Tag: PRISM

Categories
Analysen

Die eigene Community Cloud! – PRISM Break für Profis oder die es werden wollen

Wie kommen wir aus der Cloud heraus ohne ihre Komfortzone zu verlieren. Diese Fragen ließt man in den letzten Tagen regelmäßig. Ich bin der Meinung, dass man sich nicht zwangsläufig aus der Cloud zurückziehen muss, sondern einfach versuchen sollte, mehr Kontrolle zurückzugewinnen. Dieser Beitrag liefert Ansätze für eine professionelle PRISM Break Cloud Strategie und empfiehlt Lösungen und Anbieter die dafür in Betracht gezogen werden sollten. Darüber hinaus habe ich in diesem Zusammenhang meine Gedanken zur Community Cloud eingebracht, die ich schon seit Anfang diesen Jahres mit mir herumtrage, aber noch nicht dazu gekommen bin nieder zu schreiben. Denn die Community Cloud wird in meinen Augen immer mehr an Bedeutung gewinnen. Der Bedarf und vor allem das Verständnis hierfür muss nur geweckt werden. Tenor: “Aufbau einer eigenen echten(!) Hosted Private Cloud, betrieben von einer Gemeinschaft die sich vertraut.” Das ist sowohl für Unternehmen, Organisationen, Bürogemeinschaften und regelmäßige Projektpartner interessant.

Gründe für eine Community Cloud

Was ist eine Community Cloud?

Innerhalb einer Community Cloud schließen sich Unternehmen einer gleichen Branche zusammen und fassen ihren eigenen Private Clouds zu einer Community Cloud zusammen, die nur exklusiv diesen Mitgliedern zugänglich ist. Community Clouds bieten sich an, wenn Unternehmen dieselben Anforderungen und Aufgaben haben und die Infrastruktur auf ähnliche Weise nutzen wollen. Der Vorteil einer Community Cloud besteht in der Reduzierung des Kapazitätsbedarfs und somit einer verbesserten Ressourcenallokation auf Grund der gemeinsamen Nutzung von Ressourcen. Dies führt zu einer Kostenreduzierung und verringert den allgemeinen Overhead. Abgesehen von der darunterliegenden Infrastruktur können alle Mitglieder der Community Cloud ebenfalls dieselben Services und Applikationen gemeinsam nutzen.

Ein sehr gutes Beispiel für eine Community Cloud ist das ENX Netzwerk, ein Zusammenschluss der “europäischen Automobilindustrie für den sicheren Austausch kritischer Entwicklungs-, Einkaufs-, und Produktionssteuerungsdaten.” Das ENX bietet den angeschlossenen Automobilherstellern- und Lieferanten unternehmensübergreifende Managed Security Services und einen einheitlichen Service Level des darunter liegenden Netzwerkes. Gleichzeitig ist das ENX Netzwerk für die angeschlossenen Nutzer so offen und flexibel gestaltet wie das öffentliche Internet.

Die Bedeutung der Community Cloud wird zunehmen

Bereits das Ergebnis einer BITKOM Studie im Februar 2013 hat gezeigt, dass im Jahr 2012 immerhin 34 Prozent der deutschen Unternehmen auf eine Private Cloud setzen und 29 Prozent planen, diese Cloud-Form in Zukunft einzusetzen. Der Grund dafür liegt in der Angst vor einem Datenverlust in der Public Cloud begründet. Das sagten zumindest 79 Prozent.

Während eines Vortrags bei einem Unternehmen dessen Namen ich nicht nennen darf und mit Folien die nicht öffentlich zugänglich sind, habe ich in meinen zukünftigen Cloud-Trends die Treiber für die steigende Bedeutung von Community Clouds aufgezeigt.

Ich habe dabei die drei Treiber als “höhere Zukunftssicherheit”, “größeres Vertrauen” und “weniger Abhängigkeit/ mehr Kontrolle” charakterisiert. Es sind exakt die Themen, die auch in aktuellen Diskussionen immer wieder aufkommen. Damals, im März 2013, habe ich die “höhere Zukunftssicherheit” am Beispiel der Schließung vom Google Reader festgemacht. Da die Nutzer sich nicht sicher sein können, wie lange ein Cloud Service überhaupt überlebt. Als Beispiel für “größeres Vertrauen” mussten die mittlerweile bestätigten Berichte, dass Amazon AWS eine Cloud für die CIA bauen soll, herhalten. Schließlich sollte man schon stutzig werden, wenn ein Marktführer mit einem Geheimdienst zusammenarbeitet – wie wir mittlerweile alle feststellen durften… Den Grund für “(weniger) Abhängigkeit” habe ich aus dem Zeit-Artikel “Das autarke Dorf“, der im selben Zeitraum erschienen ist und bei dem es darum geht, dass ein kleines Dorf in Brandenburg sich unabhängig von den Energiekonzernen gemacht hat und dort sogar ein eigenes Stromnetz besitzt. Cloud Computing = Utility Computing = Stromnetz…

Maximale Zentralität >> Semi-Dezentralität

Allein auf Grund dieser drei Treiber, plus den aktuellen Diskussionen, sehe ich ein wachsendes Potential für die Community Cloud, die derzeit noch keine große Verbreitung hat. In diesem Zusammenhang sehe ich zudem einen Wechsel von einer zurzeit stark ausgeprägten Zentralität zu einer Semi-Dezentralität.

Die meisten Unternehmen und Organisationen sehen in der Public Cloud einen großen Vorteil und wollen in ihren Genuss kommen, um Kosten zu reduzieren, ihre IT zu konsolidieren und gleichermaßen mehr Skalierbarkeit und Flexibilität erhalten. Auf der anderen Seite sind Zukunftssicherheit, Vertrauen, Abhängigkeit und Kontrolle wichtige Artefakte, die niemand gerne aufgeben möchte.

Die Community Cloud ist der Mittelweg, um beides zu erreichen. Zukunftssicherheit, Vertrauen, Abhängigkeit und Kontrolle durch den Einfluss, was in der Community Cloud passiert und die Vorteile einer Public Cloud, durch das Partizipieren von einer echten Cloud Infrastruktur.

Wie wäre es mit einer Hosted Community Cloud? Mehr unten.

Der Cloud Computing Stack

Cloud Computing setzt sich grundlegend aus Infrastructure-as-a-Service (IaaS), Platform-as-a-Service (PaaS) und Software-as-a-Service (SaaS) zusammen. Je nach Bedarf und Anwendungsfall ist es nicht ganz einfach eine äquivalente Ersatzlösung für die eigene Cloud zu finden. Für den Aufbau einer eigenen professionellen Cloud-Basis stehen aber mittlerweile ausreichend Lösungen zur Verfügung.

Viel Wert sollte hier in jedem Fall auf die grundlegende Infrastruktur – Infrastructure-as-a-Service – gelegt werden, da diese für die Skalierbarkeit und Verfügbarkeit der gesamten Cloud-Umgebung zuständig ist. Wer hier meint, dass ein einfacher virtueller Server oder ein physikalischer Host ausreicht, handelt fahrlässig und wird früher oder später Probleme bekommen.

Mein ausdrücklicher Rat: Unten drunter unbedingt eine IaaS-Lösung bauen und mit ausreichend Hardware (siehe die empfohlenen Setups hier auf CloudUser oder in den jeweiligen Communities der Projekte) ausstatten, um für Skalierbarkeit und Fehlertoleranz zu sorgen. Weiterhin bedenken, dass jeder virtuelle Server der gestartet wird, physikalische Hardware benötigt um betrieben zu werden. Aus diesem Grund ausreichend physikalische Ressourcen berücksichtigen.

Professionelle Infrastrukturlösungen und Services

Diese Liste führt nur Lösungen auf, die Basisfunktionen für eine eigene professionelle Cloud liefern.

Infrastructure-as-a-Service

OpenStack
OpenStack ist ein weltweites Gemeinschaftsprojekt von Entwicklern und Cloud Computing Spezialisten, die das Ziel verfolgen eine Open Source Plattform für den Aufbau von Public und Private Clouds zu entwickeln. Das Projekt wurde initial von der Nasa und Rackspace gegründet und will Anbietern von Cloud Infrastrukturen ein Werkzeug in die Hand geben, mit dem sie unterschiedliche Arten von Clouds ohne großen Aufwand auf Standard Hardwarekomponenten aufbauen und bereitstellen können.

Mehr unter OpenStack – Ein Überblick.

Eucalyptus
Bei Eucalyptus handelt es sich um eine Open Source Software Infrastruktur zum Aufbau von skalierbaren Cloud Computing Umgebungen für spezielle Clustersysteme oder einfachen miteinander verbundenen Arbeitsplatzrechnern. Eucalyptus wurde als ein Forschungsprojekt am Computer Science department an der University of California Santa Barbara entwickelt und wird mittlerweile von der Eucalyptus Systems Inc. vermarktet. Die Software wird aber weiterhin als Open Source Projekt gepflegt und weiterentwickelt. Die Eucalyptus Systems Inc. bietet darüber hinaus lediglich weitere Dienstleitungen und Produkte sowie einen professionellen Support rund um Eucalyptus an. Eucalyptus ist ein Klon der grundlegenden Funktionen der Amazon Web Services Infrastruktur für die Private Cloud. Auf Basis einer exklusiven Partnerschaft wird das Service-Portfolio stetig angeglichen.

Mehr unter Eucalyptus – Eine Open Source Infrastruktur für die eigene Cloud.

openQRM
openQRM ist eine Open Source Cloud Computing Plattform für die Verwaltung von Rechenzentren und skalierbaren IT-Infrastrukturen. Mittels einer zentralen Managementkonsole kann die Administration von physikalischen Servern ebenso vorgenommen werden wie von virtuellen Maschinen, wodurch Rechenzentren voll automatisiert und höchst skalierbar betrieben werden können. Neben einer offenen API und einem SOAP Web Service für die nahtlose Integration der eigenen Geschäftsprozesse, unterstützt openQRM alle bekannten Virtualisierungstechnologien und bietet die Möglichkeit für transparente Migrationen von “P-to-V”, “V-to-P” und “V-to-V”.

Mehr unter openQRM – Die Cloud Computing Plattform für Rechenzentren.

Hier gibt es eine konkrete Anleitung zum Aufbau einer Hosted Private Cloud mit openQRM.

Platform-as-a-Service

Red Hat OpenShift
Das Origin Projekt dient der Verbesserung der OpenShift Plattform, indem ständig Code Optimierungen in den PaaS einfließen. Dieser läuft aktuell auf der Infrastruktur der Amazon Web Services und steht im direkten Wettbewerb zu VMwares Cloud Foundry. Der Origin Quellcode steht auf GitHub bereits zum Download bereit und ermöglicht Entwicklern eine OpenShift Installation auf dem eigenen Laptop oder einem Server im Intranet oder Rechenzentrum zu nutzen.

Mehr unter OpenShift Origin.

WSO2 Stratos
WSO2 Stratos ist ein Open-Source Polyglot PaaS mit einer Unterstützung verschiedener Programmiersprachen, mit dem ein application Platform-as-a-Service (aPaaS) realisiert werden kann. Der Kern bildet die WSO2 Stratos PaaS Foundation, die speziell auf die Cloud ausgelegt ist und unter anderem Funktionen für Multi-Tenancy, Skalierung, Self-Service Bereitstellung, Metering, Abrechnung und Ressource-Pooling bietet.

Mehr unter WSO2 Stratos.

cloudControl Application Life Cycle Engine
Die Application Lifecycle Engine ist als Middleware zwischen der grundlegenden Infrastruktur und der eigentlichen Applikationen zu verstehen (PaaS Konzept) und bietet eine vollständige Laufzeitumgebung für Anwendungen. Damit erhalten Entwickler die Möglichkeit, sich auf die Entwicklung ihrer Applikation zu konzentrieren und können unbequeme Prozesse und die Bereitstellung übernehmen lassen. Die Application Lifecycle Engine ermöglicht es großen Unternehmen einen eigenen Private PaaS in einer selbstverwalteten Infrastruktur zu betreiben, um sich damit die Vorteile der Cloud auch in die eigenen vier Wände zu holen. Die Plattform setzt dazu auf offene Standards und verspricht damit einen Vendor-Lock-in zu vermeiden. cloudControl spannt zudem eine hybride Brücke, indem bereits auf cloudControls Public PaaS entwickelte Anwendungen im Private PaaS und umgekehrt betrieben werden können. Für den Betrieb der Application Lifecycle Engine wird OpenStack als IaaS-Lösung vorausgesetzt.

Mehr unter Application Lifecycle Engine: cloudControl veröffentlicht Private Platform-as-a-Service.

Software-as-a-Service

Open-Xchange
Open-Xchange ist für alle interessant, die Google Apps oder Microsoft Office 365 nicht trauen, lieber einen Anbieter mit einem Rechenzentrum in Deutschland haben möchten oder doch lieber alles selbst machen. Eine hohe Verbreitung hat bzw. bekommt Open-Xchange durch eine kommerzielle White-Label Lizenz an Hosting- und Telekommunikationsanbieter, die ihren Kunden OX App Suite damit als Software-as-a-Service (SaaS) anbieten können. Weiterhin richtet sich die Lösung an Systemintegratoren und VARs, die OX App Suite als Managed Service oder für Inhouse-Installationen nutzen wollen.

Mehr unter Open-Xchange: Die gehostete Alternative zu Google Apps und Microsoft Office 365.

TeamDrive
TeamDrive ist eine Filesharing und Synchronisations-Lösung für Unternehmen, die ihre sensiblen Daten nicht bei externen Cloud-Services speichern wollen und es ihren Teams zudem ermöglichen möchten, Daten oder Dokumente zu synchronisieren. Dazu überwacht TeamDrive beliebige Ordner auf einem PC oder Notebook, die man mit eingeladenen Anwendern gemeinsam nutzen und bearbeiten kann. Damit stehen Daten jederzeit, auch offline zur Verfügung. Eine automatische Synchronisation, Backups und Versionierung von Dokumenten schützen die Anwender vor Datenverlust. Mit der Möglichkeit die TeamDrive Registration- und Hosting-Server im eigenen Rechenzentrum zu betreiben, lässt sich TeamDrive in vorhandene IT-Infrastrukturen integrieren. Dafür stehen alle notwendigen APIs zur Verfügung.

Mehr unter TeamDrive: Dropbox für Unternehmen.

ownCloud
ownCloud ist eine Open-Source Filesync- und –sharing-Lösung für Unternehmen und Organisationen, die ihre Daten weiterhin selbst unter Kontrolle behalten möchten und nicht auf externe Cloud-Storages zurückgreifen wollen. Der Kern der Anwendung besteht aus dem ownCloud Server über welchen sich die Software zusammen mit den ownCloud-Clients nahtlos in die existierende IT-Infrastruktur integriert und die Weiternutzung bereits vorhandener IT-Management-Tools ermöglicht. ownCloud dient als lokales Verzeichnis, bei dem unterschiedliche lokale Speicher gemountet werden. Dadurch stehen die entsprechenden Dateien allen Mitarbeitern auf allen Geräten zur Verfügung. Neben einem lokalen Storage können ebenfalls Verzeichnisse über NFS und CIFS angebunden werden.

Mehr unter Sicherheitsvergleich: TeamDrive vs. ownCloud.

SugarCRM
SugarCRM ist eine Open-Source Customer-Relationship-Management Lösung und basiert auf der Skriptsprache PHP. Als Datenbanksystem können neben MySQL und der dazu binärkompatiblen MariaDB auch Microsoft SQL Server verwendet werden.

Mehr unter SugarCRM Community Edition.

Alles selber machen

Nachdem man sich für entsprechende Alternativen entschieden hat, geht es erst richtig los. Entweder man betreibt alles in einer eigenen Private Cloud oder lagert bestimmte Teile aus.

Der Betrieb im eigenen Rechenzentrum ist eine Variante. Dabei gilt bei dem Betrieb jedoch mindestens(!) eines zu beachten. Ein Server reicht für die Ansprüche an ein Hochverfügbarkeits- oder gar Cloud-Szenario nicht aus. Hier sollte man sich zunächst darauf konzentrieren, eine Cloud Infrastruktur auf Basis von openQRM, OpenStack oder Eucalyptus aufzubauen, auf der dann der restliche PaaS- bzw. SaaS-Stack betrieben wird. Vernachlässigen sollte man ebenfalls nicht, das Kollaborationsumgebungen und anderweitige Cloud-Lösungen von ihrem Zugriff abhängen. Sei es nun über den Webbrowser oder das mobile Endgerät. Warum macht z.B. ein Cloud-Storage Sinn? Weil ich u.a. von überall aus darauf zugreifen kann. Das bedeutet der Überall-Zugriff auf die Cloud Infrastruktur ist zwingend erforderlich, was auch Auswirkungen auf die Bandbreite der jeweiligen Internetanbindung, bevorzugt den Upload, hat.

Weiterhin darf der Betrieb, die Wartung und alles was mit IT-Infrastrukturen zusammenhängt nicht vernachlässigt werden. Das ist nicht einfach!

Public IaaS aus Deutschland als Basis

Weiterhin besteht die Möglichkeit, die Infrastruktur bei einem Webhoster z.B. aus Deutschland oder Island zu betreiben. Aber Vorsicht, um die Verfügbarkeit von Public Cloud-Services zu erhalten, reicht es bei weitem nicht aus, sich einfach nur einen virtuellen Server aufzusetzen. Da sollte man sich eher Gedanken über die Hochverfügbarkeit machen, welche die Software selbst nicht mitbringen. Wir reden an dieser Stelle einfach nur von Software. Für Hochverfügbarkeit sorgen dann wiederum IaaS Lösungen wie openQRM, Eucalyptus oder auch OpenStack. Aber bitte nicht vergessen: IaaS bedeutet Infrastruktur = u.a. Hardware für die entsprechende Virtualisierung. Zudem reicht ein Server bei weitem nicht, um die Verfügbarkeit und Eigenschaften einer Cloud zu erreichen. Eucalyptus bspw. empfiehlt für den professionellen Einsatz mindestens fünf physikalische Systeme.

ProfitBricks als deutsche IaaS-Basis

Wer auf den komplexen Aufbau der Infrastruktur für die Skalierbarkeit und Hochverfügbarkeit der Cloud verzichten möchte, kann auch zu einem deutschen IaaS Anbieter gehen. Hier ist z.B. ProfitBricks zu empfehlen. Bei ProfitBricks ist sichergestellt, dass man Zugriff auf eine echte Cloud-Infrastruktur in einem deutschen Rechenzentrum erhält.

ProfitBricks liefert nach Bedarf skalierbare virtuelle Server, die granular mit Cores, Arbeitsspeicher und Block Storage (für den eigenen Cloud Storage) ausgestattet werden können. In diesem Fall muss man sich selbst nur um das Design der virtuellen Infrastruktur – wird über eine graphische Weboberfläche, dem Data Center Designer, vorgenommen – kümmern. Der Vorteil zu einem gewöhnlichen Webhoster – die maximale Skalierbarkeit und Hochverfügbarkeit. Das ist insbesondere für eine Community Cloud besonders wichtig.

Anschließend muss auf der fertigen virtuellen Infrastruktur nur noch die entsprechende Software installiert und den Bedürfnissen nach angepasst werden. Die eigene Community Cloud kann man sich in diesem Fall sogar für ein “Taschengeld” leisten – und das trotz eines Höchstmaß an Skalierbarkeit, Hochverfügbarkeit und einem Überall-Zugriff. Die Sicherung/ Verschlüsselung der Datenverbindungen darf natürlich nicht vergessen werden.

Es sei angemerkt, dass es natürlich auch noch ein paar andere Cloud IaaS Anbieter aus Deutschland gibt. Jedoch ist ProfitBricks der einzige Public Cloud Anbieter, der seine Infrastruktur mit einer maximalen Granularität abrechnet und zudem noch ein echter Performer (Geschwindigkeit) mit einem 24h Support ist. Weiterhin sind noch domainFactory mit der JiffyBox und Internet4You mit internet4YOU NOW! genannt.

Hosted Community Cloud in Betracht ziehen

Wie man sieht, stehen mittlerweile einige Lösungen bereit, die als Basis für die eigene professionelle Cloud genutzt werden können. Dabei sollte man jedoch immer ein Auge auf die grundlegende Infrastruktur richten, die das Rückgrat der gesamten Cloud bildet. In diesem Zusammenhang darf man allerdings auch nicht den Aufwand unterschätzen, den es bedeutet, eine professionelle Cloud-Umgebung aufzubauen, ordnungsgemäß zu betreiben und zu warten. Weiterhin sind die Kosten für die notwendigen physikalischen Ressourcen zu kalkulieren.

Aus diesem Grund macht es für viele kleinere und mittlere Unternehmen, aber auch Bürogemeinschaften, Co-Working Spaces oder regelmäßige Projektpartnerschaften Sinn, den Community Cloud Gedanken in Betracht zu ziehen, um in den Genuss der Public Cloud (Shared Umgebung) zu kommen aber weiterhin Einfluss auf die Zukunftssicherheit, das Vertrauen, die Abhängigkeit und Kontrolle der Umgebung zu haben und Kostenvorteile u.a. durch Ressourcenallokation zu erzielen. Hierzu sollte man sich zudem überlegen, ein Team aufzubauen, dass sich exklusiv um den Aufbau, Betrieb, die Administration und Wartung der Community Cloud kümmert. Vergleiche dazu das ENX-Netzwerk. Dafür ist kein eigenes Rechenzentrum oder eine Co-Location erforderlich. Ein IaaS-Anbieter kann dazu als ideale Basis für eine Hosted Community Cloud dienen.

Categories
Analysis

Survey: Your trust in the Cloud. Europe is the safe haven. End-to-end encryption creates trust.

After the revelations about PRISM I had started a small anonymous survey on the current confidence in the cloud, to see how the scandal has changed on the personal relationship to the cloud. The significance of the result is more or less a success. The participation was anything but representative. With at least 1499 visits the interest in the survey was relatively large. A participation of 53 attendees is then rather sobering. Thus, the survey is not representative, but at least shows a trend. In this context I would like to thank Open-Xchange and Marlon Wurmitzer of GigaOM for the support.

The survey

The survey consisted of nine questions and was publicly hosted on twtpoll. It exclusively asked questions about trust in the cloud and how this can possibly be strengthened. In addition, the intermediate results were publicly available at each time. The survey was distributed in German and English speaking countries on the social networks (Twitter, Facebook, Google Plus) and the business networks XING and LinkedIn because this issue affects not a specific target audience, but has an impact on all of us. This led on twtpoll to 1,442 views across the web and 57 views of mobile devices and ended with 53 respondents.

The survey should not be considered as representative for this reason, but shows a tendency.

The survey results

Despite the PRISM scandal the confidence in the cloud is still present. 42 percent continue to have a high confidence, 8 percent even a very high level of confidence. For 15 percent the confidence in the cloud is very low; 21 percent appreciate the confidence is low. Another 15 percent are neutral towards the cloud.

The confidence in the current cloud provider is balanced. 30 percent of respondents still have a high level of confidence, 19 percent even a very high level of trust in their providers. This compares to 15 percent each, which have a low or very low confidence. 21 percent are undecided.

The impact on the confidence in the cloud by PRISM leads to no surprise. Only 9 percent see no affect for them; 8 percent a little. 32 percent are neutral. However, 38 percent of the participants are strongly influenced by the PRISM revelations and 13 percent most intensive.

62 percent of the participants used services of cloud provider, which are accused of supporting PRISM. 38 percent are at other providers.

As to be expected, PRISM has also affected the reputation of the cloud provider. For 36 percent the revelations have strongly influenced the confidence, for 13 percent even very strong. However, even 32 percent are neutral. For 11 percent the revelations have only a slight influence. For 8 percent is no influence at all.

Despite of PRISM 58 percent want to continue to use cloud services. 42 percent have already played with the idea to leave the cloud due to the incidents.

A clear sign goes to the provider when it comes to the topic of openness. 43 percent (very high) and 26 percent (high) expect an unconditional openness of the cloud provider. 25 percent are undecided. For only 2 percent (low) and 4 percent (very low) it does not matter.

74 percent see in a 100 percent end-to-end encryption the ability to increase confidence in the cloud. 26 percent think it as no potential.

The question of the most secure/ trusted region revealed no surprises. With 92 percent Europe counts after the PRISM revelations as the top region in the world. Africa received 4 percent, North America and Asia-Pacific each 2 percent. For South America was not voted.

Comment

Even if the revelations about PRISM to cause indignation at the first moment and still continue to provide for uncertainty, the economic life must go on. The tendency of the survey shows that confidence in the cloud has not suffered too much. But at this point it must be said: Cling together, swing together! We all have not precipitate into the cloud ruin overnight. The crux is that the world is increasingly interconnected using cloud technologies and the cloud thus serves as a focal point of modern communications and collaboration infrastructure.

For that reason we can not go back many steps. A hardliner might naturally terminate all digital and analog communication with immediate effect. Whether that is promising is doubtful, because the dependency has become too large and the modern corporate existence is determined by the digital communication.

The sometimes high number of neutral responses to the trust may have to do with that we all has always played the thought in the subconscious, that we are observed in our communication. Due to the current revelations we have it now in black and white. The extent of surveillance, meanwhile also of the disclosure of TEMPORA by the British Secret Service, has surprised. Related to TEMPORA, hence the survey result for Europe as a trusted region is disputable. But against surveillance at strategic intersections in the internetalso the cloud providers themselves are powerless.

Bottom line the economic-(life) has to go on. But at all the revelations one can see, that we can not rely on governments, from which regulations and securities are repeatedly required. On the contrary, even these have evinced interest to read data along. And one we must always bear in mind again. How should laws and rules help, when they are broken again and again by the highest authority.

Companies and users must therefore now assume more responsibility, take the reins in their hands, and provide the broadest sense for their desired security (end-to-end encryption) itself. Numerous solutions from the open source but also from the professional sector help to achieve the objectives. Provider of cloud and IT solutions are now challenged to show more openness as they may want to do.

Graphics on the survey results

1. How is your current trust in the cloud in general?

2. How is your current trust in the cloud provider of your choice?

3. How does the PRISM uncoverings influence your trust in the cloud?

4. Is your current cloud provider one of the accused?

5. How does the PRISM uncoverings influence your trust in the cloud provider of your choice?

6. Did you already think about to leave the cloud e.g. your cloud provider due to the PRISM uncoverings?

7. How important is the unconditional openness of your provider in times of PRISM and surveillance?

8. Do you think a 100% end-to-end encryption without any access and other opportunities of third parties can strengthen the trust?

9. In your mind which world region is the safest/ trustworthiest to store data in?

Categories
Analysen

Umfrage: Das Vertrauen in die Cloud. Europa ist der sichere Hafen. End-to-End Verschlüsselung schafft Vertrauen.

Nach den Enthüllungen um PRISM hatte ich eine kleine anonyme Umfrage zum aktuellen Vertrauen in die Cloud gestartet, um zu sehen, wie sich der Skandal auf das persönliche Verhältnis zur Cloud verändert hat. Die Aussagekraft des Ergebnis ist mehr oder weniger ein Erfolg. Die Beteiligung war alles andere als repräsentativ. Mit immerhin 1499 Aufrufen war das Interesse an der Umfrage relativ groß. Eine Beteiligung von 53 Teilnehmern ist dann doch eher ernüchternd. Somit ist die Umfrage nicht repräsentativ, zeigt aber zumindest eine Tendenz. In diesem Zusammenhang möchte ich mich noch bei Open-Xchange und Marlon Wurmitzer von GigaOM für die Unterstützung bedanken.

Die Umfrage

Die Umfrage umfasste neun Fragen und wurde öffentlich auf twtpoll gehostet. Sie stellte ausschließlich Fragen zum Vertrauen in die Cloud und wie dieses möglicherweise gestärkt werden kann. Zudem waren die Zwischenstände zu jedem Zeitpunkt öffentlich einsehbar. Die Umfrage wurde im deutsch- und englischsprachigen Raum über die sozialen Netzwerke (Twitter, Facebook, Google Plus) sowie den Business-Netzwerken XING und LinkedIn verbreitet, da dieses Thema keine spezielle Zielgruppe betrifft, sondern mittlerweile jeden von uns beeinflusst. Das führte auf twtpoll zu 1.442 Ansichten über das Web und 57 von mobilen Endgeräten und endete mit 53 Umfrageteilnehmer.

Die Umfrage darf aus diesem Grund nicht als repräsentativ betrachtet werden, zeigt aber eine Tendenz.

Das Umfrageergebnis

Trotz des PRISM-Skandal ist das Vertrauen in die Cloud nach wie vor vorhanden. 42 Prozent haben weiterhin ein hohes Vertrauen, 8 Prozent gar ein sehr hohes Vertrauen. Für 15 Prozent ist das Vertrauen in die Cloud sehr gering; 21 Prozent schätzen das Vertrauen als gering ein. Weitere 15 Prozent stehen der Cloud neutral gegenüber.

Das Vertrauen in den aktuellen Cloud Anbieter ist ausgeglichen. 30 Prozent der Teilnehmer haben immer noch ein hohes Vertrauen, 19 Prozent sogar ein sehr hohes Vertrauen in ihren Anbieter. Dem gegenüber stehen jeweils 15 Prozent, die ein geringes bzw. sehr geringes Vertrauen haben. 21 Prozent sind unentschieden.

Der Einfluss auf das Vertrauen in die Cloud durch PRISM führt zu keiner Überraschung. Nur 9 Prozent lassen sich davon gar nicht beeinflussen; 8 Prozent ein wenig. 32 Prozent stehen dem neutral gegenüber. Hingegen beeinflussen die PRISM Enthüllungen 38 Prozent der Teilnehmer stark und 13 Prozent sehr stark.

62 Prozent der Teilnehmer nutzt Services von einem der Cloud Anbieter, die beschuldigt werden, PRISM unterstützt zu haben. 38 Prozent sind bei anderen Anbietern.

Wie zu erwarten, hat sich PRISM auch auf die Reputation der Cloud Anbieter ausgewirkt. Für 36 Prozent haben die Enthüllungen das Vertrauen stark, für 13 Prozent sogar sehr stark beeinflusst. Allerdings stehen dem auch 32 Prozent neutral gegenüber. 11 Prozent haben die Enthüllungen nur leicht und 8 Prozent überhaupt nicht beeinflusst.

58 Prozent wollen trotz PRISM weiterhin Cloud Services nutzen. 42 Prozent haben bereits mit dem Gedanken gespielt, die Cloud auf Grund der Vorfälle zu verlassen.

Ein eindeutiges Zeichen geht an die Anbieter wenn es um das Thema Offenheit geht. 43 Prozent (sehr hoch) und 26 Prozent (hoch) erwarten eine bedingungslose Offenheit der Cloud Anbieter. 25 Prozent sind diesbezüglich unentschieden. Für nur 2 Prozent (gering) und 4 Prozent (sehr gering) spielt das keine Rolle.

74 Prozent sehen in einer 100 prozentigen End-to-End Verschlüsselung die Möglichkeit, das Vertrauen in die Cloud zu stärken. 26 Prozent sehen darin kein Potential.

Die Frage nach der sichersten/ vertrauenswürdigsten Region offenbarte keine Überraschungen. Mit 92 Prozent gilt Europa nach den PRISM-Enthüllungen als die Top Region weltweit. Afrika erhielt 4 Prozent; Nordamerika und Asia-Pacific jeweils 2 Prozent. Für Südamerika wurde nicht abgestimmt.

Kommentar

Auch wenn die Enthüllungen um PRISM im ersten Moment für Empörung und auch weiterhin noch für Verunsicherung sorgen, muss das Wirtschaftsleben weitergehen. Die Tendenz der Umfrage zeigt, dass das Vertrauen in die Cloud nicht zu stark gelitten hat. An dieser Stelle muss man aber auch sagen: Mit gehangen mit gefangen. Wir haben uns alle nicht von heute auf morgen ins “Verderben” der Cloud gestürzt. Die Krux besteht darin, dass die Welt mit Hilfe von Cloud-Technologien immer stärker vernetzt wurde und die Cloud somit als Dreh- und Angelpunkt moderner Kommunikations- und Kollaborationsinfrastrukturen dient.

Wir können aus diesem Grund nicht mehr viele Schritte zurück gehen. Als Hardliner dürfte man natürlich mit sofortiger Wirkung sämtliche digitale sowie analoge Kommunikation einstellen. Ob das erfolgsversprechend ist bleibt zu bezweifeln, da die Abhängigkeit zu groß geworden ist und das moderne unternehmerische Dasein von der digitalen Kommunikation bestimmt wird.

Die zum Teil hohe Anzahl neutraler Antworten zum Vertrauen mag u.a. damit zu tun haben, das im Unterbewusstsein schon immer der Gedanke mitgespielt hat, dass wir bei unserer Kommunikation beobachtet werden. Durch die aktuellen Enthüllungen haben wir es nun schwarz auf weiß. Das Ausmaß der Überwachungen, mittlerweile auch durch das Bekanntwerden von TEMPORA durch den britischen Geheimdienst, hat überrascht. Im Zusammenhang mit TEMPORA muss daher auch das Umfrageergebnis für Europa als vertrauenswürdige Region in Frage gestellt werden. Gegen die Überwachung an strategisch wichtigen Knotenpunkten im Internet sind aber auch die Cloud Anbieter selbst machtlos.

Unterm Strich muss das Wirtschafts-(leben) weitergehen. Man sieht an sämtlichen Enthüllungen jedoch auch, dass man sich auf die Regierungen nicht verlassen darf, von denen immer wieder Regelungen und Sicherheiten gefordert werden. Im Gegenteil, auch diese haben ihr bekundetes Interesse Daten mitzulesen. Und eines muss man sich immer wieder vor Augen halten. Was nützen Gesetze und Regeln, wenn diese immer wieder von höchster Stelle gebrochen werden.

Unternehmen und Anwender müssen daher nun mehr Verantwortung übernehmen, die Fäden in die Hand nehmen und für ihre gewünschte Sicherheit (End-to-Ende Verschlüsselung) im weitesten Sinne selbst sorgen. Zahlreiche Lösungen aus dem Open-Source aber ebenfalls aus dem professionellen Bereich helfen dabei, die Ziele zu erreichen. Anbieter von Cloud- und IT-Lösungen sind jetzt gefordert, noch mehr Offenheit zu zeigen, als ihnen vielleicht lieb sein mag.

Graphiken zu den Umfrageergebnissen

1. Wie ist im Allgemeinen Ihr Vertrauen in die Cloud?

2. Wie ist Ihr derzeitiges Vertrauen in den Cloud Anbieter Ihrer Wahl?

3. Wie haben die Enthüllungen um PRISM Ihr Vertrauen in die Cloud beeinflusst?

4. Gehört Ihr aktueller Cloud Anbieter zu den Beschuldigten?

5. Wie haben sich die Enthüllungen um PRISM auf das Vertrauen in den Cloud Anbieter Ihrer Wahl ausgewirkt?

6. Haben Sie nach den PRISM Enthüllungen bereits darüber nachgedacht die Cloud bzw. ihren Cloud Anbieter zu verlassen?

7. Welche Bedeutung hat die bedingungslose Offenheit Ihres Cloud Anbieters in Zeiten von PRISM und Überwachungen im Allgemeinen?

8. Denken Sie, dass eine 100 prozentige End-to-End Verschlüsselung, ohne die Möglichkeit des Zugriffs durch Dritte, das Vertrauen in die Cloud stärken kann?

9. Welche Region ist Ihrer Meinung nach die Sicherste/ Vertrauenswürdigste, um darin Daten zu speichern?

Categories
Analysis

How to protect a companies data from surveillance in the cloud?

With PRISM the U.S. government has further increased the uncertainty among Internet users and companies, and therefore strengthened the loss of confidence in U.S. vendors enormously. After the Patriot Act, which was often cited as the main argument against the use of cloud solutions from US-based providers, the surveillance by the NSA be the final straw. From a business perspective, under these present circumstances, the decision can only be to opt out of a cloud provider in the United States, even if it has a subsidiary with a location and a data center in Europe or Germany. That I already pointed out in this article. Nevertheless, the economic life must go on, which can also work with the cloud. However, here is a need for pay attention to the technical security, which is discussed in this article.

Affected parties

This whole issue is not necessarily just for companies but for every user of actively communicating in the cloud and shares and synchronized its data. Although the issue of data protection can not be neglected in this context. For companies it is usually still more at stake when internal company information is intercepted or voice and video communication is observed. At this point it must be mentioned that this has nothing to do primarily with the cloud. Data communication was operated long before cloud infrastructures and services. However, the cloud leads to an increasingly interconnection, and act as a focal point of modern communications and collaboration infrastructure in the future.

The current security situation

The PRISM scandal shows the full extent of the possibilities that allows U.S. security agencies, unimpeded and regardlessly access the global data communication. For this, the U.S. government officially use the “National Security Letter (NSL)” of the U.S. Patriot Act and the “Foreign Intelligence Surveillance Act (FISA).” Due to these anti-terror laws, the U.S. vendor firms and their subsidiaries abroad are obliged to provide further details about requested information.

As part of the PRISM revelations it is also speculated about supposed interfaces, “copy-rooms” or backdoors at the providers with which third parties can directly and freely tap the data. However, the provider opposed this vehemently.

U.S. vendors. I’m good, thanks?

While choosing a cloud provider* different segments are considered that can be roughly divided into technical and organizational areas. In this case the technical area is reflecting the technical security and the organizational the legal security.

The organizational security is to be treated with caution. The Patriot Act opens the U.S. security agencies legally the doors if there is a suspected case. How far this remains within the legal framework, meanwhile many to doubt. At this point, trust is essential.

Technologically the data centers of cloud providers can be classified as safe. The effort and investment which are operated by the vendors cannot be provide by a normal company. But again, 100% safety can never be guaranteed. If possible, the user should also use its own security mechanisms. Furthermore, the rumors about government hits by the NSA should not be ignored.

About two U.S. phone companies confirmed reports are circulating that are talking about direct access to the communication by the NSA and strong saved rooms that are equipped with modern surveillance technologies. In this context, the provider of on-premise IT solutions should also be considered how far these are undermined.

From both terms and the current security situation, U.S. vendors should be treated with caution. This also applies to its subsidiaries in the EU. After all, they are even not able to meet at least the necessary legal safety.

But even the German secret service should not be ignored. Recent reports indicate that the “Federal Intelligence Service (BND)” will also massively expand the surveillance of the internet. This amounts to a budget of 100 million Euro, of which the federal government already released five million EUR. Compared to the NSA, the BND will not store the complete data traffic on the Internet, but only check for certain suspicious content. For this purpose he may read along up to 20 percent of the communication data between Germany and abroad, according to the G 10 Act.

Hardliners have to adjust all digital and analog communication immediately. But this will not work, because the dependency has become too large and the modern business life is determined by the communication. Therefore, despite surveillance, other legal ways must be found to ensure secure communication and data transmission.

* In this context a cloud provider can be a service provider or a provider of private cloud or IT hardware and software solutions.

Requirements for secure cloud services and IT solutions

First, it must be clearly stated that there is no universal remedy. The risk shall be made ​​by the user, who is not aware of the dangerous situation or who has stolen corporate data on purpose. Regardless of this, the PRISM findings lead to a new safety assessment in the IT sector. And it is hoped that this also increases the security awareness of users.

Companies can obtain support from cloud services and IT solutions, which have made ​​the issue of an unconditional security to be part of their leitmotif from the beginning. Under present circumstances these providers should preferred be from Europe or Germany.

Even if there are already first reports of implications and influences by the U.S. government and U.S. providers to the European Commission, which have prevented an “Anti-FISA” clause in the EU data protection reform, exist no similar laws such as the U.S. Patriot Act, or FISA in Europe.

Therefore also European and German IT vendors, which are not subject to the Patriot Act and not infiltrated by the state, can help U.S. users to operate their secure data communication.

Criteria for vendor selection

On the subject of security it is always about trust. This trust a provider only achieved through openness, by giving its customers a technologically look in the cards. IT vendors are often in the criticism to be sealed and do not provide information on their proprietary security protocols. This is partly because there are also provider willing to talk about it and make no secret. Thus, it is important to find this kind of provider.

In addition to the subjective issue of trust, it is in particular the implemented security, which plays a very important role. Here it should be ensured that the provider uses current encryption mechanisms. This includes:

  • Advanced Encryption Standard – AES 256 to encrypt the data.
  • Diffie-Hellman und RSA 3072 for key exchange.
  • Message Digest 5/6 – MD5/MD6 for the hash function.

Furthermore, the importance of end-to-end encryption of all communication takes is getting stronger. This means that the whole process, which a user passes through the solution, is encrypted continuously from the beginning to the end. This includes inter alia:

  • The user registration
  • The Login
  • The data transfer (send/receive)
  • Transfer of key pairs (public/private key)
  • The storage location on the server
  • The storage location on the local device
  • The session while a document is edited

In this context it is very important to understand that the private key which is used to access the data and the system only may exclusively be owned by the user. And is only stored encrypted on the local system of the user. The vendor may have no ways to restore this private key and never get access to the stored data. Caution: There are cloud storage provider that can restore both the private key, as can also obtain access to the data of the user.

Furthermore, there are vendor which discuss the control over the own data. This is indeed true. However, sooner or later it is inevitably to communicate externally and then a hard end-to-end encryption is essential.

Management advisory

In this context, I would like to mention TeamDrive, which I have analyzed recently. The German file sharing and synchronization solution for businesses is awarded with the Data Protection Seal of the “Independent Centre for Privacy Protection Schleswig-Holstein (ULD)” and is a Gartner “Cool Vendor in Privacy” 2013. From time to time TeamDrive is described as proprietary and closed in the media. I can not confirm this. For my analysis TeamDrive willingly gave me extensive information (partly under NDA). Even the self developed protocol will be disclosed on request for an audit.

More information on selecting a secure share, sync and collaboration solution

I want to point out my security comparison between TeamDrive and ownCloud, in which I compared both security architectures. The comparison also provides further clues to consider when choosing a secure share, sync and collaboration solution.

Categories
Analysen

Wie schützen Unternehmen ihre Daten gegen die Überwachung in der Cloud?

Die US-Regierung hat mit PRISM die Verunsicherung bei Internetnutzern und Unternehmen weiter vergrößert und damit den Vertrauensverlust gegenüber US-amerikanischen Anbietern enorm verstärkt. Nach dem Patriot Act, der oftmals als das Hauptargument gegenüber dem Einsatz von Cloud-Lösungen US-amerikanischer Anbieter genannt wurde, hat nun die Überwachung durch die NSA das Fass zum Überlaufen gebracht. Aus der Sicht eines Unternehmens kann unter diesen Umständen die Entscheidung derzeit nur lauten, sich gegen einen Cloud Anbieter aus den USA zu entscheiden, selbst dann, wenn dieser ein Tochterunternehmen mit Standort und Rechenzentrum in Europa oder Deutschland hat. Darauf hatte ich bereits in diesem Artikel hingewiesen. Nichts desto trotz muss das Wirtschaftsleben weitergehen, was auch mit der Cloud funktionieren kann. Hier gilt es allerdings auf die technische Sicherheit zu achten, die in diesem Artikel thematisiert wird.

Betroffene Parteien

Diese ganze Thematik gilt zwangsläufig nicht nur für Unternehmen, sondern für jeden Nutzer der aktiv in der Cloud kommuniziert und seine Daten teilt und synchronisiert. Zwar darf in diesem Zusammenhang das Thema Datenschutz nicht vernachlässigt werden, für Unternehmen steht in der Regel jedoch noch mehr auf dem Spiel, wenn Informationen mit Firmeninterna abgefangen werden oder Sprach- und Videokommunikation überwacht wird. An dieser Stelle muss erwähnt werden, dass dies in erster Linie nichts mit der Cloud zu tun hat. Datenkommunikation wurde lange vor Cloud-Infrastrukturen und -Services betrieben. Jedoch führt die Cloud in Zukunft zu einer immer stärkeren Vernetzung und dient als Dreh- und Angelpunkt moderner Kommunikations- und Kollaborationsinfrastrukturen.

Die aktuelle Sicherheitslage

Der PRISM Skandal zeigt das gesamte Ausmaß der Möglichkeiten, die es den US-Sicherheitsbehörden erlaubt, ungehindert und ungeachtet auf die weltweite Datenkommunikation zuzugreifen. Dazu nutzen die US-Behörden offiziell die “National Security Letter (NSL)” des US Patriot Act und den “Foreign Intelligence Surveillance Act (FISA)”. Auf Grund dieser Anti-Terror Gesetze sind die US-Anbieter und deren Töchterfirmen im Ausland dazu verpflichtet Auskünfte über angefragte Informationen zu erteilen.

Im Rahmen der PRISM Enthüllungen wird ebenfalls über vermeintliche Schnittstellen, “Kopier-Räume” oder Backdoors bei den Anbietern spekuliert, mit denen Dritte direkt und ungehindert die Daten abgreifen können. Das widersprechen die Anbieter jedoch vehement.

US-Anbieter, nein Danke?

Während der Auswahl eines Cloud-Anbieters* werden verschiedene Segmente betrachtet die grob in technische und organisatorische Bereiche unterteilt werden können. Der technische Bereich spiegelt in diesem Fall die technische Sicherheit und der organisatorische die rechtliche Sicherheit wieder.

Die organisatorische Sicherheit ist mit Vorsicht zu genießen. Der Patriot Act öffnet den US-Sicherheitsbehörden legal die Türen, soweit ein Verdachtsfall vorliegt. Inwieweit dieses immer im rechtlichen Rahmen bleibt, vagen mittlerweile viele zu bezweifeln. An dieser Stelle ist Vertrauen gefragt.

Technologisch betrachtet sind die Rechenzentren der Cloud-Anbieter als sicher einzustufen. Der Aufwand und die Investitionen die von den Anbietern betrieben werden, kann kein normales Unternehmen erbringen. Aber auch hier gilt 100% Sicherheit kann niemals gewährleistet werden. Soweit möglich sollte der Nutzer zusätzlich eigene Sicherheitsmechanismen einsetzen. Weiterhin sollten die Gerüchte über staatliche Zugriffe der NSA nicht ungeachtet bleiben. Über zwei US-amerikanische Telefonanbieter gibt es bestätigte Berichte, in denen über direkte Zugriffe auf die Kommunikation durch die NSA und stark gesicherte Räumen, die über modernste Überwachungstechnologien verfügen, die Rede ist. In diesem Zusammenhang sollten auch die Anbieter von on-Premise IT-Lösungen betrachtet werden, inwieweit diese unterwandert sind.

Unter beiden Gesichtspunkten und der aktuellen Sicherheitslage sind US-amerikanische Anbieter mit Vorsicht zu genießen. Das gilt ebenfalls für deren Tochterfirmen mit einem Sitz in der EU. Denn auch diese sind nicht in der Lage zumindest die notwendige rechtliche Sicherheit zu erfüllen.

Aber auch der deutsche Geheimdienst darf nicht ungeachtet bleiben. Neueste Meldungen weisen daraufhin, dass der “Bundesnachrichtendienst (BND)” die Überwachung des Internets ebenfalls weiter massiv ausbauen wird. Dazu stehen Mittel in Höhe von 100 Million EUR bereit, von denen von der Bundesregierung bereits fünf Millionen EUR freigegeben wurden. Im Gegensatz zur NSA wird der BND nicht den vollständigen Datenverkehr im Internet speichern, sondern nur auf bestimmte verdächtige Inhalte prüfen. Dazu darf er laut dem G-10-Gesetz bis zu 20 Prozent der Kommunikationsdaten zwischen Deutschland und dem Ausland mitlesen.

Hardliner müssen mit sofortiger Wirkung sämtliche digitale sowie analoge Kommunikation einstellen. Das wird allerdings nicht mehr funktionieren, da die Abhängigkeit zu groß geworden ist und das moderne unternehmerische Dasein von der Kommunikation bestimmt wird. Es müssen daher andere legale Wege gefunden werden, trotz Überwachung, eine sichere Kommunikation und Datenübertragung zu gewährleisten.

* Ein Cloud-Anbieter kann in diesem Zusammenhang ein Service-Anbieter oder ein Anbieter von Private Cloud oder IT-Hard- und Software-Lösungen sein.

Anforderungen an sichere Cloud-Services und IT-Lösungen

Zunächst muss klar gesagt werden, dass es kein Allheilmittel gibt. Die Gefahr geht spätestens von dem Nutzer aus, der über die Gefahrenlage nicht aufgeklärt ist oder mit Absicht Unternehmensdaten entwendet. Ungeachtet dessen führen die PRISM Erkenntnisse zu einer neuen Sicherheitsbetrachtung im IT-Bereich. Und es ist zu hoffen, dass sich damit ebenfalls das Sicherheitsbewusstsein der Anwender vergrößert.

Unterstützung können Unternehmen dabei von Cloud-Services und IT-Lösungen erhalten, die das Thema Sicherheit von Beginn an zum bedingungslosen Teil ihres Leitmotivs gemacht haben. Das sollten unter den aktuellen Umständen bevorzugt Anbieter aus Europa oder Deutschland sein. Auch wenn es bereits erste Berichte über Verzwickungen und Einflüsse der US-Regierung und von US-Anbietern auf die Europäische Kommission gibt, die eine “Anti-FISA-Klausel” in der EU-Datenschutzreform verhindert haben, existieren in Europa keine vergleichbaren Gesetze wie der US Patriot Act oder FISA.

Demnach können auch europäische und deutsche IT-Anbieter, die nicht dem Patriot Act unterstellt und nicht staatlich unterwandert sind, US-amerikanischen Anwendern dabei helfen ihre Datenkommunikation sicher zu betreiben.

Kriterien für die Anbieterauswahl

Beim Thema Sicherheit geht es immer wieder verstärkt um Vertrauen. Und genau dieses Vertrauen erreicht ein Anbieter nur durch Offenheit, indem er sich von seinen Kunden technologisch in die Karten schauen lässt. IT-Anbieter stehen oftmals in der Kritik zu verschlossen zu sein und keine Auskünfte über ihre proprietären Sicherheitsprotokolle zu machen. Das stimmt zum Teil, denn es gibt auch Anbieter die darüber bereitwillig sprechen und kein Geheimnis daraus machen. So einen Anbieter gilt es zu finden.

Neben dem subjektiven Thema Vertrauen, ist es aber insbesondere die implementierte Sicherheit, die eine sehr wichtige Rolle spielt. Hier sollte darauf geachtet werden, dass der Anbieter aktuelle Verschlüsselungsmechanismen einsetzt, dazu gehören:

  • Advanced Encryption Standard – AES 256 für die Verschlüsselung der Daten.
  • Diffie-Hellman und RSA 3072 für den Schlüsselaustausch.
  • Message Digest 5/6 – MD5/MD6 für die Hash-Funktionalität.

Weiterhin nimmt die Bedeutung der End-to-End Verschlüsselung der gesamten Kommunikation immer stärker zu. Das bedeutet das der gesamte Prozess, den ein Nutzer mit der Lösung durchläuft, von Anfang bis Ende durchgehend verschlüsselt ist. Das beinhaltet u.a.:

  • Die Benutzerregistrierung
  • Die Anmeldung
  • Den Datentransfer (Versand/ Empfang)
  • Übertragung der Schlüsselpaare (Public/ Private Key)
  • Der Speicherort auf dem Server
  • Der Speicherort auf dem lokalen Endgerät
  • Die Sitzung während ein Dokument bearbeitet wird

In diesem Zusammenhang ist es wichtig zu verstehen, dass der private Schlüssel für den Zugriff auf die Daten und das System ausschließlich im Besitz des Anwenders sein darf. Und auch nur ausschließlich auf dem lokalen System des Anwenders verschlüsselt gespeichert wird. Der Anbieter darf über keine Möglichkeiten verfügen, diesen privaten Schlüssel wiederherzustellen und niemals auf die gespeicherten Daten Zugriff erhalten. Achtung: Es gibt Cloud-Storage Anbieter, die sowohl den privaten Schlüssel wiederherstellen, als auch auf die Daten des Nutzers Zugriff nehmen können.

Weiterhin gibt es Anbieter, von denen die Kontrolle über die eigenen Daten thematisiert wird. Das ist zwar richtig. Allerdings wird zwangsläufig früher oder später extern kommuniziert und dann ist eine harte End-to-End Verschlüsselung unumgänglich.

Empfehlung für das Management

In diesem Zusammenhang möchte ich gerne TeamDrive erwähnen, die ich vor kurzem analysiert habe. Die deutsche Filesharing und Synchronisations-Lösung für Unternehmen wurde vom “Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein (ULD)” mit dem Datenschutz-Gütesiegel ausgezeichnet und gehört zu Gartners “Cool Vendor in Privacy” 2013. In den Medien wird TeamDrive hin und wieder als proprietär und verschlossen beschrieben. Das kann ich allerdings nicht bestätigen. TeamDrive hat mir für meine Analyse bereitwillig umfangreiche Informationen (z.T. unter NDA) zur Verfügung gestellt. Auch das selbst entwickelte Protokoll wird auf Anfrage für einen Audit offen gelegt.

Weitere Informationen zur Auswahl einer sicheren Share-, Sync- und Collaboration-Lösung

Ich möchte noch auf meinen Sicherheitsvergleich zwischen TeamDrive und ownCloud hinweisen, in dem ich beide Sicherheitsarchitekturen gegenübergestellt habe. Der Vergleich gibt zudem weitere Hinweise, was bei der Auswahl einer sicheren Share-, Sync- und Collaboration-Lösung zu beachten ist.

Categories
Analysis

Survey: How is your current trust in the cloud?

After the revelations on PRISM I have started a small anonymous survey to see what is the current situation with the confidence in the cloud and how the scandal has changed on the personal relationship to the cloud.

The questions

  • How is your current trust in the cloud in general?
  • How is your current trust in the cloud provider of your choice?
  • How does the PRISM uncoverings influence your trust in the cloud?
  • Is your current cloud provider one of the accused?
  • How does the PRISM uncoverings influence your trust in the cloud provider of your choice?
  • Did you already think about to leave the cloud e.g. your cloud provider due to the PRISM uncoverings?
  • How important is the unconditional openness of your provider in times of PRISM and surveillance?
  • Do you think a 100% end-to-end encryption without any access and other opportunities of third parties can strengthen the trust?
  • In your mind which world region is the safest/ trustworthiest to store data in?

To participate in the survey please choose this way:

Your trust in the Cloud! – After the PRISM uncoverings how is your trust in the cloud?

Categories
Analysen

Umfrage: Wie ist das aktuelle Vertrauen in die Cloud?

Nach den Enthüllungen um PRISM habe ich eine kleine anonyme Umfrage gestartet, um zu sehen, wie es mit dem aktuellen Vertrauen in die Cloud bestellt ist und wie sich der Skandal auf das persönliche Verhältnis zur Cloud verändert hat.

Die Fragen

  • How is your current trust in the cloud in general?
  • How is your current trust in the cloud provider of your choice?
  • How does the PRISM uncoverings influence your trust in the cloud?
  • Is your current cloud provider one of the accused?
  • How does the PRISM uncoverings influence your trust in the cloud provider of your choice?
  • Did you already think about to leave the cloud e.g. your cloud provider due to the PRISM uncoverings?
  • How important is the unconditional openness of your provider in times of PRISM and surveillance?
  • Do you think a 100% end-to-end encryption without any access and other opportunities of third parties can strengthen the trust?
  • In your mind which world region is the safest/ trustworthiest to store data in?

Um an der Umfrage teilzunehmen bitte hier entlang:

Your trust in the Cloud! – After the PRISM uncoverings how is your trust in the cloud?

Categories
Comment

PRISM plays into German and European cloud computing providers hands

The U.S. government and above all PRISM has done the U.S. cloud computing providers a bad turn. First discussions now kindle if the public cloud market is moribund. Not by a long shot. On the contrary, European and German cloud computing providers play this scandal into the hands and will ensure that the European cloud computing market will grow stronger in the future than predicted. Because the trust in the United States and its vendors, the U.S. government massively destroyed itself and thus have them on its conscience, whereby companies, today, have to look for alternatives.

We’ve all known it

There have always been suspicions and concerns of companies to store their data in a public cloud of a U.S. provider. Here, the Patriot Act was the focus of discussion in the Q&A sessions or panels after presentations or moderations that I have kept. With PRISM the discussion now reached its peak and confirm, unfortunately, those who have always used eavesdropping by the United States and other countries as an argument.

David Lithicum has already thanked the NSA for the murder of the cloud. I argue with a step back and say that the NSA “would be” responsible for the death of U.S. cloud providers. If it comes to, that remains to be seen. Human decisions are not always rational nature.

Notwithstanding the above, the public cloud is not completely death. Even before the announcement of the PRISM scandal, companies had the task to classify their data according to business critical and public. This now needs to be further strengthen, because completely abandon the public cloud would be wrong.

Bye Bye USA! Welcome Europe und Germany

As I wrote above, I see less death of the cloud itself, but much more to come the death of U.S. providers. Hence I include those who have their locations and data centers here in Europe or Germany. Because the trust is so heavily destroyed that all declarations and appeasement end in smoke in no time.

The fact is that U.S. providers and their subsidiary companies are subordinate to the Patriot Act and therefore also the “Foreign Intelligence Surveillance Act (FISA)”, which requires them to provide information about requested information. The provider currently trying to actively strengthen themselves by claiming more responsibility from the U.S. government, to keep at least the rest of trust what is left behind. This is commendable but also necessary. Nevertheless, the discussion about the supposed interfaces, “copy-rooms” or backdoors at the vendors, with which third parties can freely tap the data, left a very bad aftertaste.

This should now encourage more European and German cloud providers. After all, not to be subject to the U.S. influence should played out as an even greater competitive advantage than ever. These include inter alia the location of the data center, the legal framework, the contract, but also the technical security (end-to-end encryption).

Depending on how the U.S. government will react in the next time, it will be exciting to see how U.S. provider will behave on the European market. So far, there are always 100% subsidiaries of the large U.S. companies that are here locally only as an offshoot and are fully subordinated to the mother in the United States.

Even though I do not advocate a pure “Euro-Cloud” neither a “German Cloud”. But, under these current circumstances, there can only be a European solution. Viviane Reding, EU Commissioner for Justice, is now needed to enforce an unconditional privacy regulation for Europe, which European companies strengthens against the U.S. companies from this point in the competition.

The courage of the providers is required

It appears, that there will be no second Amazon, Google, Microsoft or Salesforce from Europe or even Germany. The large ones, especially T-Systems and SAP strengthen their current cloud business and giving companies a real alternative to U.S. providers. Even bright spots of startups are sporadic seen on the horizon. What is missing are inter alia real and good infrastructure-as-a-service (IaaS) offerings of young companies who do not only have infrastructure resources in their portfolio, but rely on services similar to Amazon. The problem with IaaS are the high capital requirements that are necessary for it to ensure massive scalability and more.

Other startups who are offering for example platform-as-a-service (PaaS), in many cases, set in the background on the infrastructure of Amazon – U.S. provider. But here have providers such as T-Systems the duty not to focus exclusively on enterprises and also allow developers to build their ideas and solutions on a cloud infrastructure in Germany and Europe through the “Amazon Way”. There is still a lack of a real(!) German-European alternatives to Amazon Web Services, Google, Microsoft and Salesforce!

How should companies behave now?

Among all these aspects one have to advise companies, to look for a provider that is located in a country that guarantees the required legal conditions for the company itself regarding data protection and information security. And that can currently only be a provider from Europe or Germany. Incidentally, that was even before PRISM. Furthermore, companies themselves have the duty to classify their data and to evaluate mission-critical information at a much higher level of protection than less important and publicly available information.

How it actually looks at U.S. companies is hard to say. After all, 56 percent of the U.S. population find the eavesdropping of telephone calls as acceptable. Europeans, and especially the Germans, will see that from a different angle. In particular, we Germans will not accept a Stasi 2.0, which instead of rely on the spies from the ranks (neighbors, friends, parents, children, etc.), on machines and services.

Categories
Kommentar

PRISM spielt deutschen und europäischen Cloud Computing Anbietern in die Karten

Die US-Regierung und allen voran PRISM hat den US-amerikanischen Cloud Computing Anbietern einen Bärendienst erwiesen. Erste Diskussionen entfachen nun, ob damit der Public Cloud Markt dem Tode geweiht sei. Bei weitem nicht. Im Gegenteil, europäischen und deutschen Cloud Computing Anbietern spielt dieser Skandal in die Karten und wird dafür sorgen, dass der europäische Cloud Computing Markt in Zukunft stärker wachsen wird als vorhergesagt. Denn das Vertrauen in die USA und seine Anbieter hat die US-Regierung selbst massiv zerstört und damit auf dem Gewissen, wodurch sich Unternehmen, stand Heute, nach Alternativen umschauen müssen.

Wir haben es doch alle gewusst

Es gab immer Vermutungen und Bedenken von Unternehmen, ihre Daten in eine Public Cloud eines US-amerikanischen Anbieters zu speichern. Dabei stand der der Patriot Act im Mittelpunkt der Diskussionen in Q&A-Sessions oder Panels nach Vorträgen oder Moderationen die ich gehalten habe. Mit PRISM erreichen die Diskussion nun ihren Höhepunkt und bestätigen, leider, diejenigen die schon immer Abhöraktionen durch die USA und anderer Länder als Argument geliefert haben.

David Lithicum hat sich bereits bei der NSA für den Mord an der Cloud bedankt. Ich argumentiere mit einem Schritt zurück und sage, dass die NSA für den Tod der US-amerikanischen Cloud-Anbieter verantwortlich “wäre”, ob es soweit kommt, bleibt noch abzuwarten. Menschliche Entscheidungen sind nicht immer rationaler Natur.

Unabhängig davon ist die Public Cloud nicht vollständig Tod. Unternehmen hatten schon vor dem Bekanntwerden des PRISM-Skandals die Aufgabe, ihre Daten nach unternehmenskritischen und öffentlichen zu klassifizieren. Dieses muss sich nun noch weiter verstärken, denn die Public Cloud vollständig aufzugeben wäre falsch.

Bye Bye USA! Welcome Europa und Deutschland

Wie ich bereits oben geschrieben habe, sehe ich weniger den Tod der Cloud selbst, sondern viel mehr den Tod der US-Anbieter kommen. Damit schließe ich auch diejenigen ein, die hier in Europa oder Deutschland ihre Standorte und Rechenzentren haben. Denn das Vertrauen ist dermaßen zerstört, dass sämtliche Erklärungs- und Beschwichtigungsversuche sich in Nullkomma nix in Luft auflösen.

Fakt ist, dass US-Anbieter und deren Töchterfirmen dem Patriot Act und demnach auch dem “Foreign Intelligence Surveillance Act (FISA)” unterstellt sind, was sie dazu verpflichtet Auskünfte über angefragte Informationen zu erteilen. Die Anbieter versuchen sich hier derzeit aktiv zu stärken, indem mehr Verantwortung von der US-Regierung gefordert wird, um das restliche Vertrauen was noch vorhanden ist, zumindest zu behalten. Das ist lobenswert aber ebenso notwendig. Dennoch haben die Diskussionen um vermeintliche Schnittstellen, “Kopier-Räume” oder Backdoors bei den Anbietern, mit denen Dritte ungehindert die Daten abgreifen können, einen äußerst faden Beigeschmack hinterlassen.

Das sollte nun verstärkt europäische und deutsche Cloud-Anbieter ermutigen. Denn nicht dem US-amerikanischen Einfluss zu unterliegen sollte als ein noch größerer Wettbewerbsvorteil denn je ausgespielt werden. Dazu gehören u.a. der Standort des Rechenzentrums, der Rechtsrahmen, der Vertrag, aber auch die technische Sicherheit (z.B. End-to-End Verschlüsselung).

Je nachdem wie die US-Regierung in der nächsten Zeit reagieren wird, bleibt es spannend zu sehen, wie sich US-amerikanische Anbieter auf dem europäischen Markt verhalten. Bisher handelt es sich immer um 100% Tochterunternehmen der großen US-Konzerne, die hier vor Ort nur als Ableger gelten und der Mutter in den USA vollständig unterstellt sind.

Auch wenn ich kein Befürworter weder einer reinen “Euro-Cloud” noch einer “Deutschen Cloud” bin. Es kann unter diesen aktuellen Umständen nur eine europäische Lösung geben. Viviane Reding, EU-Kommissarin für Justiz, ist jetzt gefragt, um eine bedingungslose Datenschutzverordnung für Europa durchzusetzen, welche die europäischen Unternehmen gegenüber den US-Unternehmen unter diesen Gesichtspunkten im Wettbewerb stärkt.

Der Mut der Anbieter ist gefragt

Allen Anschein nach wird es kein zweites Amazon, Google, Microsoft oder Salesforce aus Europa oder gar Deutschland geben. Die großen, allen voran T-Systems und SAP stärken aktuell ihr Cloud-Geschäft und bieten Unternehmen damit eine echte Alternative zu US-Anbietern. Auch sind vereinzelnd Lichtblicke von Startups am Horizont zu erkennen. Was jedoch fehlt sind u.a. echte und gute Infrastructure-as-a-Service (IaaS) Angebote von jungen Unternehmen die nicht nur Infrastruktur-Ressourcen im Portfolio haben, sondern ähnlich wie Amazon auf Services setzen. Die Problematik beim IaaS besteht in den hohen Kapitalanforderungen, die dafür notwendig sind, um auch u.a. eine massive Skalierbarkeit zu gewährleisten.

Andere Startups die z.B. Platform-as-a-Service (PaaS) anbieten, setzen in vielen Fällen im Hintergrund wieder auf die Infrastruktur von Amazon – US-Anbieter. Hier sind dann allerdings Anbieter wie T-Systems in der Pflicht, sich nicht ausschließlich auf Unternehmen zu konzentrieren, sondern ebenfalls über den “Amazon-Weg” es Entwicklern ermöglichen, ihre Ideen und Lösungen auf einer Cloud-Infrastruktur in Deutschland und Europa zu entfalten. Es fehlt einfach eine echte(!) deutsch-europäische Alternative zu den Amazon Web Services, Google, Microsoft oder Salesforce!

Wie sollten sich Unternehmen jetzt verhalten?

Unter all diesen Gesichtspunkten muss man Unternehmen raten, sich nach einem Anbieter umzuschauen, der sich in einem Land befindet, das die für das Unternehmen selbst geforderten rechtlichen Bedingungen hinsichtlich Datenschutz und Informationssicherheit gewährleistet. Und das kann derzeit nur ein Anbieter aus Europa bzw. Deutschland sein. Nebenbei bemerkt war das auch schon vor PRISM so. Weiterhin stehen Unternehmen selbst in der Pflicht, ihre Daten zu klassifizieren und unternehmenskritische Informationen mit einem deutlich höheren Schutzniveau zu bewerten als weniger wichtige und öffentlich zugängliche Informationen.

Wie es bei US-amerikanischen Unternehmen konkret ausschaut ist schwer zu sagen. Immerhin halten 56 Prozent der US-Bürger das Überwachen von Telefonaten für akzeptabel. Europäer, aber vor allem die Deutschen werden das allerdings anders sehen. Insbesondere wir Deutschen werden keine Stasi 2.0, die anstatt auf Spione aus den eigenen Reihen (Nachbarn, Freunde, Eltern, Kinder usw.), auf Maschinen und Services setzt, akzeptieren!

Categories
Comment

PRISM: Even the University of Furtwangen is planning interfaces for cloud monitoring in Germany

PRISM is the latest buzzword. That similar should happen in Germany too, causes to worry. Despite that this interview was published in the German Manager Magazin, it seems to be a little lost in the rest of the German media landscape, unfortunately. Because in Germany we are also on the way to integrate interfaces for monitoring cloud solutions. Developed and promoted by the University of Furtwangen!

Third-party organizations should be able to check data streams

In an interview with the Manager Magazin under the apparently innocuous title “SAFETY IN CLOUD COMPUTING – “The customer come off second best” says Professor Christoph Reich of the computer science department at the University of Furtwangen and director of its cloud research center: “We want to define interfaces that third party organizations get the opportunity to review the data streams.

This statement was in response to the question of how it can be technically realized that some kind of accountability chain to be set up that works across vendors. This has the background, that the property can be transferred, so that personal data are particularly well protected. For this reason, these accountability chain must not break if another provider comes into play.

So far so good. However, it will be exciting. In the subsequent question by the Manager Magazin:

Would also the federal government be a potential customer? German law enforcement agencies even ask for a single interface to monitor cloud communications data in real time.

Professor Reich answers:

In principle this is going in this direction. But a judicially actionable verifiability looks very different. If you want to record evidential data, you need special memory for that, these are very expensive. We want to give customers the opportunity to get visualized where their data are.

Regardless that the University of Furtwangen do not have this “special memory”, but certainly a government organization. And as long as the interfaces are available, the data can be captured and stored at a third location.

Cloud computing lives from the trust

I already wrote about it three years ago “Cloud computing is a question of trust, availability and security“. The University of Furtwangen would also like to create more trust in the cloud with their “surveillance project”.

I just wonder how to continue building confidence, if you want to integrate interfaces for the potential (government) monitoring of data streams in cloud solutions?