Die Maschinenstürmer der IT

Noch im vergangenen Jahr variierte der Begriff des „Cloud Computing“ je nach Interessenlage des Analysten, Anbieters oder Verbandes. Gegenwärtig hat sich weitestgehend die Erkenntnis durchgesetzt, dass Hosting, Managed Service Providing (MSP) oder Application Service Providing (ASP) nur sehr wenig mit einer Cloud Infrastruktur gemein haben – weder mit einer Public, noch einer Private Cloud. Grundsätzlich wird ein System wird nicht alleine dadurch mandantenfähig, dass man jedem Mandanten, wie beim Hosting, MSP oder APS, eine eigene Instanz (Kopie) des Systems zuordnet. Berater und Kunden haben verstanden, dass die niedrigeren Kosten bei der Nutzung einer Anwendung aus der Public Cloud ein Resultat der (multi-)mandantenfähigen Architektur im Datacenter des Cloud Service Providers (CSP) sind. Unterschiedliche Kunden bzw. Mandanten nutzen eine Infrastruktur, ohne dass diese gegenseitig Einblick in ihre Daten, Benutzerverwaltung und Ähnliches haben. Für Cloud Service Provider (CSP) ist dieser Umstand Fluch und Segen zugleich. Wenn eine gemeinsam genutzte Infrastruktur versagt, können davon eine Vielzahl von Kunden betroffen sein. Daher müssen professionelle CSPs sehr große Investitionen aufbringen, um über mehrfach redundante System den Service ausfallsicher anbieten zu können. Das wiederum kann nur dann wirtschaftlich betrieben und genutzt werden, wenn der CSP in der Lage ist, eine sehr große Zahl von Kunden in seiner Datacenter Landschaft zu gewinnen. Dabei sind die Anfangsinvestitionen für den CSP enorm. Wir sprechen von Beträgen, die häufig nur von internationalen Anbietern wie Google, Microsoft oder IBM aufgebracht werden können.

Die Industrialisierung der IT

Mit dem Cloud Computing entstehen also Skaleneffekte, durch die der Kunde in Form von geringen Kosten und einer höheren Datensicherheit profitiert. Aber wie stellt sich der Effizienzgewinn im Vergleich zu Infrstructure-as-a-Service (IaaS), Platform-as-a-Service (Paas) und Software-as-a-Service (SaaS) dar? Beim Einsatz von IaaS werden nur rudimentäre IT-Ressourcen, wie Rechenleistung, Storage oder Netzwerkkapazitäten zur Verfügung gestellt. Bei PaaS übernimmt der CSP schon mehr Verantwortung. Typische PaaS-Lösungen, wie die Google App Engine oder Microsoft Azure bieten skalierbare Plattformen, um cloudbasierte Anwendungen zu entwickeln und auszuführen. SaaS repräsentiert schließlich die oberste Schicht im Cloud-Modell. Der Provider trägt die Verantwortung von der technischen Infrastruktur bis in die Applikation. Demzufolge entstehen geringere Kosten durch die höhere Standardisierung beim Provider. Für den Nutzer entfallen hingegen Investitionen in kostspielige Hard- und Software und die damit verbundenen Kosten für Updates und Systempflege. Die Frage ist folglich, ob sich die insgesamt effizienteste Cloud-Lösung Saas für alle Anwendungen eignet. Bei der genaueren Betrachtung wird schnell klar, dass sich besonders standardisierte IT-Lösungen, wie Mail & Collaboration oder CRM, für die Nutzung im Saas-Modell eignen. Diese können viel günstiger und zuverlässiger aus der Public Cloud als industrialisierte IT-Services von leistungsstarken Anbietern bezogen werden. Die führenden CSPs verfügen über spezialisierte Teams, die den sicheren und störungsfreien Betrieb des Cloud-Services garantieren.

© Torbz - Fotolia.com

Kleine und mittelständische Unternehmen profitieren von den Großen 

Technischen und organisatorische Datenschutzmaßnahmen der Public Cloud Service Provider müssen sich am Standard orientieren, den auch große Konzerne beim Eigenbetrieb anlegen. Von diesem Sicherheitsstandard profitieren dann auch kleine und mittelständische Unternehmen, die sich mit ihren Daten im gleichen Rechenzentrum befinden wie die Großunternehmen. Durch die bedarfsgerechte Abrechnung bezahlen Mittelständler in dem gleichen Umfang (pro User) wie auch ein Konzern. Für alle Unternehmen werden die Dienste 365 Tage im Jahr rund um die Uhr überwacht und genügen den höchsten Anforderungen an die Betriebssicherheit. Die Gründe für die Notwendigkeit der permanenten Überwachung finden sich unter anderem im Bericht „Die Lage der IT-Sicherheit in Deutschland 2011“, der vom Bundesamt für Sicherheit in der Informationstechnik (BSI) im Mai 2011 veröffentlicht wurde. Darin heißt es, dass sich beispielsweise ein Botnetz mit 10.000 Bot-PCs für rund 200 US-Dollar pro Tag mieten ließe. Betreiber illegaler Botnetze installieren die Bots ohne Wissen der Inhaber auf Computern und nutzen sie für ihre Zwecke. Da Botnetze auch aus mehreren Millionen PCs bestehen können, lässt sich das monetäre Potenzial hinter solchen Internetangriffen nur erahnen. In der aktuellen Prism Diskussion bleibt dieser Aspekt leider allzu oft unberücksichtigt. Zentrale Dienste in der Cloud sind auf Grund der beschriebenen Skalierungseffekte deutlich sicherer und effizienter als der Inhouse-Betrieb oder das Hosting von Single-Tenant-Serverlösungen. Qualifizierte Sicherheitsteams und der Einsatz neuester Technologien gewährleisten maximale Zugangs- und Übertragungssicherheit sowie permanente Verfügbarkeit (i.d.R 99,9%) an allen Standorten. Schon seit 2007 kann Google Apps als Software-as-a-Service (SaaS) von Google bezogen werden. Google ist einer der Pioniere auf dem Gebiet der webbasierten Unternehmensanwendungen. Auch Konzerne, wie der Basler Pharmariese Roche, wechselten bereits mit 90.000 Mitarbeitern zu Google Apps for Business. Die Verantwortung für die Informations-, Standort und Betriebssicherheit übernimmt Google im gleichen Maß, wie für Unternehmen mit nur wenigen Mitarbeitern.

Die Maschinenstürmer der IT

Anhand dieser Aspekte wird deutlich, dass die Minimierung der Kosten für den Kunden bei gleichzeitiger Maximierung der Aufwendungen für die Datensicherheit eine hinreichende Größe des Anbieters voraussetzt.Hieraus begründet sich auch, weshalb vorrangig die großen, internationalen Anbieter wie Google, Microsoft oder IBM Cloud-Leistungen anbieten. Man mag es bedauern, dass wir keinen Anbieter aus Deutschland oder in Europa im Markt haben, der ähnliche Voraussetzungen für einen professionellen Cloud Dienst mitbringt. Umso verständlicher wird die Werbe- oder Kommunikationsstrategie der hiesigen Hoster und Systemhäuser, die Furcht, Ungewissheit und Zweifel befeuert haben. Systemhäuser leben von dem Verkauf, der Implementierung und der Integration von Hard- und Software. Mit dem Umstieg auf die Cloud fallen für Systemhäuser somit wesentliche Umsatzträger aus. Das ist gut für den Kunden, da die Skaleneffekte in der Cloud einen günstigeren Betrieb und eine wirtschaftlichere Implementierung ermöglichen. Andererseits hat das negative Auswirkungen auf den Umsatz des Systemhauses. Google, IBM, Microsoft und auch andere Anbieter gewährleisten eine sichere Bereitstellung dieser Cloud Services. Selbstverständlich entsteht beim Übergang von IT-Diensten in die Public Cloud auch Beratungs- und Migrationsbedarf. Der Aufwand ist aber nur einmalig und deutlich geringer als das, was die Systemhäuser Ihren Kunden üblicherweise verkaufen. Es drängt sich der Eindruck auf, dass gerade angestammte Systemhäuser und lokale Hoster deshalb gezielt Ängste und Bedenken gegen die Public Cloud schüren. Bei einer objektiven Analyse der Kosten, des Servicelevels in Verbindung mit einer qualifizierten Beratung kommen unsere Kunden daher oftmals zu der Entscheidung, einen Teil der IT auszulagern.

PRISM, der neue Hebel der Maschinenstürmer

Prism hat die Diskussion um die großen Anbieter, die in der Regel in den USA beheimatet sind, wieder angefacht. Plakative Schlagzeilen wie „Nur deutsche Cloud-Lösungen helfen deutschen Firmen gegen US-Industriespionage“ wurden von der Presse dankbar übernommen. Aber ist es so einfach wie es auf den ersten Blick scheint? Heise Security veröffentlichte am selben Tag, an dem die Enthüllungen Edward Snowdens bekannt wurden, einen brisanten Bericht. Der Webhoster Hetzner war Opfer eines Hackerangriffs geworden, bei dem Unbekannte auch Zugriff auf Kundendaten - inklusive Passwort-Hashes und Zahlungsinformationen - gehabt haben sollen. Wenige Wochen später wurde ebenfalls von Heise Online veröffentlicht, dass sich unbekannte Hacker Zugriff auf die internen Systeme des Hosters OVH verschafft hätten. An diesen Beispielen werden zwei wesentlich Punkte deutlich: Es muss ein massiver Aufwand betrieben werden, um IT-Systeme vor Cyberattacken zu schützen. Selbst für mittelständische Hoster ist dies eine kaum lösbare Aufgabe. Und zweites stellt sich die Frage der Verhältnismäßigkeit. Gegen welche Bedrohungen müssen sich Unternehmen also schützen? Einen interessanten Aspekt wirft Mirko Novakovic in seinem Blog auf. Gemäß der Tageszeitung “Die Welt” werden weltweit 145 Milliarden E-Mails pro Tag versendet. Wenn 4.000 Mitarbeiter der NSA rund 76.800 E-Mails täglich auswerten könnten, so rechnet Novakovic, ist die Wahrscheinlichkeit, einen 5er im Lotto zu erzielen, in etwa so hoch , wie die Chance, dass meine E-Mail von der NSA gelesen wird. Eine Wahrscheinlichkeit von 0,0000429%. Dem gegenüber beschreibt der 2013 vorgestellte Verfassungsschutzbericht NRW über das Jahr 2012, dass 50% der Firmen in NRW ausspioniert werden. Die Wirtschaftsspione haben in den letzten Jahren technisch massiv aufgerüstet. Bevorzugtes Ziel sind neben den großen Dax-Konzernen mittelständische Unternehmen, die häufig über ein weltweit einzigartiges Fachwissen verfügen. Den jährlichen Schaden beziffern Sicherheitsexperten bundesweit auf einen zweistelligen Milliardenbetrag. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) schätzt, dass allein 2012 bundesweit rund 37 Millionen neue Schadensprogramme eingesetzt wurden. Die jüngst veröffentlichte Umfrage von Ernst & Young kommt dennoch zum Ergebnis, dass 86 Prozent aller Manager für unwahrscheinlich halten, selbst Opfer zum Ziel von digitalen Abhöraktionen, Wirtschaftsspionage oder Datenklau werden könnten. Hauptgrund für diesen Optimismus so die Prüfungs- und Beratungsgesellschaft: Acht von zehn Unternehmen gehen davon aus, dass die eigenen Sicherheitsvorkehrungen ausreichen, um unerwünschten Informationsabfluss zu verhindern. Tatsächlich handelt es sich bei diesen Sicherheitsmaßnahmen aber zumeist um Standardmaßnahmen wie Firewalls (85 Prozent) oder bestimmte Komplexitätsanforderungen für Passwörter (84 Prozent) – für geübte Hacker kein ernsthaftes Hindernis. Wirklich umfassende IT-Sicherheitssysteme hat die Mehrzahl der deutschen Unternehmen gar nicht installiert: Sogenannte Intrusion-Detection- oder -Prevention-Systeme, die Hinweise auf die Aktivitäten von Eindringlingen ins Firmennetzwerk geben können, leisten sich gerade mal 13 respektive 12 Prozent aller Unternehmen.

Sicherheit ist weniger eine Frage des Standortes

Kunden, die sich für eine Verarbeitung von personenbezogenen Daten durch einen Dienstleister entscheiden, müssen sich beim Auftragnehmer von den technischen und organisatorischen Maßnahmen vor der Auftragsvergabe überzeugen. Und zwar bei jedem Dienstleister - unabhängig vom Standort. Für die Prüfung ist es unerheblich, ob sich der Service Provider in Deutschland, irgendwo in Europa oder den USA befindet. Die Prüfung der technischen und organisatorischen Maßnahmen vor Auftragsvergabe muss aber nicht persönlich und nicht vor Ort durchgeführt werden. Legitim ist auch die Anerkennung von Auditsiegeln, die nahelegen, dass den Anforderungen des Bundesdatenschutzgesetz (BDSG) genüge getan ist. Insofern wäre z.B. ein Siegel ISO 9001 nicht im Kontext des Datenschutzes als ausreichend zu erachten, eine Zertifizierung nach ISO 27001 hingegen schon. Folgt man den öffentlichen Meldungen in Deutschland, drängt sich der Eindruck auf, dass Kunden von den Prüfpflichten entbunden sind, wenn sich das Rechenzentrum des Dienstleisters in Deutschland befindet. Oder sogar, dass es ein Qualitätsmerkmal sei, wenn das Datacenter in München, Hamburg oder Berlin steht. Aber ist das so? Das Signé von marketingorientierten Initiativen, wie “Cloud Services Made in Germany”, ersetzt keine Zertifizierung nach ISO 27001. Der rasante Zulauf zu solchen Initiativen lässt sich einfach erklären: Gute Marketingwirkung bei minimalen Einstiegshürden. Dagegen ist es sehr teuer, wenn sich Provider nach ISO 27001 auditieren lassen. Dies können sich nur die großen Anbieter leisten. Microsoft und Google bieten diese Zertifizierungen nach ISO 27001 und SAS 70 Type II für Office 365 bzw. Google Apps for Business an, die regelmäßig von externen Drittanbietern geprüft werden. Aber dürfen Personendaten nach außerhalb der EU übermittelt werden? Gemäß den gesetzlichen Regelungen darf die Übermittlung nur in solche Staaten erfolgen, die als sog. “sichere Drittstaaten” über ein ausreichendes gesetzliches Datenschutzniveau verfügen. Für den Datentransfer bspw. in die USA hat die EU-Kommission im Jahr 2010 die aktualisierten EU-Standardvertragsklauseln veröffentlicht. Werden personenbezogene Daten in den USA verarbeitet, sollte das bei den Parteien des Cloud-Vertrags unter Verwendung der EU-Standardvertragsklauseln erfolgen. Larry Page, Google CEO und David Drummond, Google Chief Legal Officer veröffentlichten bereits einen Tag nach Snowdens Enthüllungen ein offizielles Statement. Darin heißt es, dass sich Google weder an Prism noch irgendeinem anderen staatlichen Überwachungsprogramm angeschlossen habe. In einem Gastbeitrag in der FAZ vom 05. Juli schreibt David Drummond weiter, dass man keiner Regierung, auch nicht der amerikanischen Regierung, Zugriff auf Google Systeme gegeben habe. Es gäbe keine „Hintertür“, „Seitentür“ oder „versteckte Tür“. Die von der NSA bei vielen Unternehmen auch gar nicht benötigt würde, da die Mail Transfer Agents untereinander im "Klartext" kommunizieren. In den meisten Fällen geht die Übermittlung der Datenüber einen oder mehrere Router. Dieser kann im schlimmsten Fall den gesamten Datenverkehr zwischen Client und Server mitprotokollieren und auswerten. Um einen sicheren Mailversand zur gewährleisten, gibt es die Möglichkeit, eine SMTP-Verbindung per TLS-Verschlüsselung aufzubauen. Dies scheint aber einer sehr großen Zahl von Unternehmen und Hostern unbekannt zu sein. Eine einfache Möglichkeit zur Überprüfung des eigenen Mail-Servers bietet das Tool CheckTLS.com . Bei der Einladung zum unbefugten Mitlesen von unternehmensinternen Nachrichten relativiert sich auch hier die Bedrohung durch Prism.

Zusammenfassung

Schlussendlich ist der sichere Betrieb von IT-Lösungen sehr kosten- und wartungsintensiv. Unternehmen sollten prüfen, welche IT-Anwendungen sich in die Cloud auslagern lassen und welche nicht. Weitgehend standardisierte IT-Lösungen, wie Mail & Collaboration oder CRM, können viel günstiger und zuverlässiger aus der Public Cloud bezogen werden. Google, IBM, Microsoft und auch andere Anbieter gewährleisten eine sichere Bereitstellung dieser Cloud Services. Bei der Auswahl des Anbieters müssen sich Kunden von den technischen und organisatorischen Maßnahmen zum angemessen Datenschutz überzeugen. Hier hilft eine offizielle Zertifizierung nach ISO 27001 und SAS 70 Type II. Wer sich hingegen mit bunten Aufklebern auf der sicheren Seite sieht, liegt falsch. Werden Kunden von angestammten Systemhäusern beraten, sollten sie sich eine zweite unabhängige Meinung einholen. Systemhäuser leben von dem Verkauf, der Implementierung und der Integration von Hard- und Software. Daher neigen Systemhäuser dazu, eigene Internet-Dienste bereitzustellen, die dann als Private Cloud verkauft werden, um ihre Kunden nicht an die Public Cloud zu verlieren.