Betroffene Parteien

Diese ganze Thematik gilt zwangsläufig nicht nur für Unternehmen, sondern für jeden Nutzer der aktiv in der Cloud kommuniziert und seine Daten teilt und synchronisiert. Zwar darf in diesem Zusammenhang das Thema Datenschutz nicht vernachlässigt werden, für Unternehmen steht in der Regel jedoch noch mehr auf dem Spiel, wenn Informationen mit Firmeninterna abgefangen werden oder Sprach- und Videokommunikation überwacht wird. An dieser Stelle muss erwähnt werden, dass dies in erster Linie nichts mit der Cloud zu tun hat. Datenkommunikation wurde lange vor Cloud-Infrastrukturen und -Services betrieben. Jedoch führt die Cloud in Zukunft zu einer immer stärkeren Vernetzung und dient als Dreh- und Angelpunkt moderner Kommunikations- und Kollaborationsinfrastrukturen.

Die aktuelle Sicherheitslage

Der PRISM Skandal zeigt das gesamte Ausmaß der Möglichkeiten, die es den US-Sicherheitsbehörden erlaubt, ungehindert und ungeachtet auf die weltweite Datenkommunikation zuzugreifen. Dazu nutzen die US-Behörden offiziell die “National Security Letter (NSL)” des US Patriot Act und den “Foreign Intelligence Surveillance Act (FISA)”. Auf Grund dieser Anti-Terror Gesetze sind die US-Anbieter und deren Töchterfirmen im Ausland dazu verpflichtet Auskünfte über angefragte Informationen zu erteilen.

Im Rahmen der PRISM Enthüllungen wird ebenfalls über vermeintliche Schnittstellen, “Kopier-Räume” oder Backdoors bei den Anbietern spekuliert, mit denen Dritte direkt und ungehindert die Daten abgreifen können. Das widersprechen die Anbieter jedoch vehement.

US-Anbieter, nein Danke?

Während der Auswahl eines Cloud-Anbieters* werden verschiedene Segmente betrachtet die grob in technische und organisatorische Bereiche unterteilt werden können. Der technische Bereich spiegelt in diesem Fall die technische Sicherheit und der organisatorische die rechtliche Sicherheit wieder.

Die organisatorische Sicherheit ist mit Vorsicht zu genießen. Der Patriot Act öffnet den US-Sicherheitsbehörden legal die Türen, soweit ein Verdachtsfall vorliegt. Inwieweit dieses immer im rechtlichen Rahmen bleibt, vagen mittlerweile viele zu bezweifeln. An dieser Stelle ist Vertrauen gefragt.

Technologisch betrachtet sind die Rechenzentren der Cloud-Anbieter als sicher einzustufen. Der Aufwand und die Investitionen die von den Anbietern betrieben werden, kann kein normales Unternehmen erbringen. Aber auch hier gilt 100% Sicherheit kann niemals gewährleistet werden. Soweit möglich sollte der Nutzer zusätzlich eigene Sicherheitsmechanismen einsetzen. Weiterhin sollten die Gerüchte über staatliche Zugriffe der NSA nicht ungeachtet bleiben. Über zwei US-amerikanische Telefonanbieter gibt es bestätigte Berichte, in denen über direkte Zugriffe auf die Kommunikation durch die NSA und stark gesicherte Räumen, die über modernste Überwachungstechnologien verfügen, die Rede ist. In diesem Zusammenhang sollten auch die Anbieter von on-Premise IT-Lösungen betrachtet werden, inwieweit diese unterwandert sind.

Unter beiden Gesichtspunkten und der aktuellen Sicherheitslage sind US-amerikanische Anbieter mit Vorsicht zu genießen. Das gilt ebenfalls für deren Tochterfirmen mit einem Sitz in der EU. Denn auch diese sind nicht in der Lage zumindest die notwendige rechtliche Sicherheit zu erfüllen.

Aber auch der deutsche Geheimdienst darf nicht ungeachtet bleiben. Neueste Meldungen weisen daraufhin, dass der “Bundesnachrichtendienst (BND)” die Überwachung des Internets ebenfalls weiter massiv ausbauen wird. Dazu stehen Mittel in Höhe von 100 Million EUR bereit, von denen von der Bundesregierung bereits fünf Millionen EUR freigegeben wurden. Im Gegensatz zur NSA wird der BND nicht den vollständigen Datenverkehr im Internet speichern, sondern nur auf bestimmte verdächtige Inhalte prüfen. Dazu darf er laut dem G-10-Gesetz bis zu 20 Prozent der Kommunikationsdaten zwischen Deutschland und dem Ausland mitlesen.

Hardliner müssen mit sofortiger Wirkung sämtliche digitale sowie analoge Kommunikation einstellen. Das wird allerdings nicht mehr funktionieren, da die Abhängigkeit zu groß geworden ist und das moderne unternehmerische Dasein von der Kommunikation bestimmt wird. Es müssen daher andere legale Wege gefunden werden, trotz Überwachung, eine sichere Kommunikation und Datenübertragung zu gewährleisten.

* Ein Cloud-Anbieter kann in diesem Zusammenhang ein Service-Anbieter oder ein Anbieter von Private Cloud oder IT-Hard- und Software-Lösungen sein.

Anforderungen an sichere Cloud-Services und IT-Lösungen

Zunächst muss klar gesagt werden, dass es kein Allheilmittel gibt. Die Gefahr geht spätestens von dem Nutzer aus, der über die Gefahrenlage nicht aufgeklärt ist oder mit Absicht Unternehmensdaten entwendet. Ungeachtet dessen führen die PRISM Erkenntnisse zu einer neuen Sicherheitsbetrachtung im IT-Bereich. Und es ist zu hoffen, dass sich damit ebenfalls das Sicherheitsbewusstsein der Anwender vergrößert.

Unterstützung können Unternehmen dabei von Cloud-Services und IT-Lösungen erhalten, die das Thema Sicherheit von Beginn an zum bedingungslosen Teil ihres Leitmotivs gemacht haben. Das sollten unter den aktuellen Umständen bevorzugt Anbieter aus Europa oder Deutschland sein. Auch wenn es bereits erste Berichte über Verzwickungen und Einflüsse der US-Regierung und von US-Anbietern auf die Europäische Kommission gibt, die eine “Anti-FISA-Klausel” in der EU-Datenschutzreform verhindert haben, existieren in Europa keine vergleichbaren Gesetze wie der US Patriot Act oder FISA.

Demnach können auch europäische und deutsche IT-Anbieter, die nicht dem Patriot Act unterstellt und nicht staatlich unterwandert sind, US-amerikanischen Anwendern dabei helfen ihre Datenkommunikation sicher zu betreiben.

Kriterien für die Anbieterauswahl

Beim Thema Sicherheit geht es immer wieder verstärkt um Vertrauen. Und genau dieses Vertrauen erreicht ein Anbieter nur durch Offenheit, indem er sich von seinen Kunden technologisch in die Karten schauen lässt. IT-Anbieter stehen oftmals in der Kritik zu verschlossen zu sein und keine Auskünfte über ihre proprietären Sicherheitsprotokolle zu machen. Das stimmt zum Teil, denn es gibt auch Anbieter die darüber bereitwillig sprechen und kein Geheimnis daraus machen. So einen Anbieter gilt es zu finden.

Neben dem subjektiven Thema Vertrauen, ist es aber insbesondere die implementierte Sicherheit, die eine sehr wichtige Rolle spielt. Hier sollte darauf geachtet werden, dass der Anbieter aktuelle Verschlüsselungsmechanismen einsetzt, dazu gehören:

• Advanced Encryption Standard – AES 256 für die Verschlüsselung der Daten.
• Diffie-Hellman und RSA 3072 für den Schlüsselaustausch.
• Message Digest 5/6 – MD5/MD6 für die Hash-Funktionalität.

Weiterhin nimmt die Bedeutung der End-to-End Verschlüsselung der gesamten Kommunikation immer stärker zu. Das bedeutet das der gesamte Prozess, den ein Nutzer mit der Lösung durchläuft, von Anfang bis Ende durchgehend verschlüsselt ist. Das beinhaltet u.a.:

• Die Benutzerregistrierung
• Die Anmeldung
• Den Datentransfer (Versand/ Empfang)
• Übertragung der Schlüsselpaare (Public/ Private Key)
• Der Speicherort auf dem Server
• Der Speicherort auf dem lokalen Endgerät
• Die Sitzung während ein Dokument bearbeitet wird

In diesem Zusammenhang ist es wichtig zu verstehen, dass der private Schlüssel für den Zugriff auf die Daten und das System ausschließlich im Besitz des Anwenders sein darf. Und auch nur ausschließlich auf dem lokalen System des Anwenders verschlüsselt gespeichert wird. Der Anbieter darf über keine Möglichkeiten verfügen, diesen privaten Schlüssel wiederherzustellen und niemals auf die gespeicherten Daten Zugriff erhalten. Achtung: Es gibt Cloud-Storage Anbieter, die sowohl den privaten Schlüssel wiederherstellen, als auch auf die Daten des Nutzers Zugriff nehmen können.

Weiterhin gibt es Anbieter, von denen die Kontrolle über die eigenen Daten thematisiert wird. Das ist zwar richtig. Allerdings wird zwangsläufig früher oder später extern kommuniziert und dann ist eine harte End-to-End Verschlüsselung unumgänglich.

Empfehlung für das Management

In diesem Zusammenhang möchte ich gerne TeamDrive erwähnen, die ich vor kurzem analysiert habe. Die deutsche Filesharing und Synchronisations-Lösung für Unternehmen wurde vom “Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein (ULD)” mit dem Datenschutz-Gütesiegel ausgezeichnet und gehört zu Gartners “Cool Vendor in Privacy” 2013. In den Medien wird TeamDrive hin und wieder als proprietär und verschlossen beschrieben. Das kann ich allerdings nicht bestätigen. TeamDrive hat mir für meine Analyse bereitwillig umfangreiche Informationen (z.T. unter NDA) zur Verfügung gestellt. Auch das selbst entwickelte Protokoll wird auf Anfrage für einen Audit offen gelegt.

Weitere Informationen zur Auswahl einer sicheren Share-, Sync- und Collaboration-Lösung

Ich möchte noch auf meinen Sicherheitsvergleich zwischen TeamDrive und ownCloud hinweisen, in dem ich beide Sicherheitsarchitekturen gegenübergestellt habe. Der Vergleich gibt zudem weitere Hinweise, was bei der Auswahl einer sicheren Share-, Sync- und Collaboration-Lösung zu beachten ist.

Aufbau des CloudOps Summit 2013

Der CloudOps Summit spaltet das Thema “Facing Complexity” in die Bereiche Operating Complexity, Changing Business und DevOps auf.

Operating Complexity

Wie können komplexe Umgebungen betrieben werden? Welche Erfahrungen liegen mit Operational Analytics, Automatisierung, Provider Management, Wissensmanagement und Enterprise Clouds als Ansätze zur Komplexitätsbeherrschung vor? Welchen Einfluss haben neue Ansätze wie Software Definded Networking/Datacenter auf die Komplexität?

Stichworte: Next Generation Automation, Cloud Management, Enterprise Clouds, Operational Analytics, Augmented Engineer, Knowlegde Management, Software Defined Network/Datacenter

Changing Business

Wie sehen neuartige Wertschöpfungsverhältnisse aus? Zu welchen Business Cases liegen bereits belastbare Ergebnisse vor? Wie verändert sich die Rollenverteilung in der IT zwischen Kunde und Produzent?

Stichworte: IT zwischen Big Data und Cloud Computing, Technisierung des Business, Kundenzentrierte Unternehmer, Wertschöpfungsnetzwerke, Unternehmens IT vom Verhinderer zum Broker

DevOps

Welchen Beitrag liefern agile Methoden in der Entwicklung und im Betrieb? Kann die IT das Prinzip der kundenindividuellen Massenproduktion umsetzen und vernetzte und trotzdem „schlanke“ Produktionsverhältnisse (Lean IT) erfolgreich implementieren? Welchen Stellenwert haben neuartige Entwicklungs- und Produktionskonzepte (platform-as-a-service) in diesem Zusammenhang?

Stichworte: Agile Methoden (Scrum/Kanban), Agiles IT Management, Cloud PaaS, Private PaaS

Call for Papers

Der Call for Papers des CloudOps Summit 2013 endet am 01.08.2013. Bis dahin sind alle weiteren Informationen und das Formular für die Registrierung unter http://www.cloudops.de/call-for-papers-2013/ zu finden.

Kein Marketing, Sales und HR!

Das englischsprachige Cloud Developer Camp konzentriert sich auf die Konzepte für die Entwicklung, das Deployment und dem Betrieb von skalierbaren Webseiten und Cloud Applikationen auf Basis von Ruby on Rails.

Das Camp möchte Entwickler in einer entspannten Atmosphäre zusammenbringen, um sich über die Entwicklung Cloud-basierter Web-Anwendungen als auch Ruby Applikationen auszutauschen. Hands-on Unterstützung können die Teilnehmer von anderen erfahrenen Cloud-Entwicklern erwarten.

Vorträge

Vorträge, Workshops und Lightning Talks über die Ruby Entwicklung in der Cloud bilden das Programm. Darunter u.a. mit den Sprechern:

• Florian Gilcher, CEO (Asquera GmbH)
• Constantin Gonzalez – Solutions Architect (Amazon Web Services)
• Falk Köppe, Software Developer (Infopark)

Weitere Informationen und die Anmeldung

Das kostenlose(!) Cloud Developer Camp beginnt am 06.07.13 um 10:00 Uhr im Mövenpick Hotel Frankfurt City, Den Haager Straße 5, 60327 Frankfurt am Main. Die Teilnehmer werden neben den Vorträgen und Workshops mit Frühstück, Mittagessen und einem Barbecue am Abend versorgt.

Weitere Informationen und die kostenlose Anmeldung gibt es unter http://www.infopark.com/en/events/cloud-developer-camp/frankfurt.

Die Fragen

• How is your current trust in the cloud in general?
• How is your current trust in the cloud provider of your choice?
• How does the PRISM uncoverings influence your trust in the cloud?
• Is your current cloud provider one of the accused?
• How does the PRISM uncoverings influence your trust in the cloud provider of your choice?
• Did you already think about to leave the cloud e.g. your cloud provider due to the PRISM uncoverings?
• How important is the unconditional openness of your provider in times of PRISM and surveillance?
• Do you think a 100% end-to-end encryption without any access and other opportunities of third parties can strengthen the trust?
• In your mind which world region is the safest/ trustworthiest to store data in?

Um an der Umfrage teilzunehmen bitte hier entlang:

Your trust in the Cloud! – After the PRISM uncoverings how is your trust in the cloud?

Neue API verbessert die Integration

Mit Einführung einer Java/C++ API-Library und einer REST-Schnittstelle ist nun die Anbindung externer Systeme einfacher möglich. Nutzer erhalten damit die Möglichkeit, dass sich der AutoPilot noch schneller und effizienter in IT-Umgebungen einbinden lässt und so den Zugriff auf entsprechende Datenbanken, Hardware oder Benutzeroberflächen ermöglicht beziehungsweise vereinfacht. Zusätzlich verringert ein neues, kompakteres XML-Format für das jeweilige MARS-Modell einen Overhead, wenn Modelldaten an die API übergeben werden.

Developer-Portal macht AutoPilot zur Plattform

Mit der Einführung eines Entwickler-Portals lässt sich der AutoPilot ab sofort von Entwicklern als Plattform nutzen, um eigene Anwendungen auf Basis der wissensbasierten Automatisierung und Datenhaltung zu generieren oder bestehende Anbindungen zu nutzen. Zu diesem Zweck stellt arago im neuen Portal eine umfangreiche Dokumentation, Code-Beispiele und Testdaten zur Verfügung. Bei Fragen oder Anmerkungen steht arago den Nutzern außerdem mit einer Support Community zur Verfügung. Das Entwickler-Portal befindet sich aktuell in der Betaphase für einen ausgewählten Entwicklerkreis – dieser soll aber stetig erweitert werden.

Wissensbasierte ersetzt skriptbasierte Automation

Der AutoPilot unterscheidet sich von den meisten Automatisierungslösungen, indem er wissensbasiert arbeitet. Andere Lösungen im Markt setzen eine Standardisierung der IT-Umgebung voraus und arbeiten in Skripten, Runbooks oder Workflows. Sie erzeugen IT-Abläufe, die einem Fließband ähnlich sind und arbeiten daher gut auf einer Ebene, die ohnehin zu einem hohen Grad von Standardisierung profitiert. Eine wissensbasierte Lösung administriert hingegen den gesamten Stack – vom Betriebssystem bis hin zur Individualapplikation bzw. dem Geschäftsprozess – und integriert sich in die bestehende IT-Landschaft, sogar komplexe, nicht-standardisierte Umgebungen.

Der arago AutoPilot dagegen nutzt das im Unternehmen vorhandene Wissen und wendet es automatisch an. Die Lösung wird mit dem Wissen der Administratoren und anderen IT-Experten in Form von Wissensbausteinen gefüllt und erhält sämtliche Informationen, die sie für die automatisierte Administration des IT-Betriebs benötigt. Anschließend kombiniert der AutoPilot diese flexibel je nach Situation und Bedarf und arbeitet so wie ein eigenständiger Experte. Dadurch kann das Softwaretool auch individuelle Applikationen administrieren und sogar auf ungeplante Ereignisse sinnvoll reagieren.

Kommentar: Der AutoPilot rüstet sich für die Zukunft

Mit der Version 4.1 setzt arago seinem AutoPilot selbst einen neuen Meilenstein. Insbesondere mit der Einführung des Developer-Portal und der REST-API macht arago einen Schritt in die Zukunft und öffnet sich. Das ist insoweit eine wichtige Entscheidung, dass damit die Verbreitung des AutoPilot erhöht und die Akzeptanz für die wissensbasierte Automatisierung im Markt gestärkt wird. Diese Entwicklung kann später darüber hinaus durchaus zu einem Marktplatz führen, der es den Entwicklern ebenfalls ermöglicht, eigene Anwendungen für den Autopilot darauf anzubieten und zu monetarisieren.

Automation gilt bei vielen Menschen immer noch als eine gefährliche Entwicklung, da die Maschinen den Arbeitsplatz vollständig ersetzen könnten. Das ist eine gefestigte Denkweise, die hinterfragt werden muss. Die industrielle Revolution hat die Arbeitskraft der Menschen ebenfalls nicht vernichtet, sondern zu einer höheren Effizienz bei der Produktion und zu neuen höherwertigen Aufgaben geführt. IT-Abteilungen sind heutzutage in ihren Routineaufgaben für den IT-Betrieb gefangen und können dadurch nur noch begrenzt in die eigentliche Wertschöpfung eines Unternehmens eingreifen. Und das in einer Zeit, in der alle von der IT als Business-Enabler sprechen.

Eine wissensbasierte Automatisierungslösung, wie der AutoPilot, hat das Potential die IT-Abteilungen zu entlasten und ihr mehr Zeit und Freiheiten zu verschaffen, um sich auf die strategische Ausrichtung der Unternehmens-IT zu konzentrieren und damit im gleichen Maße für mehr Innovationen durch IT im Unternehmen zu sorgen.

Wir haben es doch alle gewusst

Es gab immer Vermutungen und Bedenken von Unternehmen, ihre Daten in eine Public Cloud eines US-amerikanischen Anbieters zu speichern. Dabei stand der der Patriot Act im Mittelpunkt der Diskussionen in Q&A-Sessions oder Panels nach Vorträgen oder Moderationen die ich gehalten habe. Mit PRISM erreichen die Diskussion nun ihren Höhepunkt und bestätigen, leider, diejenigen die schon immer Abhöraktionen durch die USA und anderer Länder als Argument geliefert haben.

David Lithicum hat sich bereits bei der NSA für den Mord an der Cloud bedankt. Ich argumentiere mit einem Schritt zurück und sage, dass die NSA für den Tod der US-amerikanischen Cloud-Anbieter verantwortlich “wäre”, ob es soweit kommt, bleibt noch abzuwarten. Menschliche Entscheidungen sind nicht immer rationaler Natur.

Unabhängig davon ist die Public Cloud nicht vollständig Tod. Unternehmen hatten schon vor dem Bekanntwerden des PRISM-Skandals die Aufgabe, ihre Daten nach unternehmenskritischen und öffentlichen zu klassifizieren. Dieses muss sich nun noch weiter verstärken, denn die Public Cloud vollständig aufzugeben wäre falsch.

Bye Bye USA! Welcome Europa und Deutschland

Wie ich bereits oben geschrieben habe, sehe ich weniger den Tod der Cloud selbst, sondern viel mehr den Tod der US-Anbieter kommen. Damit schließe ich auch diejenigen ein, die hier in Europa oder Deutschland ihre Standorte und Rechenzentren haben. Denn das Vertrauen ist dermaßen zerstört, dass sämtliche Erklärungs- und Beschwichtigungsversuche sich in Nullkomma nix in Luft auflösen.

Fakt ist, dass US-Anbieter und deren Töchterfirmen dem Patriot Act und demnach auch dem “Foreign Intelligence Surveillance Act (FISA)” unterstellt sind, was sie dazu verpflichtet Auskünfte über angefragte Informationen zu erteilen. Die Anbieter versuchen sich hier derzeit aktiv zu stärken, indem mehr Verantwortung von der US-Regierung gefordert wird, um das restliche Vertrauen was noch vorhanden ist, zumindest zu behalten. Das ist lobenswert aber ebenso notwendig. Dennoch haben die Diskussionen um vermeintliche Schnittstellen, “Kopier-Räume” oder Backdoors bei den Anbietern, mit denen Dritte ungehindert die Daten abgreifen können, einen äußerst faden Beigeschmack hinterlassen.

Das sollte nun verstärkt europäische und deutsche Cloud-Anbieter ermutigen. Denn nicht dem US-amerikanischen Einfluss zu unterliegen sollte als ein noch größerer Wettbewerbsvorteil denn je ausgespielt werden. Dazu gehören u.a. der Standort des Rechenzentrums, der Rechtsrahmen, der Vertrag, aber auch die technische Sicherheit (z.B. End-to-End Verschlüsselung).

Je nachdem wie die US-Regierung in der nächsten Zeit reagieren wird, bleibt es spannend zu sehen, wie sich US-amerikanische Anbieter auf dem europäischen Markt verhalten. Bisher handelt es sich immer um 100% Tochterunternehmen der großen US-Konzerne, die hier vor Ort nur als Ableger gelten und der Mutter in den USA vollständig unterstellt sind.

Auch wenn ich kein Befürworter weder einer reinen “Euro-Cloud” noch einer “Deutschen Cloud” bin. Es kann unter diesen aktuellen Umständen nur eine europäische Lösung geben. Viviane Reding, EU-Kommissarin für Justiz, ist jetzt gefragt, um eine bedingungslose Datenschutzverordnung für Europa durchzusetzen, welche die europäischen Unternehmen gegenüber den US-Unternehmen unter diesen Gesichtspunkten im Wettbewerb stärkt.

Der Mut der Anbieter ist gefragt

Allen Anschein nach wird es kein zweites Amazon, Google, Microsoft oder Salesforce aus Europa oder gar Deutschland geben. Die großen, allen voran T-Systems und SAP stärken aktuell ihr Cloud-Geschäft und bieten Unternehmen damit eine echte Alternative zu US-Anbietern. Auch sind vereinzelnd Lichtblicke von Startups am Horizont zu erkennen. Was jedoch fehlt sind u.a. echte und gute Infrastructure-as-a-Service (IaaS) Angebote von jungen Unternehmen die nicht nur Infrastruktur-Ressourcen im Portfolio haben, sondern ähnlich wie Amazon auf Services setzen. Die Problematik beim IaaS besteht in den hohen Kapitalanforderungen, die dafür notwendig sind, um auch u.a. eine massive Skalierbarkeit zu gewährleisten.

Andere Startups die z.B. Platform-as-a-Service (PaaS) anbieten, setzen in vielen Fällen im Hintergrund wieder auf die Infrastruktur von Amazon – US-Anbieter. Hier sind dann allerdings Anbieter wie T-Systems in der Pflicht, sich nicht ausschließlich auf Unternehmen zu konzentrieren, sondern ebenfalls über den “Amazon-Weg” es Entwicklern ermöglichen, ihre Ideen und Lösungen auf einer Cloud-Infrastruktur in Deutschland und Europa zu entfalten. Es fehlt einfach eine echte(!) deutsch-europäische Alternative zu den Amazon Web Services, Google, Microsoft oder Salesforce!

Wie sollten sich Unternehmen jetzt verhalten?

Unter all diesen Gesichtspunkten muss man Unternehmen raten, sich nach einem Anbieter umzuschauen, der sich in einem Land befindet, das die für das Unternehmen selbst geforderten rechtlichen Bedingungen hinsichtlich Datenschutz und Informationssicherheit gewährleistet. Und das kann derzeit nur ein Anbieter aus Europa bzw. Deutschland sein. Nebenbei bemerkt war das auch schon vor PRISM so. Weiterhin stehen Unternehmen selbst in der Pflicht, ihre Daten zu klassifizieren und unternehmenskritische Informationen mit einem deutlich höheren Schutzniveau zu bewerten als weniger wichtige und öffentlich zugängliche Informationen.

Wie es bei US-amerikanischen Unternehmen konkret ausschaut ist schwer zu sagen. Immerhin halten 56 Prozent der US-Bürger das Überwachen von Telefonaten für akzeptabel. Europäer, aber vor allem die Deutschen werden das allerdings anders sehen. Insbesondere wir Deutschen werden keine Stasi 2.0, die anstatt auf Spione aus den eigenen Reihen (Nachbarn, Freunde, Eltern, Kinder usw.), auf Maschinen und Services setzt, akzeptieren!

Zugeschnitten auf die Bedürfnisse von Anwälten und Notaren

T-Systems hat die von ihr entwickelte revisionssichere Standardlösung zusätzlich auf die Bedürfnisse von Anwälten und Notaren sowohl fachlich als auch technisch zugeschnitten. Der Service ist mit dem § 203 StGB für Berufsgeheimnisträger konform und erfüllt zudem sämtliche Anforderungen an den Beschlagnahmeschutz vertraulicher Informationen zwischen Anwälten und Mandanten. Für den Zugriff auf das System ist ein acht bis 50 Stellen langer, digitaler Schlüssel notwendig, den nur der Anwender kennt. Nach Angaben von T-Systems kann kein Mitarbeiter zu keinem Zeitpunkt auf die Daten in der Cloud-Lösung zugreifen und sie auslesen. Ebenfalls nicht bei Wartungsarbeiten. Aus Datenschutzgründen befinden sich die Dokumente in jedem Fall auf Servern innerhalb Deutschlands in einem nach international anerkannten Sicherheitsstandards zertifizierten, deutschen Rechenzentrum.

Im Hintergrund arbeitet die Lösung doculife des Schweizer Partners Document Future AG. Diese ist nahtlos in Microsoft Office und Outlook integrierbar. Hat der Anwender einen De-Mail-Account, kann er diesen über ein Plug-in nutzen und Nachrichten an Klienten oder an Gerichte verschlüsselt versenden. Nachricht und Anhang erreichen den oder die Empfänger somit sicher und beweiskräftig. Umgekehrt können die Anwälte und Notare auch De-Mail-Nachrichten empfangen. Aber auch konventionelle E-Mails erhält der Nutzer nur von Absendern, die er hierzu freigeschaltet hat.

Anwälte und Notare werden mobil

Über ein mobiles Endgerät mit dem Apple-Betriebssystem iOS lassen sich alle Dokumente ebenfalls aus der Cloud von überall aus sicher abrufen. Nutzer von Windows 8 und Android müssen sich noch etwas gedulden. Hier laufen allerdings bereits die Pilotprojekte. Die Akten lassen sich zudem auf Wiedervorlage einstellen. Die Cloud-Anwendung erinnert die Anwender dann an die anstehenden Aufgaben.

Update: Weitere Informationen zum Angebot

Ich hatte heute noch ein Briefing mit T-Systems zu diesem Service. Hier die weiteren wichtigen Fakten.

Grundsätzlich bietet T-Systems für alle seine Kunden, das gilt nicht nur für diese Anwalts- und Notar-Lösung, eine Private Cloud an. Das bedeutet, dass Unternehmen über eine dedizierte Netzwerkleitung mit einem T-Systems Rechenzentrum verbunden werden und dort auf die Hosted Private Cloud bzw. Virtual Private Cloud zugreifen. Hierzu werden die unterschiedlichen Lösungen in Blöcken voneinander physikalisch isoliert, um die Sicherheit zu gewährleisten.

Der Service für die Anwälte und Notare wird ebenfalls getrennt auf einer dedizierten Plattform in einem separaten physikalischen Block innerhalb eines T-Systems Rechenzentrum in Deutschland betrieben. Der Anwender muss nicht zwingend über eine dedizierte MPLS-Verbindung auf das Rechenzentrum zugreifen und kann dazu ebenfalls eine Standard Internetverbindung nutzen.

Die Sicherheit für den Zugriff auf das System wird, wie bereits oben beschrieben über einen bis zu 50 Stellen langen, digitalen Schlüssel sichergestellt. Dieser ist ausschließlich im Besitz des Anwenders und wird nur auf dessen lokalen System gespeichert. Das bedeutet zudem, dass dieser Schlüssel niemals verloren gehen darf. Ansonsten sind die Daten verloren, da T-Systems keine Möglichkeit besitzt, den Schlüssel wiederherzustellen oder ohne diesen Schlüssel auf die Daten zuzugreifen.

Der Zugriff auf die Daten in der Private Cloud erfolgt über eine klassische lokale Software-Installation von doculife, die einen vollen Funktionsumfang besitzt, über den Webrowser mit eingeschränkten Funktionen oder über mobile Apps für Smartphones und Tablets. Die Funktionsbeschränkung im Browser ist z.B. die nicht vorhandene E-Mail Integration. Die mobilen Apps sind derzeit noch im reinen Read-Only Modus.

Die Sicherheit bei der Übertragung der Daten vom Anwender in die Cloud wird unter Verwendung des Browsers via HTTPS (SSL) sichergestellt. Kommt die lokale doculife Software inkl. Outlook Integration zum Einsatz, wird eine End-to-End Verschlüsselung aufgebaut. Wird aus doculife heraus eine E-Mail inkl. Anhang über den De-Mail Dienst verschickt, ist laut T-Systems die End-to-End Verschlüsselung soweit sichergestellt, dass nur die De-Mail kurzzeitig auf den Servern geöffnet wird, der doculife Anhang aber weiterhin verschlüsselt bleibt.

Die Lösung kann in sechs verschiedenen Ausbaustufen, inkl. drei unterschiedlichen Beratungspaketen genutzt werden, dessen Preise in dieser Liste zu finden sind.

Kommentar: Ein Zeichen für alle Unternehmen

Technologisch betrachtet ist die Cloud in Deutschland angekommen. Viele Unternehmen haben bereits erkannt, wie sie damit ihre Produktivität erhöhen können und mehr Kapital, Zeit und Raum für Innovationen schaffen. Dennoch bestehen weiterhin rechtliche- und datenschutztechnische Bedenken sowie Probleme damit, das notwendige Vertrauen in die Anbieter aufzubauen. Die erste Person zu der in solchen Fällen in der Regel Kontakt aufgenommen wird ist der Rechtsanwalt. Dieser besänftigt dann mit Stichworten wie Auftragsdatenverarbeitung, Safe-Harbor, EU-Standardvertragsklauseln oder persönliche SLA-Verträge. Denn die rechtlichen Rahmenbedingungen sind soweit geschaffen. An Vertrauen fehlt es jedoch weiterhin. Das ist etwas sehr Subjektives, was auch kein Rechtsanwalt oder Datenschutzbeauftragter direkt vermitteln kann.

Das Vertrauen in die Cloud kann daher nur gestärkt werden, indem ebenfalls Nutzer mit höchst sensibel zu bewerteten Daten auf Cloud-Lösungen zurückgreifen. Diesen Schritt sind T-Systems und der davit nun gegangen und setzen damit ein deutliches Zeichen für alle Unternehmen, die noch Bedenken äußern u.a. personenbezogene Daten auf einem Cloud-Service zu speichern. Eines darf hier nicht übersehen werden. Anwälte und Notare arbeiten neben personenbezogene Daten ebenfalls mit weiteren äußerst sensiblen Daten, die meist noch kritischer zu betrachten sind. Darüber hinaus unterliegen sie noch strengeren Gesetzen als ein durchschnittliches Unternehmen. Genannt sei nur der § 203 StGB “Verletzung von Privatgeheimnissen”, in dem geregelt ist, wie mit Verletzungen “… von namentlich ein zum persönlichen Lebensbereich gehörendes Geheimnis oder ein Betriebs- oder Geschäftsgeheimnis…” umgegangen wird. Oder die Anforderungen an den Beschlagnahmeschutz vertraulicher Informationen zwischen Anwälten und Mandanten. Anwälte und Notare gehören damit rechtlich als auch sicherheitstechnisch mit zu den gefährdetsten Gruppen in der Cloud, wofür die T-Systems und der davit nun eine Lösung geschaffen haben.

Ich war vor kurzem in einem Think Tank, wo es darum ging, wie man Cloud-Services für Anwälte und Steuerberater rechtskonform aber ebenfalls technisch und organisatorisch aufbauen sollte. Dabei waren auch einige Rechtsanwälte anwesend, die aus der Praxis berichteten und lieber heute als morgen auf Cloud-Lösungen zurückgreifen würden, um vor allem ortsunabhängig und zu jeder Zeit auf ihre Daten zugreifen zu können.

Auch andere Cloud-Anbieter sollten diesem Vorbild folgen und ein Maximum an rechtlicher Sicherheit bieten, wie zum Beispiel dem revisionssicheren Speichern und Archivieren von Daten. Ein weiterer Pluspunkt, den deutsche Anbieter ganz klar als Vorteil gegenüber internationalen Cloud-Anbietern ausspielen müssen, ist das anbieten echter(!) Cloud-Services aus einem deutschen Rechenzentrum, welches nach international anerkannten Sicherheitsstandards zertifiziert ist.

Drittorganisationen sollen Datenströme überprüfen können

In einem Interview mit dem Manager Magazin unter dem anscheinend harmlosen Titel “SICHERHEIT BEIM CLOUD COMPUTING – “Der Kunde sitzt am kürzeren Hebel” sagt Professor Christoph Reich von der Fakultät Informatik an der Hochschule Furtwangen und Leiter des dortigen Cloud Research Center: “Wir wollen Schnittstellen definieren, die Drittorganisationen die Möglichkeit geben, die Datenströme zu überprüfen.“.

Diese Aussage war die Antwort auf die Frage, wie es technisch realisiert werden kann, dass eine Art Rechenschaftskette aufgebaut werden soll, die über Anbietergrenzen funktioniert. Das hat den Hintergrund, dass somit die Eigenschaft weitergegeben werden soll, “… dass personenbezogene Daten besonders gut geschützt werden…”. Aus diesem Grund darf diese Rechenschaftskette nicht abreißen, wenn ein weiterer Anbieter mit ins Spiel kommt.

Soweit so gut. Allerdings wird es dann spannend. Auf die anschließende Frage vom Manager Magazin:

“Wäre damit auch der Bund ein potentieller Kunde? Deutsche Strafverfolgungsbehörden verlangen ja nach einer einheitlichen Schnittstelle, um Cloud-Kommunikationsdaten in Echtzeit überwachen zu können.“

antwortet Professor Reich:

“Im Prinzip geht das schon in diese Richtung. Aber eine gerichtlich verwertbare Nachprüfbarkeit sieht noch mal ganz anders aus. Wenn man beweissichere Daten aufnehmen will, braucht man spezielle Speicher dafür, die sehr teuer sind. Wir wollen nur dem Kunden die Möglichkeit geben, visualisiert zu bekommen, wo seine Daten liegen.“

Mal unabhängig davon, dass die Hochschule Furtwangen nicht über diese “speziellen Speicher” verfügt, aber eine staatliche Organisation bestimmt. Und solange die Schnittstellen dafür zur Verfügung stehen, können die Daten auch abgefangen und an einem dritten Ort gespeichert werden.

Cloud Computing lebt vom Vertrauen

Ich habe es schon vor drei Jahren geschrieben “Cloud Computing ist eine Frage des Vertrauens, der Verfügbarkeit und Sicherheit!“. Die Hochschule Furtwangen möchte mit ihrem “Überwachungsprojekt” ebenfalls Vertrauen in der Cloud schaffen.

Ich frage mich nur, wie man weiter Vertrauen aufbaut, wenn man Schnittstellen für die potentielle (staatliche) Überwachung von Datenströmen in Cloud-Lösungen integrieren möchte?!

ASP: 50 Kunden und 50 Applikationen

Sind wir ehrlich. Ein Unternehmen, das eine Anwendung vertreiben möchte wird früher oder später auf den Gedanken kommen, dass es seine Gewinne doch irgendwie maximieren möchte. In diesem Zusammenhang haben die Economies of scale eine wichtige Bedeutung, um eine effiziente Lösung am Markt zu platzieren, die so konstruiert ist, dass diese trotz des eigenen Wachstums weiterhin profitabel bleibt. Leider kann ein ASP Modell genau das nicht nachweisen. Denn ASP hat ein Problem, es skaliert nicht dynamisch, sondern ist nur so schnell, wie der Administrator der dafür sorgen muss, dass ein weiterer Server eingekauft, im Serverraum installiert, mit dem Betriebssystem und weiterer Basissoftware und der eigentlichen Kundensoftware ausgestattet ist.

Weiterhin wird bei dem typischen ASP-Modell für jeden Kunden eine Instanz der jeweiligen Software benötigt. Im schlimmsten Fall (je nach Performance) wird sogar für jeden Kunden mindestens ein eigener (physikalischer) Server benötigt. Das bedeutet in Zahlen, dass für 50 Kunden, welche exakt dieselbe Anwendung aber getrennt voneinander nutzen möchten, 50 Installationen der Applikation und 50 Server benötigt werden. Vergessen sollten man dabei nicht Themen wie Datenbanken, in denen in vielen Fällen bis zu drei Mal so viele Datenbanken eingesetzt werden müssen wie Applikationen für die Kunden bereitgestellt sind.

Man überlege sich darüber hinaus den Aufwand (die Kosten), den ein ASP-Anbieter betreibt, um neue Kunden zu integrieren und die gehosteten Systeme zu verwalten, zu warten sowie mit Patches und Upgrades zu versorgen. Das ist unprofitabel!

SaaS: 50 Kunden und 1 Applikation

SaaS setzt im Vergleich zu ASP auf ein viel effizienteres und profitableres Modell. Anstatt für jeden Kunden jeweils eine Applikation zu betreiben, kommt nur eine einzige Instanz einer Applikation für alle Kunden zum Einsatz. Das bedeutet, dass für 50 Kunden nur 1 Instanz der Applikation benötigt wird, die alle gemeinsam aber isoliert voneinander nutzen. Damit wird insbesondere der Aufwand für den Betrieb und das Management der Applikation reduziert. Wo ein Administrator beim ASP-Modell jede Software der 50 Installation updaten musste, reicht es beim SaaS, wenn eine einzige Instanz aktualisiert wird. Wollen neue Kunden die Applikation nutzen wird ihnen der Zugang zu der Anwendung automatisch eingerichtet, ohne dass ein Administrator erst einen neuen Server installieren und die Applikation einrichten muss. Das spart sowohl Zeit als auch Kapital. Das bedeutet, dass die Anwendung mit den Anforderungen durch neue Kunden profitabel mitwächst.

Multitenancy ist der Schlüssel zum Erfolg

Das Konzept hinter SaaS, das einen entscheidenden Unterschied zwischen ASP und SaaS ausmacht, nennt sich Multitenancy (Mandantenfähigkeit). Hier werden auf ein und demselben Server bzw. Softwaresystem mehrere Mandaten, also Kunden gehostet, ohne das sich diese gegenseitig in die Daten, Einstellungen usw. schauen können. Das bedeutet, dass auch nur jeder Kunde seine Daten sehen und bearbeiten kann. Ein einziger Mandat innerhalb des Systems bildet dabei eine auf die Daten bezogene und organisatorisch geschlossene Einheit.

Wie bereits oben angemerkt, sind die Vorteile eines Multitenancy Systems, die Applikation zentral zu installieren und zu warten sowie der optimierte Speicherbedarf für die Datenhaltung. Das hängt damit zusammen, dass Daten und Objekte die mandantenübergreifend gehalten werden, nur für ein installiertes System gespeichert werden müssen und nicht pro Mandat. In diesem Zusammenhang muss noch einmal betont werden, dass ein Softwaresystem nicht mandantenfähig wird, indem jeder Mandanten eine eigene Instanz einer Software erhält. Alle Mandaten nutzen im Multitenancy-Verfahren eine Instanz einer Applikation die zentral verwaltet wird.

Wer sich weiterhin die Frage stellt, warum man ASP nicht als SaaS verkaufen darf, der sollte “Software-as-a-Service: Warum auch Ihre Anwendung in die Cloud gehört” lesen!

Glaubwürdige positive Energie

Den Cloud Gedanken hat sich SAP extern durch die damalige Akquisiton von SuccessFactors mit dessen Gründer und CEO Lars Dalgaard einverleibt. Der Däne wurde nach der Übernahme als Verantwortlicher für den SAP Cloud Bereich zur treibenden Kraft hinter den SAP Cloud Services. Und diesen Job hat er gut gemacht. In seiner Key Note, während der Sapphire Now 2012, in welcher er die neue Cloud Strategie von SAP vorstellte, präsentierte Dalgaard sich als explosiver Unternehmer, der seine Startup Gene bei weitem nicht abgelegt hat. Im Gegenteil, mit seiner Motivation brachte er frischen Wind in den etablierten Konzern aus Walldorf.

Ich hatte schon während meines Rückblicks auf die Sapphire Now 2012 geschrieben: “Es bleibt für Dalgaard und vor allem für SAP zu hoffen, dass er seine Cloud Vision verwirklichen und das er mit seinem Startup Charakter auf offene Türen hoffen darf. Denn SAP ist weit weg von dem, was man logischerweise als ein Startup bezeichnen kann.”

Unterschiedliche Unternehmenskulturen

Ist genau dieser Umstand Dalgaard oder besser gesagt SAP nun zum Verhängnis geworden? Lars Dalgaard ist zum 1. Juni 2013 von seinem Vorstandsposten zurückgetreten, hat SAP verlassen und ist als General Partner bei Andreessen Horowitz eingestiegen. Er wird SAP weiterhin für das Cloudgeschäft im Cloud Governance Board beratend zur Seite stehen.

Ich kann an dieser Stelle nur spekulieren. Zwar kenne ich Dalgaard nicht persönlich. Aber seine positive Energie, die er während seiner Vorträge ausstrahlt, zeugen von jemanden, der weiß was er will und eine klare Linie verfolgt. Zugegebenermaßen bin ich auch kein SAP-Experte hinsichtlich der Unternehmenskultur. Allerdings sind schon viele gute Leute fragwürdiger Weise an SAP zerbrochen. Als ein Beispiel sei nur Shai Agassi genannt.

#SAP cannot deal well with external talent. Lars Dalgaard is just another example after Shai Agassi and many others. bloomberg.com/news/2013-05-2…

— Stefan Ried (@StefanRied) 3. Juni 2013

Quo vadis, SAP?

Ein ganzes Unternehmen an einer einzigen und dann auch noch extern eingekauften Person festzumachen ist übertrieben. Dennoch vertrete ich den Standpunkt, dass der Verlust von Lars Dalgaard einen erheblichen Einfluss auf das Cloud-Geschäft von SAP haben könnte. Man erinnere sich an den sehr steinigen Beginn von SAP im Cloud-Bereich mit seiner Produktlinie “SAP Business By Design”, die in ihrer ersten Version den Begriff Cloud-Lösung nicht verdient hatte und ein echter Reinfall war. Mit Business By Design 4.0 hat SAP – unter der Leitung von Lars Dalgaard – noch einmal von Vorne begonnen und der Zug kam ins Rollen.

Es sei SAP zu wünschen, dass sie diese “Dalgaard-Mentalität” nicht verlieren, um damit im Cloud-Markt weiterhin konkurrenzfähig zu bleiben. Denn eines sollte man nicht vergessen. Ein Cloud-Unternehmen muss anders geführt werden, als ein traditionelles Softwareunternehmen. Man vergleiche nur Amazon und Google. Das Gleiche musste auch Microsoft erst verstehen und lernen sich neu zu erfinden. SAP war – mit Lars Dalgaard – bisher zumindest auf dem richtigen Weg.