Schlagwort: Cloud Computing

How to protect a companies data from surveillance in the cloud?

Beitragsautor Von Rene Buest
Beitragsdatum Juni 20, 2013

With PRISM the U.S. government has further increased the uncertainty among Internet users and companies, and therefore strengthened the loss of confidence in U.S. vendors enormously. After the Patriot Act, which was often cited as the main argument against the use of cloud solutions from US-based providers, the surveillance by the NSA be the final straw. From a business perspective, under these present circumstances, the decision can only be to opt out of a cloud provider in the United States, even if it has a subsidiary with a location and a data center in Europe or Germany. That I already pointed out in this article. Nevertheless, the economic life must go on, which can also work with the cloud. However, here is a need for pay attention to the technical security, which is discussed in this article.

Affected parties

This whole issue is not necessarily just for companies but for every user of actively communicating in the cloud and shares and synchronized its data. Although the issue of data protection can not be neglected in this context. For companies it is usually still more at stake when internal company information is intercepted or voice and video communication is observed. At this point it must be mentioned that this has nothing to do primarily with the cloud. Data communication was operated long before cloud infrastructures and services. However, the cloud leads to an increasingly interconnection, and act as a focal point of modern communications and collaboration infrastructure in the future.

The current security situation

The PRISM scandal shows the full extent of the possibilities that allows U.S. security agencies, unimpeded and regardlessly access the global data communication. For this, the U.S. government officially use the „National Security Letter (NSL)“ of the U.S. Patriot Act and the „Foreign Intelligence Surveillance Act (FISA).“ Due to these anti-terror laws, the U.S. vendor firms and their subsidiaries abroad are obliged to provide further details about requested information.

As part of the PRISM revelations it is also speculated about supposed interfaces, „copy-rooms“ or backdoors at the providers with which third parties can directly and freely tap the data. However, the provider opposed this vehemently.

U.S. vendors. I’m good, thanks?

While choosing a cloud provider* different segments are considered that can be roughly divided into technical and organizational areas. In this case the technical area is reflecting the technical security and the organizational the legal security.

The organizational security is to be treated with caution. The Patriot Act opens the U.S. security agencies legally the doors if there is a suspected case. How far this remains within the legal framework, meanwhile many to doubt. At this point, trust is essential.

Technologically the data centers of cloud providers can be classified as safe. The effort and investment which are operated by the vendors cannot be provide by a normal company. But again, 100% safety can never be guaranteed. If possible, the user should also use its own security mechanisms. Furthermore, the rumors about government hits by the NSA should not be ignored.

About two U.S. phone companies confirmed reports are circulating that are talking about direct access to the communication by the NSA and strong saved rooms that are equipped with modern surveillance technologies. In this context, the provider of on-premise IT solutions should also be considered how far these are undermined.

From both terms and the current security situation, U.S. vendors should be treated with caution. This also applies to its subsidiaries in the EU. After all, they are even not able to meet at least the necessary legal safety.

But even the German secret service should not be ignored. Recent reports indicate that the „Federal Intelligence Service (BND)“ will also massively expand the surveillance of the internet. This amounts to a budget of 100 million Euro, of which the federal government already released five million EUR. Compared to the NSA, the BND will not store the complete data traffic on the Internet, but only check for certain suspicious content. For this purpose he may read along up to 20 percent of the communication data between Germany and abroad, according to the G 10 Act.

Hardliners have to adjust all digital and analog communication immediately. But this will not work, because the dependency has become too large and the modern business life is determined by the communication. Therefore, despite surveillance, other legal ways must be found to ensure secure communication and data transmission.

* In this context a cloud provider can be a service provider or a provider of private cloud or IT hardware and software solutions.

Requirements for secure cloud services and IT solutions

First, it must be clearly stated that there is no universal remedy. The risk shall be made by the user, who is not aware of the dangerous situation or who has stolen corporate data on purpose. Regardless of this, the PRISM findings lead to a new safety assessment in the IT sector. And it is hoped that this also increases the security awareness of users.

Companies can obtain support from cloud services and IT solutions, which have made the issue of an unconditional security to be part of their leitmotif from the beginning. Under present circumstances these providers should preferred be from Europe or Germany.

Even if there are already first reports of implications and influences by the U.S. government and U.S. providers to the European Commission, which have prevented an „Anti-FISA“ clause in the EU data protection reform, exist no similar laws such as the U.S. Patriot Act, or FISA in Europe.

Therefore also European and German IT vendors, which are not subject to the Patriot Act and not infiltrated by the state, can help U.S. users to operate their secure data communication.

Criteria for vendor selection

On the subject of security it is always about trust. This trust a provider only achieved through openness, by giving its customers a technologically look in the cards. IT vendors are often in the criticism to be sealed and do not provide information on their proprietary security protocols. This is partly because there are also provider willing to talk about it and make no secret. Thus, it is important to find this kind of provider.

In addition to the subjective issue of trust, it is in particular the implemented security, which plays a very important role. Here it should be ensured that the provider uses current encryption mechanisms. This includes:

Advanced Encryption Standard – AES 256 to encrypt the data.
Diffie-Hellman und RSA 3072 for key exchange.
Message Digest 5/6 – MD5/MD6 for the hash function.

Furthermore, the importance of end-to-end encryption of all communication takes is getting stronger. This means that the whole process, which a user passes through the solution, is encrypted continuously from the beginning to the end. This includes inter alia:

The user registration
The Login
The data transfer (send/receive)
Transfer of key pairs (public/private key)
The storage location on the server
The storage location on the local device
The session while a document is edited

In this context it is very important to understand that the private key which is used to access the data and the system only may exclusively be owned by the user. And is only stored encrypted on the local system of the user. The vendor may have no ways to restore this private key and never get access to the stored data. Caution: There are cloud storage provider that can restore both the private key, as can also obtain access to the data of the user.

Furthermore, there are vendor which discuss the control over the own data. This is indeed true. However, sooner or later it is inevitably to communicate externally and then a hard end-to-end encryption is essential.

Management advisory

In this context, I would like to mention TeamDrive, which I have analyzed recently. The German file sharing and synchronization solution for businesses is awarded with the Data Protection Seal of the „Independent Centre for Privacy Protection Schleswig-Holstein (ULD)“ and is a Gartner „Cool Vendor in Privacy“ 2013. From time to time TeamDrive is described as proprietary and closed in the media. I can not confirm this. For my analysis TeamDrive willingly gave me extensive information (partly under NDA). Even the self developed protocol will be disclosed on request for an audit.

More information on selecting a secure share, sync and collaboration solution

I want to point out my security comparison between TeamDrive and ownCloud, in which I compared both security architectures. The comparison also provides further clues to consider when choosing a secure share, sync and collaboration solution.

Schlagwörter Cloud, Cloud Computing, encryption, ownCloud, PRISM, Security, TeamDrive

Analysen

Wie schützen Unternehmen ihre Daten gegen die Überwachung in der Cloud?

Beitragsautor Von Rene Buest
Beitragsdatum Juni 18, 2013

Die US-Regierung hat mit PRISM die Verunsicherung bei Internetnutzern und Unternehmen weiter vergrößert und damit den Vertrauensverlust gegenüber US-amerikanischen Anbietern enorm verstärkt. Nach dem Patriot Act, der oftmals als das Hauptargument gegenüber dem Einsatz von Cloud-Lösungen US-amerikanischer Anbieter genannt wurde, hat nun die Überwachung durch die NSA das Fass zum Überlaufen gebracht. Aus der Sicht eines Unternehmens kann unter diesen Umständen die Entscheidung derzeit nur lauten, sich gegen einen Cloud Anbieter aus den USA zu entscheiden, selbst dann, wenn dieser ein Tochterunternehmen mit Standort und Rechenzentrum in Europa oder Deutschland hat. Darauf hatte ich bereits in diesem Artikel hingewiesen. Nichts desto trotz muss das Wirtschaftsleben weitergehen, was auch mit der Cloud funktionieren kann. Hier gilt es allerdings auf die technische Sicherheit zu achten, die in diesem Artikel thematisiert wird.

Betroffene Parteien

Diese ganze Thematik gilt zwangsläufig nicht nur für Unternehmen, sondern für jeden Nutzer der aktiv in der Cloud kommuniziert und seine Daten teilt und synchronisiert. Zwar darf in diesem Zusammenhang das Thema Datenschutz nicht vernachlässigt werden, für Unternehmen steht in der Regel jedoch noch mehr auf dem Spiel, wenn Informationen mit Firmeninterna abgefangen werden oder Sprach- und Videokommunikation überwacht wird. An dieser Stelle muss erwähnt werden, dass dies in erster Linie nichts mit der Cloud zu tun hat. Datenkommunikation wurde lange vor Cloud-Infrastrukturen und -Services betrieben. Jedoch führt die Cloud in Zukunft zu einer immer stärkeren Vernetzung und dient als Dreh- und Angelpunkt moderner Kommunikations- und Kollaborationsinfrastrukturen.

Die aktuelle Sicherheitslage

Der PRISM Skandal zeigt das gesamte Ausmaß der Möglichkeiten, die es den US-Sicherheitsbehörden erlaubt, ungehindert und ungeachtet auf die weltweite Datenkommunikation zuzugreifen. Dazu nutzen die US-Behörden offiziell die „National Security Letter (NSL)“ des US Patriot Act und den „Foreign Intelligence Surveillance Act (FISA)“. Auf Grund dieser Anti-Terror Gesetze sind die US-Anbieter und deren Töchterfirmen im Ausland dazu verpflichtet Auskünfte über angefragte Informationen zu erteilen.

Im Rahmen der PRISM Enthüllungen wird ebenfalls über vermeintliche Schnittstellen, „Kopier-Räume“ oder Backdoors bei den Anbietern spekuliert, mit denen Dritte direkt und ungehindert die Daten abgreifen können. Das widersprechen die Anbieter jedoch vehement.

US-Anbieter, nein Danke?

Während der Auswahl eines Cloud-Anbieters* werden verschiedene Segmente betrachtet die grob in technische und organisatorische Bereiche unterteilt werden können. Der technische Bereich spiegelt in diesem Fall die technische Sicherheit und der organisatorische die rechtliche Sicherheit wieder.

Die organisatorische Sicherheit ist mit Vorsicht zu genießen. Der Patriot Act öffnet den US-Sicherheitsbehörden legal die Türen, soweit ein Verdachtsfall vorliegt. Inwieweit dieses immer im rechtlichen Rahmen bleibt, vagen mittlerweile viele zu bezweifeln. An dieser Stelle ist Vertrauen gefragt.

Technologisch betrachtet sind die Rechenzentren der Cloud-Anbieter als sicher einzustufen. Der Aufwand und die Investitionen die von den Anbietern betrieben werden, kann kein normales Unternehmen erbringen. Aber auch hier gilt 100% Sicherheit kann niemals gewährleistet werden. Soweit möglich sollte der Nutzer zusätzlich eigene Sicherheitsmechanismen einsetzen. Weiterhin sollten die Gerüchte über staatliche Zugriffe der NSA nicht ungeachtet bleiben. Über zwei US-amerikanische Telefonanbieter gibt es bestätigte Berichte, in denen über direkte Zugriffe auf die Kommunikation durch die NSA und stark gesicherte Räumen, die über modernste Überwachungstechnologien verfügen, die Rede ist. In diesem Zusammenhang sollten auch die Anbieter von on-Premise IT-Lösungen betrachtet werden, inwieweit diese unterwandert sind.

Unter beiden Gesichtspunkten und der aktuellen Sicherheitslage sind US-amerikanische Anbieter mit Vorsicht zu genießen. Das gilt ebenfalls für deren Tochterfirmen mit einem Sitz in der EU. Denn auch diese sind nicht in der Lage zumindest die notwendige rechtliche Sicherheit zu erfüllen.

Aber auch der deutsche Geheimdienst darf nicht ungeachtet bleiben. Neueste Meldungen weisen daraufhin, dass der „Bundesnachrichtendienst (BND)“ die Überwachung des Internets ebenfalls weiter massiv ausbauen wird. Dazu stehen Mittel in Höhe von 100 Million EUR bereit, von denen von der Bundesregierung bereits fünf Millionen EUR freigegeben wurden. Im Gegensatz zur NSA wird der BND nicht den vollständigen Datenverkehr im Internet speichern, sondern nur auf bestimmte verdächtige Inhalte prüfen. Dazu darf er laut dem G-10-Gesetz bis zu 20 Prozent der Kommunikationsdaten zwischen Deutschland und dem Ausland mitlesen.

Hardliner müssen mit sofortiger Wirkung sämtliche digitale sowie analoge Kommunikation einstellen. Das wird allerdings nicht mehr funktionieren, da die Abhängigkeit zu groß geworden ist und das moderne unternehmerische Dasein von der Kommunikation bestimmt wird. Es müssen daher andere legale Wege gefunden werden, trotz Überwachung, eine sichere Kommunikation und Datenübertragung zu gewährleisten.

* Ein Cloud-Anbieter kann in diesem Zusammenhang ein Service-Anbieter oder ein Anbieter von Private Cloud oder IT-Hard- und Software-Lösungen sein.

Anforderungen an sichere Cloud-Services und IT-Lösungen

Zunächst muss klar gesagt werden, dass es kein Allheilmittel gibt. Die Gefahr geht spätestens von dem Nutzer aus, der über die Gefahrenlage nicht aufgeklärt ist oder mit Absicht Unternehmensdaten entwendet. Ungeachtet dessen führen die PRISM Erkenntnisse zu einer neuen Sicherheitsbetrachtung im IT-Bereich. Und es ist zu hoffen, dass sich damit ebenfalls das Sicherheitsbewusstsein der Anwender vergrößert.

Unterstützung können Unternehmen dabei von Cloud-Services und IT-Lösungen erhalten, die das Thema Sicherheit von Beginn an zum bedingungslosen Teil ihres Leitmotivs gemacht haben. Das sollten unter den aktuellen Umständen bevorzugt Anbieter aus Europa oder Deutschland sein. Auch wenn es bereits erste Berichte über Verzwickungen und Einflüsse der US-Regierung und von US-Anbietern auf die Europäische Kommission gibt, die eine „Anti-FISA-Klausel“ in der EU-Datenschutzreform verhindert haben, existieren in Europa keine vergleichbaren Gesetze wie der US Patriot Act oder FISA.

Demnach können auch europäische und deutsche IT-Anbieter, die nicht dem Patriot Act unterstellt und nicht staatlich unterwandert sind, US-amerikanischen Anwendern dabei helfen ihre Datenkommunikation sicher zu betreiben.

Kriterien für die Anbieterauswahl

Beim Thema Sicherheit geht es immer wieder verstärkt um Vertrauen. Und genau dieses Vertrauen erreicht ein Anbieter nur durch Offenheit, indem er sich von seinen Kunden technologisch in die Karten schauen lässt. IT-Anbieter stehen oftmals in der Kritik zu verschlossen zu sein und keine Auskünfte über ihre proprietären Sicherheitsprotokolle zu machen. Das stimmt zum Teil, denn es gibt auch Anbieter die darüber bereitwillig sprechen und kein Geheimnis daraus machen. So einen Anbieter gilt es zu finden.

Neben dem subjektiven Thema Vertrauen, ist es aber insbesondere die implementierte Sicherheit, die eine sehr wichtige Rolle spielt. Hier sollte darauf geachtet werden, dass der Anbieter aktuelle Verschlüsselungsmechanismen einsetzt, dazu gehören:

Advanced Encryption Standard – AES 256 für die Verschlüsselung der Daten.
Diffie-Hellman und RSA 3072 für den Schlüsselaustausch.
Message Digest 5/6 – MD5/MD6 für die Hash-Funktionalität.

Weiterhin nimmt die Bedeutung der End-to-End Verschlüsselung der gesamten Kommunikation immer stärker zu. Das bedeutet das der gesamte Prozess, den ein Nutzer mit der Lösung durchläuft, von Anfang bis Ende durchgehend verschlüsselt ist. Das beinhaltet u.a.:

Die Benutzerregistrierung
Die Anmeldung
Den Datentransfer (Versand/ Empfang)
Übertragung der Schlüsselpaare (Public/ Private Key)
Der Speicherort auf dem Server
Der Speicherort auf dem lokalen Endgerät
Die Sitzung während ein Dokument bearbeitet wird

In diesem Zusammenhang ist es wichtig zu verstehen, dass der private Schlüssel für den Zugriff auf die Daten und das System ausschließlich im Besitz des Anwenders sein darf. Und auch nur ausschließlich auf dem lokalen System des Anwenders verschlüsselt gespeichert wird. Der Anbieter darf über keine Möglichkeiten verfügen, diesen privaten Schlüssel wiederherzustellen und niemals auf die gespeicherten Daten Zugriff erhalten. Achtung: Es gibt Cloud-Storage Anbieter, die sowohl den privaten Schlüssel wiederherstellen, als auch auf die Daten des Nutzers Zugriff nehmen können.

Weiterhin gibt es Anbieter, von denen die Kontrolle über die eigenen Daten thematisiert wird. Das ist zwar richtig. Allerdings wird zwangsläufig früher oder später extern kommuniziert und dann ist eine harte End-to-End Verschlüsselung unumgänglich.

Empfehlung für das Management

In diesem Zusammenhang möchte ich gerne TeamDrive erwähnen, die ich vor kurzem analysiert habe. Die deutsche Filesharing und Synchronisations-Lösung für Unternehmen wurde vom „Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein (ULD)“ mit dem Datenschutz-Gütesiegel ausgezeichnet und gehört zu Gartners „Cool Vendor in Privacy“ 2013. In den Medien wird TeamDrive hin und wieder als proprietär und verschlossen beschrieben. Das kann ich allerdings nicht bestätigen. TeamDrive hat mir für meine Analyse bereitwillig umfangreiche Informationen (z.T. unter NDA) zur Verfügung gestellt. Auch das selbst entwickelte Protokoll wird auf Anfrage für einen Audit offen gelegt.

Weitere Informationen zur Auswahl einer sicheren Share-, Sync- und Collaboration-Lösung

Ich möchte noch auf meinen Sicherheitsvergleich zwischen TeamDrive und ownCloud hinweisen, in dem ich beide Sicherheitsarchitekturen gegenübergestellt habe. Der Vergleich gibt zudem weitere Hinweise, was bei der Auswahl einer sicheren Share-, Sync- und Collaboration-Lösung zu beachten ist.

Schlagwörter Cloud, Cloud Computing, ownCloud, PRISM, sicherheit, TeamDrive, Verschlüsselung

Events

Der CloudOps Summit 2013 startet seinen Call for Papers

Beitragsautor Von Rene Buest
Beitragsdatum Juni 17, 2013

Der CloudOps Summit 2013 geht in seine dritte Runde. In diesem Jahr dreht sich alles um das Thema „Facing Complexity“. Denn auch in Zeiten des Cloud Computing nimmt die Komplexität des IT-Betrieb immer weiter zu. Die Veranstalter des CloudOps Summit möchten in diesem Jahr die Fragen klären, wohin die Reise des IT-Betrieb in den nächsten Jahren geht, welche Tools und Ansätze erfolgsversprechend sind, welche neuen Methoden sich durchsetzen werden und wie sich die Zusammenarbeit zwischen IT und Business verändert. Dafür sind national und international erfahrene Sprecher gesucht, die ihre Erfahrungen in nicht vom Marketing getriebenen Lightning Talks und Breakout Sessions teilen.

Aufbau des CloudOps Summit 2013

Der CloudOps Summit spaltet das Thema „Facing Complexity“ in die Bereiche Operating Complexity, Changing Business und DevOps auf.

Operating Complexity

Wie können komplexe Umgebungen betrieben werden? Welche Erfahrungen liegen mit Operational Analytics, Automatisierung, Provider Management, Wissensmanagement und Enterprise Clouds als Ansätze zur Komplexitätsbeherrschung vor? Welchen Einfluss haben neue Ansätze wie Software Definded Networking/Datacenter auf die Komplexität?

Stichworte: Next Generation Automation, Cloud Management, Enterprise Clouds, Operational Analytics, Augmented Engineer, Knowlegde Management, Software Defined Network/Datacenter

Changing Business

Wie sehen neuartige Wertschöpfungsverhältnisse aus? Zu welchen Business Cases liegen bereits belastbare Ergebnisse vor? Wie verändert sich die Rollenverteilung in der IT zwischen Kunde und Produzent?

Stichworte: IT zwischen Big Data und Cloud Computing, Technisierung des Business, Kundenzentrierte Unternehmer, Wertschöpfungsnetzwerke, Unternehmens IT vom Verhinderer zum Broker

DevOps

Welchen Beitrag liefern agile Methoden in der Entwicklung und im Betrieb? Kann die IT das Prinzip der kundenindividuellen Massenproduktion umsetzen und vernetzte und trotzdem „schlanke“ Produktionsverhältnisse (Lean IT) erfolgreich implementieren? Welchen Stellenwert haben neuartige Entwicklungs- und Produktionskonzepte (platform-as-a-service) in diesem Zusammenhang?

Stichworte: Agile Methoden (Scrum/Kanban), Agiles IT Management, Cloud PaaS, Private PaaS

Call for Papers

Der Call for Papers des CloudOps Summit 2013 endet am 01.08.2013. Bis dahin sind alle weiteren Informationen und das Formular für die Registrierung unter http://www.cloudops.de/call-for-papers-2013/ zu finden.

Schlagwörter Cloud, Cloud Computing, CloudOps Summit

Events

Event-Tipp: Cloud Developer Camp 2013, Frankfurt

Beitragsautor Von Rene Buest
Beitragsdatum Juni 17, 2013

Dieser Event-Tipp geht an alle Entwickler in Frankfurt und der RheinMainRocks Region. Am Samstag, 06. Juli 2013 findet im „Mövenpick Hotel Frankfurt City“ das kostenlose Cloud Developer Camp 2013 statt. Es richtet sich an alle Entwickler, die Cloud Computing für ihre Applikationen nutzen oder in Zukunft einsetzen wollen. Wer sich für die Cloud interessiert oder deren Potential für Entwickler verstehen will und mich darüber hinaus auch noch als Moderator live sehen möchte, sollte vorbeischauen.

Kein Marketing, Sales und HR!

Das englischsprachige Cloud Developer Camp konzentriert sich auf die Konzepte für die Entwicklung, das Deployment und dem Betrieb von skalierbaren Webseiten und Cloud Applikationen auf Basis von Ruby on Rails.

Das Camp möchte Entwickler in einer entspannten Atmosphäre zusammenbringen, um sich über die Entwicklung Cloud-basierter Web-Anwendungen als auch Ruby Applikationen auszutauschen. Hands-on Unterstützung können die Teilnehmer von anderen erfahrenen Cloud-Entwicklern erwarten.

Vorträge

Vorträge, Workshops und Lightning Talks über die Ruby Entwicklung in der Cloud bilden das Programm. Darunter u.a. mit den Sprechern:

Florian Gilcher, CEO (Asquera GmbH)
Constantin Gonzalez – Solutions Architect (Amazon Web Services)
Falk Köppe, Software Developer (Infopark)

Weitere Informationen und die Anmeldung

Das kostenlose(!) Cloud Developer Camp beginnt am 06.07.13 um 10:00 Uhr im Mövenpick Hotel Frankfurt City, Den Haager Straße 5, 60327 Frankfurt am Main. Die Teilnehmer werden neben den Vorträgen und Workshops mit Frühstück, Mittagessen und einem Barbecue am Abend versorgt.

Weitere Informationen und die kostenlose Anmeldung gibt es unter http://www.infopark.com/en/events/cloud-developer-camp/frankfurt.

Schlagwörter Cloud, Cloud Computing, Entwickler, Frankfurt

Services @en

Version 4.1: arago makes its AutoPilot fit for the future

Beitragsautor Von Rene Buest
Beitragsdatum Juni 14, 2013

The automation experts of arago have released the latest version of their AutoPilot. Thus, the company from Frankfurt, Germany promises an even more flexible and secure IT operation with their knowledge-based automation solution. The AutoPilot can automatically carry out tasks within an IT operation and thus relieve IT departments of their routine tasks. The most important innovations in the latest update are the introduction of a developer portal and a new API, which opens the AutoPilot for software developers. Thus, the AutoPilot should integrated more efficiently into existing IT environments and adapted to individual needs. AutoPilot users can download the software for free to update on version 4.1 and get access to all the new services and features.

New API improves the integration

With the introduction of a Java/C++ API library and a REST interface connecting external systems is now easier. Users get the option to integrate the AutoPilot more quickly and efficiently in IT environments, and so access to relevant databases, hardware or user interfaces simplified. In addition, a new, more compact XML format for the respective MARS model reduces overhead when model data is transferred to the API.

Developer portal extends AutoPilot to a platform

With the introduction of the developer portal, AutoPilot can be used immediately by developers as a platform to generate their own applications on the basis of knowledge-based automation and data storage or to use existing connections. For this purpose, arago has made extensive documentation, code examples and test data available in the new portal. Should you have any questions or comments, arago has also provided the users with a support community. The developer portal is currently in the beta phase for a selected circle of developers – this is constantly being expanded, however.

Knowledge-based replaces scripted automation

AutoPilot distinguishes itself from most automation solutions considerably by being knowledge-based. Many other solutions on the market require a standardisation of the IT environment and work in scripts, run books or workflows. They create IT processes that work in a similar way to an assembly line and therefore work well on a level that already benefits from a large amount of standardisation – for example, the operating system or standard applications. A knowledge-based solution, in contrast, administers the whole stack, from the operating system to individual applications and the business process, and integrates into the existing IT environment – even into complex and non-standardised environments.

arago AutoPilot uses the knowledge already existing in the company and applies it automatically. The solution is filled with the knowledge of administrators and other IT professionals in the form of knowledge items and receives all the information it needs for the automated administration of IT operations. Subsequently, AutoPilot flexibly combines these depending on the situation and requirements, and thus works like an autonomous expert. As a result, the software tool can also administer individual applications and, in doing so, even react appropriately to unplanned events.

Comment: AutoPilot is prepared for its future

With version 4.1 arago sets a new milestone for its AutoPilot. Particularly with the introduction of the developer portal and the REST API arago makes a step into the future and opens for third party developer. This is insofar an important decision that it increases the reach of the AutoPilot and strengthened the acceptance of the knowledge-based automation in the market. This progress may eventually lead to a marketplace, which allows developers to offer their own applications for the AutoPilot and monetize it.

Automation is still considered as a dangerous development by many people, because the machines could replace the job completely. This is a well-established way of thinking that needs to be questioned. The industrial revolution also did not destroy the manpower of the people but led to greater efficiency in production and new higher-value tasks. IT departments are caught in their routine tasks for IT operations today, and thus can only limited intervene in the added value of a company. And this at a time in which everybody talks about IT as a business enabler.

A knowledge-based automation solution, such as the AutoPilot, has the potential to relieve the IT department and to give them more time and freedom to concentrate on the strategic orientation of the company’s IT and therefore to the same extent to increase innovation through IT in business.

Schlagwörter Automation, AutoPilot, Cloud, Cloud Computing

Services

arago macht seinen AutoPilot mit Version 4.1 fit für die Zukunft

Beitragsautor Von Rene Buest
Beitragsdatum Juni 14, 2013

Die Automatisierungs-Experten von arago haben die neueste Version ihres AutoPilot veröffentlicht. Damit versprechen die Frankfurter einen noch flexibleren und sicheren IT-Betrieb mit ihrer wissensbasierten Automatisierungslösung. Der Autopilot kann vollautomatisch Aufgaben innerhalb eines IT-Betriebs übernehmen und damit die IT-Abteilungen von ihren Routineaufgaben entlasten. Die wichtigsten Erneuerungen des aktuellen Updates sind die Einführung eines Entwickler-Portals und einer neuen API, welche die Software für Entwickler öffnet. Der Autopilot soll damit noch effizienter in bestehende IT-Umgebungen integriert und an die individuellen Bedürfnisse angepasst werden können. Nutzer des Autopilot können die Software kostenfrei auf Version 4.1 aktualisieren und erhalten so Zugriff auf sämtliche neuen Services und Funktionen.

Neue API verbessert die Integration

Mit Einführung einer Java/C++ API-Library und einer REST-Schnittstelle ist nun die Anbindung externer Systeme einfacher möglich. Nutzer erhalten damit die Möglichkeit, dass sich der AutoPilot noch schneller und effizienter in IT-Umgebungen einbinden lässt und so den Zugriff auf entsprechende Datenbanken, Hardware oder Benutzeroberflächen ermöglicht beziehungsweise vereinfacht. Zusätzlich verringert ein neues, kompakteres XML-Format für das jeweilige MARS-Modell einen Overhead, wenn Modelldaten an die API übergeben werden.

Developer-Portal macht AutoPilot zur Plattform

Mit der Einführung eines Entwickler-Portals lässt sich der AutoPilot ab sofort von Entwicklern als Plattform nutzen, um eigene Anwendungen auf Basis der wissensbasierten Automatisierung und Datenhaltung zu generieren oder bestehende Anbindungen zu nutzen. Zu diesem Zweck stellt arago im neuen Portal eine umfangreiche Dokumentation, Code-Beispiele und Testdaten zur Verfügung. Bei Fragen oder Anmerkungen steht arago den Nutzern außerdem mit einer Support Community zur Verfügung. Das Entwickler-Portal befindet sich aktuell in der Betaphase für einen ausgewählten Entwicklerkreis – dieser soll aber stetig erweitert werden.

Wissensbasierte ersetzt skriptbasierte Automation

Der AutoPilot unterscheidet sich von den meisten Automatisierungslösungen, indem er wissensbasiert arbeitet. Andere Lösungen im Markt setzen eine Standardisierung der IT-Umgebung voraus und arbeiten in Skripten, Runbooks oder Workflows. Sie erzeugen IT-Abläufe, die einem Fließband ähnlich sind und arbeiten daher gut auf einer Ebene, die ohnehin zu einem hohen Grad von Standardisierung profitiert. Eine wissensbasierte Lösung administriert hingegen den gesamten Stack – vom Betriebssystem bis hin zur Individualapplikation bzw. dem Geschäftsprozess – und integriert sich in die bestehende IT-Landschaft, sogar komplexe, nicht-standardisierte Umgebungen.

Der arago AutoPilot dagegen nutzt das im Unternehmen vorhandene Wissen und wendet es automatisch an. Die Lösung wird mit dem Wissen der Administratoren und anderen IT-Experten in Form von Wissensbausteinen gefüllt und erhält sämtliche Informationen, die sie für die automatisierte Administration des IT-Betriebs benötigt. Anschließend kombiniert der AutoPilot diese flexibel je nach Situation und Bedarf und arbeitet so wie ein eigenständiger Experte. Dadurch kann das Softwaretool auch individuelle Applikationen administrieren und sogar auf ungeplante Ereignisse sinnvoll reagieren.

Kommentar: Der AutoPilot rüstet sich für die Zukunft

Mit der Version 4.1 setzt arago seinem AutoPilot selbst einen neuen Meilenstein. Insbesondere mit der Einführung des Developer-Portal und der REST-API macht arago einen Schritt in die Zukunft und öffnet sich. Das ist insoweit eine wichtige Entscheidung, dass damit die Verbreitung des AutoPilot erhöht und die Akzeptanz für die wissensbasierte Automatisierung im Markt gestärkt wird. Diese Entwicklung kann später darüber hinaus durchaus zu einem Marktplatz führen, der es den Entwicklern ebenfalls ermöglicht, eigene Anwendungen für den Autopilot darauf anzubieten und zu monetarisieren.

Automation gilt bei vielen Menschen immer noch als eine gefährliche Entwicklung, da die Maschinen den Arbeitsplatz vollständig ersetzen könnten. Das ist eine gefestigte Denkweise, die hinterfragt werden muss. Die industrielle Revolution hat die Arbeitskraft der Menschen ebenfalls nicht vernichtet, sondern zu einer höheren Effizienz bei der Produktion und zu neuen höherwertigen Aufgaben geführt. IT-Abteilungen sind heutzutage in ihren Routineaufgaben für den IT-Betrieb gefangen und können dadurch nur noch begrenzt in die eigentliche Wertschöpfung eines Unternehmens eingreifen. Und das in einer Zeit, in der alle von der IT als Business-Enabler sprechen.

Eine wissensbasierte Automatisierungslösung, wie der AutoPilot, hat das Potential die IT-Abteilungen zu entlasten und ihr mehr Zeit und Freiheiten zu verschaffen, um sich auf die strategische Ausrichtung der Unternehmens-IT zu konzentrieren und damit im gleichen Maße für mehr Innovationen durch IT im Unternehmen zu sorgen.

Schlagwörter Automation, AutoPilot, Cloud, Cloud Computing

Comment

PRISM plays into German and European cloud computing providers hands

Beitragsautor Von Rene Buest
Beitragsdatum Juni 13, 2013

The U.S. government and above all PRISM has done the U.S. cloud computing providers a bad turn. First discussions now kindle if the public cloud market is moribund. Not by a long shot. On the contrary, European and German cloud computing providers play this scandal into the hands and will ensure that the European cloud computing market will grow stronger in the future than predicted. Because the trust in the United States and its vendors, the U.S. government massively destroyed itself and thus have them on its conscience, whereby companies, today, have to look for alternatives.

We’ve all known it

There have always been suspicions and concerns of companies to store their data in a public cloud of a U.S. provider. Here, the Patriot Act was the focus of discussion in the Q&A sessions or panels after presentations or moderations that I have kept. With PRISM the discussion now reached its peak and confirm, unfortunately, those who have always used eavesdropping by the United States and other countries as an argument.

David Lithicum has already thanked the NSA for the murder of the cloud. I argue with a step back and say that the NSA „would be“ responsible for the death of U.S. cloud providers. If it comes to, that remains to be seen. Human decisions are not always rational nature.

Notwithstanding the above, the public cloud is not completely death. Even before the announcement of the PRISM scandal, companies had the task to classify their data according to business critical and public. This now needs to be further strengthen, because completely abandon the public cloud would be wrong.

Bye Bye USA! Welcome Europe und Germany

As I wrote above, I see less death of the cloud itself, but much more to come the death of U.S. providers. Hence I include those who have their locations and data centers here in Europe or Germany. Because the trust is so heavily destroyed that all declarations and appeasement end in smoke in no time.

The fact is that U.S. providers and their subsidiary companies are subordinate to the Patriot Act and therefore also the „Foreign Intelligence Surveillance Act (FISA)“, which requires them to provide information about requested information. The provider currently trying to actively strengthen themselves by claiming more responsibility from the U.S. government, to keep at least the rest of trust what is left behind. This is commendable but also necessary. Nevertheless, the discussion about the supposed interfaces, „copy-rooms“ or backdoors at the vendors, with which third parties can freely tap the data, left a very bad aftertaste.

This should now encourage more European and German cloud providers. After all, not to be subject to the U.S. influence should played out as an even greater competitive advantage than ever. These include inter alia the location of the data center, the legal framework, the contract, but also the technical security (end-to-end encryption).

Depending on how the U.S. government will react in the next time, it will be exciting to see how U.S. provider will behave on the European market. So far, there are always 100% subsidiaries of the large U.S. companies that are here locally only as an offshoot and are fully subordinated to the mother in the United States.

Even though I do not advocate a pure „Euro-Cloud“ neither a „German Cloud“. But, under these current circumstances, there can only be a European solution. Viviane Reding, EU Commissioner for Justice, is now needed to enforce an unconditional privacy regulation for Europe, which European companies strengthens against the U.S. companies from this point in the competition.

The courage of the providers is required

It appears, that there will be no second Amazon, Google, Microsoft or Salesforce from Europe or even Germany. The large ones, especially T-Systems and SAP strengthen their current cloud business and giving companies a real alternative to U.S. providers. Even bright spots of startups are sporadic seen on the horizon. What is missing are inter alia real and good infrastructure-as-a-service (IaaS) offerings of young companies who do not only have infrastructure resources in their portfolio, but rely on services similar to Amazon. The problem with IaaS are the high capital requirements that are necessary for it to ensure massive scalability and more.

Other startups who are offering for example platform-as-a-service (PaaS), in many cases, set in the background on the infrastructure of Amazon – U.S. provider. But here have providers such as T-Systems the duty not to focus exclusively on enterprises and also allow developers to build their ideas and solutions on a cloud infrastructure in Germany and Europe through the „Amazon Way“. There is still a lack of a real(!) German-European alternatives to Amazon Web Services, Google, Microsoft and Salesforce!

How should companies behave now?

Among all these aspects one have to advise companies, to look for a provider that is located in a country that guarantees the required legal conditions for the company itself regarding data protection and information security. And that can currently only be a provider from Europe or Germany. Incidentally, that was even before PRISM. Furthermore, companies themselves have the duty to classify their data and to evaluate mission-critical information at a much higher level of protection than less important and publicly available information.

How it actually looks at U.S. companies is hard to say. After all, 56 percent of the U.S. population find the eavesdropping of telephone calls as acceptable. Europeans, and especially the Germans, will see that from a different angle. In particular, we Germans will not accept a Stasi 2.0, which instead of rely on the spies from the ranks (neighbors, friends, parents, children, etc.), on machines and services.

Schlagwörter Cloud, Cloud Computing, europe, Germany, PRISM

Kommentar

PRISM spielt deutschen und europäischen Cloud Computing Anbietern in die Karten

Beitragsautor Von Rene Buest
Beitragsdatum Juni 12, 2013
2 Kommentare zu PRISM spielt deutschen und europäischen Cloud Computing Anbietern in die Karten

Die US-Regierung und allen voran PRISM hat den US-amerikanischen Cloud Computing Anbietern einen Bärendienst erwiesen. Erste Diskussionen entfachen nun, ob damit der Public Cloud Markt dem Tode geweiht sei. Bei weitem nicht. Im Gegenteil, europäischen und deutschen Cloud Computing Anbietern spielt dieser Skandal in die Karten und wird dafür sorgen, dass der europäische Cloud Computing Markt in Zukunft stärker wachsen wird als vorhergesagt. Denn das Vertrauen in die USA und seine Anbieter hat die US-Regierung selbst massiv zerstört und damit auf dem Gewissen, wodurch sich Unternehmen, stand Heute, nach Alternativen umschauen müssen.

Wir haben es doch alle gewusst

Es gab immer Vermutungen und Bedenken von Unternehmen, ihre Daten in eine Public Cloud eines US-amerikanischen Anbieters zu speichern. Dabei stand der der Patriot Act im Mittelpunkt der Diskussionen in Q&A-Sessions oder Panels nach Vorträgen oder Moderationen die ich gehalten habe. Mit PRISM erreichen die Diskussion nun ihren Höhepunkt und bestätigen, leider, diejenigen die schon immer Abhöraktionen durch die USA und anderer Länder als Argument geliefert haben.

David Lithicum hat sich bereits bei der NSA für den Mord an der Cloud bedankt. Ich argumentiere mit einem Schritt zurück und sage, dass die NSA für den Tod der US-amerikanischen Cloud-Anbieter verantwortlich „wäre“, ob es soweit kommt, bleibt noch abzuwarten. Menschliche Entscheidungen sind nicht immer rationaler Natur.

Unabhängig davon ist die Public Cloud nicht vollständig Tod. Unternehmen hatten schon vor dem Bekanntwerden des PRISM-Skandals die Aufgabe, ihre Daten nach unternehmenskritischen und öffentlichen zu klassifizieren. Dieses muss sich nun noch weiter verstärken, denn die Public Cloud vollständig aufzugeben wäre falsch.

Bye Bye USA! Welcome Europa und Deutschland

Wie ich bereits oben geschrieben habe, sehe ich weniger den Tod der Cloud selbst, sondern viel mehr den Tod der US-Anbieter kommen. Damit schließe ich auch diejenigen ein, die hier in Europa oder Deutschland ihre Standorte und Rechenzentren haben. Denn das Vertrauen ist dermaßen zerstört, dass sämtliche Erklärungs- und Beschwichtigungsversuche sich in Nullkomma nix in Luft auflösen.

Fakt ist, dass US-Anbieter und deren Töchterfirmen dem Patriot Act und demnach auch dem „Foreign Intelligence Surveillance Act (FISA)“ unterstellt sind, was sie dazu verpflichtet Auskünfte über angefragte Informationen zu erteilen. Die Anbieter versuchen sich hier derzeit aktiv zu stärken, indem mehr Verantwortung von der US-Regierung gefordert wird, um das restliche Vertrauen was noch vorhanden ist, zumindest zu behalten. Das ist lobenswert aber ebenso notwendig. Dennoch haben die Diskussionen um vermeintliche Schnittstellen, „Kopier-Räume“ oder Backdoors bei den Anbietern, mit denen Dritte ungehindert die Daten abgreifen können, einen äußerst faden Beigeschmack hinterlassen.

Das sollte nun verstärkt europäische und deutsche Cloud-Anbieter ermutigen. Denn nicht dem US-amerikanischen Einfluss zu unterliegen sollte als ein noch größerer Wettbewerbsvorteil denn je ausgespielt werden. Dazu gehören u.a. der Standort des Rechenzentrums, der Rechtsrahmen, der Vertrag, aber auch die technische Sicherheit (z.B. End-to-End Verschlüsselung).

Je nachdem wie die US-Regierung in der nächsten Zeit reagieren wird, bleibt es spannend zu sehen, wie sich US-amerikanische Anbieter auf dem europäischen Markt verhalten. Bisher handelt es sich immer um 100% Tochterunternehmen der großen US-Konzerne, die hier vor Ort nur als Ableger gelten und der Mutter in den USA vollständig unterstellt sind.

Auch wenn ich kein Befürworter weder einer reinen „Euro-Cloud“ noch einer „Deutschen Cloud“ bin. Es kann unter diesen aktuellen Umständen nur eine europäische Lösung geben. Viviane Reding, EU-Kommissarin für Justiz, ist jetzt gefragt, um eine bedingungslose Datenschutzverordnung für Europa durchzusetzen, welche die europäischen Unternehmen gegenüber den US-Unternehmen unter diesen Gesichtspunkten im Wettbewerb stärkt.

Der Mut der Anbieter ist gefragt

Allen Anschein nach wird es kein zweites Amazon, Google, Microsoft oder Salesforce aus Europa oder gar Deutschland geben. Die großen, allen voran T-Systems und SAP stärken aktuell ihr Cloud-Geschäft und bieten Unternehmen damit eine echte Alternative zu US-Anbietern. Auch sind vereinzelnd Lichtblicke von Startups am Horizont zu erkennen. Was jedoch fehlt sind u.a. echte und gute Infrastructure-as-a-Service (IaaS) Angebote von jungen Unternehmen die nicht nur Infrastruktur-Ressourcen im Portfolio haben, sondern ähnlich wie Amazon auf Services setzen. Die Problematik beim IaaS besteht in den hohen Kapitalanforderungen, die dafür notwendig sind, um auch u.a. eine massive Skalierbarkeit zu gewährleisten.

Andere Startups die z.B. Platform-as-a-Service (PaaS) anbieten, setzen in vielen Fällen im Hintergrund wieder auf die Infrastruktur von Amazon – US-Anbieter. Hier sind dann allerdings Anbieter wie T-Systems in der Pflicht, sich nicht ausschließlich auf Unternehmen zu konzentrieren, sondern ebenfalls über den „Amazon-Weg“ es Entwicklern ermöglichen, ihre Ideen und Lösungen auf einer Cloud-Infrastruktur in Deutschland und Europa zu entfalten. Es fehlt einfach eine echte(!) deutsch-europäische Alternative zu den Amazon Web Services, Google, Microsoft oder Salesforce!

Wie sollten sich Unternehmen jetzt verhalten?

Unter all diesen Gesichtspunkten muss man Unternehmen raten, sich nach einem Anbieter umzuschauen, der sich in einem Land befindet, das die für das Unternehmen selbst geforderten rechtlichen Bedingungen hinsichtlich Datenschutz und Informationssicherheit gewährleistet. Und das kann derzeit nur ein Anbieter aus Europa bzw. Deutschland sein. Nebenbei bemerkt war das auch schon vor PRISM so. Weiterhin stehen Unternehmen selbst in der Pflicht, ihre Daten zu klassifizieren und unternehmenskritische Informationen mit einem deutlich höheren Schutzniveau zu bewerten als weniger wichtige und öffentlich zugängliche Informationen.

Wie es bei US-amerikanischen Unternehmen konkret ausschaut ist schwer zu sagen. Immerhin halten 56 Prozent der US-Bürger das Überwachen von Telefonaten für akzeptabel. Europäer, aber vor allem die Deutschen werden das allerdings anders sehen. Insbesondere wir Deutschen werden keine Stasi 2.0, die anstatt auf Spione aus den eigenen Reihen (Nachbarn, Freunde, Eltern, Kinder usw.), auf Maschinen und Services setzt, akzeptieren!

Schlagwörter Cloud, Cloud Computing, Deutschland, Europa, PRISM