Content uploaded by Nils Backhaus
Author content
All content in this area was uploaded by Nils Backhaus on Feb 11, 2016
Content may be subject to copyright.
Vertrauen in Cloud Computing:
Für und Wider aus Nutzersicht
Nils Backhaus & Manfred Thüring
Technical Report 02-2016
Technische Universität Berlin
Fakultät V Verkehrs- und Maschinensysteme
Institut für Psychologie und Arbeitswissenschaft
Fachgebiet Kognitionspsychologie und Kognitive Ergonomie
Kontakt: nils.backhaus@tu-berlin.de
2
Inhalt
Einleitung .................................................................................................................................. 4
Cloud Computing ...................................................................................................................... 4
Was ist Cloud Computing? ................................................................................................... 5
Akteurskonstellationen in der Cloud ..................................................................................... 5
Service-Ebenen in der Cloud ................................................................................................ 7
Bereitstellungsmodelle in der Cloud ..................................................................................... 7
Gute Aussichten: Motive für die Nutzung der Cloud ................................................................ 8
Perspektive der Unternehmen .......................................................................................... 8
Perspektive der Nutzer ...................................................................................................... 8
Vertrauen .................................................................................................................................. 9
Zwischenmenschliches Vertrauen ........................................................................................ 9
Vertrauen in den Anbieter ................................................................................................... 10
Vertrauen in die Cloud ........................................................................................................ 10
Nutzereigenschaften: Generalisiertes Vertrauen und Systemvertrauen ............................. 10
Fazit zum Vertrauen in die Cloud .................................................................................... 11
Schlechte Aussichten? Vertrauensrelevante Aspekte in der Cloud ....................................... 11
Gefährdungen von Sicherheit und Datenschutz ................................................................. 12
Verfügbarkeit und Zuverlässigkeit ...................................................................................... 13
Neu entstehende Abhängigkeiten ................................................................................... 13
Mangelnde Transparenz ..................................................................................................... 13
Akteurskonstellationen und Serviceebenen .................................................................... 13
Rechtliche Aspekte ......................................................................................................... 13
Nutzung ohne Vertrauen ........................................................................................................ 14
Soziale Einflüsse ................................................................................................................ 14
Fehlendes Wissen und Verständnis ................................................................................... 14
Technische Kontrollsysteme ............................................................................................... 14
Organisatorische Kontrollsysteme ...................................................................................... 15
Fazit und Ausblick .................................................................................................................. 16
Literatur .................................................................................................................................. 18
3
Vertrauen in Cloud Computing: Für
und Wider aus Nutzersicht
Schlüsselwörter: Vertrauen, Cloud Computing. Security, Privacy
Zusammenfassung: Cloud Computing scheint die Lösung vieler Probleme herkömmlicher
Datenverarbeitung zu sein. Nutzer können raumzeitlich flexibel und kostengünstig auf eine
Vielzahl von Rechenleistungen zugreifen. Diesen Vorteilen stehen aber auch negative Aus-
wirkungen gegenüber. Oftmals verlieren Kunden durch die Auslagerung der Daten an Cloud
Service Anbieter die Kontrolle über ihre Datenbestände, d. h. sie wissen nicht wo, wie und
unter welchen Umständen diese gespeichert und verarbeitet werden, bzw. wer darauf zugrei-
fen kann. Der Beitrag fasst die Vor- und Nachteile für Nutzer zusammen und bezieht sich auf
technische Aspekte des Cloud Computing, theoretische Aspekte der Vertrauensforschung
und empirische Ergebnisse der nutzerzentrierten Forschung zur Cloud.
Summary: Cloud computing seems to solve many problems of conventional data pro-
cessing. Due to the increasing flexibility, mobility, and cost savings users can customize their
computing power more efficiently. However, these advantages also face risks. Users are
partially losing their control over their data, i.e. they do not know where, how and under what
circumstances their data is stored and processed, nor who has access to their data. The arti-
cle describes the benefits and risks of cloud services and their impact on the acceptance and
usage on the (end) users. It becomes clear that trust in cloud computing is a key variable that
mitigates risks and can make the use of cloud computing services more effective.
Hinweis: Bei diesem Technical Report handelt es sich um die deutsche Version zum folgen-
den Artikel:
Backhaus, N., & Thüring, M. (2015). Trust in Cloud Computing: Pro and Contra from the Us-
er’s Point of View. i-com, 14(3), 231–243.
4
Einleitung
Im Cloud Computing setzte sich der Begriff der Wolke als Synonym für nahezu endlose und
flexible IT-Ressourcen durch, die bedarfsgenau abgerechnet werden können. Die Idee des
Cloud Computing wird deshalb als eine der Kerninnovationen der Informations- und Kommu-
nikationstechnologie des 21. Jahrhunderts gesehen (Buyya et al. 2009) und ist für viele ein
wichtiger Schritt in Richtung virtueller Unternehmen, flexibler Arbeitsstrukturen und
Informatisierung von Fertigungsprozessen (Industrie 4.0) mit dem Ziel, Rechenleistung aus
der Steckdose zur Verfügung zu stellen (computing as utitlity; vgl. Armbrust et al. 2009;
Buyya et al. 2009). In den letzten Jahren entwickelte sich daher ein regelrechter "Hype" um
den Begriff und die Technologie der Cloud. Sowohl in den Medien als auch in der Wirtschaft
nahm das Interesse an Lösungen aus der Cloud rapide zu und die Umsätze von
Cloudanbietern haben sich vervielfacht (Gartner, 2010; BITKOM, 2013).
Allerdings symbolisiert die Metapher der Wolke auch Undurchsichtigkeit, insbesondere hin-
sichtlich der Akteure und Mechanismen in der Cloud. Die Daten liegen im Verborgenen und
der Nutzer1
Eine Vielzahl empirischer Untersuchungen und Überblicksartikel hat die Akzeptanz und das
Vertrauen in die Cloud aus unternehmerischer Sicht (Business Cloud) thematisiert und die
wirtschaftlichen Vor- und Nachteile beschrieben (z. B. Armbrust et al. 2009; Buyya et al.
2009). Der Fokus dieses Beitrags liegt im Gegensatz dazu auf der Interaktion eines einzel-
nen Nutzers mit einem Cloud Service (Consumer Cloud). In diesem Zusammenhang sollen
psychologische Aspekte des Vertrauens bei der Nutzung der Cloud betont sowie Einfluss-
größen von Vertrauen und Akzeptanz derartiger Services aufgedeckt werden.
kann sie nicht mehr so gut kontrollieren und schützen, wie es vielleicht auf einer
lokalen Festplatte mit physisch-geografischer Bestimmtheit möglich war. Bei dieser einge-
schränkten Sicht auf seine Daten muss er entweder die Kontrollierbarkeit des Anbieters und
seiner Cloud erhöhen oder Anbieter und Cloud Vertrauen entgegenbringen. Nicht zuletzt seit
der Enthüllung einer massiven Überwachung und Ausspähung des nationalen und internati-
onalen Datenverkehrs sinkt aber die Bereitschaft zur Nutzung von Cloud-Lösungen, insbe-
sondere aufgrund von Zweifeln an Sicherheit und Datenschutz. Zudem wachsen durch eine
Serie an Pannen Zweifel an ihrer technischen Zuverlässigkeit (Cachin und Schunter 2011).
Diese Entwicklungen führen dazu, dass das Vertrauen in die Cloud geschwächt ist. Vertrau-
en ist aber ein bedeutsamer Faktor, wenn es darum geht, dass ein Nutzer sich zum Einstieg
in die Cloud entscheidet und die Risiken der Cloudnutzung für sich akzeptiert (Gebauer et al.
2012).
Im Folgenden steht jedoch zunächst die Cloud im Mittelpunkt. Es werden die Komponenten
der Cloud hervorgehoben, die das Vertrauen des Nutzers beeinflussen. Es stellt sich die
Frage, welche Gefährdungen von der Cloud ausgehen können und wie sich diese auf Ver-
trauen auswirken. Empirische Befunde aus der Forschung zu Akzeptanz und Vertrauen in
Cloud Services sollen die Bedeutung des Nutzers für den Erfolg von Cloud Computing auf-
zeigen. Ziel des Beitrags ist es, einen umfassenden Überblick über die nutzerseitige For-
schung in der Cloud zu geben und die Gefahren und Vorteile in Bezug auf die unterschiedli-
chen Akteure, Bereitstellungmodelle und Serviceebenen zu veranschaulichen.
Cloud Computing
Die Cloud umfasst eine Vielzahl von Speicherformen, Serviceebenen, Geschäftsmodellen
sowie Anbieter- und Nutzerprofilen. Cloud Computing zeichnet sich durch virtualisierte Res-
sourcen s. Abb. 1) der Informations- und Kommunikationstechnologie aus, die zu einem be-
stimmten Maß skalierbar und elastisch über das Internet bereitgestellt werden können (La-
bes 2012; Cáceres et al. 2010).
1 Nutzer meint hier den Privatkunden, Endanwender oder Endverbraucher, der als einzelne
Person einen Cloud Service persönlich im privaten oder beruflichen Kontextverwendet.
5
Was ist Cloud Computing?
In der Fachwelt hat sich die Definition des US-amerikanischen NIST (National Institute of
Standards and Technology) durchgesetzt, die fünf essentielle Charakteristika für Cloud
Computing nennt (Mell und Grance 2011):
On-demand self-service (Automatische, bedarfsgerechte Bereitstellung): Kunden können
kurzfristig und ohne Interaktion mit einem menschlichen Ansprechpartner beim Anbieter die
Ressourcen (wie z. B. Netzwerk, Serverleistung, Speicherplatz, etc.) anfordern. Hierfür ste-
hen in der Regel (Web-) Interfaces zur Verfügung.
Broad network access (Umfassender Netzwerkzugang): Der Zugriff auf diese Ressourcen
erfolgt über breitbandige Netzwerkverbindungen (meist Internetverbindungen) und ist mit
einer Vielzahl von Endgeräten möglich.
Resource pooling (Ressourcen-Bündelung): Die Ressourcen stehen in einem Serverpool
zur Verfügung, der jeweils von mehreren Verbrauchern genutzt wird (multi-tenant model).
Die Ressourcen sind physikalisch-räumlich unabhängig, d. h. der Verbraucher kann keinen
Einfluss darauf nehmen, wo sie sich physisch bzw. geographisch befinden.
Rapid elasticity (Schnelle Elastizität): Die Ressourcen können in ihrem Umfang bedarfsge-
recht angepasst werden. Eine solche Skalierung erfolgt in der Regel schnell und automa-
tisch, ohne dass der Nutzer hierfür etwas tun muss. Für ihn erscheinen die Ressourcen des-
halb als unbegrenzt, d.h. sie können in beliebigem Umfang zu jeder Zeit erworben werden.
Measured service (Messbare Nutzung): Die Clouddienstleister kontrollieren und optimieren
ihre Leistung durch Messung der Nutzung. Die damit einhergehende Überwachung, Steue-
rung und Protokollierung schaffen eine Transparenz des Service für Anbieter und Kunden in
Bezug auf Nutzungsumfang und Abrechnung.
Abbildung 1: Integriertes deskriptives Cloud Computing Modell
Akteurskonstellationen in der Cloud
Es zeigt sich, dass Cloud-Lösungen häufig nicht von einem einzelnen Anbieter „als Gesamt-
paket“ angeboten werden, sondern dass sich eine Reihe unterschiedlicher Akteure hinter
einer Lösung verbergen kann (Buyya et al. 2009; Habib et al. 2012; Heininger et al. 2012;
Interface
Cloud Computing
Akteure
physikalische Ressourcen
Serviceebenen Bereitstellungs-
modelle
SaaS
PaaS
IaaS
Public
Private
Hybrid
Endnutzer
Endnutzer Organisation
Broker
Reseller
Entwickler
Skalierbarkeit
Speicher Rechen-
leistung
Netzwerk
Virtualisierung
Vernetzer Community
Outsourced
Managed
6
Walterbusch und Teuteberg 2012). Auf der anderen Seite sind auch bei der Entscheidung,
Cloud Services zu benutzen – je nach Ebene und Einsatzgebiet – unterschiedliche Nutzer-
gruppen und Anwenderperspektiven unterscheidbar. (s. Tab. 1).
Tabelle 1: Unterschiedliche Akteure in der Cloud, modifiziert nach Habib et al. 2012 (S. 4–5)
Akteur
Aufgabe / Vernetzung
Beispiele
Anbieter
(cloud provider)
Hosten / Verwalten der zugrundeliegenden Infrastruk-
tur, Anbieten des Services (IaaS, PaaS, SaaS) an
Broker, Reseller und Verbraucher
Amazon E2C (IaaS),
Google App Engine
(PaaS), Dropbox (SaaS)
Broker
(cloud brokers)
Beratung und Vermittlung von Cloud Services von
Anbietern (ohne Besitz der Infrastruktur), bzw. Ser-
viceergänzung (z. B. Service in Bezug auf
Cloudsicherheit und Identitätsmanagement) an Ver-
braucher
RightScale (IaaS)
Reseller
(cloud reseller)
Bietet Services im Namen eines Anbieters an, z. B.
beim Markteintritt in bestimmten Regionen oder
Ländern, dies sind häufig lokale IT-Beratungsfirmen(-
reseller), für Verbraucher tritt der Reseller häufig als
Anbieter auf.
Pi2 Square (Google),
NeuStar Inc. (IBM)
Verbraucher
(cloud consu-
mer)
• Business to Consumer (B2C) Endverbraucher: Einzelne End-
verbraucher (Bürger, private Personen) bzw. Business to Bu-
siness (B2B) Wirtschaftsorganisationen oder öffentliche Ein-
richtungen
Max Mustermann bzw.
Unternehmen und öf-
fent
liche Einrichtungen
(GT/NGO)
• Cloudbasierte Serviceanbieter: Bieten Services auf Basis der
Cloud des Anbieters für Verbraucher an, gesamtes Busi-
nessmodell liegt in der Cloud.
Animoto, Gaming
Auditors
(cloud auditors)
Unabhängige Bewertung und Zertifizierung der ein-
zelnen an der Bereitstellung beteiligten Akteure (An-
bieter, Broker, Reseller, Auditor, Verntzer), z. B. in
Bezug auf Sicherheit, Zuverlässigkeit und Daten-
schutz
ISO 27001 (International
Organization for Stand-
ardization)
Vernetzer
(cloud carrier)
Sicherstellung der Vernetzung der einzelnen Akteure,
z. B. durch die Bereitstellung von Netzwerk, Tele-
kommunikation,
Telekommunikationsun-
ternehmen (z. B. Tele-
kom)
Auf Anwenderseite lassen sich zwei Akteursbeziehungen trennen. Zum einen können An-
wender Unternehmen sein, die Cloud Services im Sinne von "Business-to-Business" (B2B)
nutzen (Armbrust et al. 2009). Die bereitgestellten Ressourcen werden häufig auch als Busi-
ness Cloud bezeichnet. Für den Privatanwender, also für den Nutzer im privaten Kontext,
erfolgt die Bereitstellung des Cloud Services in Form von "Business-to-Consumer" (B2C).
Entsprechend wird das Cloud-Modell auch Consumer Cloud genannt (Hu et al. 2010).
Nutzer als private Anwender (Consumer Cloud) unterscheiden sich von den komplexen Wirk-
und Entscheidungsgefügen in Organisationen. Sie beschränken sich zumeist auf SaaS-
Lösungen, wie z. B. Cloudspeicherdienste (ownCloud, Dropbox) oder Softwarepakete, die
über den Browser bereitgestellt werden (Hu et al. 2010; Ion et al. 2011). IaaS- oder PaaS-
Lösungen kommen für private Anwender nur in Frage, wenn sie über professionelle IT- und
Programmierkenntnisse verfügen. Ein Sonderfall liegt vor, wenn Unternehmen ihre kunden-
bezogene Informations- und Kommunikationstechnologie in die Cloud verlagern (B2B Modell
7
für Kundenservice) und Kunden indirekt durch die Verarbeitung ihrer Daten in der Cloud be-
troffen sind, dies aber eventuell gar nicht wissen (Chow, 2009).
Service-Ebenen in der Cloud
Das Ausmaß der bereitgestellten Ressourcen eines Cloud Service lässt sich grob in drei
verschiedenen Service-Ebenen beschreiben (Mell und Grace 2011, s. Abb. 1):
Infrastructure as a Service (IaaS): Auf dieser Ebene werden grundlegende Ressourcen,
wie Rechenleistung und Speicher, sowie eine Netzwerkinfrastruktur bereitgestellt. Kunden
stellen sich dabei über einen Cloud Service ihre Infrastruktur nach eigenen Wünschen zu-
sammen, sind für den Betrieb ihrer Software auf dem (virtuellen) Rechner aber selbst ver-
antwortlich. (Beispiel: Amazon Elastic Compute Cloud, EC2).
Platform as a Service (PaaS): Diese Ebene beschreibt die Bereitstellung von Ressourcen
zur Erstellung eigener Applikationen und Software-Produkte, wie z. B. Entwicklungstools,
Programmieroberflächen und Betriebssysteme. Die zugrundeliegende Infrastruktur muss
dabei nicht selbst verwaltet werden. Nutzer dieser Services können sich ganz auf die Ent-
wicklung fokussieren (Beispiel: Google App Engine).
Software as a Service (SaaS): Diese Ebene umfasst die benötigte Umgebung, um eine
Software oder Applikation in der Cloud zu implementieren. Die Infrastruktur dafür wird bereit-
gestellt und die Programme laufen „in der Cloud“. Der Zugriff wird meistens durch Browser
ermöglicht (Beispiel: Microsoft Office 365).
Die drei Service-Ebenen sind hierarchisch aufgebaut. Dies ergibt sich aus der Zunahme des
Service-Umfangs für den Nutzer und damit der Vergrößerung der Verantwortungsbereiche
der Cloudanbieter. Die Ressourcen einer höheren Ebenen schließen automatisch auch die
Ressourcen der unteren Ebenen ein.
Bereitstellungsmodelle in der Cloud
Unabhängig von den Service-Ebenen lassen sich drei grundlegende Bereitstellungsmodelle
(deployment models) unterscheiden (s. Abb. 1).
Public Cloud: Public Clouds machen ihre Infrastruktur mit den Ressourcen öffentlich zu-
gänglich und bieten diese über das Internet an. Provider und Verbraucher gehören in der
Regel unterschiedlichen Organisationen an (Fremdanbieter).
Private Cloud: Die Private Cloud ist die abgeschottete Bereitstellung einer Infrastruktur,
meistens im Rahmen einer bestehenden Organisationsstruktur (z. B. Firmennetzwerk, Intra-
net). Sie ist nur innerhalb dieser Organisationsstruktur zugänglich, wobei drei Formen unter-
schieden werden, die Selbstverwaltung im eigenen Datenzentrum (corporate cloud), die
Fremdverwaltung durch einen Provider im nutzereigenen Datenzentrum (managed cloud)
oder die Fremdverwaltung im Datenzentrum des Providers (outsourced cloud).
Hybrid cloud: Eine hybride Lösungsform für die Bereitstellung von Cloud Computing bein-
haltet die Kombination der beiden vorangegangenen Modelle. So können Anteile eines
Cloud Service über das Internet offen zugänglich sein (public) und andere Anteile nur intern
bereitgestellt werden (private).
Zusammenfassend können die Definition, die Service-Ebenen, Bereitstellungsmodelle und
Akteure in einem allgemeinen, deskriptiven Modell des Cloud Computing dargestellt werden
(s. Abb. 1). Das Modell beinhaltet die essentiellen, definitorischen Elemente (Virtualisierung,
Skalierbarkeit, Geräteunabhängigkeit). Die Ebenen und Bereitstellungsmodelle sind vonei-
nander unabhängig. Abhängigkeiten bestehen lediglich zwischen den Akteuren und den da-
mit verbundenen Anforderungen an die Ebenen und Bereitstellungsmodelle. Im Folgenden
sollen die aus dieser komplexen Vernetzung resultierenden Potentiale und Risiken für Nutzer
in der Cloud dargestellt werden.
8
Gute Aussichten: Motive für die Nutzung der Cloud
Die Vorteile der Cloud können unter den Gesichtspunkten von Kosteneinsparungen und Fle-
xibilität zusammengefasst werden (vgl. Repschläger et al., 2010). Durch die Skalierbarkeit
lassen sich alle denkbaren, benötigten Mengen an Ressourcen für eine bestimmte Zeit zur
Verfügung stellen (flexibles Mietmodell). Es muss entsprechend weder die Infrastruktur
(IaaS), noch die Plattform (PaaS) bzw. die Software gekauft bzw. lizensiert, aufgestellt, gela-
gert oder gewartet werden (Erl, 2013). Die nutzungsabhängige Abrechnung (pay-as-you-go)
der Ressourcen sorgt für eine äußerst kosteneffiziente Ressourcennutzung. Im Zusammen-
hang mit der Auslagerung der Rechnerinfrastruktur werden nicht nur Ressourcen für die IT-
Infrastruktur gespart, sondern auch die mit dem Betrieb verbunden Kosten zur Aufstellung
der Ressourcen (Platzersparnis) sowie Energiekosten (Energieverbrauch).
Unabhängig von der Nutzergruppe entsteht durch die virtualisierten Cloud Systeme eine in-
novative Vielfalt an hoch-individualisierbaren Service-Applikationen (Marston et al. 2011).
Hierbei sind insbesondere mobile Applikationen zu nennen, die kontextbasiert (z. B. über
Sensoren) Daten verarbeiten und Dienste zur Verfügung stellen können (Fernando et al.,
2013). Ressourcenintensive Big Data Analysen werden über die Infrastrukturen für kleinere
Unternehmen und sogar für den einzelnen Nutzer möglich.
Perspektive der Unternehmen
Die Literatur über den potentiellen Nutzen des Cloud Computing hat vermehrt die Perspekti-
ve von Unternehmen eingenommen, die ihre IT-Aktivitäten in die Cloud auslagern
(cloudsourcing, vgl. Armbrust et al. 2009). Demnach profitieren Organisationen und Unter-
nehmen unterschiedlichster Größenordnung von den Vorteilen der Cloud. Die Abnehmer von
Cloud Computing haben geringe bis keine Vorlaufkosten, wie es sonst bei einer Neuanschaf-
fung von IT-Infrastrukturen üblich ist. Im Fall von SaaS kann eine leistungsfähigere, flexiblere
und wartungsfreundlichere Umgebung für Software erzielt werden, die schnellere Software-
Releases fördert (Repschläger et al. 2010).
Anbieter von Cloud Services sind Unternehmen, deren Kerngeschäft häufig nicht die Bereit-
stellung von IT-Infrastruktur beinhaltet. Die Anbieter benötigen für kurzfristige Belastungs-
spitzen immense IT-Ressourcen, die normale Auslastungsrate der gesamten IT-Infrastruktur
liegt in der meisten Zeit jedoch nur zwischen 5 und 20% (Armbrust et al. 2009). Die verblei-
benden, ungenutzten IT-Ressourcen können dann anderen Unternehmen und Nutzern zur
Verfügung gestellt werden. Die Anbieter profitieren dadurch von einer höheren Auslastung
ihrer IT-Ressourcen und können zusätzlich zum Kerngeschäft weitere Einnahmen durch die
Vermietung ihrer Infrastrukturen generieren (Fehling, 2014).
Perspektive der Nutzer
Insbesondere im Rahmen von SaaS können Nutzer Software und Services flexibel auf ihren
Bedarf und ihre Bedürfnisse hin anpassen. Empirische Ergebnisse zeigen, dass der flexible
Zugriff auf diese Services über Netzwerkressourcen auf unterschiedlichen Endgeräten einen
großen Einfluss auf die Entscheidung hat, einen Cloud Service zu nutzen. Je größer die Fle-
xibilität und Mobilität des Zugriffs auf Daten in der Cloud eingeschätzt wird, desto positiver ist
die Einstellung zu den Services und desto größer ist auch die Wahrscheinlichkeit, dass Nut-
zer diese Services nutzen (Bhattacherjee und Park 2014; Park und Ryoo 2013; Park und
Kim 2014). Ein weiterer Anreiz liegt in der Unterstützung der Zusammenarbeit mit anderen
Nutzern und Systemen. Wenn Nutzer die Möglichkeiten des Austauschs von Daten mit ande-
ren in der Cloud positiv bewerten, dann schätzen sie auch den Cloud Service positiver ein
(Park und Ryoo 2013). Das Potential und auch das Vertrauen in die Services ist stark ab-
hängig von der wahrgenommenen Nützlichkeit – wenn Nutzer eine Leistungs- bzw. Effizi-
enzsteigerung und Unterstützung durch die Funktionalitäten des Cloud Service erkennen,
setzen die Systeme entsprechend häufiger und intensiver für ihre Zwecke ein (Backhaus und
Brandenburg 2014; Behrend et al. 2011; Bhattacherjee und Park 2013; Optiz et al. 2012;
Gangwar et al. 2015; Park und Kim 2014; Wu 2011a). Andere Studien berichten einen Zu-
sammenhang zwischen Ease of Use bzw. Usability und der Nutzung von Cloud Services
9
(Behrend et al. 2011; Gangwar et al. 2015; Opitz et al. 2012; Wu 2011): Wenn ein Cloud
Service einfach, schnell und intuitiv zu bedienen ist, so wird er besser bewertet und häufiger
genutzt.
Vertrauen
Ungeachtet der Vorteile der Cloud zeigt sich, dass Nutzer dieser Technologie immer noch
skeptisch gegenüberstehen (Uusitalo et al. 2010; Meske et al. 2014). Sowohl das Vertrauen
als auch die Risikowahrnehmung potentieller Kunden hinsichtlich des Cloud Service und des
Anbieters beeinflussen die Nutzungsbereitschaft (Gebauer et al. 2012).
Aber was heißt eigentlich "Vertrauen" in diesem Zusammenhang? Worauf genau bezieht es
sich bei der Interaktion zwischen Nutzer und Cloud? Zur Beantwortung dieser Fragen muss
zunächst geklärt werden, wodurch Vertrauen im zwischenmenschlichen Bereich charakteri-
siert ist, ehe eine Übertragung auf die Mensch-Technik-Interaktion erfolgen kann, um ver-
trauensspezifische Schwachstellen der Cloud sichtbar zu machen.
Zwischenmenschliches Vertrauen
Unser Alltag ist gekennzeichnet durch unsichere und risikoreiche Interaktionen mit anderen
Personen und Institutionen. Das Verhalten des Interaktionspartners kann nicht sicher vor-
hergesagt werden und es besteht die Möglichkeit, dass er sich zum Nachteil des Vertrau-
ensgebers verhält. Um trotzdem eine Kooperation zu ermöglichen, kann das Verhalten des
Vertrauensgebers auf Vertrauen in den Vertrauensnehmer beruhen. Vertrauen reduziert
dann die Unsicherheit und die Komplexität der Situation (Luhmann 1968) und ermöglicht es,
auch ohne Informationen über das Eintreten zukünftiger Ereignisse zu handeln (Vertrauens-
vorschuss, vgl. James 2002).
Vertrauen wird daher als Verhaltensbereitschaft eines Vertrauensgebers (Trustor) gesehen,
sich durch die Handlungen des Vertrauensnehmers (Trustee) verwundbar und angreifbar zu
machen (Mayer et al. 1995). Diese Bereitschaft basiert auf einer positiven Erwartung bzw.
der subjektiven Überzeugung, dass der Vertrauensnehmer zuverlässig und sozial verträglich
handelt, um seine Verpflichtungen zu erfüllen (Kumar 1995, Zucker 1986, Luhmann 1968).
Der Vertrauensgeber hat keine Möglichkeit der Einflussnahme auf den Vertrauensnehmer
und dessen Verhalten (Whitener et al. 1998). Er begibt sich freiwillig in diese Situation und
der Schaden, der erlitten wird, wenn der Vertrauensnehmer die Verwundbarkeit ausnutzt, ist
größer als der Nutzen aus diesem Verhalten (Dasgupta 1988).
Die Entscheidung, ob Vertrauen in Verhalten umgesetzt wird, hängt vom eingeschätzten Ri-
siko (Größe und Wahrscheinlichkeit der potentiellen Schädigung) sowie der wahrgenomme-
nen Vertrauenswürdigkeit des Vertrauensnehmers ab (Mayer et al. 1995). Bei einem hohen
Risiko bzw. einer geringen Vertrauenswürdigkeit ist die Bereitschaft, sich verwundbar zu ma-
chen deutlich geringer als in Situationen mit einem geringen Risiko und einem Vertrauens-
nehmer von hoher Vertrauenswürdigkeit.
In den meisten Fällen beruht die wahrgenommene Vertrauenswürdigkeit auf offensichtlichen
Attributen des Vertrauensnehmers, die dem Vertrauensgeber aus vergangenen Interaktionen
oder über Dritte bekannt sind. Darunter fallen das Wohlwollen (benevolence), die Integrität
(integrity), sowie die Fähigkeit (ability), das zu leisten, was der Vertrauensgeber erwartet
(Mayer et al. 1995; Mayer und Davis 1999; Jarvenpaa et al. 1998, s. Abb. 2). Das wahrge-
nommene Wohlwollen umfasst, ob das Verhalten des Vertrauensnehmers allein an den ei-
genen Interessen oder auch an den Interessen des Vertrauensgebers orientiert ist. Die
wahrgenommene Integrität beschreibt, inwieweit sich das Verhalten des Vertrauensnehmers
an Werten und Normen orientiert, die der Vertrauensgeber für gut und richtig erachtet. Die
wahrgenommene Fähigkeit, erwartete Leistungen zu erbringen, repräsentiert die Einschät-
zung des Vertrauensgebers, in welchem Umfang der Vertrauensnehmer über Kompetenzen
verfügt, die für diese Leistungen nötig sind.
10
In vielen Situationen beobachten wir Verhaltensweisen, die vordergründig auf Vertrauen und
einer Einschätzung von Vertrauenswürdigkeit beruhen, tatsächlich aber anderen Regeln fol-
gen. Wenn sich Vertrauensgeber des Risikos nicht bewusst sind bzw. es falsch einschätzen,
dann agieren sie nicht auf Basis von Vertrauen, sondern auf Basis ihrer Unwissenheit. Sie
schätzen die Vertrauenswürdigkeit des Anbieters und die sich daraus ergebende Schädi-
gung falsch ein. Wenn eine Situation aufgrund von Kontrollmechanismen die Unsicherheit
und das Risiko für den Vertrauensgeber reduziert (z. B. durch einen Vertrag), dann ist Ver-
trauen nicht mehr notwendig, da eine vollständige situative Kontrolle gegeben ist.
Vertrauen in den Anbieter
Das zwischenmenschliche Vertrauen lässt sich auch auf die Beziehung zwischen Anbietern
und Kunden übertragen (Söllner et al. 2011). Nutzer können die Anbieter der Cloud nicht
vollständig überwachen bzw. kontrollieren, da ihnen dazu weder das technische Wissen,
noch die entsprechende Zeit zur Verfügung steht (Buch et al. 2014). Nutzer begeben sich
dadurch in riskante Abhängigkeitsverhältnisse und erhöhen durch die Nutzung der Cloud ihre
Verwundbarkeit durch die Anbieter (Simpson 2014). Hinzukommt, dass die Anbieter durch
den Vertrieb der Systeme in den meisten Fällen wirtschaftliche Ziele verfolgen. Das beein-
flusst die Wahrnehmung von Wohlwollen und Integrität (wahrgenommene Vertrauenswürdig-
keit, s. 4.1). Der Vertrauensbegriff muss leicht modifiziert werden: Nutzer vertrauen einem
Cloudanbieter, wenn sie diesen als verlässlich, d. h. als vertrauenswürdig einschätzen und
dabei das Risiko in der Nutzung für überschaubar und annehmbar halten (vgl. Buch et al.
2014). Nutzer handeln dabei auf Basis ihrer subjektive Überzeugung, dass der Anbieter bzw.
der Cloud Service sie bei der Zielerreichung unterstützen und ihre Verwundbarkeit nicht aus-
nutzen wird und sich nicht nur an wirtschaftlichen Zielen orientiert (Söllner et al. 2012).
Vertrauen in die Cloud
In Bezug auf die Cloud erscheint der Begriff der wahrgenommenen Vertrauenswürdigkeit als
unpassend, da ein technisches System seinen Nutzern gegenüber kaum wohlwollend oder
integer sein kann. Technologien haben keinen eigenen Willen und keine Motive bzw. Absich-
ten (Beldad et al. 2010; Friedman et al. 2000; Lee & See 2004). Die Forschung zum Vertrau-
en in Automation (Lee & See 2004) schlägt hierfür andere Dimensionen vor, die die Vertrau-
enswürdigkeit von Technologien beschreiben können (vgl. Söllner et al. 2012; Lee & See
2004, vgl. Abb. 2), Transparenz (Process), Performanz (Performance), und Zweckklarheit
(Purpose). Die Transparenz eines Systems beschreibt, inwieweit der Nutzer verstehen kann
welche Strukturen und Prozesse an der Funktionsweise des Systems beteiligt sind und wie
diese interagieren (ähnlich zum Integritätskonzept). Die Performanz des Systems sagt aus,
inwieweit ein Nutzer sich durch das System bei der Zielerreichung unterstützt fühlt und wie
leistungsfähig das System dabei ist (ähnlich zu Fähigkeiten / Kompetenz). Darunter fallen
Aspekte wie Zuverlässigkeit und Vorhersagbarkeit des Systems. Zweckklarheit umfasst den
Grund für die Entwicklung des Systems (ähnlich zum Wohlwollen). Hierunter verbirgt sich, ob
dem Nutzer des Systems der Zweck und die Intention des Systementwicklers klar werden.
Im Fall der Cloud sind insbesondere die Performanz und die Transparenz von großer Bedeu-
tung. Performanz befasst sich mit der Ausfallsicherheit der Cloud und der Zuverlässigkeit der
zugrundeliegenden Infrastruktur. Transparenz steht im Kontext der Cloud für die Nachvoll-
ziehbarkeit und das Verständnis der technischen und organisationalen Prozesse, die hinter
dem Service stehen.
Nutzereigenschaften: Generalisiertes Vertrauen und Systemvertrauen
Vertrauen als Verhaltensbereitschaft ist einerseits eine situationsabhängige und dynamische
Einflussgröße, andererseits zeigt sich Vertrauen auf Seiten des Nutzers auch als Persönlich-
keitseigenschaft (Schulz et al. 2009). Man unterscheidet deshalb zwischen spezifischem
Vertrauen und generalisiertem Vertrauen (vgl. Mayer et al. 1995; McKnight und Chervany
2002). Das generalisierte Vertrauen wird u. a. durch die eigene Kultur und persönliche Erfah-
rungen beeinflusst), so dass sich Personen darin unterscheiden, in welchem Maße sie ande-
11
ren Personen oder Dingen Vertrauen entgegenbringen (Cheung und Lee 2006). Zusammen
mit weiteren kontextuellen Faktoren beeinflusst das generalisierte Vertrauen das spezifische
Vertrauen in einer konkreten Situation, in der sich Vertrauen zeigen kann (s. Abb. 2). Ob
Personen der Cloud vertrauen hängt also auch von persönlichen Erfahrungen und dem ge-
neralisierten Vertrauen ab.
Ein weiterer Aspekt ist das Systemvertrauen, welches zwischen dem generalisierten Ver-
trauen als Disposition und dem kontextspezifischem Vertrauen anzusiedeln ist (vgl. Schulz et
al. 2009). Systemvertrauen umschreibt das Vertrauen in Systeme, die situationsübergreifend
bedeutsam sind. Im Fall der Cloud ist das Internet ein entsprechendes System, welches für
die verschiedenen Vertrauenssituationen in der Cloud gleichermaßen von Bedeutung ist.
Beim Vertrauen in einen Cloud Service erfolgt die Bereitstellung in den meisten Fällen über
das Internet. Als Vermittler ist das Internet gleichzeitig auch Gegenstand des Vertrauens (s.
Abb. 2). Das Systemvertrauen in das Internet muss also bei der Betrachtung des Vertrauens
in die Cloud ebenfalls berücksichtigt werden. Viele Nutzer geben an, dass sie der Cloud nicht
vertrauen, da sie generell dem Internet misstrauisch gegenüberstehen (Eggert et al. 2014).
Fazit zum Vertrauen in die Cloud
Das Vertrauen in die Cloud wird also durch eine Reihe von Aspekten beeinflusst, zu denen
die Vertrauenswürdigkeit des Anbieters und der Technologie ebenso zählen wie vertrauens-
relevante Nutzereigenschaften (generalisiertes Vertrauen und Systemvertrauen, s. Abb. 2).
Die Ausprägung des Vertrauens entscheidet darüber, ob und in welchem Ausmaß sich Nut-
zer in die Abhängigkeit der Cloud geben.
Vertrauen ist dabei ein sehr defizitorientiertes Konzept. Ähnlich wie bei der Luft zum Atmen
nehmen wir Vertrauen erst dann wahr, wenn ein Mangel daran besteht (vgl. Baier 1986).
Auch in der Cloud führen eine Reihe von Eigenschaften zu einem Mangel an Vertrauen und
sorgen für Zurückhaltung unter den Nutzern in Bezug auf die Verarbeitung ihrer Daten in der
Cloud.
Abbildung 2: Nutzervertrauen in die Cloud
Schlechte Aussichten? Vertrauensrelevante Aspekte in der Cloud
Im Rahmen der Cloud ergeben sich, insbesondere im Vergleich zur traditionellen lokalen
Datenverarbeitung, neue Problematiken, die das Vertrauen in die Cloud schwächen. Hier
sind Datensicherheit (Fernandes et al. 2014; Hashizume et al. 2013; Takabi et al. 2010), Pri-
vacy (Cavoukian 2008; Pearson 2012; Svantesson & Clark 2010), rechtliche Aspekte und
Compliance (Chaput und Ringwood 2010; Ryan und Falvey 2012) zu nennen. Zudem zeich-
Cloud Anbieter
Cloud Service
Vertrauensgeber
(Trustor)Vertrauensnehmer
(Trustee)
Akteurskonstellationen
Nutzer
Service-
ebene Bereitstel-
lungsmodelle
Internet
Vertrauen
Interface
Integrität
Fähigkeiten
Wohlwollen
Transparenz
Performanz
Zweckklarheit
Wahrgenommene
Vertrauenswürdigkeit
Generalisiertes
Vertrauen
Vertrauen
System-
vertrauen
12
nen sich Cloud Services durch eine große Intransparenz hinsichltich der unterschiedlichen
Service-Ebenen, Bereitstellungsmodelle und Akteurskonstellationen aus (Habib et al. 2012).
Gefährdungen von Sicherheit und Datenschutz
Daten werden beim Cloud Computing nicht mehr lokal gespeichert sondern an einem dem
Nutzer unbekannten Ort bei einem Anbieter abgelegt. Nutzer dieser Services machen sich
dadurch verwundbar, dass der Anbieter auf ihre Daten zugreifen und sie weitergeben kann
(Cavoukian 2008). Nutzer müssen sich darauf verlassen können, dass der Anbieter die Da-
ten vertraulich behandelt, ihre Privatsphäre respektiert und einen ausreichenden Schutz vor
unerlaubten Zugriffen gewährleistet. Die Gefährdung bei der Nutzung der Cloud steigt im
Vergleich zur lokalen Verarbeitung außerdem allein schon durch die Anzahl zusätzlicher
technischer Systeme, die bereitgestellt werden müssen, um den Cloud Service zu implemen-
tieren (Ghosh und Arce 2010). Jedes einzelne Teilsystem des Service hat eigene Sicher-
heitslücken und -risiken, die sich für den kompletten Service aufaddieren. Im Vergleich zu
einer lokal gespeicherten Software steigt für eine mobile Applikation das Risiko eines An-
griffs, z. B. durch die Nutzung der (drahtlosen) Netzwerkverbindung und durch die Server,
auf denen die Applikation gehostet ist. Insbesondere bei Web-Applikationen (SaaS) kommen
Sicherheitslücken der Web Browser zum Tragen, die die Ausspähung von Daten ermögli-
chen (Hashizume et al. 2013).
Auch die Cloud Interfaces sind anfällig für unerlaubte Zugriffe. So haben Clouds diverse In-
terfaces (z. B. zur Bedarfssteuerung der Ressourcen bei IaaS oder Programmieroberflächen
bei PaaS) oder Nutzerinterfaces (z. B. Benutzeroberfläche der SaaS-Applikation). In vielen
Cloud Umgebungen müssen die Kunden sich über Nutzerkonten authentifizieren und einlog-
gen. Auch diese Konten sind häufig Gegenstand von Attacken (Gonzalez et al. 2012).
Für die Synchronisierung und Verarbeitung der Daten ist ein größeres Ausmaß an Daten-
übertragung notwendig, was vielfältige Angriffe ermöglicht (Sniffing, Spoofing, Man-in-the-
Middle-Attacks, Side-Channel-Attacks; vgl. Soares et al. 2014). Dritte können sich beim Zu-
griff der Nutzer einhacken und deren Daten ausspähen. Nutzer müssen sich also auch auf
die Sicherheitsstandards des Anbieters verlassen können und das meist ohne über eine
große Expertise in diesem Bereich zu verfügen (Buch et al. 2014).
Durch die großen, flexiblen Ressourcenpools greifen viele unterschiedliche Nutzer auf die
gleichen physischen Ressourcen zurück. Hier muss sichergestellt werden, dass diese Res-
sourcen nicht von anderen Nutzern entschlüsselt werden können (Cachin und Schunter
2011). Dieses Risiko wird durch die Technik der Deduplikation gesteigert: Zur Minimierung
des Speicherplatzes werden redundante Daten, d. h. identische, von mehreren Nutzern ge-
nutzte Daten, nur einmal gespeichert (Cachin und Schunter 2011).
Sowohl Expertenbefragungen (z. B. Uusitalo et al. 2010), qualitative Nutzerbefragungen (z.
B. Eggert et al. 2014) als auch großangelegte Umfragen (z. B. Meske et al. 2014) zeigen,
dass mangelnde Sicherheit und unzureichender Datenschutz einer der wichtigsten Hinder-
nisgründe bei der Entscheidung über die Nutzung von Cloud Services sind. So beeinflusst
eine wahrgenommene mangelnde Sicherheit die Bereitschaft, einen Cloud Service (SaaS)
aktiv zu nutzen (Backhaus und Brandenburg 2014; Bhattercherjee und Park 2013; Beehrend
et al. 2011; Wu 2011a; Wu 2011b). Nutzer und Nicht-Nutzer von Cloud Services ähneln sich
in der Beurteilung von Privacy und Datensicherheit im Cloud Computing und fürchten den
unautorisierten Zugriff und Datendiebstahl durch Dritte sowie den Datenmissbrauch durch
den Anbieter (Eggert et al. 2014). Park und Kim (2014) finden in einer Umfragestudie, dass
eine schlechte Einschätzung der Sicherheit durch die Nutzer von Cloud Services nicht nur zu
einer negativen Einstellung (Attitude) gegenüber dem Cloud Service und dem Anbieter führt,
sondern auch die Wahrnehmung der Gesamtqualität der Cloud Services (Quality of Service)
drastisch verschlechtert. Weiterhin zeigt sich, dass eine schlechte Bewertung der Sicherheit
durch Nutzer auch deren Einschätzung von Nützlichkeit und Gebrauchstauglichkeit der
Cloud Services negativ beeinflusst (Shin 2014).
13
Verfügbarkeit und Zuverlässigkeit
Für die Vertrauenswürdigkeit eines Service sind seine Verfügbarkeit (availability) und Zuver-
lässigkeit (reliability) ein wichtiger Indikator (vgl. Performanz, 4.2). Der Anbieter muss sicher-
stellen, dass der Service permanent erreichbar ist und die Ressourcen rund um die Uhr zur
Verfügung stehen – trotz geplanter Wartungs- und Reparaturarbeiten oder unvorhergesehe-
ner Vorkommnisse, wie Naturkatastrophen oder Stromausfällen. Empirische Ergebnisse zei-
gen, dass die wahrgenommene Verfügbarkeit und Zuverlässigkeit einen starken Einfluss auf
die Einschätzung der Nützlichkeit und damit die Bereitschaft zur Nutzung eines Cloud Ser-
vice haben (Shin 2014). Ein Drittel aller Nicht-Nutzer von Cloudspeicherdiensten gibt in einer
Umfrage an, dass die Angst vor einem Datenverlust zu groß sei (Meske et al. 2014).
Neu entstehende Abhängigkeiten
Ein eher subtiles Risiko bei der Nutzung der Cloud ist der sogenannte Locked-in-Effekt
(Vendor Lock-In; vgl. Chow 2009). Durch die Nutzung von Cloud-Lösungen entsteht eine
Bindung an den Anbieter. Wenn beispielsweise die Interoperabilität von Software, Betriebs-
system, Hardware und Netzwerk zu anderen Produkten gering ist, wird ein Wechsel zu ei-
nem Konkurrenzprodukt häufig stark erschwert. Durch die hohen Wechselkosten entsteht
eine starke Abhängigkeit vom Anbieter und seinen Produkten. Umfragen zeigen, dass Exper-
ten den Vendor Lock-In-Effekt als ein zentrales Problem auf die mangelnden Standardisie-
rung von Cloudsystemen zurückführen (Uusitalo et al. 2010).
Mangelnde Transparenz
Die Vielfalt der Bereitstellungsmodelle, Service-Ebenen und Akteure führt dazu, dass die
zugrundeliegenden Architekturen und die Struktur des Cloud Service nur schwer durschau-
bar sind. Der Nutzer kann sich kaum ein Bild darüber machen, wer an dem Cloud Service mit
welchen Ressourcen beteiligt ist.
Akteurskonstellationen und Serviceebenen
Ein Cloud Service wird in den seltensten Fällen nur von einem einzelnen Anbieter direkt als
Consumer Cloud zur Verfügung gestellt. In der Regel besteht ein Service aus einer Verket-
tung unterschiedlicher Serviceebenen. So können Anbieter von IaaS, PaaS und SaaS in ei-
ner Dienstleistungskette verschachtelt sein. Der Nutzer interagiert aber nur mit dem Anbieter,
der den Service als das Endprodukt der Dienstleistungskette bereitstellt. Welche Dienste er
(unbeabsichtigt) dabei, aufgrund der Verschachtelung von Serviceebenen und weiteren An-
bietern, noch in Anspruch nimmt, bleibt im Verborgenen.
Diese Undurchsichtigkeit der Akteurskonstellationen kann auf Nutzer beunruhigend wirken.
Wenn diese nicht genau wissen, wer am Service beteiligt ist, sind die genauen Rahmenbe-
dingungen nicht eindeutig und das Risiko der Nutzung ist nur erschwert zu beurteilen. Unter
Umständen sind dabei Akteure im Spiel, die hinsichtlich rechtlicher Anforderungen (s. u.)
nicht den Ansprüchen der Nutzer genügen. So könnten sich hinter einem europäischen
Cloudanbieter und seinem Service beispielsweise Serverarchitekturen verstecken, die geo-
graphisch an einer ganz anderen Stelle verortet sind. Dies kann dazu führen, dass das Ver-
trauen in diesen Service sinkt, wenn die geographische Verortung und die daraus resultie-
renden Sicherheitsaspekte bekannt werden und von Bedeutung sind.
Rechtliche Aspekte
Die geographische Lage der Server, auf denen ein Cloud Service basiert, ist aber auch noch
aus anderen Gründen relevant. Befindet sich der Speichort in einem anderen Land, dann
unterstehen der Anbieter und sein Dienst einer anderen Gerichtsbarkeit. Verfügt ein Anbieter
beispielsweise in mehreren Ländern über Rechenzentren, die die Daten seines bereitgestell-
ten Cloud Service speichern, kann der Nutzer sich nicht sicher sein, welche Rechtsprechung
gilt. Von dieser hängt aber u. a. ab, welche Zugriffsrechte staatliche Organe oder der Anbie-
ter auf die Daten haben und welche Daten inhaltlich strafbar sind. Teilweise haben staatliche
Organe sogar das Recht, die Daten digital (nur die Datei) oder physikalisch (Datei mit Ser-
14
ver) zu beschlagnahmen. Diese rechtlichen Rahmenbedingungen von Cloud Computing sind
bislang nicht geklärt und erzeugen Unsicherheit, da die genauen Konsequenzen einer Nut-
zung bestimmter Services häufig unbekannt sind.
Nutzung ohne Vertrauen
Nicht in allen Fällen der Nutzung kommt Vertrauen in Cloud Services zum Tragen. Manch-
mal haben Nutzer keine Alternative zur Cloud, da sie entweder durch berufliche Vorgaben
oder aber durch den sozialen Einfluss anderer Gruppen (z. B. Familie, Freunde, Kollegen)
"gezwungen" sind, Cloud Services zu nutzen (z. B. Wu 2011a). In vielen Fällen sorgt auch
ein mangelndes Verständnis der Cloud und fehlendes Hintergrundwissen dafür, dass die
Risiken nicht bekannt sind und die Cloud somit "blind" genutzt wird (Eggert et al. 2014). Zu-
dem gibt es die Möglichkeit, dass Kontrollsysteme eingesetzt werden, die das Risiko mini-
mieren und demnach Umgebungen schaffen in denen Vertrauen nicht benötigt wird (Clark
2014). Diese Kontrollsysteme können technischer oder organisationaler Natur sein.
Soziale Einflüsse
In vielen Situationen beobachten wir ein Paradoxon: Personen geben an einem bestimmten
Service nicht zu vertrauen, z. B. weil der Service ihren Datenschutz- und Sicherheitsansprü-
chen nicht gerecht wird, trotzdem nutzen sie aber diesen Service (vgl. Norberg et al. 2007).
Beispielsweise verwenden viele Studierende an deutschen Universitäten Dropbox, weil die-
ser Dienst einer der meistgenutzten und verbreitetesten Dienste in Deutschland (vgl. Meske
et al. 2014) bzw. weltweit ist (vgl. Hunsinger und Corley 2012). Andererseits fällt der Dienst
des Öfteren negativ durch Ausfälle und Datenschutzprobleme auf (Caching und Schunter
2011). Eine genauere Untersuchung von Einflussvariablen auf die Nutzung von Dropbox
zeigte, dass neben der hohen wahrgenommenen Nützlichkeit auch der Einfluss anderer Per-
sonen (z. B. Freunde, Familie, Kollegen) die Nutzung eines Service beeinflusst (Backhaus &
Brandenburg 2014). So nutzen Personen Dropbox häufiger und intensiver, wenn für sie be-
deutsame Personen ihres Umfelds das erwarten oder fordern. Ähnliche Resultate erbringen
Studien zu medialer Präsenz von Cloud Computing, die eine Nutzung ohne Vertrauen wahr-
scheinlicher machen kann (Wu 2011a; Wu 2011b). Irrtümlicherweise glauben viele Anbieter
aber, Vertrauen zeige sich im Verhalten ihrer Nutzer und schließen aus der Nutzung ihrer
Services auf entgegengebrachtes Vertrauen.
Fehlendes Wissen und Verständnis
Die technologischen Aspekte und Infrastrukturen der Cloud sind in ihrer Komplexität für den
Nutzer kaum noch nachvollziehbar. Eggert und Kollegen (2014) konnten in einer soziologi-
schen Interviewstudie zeigen, dass die Nutzer nur ein vages Bild von dem Konzept Cloud
Computing haben. Außerdem berichten die Autoren, dass sich viele Nutzer nicht bewusst
sind, dass sie bereits Cloud Services aktiv, insbesondere zur Kommunikation, nutzen. Daher
sprechen die Autoren von einer "versteckten" Nutzung (hidden use, S. 304). An dieser Stelle
spielt Vertrauen keinerlei Rolle mehr, da die Nutzer sich der Gefährdungen, die hinter der
Nutzung stehen, nicht bewusst sein können. Dieser Problematik kann nur durch die Vermitt-
lung von Wissen auf breiter Ebene begegnet werden, damit Nutzer eine Möglichkeit haben
als mündige Verbraucher Cloud Services anzuwenden, ohne mit blindem Vertrauen oder
Übervertrauen zu handeln (vgl. Lee und See, 2004).
Technische Kontrollsysteme
Die oben genannten Sicherheitslücken führen – wenn sie dem Nutzer bekannt sind – zu ei-
ner Reduktion des Vertrauens in entsprechende Services. Ob dieser Vertrauensverlust so
groß ist, dass er zur Nicht-Nutzung der Cloud führt, ist von der wahrgenommenen Größe des
Risikos abhängig und von dem Ausmaß der Verwundbarkeit durch dieses Risiko. Um Ver-
trauensverluste abzufedern, werden daher häufig Kontrollsysteme eingesetzt, die das Risiko
in der digitalen Austauschbeziehung auf ein Mindestmaß begrenzen.
15
Die Entwicklung technischer Kontrollsysteme befasst sich insbesondere mit Verschlüsse-
lungstechniken (Enkryption), die die Netzwerkverbindungen des Verbrauchers mit der Cloud
gegen Angriffe von Dritten schützen. Hierbei sind verschlüsselte Protokolle von großer Be-
deutung (Soares et al. 2014). Vor Datenverlust schützen regelmäßige Backups. Redundanz,
Diversität und räumliche Trennung der Sicherheitssysteme erhöhen die Robustheit der Da-
tensicherung (Ryan 2013; Huang und Nicol 2013).
Organisatorische Kontrollsysteme
Zum Schutz der Nutzerdaten vor der unrechtmäßigen bzw. unsachgemäßen Nutzung durch
den Anbieter der Services werden häufig Service Level Agreements (SLAs) genutzt. Diese
Vereinbarungen zur Güte einer Dienstleistung umfassen dabei das Ausmaß des Schutzes
der Privatsphäre der Verbraucher des Services. Weitere vertrauensrelevante Aspekte der
Austauschbeziehung, die durch SLAs reguliert werden, sind die Schutzmechanismen des
Anbieters gegen Angriffe, Verantwortlichkeiten für einzelne Teilleistungen, Verfügbarkeit und
Ausfallschutz, Ersatzansprüche bei Datenverlust, etc. (Fernandes et al. 2014; Huang und
Nicol 2013). Im SLA werden zudem rechtsverbindliche Ansprüche bei Nichterfüllung oder
Nichteinhaltung der festgelegten Leistungen festgehalten (Huang und Nicol 2013). Darunter
sind Kennwerte zu verstehen, wie z. B. eine Verfügbarkeitsrate von i. d. R. mehr als 99 %
(Karagiannis 2014; Fernandes 2014). Ein SLA schafft in der Vertragsbeziehung mehr Si-
cherheit und mindert das wahrgenommene Risiko beim Verbraucher. Dabei ist entscheidend,
wie genau und strikt die sicherheitsrelevanten Aspekte definiert sind und wie viel Unsicher-
heit und Restrisiko verbleiben.
Eine weiteres organisatorisches Kontrollsystem bilden Cloud Audits. Als Kontrollinstanz
überprüfen Cloud Auditoren die Services in Bezug auf deren Sicherheitsmaßnahmen und
Leistungsfähigkeit. Im Regelfall ist das Ergebnis einer erfolgreichen Prüfung nach vorgege-
benen Standards (z. B. SAS 70 II, FISMA, ISO 27001, vgl. Habib et al. 2012) die Zertifizie-
rung des Cloud Service. Eine solche Zertifizierung kann durch unterschiedliche, öffentliche
oder private Kontrollorgane vorgenommen werden. Die verliehenen Zertifikate und Prüfsiegel
(z. B. STAR) können als Vertrauenswürdigkeitsmerkmal im Sinne einer hohen sicherheitsre-
levanten Kompetenz aufgrund der erfüllten Sicherheitsstandards angesehen werden (Habib
et al. 2012). Verbraucher sind damit in der Lage, ohne tiefergehende Kontrolle bzw. ohne
eigenes Expertenwissen die Services auf Basis der Zertifizierung zu bewerten. Letztendlich
handelt sich hier aber um eine Verschiebung des Vertrauens – das Vertrauen in den Anbie-
ter wird ersetzt durch das Vertrauen in ein Cloud Audit. Hier steht die Vertrauenswürdigkeit
des Auditors im Vordergrund: Wie kompetent ist er, wie hoch sind seine Anforderungen und
wie gründlich geht er bei der Zertifizierung vor? Die Marktabhängkeit eines Auditors kann
allerdings das Vertrauen in sein Urteil mindern. Außerdem spielt die Erfahrung, Expertise,
Reputation und Herkunft des Auditors eine große Rolle. So wird traditionellen, bekannten
und (ursprünglich) staatlich organisierten Instanzen (z. B. dem TÜV) mehr vertraut als neu-
en, marktabhängigen Instanzen. Interessanterweise zeigen Befunde auch, dass unbekannte
bzw. fiktive Zertifikate ebenfalls eine vertrauenssteigernde Wirkung haben (Bär et al. 2011;
Bär 2014).
Kontrollsysteme, wie Verschlüsselung, Zertifizierung und SLAs mögen das Risiko bei der
Cloud Nutzung minimieren und Nutzern die Akzeptanz der Cloud ermöglichen, sie stoßen
dabei aber auch an ihre Grenzen, da eine hundertprozentige Sicherheit niemals gewährleis-
tet werden kann. Ein Mindestmaß an Vertrauen wird benötigt, damit der Nutzer Restrisiko
der Cloud akzeptiert.
Einige Forscher argumentieren, dass ein Kontrollmechanismus Vertrauen nicht umgeht,
sondern das Vertrauen verlagert (Tan und Thoen 2000). Wird ein Kontrollmechanismus an-
gewendet, um die Risiken der Nutzung der Cloud zu minimieren, dann sind diese Mecha-
nismen nur dann erfolgreich, wenn Nutzer diesen wiederum vertrauen. Das Vertrauen verla-
gert sich dadurch von den Anbietern auf die Kontrolleure des Anbieters. Nutzer müssen den
Verschlüsselungstechnologien, Audits, Zertifizierungen und SLAs entsprechend vertrauen,
sonst sind diese wirkungslos.
16
Auch wenn mittlerweile Kontrollmechanismen weitverbreitet sind, so dass häufig eine Kom-
bination aus Kontrollmechanismen und Vertrauen vorliegt (Tan und Thoen 2000), bleibt ein
Minimum an Vertrauen eine notwendige Voraussetzung für jede informierte Cloudnutzung.
Fazit und Ausblick
Die Entwicklung von Cloud Computing ist bereits weit vorangeschritten. In naher Zukunft
wird die Cloud der Standard der Informationsverarbeitung sein. Gesellschaftliche Entwick-
lungen, wie die Omnipräsenz von Daten (Ubiquitous Computing) und die permanente Kon-
nektivität mit dem Internet gehen damit einher und verändern die Art der Datenverarbeitung
massiv. Positive Argumente für Cloud Services bestehen insbesondere in der ausgeprägten
Flexibilität, der hohen Verfügbarkeit und der wahrgenommenen Nützlichkeit für eine Steige-
rung der Effizienz der Datenverarbeitung des Nutzers. Durch die scheinbar grenzenlosen
Kombinationsmöglichkeiten unterschiedlicher Bereitstellungmodelle, Serviceebenen und Ak-
teure in der Cloud entsteht allerdings eine unüberschaubare Anzahl an Service Architekturen
für die unterschiedlichsten Einsatzbereiche. Genau diese undurchsichtigen Strukturen sind
es, die Nutzer häufig überfordern und durch mangelnde Transparenz herausfordern. Zudem
ergeben sich Sicherheits- und Vertrauensrisiken durch die neu entstehende Abhängigkeit
von einem Konglomerat aus Cloud-Anbietern, Serviceebenen und Bereitstellungsmodellen,
der zum Kontrollverlust über die eigenen Daten beiträgt (Simpson 2014). Zweifel an der
technischen Zuverlässigkeit, mangelnder Datenschutz und Furcht vor Cyberattacken redu-
zieren Vertrauen und führen zur Zurückhaltung bei der Nutzung von Cloud-Systemen. Ver-
trauen wird zudem meist defizitorientiert betrachtet und negative Aspekte werden bei der
Vertrauensentscheidung stärker gewichtet. Allerdings sind sich Nutzer nicht immer im Klaren
darüber, welche Services sie nutzen und neigen manchmal auch zu blindem Vertrauen bzw.
zu Übervertrauen. Vielfach ist die Nutzung auch durch wirtschaftlichen oder sozialen Druck
bedingt und nicht intrinsisch motiviert. Insbesondere für den Umgang mit privaten Daten soll-
te die Ausprägung der Sicherheit des Systems dem Nutzer aber bewusst sein. Aus Sicht der
Anbieter mag ein Übervertrauen in die Cloud geschäftssteigernd sein, aus Sicht der Nutzer
hingegen kann ein Übervertrauen oder blindes Vertrauen mit negativen Konsequenzen ein-
hergehen. Mangelndes Vertrauen hingegen führt zu einer Nicht-Nutzung, hieraus ergeben
sich Nachteile für die Anbieter aber auch für die Nutzer, die von den Vorteilen der Cloud
nicht profitieren wollen bzw. können.
Mangelndes Vertrauen kann im Zweifel durch Kontrollsysteme kompensiert werden. Auch
wenn eine hundertprozentige Ausfall- und Angriffssicherheit der Cloud niemals gegeben sein
kann, so lässt sich doch durch Service Level Agreements und technische Sicherheitsbarrie-
ren die Gefährdung auf ein annehmbares Niveau begrenzen. Sensible Daten sollten auf Ser-
vern an geographischen Orten gespeichert werden, an denen die Rechtslage bekannt ist
bzw. idealerweise der des Nutzers entspricht, solange noch keine grenzübergreifenden
Normen, Richtlinien und Gesetze erlassen worden sind.
Maßnahmen zur Vertrauenssteigerung sollten darauf abzielen, dem Nutzer ein angemesse-
nes Ausmaß an Vertrauen zu ermöglichen (vgl. Abb. 3, Lee und See 2004) und ihn in die
Lage versetzen, die Vertrauenswürdigkeit eines Cloud Service und dessen Anbieterstruktur
adäquat einzuschätzen. Hierfür muss er über ein Minimum an Wissen über die Technologie
aber auch die Informationen über den Anbieter erhalten, um die Vertrauensentscheidung
fällen zu können. Fraglich bleibt, wie mit Wissens- und Informationslücken beim einzelnen
Nutzer umzugehen ist. Können Bestrebungen öffentlicher Bildungseinrichtungen über die
Gefahren und Risiken der Cloud aufklären? Oder sollte der Nutzer zukünftig, ähnlich wie bei
Lebensmitteln, eine Information darüber erhalten, welche Akteure und Unternehmen an dem
von ihm genutzten Service beteiligt sind? Zur Beantwortung dieser Fragen können Checklis-
ten zur systematischen Reflexion Anwender unterstützen (Backhaus & Thüring 2014). Derar-
tige Verfahren diskutieren die Vor- und Nachteile unterschiedlicher Cloud-Lösungen und for-
dern Antworten zu wichtigen Faktoren wie dem Standort des Service oder dessen Daten-
schutz, um die Entscheidung und die Folgen der Migration in die Cloud zu explizieren.
17
Abb. 3: Angemessenes Vertrauen in die Cloud schaffen (modifiziert nach Lee und See 2014,
S. 55)
Unabhängig davon, wie die Antwort auf diese Fragen letzten Endes ausfällt, sollte eine Er-
höhung der Transparenz zu Anbietern und Services für den Nutzer im Fokus stehen.
Transparenz sollte schon bei der Gestaltung von Cloud-Lösungen als vertrauensbildende
Maßnahme berücksichtigt werden. Durch die Integration vertrauensförderlicher Komponen-
ten lässt sich die Akzeptanz von Cloud Services deutlich steigern. Ein standardisiertes Vor-
gehen ist z. B. die Vertrauensunterstützung für sozio-technische Systeme (Söllner et al.
2012), die für die Vertrauensdimensionen Transparenz, Performanz und Zweckklarheit klare
Gestaltungsempfehlungen gibt, z. B. durch das Sichtbarmachen interner Abläufe bei Bewer-
tungssystemen in cloudbasierten Applikationen. Die Anreicherung von Cloud-Lösungen mit
vertrauensförderlichen Elementen kann das Vertrauen und die Intention der Nutzung deutlich
steigern und dadurch gleichzeitig Transparenz schaffen.
Zusammenfassend zeigen die theoretischen Einblicke zur Struktur der Cloud, der Psycholo-
gie des Vertrauens sowie die empirischen Studien aus der Nutzerforschung, dass Vertrauen
eine bedeutsame Variable für die Akzeptanz von Cloud Services ist. Die Sicht auf das Ver-
trauen in die Cloud und den Anbieter kann dabei helfen, Nutzer in ihrem Verhalten besser zu
verstehen und Systeme so zu gestalten, dass Vertrauen nicht unnötig verspielt wird. Der
Beitrag liefert hierfür einen umfassenden Überblick für Forschung und Praxis zur Vertrauens
und Akzeptanzproblematik im Cloud Computing. Die Zusammenhänge zwischen Sicherheits-
und Transparenzproblemen in der Cloud-Infrastruktur sollte neue Forschungsvorhaben an-
stoßen und Praktikern die Möglichkeit bieten, sich umfassend mit Nutzungsbarrieren und
Vertrauensaspekten auseinanderzusetzen um vertrauenswürdige Services zu gestalten.
(Objektive) Vertrauenswürdigkeit
Vertrauen
in die Cloud
Übervertrauen
mangelndes
Vertrauen
18
Literatur
Backhaus, N.; Brandenburg, S.: Unboxing Trust in Cloud Computing. A Survey Study. In:
Advances in Human Factors, Software, and Systems Engineering (Hrsg. B. Amaba;
Dalgetty, B.) Kraków: AHFE, 2014.
Backhaus, N.; Thüring, M.: Über den Wolken: Vertrauen und User Experience in der Cloud.
Mittelstand-Digital 1 (2014) 75-84.
Baier, A.: Trust and Antitrust. Ethics, 96 (1986) 231–260.
Bär, N.: Human-Computer Interaction and Online Users’ Trust: Measurement of Online Us-
ers’ Trust in Websites, its Relationship with User Experience an Security Usability (Dis-
sertation). Technische Universität Chemnitz, 2014.
Bär, N.; Auerswald, R.; Popp, F.; & Weißenborn, C. The Effect of Fictitious and Existing Web
Assurance Seals on Online-Trust. In Proceedings of the Fourth International Confer-
ence on Internet Technologies and Applications. Glyndwr: Glyndwr University, 2011.
Behrend, T. S.; Wiebe, E. N.; London, J. E.; Johnson, E. C.: Cloud computing adoption and
usage in community colleges. Behaviour & Information Technology 30 (2011) 231–240.
Beldad, A.; de Jong, M.; Steehouder, M.: How shall I trust the faceless and the intangible? A
literature review on the antecedents of online trust. Computers in Human Behavior 26
(2010) 857–869.
Bhattacherjee, A.; Park, S. C.: Why end-users move to the cloud: a migration-theoretic anal-
ysis. European Journal of Information Systems 23 (2014) 1–16.
Buch, M.; Gebauer, L.; Hoffmann, H.: Vertrauen in Cloud Computing schaffen - aber wie?
Wirtschaftsinformatik & Management 3 (2014) 68–77.
Burda, D.; Teuteberg, F.: The role of trust and risk perceptions in cloud archiving - Results
from an empirical study. The Journal of High Technology Management Research 25
(2014) 172–187.
Buyya, R.; Yeo, C. S.; Venugopal, S.; Broberg, J.; Brandic, I.: Cloud computing and emerg-
ing IT platforms: Vision, hype, and reality for delivering computing as the 5th utility. Fu-
ture Generation Computer Systems 25 (2009) 599–616.
Cáceres, J.; Vaquero, L. M.; Rodero-Merino, L.; Polo, Á.; Hierro, J. J.: Service Scalability
Over the Cloud. In: Handbook of Cloud Computing (Hrsg. Furht, B. & Escalante, A)
Boston, MA: Springer, 2010.
Cachin, C.; Schunter, M.: A cloud you can trust. IEEE Spectrum 48 (2011) 28–51.
Cavoukian, A.: Privacy in the clouds. Identity in the Information Society 1 (2008) 89–108.
Chow, R.; Golle, P.; Jakobsson, M.; Shi, E.; Staddon, J.; Masuoka, R.; Molina, J.: Controlling
data in the cloud: outsourcing computation without outsourcing control. In: Proceedings
of the 2009 ACM workshop on Cloud computing security, 2009.
Cheung, C. M. K.; & Lee, M. K. O.: Understanding consumer trust in Internet shopping: A
multidisciplinary approach. Journal of the American Society for Information Science
and Technology 57 (2006) 479–492.
Clark, D. (2014). The Role of Trust in Cyberspace. In: Trust, Computing, and Society (Hrsg.
Harper, R. H. R.) New York, NY: Cambridge University Press, 2014.
Clark, D.: The Role of Trust in Cyberspace. In: Trust, Computing, and Society (Hrsg. Harper,
R. H. R.) New York, NY: Cambridge University Press, 2014.
Dasgupta, P.: Trust as a Commodity.” In: Trust: Making and Breaking Cooperative Relations
(Hrsg. Gambetta, D.). New York, NY: Basil Blackwell Ltd., 1988.
19
Eggert, M.; Kerpen, D.; Rüssmann, K.; Häußling, R.: SensorCloud: Sociological Contextual-
ization of an Innovative Cloud Platform. In: Trusted Cloud Computing (Hrsg. Krcmar,
H.; Reussner, R.; Rumpe, R.) Cham: Springer International Publishing, 2014.
Erl, T.: Cloud computing: concepts, technology, & architecture. Upper Saddle River, NJ:
Prentice Hall, 2013.
Fehling, C.; Leymann, F.; Retter, R.; Schupeck, W.; Arbitter, P. (2014). Cloud Computing
Patterns: Fundamentals to Design, Build, and Manage Cloud Applications. Wien:
Springer.
Fernandes, D. A. B.; Soares, L. F. B.; Gomes, J. V.; Freire, M. M.; Inácio, P. R. M.: Security
issues in cloud environments: a survey. International Journal of Information Security
13(2) 113–170.
Fernando, N.; Loke, S. W.; Rahayu, W.: Mobile cloud computing: A survey. Future Genera-
tion Computer Systems, 29 (2013) 84–106.
Friedman, B.; Khan Jr, P. H.; & Howe, D. C.: Trust online. Communications of the ACM
43(2000) 34–40.
Gangwar, H.; Date, H.; Ramaswamy, R.: Understanding determinants of cloud computing
adoption using an integrated TAM-TOE model. Journal of Enterprise Information Ma-
nagement 28 (2015).
Gebauer, L.; Söllner, M.; & Leimeister, J. M.: Hemmnisse bei der Nutzung von Cloud Com-
puting im B2B-Bereich und die Zuordnung dieser zu den verschiedenen Vertrauensbe-
ziehungen. In: ConLife 2012 Academic Conference, Cologne, Germany, 2012.
Ghosh, A.; Arce, I.: In Cloud Computing We Trust – But Should We? Security & Privacy,
IEEE 8 (2010) 14–16.
Gonzalez, N.; Miers, C.; Redígolo, F.; Simplício, M.; Carvalho, T.; Näslund, M.; Pourzandi,
M.: A quantitative analysis of current security concerns and solutions for cloud compu-
ting. Journal of Cloud Computing 1 (2012) 1–18.
Habib, S. M.; Hauke, S.; Ries, S.; & Mühlhäuser, M.: Trust as a facilitator in cloud computing:
a survey. Journal of Cloud Computing 1 (2012) 1–18.
Hashizume, K.; Rosado, D. G.; Fernández-Medina, E.; Fernandez, E. B.: An analysis of se-
curity issues for cloud computing. Journal of Internet Services and Applications 4
(2013) 1–13.
Hashizume, K.; Rosado, D. G.; Fernández-Medina, E.; Fernandez, E. B.: An analysis of se-
curity issues for cloud computing. Journal of Internet Services and Applications 4
(2013) 1–13.
Heininger, R.; Wittges, H.; Krcmar, H.: Literaturrecherche zu IT-Servicemanagement im
Cloud Computing. HMD Praxis der Wirtschaftsinformatik 49 (2012) 15–23.
Hu, W. Yang, T.; & Matthews, J. N.: The good, the bad and the ugly of consumer cloud stor-
age. ACM SIGOPS Operating Systems Review 44 (2010) 110–115.
Huang, J.; Nicol, D. M.: Trust mechanisms for cloud computing. Journal of Cloud Computing:
Advances, Systems and Applications, 2 (2013).
Huang, J.; Nicol, D.: A Formal-Semantics-Based Calculus of Trust. IEEE Internet Computing
14 (2010) 38–46.
Hunsinger, D. S.; Corley, J. K.: An Examination of the Factors Influencing Student Usage of
Dropbox, a File Hosting Service. In: Proceedings of the Conference on Information
Systems Applied Research, 2012.
James Jr, H. S.: The Trust Paradox: A Survey of Economic Inquiries into the Nature of Trust
and Trustworthiness. Journal of Economic Behavior & Organization 47 (2002) 291–
307.
20
Jarvenpaa, S. L.; Knoll, K.; Leidner, D. E.: Is Anybody Out There? Antecedents of Trust in
Global Virtual Teams. Journal of Management Information Systems 14 (1998) 29–64.
Karagiannis, T. (2014). The New Face of the Internet. In: Trust, Computing, and Society
(Hrsg. Harper, R. H. R.) New York, NY: Cambridge University Press, 2014.
Kumar, N.; Scheer, L. K.; Steenkamp J. B.: The Effects of Supplier Fairness on Vulnerable
Resellers. Journal of Marketing Research 32 (1995) 54–65.
Labes, S.: Grundlagen des Cloud Computing-Konzept und Bewertung von Cloud Computing.
Berlin: Universitätsverlag der TU Berlin, 2012.
Lee, J. D.; & See, K. A.: Trust in automation: Designing for appropriate reliance. Human Fac-
tors: The Journal of the Human Factors and Ergonomics Society 46 (2004) 50–80.
Luhmann, N.: Vertrauen: Ein Mechanismus der Reduktion sozialer Komplexität. Stuttgart:
Ferdinand Enke Verlag, 1968.
Maring, M.: Vertrauen - zwischen sozialem Kitt und der Senkung von Transaktionskosten.
Karlsruhe: KIT Scientific Publ., 2010.
Marston, S.; Li, Z.; Bandyopadhyay, S.; Zhang, J.; Ghalsasi, A.: Cloud computing: The busi-
ness perspective. Decision Support Systems 51 (2011) 176–189.
Mayer, R. C.; Davis, J. H.: The Effect of the Performance Appraisal System on Trust for
Management: A Field Quasi-Experiment. Journal of Applied Psychology 84 (1999):
123–136.
Mell, P.; Grance, T.: The NIST definition of cloud computing (Special Publication No. 800-
145). Gaithersburg, MD, 2011.
Meske, C.; Stieglitz, S.; Vogl, R.; Rudolph, D.; Öksüz, A.: Cloud Storage Services in Higher
Education–Results of a Preliminary Study in the Context of the Sync&Share-Project in
Germany. In: Learning and Collaboration Technologies. Designing and Developing
Novel Learning Experiences (Hrsg. Zaphiris, P.; Ioannou, A.) Berlin; Heidelberg:
Springer, 2014.
Moorman, C.; Deshpande, R.; Zaltman, G.: Factors Affecting Trust in Market Research Rela-
tionships. The Journal of Marketing 57 (1993) 81–101.
Norberg, P. A.; Horne, D. R.; Horne, D. A.: The privacy paradox: Personal information disclo-
sure intentions versus behaviors. Journal of Consumer Affairs 41 (2007) 100–126.
Park, S. C.; Ryoo, S. Y.: An empirical investigation of end-users’ switching toward cloud
computing: A two factor theory perspective. Computers in Human Behavior 29 (2013)
160–170.
Pearson, S.: Privacy, Security and Trust in Cloud Computing. In: Privacy and Security for
Cloud Computing (Hrsg. Pearson S.; Yee, G.) Heidelberg: Springer, 2013.
Repschläger, J.; Pannicke, D.; Zarnekow, R.: Cloud Computing: Definitionen, Geschäftsmo-
delle und Entwicklungspotenziale. HMD Praxis der Wirtschaftsinformatik 47 (2010) 6–
15.
Ryan, M. D.: Cloud computing security: The scientific challenge, and a survey of solutions.
Journal of Systems and Software 86 (2013) 2263–2268.
Sasse, M. A.; Kirlappos, I.: Design for Trusted and Trustworthy Services: Why We Must Do
Better. In: Trust, Computing, and Society (Hrsg. Harper, R. H. R.) New York, NY: Cam-
bridge University Press, 2014.
Shin, D.H.: User experience in social commerce: in friends we trust. Behaviour & Information
Technology 32 (2013) 52–67.
Simpson, T. W.: Computing and the Search for Trust. In: Trust, Computing, and Society
(Hrsg. Harper, R. H. R.) New York, NY: Cambridge University Press, 2014.
21
Six, F.; Nooteboom, B.; and Hoogendoorn. A.: Actions That Build Interpersonal Trust: A Re-
lational Signalling Perspective. Review of Social Economy 68 (2010) 285–315.
Soares, L. F. B.; Fernandes, D. A. B.; Gomes, J. V.; Freire, M. M.; Inácio, P. R. M.: Cloud
Security: State of the Art. In: Security, Privacy and Trust in Cloud Systems (Hrsg. Ne-
pal, S.; Pathan, M.) Berlin; Heidelberg: Springer, 2014.
Söllner, M.; Hoffmann, A.; Hoffmann, H.; & Leimeister, J. M.. Vertrauensunterstützung für
sozio-technische ubiquitäre Systeme. Zeitschrift für Betriebswirtschaft 82 (2012) 109–
140.
Svantesson, D.; Clarke, R.: Privacy and consumer risks in cloud computing. Computer Law &
Security Review 26 (2010) 391–397.
Takabi, H.; Joshi, J. B. D.; Ahn, G.-J.: Security and Privacy Challenges in Cloud Computing
Environments. IEEE Security & Privacy Magazine 8 (2010) 24–31.
Tan, Y.-H.; & Thoen, W.: Toward a Generic Model of Trust for Electronic Commerce. Interna-
tional Journal of Electronic Commerce 5 (2000) 61-74.
Tschannen-Moran, M.; Hoy, W. K.: A multidisciplinary analysis of the nature, meaning, and
measurement of trust. Review of Educational Research 70 (2000) 547–593.
Uusitalo, I.; Karppinen, K.; Juhola, A.; Savola, R.: Trust and Cloud Services - An Interview
Study. Presented at the IEEE Second International Conference on Cloud Computing
Technology and Science (CloudCom) Indianapolis, IN: IEEE, 2010.
Walterbusch, M.; Teuteberg, F. Vertrauen im Cloud Computing. HMD Praxis der
Wirtschaftsinformatik 49 (2012) 50–59.
Wu, W.-W.: Developing an explorative model for SaaS adoption. Expert Systems with Appli-
cations 38 (2011a) 15057–15064.
Wu, W.-W.: Mining significant factors affecting the adoption of SaaS using the rough set ap-
proach. Journal of Systems and Software 84 (2011b) 435–441.
Zucker, L. G.: Production of Trust: Institutional Sources of Economic Structure, 1840–1920.
Research in Organizational Behavior 8 (1986) 53–111.
