bezug auf das Rechnungswesen sind personenbezogene Daten in
erster Linie die Mitarbeiterdaten, die in der Lohnbuchhaltung zu finden sind oder Per-
sonendaten der Kunden und Lieferanten in der Debitoren- und Kreditorenbuchhal-
tung. Im Bereich Datenschutz tut sich laut dem Eidgenössischen Datenschutz- und
Öffentlichkeitsbeauftragten EDÖB (2018) in der Schweiz einiges. Während in der Eu-
ropäischen Union (EU) die neue Datenschutz-Grundverordnung (DSGVO) bereits seit
25. Mai 2018 in Kraft ist, arbeitet der Bund derzeit daran, den zweiten Teil des total-
revidierten Datenschutzgesetzes (E-DSG) einzuführen.

Ist das Rechnungswesen in der Cloud objektiv und subjektiv betrachtet sicherer als das Rechnungswesen auf On-
Premise Servern?

14
Abbildung 5: Entwicklung Datenschutzgesetz innerhalb der Schweiz (PricewaterhouseCoopers, 2019)

In Bezug auf die Cloud ändert sich grundlegend nichts am Datenschutzgesetz (DSG).
Es sind jedoch laut dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftrag-
ten EDÖB (2019) einige zusätzliche Cloud-spezifische Eigenschaften zu berücksich-
tigen. Gemäss Art. 10a DSG, kann die Berechtigung zur Bearbeitung von personen-
bezogenen Daten auf den CSP übertragen werden, sofern die Daten so bearbeitet
werden, wie der CSC dies tun würde. Der CSC trägt schlussendlich die alleinige Ver-
antwortung über die Sicherstellung der Einhaltung des Datenschutzes. So hat dieser
dafür Sorge zu tragen, dass die schützenswerten Daten, mittels technischer und or-
ganisatorischer Massnahmen, gegen unbefugten Zugriff und Veränderung geschützt
werden. Je schützenswerter die Informationen sind, desto eher ist von einer Ausla-
gerung der Daten in die Cloud, insbesondere eine Öffentliche Cloud, abzusehen.
Das DSG regelt nicht, wie eine juristische Person die eigenen Finanzdaten schützen
muss, sofern sie nicht selbst fremde Daten erhebt oder bearbeitet. Im Bereich des
Rechnungswesens sind es die Mitarbeiter-, Lieferanten- und Kundendaten, welche
im Rahmen von Finanzdaten einer juristischen Person gemäss DSG schützenswert
sind. Wird der Datenschutz verletzt, drohen dem Unternehmen gemäss Vehlow M., &
Golkowsky C. (2010) Sanktionen, Bussgelder und nachhaltige Reputationsschäden.
Subashini A., & Kavitha V. (2011) warnen bezüglich Datenschutz zusätzlich vor phy-
sischen Restdarstellungen gelöschter Daten. Nach dem Löschen eines Speicherme-
diums können Eigenschaften vorliegen, die eine Rekonstruktion der Daten ermögli-
chen. Dieses Risiko besteht im Cloud-Computing jedoch im gleichen Masse wie bei
On-Premise Servern.

Ist das Rechnungswesen in der Cloud objektiv und subjektiv betrachtet sicherer als das Rechnungswesen auf On-
Premise Servern?

15
4.2 Integrität von Daten in der Cloud
Sicherheitslücken beim CSP, System- und Netzwerkausfälle können zur Folge ha-
ben, dass Daten für unberechtigte Personen zugänglich werden. Rechnungslegungs-
relevante Daten weisen ein erhöhtes Risiko durch unberechtigte Einsichtnahme oder
Verfälschung durch Dritte auf, welches zu minimieren ist. In Bezug auf Personen,
welche auf Daten zugreifen, sind gemäss Ravi Kumar P. et al. (2018) die Authentifi-
zierung, Autorisierung und Nicht-Widerlegung signifikante Indikatoren der Sicherheit.
Die Authentifikation stellt sicher, dass eine Person auf ihre eigenen Daten zugreifen
kann. Bei der Autorisierung wird geprüft, ob eine Person berechtigt ist, Daten zu lesen
oder zu bearbeiten und die Nicht-Widerlegung versichert, dass eine authentifizierte
Person nach der Ausführung einer Aktion diese nicht negieren kann. Gemäss Knodel
O. (2018) ist die Gewährleistung der Zugriffsicherheit die grösste Herausforderung
des Cloud-Computings. Der Hauptgrund liegt in der Tatsache, dass die Daten auf
einem externen Rechenzentrum gespeichert werden, auf welches, je nach Bereitstel-
lungsmodell, eine unterschiedliche Anzahl von Nutzern Zugriff haben. Durch Virtuali-
sierung wird ermöglicht, in der Cloud mehrere voneinander isolierte Umgebungen auf
einem gemeinsam genutzten Server zu bilden. Die Virtualisierung ist unter anderem
für die Nutzerverwaltung verantwortlich und gewährleistet weitgehend die Abschot-
tung der Daten von fremden Nutzern. Eine Art der Visualisierung kann gemäss Link
V. (2018) durch virtuelle Maschinen (VMs) oder Container erreicht werden. Durch
Verschlüsselung besteht die Möglichkeit, die Daten in der Cloud weitreichender vor
fremden Zugriff zu schützen. Besonders sensible Daten können darüber hinaus mit-
tels Anonymisierung durch Zusatzhardware geschützt werden. In seiner Dissertation
stellt Knodel O. (2018) den Einsatz von FPGAs (Field Programmable Gate Arrays)
als Hardwarekomponente zur zusätzlichen Verschlüsselung und Anonymisierung vor,
mit welcher Daten komplett verschlüsselt werden können und lediglich für die Nutzer
lesbar sind. Das System ist gemäss seinen Erkenntnissen vollständig gegen Softwa-
renangriffe abgesichert und nur noch für Angriffe auf die Hardware anfällig. FPGAs
wurden 2010 erstmals in der Cloud zur Erhöhung der Integrität verwendet. Die tech-
nologischen Möglichkeiten zum Schutz der Daten vor unberechtigten Zugriff sind vor-
handen und werden stetig weiterentwickelt. Zusätzlicher Schutz ist jedoch auch im-
mer mit zusätzlichen Kosten verbunden. Hanschke I. (2019) definiert die Integrität
dann als hinreichend, wenn der Aufwand eines Angreifers seinen potenziellen Nutzen
übersteigt und das Unternehmen den Angriff ohne das Erleiden eines inakzeptablen
Schaden übersteht.

Ist das Rechnungswesen in der Cloud objektiv und subjektiv betrachtet sicherer als das Rechnungswesen auf On-
Premise Servern?

16
4.3 Verfügbarkeit der Daten in der Cloud
Daten können durch Diebstahl, Löschung, System- und Netzwerkausfälle oder Nicht-
verfügbarkeit aufgrund von Naturkatastrophen verloren gehen, was zu einem enor-
men rechtlichen Risiko führen kann. Weichert T. (2010, S. 673) beschreibt die Cloud
als »… über Netze, v.a. über das Internet angeschlossene Rechnerlandschaft, in die
die eigene Datenverarbeitung ausgelagert wird…» Die Verfügbarkeit der Cloud ist
somit in einem grossen Masse von der Bandbreite der Netzwerkverbindung abhän-
gig. Da die Vernetzung zwischen CSP und CSC Aufgabe des Telekommunikations-
anbieters ist, wird sie in der vorliegenden Arbeit nicht weiter behandelt.
Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragter EDÖB (2019)
nennt explizit den Verlust von Finanzbuchhaltungsdaten als für das Unternehmen
existenzbedrohliches Risiko und empfiehlt, diese Daten nur zurückhaltend in die
Cloud auszulagern. Gemäss Lanz A. (2014) kann dem Risiko der Nichtverfügbarkeit
eines Rechenzentrums als Single-Point-of-Failure durch die Bereitstellung einer
Standby-Ressource an einem anderen Standort entgegengewirkt werden. Dies ist ein
bewährter, jedoch auch kostspieliger Ansatz. Gerade kleinere Unternehmen verfügen
in der Regel nicht über die finanziellen Ressourcen, mehrere Rechenzentren On-
Premise zu betreiben. Die Cloud gilt daher als mögliche Lösung, ein Notfallsystem
parallel zu betreiben, ohne die vergleichbar hohen Investitionskosten eines zusätzli-
chen Rechenzentrums zu tragen. Die Datenhaltung ausschliesslich in der Cloud und
nur bei einem CSP birgt speziell in der Private-Cloud jedoch ebenfalls das Risiko des
Single-Point-of-Failures. Als Lösungsvorschlag empfiehlt Lenk A. (2014) bei Daten
mit hohen Verfügbarkeitsanforderungen auf CSP-Unabhängigkeit respektive Redun-
danz zu setzen.

Abbildung 6: Cloud Ausfälle 2007-2012 von CSPs (Lenk A. 2014)

Ist das Rechnungswesen in der Cloud objektiv und subjektiv betrachtet sicherer als das Rechnungswesen auf On-
Premise Servern?

17
Zarnekow R. et al. (2018) betonen, dass beim Betrieb und der Nutzung von Clouds
geeignete Management-Strategien notwendig sind, um Risiken wie Datenverlust zu
minimieren. Ein Aspekt davon sind zugesicherte Service Level Agreements (SLAs),
die eine verlässliche Verfügbarkeit und den Leistungsumfang sowie die Haftung bei
Nichterfüllung regeln. Deussen P., Strick L., & Peters J. (2010) empfehlen in jedem
Fall die Prüfung, ob die Herausforderungen eines CSC bezüglich der Sicherheit im
Rahmen von Service Level Agreements (SLAs) hinreichend regelbar sind.

4.4 Vertrauen in die Sicherheit der Cloud


Backhaus N., & Thüring M. (2016) stellen fest, dass Nutzer trotz der Vorteile der
Cloud, der Technologie immer noch skeptisch gegenüberstehen. Cloud-Computing
ist mit einem Kontroll- und Regulierungsverlust des CSCs verbunden und muss durch
dessen Vertrauen in den CSP ausgeglichen werden. Vertrauen quantifiziert sich nach
Definition von Kebbedies J. (2017, S.2) «…im Ergebnis logischer Schlussfolgerungen
und ist Ausdruck zugesicherter Cloud-Sicherheitseigenschaften und geregelter Ver-
haltensformen…». Die Bewertung, ob das Vertrauen in die Cloud gerechtfertigt ist,
erweist sich jedoch als grosse Herausforderung. Er unterbreitet die These, dass spe-
ziell bei Daten mit hohem Schutzbedarf trotz bisheriger Bemühungen kein ausrei-
chendes Vertrauen in die Datenverarbeitung der Cloud besteht. Um Transparenz zwi-
schen CSC und CSP herzustellen, werden in der Praxis entsprechende Policies er-
stellt, welche den Akzeptanzprozess oder die entsprechende Erwartung des CSCs
beschreiben, um die bestehenden Sicherheitsrisiken wirksam durch Massnahmen zu
minimieren oder zu beseitigen.
Etablierte Cloud‐Anbieter haben in der Regel gemäss Bräuninger M., Haucap J.,
Stepping, K., & Stühmeier, T. (2012) einen hohen Sicherheitsstandard, der mindes-
tens demjenigen in einem eigenen Rechenzentrum gleichwertig ist. Sie begründen
ihre These dadurch, dass sie aufgrund ihrer Spezialisierung sowohl über bes-
sere Ressourcen als auch besser geschultes Personal verfügen. Zudem erleiden
CSPs einen erheblichen Reputationsschaden, wenn publik wird, dass sie dem Thema
Sicherheit nicht gewachsen sind. Anderer Auffassung ist Lenk A. (2014), der vom
stetigen Kampf selbst von grossen und zuverlässigen CSPs gegen Notfälle und Aus-
fälle berichtet, die plötzlich ihren Betrieb einstellen müssen. Der Eidgenössische Da-
tenschutz- und Öffentlichkeitsbeauftragter EDÖB (2019) sieht besonders bei Öffent-
lichen Clouds die Gefahr, dass der CSC seine Pflichten hinsichtlich der Gewährleis-
tung der Datensicherheit, Gewährung des Auskunftsrechts oder Berichtigung und

Ist das Rechnungswesen in der Cloud objektiv und subjektiv betrachtet sicherer als das Rechnungswesen auf On-
Premise Servern?

18
Löschung der Daten nicht in gleichem Umfang wie auf On-Premise Servern wahrneh-
men kann. Scheufen M. (2018) legt in seinem Bericht dar, dass die Sicherheitsrisiken
Unternehmen am stärksten von der Cloud abschrecken (siehe Abb. 7). Ein Instrument
zur Förderung des Vertrauens in die Cloud sind neben SLAs gemäss Backhaus N., &
Thüring M. (2016) Cloud Audits, wobei Cloud-Auditoren aufgrund von vordefinierten
Standards (z. B. SAS 70 II, FISMA, ISO 27001) die Sicherheitsmassnahmen und
Leistungsfähigkeit der CSPs prüfen. Wie hoch das Vertrauen von Schweizer Unter-
nehmen in die Sicherheit des Rechnungswesens in der Cloud ist, wird im anschlies-
senden Praxisteil erhoben.

Abbildung 7: Was Unternehmen von der Cloud abschreckt (Scheufen. M. (2018))

5 Fazit und Ausblick


Die Sicherheit der Cloud umfasst eine Vielzahl von Aspekten, welche eine pauschale
Antwort, ob Cloud-Computing sicherer als eine On-Premise Lösung ist, nicht zulässt.
Cloud ist zudem, wie in den Kapitel 2.1 und 2.2 dargelegt wurde, nicht gleich Cloud.
In der Literaturrecherche wurden keine Hinweise gefunden, dass die Art des Ser-
vicemodells (IaaS, PaaS, SaaS) einen erheblichen Einfluss auf die Sicherheit hat. Sie
unterscheiden sich dahingehend, dass der Kontrollverlust bei IaaS am kleinsten und
bei SaaS am grössten ist (Zarnekow, R. et al., 2018). Anders sieht es bei den unter-
schiedlichen Bereitstellungsmodellen aus. Sowohl Haas A., & Hofmann A. (2013), als
auch der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte EDÖB (2019)
und Kebbedies J. (2017) kommen zum Schluss, das Öffentliche Clouds für die Ver-
waltung von besonders schützenswerten Daten nicht geeignet sind. Die Gründe

Ist das Rechnungswesen in der Cloud objektiv und subjektiv betrachtet sicherer als das Rechnungswesen auf On-
Premise Servern?

19
liegen unter anderem in der geringen Einflussnahme des CSP auf den Ort des Ser-
vers, auf welchem seine Daten effektiv gespeichert werden sowie der fehlenden Ex-
klusivität zur Nutzung der Ressourcen.
Die Rechtskonformität des Rechnungswesens in der Cloud unterscheidet sich nach
Obligationenrecht (OR) kaum von On-Premise Servern. Die Buchführung in elektro-
nischer Form ist explizit erlaubt. Aufgrund der Aufbewahrungspflicht ist es jedoch
empfehlenswert, die ihr unterliegenden Dokumente zusätzlich beispielsweise in phy-
sischer Form auszudrucken und aufzubewahren, um das Risiko eines allfälligen Ver-
lustes dieser Dokumente zu reduzieren. Besondere Vorsicht ist bei der Gewährleis-
tung des Datenschutzes des Rechnungswesens in der Cloud geboten. Diese kann
nicht auf den CSP übertragen werden, die Verantwortung und Haftung bleibt allein
beim CSC. Werden Kunden-, Lieferanten- und Mitarbeiternamen jedoch beispiels-
weise durch Nummern ersetzt, kann aus Sicht der Autoren der vorliegenden Arbeit
das Risiko einer Datenschutzverletzung eliminiert werden. Als Schlussfolgerung wird
festgehalten, dass Cloud-Computing die rechtlichen Anforderungen an das Rech-
nungswesen in gleichem Masse erfüllt wie On-Premise Server und die Forschungs-
frage (1) aufgrund der durchgeführten Recherche mit «Ja» beantwortet werden kann.
Ein entscheidender Unterschied zwischen Cloud-Computing und On-Premise Ser-
vern liegt in der Abwälzung von Kontrolle und der Zuständigkeit zur Umsetzung der
Sicherheitsmassnahmen an den CSP. Dies hat einen Kontrollverlust des CSC zur
Folge, er profitiert jedoch von der IT-Expertise und den professionelle Sicherheitsser-
vices des CSPs. Subashini A., & Kavitha V. (2011) warnen vor Sicherheitsbedrohun-
gen aufgrund von mangelhafter Verwaltung der On-Premise Ressourcen. Gerade
kleinere Unternehmen, welche IT-Sicherheit nicht als Kerngeschäft betreiben und die
notwendigen Mittel für IT-Sicherheitsberater nicht aufbringen können oder wollen,
sind in der Cloud vor unerlaubten Zu- und Angriffen gemäss Link V. (2018) tenden-
ziell besser geschützt. Zur Verbesserung der Integrität von Daten in der Cloud exis-
tiert eine Reihe von Schutzmechanismen, wie VMs, Container oder Anonymisierung
durch Zusatzhardware (z.B. FPGAs). Die Verfügbarkeit kann durch das Vermeiden
von Single-Point-of-Failures und SLAs positiv beeinflusst werden. Es existieren nach
Ansicht der Autoren vorliegender Arbeit praktikable Möglichkeiten, die sicherheitsspe-
zifischen Anforderungen an das Rechnungswesen in der Cloud gemäss CIA-Triade
mindestens im gleichen Masse zu erfüllen, wie dies auf On-Premise Servern der Fall
ist. Die Forschungsfrage (2) wird als Fazit ebenfalls mit «Ja» beantwortet. Wichtig
erscheint den Autoren vorliegender Arbeit, an dieser Stelle erneut zu betonen, dass

Ist das Rechnungswesen in der Cloud objektiv und subjektiv betrachtet sicherer als das Rechnungswesen auf On-
Premise Servern?

20
beide Varianten keine hundertprozentige Sicherheit zur Gewährleistung der Geset-
zeskonformität, Datenschutz, Integrität und Verfügbarkeit der Daten garantieren kön-
nen.
In der Liternaturrecherche konnte nicht festgestellt werden, dass Cloud-Computing
mit höheren Sicherheitsrisiken verbunden ist als die Datenverwaltung und Speiche-
rung auf On-Premise Servern. Kebbedies J. (2017) und Backhaus N., & Thüring M.
(2016) stellen hingegen fest, dass speziell bei Daten mit hohem Schutzbedarf trotz
bisheriger Bemühungen kein ausreichendes Vertrauen in Cloud-Computing besteht.
Was ist die Ursache für die Skepsis der Nutzer? Wie ausgeprägt ist das Vertrauen
von Unternehmen gegenüber der Sicherheit des Rechnungswesens in der Cloud
(Forschungsfrage 3)? Diesen Fragestellungen wird sich der anschliessende For-
schungsbericht widmen.

Ist das Rechnungswesen in der Cloud objektiv und subjektiv betrachtet sicherer als das Rechnungswesen auf On-
Premise Servern?

21
6 Literaturverzeichnis
Backhaus, N. & Thüring, M. (2016). Vertrauen in Cloud Computing: Für und Wider
aus Nutzersicht. Technical Report 02-2016. Technische Universität Berlin.
Zugriff am 30.11.2019 unter: https://www.researchgate.net/profile/Nils_Ba
ckhaus/publication/293827139_Vertrauen_in_Cloud_Computing_Fur_und_
Wider_aus_Nutzersicht/links/56bc95d608ae9ca20a4be4f2.pdf

Bräuninger, M., Haucap, J., Stepping, K. & Stühmeier, T. (2012) Cloud Computing als
Instrument für effiziente IT-Lösungen. Hamburg Institute of International Eco-
nomics (HWWI), HWWI policy paper 71, Zugriff am 11.10.2019 unter:
http://hdl.handle.net/10419/64866

Bundesrat der Schweiz. (1992). Bundesgesetz über den Datenschutz- DSG.


www.admin.ch. Bundeskanzlei Bundeshaus. Zugriff am 01.12.2019 unter:
https://www.adminch/opc/de/classified-compilation/19920153/index.html#a10

Carter, D. (2019) CCSP Certified Cloud Security Professional All-in-One Exam Guide
(2. Ausg.), Seite 41-48. Osborne, ISBN-13: 978-1260456929

Deussen, P., Strick, L. & Peters, J. (2010). Cloud-Computing für die öffentliche
Verwaltung. ISPRAT-Studie, November 2010, Fraunhofer Fokus. Zugriff am
01.12.2019unter: https://www.cloud.fraunhofer.de/content/dam/allianzcloud/d
e/documents/ISPRAT_cloud_studievorabversion20101129tcm42176759.pdf

Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter EDÖB. (2019).


Erläuterungen zu Cloud Computing. Schweiz. Zugriff am 16. 10. 2019
unter: https://www.edoeb.admin.ch/edoeb/de/home/datenschutz/Internet_un
d_Computer/cloud-computing/erlaeuterungen-zu-cloud-computing.html

Eidgenössischer Datenschutz- und Öffentlichkeitsbeautragter EDÖB. (2018). Die EU-


Datenschutzgrundverordnung und ihre Auswirkungen auf die Schweiz.
Schweiz: Schweizerische Eidgenossenschaft. Zugriff am 16. 10 2019
uner:https://www.edoeb.admin.ch/dam/edoeb/de/dokumente/2018/Die_EU_
DSGVO_und_ihre_Auswirkungen_auf_die_Schweiz_DE_Nov18.pdf.downloa
d.pdf/Die_EU_DSGVO_und_ihre_Auswirkungen_auf_die_Schweiz_DE_Nov
18.pdf

Exner, A. (2001). Secure Socket Layer (SSL) - Sicherheit im Internet. Studienarbeit.


1. Auflage. GRIN Verlag. ISBN 978-3-640-11412-2

Ist das Rechnungswesen in der Cloud objektiv und subjektiv betrachtet sicherer als das Rechnungswesen auf On-
Premise Servern?

22
Haarmann, H. (2011). Geschichte der Schrift. 4. Auflage. C.H. Beck Verlag.
Beck'sche Reihe. ISBN: 978-3-406-479984

Jaatun, M. G., Zhao, G. & Rong, Ch. (2009) Cloud Computing: First International
Conference CloudCom 2009. Springer Verlag Berlin Heidelberg. ISBN: 978-
3-642-10664-4

Haas, A. & Hofmann, A. (2013). Risiken aus Cloud-Computing-Services: Fragen des


Risikomanagements und Aspekte der Versicherbarkeit. Universität
Hohenheim, Forschungszentrum Innovation und Dienstleistungen. Zugriff am
16.11.2019 unter: http://hdl.handle.net/10419/88163

Hanschke, I. (2019) Informationssicherheit und Datenschutz systematisch und


nachhaltig gestalten: Eine kompakte Einführung in die Praxis. Springer
Fachmedien Wiesbaden. ISBN: 978-3-658-27063-6

Kebbedies, J. (2017). Beschreibung, Verarbeitung und Überprüfung clientseitiger


Policies für vertrauenswürdige Cloud-Anwendungen (Dissertation,
Technischen Universität Dresden, Fakultät Informatik). Zugriff am 19.10.2019
unter: https://nbn-resolving.org/urn:nbn:de:bsz:14-qucosa-232760

Knodel, O. (2018). Rekonfigurierbare Hardwarekomponenten im Kontext von Cloud-


Architekturen (Dissertation, Technische Universität Dresden, Fakultät
Informatik). Zugriff am 12.11.2019 unter: https://nbn-resolving.org/urn:nbn:de:
bsz:14-qucosa-236290

Langer, S. (2013). Sicherheit von passwortbasierten Authentifizierungssystemen.


S. 4. Bachelorarbeit. Diplomica Verlag GmbH Hamburg. ISBN:978-3-9611-
6018-1

Lenk, A. (2014). Cloud Standby - Eine Methode zur Vorhaltung eines Notfallsystems
in der Cloud (Dissertation, Karlsruher Institut für Technologie, KIT-Fakultät für
Wirtschaftswissenschaften). ISBN: 978-3-7315-0557-0

Link, V. (2018). Konzeption und Realisierung einer Cloud-Plattform zur Konfiguration


und dem Deployment von Services (Masterarbeit, Universität Stuttgart, Institut
für Softwaretechnologie). Zugriff am 12.11.2019 unter: http://elib.uni-
stuttgart.de/handle/11682/9842

Ist das Rechnungswesen in der Cloud objektiv und subjektiv betrachtet sicherer als das Rechnungswesen auf On-
Premise Servern?

23
Mailsow, B. (2017). CCSP (ISC) 2 Certified Cloud Security Professional Official Study
Guide. 2. Ausgabe. Sybex Verlag. ISBN-13: 978-1119603375

Meier, K. & Steffen, P. (2014). Anonymisierung und externe Speicherung in Cloud-


Speichersystemen. Albert-Ludwigs-Universität Freiburg. Zugriff am
30.11.2019 unter: https://dl.gi.de/bitstream/handle/20.500.12116/2690/75.pdf
?sequence=1&isAllowed=y

Meinel, C., Willems, C., Roschke S. & Schnjakin, M. (2011). Virtualisierung und Cloud
Computing: Konzepte, Technologiestudie, Marktübersicht. Technische
Berichte Nr. 44. Universität Potsdam. Zugriff am 06.12.2019 unter:
https://publishup.uni-potsdam.de/frontdoor/index/index/docId/4808

Mell, P. & Grance, T. (2011). The NIST Definition of Cloud Computing.


Recommendations of the Institute of Standards and Technology. NIST Special
Publication 800-145. US Department of Commerce, Gaithersburg. Zugriff am
14.10.2019 unter: http://faculty.winthrop.edu/domanm/csci411/Handouts/
NIST.pdf

Mumm, M. (2016). Einführung in das betriebliche Rechnungswesen- Buchführung für


Industrie- und Handelsbetriebe (3. Aufl.). Springer Gabler Verlag, Berlin,
Heidelberg. ISBN: 978-3-662-49810-1

PricewaterhouseCoopers. (kein Datum). Entwicklung Datenschutzgesetz innerhalb


der Schweiz. Schweiz. Zugriff am 16. 10 2019 unter: https://www.pwc.ch/
de/images/image/timeline.png

Ravi Kumar, P. et al. (2018). Exploring Data Security Issues and Solutions in Cloud
Computing. Procedia Computer Science, Volume 125. S. 691-697. Zugriff am
05.11.2019 unter: https://doi.org/10.1016/j.procs.2017.12.089

Reinheimer, S. (2018). Cloud Computing - Die Infrastruktur der Digitalisierung.


Springer Fachmedien Wiesbaden GmbH. Edition HMD. ISBN: 978-3-658-
20966-7

Robinson, N. et al. (2011). Case studies. In the Cloud: Understanding the security,
privacy and trust challenges. R. Corporation, S. 168-85. Santa Monica,
California. Zugriff am 26.10.2019 unter: http://www.jstor.org/stable/10.7249/
tr933ec.12

Ist das Rechnungswesen in der Cloud objektiv und subjektiv betrachtet sicherer als das Rechnungswesen auf On-
Premise Servern?

24
Robinson, N. et al. (2011). Security, privacy and trust challenges inherent to the legal
and regulatory aspects of cloud computing. In the cloud: Understanding the
security, privacy and trust challenges. R. Corporation, S. 41-53. Santa Monica,
California. Zugriff am 26.10.2019 unter: http://www.jstor.org/stable/10.7249/
tr933ec.10

Robinson, N. et al. (2011). Security, privacy and trust challenges stemming from the
technological underpinnings of cloud computing. In the cloud: Understanding
the security, privacy and trust challenges. R. Corporation, S. 28-40. Santa
Monica, California. Zugriff am 26.10.2019 unter: http://www.jstor.org/sta-
ble/10.7249/tr933ec.9

Robinson, N. et al. (2011). Understanding the implications for security, privacy and
trust. In the cloud: Understanding the security, privacy and trust challenges.
R. Corporation, S. 22-27. Santa Monica, California. Zugriff am 26.10.2019 un-
ter: http://www.jstor.org/stable/10.7249/tr933ec.8

Scheufen, M. (2018). Nicht-personenbezogene Daten: Der nächste Schritt zum digi-


talen Binnenmarkt. IW-Kurzbericht 72/2018. IW-Kurzberichte, Institut der
deutschen Wirtschaft (IW). Zugriff am 23.11.2019 unter: https://www.econs-
tor.eu/handle/10419/186235

Subashini, A., & Kavitha, V. (2011). A survey on security issues in service delivery
models of cloud computing. Elsevier - Journal of Network and Computer Ap-
plications, Volume 34(1), S. 1-11. Zugriff am 29.10.2019 unter:
https://doi.org/10.1016/j.jnca.2010.07.006

Springer Fachmedien Wiesbaden. (1988). Gabler Wirtschaftslexikon (12. Auflage),


S. 1173. Springer Gabler Verlag Wiesbaden. ISBN: 978-3-663-13393-3

Umlauf, D. (2004). Authentifizierungsverfahren als Sicherheitsaspekt für Virtuelle Pri-


vate Netzwerke. Diplomica-Verlag GmbH. ISBN: 978-3-656-45974-3

Vehlow, M. & Golkowsky, C. (2010). Cloud Computing - Navigation in der Wolke.


PricewaterhouseCoopers AG. Zugriff am 07.11.2019 unter: https://www.pwc.
de/de/prozessoptimierung/assets/cloudcomputing-studie.pdf

Weichert, T. (2010). Cloud Computing und Datenschutz (14. Auflage). Springer


Fachmedien Wiesbaden GmbH, S. 679. Zugriff am 30.11.2019 unter:
https://doi.org/10.1007/s11623-010-0166-4

Ist das Rechnungswesen in der Cloud objektiv und subjektiv betrachtet sicherer als das Rechnungswesen auf On-
Premise Servern?

25
Wessarges, C. (2019). Erstellung einer Middleware zur Abbildung von
unterschiedlichen Lokalisierungsdatenquellen auf ein einheitliches
Koordinatensystem (Bachelorarbeit, Hochschule für Angewandte
Wissenschaften Hamburg). Zugriff am 06.12.2019 unter: http://edoc.sub.uni-
hamburg.de/haw/volltexte/2019/5202/pdf/thesis.pdf

Zarnekow, R. et al. (2018). Cloud- und Open Source-basierte Integrationsplattformen,


Marktfeld, Geschäftsmodelle und Governancestrukturen aus der Sicht kleiner
und mittelständischer Unternehmen. Band 20. Universitätsverlag der ZU
Berlin. ISBN: 978-3-7983-3047-4

Zoche, P., Kaufmann, S. & Haverkamp, R. (2010). Zivile Sicherheit: Gesellschaftliche


Dimensionen gegenwärtiger Sicherheitspolitiken. Bielefeld: Transcript Verlag.
Zugriff am 26.10.2019 unter: www.jstor.org/stable/j.ctv1fxhfp

Ist das Rechnungswesen in der Cloud objektiv und subjektiv betrachtet sicherer als das Rechnungswesen auf On-
Premise Servern?

26
7 Abbildungsverzeichnis
Abbildung 1: Schematische Darstellung der Cloud-Service-Modelle IaaS,
PaaS und SaaS (Zarnekow R. et. Al., 2018) ............................................................ 6
Abbildung 2: Einordnung der Bereitstellungsmodelle (Bräuninger, Haucap,
Stepping, & Stühmeier, 2012) .................................................................................. 8
Abbildung 3: Vergleich zwischen Cloud und On-Premise Server…………………….10
Abbildung 4: Überblick betriebliches Rechnungswesen (Mumm M., 2006) ............ 11
Abbildung 5: Entwicklung Datenschutzgesetz innerhalb der Schweiz
(PricewaterhouseCoopers, 2019)........................................................................... 15
Abbildung 6: Cloud Ausfälle 2007-2012 von CSPs (Lenk A., 2014) ....................... 17
Abbildung 7: Was Unternehmen von der Cloud abschreckt (Scheufen. M., 2018)…19

Ist das Rechnungswesen in der Cloud objektiv und subjektiv betrachtet sicherer als das Rechnungswesen auf On-
Premise Servern?

27
8 Anhang
8.1 Anhang 1: Cloud Servicemodelle
IaaS
Im Gegensatz zu traditionellen Informatik Servicemodellen, bei welchen die Infra-
struktur selbst betrieben wird und die Verantwortung allein in eigenen Händen bleibt,
wird beim Servicemodell IaaS laut Mailsow B. (2017) die Basisinfrastruktur an einen
Partner übergeben. Zur Basisinfrastruktur gehören vorwiegend die physischen Kom-
ponenten eines Serverraums, respektive eines Rechenzentrums. Dies beinhaltet ein
Raum mit ausreichend Kühlung und Stromversorgung, eine Löschvorrichtung im
Brandfall und einen Perimeter-Schutz, welcher die Anlage vor physischen Zugriffen
schützt. Ein solcher Perimeter-Schutz umfasst beispielsweise einen Zaun um das Ge-
lände, eine Videoüberwachung oder eine Zutrittskontrolle zum Serverraum. Weiter
gehören zur Basisinfrastruktur Server, Datenspeicher und Netzwerkleistungen. Durch
die Nutzung der Cloud mit dem Servicemodell IaaS können gemäss Link V. (2018)
grosse Investitionen in einen Serverraum und in die benötigte Hardware auf den CSP
abgewälzt werden. Er organisiert die Stromversorgung, den Standort und die Anbin-
dung der Cloud. Hingegen geht ein Teil der Kontrolle der physischen Sicherheit, wie
die Zutrittskontrolle zum Serverraum oder die physische Wartung der Server zum
Cloud Service Provider über.
Zwischen den physischen Servern und dem eigentlichen Betriebssystem wird ge-
mäss Carter D. (2019) ein Virtualisierungslayer betrieben. In der Cloud ist dieser Vir-
tualisierungslayer orchestriert, damit komplexe Serviceprozesse automatisiert abge-
handelt werden können. Meistens sind in diesem Virtualisierungslayer ebenfalls Netz-
werkkomponenten und Speicherlösungen integriert, damit der Kunde über eine Web-
oberfläche, ohne das Zutun des CSPs, neue Netze freischalten und zusätzlichen
Speicher aufschalten kann. Dieser Virtualisierungslayer wird ausschliesslich vom
CSP betrieben und ist gleichzeitig die Schnittstelle zum Kunden und der Kundenver-
antwortlichkeit im Servicemodell IaaS. Eine möglicher Virtualisierungslayer sind virtu-
elle Maschinen (VMs). Bei diesen trägt der Kunde die Verantwortung für das Betriebs-
system und alle höheren Ebenen wie Middleware, Datenbanken, Applikationen und
den Daten selbst.

Ist das Rechnungswesen in der Cloud objektiv und subjektiv betrachtet sicherer als das Rechnungswesen auf On-
Premise Servern?

28
PaaS
Beim Servicemodell PaaS werden laut Mailsow B. (2017) nebst den Elementen in
IaaS zusätzliche Services wie die Middleware, also Schnittstellen zu anderen Umge-
bungen, und eine Laufzeitumgebung durch den CSP verwaltet. Die Nutzer dieser
Plattformen benötigen somit kein tiefgehendes Wissen über den Betrieb der Hard-
ware oder die Einrichtung der Middleware. PaaS als Servicemodell eignet sich vor-
wiegend für Entwicklungsumgebungen und Applikationen, welche sich schnell skalie-
ren lassen und die Eigenschaft haben, kurzzeitig und kurzfristig die normale Anzahl
Benutzeranfragen zu überschiessen. Möchte beispielsweise ein CSC seine Buchhal-
tungssoftware weiterhin selbst betreiben, jedoch kommt es bei den jährlichen Ge-
schäftsabschlüssen aufgrund von einer hohen Anzahl Anfragen der Endnutzer zu
Engpässen auf dem Server auf welchem die Buchhaltungssoftware betrieben wird,
so können mit dem PaaS Servicemodell zum Zeitpunkt des Geschäftsabschlusses
zusätzliche Ressourcen bestellt werden. Der CSC zahlt dadurch nur die für diejenigen
Ressourcen, welche er in diesem Zeitfenster zusätzlich bestellt hat und benötigt keine
grossen Investitionen in eine neue Infrastruktur. Die Sicherheit der Daten kann ge-
mäss Link V. (2018) neben VMs durch Container erhöht werden. PaaS bietet im Ge-
gensatz zu IaaS eine Container-Laufzeitumgebung, welche für den Einsatz von Con-
tainer die Grundlage darstellt. Die Vorteile von Container im Gegensatz zu VMs liegen
im minimalen Speicherbedarf, der möglichen Limitierung der Zugriffe und des Um-
fangs der genutzten Ressourcen.

SaaS
Wird die Infrastruktur inklusive der Software und Datenhaltung komplett in der Cloud
betrieben, so spricht Mailsow B. (2017) von einem SaaS Servicemodell. Bei diesem
Servicemodell übernimmt der CSP die volle Kontrolle über die Entwicklung und der
Betrieb der bereitgestellten Software. Anwender integrieren in diese nur noch ihre
Geschäftsprozesse. Die Entwicklung und der Betrieb der Software werden hierbei
vom Anbieter übernommen. Endbenutzer greifen über den Webbrowser auf die An-
wendung in der Cloud zu. Die Kommunikation zur Anwendung in der Cloud wird oft
automatisch mit Zertifikaten über den Webbrowser oder die auf dem Endgerät instal-
lierte Applikation verschlüsselt und für Dritte unlesbar gemacht. Erst im Rechenzent-
rum wird der Datenverkehr wieder entschlüsselt und den definierten Servern für die
Weiterverarbeitung weitergeleitet. Andere Arten von Verschlüsselungstechniken für
die Sicherung der Datenkommunikationen bieten die virtuellen privaten Netzwerke

Ist das Rechnungswesen in der Cloud objektiv und subjektiv betrachtet sicherer als das Rechnungswesen auf On-
Premise Servern?

29
(VPN). Diese werden in der Regel manuell durch den Endbenutzer aufgerufen und
gestartet. Es gibt zwei etablierte VPN-Techniken. Das etwas ältere Verfahren ist In-
ternet Protocol Security (IPSec). IPSec wird oft bei Punkt-zu-Punkt Verbindungen für
eine lange Dauer aufgebaut. Für den Verbindungsaufbau mit IPSec wird oft ein ge-
heimes Passwort, welches beide Parteien wissen müssen, verwendet. Einmal aufge-
baut, ist IPSec sehr stabil. Die etwas neuere Verschlüsselungstechnik ist Secure So-
ckets Layer (SSL) VPN. Die Verschlüsselung mit SSL basiert auf Zertifikaten. Um
eine gesicherte Verbindung herzustellen, bedarf es keinem anderen Schlüsselaus-
tausch. Diese Verschlüsselungsmethode wird oft von Endsystemen verwendet, da
die sichere Kommunikation schnell aufgebaut ist und den Vorteil hat, dass sie auch
durch Firewalls funktioniert.
Als SaaS werden nach Zarnekow R. et al. (2018) auch Buchhaltungssoftwarelösun-
gen angeboten. Das Rechnungswesen in der Cloud stellt somit kein Neuland dar und
existieren etablierte Visualisierungsmethoden, um die Cloud-spezifischen Sicher-
heitsrisiken zu kontrollieren und reduzieren. Der CPC profitiert von minimalen Inves-
titionen im Hinblick auf den IT-Betrieb und keinen anfallenden Entwicklungskosten
der Software.

8.2 Anhang 2: Glossar


Anonymisierung
Gemäss Meier K. & Steffen P. (2014) gelten Daten im Sinne des Datenschutzgeset-
zes dann als anonymisiert, wenn der zu leistende Aufwand, Personen zu identifizie-
ren, unverhältnismässig hoch ist.

Container
Container sind nach Meinel C., Willems C., Roschke S., & Schnjakin M. (2011) von-
einander abgetrennte Laufzeitumgebungen für Anwendungen. Applikationen, die in
einem Container laufen, haben keine Kenntnis von anderen Containern, obwohl sie
sich mit diesen denselben Betriebskern teilen.

Laufzeitumgebung
Lenk A. (2014) beschreibt eine Laufzeitumgebung in Zusammenhang mit Cloud-
Computing als nichts anderes als einen Container, der maschienenlesbare Codes
interpretieren und ausführen kann. Sie werden als Abstraktionsebene genutzt, da sie
eine einheitliche Schnittstelle für beispielsweise VMs bereitstellen.

Ist das Rechnungswesen in der Cloud objektiv und subjektiv betrachtet sicherer als das Rechnungswesen auf On-
Premise Servern?

30
Middleware
Wessarges C. (2019) beschreibt Middleware als Software, die zwischen einem
Betriebssystem und den darauf ausgeführten Anwendungen als versteckte
Übersetzungsebene fungiert. Sie dient dazu, die Kommunikation und
Datenverwaltung von verteilten Anwendungen zu ermöglichen indem sie bereits
existierende Programme zusammenfügt.

Secure Sockets Layer (SSL)


Gemäss Exner A. (2008) in Sicherheit im Internet, ist das Secure Sockets Layer (SSL)
ein im Internet weit verbreitetes Protokoll zur Absicherung übertragener Nachrichten.

Skalieren
Lenk A. (2014) definiert als Skalieren die Möglichkeit, dynamisch zugewiesene
Ressourcen bereitzustellen und auch wieder frei zu geben.

Single-Point-of-Failure
Gemäss Lenk A. (2014) liegt ein Single-Point-of-Failure (SPOF) dann vor, wenn von
Ausfällen einzelner Systembestandteilen die Bedrohung ausgeht, einen Ausfall des
gesamten Systems zu verursachen. Als Massnahme zur Verhinderung von SPOF
werden Daten redundant (mehrfach, ggfs. auch an verschiedenen Orten) gehalten.

Virtualisierungslayer
Meint gemäss Weichert T. (2010) das Betreiben eines virtuellen Computers auf einer
Hardware, wobei eine logische Trennung eines Programms vom Betriebssystem des
genutzten Rechners erfolgt.

Virtuelle Private Netzwerke (VPN)


Das Virtual Private Network (VPN) ermöglicht gemäss der Diplomarbeit von Umlauf
D. (2013) eine verschlüsselte, zielgerichtete Übertragung von Daten über öffentliche
Netze wie das Internet. Es etabliert geschützte und in sich geschlossene Netzwerke
mit verschiedenen Endgeräten.

Ist das Rechnungswesen in der Cloud objektiv und subjektiv betrachtet sicherer als das Rechnungswesen auf On-
Premise Servern?

31
Selbständigkeitserklärung

Hiermit bestätigen wir, dass wir die vorliegende wissenschaftliche Arbeit mit dem Titel

«Ist das Rechnungswesen in der Cloud objektiv und subjektiv betrachtet siche-
rer als das Rechnungswesen auf On-Premise Servern?»

selbständig verfasst und keine anderen als die angegebenen Quellen benutzt wur-
den. Alle Stellen, die wörtlich oder sinngemäss aus Quellen entnommen worden sind,
wurden als solche kenntlich gemacht.

Des Weiteren versichern wir, dass wir bisher noch keine wissenschaftliche Arbeit mit
gleichem oder ähnlichem Inhalt an der Fernfachhochschule Schweiz oder an einer
anderen Hochschule eingereicht haben.

Uns ist bekannt, dass die Fernfachhochschule Schweiz andernfalls auch nachträglich
berechtigt ist, uns den auf Grund dieser Arbeit verliehenen Titel zu entziehen.

Bern, 08.12.2019, N. Bütikofer


___________________________________________________________________
Ort, Datum, Unterschrift