Tag: Datensicherheit


Entwicklungspfad der Cyberkriminalität – Abwehrstrategien gegen neue Bedrohungsszenarien

  • Cyberkriminalität hat sich zu einem riesigen Geschäft entwickelt. Wie in jeder Branche bilden sich auch innerhalb der Cyberkriminalität eigene Geschäftsprozesse und Wertschöpfungsketten.
  • Unternehmen ist es zu empfehlen eine Datenstrategie zu entwerfen, bei der Datenschutz und Datensicherheit hinsichtlich neuer Security-Lösungen und Konzepte berücksichtigt werden.
  • Künstliche Intelligenz und Machine-Learning-Algorithmen werden zukünftig einen festen Platz in Security-Strategien einnehmen.

Continue reading “Entwicklungspfad der Cyberkriminalität – Abwehrstrategien gegen neue Bedrohungsszenarien” »



Daten – Die DNA digitaler Produkte und Business Modelle

  • Daten als DNA: Unternehmen haben die wesentliche Bedeutung von Daten erkannt und nutzen diese immer häufiger als Ausgangspunkt für neue vernetzte Produkte und datenbasierte Geschäftsmodelle.
  • Kunden, Globalisierung/Internationalisierung und die Digitalisierung der Geschäftsmodelle sind maßgebliche Treiber des Datenwachstums in den Unternehmen. Die Herausforderung dabei - die Daten müssen gespeichert, verarbeitet und vor allen Dingen, beherrscht werden.
  • Fluch und Segen:  Neue Strategien und Vorgehensweisen des Daten- und Speicher-Managements müssen Anforderungen der Skalierbarkeit, Echtzeit-Verfügbarkeit, Datenhoheit und Effizienz erfüllen.
  • Die StudieDatenhoheit als Garant für digitale Wertschöpfung wurde von Crisp Research im Auftrag der NetApp Deutschland GmbH erstellt und liefert fundierte Einblicke in die Art und Weise, wie Unternehmen in Deutschland das Thema Datenhoheit gestalten.

Continue reading “Daten – Die DNA digitaler Produkte und Business Modelle” »



Chancen und Hemmnisse der digitalen Transformation im öffentlichen Sektor

  • Die digitale Transformation hat mittlerweile auch den öffentlichen Sektor erreicht, der nun Strategien für die Implementierung der neuen Technologien entwickeln muss, um dem Druck und den Chancen der Digitalisierung gerecht werden zu können.
  • Die größten Hürden für den digitalen Aufbruch stellen vor allem Datenschutz- und Sicherheitsbedenken dar. Als „Digitaler Follower“, den die meisten öffentlichen Institutionen verkörpern, stehen zumindest hinreichend Erfahrungen und etablierte Technologien bereit, um die teilweise sehr spezifischen Anforderungen erfüllen zu können.
  • Der öffentliche Sektor kann die Chancen der Digitalisierung nutzen, um Kosten zu reduzieren, eine Effizienzsteigerung durch eine modernisierte Verwaltung zu generieren und sich als attraktiverer Arbeitgeber zu profilieren.

Continue reading “Chancen und Hemmnisse der digitalen Transformation im öffentlichen Sektor” »



Klartext: Datenschutz vs. Datensicherheit Spionage im Cloud-Zeitalter

Es bestehen viele Unklarheiten und Mythen, wenn es um das Thema Datenschutz, Datensicherheit und Spionage geht. Insbesondere im Zusammenhang mit der Cloud werden tragischerweise immer wieder Unwahrheiten verbreitet. Die Unsicherheit auf Seiten der Kunden wird von den Anbietern schamlos ausgenutzt, um mit Fehlinformationen ihr Marketing zu betreiben. Continue reading “Klartext: Datenschutz vs. Datensicherheit Spionage im Cloud-Zeitalter” »



Unhosted.org – Unsere Daten gehören uns!

In Zeiten der Cloud, Social Media und weiteren Technologien und neuen Konzepten, bei denen es darum geht, Daten zentral bei einem Anbieter zu speichern, um damit bequem von jedem Ort darauf zugreifen zu können oder mit Freunden weltweit zu kommunizieren, entwickelt sich eine Community, die selbst für den Datenschutz sorgen möchte und ihr wertvolles gut nicht in die Hände kommerzieller und vermeintlich böser Unternehmen wie Google, Facebook oder der Cloud Computing Anbieter legen will.

Datensensibilität nur von Nerds und Geeks?

Nachdem Unternehmen insbesondere beim Cloud Computing aber auch beim Thema Social Media den Datenschutz der Anbieter beklagen – Patriot Act usw. - gehen die vermeintlichen Endanwender doch eher sehr sorglos mit ihren persönlichen Daten um, siehe Facebook. Allerdings scheint sich das Blatt ein wenig zu wenden. Vor kurzem konnte ich im Zug ein Gespräch zweier Jugendlicher mithören, die über das „... jemand Wissen kann wo man sich selbst gerade aufhält.“, also GEO-Location Services wie Foursquare etc. diskutierten. Sie hielten es für sehr kritisch und gefährlich, wenn jemand ständig sehen könnte wo man gerade ist und wo man wohnt. Ich dachte nur: „Aber ein iPhone besitzen...“. ;)

Es stellt sich daher die Frage, wie sensibel die Nutzer heutzutage wirklich mit ihrem wertvollsten gut, der Persönlichkeit umgehen – man bedenke: Wenn Du von jemanden etwas kostenlos bekommst, bist Du am Ende das Produkt. Ich weiß nicht, ob sich viele darüber im Klaren sind. Wenn man jedoch schaut, was viele täglich in Facebook posten, bin ich mir da nicht so sicher. Und auch das was Google mittlerweile über jeden einzelnen weiß – natürlich werden die gesammelten Daten nicht verknüpft... - sollte für diejenigen bedenklich sein, die das Internet nicht dafür nutzen, um ihr öffentliches Profil zu schärfen.

Aber ist es überhaupt möglich auf die Datenhaltung bei Google und Facebook Einfluss zu nehmen? Natürlich nicht, schließlich handelt es sich dabei zum größten Teil um deren Geschäftsmodell, aber...

Die Community: Unhosted.org

Es hat sich eine, derzeit noch kleine, Bewegung gebildet, die das Ziel verfolgt, freie Software gegenüber gehosteter Software zu stärken. Dazu hat die Gemeinschaft bereits ein Protokoll erstellt, mit dem eine Webseite nur aus Quellecode besteht. Dabei werden die sich ständig verändernde Daten dezentral auf eines vom Nutzer gewünschten Storage gespeichert. Die Community erhofft sich dadurch geringere Hostingkosten sowie eine verbesserte Skalierbarkeit, Robustheit und einen höheren Datenschutz.

Alles erinnert ein wenig an Asterix und das kleine gallische Dorf.

Im Kern geht es dem Projekt darum, dass Web Applikationen nicht zwangsläufig auch die Daten des Nutzers beherrschen müssen, sondern dass die Daten getrennt von den Anwendungen gespeichert werden.

Die Technologie: Remote Storage

Hierfür hat Unhosted.org ein Protokoll mit dem Namen "remoteStorage" entwickelt, dass die bereits bestehenden Protokolle HTTP, CORS, OAuth2 und Webfinger kombiniert. Dazu liefert das Projekt mit remoteStorage.js eine JavaScript Bibliothek und ein Tutorial.

Auf Basis des Remote Storage Protokoll wurden mit Libre Docs, OpenTabs.net und SharedStuff bereits kleine Anwendungen entwickelt.

Um die Applikationen nutzen zu können, wird eine ID eines Remote Storage kompatiblen Anbieters benötigt. Zurzeit haben sich mit Pagekite, OwnCube und 5apps drei am Markt eher unbekannte Anbieter der Initiative angeschlossen. Die ID bzw. der Account bei einem der Anbieter wird dafür benötigt, um die eigenen Daten bei diesem zu speichern.

Stellt man sich das bspw. anhand von Facebook vor, würde man sich bei Facebook mit seiner Remote Storage ID anmelden. Postet man nun ein Bild oder kommentiert einen Beitrag, werden die Daten nicht bei Facebook gespeichert, sondern bei dem entsprechenden Remote Storage Anbieter für den man sich entschieden hat.

Sei Dein eigener Storage Anbieter

Natürlich kann man auch sein eigener Storage Anbieter sein. Dazu wird eine Installation von ownCloud benötigt, die das Remote Storage Protokoll unterstützt. Davon rate ich jedoch ab. Warum, habe ich hier beschrieben.

Daten selbst verwalten? Ja! Aber bitte so bequem wie möglich!

Den Grundgedanken des Projekts finde ich recht interessant. Jedoch sehe ich für den gewöhnlichen und nicht IT-affinen Benutzer riesige Probleme damit, den Überblick zu behalten, wo sich die Daten gerade befinden. Wenn ich bei Facebook oder Google bin, weiß ich, dass die Daten dort "gut" aufgehoben sind. Wird ein weiterer Anbieter dazwischen geschaltet, wird es unübersichtlich.

Hinzu kommt zwar, dass die Daten von der eigentlichen Applikation getrennt sind, allerdings begebe ich mich hier in die Abhängigkeit von einem der RemoteStorage Anbieter. Ich habe daher nicht die Wahl, außer ich spiele selbst den Storage Anbieter, wovon ich dringend abrate.

Vertrauen ist die Grundlage

Wenn es um das Speichern persönlicher Daten und die Cloud geht, spielt das Thema Vertrauen und Transparenz eine große Rolle. Anbieter wie Google und Facebook haben eine große Wahrnehmung, auch wenn diese nicht immer positiv ist. Dennoch Vertrauen die Nutzer ihnen ihre Daten an, da sie sich sicher sind und sein können, das die Daten dort aus dem Blickwinkel der Datensicherheit gut aufgehoben sind. Genau so verhält es sich mit Amazon S3, Dropbox oder anderen bekannten Cloud Storage Anbietern, die über ausgereifte Infrastrukturen verfügen, die sich bewährt haben.

Anders sieht es mit den Anbietern aus, die sich dem Projekt angeschlossen haben. Allesamt unbekannt! Warum soll ich meine Daten also in die Hände von diesen (derzeit) No Name Anbietern geben, deren Infrastruktur ich nicht kenne? Aber vielleicht schafft es das Projekt, für die Zukunft renommierte Anbieter zu gewinnen, die das Remote Storage Protokoll unterstützen.

BTW: 5apps, einer der Remote Storage Anbieter, steckt hinter dem Unhosted.org Projekt... Alles klar?!


Bildquelle: http://imageshack.us



Microsoft wirbt mit Cloud Sicherheit für sein Office 365 for Government

Seit der vergangenen Woche bietet Microsoft sein Office 365 unter "Office 365 for Government" nun auch für Regierungseinrichtungen an. Zwar wurde die Veröffentlichung nicht an die ganz große Glocke gehängt, dennoch kann dieser Schritt mehr Einfluss auf den Kampf um die Cloud haben, als man zunächst glauben mag.

Office 365 for Government ist auf dem ersten Blick nichts Besonders. Es enthält die typischen Cloud basierten Lösungen, wie das klassische Office 365 auch. Darunter Exchange Online, Lync Online, SharePoint Online und Office Professional Plus.

Der Trick mit dem Altbewährtem

Bereits vor zwei Jahren hatte Microsoft mit der Business Productivity Online Suite Federal einen ähnlichen Service für US-Bundesbehörden präsentiert. Bei Office 365 handelt es sich um den direkten Nachfolger und Microsoft springt zudem auf den Zug auf, den bereits der Mitbewerb herausgestellt hat, die langsam wirklich zäh werdenden Themen Datenschutz und Datensicherheit.

Sicherheit und Datenschutz stehen an erster Stelle

Regierungsbehörden stehen einem enormen Kostendruck gegenüber. Ein Cloud Services kann daher ein überzeugendes Angebot für die Beschaffung, das Servermanagement und der Lizenzierung von Software darstellen. Allerdings musste Google bereits schmerzlich erfahren, dass Behörden mehr wollen als nur Cloud basierte Versionen ihrer klassischen Business Anwendungen.

Nachdem Google mit der Stadt Los Angeles einen ziemlich dicken Fisch über 7 Million Dollar für die Umstellung von 30.000 Arbeitsplätzen an Land ziehen konnte, gab es plötzlich Probleme mit dem Los Angeles Police Departement (LAPD), das nicht mit den Sicherheitsanforderungen einverstanden war. Demnach sei Google nicht in der Lage, die hohen Anforderungen an die Datensicherheit und Vertraulichkeit von sensiblen Daten zu gewährleisten.

Um nicht dieselbe Abfuhr zu bekommen, hat Microsoft in einem Blogpost von Corporate Vice President Office Division, Kirk Koenigsbauer, direkt präventiv Stellung zu dem Thema genommen und die vielen Standards für Datensicherheit und Vorsichtsmaßnahmen herausgestellt, an die sich Office 365 for Government hält. "Office 365 unterstützt die strengsten globalen und regionalen Standards.", so Koenigsbauer.

Die Liste umfasst hochkarätige Richtlinien der US-Regierung bspw. die "US Federal Information Security Management Act (FISMA)", die US Health Insurance Portability and Accountability Act (HIPAA) und die "US Family Educational Rights and Privacy Act (FERPA)". Laut Microsoft unterstützt Office 365 zudem ISO 27001, SAS70 Type II, EU Safe Harbor und die EU Bestimmungen.

Um weiteren Ängsten vorzubeugen, beruhigt Koenigsbauer damit, dass Office 365 zwar im Mehrbenutzerbetrieb läuft, aber in einer separat getrennten Cloud mit höchster Sicherheitsstufe und geographisch verteilten Rechenzentren betrieben wird. Zudem wird die IPv6-Unterstützung für Office 365 voraussichtlich im September gehen Live gehen.

Microsoft scheint Googles Auseinandersetzung mit dem LAPD allerdings nicht zu ignorieren. Koenigsbauer und sein Team arbeiten derzeit daran, Office 365 for Government mit den Regeln der Criminal Justice Information Security (CJIS) compliant zu machen.


Bildquelle: http://careers-us.hoganlovells.com



BoxCryptor: Datenverschlüsselung für Dropbox, Google Drive & Co.

Cloud Storage Services wie Dropbox, Google Drive, SkyDrive oder Box erfreuen sich großer Beliebtheit, stehen aber ebenfalls immer wieder in der Kritik bzgl. des Datenzugriffs durch staatliche Organe oder den Anbietern selbst. Zwar werden die Daten verschlüsselt in den Cloud Storage übertragen. Die Daten werden aber in der Regel im Klartext und unverschlüsselt dort abgelegt. Das Startup die Secomba GmbH aus Deutschland (mal nicht Berlin) möchte diesen Missstand aus dem Weg schaffen und hat mit ihrem BoxCryptor einen Client für Dropbox und Google Drive entwickelt, der die Verschlüsselung übernimmt. Mitbegründer Robert Freudenreich hat mich auf der SecureCloud und CloudZone gefunden und mir den Boxcryptor vorgeführt.

BoxCryptor: Datenverschlüsselung für Dropbox, Google Drive & Co.

Um Daten verschlüsselt in einem Cloud Storage abzulegen behelfen sich viele mit der Software TrueCrypt, was "... insbesondere der vollständigen oder partiellen Verschlüsselung von Festplatten und Wechseldatenträgern" dient. Zudem hat TrueCrypt den einen oder anderen Kniff, den es zu bewältigen gilt.

BoxCryptor integriert sich in den jeweiligen Cloud Storage und synchronisiert die Daten dann verschlüsselt. Dazu wird z.B. einfach unter dem Dropbox Ordner ein neuer Ordner beliebigen Namens angelegt. In diesem werden dann die Dateien und weitere Ordner abgelegt, die mit dem AES-256 Standard verschlüsselt in der Dropbox abgelegt werden sollen. Derzeit unterstützt BoxCryptor DropBox und Google Drive.

Auf Grund einer breiten Plattformunterstützung, darunter Windows, Mac, Linux, Android und iOS wird der Vorteil der Ortsunabhängigkeit der Cloud ausgenutzt und es kann plattformübergreifend auf die Daten zugegriffen werden.

Preise und Leistungen

BoxCryptor bietet drei verschiedene Preisstufen. Free, Unlimited Personal und Unlimited Business.

Die "Free" Variante, wie der Name bereits sagt, ist kostenlos und verschlüsselt bis zu 2GB an Daten mit dem AES-256 Algorithmus. Darüber hinaus kann ein Laufwerk eingebunden werden.

Für "Unlimited Personal" entstehen einmalige Kosten in Höhe von 29,99 EUR. Hier ist das Verschlüsselungsvolumen dann unbegrenzt. Verschlüsselt wird natürlich auch hier mit AES-256, zusätzlich gibt es noch die Dateinamenverschlüsselung und Nutzung mehrerer Laufwerke.

Einzig die "Unlimited Business" Variante darf offiziell geschäftlich genutzt werden. Das ist für die beiden anderen Varianten untersagt. Diese Version kostet Einmalig 69,99 EUR und hat ansonsten dieselben Funktion wie die "Unlimited Personal", also AES-256 Verschlüsselung, ein unbegrenztes Verschlüsselungsvolumen, Dateinamenverschlüsselung und die Möglichkeit zur Nutzung mehrerer Laufwerke.

Verbesserungspotential

BoxCryptor: Datenverschlüsselung für Dropbox, Google Drive & Co.

Was aktuell fehlt, ist die Entschlüsselung der Daten auf dem Cloud Storage, wenn man über die Webseite des Service auf die Daten zugreifen möchte. Aktuell werden die Daten dort halt verschlüsselt und als kryptische Datei- und Ordnernamen angezeigt, da für die Ver- und Entschlüsselung der lokale Client benötigt wird. Wie mir Robert allerdings verraten hat, arbeitet das Entwicklerteam bereits daran, auch hierfür eine Lösung zu finden. Wenn das Team um BoxCryptor es schafft diese Funktion zu implementieren, sind sie allerdings auf dem besten Weg damit einen Meilenstein im Bereich Cloud Storage Security zu leisten.

Fazit: BoxCryptor ist echt heißes Zeug und für alle ein Muss, die skeptisch gegenüber dem Datenschutz im Cloud Storage sind. Also anschauen und herunterladen unter http://www.boxcryptor.com



Grundsätzliche Orientierungshilfe zur Adaption von Cloud Computing

Die konkrete Auswahl eines Anbieters gehört zu den vermeintlich schwierigsten Aufgaben bei dem Weg in die Cloud. Damit verbunden sind u.a. Themen wie Datenschutz, Datensicherheit und viele weitere technische (Sicherheits)-Bereiche. Es geht im großen und ganzen also um Vertrauen.

Für die Adaption des Cloud Computing gibt es grundsätzliche Dinge zu beachten

Bereits im September 2011 haben daher die Arbeitskreise Technik und Medien während der Konferenz der Datenschutzbeauftragten des Bundes und der Länder ein Paper mit dem Namen "Orientierungshilfe – Cloud Computing" in der Version 1.0 erarbeitet und veröffentlicht. Es hat die die Aufgabe den datenschutzkonformen Einsatz von Cloud Computing Angeboten zu ermöglichen und zu fördern und richtet sich speziell an Unternehmen.

Der Inhalt des Papers geht u.a. auf die immer wieder viel diskutierten Probleme wie Datenschutz und Datensicherheit sowie der Verarbeitung sensibler Daten in den USA ein.

Das Paper "Orientierungshilfe – Cloud Computing Version 1.0" kann von jeder Webseite der 16 Datenschutzbehörden kostenlos heruntergeladen werden, z.B. hier.


Bildquelle: http://www.skd-immobilien.de, http://icons.iconarchive.com



Cloud Computing und Service Level Agreements: Das sollte nicht fehlen!

Unternehmen müssen die Leistungen, die Provider beim Cloud Computing erbringen sollen, genau definieren. Der Hamburger Managed Service Provider Easynet hat dazu zehn wesentliche Punkte zusammengestellt, die in den Verträgen und SLAs von Cloud-Projekten nicht fehlen sollten.

Cloud Computing ist zur Realität geworden – viele Unternehmen denken darüber nach, wie sie die Cloud für ihre IT nutzen können oder haben bereits konkrete Schritte vorgenommen. Wer einem Cloud Provider die Verantwortung für wesentliche IT-Ressourcen überträgt, muss mit ihm klare Regelungen treffen. Die folgenden zehn Punkte beinhalten die wesentlichen Aspekte, die Anwender bei der Festlegung von SLAs (Service Level Agreements) – beziehungsweise in sonstigen Verträgen – für das Cloud Computing keinesfalls vernachlässigen sollten:

  1. Technische Parameter – Die grundlegenden technischen Parameter müssen genau definiert werden, vor allem die nutzbaren Bandbreiten, die garantierte Verfügbarkeit, eventuelle Wartungs- und Reaktionszeiten, das Datenvolumen, aber auch die Datenarten, ob beispielsweise nur strukturierte Daten oder auch Multimedia-Daten abgedeckt werden.
  2. Prozessbezogene Kennzahlen – Über die technischen Basis-Parameter hinaus können sich Anwender auf prozessbezogene Kennzahlen beschränken und zum Beispiel für einen Online-Verkaufsvorgang die Reaktionszeiten, vom Einstellen eines Artikels in den Warenkorb des Shops bis zum Auftrag vereinbaren.
  3. Messmethoden – Für die verwendeten Parameter muss auch festgelegt werden, wie sie gemessen werden. So muss etwa für ein bestimmtes Verfügbarkeitsniveau genau definiert sein, wann, wo und mit welchen Methoden die Verfügbarkeit ermittelt wird.
  4. Monitoring – Ein umfassendes und skalierbares Monitoring für die laufenden Prozesse sowie ein entsprechendes Reporting ist für die SLA unverzichtbar.
  5. Speicherort – Es muss festgelegt sein, wo die Daten vom Provider gespeichert werden – zum Beispiel in Deutschland, in der EU oder weltweit. Dies ist auf Grund unterschiedlicher rechtlicher Regelungen unerlässlich.
  6. Eigentum an den Daten – Es muss klar sein, wem die vom Provider verarbeiteten Daten gehören – dem Provider oder seinem Kunden.
  7. Gerichtsstand – Für Streitigkeiten ist der Gerichtsstand von größter Bedeutung; die besten SLA nützen nämlich nichts, wenn sie auf den Antillen eingeklagt werden müssen. Mit dem Gerichtsstand entscheidet sich auch, welches Recht im Streitfall zur Anwendung kommt.
  8. Datensicherheit – Der Provider muss klar darlegen, was er zur Herstellung einer hohen Datensicherheit unternimmt, insbesondere bei kritischen und personenbezogenen Daten.
  9. Nachprüfbarkeit – Kunden müssen überprüfen können, ob die Festlegungen des Providers hinsichtlich der Datensicherheit eingehalten werden. Auch dazu müssen bereits in den SLA Vereinbarungen getroffen werden.
  10. Verbleib der Daten – Die SLA müssen auch Angaben dazu enthalten, was mit den Daten nach Ende der Geschäftsbeziehung geschieht, ob beispielsweise der Provider bei strittigen Forderungen ein Zurückbehaltungsrecht hat: Für solche Fälle sollte man bereits in den SLA eine Schiedsstelle vereinbaren.

Standard-Cloud-Angebote arbeiten in der Regel mit fertig vorgegebenen SLAs, die durch den Kunden nicht verändert oder nachverhandelt werden können. Diese Normierung ist meist die Voraussetzung für günstig angebotene Leistungen eines Cloud-Providers. Hier müssen Unternehmen genau prüfen, wo und wie weit die Standard-SLAs von einem eigenen Soll-SLAs abweichen – sind davon substantielle Punkte betroffen, sollte das jeweilige Angebot nicht genutzt werden.


Quelle: Easynet
Bildquelle: http://www.supplierrelationships.com, http://bluebuddies.com



Datenschutzwerkzeuge für die Cloud

Regelmäßig findet man in Artikeln oder einzelnen Presseerklärungen Aussagen wie „Datenschutz ist größtes Hindernis beim Cloud-Computing“ oder „Cloud-Computing mit Datenschutz nicht vereinbar“. Allein schon aufgrund der Vielfalt der heute dem Cloud-Computing zugerechneten Dienste und der unterschiedlichen Einsatzszenarien sind solche generellen Aussagen eher unangebracht.

von Sven Thomsen

Vielmehr müssen Anwenderinnen und Anwender von cloud-basierten Diensten sich der Herausforderung stellen, solche Dienste mit bewährten Mitteln und erprobten Vorgehensweisen sicher und ordnungsgemäß zu betreiben.

Es zeigt sich, dass beim Cloud-Computing datenschutzspezifische, zusätzliche Risiken betrachtet und angemessenen behandelt werden müssen. Der Großteil der in der aktuellen Diskussion dem Datenschutz zugeschriebenen Hindernisse liegt jedoch im Bereich der Datensicherheit und dem Controlling von Outsourcing.

Im Folgenden werden vor allem Szenarien in den Vordergrund gestellt, die in der häufig anzutreffenden Typisierung wie zum Beispiel der CloudSecurityAlliance einer „Public Cloud“ zuzurechnen sind. Ansätze wie „Private Clouds“ oder „Community Clouds“ sind zwar auch mit spezifischen Risiken versehen, die Behandlung dieser Risiken ist jedoch durch die deutlich besseren inter- oder intra-organisationellen Steuerungsmöglichkeiten im Vergleich zu „Public Clouds“ deutlich einfacher. Die häufig angeführten Probleme im Zusammenhang mit mangelnder Transparenz und dem damit einhergehenden Kontrollverlust sind besonders stark ausgeprägt bei „Public Clouds“.

Verantwortung und Verträge

Grundlage jeglicher professioneller Geschäftsbeziehungen ist der schriftliche Vertrag. Ausnahmen hiervon mögen in Einzelfällen funktionieren, aber Vereinbarungen zu professionellen IT-Dienstleistungen trifft man besser nicht mit dem eher für Viehauktionen geeigneten „kaufmännischen Handschlag“.

Ziel solcher Verträge ist es, die Rechte und Pflichten der jeweiligen Vertragspartner klar und vor allem: messbar darzulegen. Gerade im Krisenfall, also einer mangelhaften Leistung des Anbieters oder bei unzureichender Mitwirkung des Kunden, wird eine konkret messbare Leistungserbringung wichtig.

Potentielle Anwender von cloud-basierten Diensten stehen in der aktuellen Marksituation jedoch vor dem Problem, vom Anbieter gerade keine oder nur äußerst vage Leistungsbeschreibungen oder konkreter: Leistungszusagen zu erhalten. Häufig sind selbst elementare Zusagen zur Verfügbarkeit, wie man sie von „klassischen“ Verträgen im IT-Umfeld kennt, nicht vorhanden.

Diese mangelhaften Leistungszusagen müssen Kunden dann häufig durch eigene, zusätzliche Maßnahmen kompensieren, um ein nachvollziehbares Risikomanagementsystem mit tragbaren Restrisiken aufzubauen.

Die Probleme mit unzureichenden IT-Verträgen sind älter als der Begriff „Cloud-Computing“. Es ist sinnvoll, die bereits bestehenden Lösungen zu betrachten und diese für die neue, spezifische Situation des Cloud-Computing anzupassen.

Der CIO des Bundes [1] hat auf seinen Webseiten viele Werkzeuge und Standardvorgehensweisen zur IT-Planung und –Steuerung zusammengefasst. Für die Vertragsgestaltung finden sich dort mit den Ergänzende Vertragsbedingungen für die Beschaffung von IT-Leistungen (EVB-IT) [2] gute Vorlagen für vertragliche Regelungen, die auch für das Anbieten oder Einkaufen von cloud-basierten IT-Leistungen Anwendung finden können. Interessierte sollten insbesondere die umfangreichen Anlagen und Muster betrachten, die im Rahmen der Entwicklung der EVB-IT entstanden sind.

Viele der Regelungen in den EVB-IT sind bereits geeignet, einen Großteil der gesetzlichen Anforderungen aus dem Bundesdatenschutzgesetz oder den jeweiligen Landesdatenschutzgesetzen in Bezug auf die Datenverarbeitung im Auftrag oder die Datenübermittlung zu erfüllen.

Gerade Anbieter von cloud-basierten Diensten abseits der großen Platzhirsche wie Microsoft, Google oder Amazon sollten sich durch konkrete, nachvollziehbare und messbare vertragliche Regelungen einen Wettbewerbsvorteil verschaffen.

Outsourcing

Die Outsourcing-Welle der 80er- und 90er-Jahre des letzten Jahrtausends hat deutliche Spuren in der IT-Landschaft hinterlassen. Die mit dem Outsourcing verbundenen Risiken und Herausforderungen haben jedoch zu einer ganzen Gruppe von speziellen „Standards Of Good Practice“ in diesem Bereich geführt.

Für deutschsprachige Anwender sehr lesenswert ist der Baustein B1.11 des Grundschutzkatalogs [3] des Bundesamts für Sicherheit in der Informationstechnik. Gemäß der Vorgaben der Standards [4] 100-1 bis 100-3 werden hier für typische Gefährdungen und Einsatzszenarien Maßnahmenempfehlungen ausgesprochen, um eine
akzeptable Risikobehandlung im Bereich des Outsourcings durchzuführen.

Der Baustein kann direkt auch auf die Nutzung von cloud-basierten Diensten angewendet werden und bietet eine strukturierte Vorgehensweise, um einen Großteil der notwendigen technischen und organisatorischen Maßnahmen zu betrachten und ggfs. mit leichten Veränderungen anzuwenden. Neben dem Ausfall von Weitverkehrsnetzen, fehlenden oder unzureichen Test- und Freigabeverfahren und unzureichenden Notfallvorsorgekonzepten werden explizit auch die zu hohe Abhängigkeit von einem Outsourcing-Dienstleister oder auch „weiche Faktoren“ wie die Störung des Betriebsklimas durch ein Outsourcing-Vorhaben thematisiert. Die Maßnahmenempfehlungen sind teilweise sehr detailliert und regeln neben der Erstellung eines IT-Sicherheitskonzepts für das Outsourcing-Vorhaben oder der Vertragsgestaltung mit dem Outsourcing-Dienstleister auch die Vorgehensweisen für eine geordnete Beendigung eines Outsourcing-Dienstleistungsverhältnisses.

Auch ohne die strikte Orientierung an der Grundschutz-Vorgehensweise des BSI bietet der Baustein 1.11 Anbietern und Kunden gute Hinweise und erprobte Vorgehensweisen auch für cloud-basierte Dienstleistungen.

Datensicherheit

Die aktuelle Marktsituation im Bereich des Cloud-Computing ist in Bezug auf konkrete Sicherheitszusagen eher unbefriedigend. Viele Anbieter treffen keine konkreten Aussagen zu den bei ihnen getroffenen technischen und organisatorischen Maßnahmen.

Dies wird noch unverständlicher, wenn man bedenkt, dass für die bei vielen Anbietern von cloud-basierten Diensten im Einsatz befindlichen Standardkomponenten seitens der Hersteller konkrete Sicherheitsvorgaben und –empfehlungen ausgesprochen wurden.

Am Beispiel marktüblicher IaaS-Angebote lässt sich dies leicht nachvollziehen: Kaum ein Anbieter stellt die auf Betriebssystem-Ebene getroffenen Sicherheitsmaßnahmen nachvollziehbar dar. Ein nachvollziehbares Sicherheitsniveau ist in den wenigsten Fällen gegeben. Auch hier verbleibt die Hauptlast in Fragen der IT-Sicherheit beim Anwender und nicht wie eigentlich zu erwarten: beim Anbieter.

Im Bereich des Cloud-Computing müssen sich hier Standard-Vorgehensweisen und –Nachweise zur IT-Sicherheit etablieren. Dies kann unter anderem auch durch Zertifizierungsverfahren erreicht werden. Ein großer, erster Schritt wäre jedoch das Veröffentlichen von nachvollziehbaren Beschreibungen der technischen und organisatorischen Sicherheitsmaßnahmen seitens der Anbieter.

Datenschutz

Über die Anforderungen zur IT-Sicherheit hinaus sind spezifische Anforderungen seitens des Datenschutzes zu erfüllen. Das Grundrecht auf informationelle Selbstbestimmung darf nicht durch die Nutzung ungeeigneter cloud-basierter Angebote beeinträchtigt werden. Wesentliche Voraussetzung hierfür ist, dass auf Seiten der Kunden ein Datenschutzmanagementsystem etabliert wird. Dieses muss durch anlassbezogene und regelmäßige Kontrollen, konkreten Vorgaben zum Umgang mit Datenschutzproblemen und –verstößen und einer generellen Integration in die Unternehmensprozesse für eine geregelte Bearbeitung des Themenbereichs Datenschutz sorgen.

Ein betriebliches oder behördliches Datenschutzmanagement muss vor allem die Umsetzung der Betroffenenrechte in den Vordergrund stellen. Betroffene haben das Recht auf Löschung, Berichtigung oder Sperrung ihrer personenbezogenen Daten. Dieses Recht müssen Anwender auch gegenüber dem Anbieter durchsetzen können.

Auch im Bereich des Cloud-Computing gelten die Grundsätze der Datensparsamkeit und der Zweckbindung bei der Verwendung personenbezogener Daten. Es dürfen nur die nachgewiesen zwingend notwendigen Daten ausschließlich zu dem Zweck verarbeitet werden, zu dem sie auch erhoben wurden.

Die hierfür notwendigen Prozesse sind bereits seit mehreren Jahren etabliert. Die zuständigen Aufsichtsbehörden für Datenschutz stehen potentiellen Anwendern von cloud-basierten Diensten hier beratend, prüfend und bewertend zur Verfügung.

Konkrete, cloud-spezifische Risiken für den Datenschutz ergeben sich bei manchen Angeboten vor allen aus fehlenden, konkreten Zusagen zum Ort der Datenverarbeitung. Während für das Anbieten, Nutzen und Betreiben von cloud-basierten Diensten keine technischen Gründe zur Berücksichtigung territorialer Grenzen bestehen, muss bei der Anwendung des Datenschutzrechts der Ort der Datenverarbeitung stets berücksichtigt werden. Bei weltweit verteiltem Cloud Computing können ohne zusätzliche Zusicherungen zur Lokalität der Datenverarbeitung und -speicherung Anwenderinnen und Anwender nicht entscheiden, ob in den für den genutzten Dienst und den für die Erbringung des Dienstes vorgesehenen Ländern ein angemessenes Datenschutzniveau gewährleistet ist. Eine Anwendung solcher Cloud-Dienste ohne konkrete Ortsvorgaben oder -zusagen zur Verarbeitung personenbezogener Daten ist datenschutzrechtlich nicht zulässig.

Sollen personenbezogene Daten in einem cloud-basierten Dienst verarbeitet werden, so muss für alle Schritte der Datenverarbeitung der konkrete Ort festgelegt werden und feststellbar sein.

Fazit

Cloud-Computing "erbt" in vielen Bereichen bereits bekannte Risiken und Gefährdungen der automatisierten Datenverarbeitung. Für diese Risiken sind jedoch in gängigen (inter-) nationalen Sicherheitsstandards (vgl. ISO27001 , BSI Grundschutz) geeignete Gegenmaßnahmen und Vorgehensweisen zur Risikoanalyse definiert.

Anbieter von cloud-basierten Diensten können hier auf bestehende Vorarbeit und funktionierende Werkzeuge zurückgreifen.

Nutzer von cloud-basierten Diensten sollten vor der Aufnahme einer Datenverarbeitung geeignete Nachweise einer sicheren Datenverarbeitung in Form von Sicherheitskonzepten und detaillierten Prozessbeschreibungen im Sinne eines integrierten Datenschutz- und Sicherheitsmanagements einfordern und als Nachweis in die eigene Sicherheitsdokumentation übernehmen.

Setzt man die bereits bekannten und funktionierenden Prozesse und Maßnahmen um, die auch im Bereich der Datensicherheit und des Datenschutzes bei der „klassischen“ Datenverarbeitung für Konformität mit den datenschutzrechtlichen Vorgaben sorgen, so hat man auch einen Großteil der Datenschutzrisiken gängiger cloud-basierter Dienste im Griff.

Datenschutz wird hierbei nicht zum Verhinderer von Cloud-Computing, sondern vielmehr zum Erfolgsfaktor.


Über Sven Thomsen

Sven Thomsen leitet beim Unabhängigen Landeszentrum für Datenschutz (ULD) in Kiel das technische Referat. Er ist zuständig für den Systemdatenschutz bei der automatisierten Verarbeitung personenbezogener
Daten sowie den technischen Datenschutz in der Telekommunikation und bei Telemedien. Nach einem Studium der Informatik war er zunächst als freier Berater mit Schwerpunkt auf Unix- und Firewallsystemen tätig. Als IT-Projektleiter hat er beim Norddeutschen Rundfunk mehrere Projekte zur Serverkonsolidierung und IT-Sicherheit betreut.


Onlinequellen
[1] http://www.cio.bund.de/cln_093/DE/Home/home_node.html
[2] http://www.cio.bund.de/cln_093/DE/IT-Angebot/IT-Beschaffung/EVB-IT_BVB/evb-it_bvb_node.html
[3] https://www.bsi.bund.de/ContentBSI /grundschutz/kataloge/baust/b01 /b01 01 1 .html
[4] https://www.bsi.bund.de/cln_1 56/DE/Themen/ITGrundschutz/ITGrundschutzStandards/ITGrundschutzStandards_node.html



Die Herausforderungen des Cloud Computing: Datenschutz und Datensicherheit

Mit der Adaption von Cloud Computing Technologien und Services stehen Unternehmen Herausforderungen gegenüber, die es zu bewältigen gilt. Zum einen müssen organisatorische Voraussetzungen geschaffen und Aufklärungsarbeit innerhalb des Unternehmens geleistet werden, um die Akzeptanz und das Verständnis zu stärken. Zum anderen treffen aber auch viele “Widerstände” von außen auf das Unternehmen. Das sind neben Fragen bzgl. der Sicherheit und des Datenschutz ebenfalls Themen zur Verfügbarkeit und Performanz des ausgewählten Cloud Service sowie dessen Integrationsfähigkeit in die bereits bestehende IT-Infrastruktur und die nahtlose Unterstützung der vorhandenen Geschäftsprozesse. Und wie auch schon aus den klassischen Sourcingmöglichkeiten bekannt, besteht auch im Cloud Computing die Angst, in die Abhängigkeit eines einzigen Anbieters zu verfallen. So müssen auch hier die Interoperabilität und die Schnittstellen des Anbieters sowie ein Vergleich zu anderen Anbieteren vorgenommen werden.

Ist die Entscheidung für die Nutzung des Cloud Computing gefallen, ist es für Unternehmen zunächst an der Zeit, eine Ist-Analyse der bestehenden IT-Infrastruktur und Systeme vorzunehmen, um auf Basis dieser zu planen, welche Cloud Services adaptiert werden sollen. Hier kann bspw. eine Kosten-/ Nutzen-Analyse weiterhelfen, bei der auch eine Risikobewertung nicht fehlen sollte. Um erste Erfahrungen auf dem Cloud Computing Gebiet zu sammeln, sollte ein Pilotprojekt initiiert werden, welches auf Grund des Cloud Computing Konzepts schnell und kostengünstig gestartet werden kann. Dieses sollte einem Gesamtverantwortlichen “Cloud” untergeordnert sein, der als zentrale Stelle innerhalb der Organisation für die Adaption und Beratung der einzelnen Abteilungen für dieses Thema zuständig ist. Mit den gesammelten Erfahrungen können dann weitere Projekte gestartet werden und die Adaption unterschiedlicher Cloud Services sukzessive vorgenommen werden.

Datenschutz und Datensicherheit

Während der Nutzung einer Public Cloud werden die Daten eines Unternehmens immer an einen Cloud Anbieter übertragen. Aus diesem Grund sind viele Kritiker der Meinung, dass Cloud Computing von der rechtlichen Seite betrachtet nicht zulässig sei, da die Anforderungen des Datenschutzes an dieser Stelle nicht erfüllt werden.

Arnd Böken zeigt, dass es rechtlich ohne weiteres möglich ist, personenbezogene Daten innerhalb einer Public Cloud verarbeiten zu lassen, wenn das Unternehmen und der Cloud Anbieter bestimmte Voraussetzungen einhalten. Der Cloud Anbieter wird dafür als Auftragsdatenverarbeiter für das Unternehmen tätig.
Nach §11 Bundesdatenschutzgesetz (BDSG) muss das Unternehmen den Cloud Anbieter zunächst sorgfältig auswählen, um diesen die Auftragsdatenverarbeitung vornehmen zu lassen. Dazu hat es die Pflicht, “[...] zu prüfen, ob der Anbieter geeignete technische und organisatorische Schutzmaßnahmen getroffen hat, die Daten sicher zu verarbeiten.” Um das sicherzustellen, muss das Unternehmen das Schutzkonzept des Cloud Anbieters überprüfen. Grundsätzlich müssen dabei die folgenden Grundsätze der Datensicherheit bei der Verarbeitung personenbezogener Daten nach der Anlage zu § 9 des Bundesdatenschutzgesetz (BDSG) eingehalten werden:

  • Zutrittskontrolle: Maßnahmen, die Unbefugte am Zutritt zu Datenverarbeitungsanlagen hindern. Das gilt für Außenstehende sowie für Mitarbeiter aus anderen Unternehmensbereichen oder Mitarbeiter außerhalb ihrer Arbeitszeit, etwa durch Gebäudeüberwachung, Einrichten von Sicherheitszonen, Berechtigungsausweise und Alarmanlagen.
  • Zugangskontrolle: Maßnahmen, die Unbefugte daran hindern, Datenverarbeitungssysteme zu nutzen, etwa durch Passwortvergabe, sowie Schutzmaßnahmen gegen Eindringen wie Firewalls.
  • Zugriffskontrolle: Schutzmaßnahmen, damit Mitarbeiter Daten nur im Rahmen ihrer Zugriffsberechtigung einsehen und nutzen können sowie der Schutz bei Nutzung der Daten und nach Speicherung. Zum Beispiel eine eindeutige Zuweisung von Zugriffsberechtigungen, wirksame Prüfverfahren und Verschlüsselung.
    Weitergabekontrolle: Schutz der Daten bei Speicherung oder Weitergabe einschließlich einer Dokumentation, an welche Stellen Weitergabe vorgesehen ist. Durch genaue Dokumentation der beteiligten Rechenzentren, Protokollierung der Speicherorte der Daten, Regelungen zur Verschlüsselung und zuverlässige Löschverfahren.
  • Eingabekontrolle: Protokollierung, wann und von wem welche Daten eingegeben, verändert oder entfernt worden sind.
  • Auftragskontrolle: Daten dürfen bei Auftragsdatenverarbeitung nur nach den Weisungen des Auftraggebers verarbeitet werden. Unter anderem durch eine eindeutige Regelungen zur Zweckbindung, zu Zugriffsbeschränkungen, zur Aufbewahrung, zum Verlust von Datenträgern, zu Löschverfahren und vollständiger Herausgabe nach Auftragsende.
  • Verfügbarkeitskontrolle: Schutzmaßnahmen gegen zufällige Zerstörung oder Verlust von Daten. Beispielsweise durch regelmäßige Sicherung, USVs und Katastrophenpläne.
    Trennungskontrolle: Systeme müssen Daten, die zu unterschiedlichen Zwecken erhoben wurden, getrennt verarbeiten können. Zum Beispiel durch Trennung über Zugriffsregelung.

Des Weiteren sind Zertifizierungen des Anbieters unverzichtbar sowie eine Bestätigung über die Einhaltung des oben genannten Schutzkonzeptes.

Eine Auftragsdatenverarbeitung setzt gleichermaßen voraus, “[...] dass die Daten nur in Rechenzentren innerhalb des Europäischen Wirtschaftsraums (EWR), das heißt EU plus Norwegen, Island und Liechtenstein, verarbeitet werden.” Aus diesem Grund haben viele Cloud Anbieter ebenfalls EU/EWR-Clouds im Angebot, z.B. dann, “[...] wenn ein Unternehmen seine Buchführung in die Cloud auslagern will.”
Zudem sollte ein Unternehmen mit dem Cloud Anbieter eine Vertraulichkeitsvereinbarung abschließen, bevor es diesem weitere Interna mitteilt.



Fallbeispiel: Cloud Computing im Unternehmenseinsatz

Um die Möglichkeiten des Cloud Computing im Unternehmenseinsatz darzustellen, wird am Beispiel eines fiktiven Unternehmens, der Spielwaren GmbH, die IT-Infrastruktur analysiert und ein Handlungskonzept für die Migration in die Cloud vorgestellt.

Ausgangssituation

Die Spielwaren GmbH ist ein weltweit agierendes Unternehmen mit vier Standorten in Deutschland, den USA, China und Indien. Das Unternehmen erzielt mit seinen knapp 3.500 Mitarbeitern weltweit einen Umsatz von ca. 1 Milliarde US Dollar pro Jahr. Die IT-Umgebung des Unternehmens wurde in den letzten Jahren weitestgehend nur dann aktualisiert, wenn die Notwendigkeit durch Ausfall eines Servers oder ähnliches bestand. Die Systemumgebung setzt sich wie folgt zusammen.

  • Customer Relationship Management: Microsoft Dynamics CRM
  • Enterprise Resource Planing: Microsoft Navision
  • Verzeichnisdienst/ Domain Controller: Microsoft Active Directory Services
    (ADS)
  • Kommunikationsserver/ E-Mail-Server: Microsoft Exchange 2000
  • Applicationserver: Microsoft Windows 2000 Server
  • Fileserver: Microsoft Windows 2000 Server (für Office Dokumente)
  • Webserver: Microsoft Internet Information Server
  • Betriebssysteme: Windows 2000 Professional
  • Anwendungssoftware: Microsoft Office 2000

Die Kommunikation der Standorte findet über SDSL VPN-Verbindungen statt. Die beschriebene Systemumgebung gilt für jeden Standort. Eine Skizze der IT-Infrastruktur ist in der folgenden Graphik illustriert.

Ausgangssituation der Spielwaren GmbH

Analyse der IT-Umgebung

Eine Analyse der IT-Infrastruktur führte zu folgendem Ergebnis.

  • Microsoft Dynamics CRM: ok
  • Microsoft Navision: veraltet
  • Microsoft Active Directory Services: ok
  • Microsoft Exchange 2000: veraltet, die Maintenance durch Microsoft endet im Juli 2010, Lizenzen können nicht mehr nachbestellt werden.
  • Microsoft Windows 2000 Server: veraltet, die Maintenance durch Microsoft endet im Juli 2010, Lizenzen können nicht mehr nachbestellt werden.
  • Webserver: überdimensioniert, Erweiterungen ohne Konzept, Jahresdurchschnitt ca. 15% Belastung, Hauptzeiten: 80% Zuwachs
  • Windows 2000 Professional: veraltet, die Maintenance durch Microsoft endet im Juli 2010, Lizenzen können nicht mehr nachbestellt werden.
  • Microsoft Office 2000: veraltet, die Maintenance durch Microsoft endet im Juli 2010, Lizenzen können nicht mehr nachbestellt werden.
  • Arbeitsplatzrechner: überwiegend veraltete Systeme, die in den nächsten ein bis zwei Jahren ausgetauscht werden müssen(!)
  • VPN-Verbindungen: instabil(!), der Datenverkehr nimmt durch steigende Synchronisationen zu.

Generell gilt für die vorhandenen Rechenzentren: Die Hardware bei 80% der Server ist am Limit bzw. veraltet und muss dringend augetauscht werden.

Handlungskonzept

Auf Basis der Analyse und der Sondierung des Cloud Computing Marktes erhält die Spielwaren GmbH folgende Handlungsempfehlung.

  • Microsoft Dynamics CRM: Ablösung durch Salesforce.com
  • Microsoft Navision: Ablösung durch Salesforce.com
  • Microsoft Active Directory Services: Migration zu Google Apps mittels Directory Sync, Integration von Salesforce.com in Google Apps Professional mittels Salesforce for Google Apps
  • Microsoft Exchange 2000: Ablösung durch Google Apps Professional (Mail & Kalender)
  • Microsoft Windows 2000 Server: können entfallen, da sämtliche Office Dokumente auf Google Apps abgelegt werden, ggf. können auf GoGrid Fileserver angemietet und über entsprechende APIs mit Salesforce und Google Apps verbunden werden.
  • Webserver: Go Grid Server (Baukastensystem bestehend aus Load Balancer, Datenbankserver, Webserver und Speicherplatz) auf Linux oder Windows Basis
  • Windows 2000 Professional: Kann durch eine Linux Distribution z.B. Ubuntu Linux ausgetauscht werden
  • Microsoft Office 2000: Ablösung durch Google Apps Professional (Text & Tabellen)
  • Arbeitsplatzrechner: Schrittweise Ablösung der Fat-Clients durch Thin-Clients
  • VPN-Verbindungen: Die SDSL Leitungen bleiben vorhanden, die Kommunikation erfolgt vollständig über die Cloud

Die beschriebene Handlungsempfehlung gilt für die gesamte IT-Umgebung der Spielwaren GmbH, wodurch alle Standort betroffen sind. Eine Skizze der möglichen IT-Infrastruktur nach Umsetzung der Handlungsempfehlung ist in der folgenden Graphik illustiert.

Handlungskonzept für die Spielwaren GmbH

Vorteile

Die Migration würde der Spielwaren GmbH folgende Nutzen bringen.

  • Reduzierung der Kosten
    • Lizenzkosten für Software
    • Hardwarekosten (Server, Desktop)
    • Maintenance-Kosten
    • Personalkosten
  • Erhöhung der Datensicherheit
    • Automatisierte Durchführung von Backups durch den Anbietern
  • Optimierung der Zusammenarbeit
    • Standortübergreifende Zusammenarbeit durch Web-Kollaboration
  • Automatisierung der Softwarewartung
    • die Anwendungssoftware ist immer auf dem aktuellen Stand
  • Steigerung der Flexibilität
    • Mitarbeiterverwaltung
    • Hinzufügen neuer Anwendungen
  • Mobilität
    • Mitarbeiter können von überall arbeiten
    • Zugriff auf alle Daten von überall
  • Konzentration auf Kernkompetenzen
    • Erhöhung der Investitionen in das Kerngeschäft

Nachteile

Neben den Nutzen birgt die Migration aber auch einige Gefahren, die aufgezeigt werden müssen.

  • Politische Einflüsse
    • Politische Spionage/ Einschränkungen über die Internetverbindungen (z.B. China)
  • Single point of failure
    • Internetverbindung (kann durch Backupleitungen abgesichert werden)
  • Ausfall eines Anbieters
  • Datensicherheit(!)
    • Alle unternehmenskritischen Informationen befinden sich auf fremden Servern
  • Standorte der Server
    • Ist in der Cloud nicht transparent
  • Abhängigkeit
    • Die Standards der Anbieter müssen eingehalten werden

Kostenbetrachtung

Um den finaziellen Vorteil mit Zahlen zu verdeutlichen, wird die vorgeschlagende Google Apps Professional dem vergleichbaren Microsoft Exchange Server gegenüber gestellt. Die Aufstellung der Kosten ist in der folgenden Graphik nachzuvollziehen.

Vergleich der Kosten von Google Apps Professional mit einer Microsoft Exchange Lösung

Der Vergleich zeigt den deutlichen finanziellen Vorteil durch den Einsatz der Google Apps Professional Lösung. Über einen Zeitraum von drei Jahren liegen die Ersparnisse pro Benutzer bei ca. 62,00 EUR im Vergleich zur Microsoft Exchange Lösung. Das liegt zum einen an den geringeren Lizenzkosten der Google Lösung (Ersparnis: 98.000 EUR), zum anderen an den geringeren Wartungs- (Ersparnis: 53.000 EUR) und Administrationskosten (Erspanis: 68.000 EUR) sowie an den fehlenden Investitionskosten in eine eigene Infrastruktur für die Server (Ersparnis: 20.400 EUR). Werden die gesamten Wartungs-, Administrations und Infrastrukturkosten herausgerechnet (letzte Zeile), liegt der Kostenvorteil der Google Lösung über einen Zeitraum von drei Jahren nur noch bei ca. 8,00 EUR pro Mitarbeiter.

Dieser Vergleich zeigt, wie die Infrastruktur- und Wartungskosten durch den Einsatz von Cloud Computing signifikant gesenkt werden können.

Reflexion

Die Handlungsempfehlungen, die für dieses Beispiel gewählt wurden, sind bewusst ein wenig extrem aber verdeutlichen gleichzeitig, was bereits heute mit dem Cloud Computing für Möglichkeiten bestehen. Ein Unternehmen muss sich gut überlegen, ob es seine Infrastruktur bzw. die unternehmenskritischen Daten in der Form so auslagern möchte. Zu groß ist z.B. das Risiko der Datensicherheit. Werden auf der anderen Seite aber Kunden von Google (Motorola und Procter & Gamble) und Salesforce.com (Dell, Dow Jones und Morgen Stanley) herangezogen, sollte die Attraktivität dieses Outsourcingmodells nicht vernachlässigt werden. Zu so einer Entscheidung gehört auch immer eine subjektive Betrachtung, bei der die Kosten eine immer größer werdene Variable in der Gleichung werden. Aus diesem Grund müssen auch Kompromisse geschlossen werden, wenn Kosten gesenkt werden sollen. Ob die Datensicherheit dabei zweitrangig behandelt werden darf bleibt fraglich.



Eigenschaften einer Cloud Platform

Ich habe bisher einige Cloud Computing Plattformen, darunter openQRM, OpenNebula oder OpenECP vorgestellt und ein paar weitere werden noch folgen. Daher erläutere ich in diesem Artikel die grundsätzlichen Eigenschaften die eine Cloud Plattform (meiner Meinung nach) hat bzw. haben sollte.

1. Zunächst sollten ausreichend virtualisierte Serverressourcen zur Verfügung stehen. Weiterhin müssen, (vor allem dann) wenn sich mehrere Kunden auf einem System befinden, jedem Kunden diese virtualisierten Serverressourcen garantiert werden und die einzelnen virtuellen Instanzen isoliert und damit vollständig von einander getrennt betrieben werden.

2. Zum Bereitstellen von umfangreichen Enterprise-Class-Services wie z.B. hohe Verfügbarkeit, Systemwiederherstellungen nach Datenverlusten, automatische Skalierung während Lastspitzen und Ressourcenoptimierungen muss eine große (unbegrenzte) Menge an virtualisierten Serverressourcen vorhanden sein.

3. Für ein zustandsbehaftetes Lifecycle Management, wozu Snapshots, schnelles Cloning (duplizieren) und eine dynamische Versorgung mit Ressourcen über große Server Infrastrukturen gehören, wird ein virtualisierter Cloud Speicher benötigt.

4. Für die Anpassung der virtuellen Topologie - durch das Hinzufügen weiterer Netzwerkfunktionen für Sicherheit, Routing, Load Balancing, Application Firewalls, Protokol Optimierung, etc. in den OSI Schichten 3 bis 7 - und die Möglichkeit die jeweiligen (Teil)-Netzwerke auf Multi-Kunden Systemen zu isolieren und Ressourcen zu garantieren, werden virtuelle Netzwerk Ressourcen benötigt.

5. Es müssen umfangreiche und offene APIs zur Kontrolle sämtlicher Ressourcen vorhanden sein, damit Cloud Computing Anbieter ihren Kunden die vollständige Kontrolle über deren privaten virtuellen Rechenzentren anbieten können.

6. Die Cloud Plattform muss für allen gängigen Virtualisierungs-Plattformen vollständige Kompatibilität bieten und jede virtuelle Maschine unterstützen, um u.a. einen Vendor Lock-in zu vermeiden. Des Weiteren müssen Funktionen für die Migration von virtuellen Maschinen zwischen unterschiedlichen Virtualisierungs-Technologien (P2V, V2P und V2V) vorhanden sein.

7. Zu guter letzt sollte die Cloud Plattform auf Open Source basieren, um eine größtmögliche Kompatibilität zu allen möglichen Clouds aufzuweisen und um einfach adaptiert und angenommen zu werden.



Der CloudBerry S3 Explorer

Der CloudBerry Explorer ist ein Tool für die Verwaltung von Dateien innerhalb von Amazons S3 Cloud Storage. Mittels einer graphischen Benutzeroberfläche kann damit eine Verbindung zu dem S3 Account hergestellt werden, um Buckets anzulegen und Dateien zwischen dem eigenem Rechner und dem S3 Speicherplatz auszutauschen. Der CloudBerry S3 Explorer ähnelt äußerlich dem bekannten Windows Explorer, wodurch man seine Dateien innerhalb von Amazons Cloud so verwalten kann, als befinden sich diese auf dem lokalen Rechner.

Auf Grund der äußerlichen Anlehnung an den Windows Explorer, können (Windows)-Benutzer auch ohne spezielle technische Kenntnisse mit Amazon S3 ihre Dateien verwalten. Benutzer werden zusätzlich unterstützt, indem z.B. zeitaufwendige Aufgaben automatisiert werden können, und sich damit die Produktivität erhöht. Durch die vollständige Integration der Schnittstelle in Amazon S3 kann der lokale Speicher mit den S3 Speicher erweitert werden, wodurch man nicht mehr auf die bekannte "klassische" Art der Datenspeicherung auf der lokalen Festplatte angewiesen ist. Die Datenhaltung und Dateiverwaltung verhält sich dennoch so, als würden sich die Daten auf dem lokalen System befinden. Darüber hinaus können die Dateien, die sich auf dem Amazon S3 Speicher befinden auch Freunden, Bekannten oder allen anderen die über eine Internetverbindung verfügen bereitgestellt werden. Um den Zugriff zu beschränken können die Daten mit bestimmten Rechten und Passwörtern geschützt werden.

Beschreibung einzelner Funktionen

  • Durchsuchen der S3 Buckets
    Mit dem CloudBerry Explorer kann der Inhalt von S3 Buckets durchsucht und verwaltet werden. Dazu gehört z.B. das Erstellen von Buckets und Ordnern oder das Umbenennen von Dateien.

  • Kopieren von Dateien im Hintergrund
    Mit dem CloudBerry Explorer können die Dateien auch im Hintergrund zwischen Amazon S3 und dem lokalen Rechner kopiert oder verschoben werden. Die sonstigen Funktionen des Systems werden davon nicht beeinflusst. Darüber hinaus kann der Kopiervorgang angehalten und wieder fortgesetzt werden. Fehler bei der Übertragung werden wie in einer Warteschlange dokumentiert.

  • Nutzung mehrerer S3 Accounts
    Der CloudBerry Explorer unterstützt einen bis eine beliebige Anzahl von Amazon S3 Accounts.

  • Erstellen von Access Control Lists (ACL)
    Mit dem CloudBerry Explorer können mittels eines speziellen Editors Access Control Lists (ACL) erstellt werden, um damit anderen Amazon S3 Benutzern oder allen Internet Benutzern Zugriff auf den eigenen S3 Speicherplatz zu gewähren. Außerdem können die Rechte auf Bucket-Ebene vergeben werden, was sich auf alle Dateien innerhalb dieses Buckets auswirkt.

  • Kopieren von Dateien zwischen S3 Accounts
    Mit dem CloudBerry Explorer können Dateien schnell zwischen zwei Amazon S3 Accounts kopiert oder verschoben werden.

  • Erstellen öffentlicher URLs
    Mit dem CloudBerry Explorer können für ein oder mehrere Objekte öffentliche URLs generiert werden. Diese können ebenfalls zeitlich begrenzt sein und werden nach einer vorgegeben Zeit inaktiv. Über CNAMEs können die URLs lesbarer gemacht werden.

  • Konfiguration von Amazon CloudFront
    Der CloudBerry Explorer unterstützt die Konfiguration und Bereitstellung von Amazon CloudFront. Dazu wird einfach ein Bucket ausgewählt und dieser für Amazon CloudFront "aktiviert".

Funktionen

  • Verbindung zu einer beliebigen Anzahl von Amazon S3 Accounts
  • Paralleles Arbeiten mit unterschiedlichen Amazon S3 Accounts
  • Schnelles Kopieren zwischen Amazon S3 Accounts
  • Gemeinsame Nutzung von Buckets und Dateien (die sich auf S3 befinden) mit anderen Benutzern
  • Erstellen, Durchsuchen, Löschen von S3 Buckets
  • Kopieren und Verschieben von Dateien zwischen Amazon S3 und dem lokalen Computer
  • Einrichten von Zugriffsrechten für Dateien
  • Automatisieren von alltäglichen Aufgaben mit der Microsoft PowerShell
  • Erzeugen von externen URLs
  • Kopieren und Verschieben im Hintergrund
  • Unterstützung von MD5 um sicherzustellen das Dateien während des Datentransfers mit S3 nicht verändert oder beschädigt werden.
  • Kopieren von Dateien aus dem Windows Explorer
  • Unterstützung von Amazon CloudFront
  • Unterstützung von CNAMEs
  • Unterstützung von zeitlich begrenzten oder signierten URLs
  • Erstellen von ACL-Listen Dateien innerhalb eines Buckets
  • Umbenennung von Objekten in S3
  • Sync Folders: Synchronisation lokaler Daten mit Amazon S3
  • Schutz des CloudBerry Explorer durch ein Masterpasswort
  • Einrichten von benutzerdefinierten HTTP-Headern
  • Automatische und zeitlich gesteuerte Aktualisierung von ACLs
  • Zugriffsverwaltung (öffentlich, privat) für Buckets
  • Bandbreitenregulierung
  • Unterstützung der Bereitstellung von privaten Inhalten für CloudFront
  • Beim Überschreiben einer Datei bleibt die vorherige ACL bestehen
  • Unterstützung des streamincloud.com FLV Encoder für Amazon S3
  • Unterstützung von CloudFront Streaming
  • Unterstützung von AWS Import / Export
  • Unterstützung für die Region US-West
  • ... und vieles mehr ...

Zukünftige Funktionen

  • Erweiterung von Amazon Best Practices
  • Portable Version
  • PSProvider für Amazon S3

Voraussetzungen

  • Windows XP/2003/Vista
  • Microsoft .NET Framework 2.0
  • Amazon S3 Account

Preise

CloudBerry Explorer Freeware

CloudBerry Explorer PRO

Freeware vs. Pro

Quellen

CloudBerry Explorer Freeware
CloudBerry Lab



Was ist AWS Import/Export?

Der Import/Export [1] Dienst der Amazon Web Services dient dazu, große Datenmengen auf einem schnelleren Weg in die Amazon Cloud zu transferieren bzw. diese hinaus zu bekommen, indem die Daten auf einem Datenträger auf postalischen Weg an Amazon verschickt werden. Dazu überträgt Amazon die Daten direkt vom gelieferten Datenträger über ihr internes Netzwerk in die Cloud. In einigen Fällen ist es kostengünstiger die Daten auf diesem Weg in die Amazon Cloud zu übertragen, als den Weg über das Internet zu wählen und dabei ggf. die Geschwindigkeit der Internetverbindung zu erhöhen.

Vorgehensweise

  • Vorbereiten eines Datenträgers mit den zu transferierenden Daten.
  • Eine Manifest Datei, die alle Informationen (Amazon S3 buckt, AWS Access Key ID, Rücksendeadresse) an Amazon verschicken.
  • Anschließend sendet Amazon eine E-Mail mit einem eindeutigen Kennzeichen und der AWS Versandadresse an die der Datenträger versendet werden muss.
  • Jetzt muss der Datenträger noch für die Identifizierung und Authorisierung vorbereitet werden, indem die Manifest-Datei und die Job-Id mit einer Digitalen Signatur verschlüsselt und auf den Datenträger hinterlegt werden.
  • Der Datenträger mird mit sämtlichen Zubehör an Amazon verschickt.


[2]

Wofür kann AWS Import/Export verwendet werden?

  • Datenmigration: Große Menge an Daten die erstmals in die Amazon Cloud transferiert werden sollen. AWS Import/Export ist in der Regel schneller als der Datentransfer über das Internet.
  • Externe Datensicherung: Vollständige oder Inkrementelle Backups können durch Amazon S3 zuverlässig und redundant gesichert werden.
  • Direkter Datenaustausch: Erhält man von seinen Geschäftspartnern die Daten regelmäßig auf Datenträgern, können diese auf direkten Weg zu Amazon versendet werden. Von dort werden die Daten dann in das eigene Amazon S3 bucket importiert.
  • Systemwiederherstellung: Für den Fall eines Systemausfalls und der notwendigen Wiederherstellung können die Daten mittels AWS Import/Export von Amazon S3 heruntergeladen, auf einem Datenträger gespeichert und anschließend in das eigene (lokale) System wieder importiert werden.

Quellen:

[1] AWS - Import/Export
[2] Graphik: AWS - Import/Export



Nachteile des Cloud Computing

Konstante Internetverbindung
Cloud Computing ist nur möglich, wenn eine Internetverbindung verfügbar ist. Da durch ergibt sich hiermit schon ein Single-Point-of-Failure.

Langsame Verbindungen
Um Cloud Computing akzeptal einsetzen zu können, bedarf es einer schnellen Internetverbindung. Es kann sonst sehr lange dauern, bis die Seiten in einem großen Dokument durchgesehen werden können.

Geschwindigkeitsprobleme
Trotz einer schnellen Internetverbindung können webbasierte Anwendungen langsamer sein als die auf dem lokalen System. Das liegt an der Zeit, die der Transfer benötigt, um die Daten zwischen der Cloud und dem Arbeitsplatzrechner auszutauschen.

Schutz der gespeicherten Daten
Beim Cloud Computing werden alle(!) Daten in der Cloud gespeichert. Dadurch ergeben sich natürlich die Fragen: Wie sicher ist die Cloud? Haben andere, möglicherweise unauthorisierte Benutzer Zugriff auf meine Daten?

Datenverlust durch die Cloud
Im Prinzip sind die Daten durch das Speichern über mehrere Server und Standorte hinweg redundant vor Verlust geschützt. Sollten die Daten nun aber doch aus irgendeinem Grund verloren gehen, existiert kein physikalisches bzw. lokales Backup dieser Daten. Die Daten sind dann einfach weg. Das kann umgangen werden, indem regelmäßig Backups aus der Cloud auf einen lokalen Rechner abgelegt werden, was aber nicht im Sinne des Cloud Computings wäre.

Abhängigkeit
Unternehmen machen sich zunehmend abhängig von ihren Dienstleistern. Wurden Teile der Infrastruktur einmal in die Cloud migriert, ist der Weg zurück nicht mehr so einfach. Die Dienstleister bieten Utilities um die Daten vom Unternehmen in die Cloud zu vereinfachen. Programme um die Daten wieder aus der Cloud heraus zu migrieren existieren aber bisher noch nicht. Genau so wenig existieren Programme um die Daten zwischen unterschiedlichen Anbietern zu übertragen, was daran liegen mag, dass jeder Anbieter mit unterschiedlichen Standards arbeitet. Da bleibt die Frage offen: Einmal Cloud - immer Cloud bzw. immer dieselbe Cloud?



Vorteile des Cloud Computing

Geringere Kosten für Arbeitsplatzrechner
Für die Nutzung von Cloud Computing Applikationen werden keine leistungsfähigen Arbeitsplatzrechner mehr benötigt. Die Anwendungen befinden sich in der Cloud und nicht mehr lokal auf dem Computer und werden über einenWebbrowser bedient. Dadurch ist eine hohe Rechenleistung und Speicherplatz auf dem lokalen System nicht mehr notwendig.

Leistungssteigerung
Das Arbeiten mit lokalen Systemen wird durch die Nutzung von Cloud Computing Anwendungen beschleunigt. Die Software und Daten der Anwender werden nicht mehr lokal gespeichert, wodurch das System entlastet wird.

Geringere Kosten der IT-Infrastruktur
Unternehmen können darauf verzichten in eine Vielzahl eigener leistungsstarker Server zu investieren und stattdessen die Rechenleistung etc. aus der Cloud beziehen. Interessant ist dies vor allem für Unternehmen, die saisonale Hochzeiten ausgleichen müssen und aus diesem Zweck ihre Systeme überdimensionieren müssen.

Geringere Instandhaltungskosten
Durch die Reduzierung der eigenen Serverfarm sinken die Instandhaltungskosten. Die Instandhaltungskosten der Software entfallen praktisch komplett, da dieses durch einen externen Anbieter übernommen wird.

Geringere Kosten für Software
Anstatt für jeden Arbeitsplatz einzelne Softwarepakete zu kaufen, besteht die Möglichkeit nur diejenigen Mitarbeiter die Software in der Cloud nutzen zu lassen, die diese auch benötigen. Selbst wenn die Kosten einer webbasierten Anwendung im Vergleich zu herkömmlicher Software gleich wären, würde die IT-Abteilung durch fehlende Installation und Wartung der webbasierten Software Kosten einsparen können.

Software Updates on Demand
Webbasierte Anwendungen können zentral und praktisch auf die Minute ausgetauscht werden. Die Software ist zu jeder Zeit auf dem aktuellen Stand, egal wann der Benutzer sich anmeldet.

Höhere Rechenleistung
Durch den Einsatz von Cloud Computing haben Unternehmen zu jeder Zeit den Zugriff auf die gesamten Ressourcen der Cloud und sind nicht mehr auf die Geschwindigkeiten beschränkt, die ihr eigenes Rechenzentrum ihnen bietet. Dadurch haben sie die Möglichkeit ihre Daten wie von einem Supercomputer verarbeiten zu lassen.

Unbegrenzter Speicherplatz
Im Vergleich zu einem Arbeitsplatzrechner oder einem Storage in einem Rechenzentrum ist der Speicherplatz in der Cloud praktisch unbegrenzt. Unternehmen haben dadurch den Vorteil ihren Speicherplatz dynamisch zu beziehen. Der angemietete Speicherplatz in der Cloud wächst also mit den Daten, die dort abgelegt werden.

Höhere Datensicherheit
Daten werden in der Cloud redundant (über mehrere Standorte) gespeichert, ein Datenverlust ist dadurch im Prinzip ausgeschlossen. Sollte ein Arbeitsplatzrechner abstürzen, sind die Daten davon nicht mehr betroffen. Lokale Datensicherungen können dadurch entfallen.

Einfachere Zusammenarbeit
Der klassische Dokumentenaustausch funktioniert so, dass die Daten auf einem Server im Netzwerk abgelegt oder per E-Mail an den Kollegen verschickt werden. Dabei konnte immer nur ein Benutzer zur Zeit an dem Dokument arbeiten. Durch das Ablegen der Daten in der Cloud können nun mehrere Benutzer - auch standortübergreifend - gleichzeitig auf ein Dokument zugreifen und dieses ebenfalls zur selben Zeit bearbeiten. Die Zusammenarbeit innerhalb eines Projekts wird dadurch verbessert.

Mobilität
Werden die Daten in der Cloud gespeichert, kann weltweit von jedem Ort, mit jedem Endgerät auf diese Daten zugegriffen werden - vorausgesetzt eine Internetverbindung ist vorhanden.