Author: Rene Buest

Rene Buest is Gartner Analyst covering Infrastructure Services & Digital Operations. Prior to that he was Director of Technology Research at Arago, Senior Analyst and Cloud Practice Lead at Crisp Research, Principal Analyst at New Age Disruption and member of the worldwide Gigaom Research Analyst Network. Rene is considered as top cloud computing analyst in Germany and one of the worldwide top analysts in this area. In addition, he is one of the world’s top cloud computing influencers and belongs to the top 100 cloud computing experts on Twitter and Google+. Since the mid-90s he is focused on the strategic use of information technology in businesses and the IT impact on our society as well as disruptive technologies.

Rene Buest is the author of numerous professional technology articles. He regularly writes for well-known IT publications like Computerwoche, CIO Magazin, LANline as well as Silicon.de and is cited in German and international media – including New York Times, Forbes Magazin, Handelsblatt, Frankfurter Allgemeine Zeitung, Wirtschaftswoche, Computerwoche, CIO, Manager Magazin and Harvard Business Manager. Furthermore Rene Buest is speaker and participant of experts rounds. He is founder of CloudUser.de and writes about cloud computing, IT infrastructure, technologies, management and strategies. He holds a diploma in computer engineering from the Hochschule Bremen (Dipl.-Informatiker (FH)) as well as a M.Sc. in IT-Management and Information Systems from the FHDW Paderborn.

Analysen

Wie schützen Unternehmen ihre Daten gegen die Überwachung in der Cloud?

Post author By Rene Buest
Post date June 18, 2013

Die US-Regierung hat mit PRISM die Verunsicherung bei Internetnutzern und Unternehmen weiter vergrößert und damit den Vertrauensverlust gegenüber US-amerikanischen Anbietern enorm verstärkt. Nach dem Patriot Act, der oftmals als das Hauptargument gegenüber dem Einsatz von Cloud-Lösungen US-amerikanischer Anbieter genannt wurde, hat nun die Überwachung durch die NSA das Fass zum Überlaufen gebracht. Aus der Sicht eines Unternehmens kann unter diesen Umständen die Entscheidung derzeit nur lauten, sich gegen einen Cloud Anbieter aus den USA zu entscheiden, selbst dann, wenn dieser ein Tochterunternehmen mit Standort und Rechenzentrum in Europa oder Deutschland hat. Darauf hatte ich bereits in diesem Artikel hingewiesen. Nichts desto trotz muss das Wirtschaftsleben weitergehen, was auch mit der Cloud funktionieren kann. Hier gilt es allerdings auf die technische Sicherheit zu achten, die in diesem Artikel thematisiert wird.

Betroffene Parteien

Diese ganze Thematik gilt zwangsläufig nicht nur für Unternehmen, sondern für jeden Nutzer der aktiv in der Cloud kommuniziert und seine Daten teilt und synchronisiert. Zwar darf in diesem Zusammenhang das Thema Datenschutz nicht vernachlässigt werden, für Unternehmen steht in der Regel jedoch noch mehr auf dem Spiel, wenn Informationen mit Firmeninterna abgefangen werden oder Sprach- und Videokommunikation überwacht wird. An dieser Stelle muss erwähnt werden, dass dies in erster Linie nichts mit der Cloud zu tun hat. Datenkommunikation wurde lange vor Cloud-Infrastrukturen und -Services betrieben. Jedoch führt die Cloud in Zukunft zu einer immer stärkeren Vernetzung und dient als Dreh- und Angelpunkt moderner Kommunikations- und Kollaborationsinfrastrukturen.

Die aktuelle Sicherheitslage

Der PRISM Skandal zeigt das gesamte Ausmaß der Möglichkeiten, die es den US-Sicherheitsbehörden erlaubt, ungehindert und ungeachtet auf die weltweite Datenkommunikation zuzugreifen. Dazu nutzen die US-Behörden offiziell die “National Security Letter (NSL)” des US Patriot Act und den “Foreign Intelligence Surveillance Act (FISA)”. Auf Grund dieser Anti-Terror Gesetze sind die US-Anbieter und deren Töchterfirmen im Ausland dazu verpflichtet Auskünfte über angefragte Informationen zu erteilen.

Im Rahmen der PRISM Enthüllungen wird ebenfalls über vermeintliche Schnittstellen, “Kopier-Räume” oder Backdoors bei den Anbietern spekuliert, mit denen Dritte direkt und ungehindert die Daten abgreifen können. Das widersprechen die Anbieter jedoch vehement.

US-Anbieter, nein Danke?

Während der Auswahl eines Cloud-Anbieters* werden verschiedene Segmente betrachtet die grob in technische und organisatorische Bereiche unterteilt werden können. Der technische Bereich spiegelt in diesem Fall die technische Sicherheit und der organisatorische die rechtliche Sicherheit wieder.

Die organisatorische Sicherheit ist mit Vorsicht zu genießen. Der Patriot Act öffnet den US-Sicherheitsbehörden legal die Türen, soweit ein Verdachtsfall vorliegt. Inwieweit dieses immer im rechtlichen Rahmen bleibt, vagen mittlerweile viele zu bezweifeln. An dieser Stelle ist Vertrauen gefragt.

Technologisch betrachtet sind die Rechenzentren der Cloud-Anbieter als sicher einzustufen. Der Aufwand und die Investitionen die von den Anbietern betrieben werden, kann kein normales Unternehmen erbringen. Aber auch hier gilt 100% Sicherheit kann niemals gewährleistet werden. Soweit möglich sollte der Nutzer zusätzlich eigene Sicherheitsmechanismen einsetzen. Weiterhin sollten die Gerüchte über staatliche Zugriffe der NSA nicht ungeachtet bleiben. Über zwei US-amerikanische Telefonanbieter gibt es bestätigte Berichte, in denen über direkte Zugriffe auf die Kommunikation durch die NSA und stark gesicherte Räumen, die über modernste Überwachungstechnologien verfügen, die Rede ist. In diesem Zusammenhang sollten auch die Anbieter von on-Premise IT-Lösungen betrachtet werden, inwieweit diese unterwandert sind.

Unter beiden Gesichtspunkten und der aktuellen Sicherheitslage sind US-amerikanische Anbieter mit Vorsicht zu genießen. Das gilt ebenfalls für deren Tochterfirmen mit einem Sitz in der EU. Denn auch diese sind nicht in der Lage zumindest die notwendige rechtliche Sicherheit zu erfüllen.

Aber auch der deutsche Geheimdienst darf nicht ungeachtet bleiben. Neueste Meldungen weisen daraufhin, dass der “Bundesnachrichtendienst (BND)” die Überwachung des Internets ebenfalls weiter massiv ausbauen wird. Dazu stehen Mittel in Höhe von 100 Million EUR bereit, von denen von der Bundesregierung bereits fünf Millionen EUR freigegeben wurden. Im Gegensatz zur NSA wird der BND nicht den vollständigen Datenverkehr im Internet speichern, sondern nur auf bestimmte verdächtige Inhalte prüfen. Dazu darf er laut dem G-10-Gesetz bis zu 20 Prozent der Kommunikationsdaten zwischen Deutschland und dem Ausland mitlesen.

Hardliner müssen mit sofortiger Wirkung sämtliche digitale sowie analoge Kommunikation einstellen. Das wird allerdings nicht mehr funktionieren, da die Abhängigkeit zu groß geworden ist und das moderne unternehmerische Dasein von der Kommunikation bestimmt wird. Es müssen daher andere legale Wege gefunden werden, trotz Überwachung, eine sichere Kommunikation und Datenübertragung zu gewährleisten.

* Ein Cloud-Anbieter kann in diesem Zusammenhang ein Service-Anbieter oder ein Anbieter von Private Cloud oder IT-Hard- und Software-Lösungen sein.

Anforderungen an sichere Cloud-Services und IT-Lösungen

Zunächst muss klar gesagt werden, dass es kein Allheilmittel gibt. Die Gefahr geht spätestens von dem Nutzer aus, der über die Gefahrenlage nicht aufgeklärt ist oder mit Absicht Unternehmensdaten entwendet. Ungeachtet dessen führen die PRISM Erkenntnisse zu einer neuen Sicherheitsbetrachtung im IT-Bereich. Und es ist zu hoffen, dass sich damit ebenfalls das Sicherheitsbewusstsein der Anwender vergrößert.

Unterstützung können Unternehmen dabei von Cloud-Services und IT-Lösungen erhalten, die das Thema Sicherheit von Beginn an zum bedingungslosen Teil ihres Leitmotivs gemacht haben. Das sollten unter den aktuellen Umständen bevorzugt Anbieter aus Europa oder Deutschland sein. Auch wenn es bereits erste Berichte über Verzwickungen und Einflüsse der US-Regierung und von US-Anbietern auf die Europäische Kommission gibt, die eine “Anti-FISA-Klausel” in der EU-Datenschutzreform verhindert haben, existieren in Europa keine vergleichbaren Gesetze wie der US Patriot Act oder FISA.

Demnach können auch europäische und deutsche IT-Anbieter, die nicht dem Patriot Act unterstellt und nicht staatlich unterwandert sind, US-amerikanischen Anwendern dabei helfen ihre Datenkommunikation sicher zu betreiben.

Kriterien für die Anbieterauswahl

Beim Thema Sicherheit geht es immer wieder verstärkt um Vertrauen. Und genau dieses Vertrauen erreicht ein Anbieter nur durch Offenheit, indem er sich von seinen Kunden technologisch in die Karten schauen lässt. IT-Anbieter stehen oftmals in der Kritik zu verschlossen zu sein und keine Auskünfte über ihre proprietären Sicherheitsprotokolle zu machen. Das stimmt zum Teil, denn es gibt auch Anbieter die darüber bereitwillig sprechen und kein Geheimnis daraus machen. So einen Anbieter gilt es zu finden.

Neben dem subjektiven Thema Vertrauen, ist es aber insbesondere die implementierte Sicherheit, die eine sehr wichtige Rolle spielt. Hier sollte darauf geachtet werden, dass der Anbieter aktuelle Verschlüsselungsmechanismen einsetzt, dazu gehören:

Advanced Encryption Standard – AES 256 für die Verschlüsselung der Daten.
Diffie-Hellman und RSA 3072 für den Schlüsselaustausch.
Message Digest 5/6 – MD5/MD6 für die Hash-Funktionalität.

Weiterhin nimmt die Bedeutung der End-to-End Verschlüsselung der gesamten Kommunikation immer stärker zu. Das bedeutet das der gesamte Prozess, den ein Nutzer mit der Lösung durchläuft, von Anfang bis Ende durchgehend verschlüsselt ist. Das beinhaltet u.a.:

Die Benutzerregistrierung
Die Anmeldung
Den Datentransfer (Versand/ Empfang)
Übertragung der Schlüsselpaare (Public/ Private Key)
Der Speicherort auf dem Server
Der Speicherort auf dem lokalen Endgerät
Die Sitzung während ein Dokument bearbeitet wird

In diesem Zusammenhang ist es wichtig zu verstehen, dass der private Schlüssel für den Zugriff auf die Daten und das System ausschließlich im Besitz des Anwenders sein darf. Und auch nur ausschließlich auf dem lokalen System des Anwenders verschlüsselt gespeichert wird. Der Anbieter darf über keine Möglichkeiten verfügen, diesen privaten Schlüssel wiederherzustellen und niemals auf die gespeicherten Daten Zugriff erhalten. Achtung: Es gibt Cloud-Storage Anbieter, die sowohl den privaten Schlüssel wiederherstellen, als auch auf die Daten des Nutzers Zugriff nehmen können.

Weiterhin gibt es Anbieter, von denen die Kontrolle über die eigenen Daten thematisiert wird. Das ist zwar richtig. Allerdings wird zwangsläufig früher oder später extern kommuniziert und dann ist eine harte End-to-End Verschlüsselung unumgänglich.

Empfehlung für das Management

In diesem Zusammenhang möchte ich gerne TeamDrive erwähnen, die ich vor kurzem analysiert habe. Die deutsche Filesharing und Synchronisations-Lösung für Unternehmen wurde vom “Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein (ULD)” mit dem Datenschutz-Gütesiegel ausgezeichnet und gehört zu Gartners “Cool Vendor in Privacy” 2013. In den Medien wird TeamDrive hin und wieder als proprietär und verschlossen beschrieben. Das kann ich allerdings nicht bestätigen. TeamDrive hat mir für meine Analyse bereitwillig umfangreiche Informationen (z.T. unter NDA) zur Verfügung gestellt. Auch das selbst entwickelte Protokoll wird auf Anfrage für einen Audit offen gelegt.

Weitere Informationen zur Auswahl einer sicheren Share-, Sync- und Collaboration-Lösung

Ich möchte noch auf meinen Sicherheitsvergleich zwischen TeamDrive und ownCloud hinweisen, in dem ich beide Sicherheitsarchitekturen gegenübergestellt habe. Der Vergleich gibt zudem weitere Hinweise, was bei der Auswahl einer sicheren Share-, Sync- und Collaboration-Lösung zu beachten ist.

Tags Cloud, Cloud Computing, ownCloud, PRISM, Sicherheit, TeamDrive, Verschlüsselung

Events

Der CloudOps Summit 2013 startet seinen Call for Papers

Post author By Rene Buest
Post date June 17, 2013

Der CloudOps Summit 2013 geht in seine dritte Runde. In diesem Jahr dreht sich alles um das Thema “Facing Complexity”. Denn auch in Zeiten des Cloud Computing nimmt die Komplexität des IT-Betrieb immer weiter zu. Die Veranstalter des CloudOps Summit möchten in diesem Jahr die Fragen klären, wohin die Reise des IT-Betrieb in den nächsten Jahren geht, welche Tools und Ansätze erfolgsversprechend sind, welche neuen Methoden sich durchsetzen werden und wie sich die Zusammenarbeit zwischen IT und Business verändert. Dafür sind national und international erfahrene Sprecher gesucht, die ihre Erfahrungen in nicht vom Marketing getriebenen Lightning Talks und Breakout Sessions teilen.

Aufbau des CloudOps Summit 2013

Der CloudOps Summit spaltet das Thema “Facing Complexity” in die Bereiche Operating Complexity, Changing Business und DevOps auf.

Operating Complexity

Wie können komplexe Umgebungen betrieben werden? Welche Erfahrungen liegen mit Operational Analytics, Automatisierung, Provider Management, Wissensmanagement und Enterprise Clouds als Ansätze zur Komplexitätsbeherrschung vor? Welchen Einfluss haben neue Ansätze wie Software Definded Networking/Datacenter auf die Komplexität?

Stichworte: Next Generation Automation, Cloud Management, Enterprise Clouds, Operational Analytics, Augmented Engineer, Knowlegde Management, Software Defined Network/Datacenter

Changing Business

Wie sehen neuartige Wertschöpfungsverhältnisse aus? Zu welchen Business Cases liegen bereits belastbare Ergebnisse vor? Wie verändert sich die Rollenverteilung in der IT zwischen Kunde und Produzent?

Stichworte: IT zwischen Big Data und Cloud Computing, Technisierung des Business, Kundenzentrierte Unternehmer, Wertschöpfungsnetzwerke, Unternehmens IT vom Verhinderer zum Broker

DevOps

Welchen Beitrag liefern agile Methoden in der Entwicklung und im Betrieb? Kann die IT das Prinzip der kundenindividuellen Massenproduktion umsetzen und vernetzte und trotzdem „schlanke“ Produktionsverhältnisse (Lean IT) erfolgreich implementieren? Welchen Stellenwert haben neuartige Entwicklungs- und Produktionskonzepte (platform-as-a-service) in diesem Zusammenhang?

Stichworte: Agile Methoden (Scrum/Kanban), Agiles IT Management, Cloud PaaS, Private PaaS

Call for Papers

Der Call for Papers des CloudOps Summit 2013 endet am 01.08.2013. Bis dahin sind alle weiteren Informationen und das Formular für die Registrierung unter http://www.cloudops.de/call-for-papers-2013/ zu finden.

Tags Cloud, Cloud Computing, CloudOps Summit

Events

Event-Tipp: Cloud Developer Camp 2013, Frankfurt

Post author By Rene Buest
Post date June 17, 2013

Dieser Event-Tipp geht an alle Entwickler in Frankfurt und der RheinMainRocks Region. Am Samstag, 06. Juli 2013 findet im “Mövenpick Hotel Frankfurt City” das kostenlose Cloud Developer Camp 2013 statt. Es richtet sich an alle Entwickler, die Cloud Computing für ihre Applikationen nutzen oder in Zukunft einsetzen wollen. Wer sich für die Cloud interessiert oder deren Potential für Entwickler verstehen will und mich darüber hinaus auch noch als Moderator live sehen möchte, sollte vorbeischauen.

Kein Marketing, Sales und HR!

Das englischsprachige Cloud Developer Camp konzentriert sich auf die Konzepte für die Entwicklung, das Deployment und dem Betrieb von skalierbaren Webseiten und Cloud Applikationen auf Basis von Ruby on Rails.

Das Camp möchte Entwickler in einer entspannten Atmosphäre zusammenbringen, um sich über die Entwicklung Cloud-basierter Web-Anwendungen als auch Ruby Applikationen auszutauschen. Hands-on Unterstützung können die Teilnehmer von anderen erfahrenen Cloud-Entwicklern erwarten.

Vorträge

Vorträge, Workshops und Lightning Talks über die Ruby Entwicklung in der Cloud bilden das Programm. Darunter u.a. mit den Sprechern:

Florian Gilcher, CEO (Asquera GmbH)
Constantin Gonzalez – Solutions Architect (Amazon Web Services)
Falk Köppe, Software Developer (Infopark)

Weitere Informationen und die Anmeldung

Das kostenlose(!) Cloud Developer Camp beginnt am 06.07.13 um 10:00 Uhr im Mövenpick Hotel Frankfurt City, Den Haager Straße 5, 60327 Frankfurt am Main. Die Teilnehmer werden neben den Vorträgen und Workshops mit Frühstück, Mittagessen und einem Barbecue am Abend versorgt.

Weitere Informationen und die kostenlose Anmeldung gibt es unter http://www.infopark.com/en/events/cloud-developer-camp/frankfurt.

Tags Cloud, Cloud Computing, Entwickler, Frankfurt

Services @en @de

Version 4.1: arago makes its AutoPilot fit for the future

Post author By Rene Buest
Post date June 14, 2013

The automation experts of arago have released the latest version of their AutoPilot. Thus, the company from Frankfurt, Germany promises an even more flexible and secure IT operation with their knowledge-based automation solution. The AutoPilot can automatically carry out tasks within an IT operation and thus relieve IT departments of their routine tasks. The most important innovations in the latest update are the introduction of a developer portal and a new API, which opens the AutoPilot for software developers. Thus, the AutoPilot should integrated more efficiently into existing IT environments and adapted to individual needs. AutoPilot users can download the software for free to update on version 4.1 and get access to all the new services and features.

New API improves the integration

With the introduction of a Java/C++ API library and a REST interface connecting external systems is now easier. Users get the option to integrate the AutoPilot more quickly and efficiently in IT environments, and so access to relevant databases, hardware or user interfaces simplified. In addition, a new, more compact XML format for the respective MARS model reduces overhead when model data is transferred to the API.

Developer portal extends AutoPilot to a platform

With the introduction of the developer portal, AutoPilot can be used immediately by developers as a platform to generate their own applications on the basis of knowledge-based automation and data storage or to use existing connections. For this purpose, arago has made extensive documentation, code examples and test data available in the new portal. Should you have any questions or comments, arago has also provided the users with a support community. The developer portal is currently in the beta phase for a selected circle of developers – this is constantly being expanded, however.

Knowledge-based replaces scripted automation

AutoPilot distinguishes itself from most automation solutions considerably by being knowledge-based. Many other solutions on the market require a standardisation of the IT environment and work in scripts, run books or workflows. They create IT processes that work in a similar way to an assembly line and therefore work well on a level that already benefits from a large amount of standardisation – for example, the operating system or standard applications. A knowledge-based solution, in contrast, administers the whole stack, from the operating system to individual applications and the business process, and integrates into the existing IT environment – even into complex and non-standardised environments.

arago AutoPilot uses the knowledge already existing in the company and applies it automatically. The solution is filled with the knowledge of administrators and other IT professionals in the form of knowledge items and receives all the information it needs for the automated administration of IT operations. Subsequently, AutoPilot flexibly combines these depending on the situation and requirements, and thus works like an autonomous expert. As a result, the software tool can also administer individual applications and, in doing so, even react appropriately to unplanned events.

Comment: AutoPilot is prepared for its future

With version 4.1 arago sets a new milestone for its AutoPilot. Particularly with the introduction of the developer portal and the REST API arago makes a step into the future and opens for third party developer. This is insofar an important decision that it increases the reach of the AutoPilot and strengthened the acceptance of the knowledge-based automation in the market. This progress may eventually lead to a marketplace, which allows developers to offer their own applications for the AutoPilot and monetize it.

Automation is still considered as a dangerous development by many people, because the machines could replace the job completely. This is a well-established way of thinking that needs to be questioned. The industrial revolution also did not destroy the manpower of the people but led to greater efficiency in production and new higher-value tasks. IT departments are caught in their routine tasks for IT operations today, and thus can only limited intervene in the added value of a company. And this at a time in which everybody talks about IT as a business enabler.

A knowledge-based automation solution, such as the AutoPilot, has the potential to relieve the IT department and to give them more time and freedom to concentrate on the strategic orientation of the company’s IT and therefore to the same extent to increase innovation through IT in business.

Tags Automation, AutoPilot, Cloud, Cloud Computing

Services @de

arago macht seinen AutoPilot mit Version 4.1 fit für die Zukunft

Post author By Rene Buest
Post date June 14, 2013

Die Automatisierungs-Experten von arago haben die neueste Version ihres AutoPilot veröffentlicht. Damit versprechen die Frankfurter einen noch flexibleren und sicheren IT-Betrieb mit ihrer wissensbasierten Automatisierungslösung. Der Autopilot kann vollautomatisch Aufgaben innerhalb eines IT-Betriebs übernehmen und damit die IT-Abteilungen von ihren Routineaufgaben entlasten. Die wichtigsten Erneuerungen des aktuellen Updates sind die Einführung eines Entwickler-Portals und einer neuen API, welche die Software für Entwickler öffnet. Der Autopilot soll damit noch effizienter in bestehende IT-Umgebungen integriert und an die individuellen Bedürfnisse angepasst werden können. Nutzer des Autopilot können die Software kostenfrei auf Version 4.1 aktualisieren und erhalten so Zugriff auf sämtliche neuen Services und Funktionen.

Neue API verbessert die Integration

Mit Einführung einer Java/C++ API-Library und einer REST-Schnittstelle ist nun die Anbindung externer Systeme einfacher möglich. Nutzer erhalten damit die Möglichkeit, dass sich der AutoPilot noch schneller und effizienter in IT-Umgebungen einbinden lässt und so den Zugriff auf entsprechende Datenbanken, Hardware oder Benutzeroberflächen ermöglicht beziehungsweise vereinfacht. Zusätzlich verringert ein neues, kompakteres XML-Format für das jeweilige MARS-Modell einen Overhead, wenn Modelldaten an die API übergeben werden.

Developer-Portal macht AutoPilot zur Plattform

Mit der Einführung eines Entwickler-Portals lässt sich der AutoPilot ab sofort von Entwicklern als Plattform nutzen, um eigene Anwendungen auf Basis der wissensbasierten Automatisierung und Datenhaltung zu generieren oder bestehende Anbindungen zu nutzen. Zu diesem Zweck stellt arago im neuen Portal eine umfangreiche Dokumentation, Code-Beispiele und Testdaten zur Verfügung. Bei Fragen oder Anmerkungen steht arago den Nutzern außerdem mit einer Support Community zur Verfügung. Das Entwickler-Portal befindet sich aktuell in der Betaphase für einen ausgewählten Entwicklerkreis – dieser soll aber stetig erweitert werden.

Wissensbasierte ersetzt skriptbasierte Automation

Der AutoPilot unterscheidet sich von den meisten Automatisierungslösungen, indem er wissensbasiert arbeitet. Andere Lösungen im Markt setzen eine Standardisierung der IT-Umgebung voraus und arbeiten in Skripten, Runbooks oder Workflows. Sie erzeugen IT-Abläufe, die einem Fließband ähnlich sind und arbeiten daher gut auf einer Ebene, die ohnehin zu einem hohen Grad von Standardisierung profitiert. Eine wissensbasierte Lösung administriert hingegen den gesamten Stack – vom Betriebssystem bis hin zur Individualapplikation bzw. dem Geschäftsprozess – und integriert sich in die bestehende IT-Landschaft, sogar komplexe, nicht-standardisierte Umgebungen.

Der arago AutoPilot dagegen nutzt das im Unternehmen vorhandene Wissen und wendet es automatisch an. Die Lösung wird mit dem Wissen der Administratoren und anderen IT-Experten in Form von Wissensbausteinen gefüllt und erhält sämtliche Informationen, die sie für die automatisierte Administration des IT-Betriebs benötigt. Anschließend kombiniert der AutoPilot diese flexibel je nach Situation und Bedarf und arbeitet so wie ein eigenständiger Experte. Dadurch kann das Softwaretool auch individuelle Applikationen administrieren und sogar auf ungeplante Ereignisse sinnvoll reagieren.

Kommentar: Der AutoPilot rüstet sich für die Zukunft

Mit der Version 4.1 setzt arago seinem AutoPilot selbst einen neuen Meilenstein. Insbesondere mit der Einführung des Developer-Portal und der REST-API macht arago einen Schritt in die Zukunft und öffnet sich. Das ist insoweit eine wichtige Entscheidung, dass damit die Verbreitung des AutoPilot erhöht und die Akzeptanz für die wissensbasierte Automatisierung im Markt gestärkt wird. Diese Entwicklung kann später darüber hinaus durchaus zu einem Marktplatz führen, der es den Entwicklern ebenfalls ermöglicht, eigene Anwendungen für den Autopilot darauf anzubieten und zu monetarisieren.

Automation gilt bei vielen Menschen immer noch als eine gefährliche Entwicklung, da die Maschinen den Arbeitsplatz vollständig ersetzen könnten. Das ist eine gefestigte Denkweise, die hinterfragt werden muss. Die industrielle Revolution hat die Arbeitskraft der Menschen ebenfalls nicht vernichtet, sondern zu einer höheren Effizienz bei der Produktion und zu neuen höherwertigen Aufgaben geführt. IT-Abteilungen sind heutzutage in ihren Routineaufgaben für den IT-Betrieb gefangen und können dadurch nur noch begrenzt in die eigentliche Wertschöpfung eines Unternehmens eingreifen. Und das in einer Zeit, in der alle von der IT als Business-Enabler sprechen.

Eine wissensbasierte Automatisierungslösung, wie der AutoPilot, hat das Potential die IT-Abteilungen zu entlasten und ihr mehr Zeit und Freiheiten zu verschaffen, um sich auf die strategische Ausrichtung der Unternehmens-IT zu konzentrieren und damit im gleichen Maße für mehr Innovationen durch IT im Unternehmen zu sorgen.

Tags Automation, AutoPilot, Cloud, Cloud Computing

Comment

PRISM plays into German and European cloud computing providers hands

Post author By Rene Buest
Post date June 13, 2013

The U.S. government and above all PRISM has done the U.S. cloud computing providers a bad turn. First discussions now kindle if the public cloud market is moribund. Not by a long shot. On the contrary, European and German cloud computing providers play this scandal into the hands and will ensure that the European cloud computing market will grow stronger in the future than predicted. Because the trust in the United States and its vendors, the U.S. government massively destroyed itself and thus have them on its conscience, whereby companies, today, have to look for alternatives.

We’ve all known it

There have always been suspicions and concerns of companies to store their data in a public cloud of a U.S. provider. Here, the Patriot Act was the focus of discussion in the Q&A sessions or panels after presentations or moderations that I have kept. With PRISM the discussion now reached its peak and confirm, unfortunately, those who have always used eavesdropping by the United States and other countries as an argument.

David Lithicum has already thanked the NSA for the murder of the cloud. I argue with a step back and say that the NSA “would be” responsible for the death of U.S. cloud providers. If it comes to, that remains to be seen. Human decisions are not always rational nature.

Notwithstanding the above, the public cloud is not completely death. Even before the announcement of the PRISM scandal, companies had the task to classify their data according to business critical and public. This now needs to be further strengthen, because completely abandon the public cloud would be wrong.

Bye Bye USA! Welcome Europe und Germany

As I wrote above, I see less death of the cloud itself, but much more to come the death of U.S. providers. Hence I include those who have their locations and data centers here in Europe or Germany. Because the trust is so heavily destroyed that all declarations and appeasement end in smoke in no time.

The fact is that U.S. providers and their subsidiary companies are subordinate to the Patriot Act and therefore also the “Foreign Intelligence Surveillance Act (FISA)”, which requires them to provide information about requested information. The provider currently trying to actively strengthen themselves by claiming more responsibility from the U.S. government, to keep at least the rest of trust what is left behind. This is commendable but also necessary. Nevertheless, the discussion about the supposed interfaces, “copy-rooms” or backdoors at the vendors, with which third parties can freely tap the data, left a very bad aftertaste.

This should now encourage more European and German cloud providers. After all, not to be subject to the U.S. influence should played out as an even greater competitive advantage than ever. These include inter alia the location of the data center, the legal framework, the contract, but also the technical security (end-to-end encryption).

Depending on how the U.S. government will react in the next time, it will be exciting to see how U.S. provider will behave on the European market. So far, there are always 100% subsidiaries of the large U.S. companies that are here locally only as an offshoot and are fully subordinated to the mother in the United States.

Even though I do not advocate a pure “Euro-Cloud” neither a “German Cloud”. But, under these current circumstances, there can only be a European solution. Viviane Reding, EU Commissioner for Justice, is now needed to enforce an unconditional privacy regulation for Europe, which European companies strengthens against the U.S. companies from this point in the competition.

The courage of the providers is required

It appears, that there will be no second Amazon, Google, Microsoft or Salesforce from Europe or even Germany. The large ones, especially T-Systems and SAP strengthen their current cloud business and giving companies a real alternative to U.S. providers. Even bright spots of startups are sporadic seen on the horizon. What is missing are inter alia real and good infrastructure-as-a-service (IaaS) offerings of young companies who do not only have infrastructure resources in their portfolio, but rely on services similar to Amazon. The problem with IaaS are the high capital requirements that are necessary for it to ensure massive scalability and more.

Other startups who are offering for example platform-as-a-service (PaaS), in many cases, set in the background on the infrastructure of Amazon – U.S. provider. But here have providers such as T-Systems the duty not to focus exclusively on enterprises and also allow developers to build their ideas and solutions on a cloud infrastructure in Germany and Europe through the “Amazon Way”. There is still a lack of a real(!) German-European alternatives to Amazon Web Services, Google, Microsoft and Salesforce!

How should companies behave now?

Among all these aspects one have to advise companies, to look for a provider that is located in a country that guarantees the required legal conditions for the company itself regarding data protection and information security. And that can currently only be a provider from Europe or Germany. Incidentally, that was even before PRISM. Furthermore, companies themselves have the duty to classify their data and to evaluate mission-critical information at a much higher level of protection than less important and publicly available information.

How it actually looks at U.S. companies is hard to say. After all, 56 percent of the U.S. population find the eavesdropping of telephone calls as acceptable. Europeans, and especially the Germans, will see that from a different angle. In particular, we Germans will not accept a Stasi 2.0, which instead of rely on the spies from the ranks (neighbors, friends, parents, children, etc.), on machines and services.

Tags Cloud, Cloud Computing, europe, Germany, PRISM

Kommentar

PRISM spielt deutschen und europäischen Cloud Computing Anbietern in die Karten

Post author By Rene Buest
Post date June 12, 2013
2 Comments on PRISM spielt deutschen und europäischen Cloud Computing Anbietern in die Karten

Die US-Regierung und allen voran PRISM hat den US-amerikanischen Cloud Computing Anbietern einen Bärendienst erwiesen. Erste Diskussionen entfachen nun, ob damit der Public Cloud Markt dem Tode geweiht sei. Bei weitem nicht. Im Gegenteil, europäischen und deutschen Cloud Computing Anbietern spielt dieser Skandal in die Karten und wird dafür sorgen, dass der europäische Cloud Computing Markt in Zukunft stärker wachsen wird als vorhergesagt. Denn das Vertrauen in die USA und seine Anbieter hat die US-Regierung selbst massiv zerstört und damit auf dem Gewissen, wodurch sich Unternehmen, stand Heute, nach Alternativen umschauen müssen.

Wir haben es doch alle gewusst

Es gab immer Vermutungen und Bedenken von Unternehmen, ihre Daten in eine Public Cloud eines US-amerikanischen Anbieters zu speichern. Dabei stand der der Patriot Act im Mittelpunkt der Diskussionen in Q&A-Sessions oder Panels nach Vorträgen oder Moderationen die ich gehalten habe. Mit PRISM erreichen die Diskussion nun ihren Höhepunkt und bestätigen, leider, diejenigen die schon immer Abhöraktionen durch die USA und anderer Länder als Argument geliefert haben.

David Lithicum hat sich bereits bei der NSA für den Mord an der Cloud bedankt. Ich argumentiere mit einem Schritt zurück und sage, dass die NSA für den Tod der US-amerikanischen Cloud-Anbieter verantwortlich “wäre”, ob es soweit kommt, bleibt noch abzuwarten. Menschliche Entscheidungen sind nicht immer rationaler Natur.

Unabhängig davon ist die Public Cloud nicht vollständig Tod. Unternehmen hatten schon vor dem Bekanntwerden des PRISM-Skandals die Aufgabe, ihre Daten nach unternehmenskritischen und öffentlichen zu klassifizieren. Dieses muss sich nun noch weiter verstärken, denn die Public Cloud vollständig aufzugeben wäre falsch.

Bye Bye USA! Welcome Europa und Deutschland

Wie ich bereits oben geschrieben habe, sehe ich weniger den Tod der Cloud selbst, sondern viel mehr den Tod der US-Anbieter kommen. Damit schließe ich auch diejenigen ein, die hier in Europa oder Deutschland ihre Standorte und Rechenzentren haben. Denn das Vertrauen ist dermaßen zerstört, dass sämtliche Erklärungs- und Beschwichtigungsversuche sich in Nullkomma nix in Luft auflösen.

Fakt ist, dass US-Anbieter und deren Töchterfirmen dem Patriot Act und demnach auch dem “Foreign Intelligence Surveillance Act (FISA)” unterstellt sind, was sie dazu verpflichtet Auskünfte über angefragte Informationen zu erteilen. Die Anbieter versuchen sich hier derzeit aktiv zu stärken, indem mehr Verantwortung von der US-Regierung gefordert wird, um das restliche Vertrauen was noch vorhanden ist, zumindest zu behalten. Das ist lobenswert aber ebenso notwendig. Dennoch haben die Diskussionen um vermeintliche Schnittstellen, “Kopier-Räume” oder Backdoors bei den Anbietern, mit denen Dritte ungehindert die Daten abgreifen können, einen äußerst faden Beigeschmack hinterlassen.

Das sollte nun verstärkt europäische und deutsche Cloud-Anbieter ermutigen. Denn nicht dem US-amerikanischen Einfluss zu unterliegen sollte als ein noch größerer Wettbewerbsvorteil denn je ausgespielt werden. Dazu gehören u.a. der Standort des Rechenzentrums, der Rechtsrahmen, der Vertrag, aber auch die technische Sicherheit (z.B. End-to-End Verschlüsselung).

Je nachdem wie die US-Regierung in der nächsten Zeit reagieren wird, bleibt es spannend zu sehen, wie sich US-amerikanische Anbieter auf dem europäischen Markt verhalten. Bisher handelt es sich immer um 100% Tochterunternehmen der großen US-Konzerne, die hier vor Ort nur als Ableger gelten und der Mutter in den USA vollständig unterstellt sind.

Auch wenn ich kein Befürworter weder einer reinen “Euro-Cloud” noch einer “Deutschen Cloud” bin. Es kann unter diesen aktuellen Umständen nur eine europäische Lösung geben. Viviane Reding, EU-Kommissarin für Justiz, ist jetzt gefragt, um eine bedingungslose Datenschutzverordnung für Europa durchzusetzen, welche die europäischen Unternehmen gegenüber den US-Unternehmen unter diesen Gesichtspunkten im Wettbewerb stärkt.

Der Mut der Anbieter ist gefragt

Allen Anschein nach wird es kein zweites Amazon, Google, Microsoft oder Salesforce aus Europa oder gar Deutschland geben. Die großen, allen voran T-Systems und SAP stärken aktuell ihr Cloud-Geschäft und bieten Unternehmen damit eine echte Alternative zu US-Anbietern. Auch sind vereinzelnd Lichtblicke von Startups am Horizont zu erkennen. Was jedoch fehlt sind u.a. echte und gute Infrastructure-as-a-Service (IaaS) Angebote von jungen Unternehmen die nicht nur Infrastruktur-Ressourcen im Portfolio haben, sondern ähnlich wie Amazon auf Services setzen. Die Problematik beim IaaS besteht in den hohen Kapitalanforderungen, die dafür notwendig sind, um auch u.a. eine massive Skalierbarkeit zu gewährleisten.

Andere Startups die z.B. Platform-as-a-Service (PaaS) anbieten, setzen in vielen Fällen im Hintergrund wieder auf die Infrastruktur von Amazon – US-Anbieter. Hier sind dann allerdings Anbieter wie T-Systems in der Pflicht, sich nicht ausschließlich auf Unternehmen zu konzentrieren, sondern ebenfalls über den “Amazon-Weg” es Entwicklern ermöglichen, ihre Ideen und Lösungen auf einer Cloud-Infrastruktur in Deutschland und Europa zu entfalten. Es fehlt einfach eine echte(!) deutsch-europäische Alternative zu den Amazon Web Services, Google, Microsoft oder Salesforce!

Wie sollten sich Unternehmen jetzt verhalten?

Unter all diesen Gesichtspunkten muss man Unternehmen raten, sich nach einem Anbieter umzuschauen, der sich in einem Land befindet, das die für das Unternehmen selbst geforderten rechtlichen Bedingungen hinsichtlich Datenschutz und Informationssicherheit gewährleistet. Und das kann derzeit nur ein Anbieter aus Europa bzw. Deutschland sein. Nebenbei bemerkt war das auch schon vor PRISM so. Weiterhin stehen Unternehmen selbst in der Pflicht, ihre Daten zu klassifizieren und unternehmenskritische Informationen mit einem deutlich höheren Schutzniveau zu bewerten als weniger wichtige und öffentlich zugängliche Informationen.

Wie es bei US-amerikanischen Unternehmen konkret ausschaut ist schwer zu sagen. Immerhin halten 56 Prozent der US-Bürger das Überwachen von Telefonaten für akzeptabel. Europäer, aber vor allem die Deutschen werden das allerdings anders sehen. Insbesondere wir Deutschen werden keine Stasi 2.0, die anstatt auf Spione aus den eigenen Reihen (Nachbarn, Freunde, Eltern, Kinder usw.), auf Maschinen und Services setzt, akzeptieren!

Tags Cloud, Cloud Computing, Deutschland, Europa, PRISM

Management @en

T-Systems sets an example and sends lawyers and notaries into the cloud [update]

Post author By Rene Buest
Post date June 12, 2013

Along with the Information Technology Working Group of the German Bar Association (davit) T-Systems offers all lawyers and notaries in Germany a secure document management in the cloud. The corresponding cooperation agreement was signed by the Deutsche Telekom subsidiary and the davit on the 64th German Lawyers Day in Dusseldorf. With the cloud solution the jurists can create, edit and archive electronic documents in the cloud and create any number of digital files. The solution is scalable and charged according to a usage-based rent, what means that there are no investment costs. The access can be purchased via davit and T-Systems.

Tailored to the needs of lawyers and notaries

T-Systems has the own developed audit-proof standard solution tailored additionally both professionally and technically to meet the needs of lawyers and notaries. The service is compliant with § 203 for “Berufsgeheimnisträger” (person whose profession swears them to confidentiality) and also meets all the requirements of the seizure protection of confidential information between lawyers and clients. To access the system an eight to 50 digit long digital key is necessary that is only known by the user. According to T-Systems no employee can access and read the data in the cloud solution at any time. Even not for maintenance. For privacy reasons, the documents are located in each case on servers in Germany in a German data center certified according to internationally recognized safety standards.

In the background operates the solution doculife of the Swiss partner Document Future AG. This integrates seamlessly with Microsoft Office and Outlook. If the user has a De-Mail account, he can use this via a plug-in and send encrypted messages to clients or to the courts. Messages and attachments reach the recipient or recipients, thus safe and conclusive. Conversely, lawyers and notaries can also receive De-mail messages. However, conventional e-mails can also be received but only from senders that the user has activated.

Lawyers and notaries become mobile

Using a mobile device with Apple iOS also allows to safely retrieve all documents from the cloud from anywhere. Users of Windows 8 and Android have to wait a bit. But pilot projects already have been launched. The files can also be set for resubmission. The cloud application then reminds the user to the tasks ahead.

Update: More information about the offering

I had a briefing with T-Systems about this service yesterday. Here are the other important facts.

Basically, T-Systems offers all its customers, which not applies only to this lawyer and notary solution, a private cloud. This means that companies will be connected via a dedicated network line with a T-Systems data center and access the hosted private cloud or virtual private cloud over it. For this purpose different solutions are physically isolated from each other in blocks, in order to ensure safety.

The service for lawyers and notaries also runs separately on a dedicated platform in a separate physical block within a T-Systems data center in Germany. The user must not necessarily access over a dedicated MPLS connection to the data center and can also use a standard Internet connection.

The security for the access to the system is ensured, as described above, over a digital key with up to 50 digits lenghts. This is exclusively owned by the user and stored on the local system. This also means that this key should never be lost. Otherwise, the data is lost, as T-Systems has no way to recover the key or to access the data without this key.

The access to the data in the private cloud ensued via a classic local software installation of doculife that has full functionality, the Webrowser with limited functionality, or via mobile apps for smartphones and tablets. The functional limitation in the browser is for example the non-existent e-mail integration. The mobile apps are still in a pure read-only mode.

The secure transfer of data from the user to the cloud is ensured using the browser via HTTPS (SSL). If the local doculife software including Outlook integration is used, an end-to-end encryption is built. Is doculife used to send an e-mail including an attachment via the De-Mail service, according to T-Systems’, an end-to-end encryption is far ensured, that only the De-Mail is opened briefly on the servers, the doculife attachment but still remains encrypted.

The solution can be used in six various configurations, including three different consulting packages whose prices can be find in this list.

Comment: A sign for all businesses

Technologically considered the cloud has arrived in Germany. Many companies have already realized how they can use it to increase their productivity and create more capital, time and room for innovation. Nevertheless, some legal and privacy concerns, as well as problems to build up the necessary confidence in the providers, exist. The first person to contact in such cases is usually the lawyer. This then appeased with keywords such as order data processing, Safe Harbor, EU Model Clauses or personal SLA contracts. Because the legal conditions have been created. However, there is still a lack of confidence. This is something very subjective, which no lawyer or data protection officer directly can convey.

The trust in the cloud can therefore only be strengthened when also users with highly sensitive evaluated data set on cloud solutions. This step T-Systems and the davit have gone now and thus set an example for all companies that are still raising concerns to store, among others, personal data on a cloud service. One should not be overlooked here. Lawyers and notaries are working alongside with personal data also with other extremely sensitive data, which are considered to be more critical. In addition, they still have stricter laws than the average company.

Mentioned only is the § 203 StGB “Verletzung von Privatgeheimnissen” (Violation of private secrets), in which is regulated, how to deal with violations belonging to the personal lives secret or any trade or business secret. Or the requirements of the seizure protection of confidential information between lawyers and clients. So, lawyers and notaries belong legally and safety to the most vulnerable groups in the cloud, for which T-Systems and the davit have created a solution.

I was recently in a think tank, where we talked about how to build cloud services for lawyers and accountants legally compliant but also consider the technical and organizational parts. There also some lawyers were present, who reported from practice, and who would sooner rather than later rely on cloud solutions to access their data, especially from anywhere and at any time.

Even other cloud providers should follow this example and provide maximum legal security, such as the audit-proof archiving and storing of data. Another asset, German providers quite clearly have to play off as an advantage over international cloud providers is to offer true(!) cloud services from a German data center, which is certified according to internationally recognized safety standards.