Tag: ownCloud


Wie schützen Unternehmen ihre Daten gegen die Überwachung in der Cloud?

Die US-Regierung hat mit PRISM die Verunsicherung bei Internetnutzern und Unternehmen weiter vergrößert und damit den Vertrauensverlust gegenüber US-amerikanischen Anbietern enorm verstärkt. Nach dem Patriot Act, der oftmals als das Hauptargument gegenüber dem Einsatz von Cloud-Lösungen US-amerikanischer Anbieter genannt wurde, hat nun die Überwachung durch die NSA das Fass zum Überlaufen gebracht. Aus der Sicht eines Unternehmens kann unter diesen Umständen die Entscheidung derzeit nur lauten, sich gegen einen Cloud Anbieter aus den USA zu entscheiden, selbst dann, wenn dieser ein Tochterunternehmen mit Standort und Rechenzentrum in Europa oder Deutschland hat. Darauf hatte ich bereits in diesem Artikel hingewiesen. Nichts desto trotz muss das Wirtschaftsleben weitergehen, was auch mit der Cloud funktionieren kann. Hier gilt es allerdings auf die technische Sicherheit zu achten, die in diesem Artikel thematisiert wird.

Betroffene Parteien

Diese ganze Thematik gilt zwangsläufig nicht nur für Unternehmen, sondern für jeden Nutzer der aktiv in der Cloud kommuniziert und seine Daten teilt und synchronisiert. Zwar darf in diesem Zusammenhang das Thema Datenschutz nicht vernachlässigt werden, für Unternehmen steht in der Regel jedoch noch mehr auf dem Spiel, wenn Informationen mit Firmeninterna abgefangen werden oder Sprach- und Videokommunikation überwacht wird. An dieser Stelle muss erwähnt werden, dass dies in erster Linie nichts mit der Cloud zu tun hat. Datenkommunikation wurde lange vor Cloud-Infrastrukturen und -Services betrieben. Jedoch führt die Cloud in Zukunft zu einer immer stärkeren Vernetzung und dient als Dreh- und Angelpunkt moderner Kommunikations- und Kollaborationsinfrastrukturen.

Die aktuelle Sicherheitslage

Der PRISM Skandal zeigt das gesamte Ausmaß der Möglichkeiten, die es den US-Sicherheitsbehörden erlaubt, ungehindert und ungeachtet auf die weltweite Datenkommunikation zuzugreifen. Dazu nutzen die US-Behörden offiziell die "National Security Letter (NSL)" des US Patriot Act und den "Foreign Intelligence Surveillance Act (FISA)". Auf Grund dieser Anti-Terror Gesetze sind die US-Anbieter und deren Töchterfirmen im Ausland dazu verpflichtet Auskünfte über angefragte Informationen zu erteilen.

Im Rahmen der PRISM Enthüllungen wird ebenfalls über vermeintliche Schnittstellen, "Kopier-Räume" oder Backdoors bei den Anbietern spekuliert, mit denen Dritte direkt und ungehindert die Daten abgreifen können. Das widersprechen die Anbieter jedoch vehement.

US-Anbieter, nein Danke?

Während der Auswahl eines Cloud-Anbieters* werden verschiedene Segmente betrachtet die grob in technische und organisatorische Bereiche unterteilt werden können. Der technische Bereich spiegelt in diesem Fall die technische Sicherheit und der organisatorische die rechtliche Sicherheit wieder.

Die organisatorische Sicherheit ist mit Vorsicht zu genießen. Der Patriot Act öffnet den US-Sicherheitsbehörden legal die Türen, soweit ein Verdachtsfall vorliegt. Inwieweit dieses immer im rechtlichen Rahmen bleibt, vagen mittlerweile viele zu bezweifeln. An dieser Stelle ist Vertrauen gefragt.

Technologisch betrachtet sind die Rechenzentren der Cloud-Anbieter als sicher einzustufen. Der Aufwand und die Investitionen die von den Anbietern betrieben werden, kann kein normales Unternehmen erbringen. Aber auch hier gilt 100% Sicherheit kann niemals gewährleistet werden. Soweit möglich sollte der Nutzer zusätzlich eigene Sicherheitsmechanismen einsetzen. Weiterhin sollten die Gerüchte über staatliche Zugriffe der NSA nicht ungeachtet bleiben. Über zwei US-amerikanische Telefonanbieter gibt es bestätigte Berichte, in denen über direkte Zugriffe auf die Kommunikation durch die NSA und stark gesicherte Räumen, die über modernste Überwachungstechnologien verfügen, die Rede ist. In diesem Zusammenhang sollten auch die Anbieter von on-Premise IT-Lösungen betrachtet werden, inwieweit diese unterwandert sind.

Unter beiden Gesichtspunkten und der aktuellen Sicherheitslage sind US-amerikanische Anbieter mit Vorsicht zu genießen. Das gilt ebenfalls für deren Tochterfirmen mit einem Sitz in der EU. Denn auch diese sind nicht in der Lage zumindest die notwendige rechtliche Sicherheit zu erfüllen.

Aber auch der deutsche Geheimdienst darf nicht ungeachtet bleiben. Neueste Meldungen weisen daraufhin, dass der "Bundesnachrichtendienst (BND)" die Überwachung des Internets ebenfalls weiter massiv ausbauen wird. Dazu stehen Mittel in Höhe von 100 Million EUR bereit, von denen von der Bundesregierung bereits fünf Millionen EUR freigegeben wurden. Im Gegensatz zur NSA wird der BND nicht den vollständigen Datenverkehr im Internet speichern, sondern nur auf bestimmte verdächtige Inhalte prüfen. Dazu darf er laut dem G-10-Gesetz bis zu 20 Prozent der Kommunikationsdaten zwischen Deutschland und dem Ausland mitlesen.

Hardliner müssen mit sofortiger Wirkung sämtliche digitale sowie analoge Kommunikation einstellen. Das wird allerdings nicht mehr funktionieren, da die Abhängigkeit zu groß geworden ist und das moderne unternehmerische Dasein von der Kommunikation bestimmt wird. Es müssen daher andere legale Wege gefunden werden, trotz Überwachung, eine sichere Kommunikation und Datenübertragung zu gewährleisten.

* Ein Cloud-Anbieter kann in diesem Zusammenhang ein Service-Anbieter oder ein Anbieter von Private Cloud oder IT-Hard- und Software-Lösungen sein.

Anforderungen an sichere Cloud-Services und IT-Lösungen

Zunächst muss klar gesagt werden, dass es kein Allheilmittel gibt. Die Gefahr geht spätestens von dem Nutzer aus, der über die Gefahrenlage nicht aufgeklärt ist oder mit Absicht Unternehmensdaten entwendet. Ungeachtet dessen führen die PRISM Erkenntnisse zu einer neuen Sicherheitsbetrachtung im IT-Bereich. Und es ist zu hoffen, dass sich damit ebenfalls das Sicherheitsbewusstsein der Anwender vergrößert.

Unterstützung können Unternehmen dabei von Cloud-Services und IT-Lösungen erhalten, die das Thema Sicherheit von Beginn an zum bedingungslosen Teil ihres Leitmotivs gemacht haben. Das sollten unter den aktuellen Umständen bevorzugt Anbieter aus Europa oder Deutschland sein. Auch wenn es bereits erste Berichte über Verzwickungen und Einflüsse der US-Regierung und von US-Anbietern auf die Europäische Kommission gibt, die eine "Anti-FISA-Klausel" in der EU-Datenschutzreform verhindert haben, existieren in Europa keine vergleichbaren Gesetze wie der US Patriot Act oder FISA.

Demnach können auch europäische und deutsche IT-Anbieter, die nicht dem Patriot Act unterstellt und nicht staatlich unterwandert sind, US-amerikanischen Anwendern dabei helfen ihre Datenkommunikation sicher zu betreiben.

Kriterien für die Anbieterauswahl

Beim Thema Sicherheit geht es immer wieder verstärkt um Vertrauen. Und genau dieses Vertrauen erreicht ein Anbieter nur durch Offenheit, indem er sich von seinen Kunden technologisch in die Karten schauen lässt. IT-Anbieter stehen oftmals in der Kritik zu verschlossen zu sein und keine Auskünfte über ihre proprietären Sicherheitsprotokolle zu machen. Das stimmt zum Teil, denn es gibt auch Anbieter die darüber bereitwillig sprechen und kein Geheimnis daraus machen. So einen Anbieter gilt es zu finden.

Neben dem subjektiven Thema Vertrauen, ist es aber insbesondere die implementierte Sicherheit, die eine sehr wichtige Rolle spielt. Hier sollte darauf geachtet werden, dass der Anbieter aktuelle Verschlüsselungsmechanismen einsetzt, dazu gehören:

  • Advanced Encryption Standard – AES 256 für die Verschlüsselung der Daten.
  • Diffie-Hellman und RSA 3072 für den Schlüsselaustausch.
  • Message Digest 5/6 – MD5/MD6 für die Hash-Funktionalität.

Weiterhin nimmt die Bedeutung der End-to-End Verschlüsselung der gesamten Kommunikation immer stärker zu. Das bedeutet das der gesamte Prozess, den ein Nutzer mit der Lösung durchläuft, von Anfang bis Ende durchgehend verschlüsselt ist. Das beinhaltet u.a.:

  • Die Benutzerregistrierung
  • Die Anmeldung
  • Den Datentransfer (Versand/ Empfang)
  • Übertragung der Schlüsselpaare (Public/ Private Key)
  • Der Speicherort auf dem Server
  • Der Speicherort auf dem lokalen Endgerät
  • Die Sitzung während ein Dokument bearbeitet wird

In diesem Zusammenhang ist es wichtig zu verstehen, dass der private Schlüssel für den Zugriff auf die Daten und das System ausschließlich im Besitz des Anwenders sein darf. Und auch nur ausschließlich auf dem lokalen System des Anwenders verschlüsselt gespeichert wird. Der Anbieter darf über keine Möglichkeiten verfügen, diesen privaten Schlüssel wiederherzustellen und niemals auf die gespeicherten Daten Zugriff erhalten. Achtung: Es gibt Cloud-Storage Anbieter, die sowohl den privaten Schlüssel wiederherstellen, als auch auf die Daten des Nutzers Zugriff nehmen können.

Weiterhin gibt es Anbieter, von denen die Kontrolle über die eigenen Daten thematisiert wird. Das ist zwar richtig. Allerdings wird zwangsläufig früher oder später extern kommuniziert und dann ist eine harte End-to-End Verschlüsselung unumgänglich.

Empfehlung für das Management

In diesem Zusammenhang möchte ich gerne TeamDrive erwähnen, die ich vor kurzem analysiert habe. Die deutsche Filesharing und Synchronisations-Lösung für Unternehmen wurde vom "Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein (ULD)" mit dem Datenschutz-Gütesiegel ausgezeichnet und gehört zu Gartners "Cool Vendor in Privacy" 2013. In den Medien wird TeamDrive hin und wieder als proprietär und verschlossen beschrieben. Das kann ich allerdings nicht bestätigen. TeamDrive hat mir für meine Analyse bereitwillig umfangreiche Informationen (z.T. unter NDA) zur Verfügung gestellt. Auch das selbst entwickelte Protokoll wird auf Anfrage für einen Audit offen gelegt.

Weitere Informationen zur Auswahl einer sicheren Share-, Sync- und Collaboration-Lösung

Ich möchte noch auf meinen Sicherheitsvergleich zwischen TeamDrive und ownCloud hinweisen, in dem ich beide Sicherheitsarchitekturen gegenübergestellt habe. Der Vergleich gibt zudem weitere Hinweise, was bei der Auswahl einer sicheren Share-, Sync- und Collaboration-Lösung zu beachten ist.



Sicherheitsvergleich: TeamDrive vs. ownCloud

Dropbox polarisiert innerhalb der IT-Abteilungen. Vom Vorstand bis hin zum normalen Mitarbeiter greifen viele auf den beliebten Cloud-Storage Service zurück. Das liegt vor allem an der einfachen Nutzung, die von den internen IT-Abteilungen heute nicht so unkompliziert bereitgestellt wird. Hier greifen insbesondere zwei aus Deutschland heraus entwickelte Lösungen an, die es Unternehmen erlauben, eigene Dropbox ähnliche Funktionen innerhalb einer selbstverwalteten IT-Infrastruktur zu implementieren, TeamDrive und ownCloud. TeamDrive vertritt dabei einen vollständig kommerziellen und proprietären, ownCloud hingegen einen vermeintlichen Open-Source Ansatz, dem aber ebenfalls eine kommerzielle Version zu Grunde liegt. Beide beanspruchen für sich den Titel "Dropbox für Unternehmen". Bewegen wir uns allerdings genau in diesem Umfeld, spielt das Thema Sicherheit eine sehr wichtige Rolle.

Hintergrund zu TeamDrive und ownCloud

TeamDrive und ownCloud verfolgen zwei unterschiedliche Geschäftsmodelle. Wo sich TeamDrive als vollständig kommerzielles Produkt für Unternehmen am Markt positioniert, setzt ownCloud auf die Open-Source Community, um damit Marktanteile zu gewinnen. Mit einer kommerziellen Version adressiert ownCloud allerdings auch den Markt für professionelle Unternehmenslösungen.

Über TeamDrive

TeamDrive ist eine Filesharing und Synchronisations-Lösung für Unternehmen, die ihre sensiblen Daten nicht bei externen Cloud-Services speichern wollen und es ihren Teams zudem ermöglichen möchten, Daten oder Dokumente zu synchronisieren. Dazu überwacht TeamDrive beliebige Ordner auf einem PC oder Notebook, die man mit eingeladenen Anwendern gemeinsam nutzen und bearbeiten kann. Damit stehen Daten jederzeit, auch offline zur Verfügung. Eine automatische Synchronisation, Backups und Versionierung von Dokumenten schützen die Anwender vor Datenverlust. Mit der Möglichkeit die TeamDrive Registration- und Hosting-Server im eigenen Rechenzentrum zu betreiben, lässt sich TeamDrive in vorhandene IT-Infrastrukturen integrieren. Dafür stehen alle notwendigen APIs zur Verfügung.

Über ownCloud

ownCloud ist eine Open-Source Filesync- und –sharing-Lösung für Unternehmen und Organisationen, die ihre Daten weiterhin selbst unter Kontrolle behalten möchten und nicht auf externe Cloud-Storages zurückgreifen wollen. Der Kern der Anwendung besteht aus dem ownCloud Server über welchen sich die Software zusammen mit den ownCloud-Clients nahtlos in die existierende IT-Infrastruktur integriert und die Weiternutzung bereits vorhandener IT-Management-Tools ermöglicht. ownCloud dient als lokales Verzeichnis, bei dem unterschiedliche lokale Speicher gemountet werden. Dadurch stehen die entsprechenden Dateien allen Mitarbeitern auf allen Geräten zur Verfügung. Neben einem lokalen Storage können ebenfalls Verzeichnisse über NFS und CIFS angebunden werden.

TeamDrive und ownCloud: Die Sicherheitsarchitektur

In diesem Vergleich soll es um die Sicherheitsarchitektur hinter TeamDrive und ownCloud gehen. Der sonstige Funktionsumfang der beiden Lösungen wird nicht betrachtet. Es geht also um die Betrachtung der Verschlüsselungsverfahren, Datenhaltung, Datenverarbeitung und der Benutzerautorisierung, soweit Informationen zur Verfügung stehen. Dabei wird davon ausgegangen, dass grundlegende Kenntnisse zum Thema Sicherheit bekannt sind.

TeamDrive: End-to-End Verschlüsselung

TeamDrive ist trotz seines kommerziellen Ansatzes recht auskunftsfreudig und stellt einige Sicherheitsinformationen öffentlich zur Verfügung. Darunter zu dem Thema Verschlüsselung. Zudem wird mit dem Datenschutzsiegel des „Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein (ULD)“ geworben. Nach einer Anfrage wurden bereitwillig umfangreiche Informationen zur Verfügung gestellt, wobei einige jedoch einem NDA (Non-Disclosure Agreement) unterliegen.

Verschlüsselungsverfahren

TeamDrive setzt auf die folgenden Verschlüsselungsmechanismen:

  • Advanced Encryption Standard – AES 256
    Zur Verschlüsselung der Daten setzt TeamDrive auf das Advanced Encryption Standard (AES) Kryptosystem mit einem 256 Bit Schlüssel und verwendet die C Code Implementation der OpenSSL library.
  • Diffie-Hellman und RSA 3072
    Für den Schlüsselaustausch setzt TeamDrive bei seinen älteren Clients auf den Diffie-Hellman Algorithmus. Neue Clients hingegen verwenden RSA 3072. Die Diffie-Hellman Implementierung basiert dabei auf der C Code Implementation wie sie von der OpenSSL library zur Verfügung gestellt wird.
  • Message Digest 5/6 – MD5/MD6
    Der TeamDrive Hash-Funktionalität liegt der MD5 bzw. MD6 Algorithmus zu Grunde, wobei der Hashwert mit einer zufällig gewählten Zeichenfolge (Salt) gespeichert wird.
  • PrimeBase Privacy Guard – PBPG
    Der PrimeBase Privacy Guard (PBPG) ist ein proprietäres Public/Privat Schlüsselsystem, das auf dem Diffie-Hellman Schlüsselaustausch und der AES Verschlüsselung aufsetzt. Das Verhalten von PBPG für den Anwender gleicht dem bekannten Public/Privat Schlüsselsystemen von PGP oder GnuPG. Die PBPG-Verschlüsselung generiert zufällige Änderungen und verifiziert die Dateien während des Austauschs, damit PBPG erkennen kann, ob eine Nachricht oder ein Schlüssel manipuliert oder anderweitig verändert worden sind. Zwei Nachrichten sind dabei niemals gleich. Dabei wird nicht nur für jeden Benutzer ein Schlüsselpaar erzeugt, sondern ebenfalls für jede Installation. Die PBPG Implementierung ist offen und kann bei Bedarf von Partnern und anderen Interessierten überprüft werden.

Systemarchitektur

Daten werden bei TeamDrive in einem sogenannten Space gespeichert, auf dem eine festgelegte Anzahl von Nutzern Zugriff erhalten kann. Der Austausch findet über ein Space Depot statt, welches auf einem TeamDrive Hosting Server oder WebDAV liegen kann.

Jeder Space verfügt über seinen eigenen 256 Bit AES Schlüssel, der für die Verschlüsselung der Daten in diesem Space genutzt wird, wenn die Daten das Endgerät des Nutzers verlassen. Dabei hat nur die TeamDrive Software, welche auf dem Endgerät der anderen Nutzer eines Spaces installiert ist, Kenntnisse über den Schlüssel.

Jeder Server auf dem ein Space Depot zur Verfügung steht, ist für das Speichern, Weiterleiten und Anpassen von Veränderungen innerhalb des Depots verantwortlich. Damit können die Clients auch dann Daten austauschen, wenn nicht alle zur selben Zeit online sind. Alle Daten, die auf dem Server gespeichert sind, werden mit einem 256 Bit AES Schlüssel des Spaces verschlüsselt.

Benutzerautorisierung

Die Anmeldung eines Nutzers erfolgt über die TeamDrive Client-Software, die ihn gegen den TeamDrive Registrierungsserver überprüft. Das erfolgt grundsätzlich über die Eingabe einer E-Mail Adresse oder eines Benutzernamens und eines Passworts.

Die Autorisierung zwischen dem TeamDrive Client und dem Registrierungsserver erfolgt auf Basis des Public Key des Registrierungsserver. Informationen wie die E-Mail-Adresse und das Registrierungspasswort plus weitere Daten des Benutzers werden unter der Verwendung des Public Key des Registrierungsservers verschlüsselt an den Registrierungsservers übertragen.

Einzig der Aktivierungscode wird unverschlüsselt über eine ebenfalls unverschlüsselte E-Mail an den Nutzer verschickt. Zudem wird eine verschlüsselte Antwort mit der Device ID an den TeamDrive Client gesendet. Nach der Aktivierung durch den Nutzer generiert die Client-Software einen PBPG Key und einen passenden Public Key. Im Anschluss schickt die Client-Software das Registrierungspasswort und den Public Key verschlüsselt, unter Verwendung des Public Keys des Servers, an den Registrierungsserver zurück. Der Aktivierungscode wird verifiziert und der Public Key des Nutzers gespeichert. Alle im Anschluss folgenden Nachrichten, die an den Registrierungsserver geschickt werden, sind mit dem PBPG Public Key des Nutzers verschlüsselt und benötigen die Geräte-ID und das Registrierungspasswort zur Autorisierung.

Datenhaltung und Verarbeitung

Zum Erzeugen eines Space, benötigt der Benutzer ein Space Depot und dessen Passwort. Damit weiß der TeamDrive-Client, mit welchem Server er Kontakt aufnehmen muss, um den Space zu erzeugen. Anschließend fordert die Client-Software den Public Key des TeamDrive Hosting Servers an. Die Client Software sendet die Geräte-ID, die Space Depot ID, Benutzername, Benutzer-ID, den Public Key des Benutzers und den Namen des Spaces als verschlüsselte Nachricht an den TeamDrive Server. Die Nachricht wird mit dem Public Key des Servers verschlüsselt übertragen. Die Space Depot ID und das Passwort werden überprüft. Für die verschlüsselte Übertragung der Antwort wird der Public Key des Benutzers verwendet. Der TeamDrive Server erstellt einen neuen Space auf dem vorgegebenen Space Depot. Ein 128 Bit "Genehmigungscode" wird zufällig für den neuen Space erzeugt und an den Client zurückgesendet.

Für den Zugriff auf einen Space wird die entsprechende URL, ein Autorisierungscode und ein Space Datenschlüssel benötigt. In der URL ist die Adresse des Servers, über die das Space Depot mit dem Inhalt des Spaces angesprochen wird, sowie die Space ID, enthalten. Veränderungen in dem Space werden auf das Space Depot und in den Space hochgeladen bzw. heruntergeladen. Dabei werden HTTP PUT und POST Methoden verwendet. Bevor eine Datei den Client verlässt, wird diese komprimiert und mit dem 256-Bit AES Schlüssel verschlüsselt.

Um auf einen Space zuzugreifen, öffnet der TeamDrive Client eine Session mit dem Server. Darin wird zunächst die ID des Space, auf den der Zugriff stattfinden soll, übertragen. Der Server erzeugt nach erfolgreicher Prüfung eine neue Session ID mit einer 128-Bit Zufallszahl (RND) und sendet diese an den Client zurück, der hier lokal abgelegt wird. Für das Hochladen und Löschen von Daten verwendet der Client die RND und den Autorisierungscode des Space und verknüpft diese xor inkl. einer MD5 Operation auf dem Ergebnis. Das Ergebnis wird zusammen mit der Session ID und den verschlüsselten Daten an den Server geschickt.

Die Sicherheit eines Space Depot wird dadurch sichergestellt, dass nach jeder Anfrage ein zufälliger RND Wert zurückgesendet wird, die der Client jedes Mal für einen lokalen Wert neu berechnen muss. Zudem garantiert ein MD5 Hash, dass der Autorisierungscode des Space nicht abgeleitet werden kann. Auch dann wenn der RND und der lokale Wert auf der Client-Seite bekannt sind. Damit wird ebenfalls verhindert, dass ein Angreifer in eine Session eindringen kann, um Daten auf den Server hochzuladen.

Zusammenfassung

Die Datensicherheit in einem TeamDrive Space wird durch die Verschlüsselung der Daten mit einem 256-Bit AES Schlüssel sichergestellt. Dabei ist der Schlüssel nur den TeamDrive Clients bekannt die Mitglied eines Space sind. Anbieter von Storage-Services auf Basis von TeamDrive oder Systemadministratoren haben keinen Zugriff auf die Daten. Der Austausch der Space Autorisierungsschlüssel unter TeamDrive Nutzern erfolgt mit einem sicheren Public/Privat-Key Verfahren, welches selbst eine 256-Bit AES Verschlüsselung verwendet. Der Zugriff auf ein Space Depot bzw. einem Space wird mit einem 128-Bit Autorisierungscode geschützt. Mit dem Autorisierungscode wird verhindert, dass der Speicherplatz eines Space Depot bzw. eines Space von unautorisierten Dritten verwendet werden kann.

Neben der verschlüsselten Speicherung der Daten auf den Servern und den Clients, werden die Daten ebenfalls während der Übertragung immer komplett verschlüsselt, wodurch TeamDrive eine vollständige End-to-End Verschlüsselung der Daten gewährleistet.

Weiterhin ist zu erwähnen, dass TeamDrive von dem "Unabhängigen Landeszentrum für Datenschutz in Schleswig Holstein (ULD)" das Datenschutzgütesiegel erhalten hat. Die Prüfnummer lautet 2-3/2005. Darüber hinaus wurde TeamDrive im Mai 2013 von Gartner zum "Cool Vendor in Privacy" 2013 benannt.

ownCloud: Serverseitige Verschlüsselung

Bei ownCloud sucht man vergeblich nach öffentlichen Sicherheitsinformationen, die von ownCloud selbst zur Verfügung gestellt werden. Das verwundert ein wenig, da selbst in der ownCloud Community scheinbar viele offene Fragen [1], [2] hinsichtlich der Serverseitigen Verschlüsselung und der Verschlüsselung im Allgemeinen bestehen. Einzig ein Blog-Beitrag ist zu finden, in dem das grundsätzliche Verständnis von ownCloud zum Thema Sicherheit öffentlich dargestellt wird. Auf direkte Nachfrage bei ownCloud wurden jedoch anstandslos Fragen beantwortet und weitere Informationen zur Verfügung gestellt.

Verschlüsselungsverfahren

Für die Verschlüsselung der Daten setzt ownCloud 5.0 auf den Advanced Encryption Standard (AES) mit einem 256 Bit Schlüssel.

Der Sicherheitsblogger Pascal Junod hatte sich Anfang 2012 mit der Verschlüsselung von ownCloud 4.0 auseinandergesetzt. Die notwendigen Informationen sind in der OC_Crypt class zu finden. Junod hat in diesem Zusammenhang diese PHP Datei analysiert und entsprechende Informationen veröffentlicht. Demnach wird der Schlüssel in der mt_rand() PHP Routine generiert. Die den Mersenne Twister, einen Pseudozufallszahlengenerator, implementiert. Junod kommentiert, das es sich dabei nicht um eine kryptographisch gute Qualität handelt. Der generierte Schlüssel wird mit dem Benutzerpasswort in Verbindung mit dem symmetrischen Blockverschlüsselungsalgorithmus Blowfish im ECB Mode verschlüsselt und anschließend in der encryption.key gespeichert. Junod kommt zu der Schlussfolgerung, dass ein Angreifer im Besitz dieser Datei über die Brute-Force-Methode an das Passwort gelangen könnte. Er macht zudem darauf aufmerksam, dass dieser Schlüssel für die Verschlüsselung sämtlicher Daten eines Nutzers verwendet wird und dass die Daten serverseitig verschlüsselt werden. Er beschreibt weitere Möglichkeiten, um die encryption.key zu stehlen. So wird das Passwort, welches für die Verschlüsselung der Datei zuständig ist, in Klartext (einfaches HTTP) vom Client an den Server übertragen. Wird die Verbindung nicht mit HTTPS gesichert, ist jeder in der Lage die Kommunikation abzuhören und das Passwort zu stehlen und könnte somit auf den ownCloud Account und sämtliche Daten zugreifen. Weiterhin wird die encryption.key im Klartext in den Sitzungsdaten auf der Serverseite gespeichert. Die meiste Zeit im /tmp Verzeichnis. Das bedeutet, dass ein böswilliger ownCloud Serveradministrator in der Lage wäre, die Daten zu entschlüsseln. Zudem weißt Junod darauf hin, dass die Verschlüsselung serverseitig vorgenommen wird, wodurch ein Systemadministrator mutwillig die ownCloud Installation manipulieren könnte. Er empfiehlt daher ownCloud 4.0 niemals einzusetzen, um vertrauliche Informationen zu speichern.

ownCloud bestätigt in der Anfrage, dass ownCloud 5.0 selbst keine vollständig integrierte End-to-End Verschlüsselung in der Software implementiert hat. Dies kann jedoch mit Tools von Drittanbietern realisiert werden. Weiterhin wird Verschlüsselung "at rest" betrieben. Das bedeutet, dass die Daten physikalisch in verschlüsselter Form gespeichert werden. Die Verbindung zwischen den Endgeräten und dem Server wird mit SSL gesichert. Der Schlüsselaustausch erfolgt autorisiert über die Provisioning API. Ein umfangreiches Schlüsselmanagement soll in Zukunft folgen.

Systemarchitektur

ownCloud verfügt über ein Plugin für die serverseitige Verschlüsselung, mit der Administratoren die Daten verschlüsselt auf dem Server ablegen können. Nutzer erhalten Zugriff auf die Daten und können diese teilen, als seien sie unverschlüsselt. Das neue Plugin in ownCloud 5.0 ersetzt dabei die Sicherheitslücke in ownCloud 4.0, bei der ein böswilliger Systemadministrator die Sicherheitsarchitektur umgehen konnte, indem er Anpassungen am ownCloud Quellcode vornehmen konnte, um eine Backdoor oder einen Passwort Sniffer zu integrieren. Für die Verschlüsselung der Daten während der Übertragung vom Server zum Endgerät wird SSL verwendet. Das Passwort kann von einem Nutzer jederzeit geändert werden. Sämtliche Dateien werden anschließend mit dem neuen Passwort verschlüsselt.

Für eine serverseitige Sicherheit muss der Administrator die Verschlüsselungs-App in ownCloud der ownCloud Managementkonsole aktivieren und den Hacken „Verschlüsselung“ in der Admin-Oberfläche setzen. Anschließend wird ein Schlüsselpaar (Public/ Private) für alle Nutzer erstellt. Hierzu wird das Nutzerpasswort verwendet, um den privaten Schlüssel zu schützen. Darüber hinaus wird, für jede auf den Server hochgeladene Datei, ein symmetrisches Schlüsselpaar erstellt. Die von dem Nutzer hochgeladenen Daten werden mit dem symmetrischen Schlüssel verschlüsselt und gespeichert. Als Algorithmus wird der Advanced Encryption Standard (AES 256) verwendet. Der symmetrische Schlüssel wird mit dem privaten Schlüssel des Nutzers verschlüsselt und auf dem Server abgelegt. Werden die Daten von dem Server abgerufen, werden sie zunächst entschlüsselt und anschließend über eine SSL-Verbindung an den Client gesendet. Die Verschlüsselungsroutine verhält sich mit anderen, an ownCloud angebundenen Applikationen, wie der Web-Oberfläche, der Versionierung und dem Algorithmus für die Synchronisierung, exakt gleich. Ändert ein Nutzer sein Passwort, wird sein privater Schlüssel mit dem alten Passwort entschlüsselt und mit dem neuen Passwort erneut verschlüsselt.

Für den Nutzer gleicht eine auf den ownCloud Server hochgeladene und anschließend verschlüsselte Datei wie eine nicht verschlüsselte Datei. Die Verschlüsselung ist für ihn vollständig transparent. Wird eine Datei mit einem anderen Nutzer geteilt, werden die öffentlichen Schlüssel von jedem dieser Nutzer in der verschlüsselten Datei hinterlegt. Diese Nutzer können damit auf die Datei zugreifen und Änderungen an ihr vornehmen, als handelt es sich um eine unverschlüsselte Datei. Genauso verhält es sich mit einem Ordner. Nutzer können keine Dateien öffnen, die nicht für sie bestimmt sind. Sollte ein böswilliger Nutzer versuchen, Zugriff auf das Speicher-Backend zu nehmen, werden die Dateien und Schlüssel darin unlesbar.

Ist das entsprechende Plug-In aktiviert, ist ein Systemadministrator in der Lage, über die Kommandozeile, alle Dateien zu sehen, die auf ownCloud gespeichert sind. Allerdings sind die Inhalte der Dateien verschlüsselt. Es können weiterhin normale Backups vorgenommen werden, jedoch bleiben alle Dateien verschlüsselt. Selbst dann, wenn die Daten nach außerhalb des Systems kopiert werden. Ein Administrator kann zudem weitere Einstellungen vornehmen, um bestimmte Dateigrößen und -formate von der Verschlüsselung auszuschließen.

Zusammenfassung

Mit der Version 5.0 bietet ownCloud nun auch serverseitige Verschlüsselung der Daten an. Jedoch muss von einem Administrator dazu explizit ein Plug-In aktiviert werden, um Dateien mit AES 256 zu verschlüsseln. Verlässt eine Datei den ownCloud Server wird sie zunächst entschlüsselt und über eine SSL-Verbindung an den ownCloud-Client übertragen. Das bedeutet, dass eine vollständige End-to-End Verschlüsselung derzeit mit einfachen Bordmittel nicht zur Verfügung steht, was ownCloud selbst bestätigt.

Das ownCloud Encryption-Module wurde für den Einsatz innerhalb eines Unternehmens-Rechenzentrum, auf unternehmenseigenen Servern und unter der Verwaltung von vertrauensvollen Administratoren, entwickelt.

Empfehlung für das Management: TeamDrive vs. ownCloud

Der Vergleich von TeamDrive mit ownCloud stellt gewissermaßen auch einen kommerziellen einem Open-Source Ansatz gegenüber. Was hier jedoch ein wenig irritiert ist die Offenheit des kommerziellen Anbieters TeamDrive gegenüber ownCloud. Kommerzielle Anbieter werden oftmals kritisiert, wenig über ihre Sicherheitsarchitektur zu sprechen. In diesem Fall sehen wir genau das Gegenteil. Das mag bei ownCloud möglicherweise daran liegen, dass bisher nicht viel Sicherheit respektive Verschlüsselung implementiert war, über die man sprechen konnte. Erst mit der ownCloud Version 5.0 wurde ein Modul für die serverseitige Verschlüsselung implementiert. Dass allerdings Informations- aber insbesondere Sicherheitsbedarf besteht, zeigen die Fragen aus der ownCloud Community. Hier ist die ownCloud Community auch weiterhin gefordert, mehr öffentliche Informationen und Sicherheit einzufordern.

In diesem Zusammenhang macht der Inhalt des oben angesprochenen Blog-Artikels von ownCloud Sinn, der die grundlegende Sicherheitsphilosophie von ownCloud widerspiegelt. ownCloud sieht das Thema Verschlüsselung zwar als einen wichtigen Punkt an. Der Fokus sollte aber eher auf der Kontrolle der Daten liegen.

Sicherheit vs. Flexibilität

TeamDrive setzt auf einen vollständig integrierten Ansatz und bietet zudem eine End-to-End Verschlüsselung aller Daten, die vom Server zum Client des jeweiligen Endgeräts übertragen werden. Damit ermöglicht es TeamDrive trotz eines sehr hohen Anspruchs an das unbequeme Thema Sicherheit, die bequeme Nutzung eines Cloud-Storage Service. ownCloud entschlüsselt die Daten erst wenn diese vom Server geladen werden und überträgt sie in einer SSL-Verbindung. Die fehlenden Bordmittel zur End-to-End Verschlüsselung lassen sich mit externen Lösungen von Drittanbietern erreichen. Hier sollte jedoch bedacht werden, dass die Integration damit aufwändiger wird und ob ein Open-Source Ansatz speziell in diesem Fall noch Kostenvorteile bietet.

Verschwiegen werden darf nicht, dass ownCloud auf Grund seines Open-Source Ansatzes mehr Flexibilität bietet als TeamDrive und damit vollständig den eigenen Bedürfnissen nach an die eigene IT-Infrastruktur angepasst werden kann, wenn das erforderlich ist. Hinsichtlich der Sicherheit besteht bei ownCloud allerdings noch Nachholbedarf. Das hat zur Folge, dass die Lösung per se nicht den aktuellen Sicherheitsansprüchen von Unternehmen entspricht und daher nur bedingt zu empfehlen ist.

Am Ende muss die Entscheidung getroffen werden, ob ein Unternehmen einen kommerziellen und integrierten Ansatz inklusive Sicherheitsmechanismen anhand von Bordmittel erwartet oder eine Open-Source Software, für die weitere externe Sicherheitslösungen benötigt werden, die selbst zu integrieren sind. Wer eine All-in-One Lösung inklusive vollständiger End-to-End Verschlüsselung und damit gleichzeitig mehr Sicherheit sucht, sollte sich für TeamDrive entscheiden.



ownCloud veröffentlicht Version 4.5

Nach fünfwöchiger Beta-Phase hat die ownCloud-Community heute die finale Version der freien File-Synchronisierungs-und File-Sharing-Software ownCloud 4.5 veröffentlicht. Diese steht kostenlos unter http://owncloud.org/support/install zum Download zur Verfügung.

ownCloud veröffentlicht Version 4.5

Das sind die wichtigsten Neuerungen

  • Schnellere Synchronisierung: Ab sofort erhält jede Version eines Ordners oder einer Datei eine eindeutige Kennung (“unique ID”) an Stelle eines einfachen “Zeitstempels”. Bei der Synchronisierung werden die IDs miteinander verglichen. Da nur noch die Dateien übertragen werden, bei denen sich die Kennung geändert hat, kann wesentlich schneller synchronisiert werden. Diese Technik reduziert deutlich die Rechenlast am ownCloud-Server. Zudem entfällt die Notwendigkeit, dass die Uhren bei Servern und Desktops aufeinander abgestimmt sein müssen.
  • Ein Cloud Storage, beispielsweise von Amazon S3, Dropbox, Google Drive oder STRATO HiDrive - kann einfach als eigener Ordner in ownCloud eingebunden werden. Damit können Anwender unternehmenskritsche Dokumente auf eigenen Servern und weniger wichtige Daten kostengünstig in der Cloud zu speichern. Der Administrator kann ebenso wie jeder Anwender festlegen, ob externe Speicher einzelnen Usern, bestimmten Gruppen oder allen Anwendern zur Verfügung steht. Damit ist ownCloud die erste File-Sync- und -Share-Software, die eine Verwaltung unterschiedlicher Cloud-Storages über eine zentrale Benutzeroberfläche ermöglicht.
  • Mit dem neuen integrierten Video-Player lassen sich Filme und Videos direkt ansehen, ohne dass sie dafür extra heruntergeladen werden müssen.
  • Präsentationen im HTML5-Format im Stile von “Prezi” werden immer beliebter. ownCloud 4.5 bietet ein Plug-In, das auf dem JavaScript-Framework impress.js basiert, mit dem sich HTML5-Präsentation abspielen lassen.
  • OwnCloud 4.5 soll eine deutlich verbesserte Performance bei Up- und Download - auch von großen Dateien - bieten.
  • Versionierung: Wird über das ownCloud-Webinterface eine Datei hochgeladen, deren Name bereits auf dem ownCloud-Server existiert, wird automatisch eine neue Version angelegt und diese als aktuelle Version der Datei geführt.
  • Kollegen und Familienangehörige werden sich über den Support von freigegebenen Kalendern und freigegebenen Adressbüchern freuen, die sie nun mit ownCloud auf all ihren Geräten einsehen und bearbeiten können. Der Import und Export von Terminen wurde komplett überarbeitet, was beispielsweise auch den Umgang mit Serienterminen enorm beschleunigt.
  • Kontakte lassen sich mit “Drag&Drop” jetzt einfach kopieren bzw. in andere Adressbücher verschieben. Zudem können freigegebene Adressbücher jetzt auch synchronisiert werden.
  • Einfachere Administration: Mit ownCloud 4.5 können jetzt Sub-Administratoren eingerichtet werden, welche die Mitglieder und Zugriffsrechte einzelner Gruppen selbständig verwalten.
  • Kontrolle auf Datei-Level: Die Anwender können auf Datei-Level bestimmen, wer freigegebene Dateien lesen, bearbeiten oder löschen darf. Auch eine zeitliche Begrenzung dieser Rechte ist nun möglich. URLs, die Zugang zu freigegebenen Dateien bieten, können jetzt zusätzlich mit einem Passwort geschützt werden.
  • Single-Sign-on: Die Anwender können sich über ownCloud 4.5 auch automatisch bei anderen WebDAV-, IMAP-, Samba- und FTP-Servern anmelden, die sie einmal in ihren ownCloud-Einstellungen hinzugefügt haben.
  • Das LDAP-Modul wurde überarbeitet und überzeugt nun auch bei größeren Installationen durch gute Performance. Es ermöglicht die zeitsparende Verwaltung von Benutzern und Rechten für ownCloud in einem zentralen LDAP-bzw. Active Directory-Verzeichnis.

ownCloud Business, Enterprise und Education Edition

Die kostenpflichtige ownCloud Business, Enterprise und Education Edition bietet gegenüber der freien Community Edition folgende Erweiterungen und Zusatzleistungen:

  • Support für Oracle-Datenbanken: Neben Postgress und MySQL können auch Oracle-Datenbanken als Backend für ownCloud eingesetzt werden.
  • Ein Logging-Modul zeichnet auf, wer wann auf welche Dateien zugegriffen und diese verändert hat. Dies ist eine Grundvoraussetzung für die Auditierbarkeit einer Unternehmenssoftware.
  • Dynamische Storagezuteilung: Mit dieser Funktion lassen sich den verschiedenen Anwendern unterschiedlich große Speicher zuteilen, entsprechend ihren unterschiedlichen Aufgaben und Anforderungen.
  • Käufer der kommerziellen ownCloud-Version erhalten von ownCloud Maintenance und technischen Support.


ownCloud erweitert seine Hybrid Cloud Lösung für Unternehmen

ownCloud hat eine erweiterte Version seiner Hybrid Cloud Lösung für den produktiven Einsatz freigegeben. Neben den Funktionen der Community-Edition ownCloud 4, ermöglicht die kostenpflichtige Business und Enterprise Edition die Integration in bestehende IT-Infrastrukturen.

ownCloud erweitert seine Hybrid Cloud Lösung für Unternehmen

Anbindung an Verzeichnissdienste

Mit dem neuen Update lässt sich ownCloud mit bestehenden LDAP- und Active Directory-Verzeichnissen verbinden. Damit lassen sich Gruppenzugehörigkeiten und die Speichergrößen, die jedem Benutzer zur Verfügung stehen sollen, zentral verwalten. Weiterhin unterstützt ownCloud jetzt den Defacto-Standard Syslog zur Übermittlung von Log-Meldungen.

Customizing erwünscht

Unternehmen haben darüber hinaus nun die Möglichkeit, die Benutzeroberfäche von ownCloud mit Hilfe eines Stylesheets mit Logo, Farben und Schriften ihren Bedürfnissen nach anzupassen. ownCloud erwartet auf Grund einer einheitlichen CI eine schnellere und höhere Akzeptanz bei den Mitarbeitern.

Mac OS und Android Unterstützung

Das neue Update bringt zudem die Client-Software für Mac OS mit. Somit stehen neben dem ownCloud Webclient ebenfalls Software-Clients für die drei Desktop-Betriebssysteme Windows, Mac OS und Linux zur Verfügung, um darüber Adressen, Termine, Office-, Audio- und Video-Dateien auszutauschen.

Ein weiteres Schmankerl ist die Freigabe der Version 1.1 der Android App. Die Anwendung befindet sich zwar noch im Betastatus, dennoch können Nutzer damit bereits von ihren Android Smartphones direkt auf den ownCloud-Server zugreifen. Die App erkennt eigenständig SSL-Verbindungen und ermöglicht den automatischen Upload der Fotos direkt von der Kamera. Eine App für iOS soll in den kommenden Monaten veröffentlicht werden.

Weitere Verbesserungen auf einen Blick

Zu den weiteren Erneuerungen, die Ende Mai mit der Community Edition ownCloud 4 veröffentlicht wurden, gehören neben Bugfixes, Securityfixes und Optimierungen in der Performance:

  • Synchronisation von Dateien und Ordnern – Einfach einen Ordner auswählen und mit dem ownCloud-Server verbinden. Dadurch werden Server und Client miteinander synchronisiert.
  • Teilen von Dateien und Ordnern – Datei oder Ordner markieren, “Teilen” anklicken und auswählen, mit wem die Daten geteilt werden sollen.
  • Datei-Upload per Drag & Drop – Zum Upload muss eine Datei nur vom Desktop auf den antsprechenden Ordner im ownCloud-WebClient gezogen werden.
  • Versionierung – Alle Änderungen werden als jeweils eigene Version einer Datei gespeichert. Damit können “ältere” Versionen einer Datei einfach wiederhergestellt werden.
  • ODF-Viewer – Damit können alle Texte, Tabellen und Grafiken, die im Open Document Format (ODF) gespeichert wurden, angesehen werden, ohne dass sie gespeichert werden müssen.
  • Application Programming Interface – Über eine neue API können Unternehmen ihre eigenen Plug-Ins integrieren.
  • ownCloud Application Store Integration – Damit können Unternehmen die kostenlosen Plug-Ins der ownCloud-Community schnell und einfach einbinden.

Preise und Verfügbarkeit

Die Kosten für die Business Edition betragen 799 EUR pro Jahr für die ersten 50 Nutzer. Die Enterprise Edition kann für 12.500 Euro pro Jahr für die ersten 250 Nutzer erworben werden. Kunden die sich für die kommerziellen Versionen entscheiden, erhalten offizielle Maintenance und technischen Support von der ownCloud Inc.



ownCloud veröffentlicht Version 4

Der Hybrid Cloud Anbieter ownCloud gibt die Freigabe von ownCloud 4 bekannt. Nach eigenen Angaben nutzen bereits mehr als 450.000 Anwender die kostenlose File-Synchronisierungs- und File- Sharing-Software, um Adressen, Termine, Bookmarks und Office-Dateien zu verwalten und mit ihren verschiedenen Endgeräten zu synchronisieren.

ownCloud veröffentlicht Version 4

Auf Grund der regen Entwickler-Community sind viele Verbesserungen und neue Funktionen in ownCloud 4 eingeflossen, u.a.:

Versionierung

Mit Version 4 unterstützt ownCloud nun die Versionierung von Dateien. Alle Änderungen werden als jeweils eigene Version einer Datei gespeichert und können bei Bedarf nachvollzogen werden. Insbesondere können damit “ältere” Versionen einer Datei einfach wiederhergestellt werden.

Viewer für Open Document Format

Die neue Version wurde um einen Viewer für das Open Document Format (ODF) erweitert, das von LibreOffice und Apache OpenOffice verwendet wird. Damit lassen sich Texte, Tabellen und Grafiken mit dem Web-, Windows- und Linux-Client von ownCloud lesen, ohne dass die Dateien dafür auf dem entsprechenden Endgerät gespeichert werden müssen.

Drag & Drop

Mit Drag & Drop Funktion können Anwender eine Datei direkt von ihrem Desktop in den ownCloud Web- oder Desktop-Client ziehen, um diese im ownCloud-System zu speichern. Dabei können Dateien auch direkt in Unterordnern abgelegt werden.

Serverseitige Verschlüsselung

Bisher war bereits die Verbindung zwischen Client und Server SSL-verschlüsselt. Ab Version 4 können nun auch sensible Dateien verschlüsslt auf dem ownCloud-Server abgelegt werden, so dass nur der Schlüsselinhaber die Datei wieder lesbar machen kann.

Application Programming Interface

Mit einem neuen Application Programming Interface (API), sollen Entwickler nun eigene Programme für ownCloud viel einfacher entwickeln können.

Freigegebene und öffentliche Kalender

Eine weitere Verbesserung bringt ownCloud 4 auch für Teams: Neben eigenen Kalendern werden nun auch freigegebene und öffentliche Kalender synchronisiert.

Kombination von eigenem Speicher mit Cloud-Storage

Neben Dateisystemen, die Daten auf eigenen Speichersystemen verwalten, können Anwender mit ownCloud 4 zusätzlich auch externe Cloud-Speicher eingebinden. Damit haben sie die Möglichkeit, unternehemenskritsche Dokumente auf eigenen Servern und weniger wichtige Daten kostengünstig in der Cloud zu speichern – und können dennoch alle Dateien mit einer einzigen Benutzeroberfläche verwalten. Diese Funktion ist in ownCloud 4 noch als “experimentell” gekennzeichnet und wird in den kommenden Wochen auch für den produktiven Einsatz freigegeben werden.

Eine weitere Neuigkeit ist ein Plugin für die Verwaltung von Aufgaben. Weitere Verbesserungen bietet ownCloud 4 bei “Kontakten und Gruppen”, bei der Fotogallerie, bei der Performance und der Installation von Plug-Ins. Eine Übersicht aller Neuerungen von ownCloud 4 liefert http://owncloud.org/features.

Die Community-Edition ownCloud 4 steht kostenlos zum Download bereit unter http://www.owncloud.org.



Die eigene Cloud bauen mit… – CloudWashing par excellence!

"Die eigene Cloud bauen mit xyz..." Als ich diese Überschrift gelesen habe, bin ich fast aus allen Wolken gefallen! In dem Artikel werden zwei Produkte vorgestellt, mit denen man seine "eigene Cloud" aufbauen kann.

Kurz gesagt: Den Leuten wird damit suggeriert, eine Private Cloud im Wohnzimmer aufbauen zu können. Gut, meine Frage ist aber nun, wie die Skalierbarkeit, Hochverfügbarkeit usw. gewährleistet wird?

Nehmen wir ein einfaches Beispiel. Ein Anwender hört vom Thema Cloud Computing. Sehr sicher, da die Daten durch die Cloud hochverfügbar sind. Jede Menge Speicherplatz, weil die Cloud skalierbar ist usw. Der Nutzer lädt sich also die in dem Artikel besagte Software herunter, installiert und konfiguriert diese und speichert seine möglicherweise wichtigen Daten darauf ab.

Szenario 1: Der Nutzer merkt nach einiger Zeit, dass nicht mehr ausreichend Speicherplatz vorhanden ist. Nutzer: "Cloud Computing ist ja echt xxx! Ich dachte das wäre skalierbar?!" Ja, aber dafür wird auch demensprechend Speicherplatz in Form von Hardware, also Festplatten benötigt.

Szenario 2: Der Nutzer merkt nach einer Weile, das Daten verschwinden und plötzlich ist kein Zugriff auf die "Cloud" mehr möglich. Nutzer: "Cloud Computing ist echt xxx! Ich dachte die Cloud ist hochverfügbar?!" Ja, ist sie auch. Aber dafür benötige ich mehr als nur ein System und das im besten Fall, an unterschiedlichen Standorten, verteilt.

Wir sehen also, dass es nicht ohne weiteres möglich ist, sich eine Private Cloud im eigenen Wohnzimmer aufzubauen! Genauso verhält es sich, wenn die Software bzw. "Private Cloud" auf einem(!) Server bei einem Webhoster genutzt werden soll. Ein Server reicht da nun einmal nicht aus. Aber leider unterstützen Softwarelösungen wie BDrive und ownCloud diese Problematik, indem sie CloudWashing betreiben und suggerieren, dass jeder seine eigene Cloud betreiben kann.

Aber so einfach scheint es dann auch wieder nicht zu sein:

Owncloud installieren
Suche Unterstützung bei der Installation von owncloud (owncloud.org/).
1blu Server vorhanden und so weit eingerichtet, allerdings komme ich an der Fehlermeldung "MDB2_Schema Error: schema parse error: Parser error: File could not be opened. - Unknown" nicht weiter!
Bitte nur Festpreis Angebote.
Bitte nur anbieten wenn Erfahrung mit owncloud vorhanden ist.

siehe: http://www.twago.de/project/Owncloud-installieren/8670

Da wundern mich auch solche Anfragen nicht, die ich öfters per Facebook bekomme:

Hey, sag mal du bist doch hier der Cloud experte. Ich möchte meine eigene Homecloud einrichten. Es sollte so einfach sein wie dropbox nur das mein Storage zu Hause auf einem Windows Home Server liegt. Nun bin ich auf der Suche nach einer App fürs iphone, einem Programm für Windows OS und vielleicht für windows mobile 6.5. Hast du eine idee oder einen vorschlag wie sowas realisierbar ist? Dropbox ist zwar schon super aber ich hab es gern wenn meine Daten bei mir zu Hause bleiben. Server ist eh immer an.

...

Cloud ist ja ein weiter Begriff und ich denke wenn ich von überall von jedem System auf meine Daten zugreifen möchte die zu Hause auf meinem Storage abgelegt sind und sicher aufbewahrt nennt sich das Cloud oder?
Dropbox ist ja schon nahezu perfekt, allerdings liegen dabei meine Gesamten Daten bei einem Provider im Netz. Da ist die wahrscheinlichkeit höher das der mal angegriffen wird als mein Home Server...
Darum möchte ich keine Daten online Stellen bei einem Dienstleister.
Ich habe letztens den Begriff Owncloud zugeworfen bekommen. Sagt dir das was?

Bitte, Finger weg von BDrive oder ownCloud, wenn man eine CLOUD bauen möchte. Damit kann mit einfachen Mitteln keine eigene Private Cloud aufgebaut werden!

Wenn jemand wirklich eine Cloud aufbauen möchte, sollte er sich lieber, openQRM, Eucalyptus bzw. die Ubuntu Enterprise Cloud anschauen und dabei bitte einen Blick auf die Voraussetzungen bzw. die notwendigen Topologien werfen.

Update: Mittlerweile gibt es auch einen Artikel über professionelle Open-Source Lösungen für die eigene Cloud.


Bildquelle: http://www.hightechdad.com