Kategorien
Management

T-Systems setzt ein Zeichen und schickt Anwälte und Notare in die Cloud [Update]

T-Systems bietet zusammen mit der Arbeitsgemeinschaft Informationstechnologie im Deutschen Anwaltverein (davit) allen Anwälten und Notaren in Deutschland ein sicheres Dokumentenmanagement aus der Cloud an. Der entsprechende Kooperationsvertrag wurde von der Telekom-Tochter und der davit auf dem 64. Deutschen Anwaltstag in Düsseldorf unterzeichnet. Mit der Cloud-Lösung lassen sich von den Juristen Dokumente elektronisch in der Cloud erstellen, bearbeiten und archivieren und beliebig viele digitale Akten anlegen. Die Lösung ist skalierbar wird nach einem verbrauchsabhängigen Mietpreis abgerechnet, wodurch keine Investitionskosten entstehen. Der Zugang kann über davit oder T-Systems bestellt werden.

Zugeschnitten auf die Bedürfnisse von Anwälten und Notaren

T-Systems hat die von ihr entwickelte revisionssichere Standardlösung zusätzlich auf die Bedürfnisse von Anwälten und Notaren sowohl fachlich als auch technisch zugeschnitten. Der Service ist mit dem § 203 StGB für Berufsgeheimnisträger konform und erfüllt zudem sämtliche Anforderungen an den Beschlagnahmeschutz vertraulicher Informationen zwischen Anwälten und Mandanten. Für den Zugriff auf das System ist ein acht bis 50 Stellen langer, digitaler Schlüssel notwendig, den nur der Anwender kennt. Nach Angaben von T-Systems kann kein Mitarbeiter zu keinem Zeitpunkt auf die Daten in der Cloud-Lösung zugreifen und sie auslesen. Ebenfalls nicht bei Wartungsarbeiten. Aus Datenschutzgründen befinden sich die Dokumente in jedem Fall auf Servern innerhalb Deutschlands in einem nach international anerkannten Sicherheitsstandards zertifizierten, deutschen Rechenzentrum.

Im Hintergrund arbeitet die Lösung doculife des Schweizer Partners Document Future AG. Diese ist nahtlos in Microsoft Office und Outlook integrierbar. Hat der Anwender einen De-Mail-Account, kann er diesen über ein Plug-in nutzen und Nachrichten an Klienten oder an Gerichte verschlüsselt versenden. Nachricht und Anhang erreichen den oder die Empfänger somit sicher und beweiskräftig. Umgekehrt können die Anwälte und Notare auch De-Mail-Nachrichten empfangen. Aber auch konventionelle E-Mails erhält der Nutzer nur von Absendern, die er hierzu freigeschaltet hat.

Anwälte und Notare werden mobil

Über ein mobiles Endgerät mit dem Apple-Betriebssystem iOS lassen sich alle Dokumente ebenfalls aus der Cloud von überall aus sicher abrufen. Nutzer von Windows 8 und Android müssen sich noch etwas gedulden. Hier laufen allerdings bereits die Pilotprojekte. Die Akten lassen sich zudem auf Wiedervorlage einstellen. Die Cloud-Anwendung erinnert die Anwender dann an die anstehenden Aufgaben.

Update: Weitere Informationen zum Angebot

Ich hatte heute noch ein Briefing mit T-Systems zu diesem Service. Hier die weiteren wichtigen Fakten.

Grundsätzlich bietet T-Systems für alle seine Kunden, das gilt nicht nur für diese Anwalts- und Notar-Lösung, eine Private Cloud an. Das bedeutet, dass Unternehmen über eine dedizierte Netzwerkleitung mit einem T-Systems Rechenzentrum verbunden werden und dort auf die Hosted Private Cloud bzw. Virtual Private Cloud zugreifen. Hierzu werden die unterschiedlichen Lösungen in Blöcken voneinander physikalisch isoliert, um die Sicherheit zu gewährleisten.

Der Service für die Anwälte und Notare wird ebenfalls getrennt auf einer dedizierten Plattform in einem separaten physikalischen Block innerhalb eines T-Systems Rechenzentrum in Deutschland betrieben. Der Anwender muss nicht zwingend über eine dedizierte MPLS-Verbindung auf das Rechenzentrum zugreifen und kann dazu ebenfalls eine Standard Internetverbindung nutzen.

Die Sicherheit für den Zugriff auf das System wird, wie bereits oben beschrieben über einen bis zu 50 Stellen langen, digitalen Schlüssel sichergestellt. Dieser ist ausschließlich im Besitz des Anwenders und wird nur auf dessen lokalen System gespeichert. Das bedeutet zudem, dass dieser Schlüssel niemals verloren gehen darf. Ansonsten sind die Daten verloren, da T-Systems keine Möglichkeit besitzt, den Schlüssel wiederherzustellen oder ohne diesen Schlüssel auf die Daten zuzugreifen.

Der Zugriff auf die Daten in der Private Cloud erfolgt über eine klassische lokale Software-Installation von doculife, die einen vollen Funktionsumfang besitzt, über den Webrowser mit eingeschränkten Funktionen oder über mobile Apps für Smartphones und Tablets. Die Funktionsbeschränkung im Browser ist z.B. die nicht vorhandene E-Mail Integration. Die mobilen Apps sind derzeit noch im reinen Read-Only Modus.

Die Sicherheit bei der Übertragung der Daten vom Anwender in die Cloud wird unter Verwendung des Browsers via HTTPS (SSL) sichergestellt. Kommt die lokale doculife Software inkl. Outlook Integration zum Einsatz, wird eine End-to-End Verschlüsselung aufgebaut. Wird aus doculife heraus eine E-Mail inkl. Anhang über den De-Mail Dienst verschickt, ist laut T-Systems die End-to-End Verschlüsselung soweit sichergestellt, dass nur die De-Mail kurzzeitig auf den Servern geöffnet wird, der doculife Anhang aber weiterhin verschlüsselt bleibt.

Die Lösung kann in sechs verschiedenen Ausbaustufen, inkl. drei unterschiedlichen Beratungspaketen genutzt werden, dessen Preise in dieser Liste zu finden sind.

Kommentar: Ein Zeichen für alle Unternehmen

Technologisch betrachtet ist die Cloud in Deutschland angekommen. Viele Unternehmen haben bereits erkannt, wie sie damit ihre Produktivität erhöhen können und mehr Kapital, Zeit und Raum für Innovationen schaffen. Dennoch bestehen weiterhin rechtliche- und datenschutztechnische Bedenken sowie Probleme damit, das notwendige Vertrauen in die Anbieter aufzubauen. Die erste Person zu der in solchen Fällen in der Regel Kontakt aufgenommen wird ist der Rechtsanwalt. Dieser besänftigt dann mit Stichworten wie Auftragsdatenverarbeitung, Safe-Harbor, EU-Standardvertragsklauseln oder persönliche SLA-Verträge. Denn die rechtlichen Rahmenbedingungen sind soweit geschaffen. An Vertrauen fehlt es jedoch weiterhin. Das ist etwas sehr Subjektives, was auch kein Rechtsanwalt oder Datenschutzbeauftragter direkt vermitteln kann.

Das Vertrauen in die Cloud kann daher nur gestärkt werden, indem ebenfalls Nutzer mit höchst sensibel zu bewerteten Daten auf Cloud-Lösungen zurückgreifen. Diesen Schritt sind T-Systems und der davit nun gegangen und setzen damit ein deutliches Zeichen für alle Unternehmen, die noch Bedenken äußern u.a. personenbezogene Daten auf einem Cloud-Service zu speichern. Eines darf hier nicht übersehen werden. Anwälte und Notare arbeiten neben personenbezogene Daten ebenfalls mit weiteren äußerst sensiblen Daten, die meist noch kritischer zu betrachten sind. Darüber hinaus unterliegen sie noch strengeren Gesetzen als ein durchschnittliches Unternehmen. Genannt sei nur der § 203 StGB „Verletzung von Privatgeheimnissen“, in dem geregelt ist, wie mit Verletzungen „… von namentlich ein zum persönlichen Lebensbereich gehörendes Geheimnis oder ein Betriebs- oder Geschäftsgeheimnis…“ umgegangen wird. Oder die Anforderungen an den Beschlagnahmeschutz vertraulicher Informationen zwischen Anwälten und Mandanten. Anwälte und Notare gehören damit rechtlich als auch sicherheitstechnisch mit zu den gefährdetsten Gruppen in der Cloud, wofür die T-Systems und der davit nun eine Lösung geschaffen haben.

Ich war vor kurzem in einem Think Tank, wo es darum ging, wie man Cloud-Services für Anwälte und Steuerberater rechtskonform aber ebenfalls technisch und organisatorisch aufbauen sollte. Dabei waren auch einige Rechtsanwälte anwesend, die aus der Praxis berichteten und lieber heute als morgen auf Cloud-Lösungen zurückgreifen würden, um vor allem ortsunabhängig und zu jeder Zeit auf ihre Daten zugreifen zu können.

Auch andere Cloud-Anbieter sollten diesem Vorbild folgen und ein Maximum an rechtlicher Sicherheit bieten, wie zum Beispiel dem revisionssicheren Speichern und Archivieren von Daten. Ein weiterer Pluspunkt, den deutsche Anbieter ganz klar als Vorteil gegenüber internationalen Cloud-Anbietern ausspielen müssen, ist das anbieten echter(!) Cloud-Services aus einem deutschen Rechenzentrum, welches nach international anerkannten Sicherheitsstandards zertifiziert ist.

Kategorien
Comment

If you sell your ASP as SaaS you do something basically wrong!

Despite the continuing spread of the cloud and the software-as-a-service (SaaS) model, you always meet again and again people, who are anchored in the firm belief to offer cloud computing since 20 years. Because ASP (Application Service Providing) was finally nothing else. The situation is similar with traditional outsourcers, whose pre-sales team will gladly agreed for an appointment after a call to model the customers ‚tailored‘ cloud computing server infrastructure locally, which may be paid by the customer in advance. In this post it’s only about why ASP has nothing to do with SaaS and cloud.

ASP: 50 customers and 50 applications

Let’s be honest. A company that wants to distribute an application will come sooner or later to the idea that it somehow wants to maximize its profits. In this context, economies of scale have an important role to place an efficient solution on the market that is designed that it remains profitable in spite of its own growth. Unfortunately, an ASP model can not prove exactly that. Because ASP has one problem. It does not scale dynamically. But is only as fast as the administrator must ensure that another server is purchased, installed in the server room, equipped with the operating system and other basic software plus the actual client software.

Furthermore, in the typical ASP model, for each customer an instance of the respective software is needed. In the worst case (depending on performance) at least even a separate (physical) server for each customer is required. This means in numbers, that for 50 customers who want to use exactly the same application but separated from each other, 50 installations of the application and 50 servers are required. Topics such as databases should not be forgotten, where in many cases, up to three times as many databases must be used as applications are provided to customers.

Just consider yourself the effort (cost) that an ASP provider operates to integrate and manage the hosted systems, to service new customers and beyond that to provide them with patches and upgrades. This is unprofitable!

SaaS: 50 customers and 1 application

Compared to ASP SaaS sets on a much more efficient and more profitable model. Instead of running one application for each customer, only one instance of an application for all customers is used. This means that for 50 customers only one instance of the application is required, that all together are using but isolated from each other. Thus, the expenses for the operation and management of the application is reduced in particular. Where an administrator at the ASP model had to update each of the 50 software installation, it is sufficient for SaaS, if a single instance is updated. If new customers want to take advantage to access the application, it is automatically set up, without an administrator needs to install a new server and set up the application for them. This saves both time and capital. This means that the application grows profitable with the requirements of new customers.

Multi-tenancy is the key to success

The concept behind SaaS, which accounts for a significant difference between ASP and SaaS, is called multi-tenancy. Here are several mandates, ie customers, hosted on the same server or software system, without beeing able to look in the data, settings, etc. of each other. This means that only a customer can see and edit its data. A single mandate within the system forms a related to the data and organizationally closed unity.

As noted above, the benefits of a multitenancy system is to centrally install the application, to maintain and optimize memory requirements for data storage. This is due to the fact that data and objects are held across clients and just need to be stored for an installed system and not per mandate. In this context, it must be stressed again that a software system is not multitenant by giving each client its own instance of software. Within the multi-tenancy method all clients using one instance of an application that is centrally managed.

If you still have the question why not to sell ASP as SaaS, read „Software-as-a-Service: Why your application belongs to the cloud as well„.

Kategorien
Comment

PRISM: Even the University of Furtwangen is planning interfaces for cloud monitoring in Germany

PRISM is the latest buzzword. That similar should happen in Germany too, causes to worry. Despite that this interview was published in the German Manager Magazin, it seems to be a little lost in the rest of the German media landscape, unfortunately. Because in Germany we are also on the way to integrate interfaces for monitoring cloud solutions. Developed and promoted by the University of Furtwangen!

Third-party organizations should be able to check data streams

In an interview with the Manager Magazin under the apparently innocuous title „SAFETY IN CLOUD COMPUTING – „The customer come off second best“ says Professor Christoph Reich of the computer science department at the University of Furtwangen and director of its cloud research center: „We want to define interfaces that third party organizations get the opportunity to review the data streams.

This statement was in response to the question of how it can be technically realized that some kind of accountability chain to be set up that works across vendors. This has the background, that the property can be transferred, so that personal data are particularly well protected. For this reason, these accountability chain must not break if another provider comes into play.

So far so good. However, it will be exciting. In the subsequent question by the Manager Magazin:

Would also the federal government be a potential customer? German law enforcement agencies even ask for a single interface to monitor cloud communications data in real time.

Professor Reich answers:

In principle this is going in this direction. But a judicially actionable verifiability looks very different. If you want to record evidential data, you need special memory for that, these are very expensive. We want to give customers the opportunity to get visualized where their data are.

Regardless that the University of Furtwangen do not have this „special memory“, but certainly a government organization. And as long as the interfaces are available, the data can be captured and stored at a third location.

Cloud computing lives from the trust

I already wrote about it three years ago „Cloud computing is a question of trust, availability and security„. The University of Furtwangen would also like to create more trust in the cloud with their „surveillance project“.

I just wonder how to continue building confidence, if you want to integrate interfaces for the potential (government) monitoring of data streams in cloud solutions?

Kategorien
Kommentar

PRISM: Auch die Hochschule Furtwangen plant Schnittstellen zur Cloud-Überwachung in Deutschland

PRISM ist derzeit in aller Munde. Das sich Ähnliches aber auch bald in Deutschland abspielen soll, dürfte uns sorgen bereiten. Trotz dass dieses Interview im Manager Magazin erschienen ist, scheint es in der restlichen deutschen Medienlandschaft ein wenig untergegangen zu sein, leider. Denn in Deutschland sind wir ebenfalls auf dem Weg Schnittstellen zur Überwachung in Cloud-Lösung zu integrieren. Und das Entwickelt und gefördert von der Hochschule Furtwangen!

Drittorganisationen sollen Datenströme überprüfen können

In einem Interview mit dem Manager Magazin unter dem anscheinend harmlosen Titel „SICHERHEIT BEIM CLOUD COMPUTING – „Der Kunde sitzt am kürzeren Hebel“ sagt Professor Christoph Reich von der Fakultät Informatik an der Hochschule Furtwangen und Leiter des dortigen Cloud Research Center: „Wir wollen Schnittstellen definieren, die Drittorganisationen die Möglichkeit geben, die Datenströme zu überprüfen.„.

Diese Aussage war die Antwort auf die Frage, wie es technisch realisiert werden kann, dass eine Art Rechenschaftskette aufgebaut werden soll, die über Anbietergrenzen funktioniert. Das hat den Hintergrund, dass somit die Eigenschaft weitergegeben werden soll, „… dass personenbezogene Daten besonders gut geschützt werden…“. Aus diesem Grund darf diese Rechenschaftskette nicht abreißen, wenn ein weiterer Anbieter mit ins Spiel kommt.

Soweit so gut. Allerdings wird es dann spannend. Auf die anschließende Frage vom Manager Magazin:

Wäre damit auch der Bund ein potentieller Kunde? Deutsche Strafverfolgungsbehörden verlangen ja nach einer einheitlichen Schnittstelle, um Cloud-Kommunikationsdaten in Echtzeit überwachen zu können.

antwortet Professor Reich:

Im Prinzip geht das schon in diese Richtung. Aber eine gerichtlich verwertbare Nachprüfbarkeit sieht noch mal ganz anders aus. Wenn man beweissichere Daten aufnehmen will, braucht man spezielle Speicher dafür, die sehr teuer sind. Wir wollen nur dem Kunden die Möglichkeit geben, visualisiert zu bekommen, wo seine Daten liegen.

Mal unabhängig davon, dass die Hochschule Furtwangen nicht über diese „speziellen Speicher“ verfügt, aber eine staatliche Organisation bestimmt. Und solange die Schnittstellen dafür zur Verfügung stehen, können die Daten auch abgefangen und an einem dritten Ort gespeichert werden.

Cloud Computing lebt vom Vertrauen

Ich habe es schon vor drei Jahren geschrieben „Cloud Computing ist eine Frage des Vertrauens, der Verfügbarkeit und Sicherheit!„. Die Hochschule Furtwangen möchte mit ihrem „Überwachungsprojekt“ ebenfalls Vertrauen in der Cloud schaffen.

Ich frage mich nur, wie man weiter Vertrauen aufbaut, wenn man Schnittstellen für die potentielle (staatliche) Überwachung von Datenströmen in Cloud-Lösungen integrieren möchte?!

Kategorien
Kommentar

Wer sein ASP als SaaS verkauft macht etwas grundlegend falsch!

Trotz der anhaltenden Verbreitung der Cloud und des Software-as-a-Service (SaaS) Modells trifft man immer wieder auf den einen oder anderen, der im festen Glauben verankert ist, Cloud Computing schon seit gefühlten 20 Jahren anzubieten. Denn ASP (Application Service Providing) sei schließlich nichts anderes. Ähnlich verhält es sich mit klassischen Outsourcern, deren Pre-Sales Team nach einem Anruf gerne einen Termin vereinbart, um mit dem Kunden vor Ort eine „maßgeschneiderte“ Cloud Computing Serverinfrastruktur zu modellieren, die von dem Kunden vorab bezahlt werden darf. Hier soll es aber darum gehen, warum ASP mit SaaS und der Cloud nicht den Hauch einer Spur zu tun hat.

ASP: 50 Kunden und 50 Applikationen

Sind wir ehrlich. Ein Unternehmen, das eine Anwendung vertreiben möchte wird früher oder später auf den Gedanken kommen, dass es seine Gewinne doch irgendwie maximieren möchte. In diesem Zusammenhang haben die Economies of scale eine wichtige Bedeutung, um eine effiziente Lösung am Markt zu platzieren, die so konstruiert ist, dass diese trotz des eigenen Wachstums weiterhin profitabel bleibt. Leider kann ein ASP Modell genau das nicht nachweisen. Denn ASP hat ein Problem, es skaliert nicht dynamisch, sondern ist nur so schnell, wie der Administrator der dafür sorgen muss, dass ein weiterer Server eingekauft, im Serverraum installiert, mit dem Betriebssystem und weiterer Basissoftware und der eigentlichen Kundensoftware ausgestattet ist.

Weiterhin wird bei dem typischen ASP-Modell für jeden Kunden eine Instanz der jeweiligen Software benötigt. Im schlimmsten Fall (je nach Performance) wird sogar für jeden Kunden mindestens ein eigener (physikalischer) Server benötigt. Das bedeutet in Zahlen, dass für 50 Kunden, welche exakt dieselbe Anwendung aber getrennt voneinander nutzen möchten, 50 Installationen der Applikation und 50 Server benötigt werden. Vergessen sollten man dabei nicht Themen wie Datenbanken, in denen in vielen Fällen bis zu drei Mal so viele Datenbanken eingesetzt werden müssen wie Applikationen für die Kunden bereitgestellt sind.

Man überlege sich darüber hinaus den Aufwand (die Kosten), den ein ASP-Anbieter betreibt, um neue Kunden zu integrieren und die gehosteten Systeme zu verwalten, zu warten sowie mit Patches und Upgrades zu versorgen. Das ist unprofitabel!

SaaS: 50 Kunden und 1 Applikation

SaaS setzt im Vergleich zu ASP auf ein viel effizienteres und profitableres Modell. Anstatt für jeden Kunden jeweils eine Applikation zu betreiben, kommt nur eine einzige Instanz einer Applikation für alle Kunden zum Einsatz. Das bedeutet, dass für 50 Kunden nur 1 Instanz der Applikation benötigt wird, die alle gemeinsam aber isoliert voneinander nutzen. Damit wird insbesondere der Aufwand für den Betrieb und das Management der Applikation reduziert. Wo ein Administrator beim ASP-Modell jede Software der 50 Installation updaten musste, reicht es beim SaaS, wenn eine einzige Instanz aktualisiert wird. Wollen neue Kunden die Applikation nutzen wird ihnen der Zugang zu der Anwendung automatisch eingerichtet, ohne dass ein Administrator erst einen neuen Server installieren und die Applikation einrichten muss. Das spart sowohl Zeit als auch Kapital. Das bedeutet, dass die Anwendung mit den Anforderungen durch neue Kunden profitabel mitwächst.

Multitenancy ist der Schlüssel zum Erfolg

Das Konzept hinter SaaS, das einen entscheidenden Unterschied zwischen ASP und SaaS ausmacht, nennt sich Multitenancy (Mandantenfähigkeit). Hier werden auf ein und demselben Server bzw. Softwaresystem mehrere Mandaten, also Kunden gehostet, ohne das sich diese gegenseitig in die Daten, Einstellungen usw. schauen können. Das bedeutet, dass auch nur jeder Kunde seine Daten sehen und bearbeiten kann. Ein einziger Mandat innerhalb des Systems bildet dabei eine auf die Daten bezogene und organisatorisch geschlossene Einheit.

Wie bereits oben angemerkt, sind die Vorteile eines Multitenancy Systems, die Applikation zentral zu installieren und zu warten sowie der optimierte Speicherbedarf für die Datenhaltung. Das hängt damit zusammen, dass Daten und Objekte die mandantenübergreifend gehalten werden, nur für ein installiertes System gespeichert werden müssen und nicht pro Mandat. In diesem Zusammenhang muss noch einmal betont werden, dass ein Softwaresystem nicht mandantenfähig wird, indem jeder Mandanten eine eigene Instanz einer Software erhält. Alle Mandaten nutzen im Multitenancy-Verfahren eine Instanz einer Applikation die zentral verwaltet wird.

Wer sich weiterhin die Frage stellt, warum man ASP nicht als SaaS verkaufen darf, der sollte „Software-as-a-Service: Warum auch Ihre Anwendung in die Cloud gehört“ lesen!

Kategorien
Comment

SAP Cloud: Lars Dalgaard will leave a huge hole

Now he is gone, Lars Dalgaard. He was my personal hope for SAP and in my opinion the driving force behind the cloud strategy of the company from Walldorf, which has received more and more momentum in the last month. But not only for the Cloud Dalgaard has revamped SAP, even cultural it would have been good for the company to have him longer in their own ranks. Or was it maybe exactly this problem why he had to go after such a short time.

Credible positive energy

The cloud thoughts SAP has incorporated externally by the akquisiton of SuccessFactors and with its founder and CEO Lars Dalgaard. After taking over the Dane was the person in authority for the SAP Cloud area and the driving force behind the SAP cloud services. And he has done this job very well. In his keynote, during the Sapphire Now 2012, in which he introduced the new SAP cloud strategy, Dalgaard presented himself as explosive entrepreneur who did not discarded his startups genes by far. On the contrary, with his motivation, he brought a fresh breeze in the established group based in Walldorf, Germany.

On my retrospective on the Sapphire Now, 2012 i had written (only in German): „It is to be hoped for Dalgaard and especially for SAP, that he can realize his cloud vision and that he may hope for open doors with his startup character. Because SAP is far away from what can be logically described as a startup.

Different corporate cultures

Has precisely this circumstance for Dalgaard or better SAP become the fate? Lars Dalgaard resigned from his executive position on the first of June 2013, has left SAP and entered as a general partner at Andreessen Horowitz. He will continue to be available for SAPs cloud business as an advisor for the cloud governance board .

I only can speculate at this point. Although I do not personally know Dalgaard. But his positive energy that he exudes during his lectures, evidence of someone who knows what he wants and have a clear focus. Admittedly, I’m not a SAP expert with regard to the corporate culture. However, many good people already questionably broken at SAP. Just take Shai Agassi as one example.

Quo vadis, SAP?

To moor an entire company on a single and also purchased externally person is exaggerated. However, I take the view that the loss of Lars Dalgaard could have a significant impact on the cloud business of SAP. One remember the very rocky start of SAP in the cloud area with its product line „SAP Business By Design“, which had not deserves the term cloud solution in its first version and which was a real letdown. With Business By Design 4.0 SAP has – under the direction of Lars Dalgaard – once again started from scratch and the train began to move.

It is desirable for SAP that they do not lose this „Dalgaard mentality“ in order to remain competitive in the cloud market. Because one should not forget that a cloud business must be conducted differently as a traditional software company. Just compare Amazon and Google. The same also Microsoft needed to understand and learned to reinvent themselves. SAP was – with Lars Dalgaard – at least on the right track, so far.

Kategorien
Kommentar

SAP Cloud: Lars Dalgaard wird ein riesiges Loch hinterlassen

Nun ist er wieder weg, Lars Dalgaard. Er war mein persönlicher Hoffnungsträger für SAP und meiner Einschätzung nach die treibende Kraft hinter der Cloud-Strategie der Walldorfer, welche in den letzten Monat immer mehr an Fahrt aufgenommen hat. Aber nicht nur für die Cloud hat Dalgaard bei SAP einiges umgekrempelt, auch kulturell hätte es dem Unternehmen gut getan, ihn länger in den eigenen Reihen zu haben. Oder war es vielleicht genau das Problem, warum er nach so kurzer Zeit wieder gehen musste.

Glaubwürdige positive Energie

Den Cloud Gedanken hat sich SAP extern durch die damalige Akquisiton von SuccessFactors mit dessen Gründer und CEO Lars Dalgaard einverleibt. Der Däne wurde nach der Übernahme als Verantwortlicher für den SAP Cloud Bereich zur treibenden Kraft hinter den SAP Cloud Services. Und diesen Job hat er gut gemacht. In seiner Key Note, während der Sapphire Now 2012, in welcher er die neue Cloud Strategie von SAP vorstellte, präsentierte Dalgaard sich als explosiver Unternehmer, der seine Startup Gene bei weitem nicht abgelegt hat. Im Gegenteil, mit seiner Motivation brachte er frischen Wind in den etablierten Konzern aus Walldorf.

Ich hatte schon während meines Rückblicks auf die Sapphire Now 2012 geschrieben: „Es bleibt für Dalgaard und vor allem für SAP zu hoffen, dass er seine Cloud Vision verwirklichen und das er mit seinem Startup Charakter auf offene Türen hoffen darf. Denn SAP ist weit weg von dem, was man logischerweise als ein Startup bezeichnen kann.

Unterschiedliche Unternehmenskulturen

Ist genau dieser Umstand Dalgaard oder besser gesagt SAP nun zum Verhängnis geworden? Lars Dalgaard ist zum 1. Juni 2013 von seinem Vorstandsposten zurückgetreten, hat SAP verlassen und ist als General Partner bei Andreessen Horowitz eingestiegen. Er wird SAP weiterhin für das Cloudgeschäft im Cloud Governance Board beratend zur Seite stehen.

Ich kann an dieser Stelle nur spekulieren. Zwar kenne ich Dalgaard nicht persönlich. Aber seine positive Energie, die er während seiner Vorträge ausstrahlt, zeugen von jemanden, der weiß was er will und eine klare Linie verfolgt. Zugegebenermaßen bin ich auch kein SAP-Experte hinsichtlich der Unternehmenskultur. Allerdings sind schon viele gute Leute fragwürdiger Weise an SAP zerbrochen. Als ein Beispiel sei nur Shai Agassi genannt.

Quo vadis, SAP?

Ein ganzes Unternehmen an einer einzigen und dann auch noch extern eingekauften Person festzumachen ist übertrieben. Dennoch vertrete ich den Standpunkt, dass der Verlust von Lars Dalgaard einen erheblichen Einfluss auf das Cloud-Geschäft von SAP haben könnte. Man erinnere sich an den sehr steinigen Beginn von SAP im Cloud-Bereich mit seiner Produktlinie „SAP Business By Design“, die in ihrer ersten Version den Begriff Cloud-Lösung nicht verdient hatte und ein echter Reinfall war. Mit Business By Design 4.0 hat SAP – unter der Leitung von Lars Dalgaard – noch einmal von Vorne begonnen und der Zug kam ins Rollen.

Es sei SAP zu wünschen, dass sie diese „Dalgaard-Mentalität“ nicht verlieren, um damit im Cloud-Markt weiterhin konkurrenzfähig zu bleiben. Denn eines sollte man nicht vergessen. Ein Cloud-Unternehmen muss anders geführt werden, als ein traditionelles Softwareunternehmen. Man vergleiche nur Amazon und Google. Das Gleiche musste auch Microsoft erst verstehen und lernen sich neu zu erfinden. SAP war – mit Lars Dalgaard – bisher zumindest auf dem richtigen Weg.

Kategorien
Comment

The cloud computing world is hybrid! Is Dell showing us the right direction?

With a clear cut, Dell said good bye to the public cloud and align its cloud computing strategy with own OpenStack-based private cloud solutions, including a cloud service broker for other public cloud providers. At first the move comes surprising, but makes sense when you take a closer look at Dell, whose recent past and especially the current market situation.

Dell’s new cloud strategy

Instead of having an own public cloud offering on the market, Dell will sell OpenStack-based private clouds on Dell hardware and software in the future. With the recent acquisition of cloud management technology Enstratius customers will also be able to deploy their resources to more than 20 public cloud provider.

With a new „partner ecosystem“, which currently consists of three providers and that is further expanded in the future, integration opportunities between the partner’s public clouds and private clouds of Dell customers will be offered. The current partner network includes Joyent, ZeroLag and ScaleMatrix. All three are rather small names in the infrastructure-as-a-service (IaaS) market.

Further, Dell also strengthens its consulting business to show customers which workloads and processes could flow into the public cloud.

Thanks Enstratius, Dell becomes a cloud broker

A view on the current public cloud IaaS market shows that Dell is right with its strategy change. All current IaaS providers of all sizes to chafe in the fight for market share against industry leader Amazon Web Services. Since their innovative strength is limited compared to Amazon and most of them to limit themselves, with the exception of Google and Microsoft, to the provision of pure infrastructure resources (computing power, storage, etc.), the chances of success are rather low. Moreover, into a price war with Amazon the fewest should get involved. That can quickly backfire.

Rather than dealing with Amazon and other public IaaS providers in the boxing ring, Dell positioned itself on the basis of Boomi, Enstratius and other previous acquisitions as a supportive force for cloud service providers and IT departments and provides them with hardware, software and more added values.

In particular, the purchase of Enstratius was a good move and let Dell become a cloud service broker. Enstratius is a toolset for managing cloud infrastructures, including the provisioning, management and automation of applications for – currently 23 – public and private cloud solutions. It should be mentioned that Enstratius in addition to managing a single cloud infrastructure also allows the operation of multi-cloud environments. For this purpose Enstratius can be used as a software-as-a-service and installed in on-premise environments in the own data center as a software.

The cloud computing world is hybrid

Does Dell rise in the range of cloud innovators with this change in strategy? Not by a long shot! Dell is anything but a leader in the cloud market. The trumps in their cloud portfolio are entirely due to acquisitions. But, at the end of the day, that does not matter. To be able to take part in the highly competitive public cloud market, massive investment should have been made ​​that would not have been necessarily promising. Dell has been able to focus on his tried and true strengths and these are primarily in the sale of hardware and software, keyword: „Converged Infrastructures“ and the consulting business. With the purchase of cloud integration service Boomi, the recent acquisition of Enstratius and the participation in the OpenStack community externally relevant knowledge was caught up to position itself in the global cloud market. In particular, the Enstratius technology will help Dell to diversify the market and take a leading role as a hybrid cloud broker.

The cloud world is not only public or only private. The truth lies somewhere in the middle and strongly depends on the particular use case of a company, which can be divided into public, private as well as hybrid cloud use cases. In the future, all three variants will be represented within a company. Thereby the private cloud does not necessarily have to be directly connected to a public cloud to span a hybrid cloud. IT departments will play a central role in this case, get back more strongly into focus and act as the company’s own IT service broker. In this role, they have the task of coordinating the use of internal and external cloud services for the respective departments to have an overall view of all cloud services for the whole enterprise. For this purpose, cloud broker services such as Dell’s will support.

Kategorien
Kommentar

Die Cloud Computing Welt ist hybrid! Zeigt uns Dell wo es lang geht?

Dell hat sich mit einem klaren Schnitt aus der Public Cloud verabschiedet und richtet seine Cloud Computing Strategie nun mit eigenen auf OpenStack-basierten Private Cloud Lösungen, inkl. einem Cloud-Broker-Service für Public Clouds anderer Anbieter, aus. Dieser Schritt kommt im ersten Moment überraschend, macht aber Sinn, wenn man Dell, dessen jüngste Vergangenheit, aber vor allem den Markt genauer betrachtet.

Dells neue Cloud Strategie

Anstatt ein eigenes Public Cloud Angebot am Markt zu platzieren, wird Dell in Zukunft OpenStack-basierte Private Clouds auf Dell Hardware und Software verkaufen. Mit der erst kürzlich akquirierten Cloud-Management Technologie von Enstratius sollen Kunden darüber hinaus in der Lage sein, ihre Ressourcen zu mehr als 20 Public Cloud Anbieter zu verteilen.

Mit einem neuen „Partner Ecosystem“, das derzeit aus drei Anbietern besteht, in Zukunft aber weiter ausgebaut wird, sollen Integrationsmöglichkeiten zwischen den Public Clouds dieser Partner und den Private Clouds der Dell Kunden angeboten werden. Zu dem aktuellen Partnernetzwerk gehören Joyent, ZeroLag und ScaleMatrix. Alle drei sind eher kleine Namen im Infrastructure-as-a-Service (IaaS) Markt.

Dell stärkt damit ebenfalls weiter sein Beratungsgeschäft, indem Kunden aufgezeigt werden soll, welche Workloads und Prozesse in die Public Cloud fließen können.

Enstratius macht Dell zum Cloud-Broker

Ein Blick auf den aktuellen IaaS Public Cloud Markt zeigt, dass Dell mit seiner Strategieänderung richtig liegt. Alle aktuellen IaaS Anbieter jeder Größe reiben sich im Kampf um Marktanteile gegen den Branchenprimus Amazon Web Services auf. Da sich deren Innovationskraft im Vergleich zu Amazon jedoch auf ein Minimum beschränkt und sich die meisten, mit Ausnahme von Google und Microsoft, auf das Bereitstellen von reinen Infrastruktur-Ressourcen (Rechnerleistung, Speicherplatz, usw.) beschränken, sind die Erfolgsaussichten eher gering. Auf einen Preiskampf mit Amazon sollten sich zudem die wenigsten einlassen, das kann sehr schnell nach hinten losgehen.

Anstatt sich ebenfalls mit Amazon und den anderen Public IaaS Anbietern in den Ring zu stellen, positioniert sich Dell nun auf Basis von Boomi, Enstratius und weiteren früheren Akquisitionen als unterstützende Kraft für Cloud Service Anbieter und IT-Abteilungen und versorgt diese mit Hardware, Software und weiteren Mehrwerten.

Insbesondere der Kauf von Enstratius war ein guter Schachzug und macht Dell zum Cloud-Service-Broker. Bei Enstratius handelt es sich um ein Toolset zur Verwaltung von Cloud-Infrastrukturen, darunter die Bereitstellung, die Verwaltung und die Automatisierung von Applikation für – aktuell 23 – Public und Private Cloud Lösungen. Zu erwähnen ist, dass Enstratius neben dem Verwalten von einer Cloud-Infrastruktur ebenfalls den Betrieb von Multi-Cloud Umgebungen ermöglicht. Dazu kann Enstratius als Software-as-a-Service genutzt, als auch in on-Premise Umgebungen im eigenen Rechenzentrum als Software installiert werden.

Die Cloud Computing Welt ist Hybrid

Steigt Dell mit diesem Strategiewechsel nun in die Reihe der Cloud-Innovatoren auf? Bei Weitem nicht! Dell ist alles andere als ein führender Anbieter im Cloud Markt. Die Trümpfe im Cloud-Portfolio sind einzig und allein auf Akquisitionen zurückzuführen. Unterm Strich spielt das aber keine Rolle. Um im mittlerweile stark umkämpften Public Cloud Markt ein Wörtchen mitreden zu können, hätten massive Investitionen getätigt werden müssen, die nicht zwangsläufig erfolgsversprechend gewesen wären. Dell hat verstanden sich auf seine altbewährten Stärken zu konzentrieren und die liegen in erster Linie im Verkauf von Hardware und Software, Stichwort „Converged Infrastructures“ und dem Beratungsgeschäft. Mit dem Kauf des Cloud-Integrations-Service Boomi, der jüngsten Akquisition von Enstratius und der Beteiligung an der OpenStack Gemeinde wurde extern entsprechendes Wissen eingeholt, um sich im weltweiten Cloud Markt zu positionieren. Insbesondere die Enstratius Technologie wird Dell dabei helfen, sich im Markt zu diversifizieren und als Hybrid Cloud-Broker eine führende Rolle einzunehmen.

Die Cloud Welt ist nicht nur Public oder nur Private. Die Wahrheit liegt irgendwo mittendrin und hängt stark von dem jeweiligen Use Case eines Unternehmens ab, die sich in Public, Private aber auch Hybrid Cloud Use Cases unterteilen. In Zukunft werden innerhalb eines Unternehmens alle drei Varianten vertreten sein. Dabei muss die Private Cloud nicht zwangsläufig direkt mit einer Public Cloud verbunden sein, um eine Hybrid Cloud aufzuspannen. Die IT-Abteilungen werden in diesem Fall eine zentrale Rolle spielen, wieder stärker in den Fokus rücken und als unternehmenseigener IT-Service-Broker auftreten. In dieser Rolle haben sie die Aufgabe, die eingesetzten internen und externen Cloud-Services der jeweiligen Fachabteilungen zu koordinieren, um für das Unternehmen den Gesamtüberblick aller Cloud-Services zu haben. Hierbei werden sie Cloud-Broker Services wie der von Dell unterstützen.

Kategorien
Insights @en

Security Comparison: TeamDrive vs. ownCloud

Dropbox polarized within the IT departments. From the executive board up to the ordinary employees, people rely on the popular cloud storage service. This is mainly due to the ease of use that is not provided by internal IT departments today. In particular two in Germany developed solutions attack here, which allow companies to implement their own DropBox similar functions within a self-managed IT infrastructure, TeamDrive and ownCloud. TeamDrive represents a fully commercial and proprietary approach. ownCloud an open source approach, but also offers a commercial version. Both claim the title of „Dropbox for the Enterprise“. However, if we are moving exactly in this environment, the issue of security plays a very important role.

Background: TeamDrive and ownCloud

TeamDrive and ownCloud have two different business models. TeamDrive positioned itself as a fully commercial product for companies in the market. ownCloud uses the open source community in order to gain market share. With a commercial version, ownCloud also addresses the market for professional business solutions.

About TeamDrive

TeamDrive is a file sharing and synchronization solution for companies that do not want to store their sensitive data on external cloud services and would also enable their teams to synchronize data or documents. Therefore TeamDrive monitors any folder on a PC or laptop that can be used and edit together with invited users. With that data is available at any time, also offline. The automatic synchronization, backup and versioning of documents protect users from data loss. With the possibility of TeamDrive to operate the registration and hosting server in the own data center, TeamDrive can be integrated into existing IT infrastructures. For this TeamDrive provides all the necessary APIs.

About ownCloud

ownCloud is an open source file sync and sharing solution for companies and organizations that want to continue to retain control of their data and do not want to rely on external cloud storages. The core of the application consists of the ownCloud server on which the software seamlessly integrates with the ownCloud clients into the existing IT infrastructure and enables the continued use of existing IT management tools. ownCloud serves as a local directory and can be mounted with different local storages. Thus, files are available to all employees on all devices. In addition to a local storage directories can also be connected via NFS and CIFS.

TeamDrive and ownCloud: Security Architecture

In this comparison it is about the security architecture behind TeamDrive and ownCloud. The other functions of both solutions are not considered. So it is about the consideration of encryption techniques, data management, data processing and the user authorization, if information is available. It is assumed that basic knowledge on security exists.

TeamDrive: End-to-End Encryption

Despite its commercial approach TeamDrive is quite informative and provides some security information publicly available. Including on the topic of encryption. They also advertise with the data protection seal of the „Independent Centre for Privacy Protection Schleswig-Holstein“. After a request extensive information has been readily made available, whereby some underlie a NDA (Non-Disclosure Agreement).

Ciphering Method

TeamDrive sets on the following encryption mechanisms:

  • Advanced Encryption Standard – AES 256
    To encrypt the data TeamDrive uses the Advanced Encryption Standard (AES) encryption system with a 256-bit key and sets on the C code implementation of the OpenSSL library.
  • Diffie-Hellman and RSA 3072
    For key exchange TeamDrive sets on the Diffie-Hellman algorithm for its older clients. New clients using RSA 3072. The Diffie-Hellman implementation is based on the C code implementation as it is provided by the OpenSSL library.
  • Message Digest 5/6 – MD5/MD6
    The TeamDrive hash function is based on the MD5/ MD6 algorithm, where the hash value is stored as a random string (salt).
  • PrimeBase Privacy Guard – PBPG
    The PrimeBase Privacy Guard (PBPG) is a proprietary public/ private key system that sets on the Diffie-Hellman key exchange and AES encryption. For the user the behavior of PBPG is similar to the known public/ private key systems of PGP or GnuPG. The PBPG encryption generates random changes and verifies the files during the exchange, so PBPG can detect whether a message or keys have been tampered or altered otherwise. Two messages are never the same. Here, a key pair is generated not only for each user, but also for each installation. The PBPG implementation is open and can be verified by partners and other interested parties, if required.

System Architecture

In TeamDrive data is stored in a so-called Space which determined the number of users who can access. The exchange takes place on a Space Depot, which lies on a TeamDrive Enterprise Hosting Server, a TeamDrive Personal Server or WebDAV.

Each Space has its own 256-bit AES key used to encrypt the data in this Space, if the data leaves the user’s device. Only the TeamDrive software, which is installed on the device of the other users of a Space, has knowledge of the key.

Each server on which a Space Depot is available, is responsible for storing, forwarding and adapting to changes within the Space. So the clients can also exchange data even if not all are online at the same time. Any data that is stored on the server is encrypted by using the 256 bit AES key of the Space.

User Authorization

The registration of a user is done with the TeamDrive client software that checks him against the TeamDrive registration server. This is basically done by entering an email address or a username and a password.

The authorization between the TeamDrive client and the TeamDrive registration server is based on the public key of the registration server. Information such as the e-mail address and the registration password plus other data of the user are transferred in an encrypted form to the registration server using the public key of the registration server.

Only the activation code is sent unencrypted over an unencrypted e-mail to the user. In addition, an encrypted response with the device ID is sent to the TeamDrive client. After the activation by the user, the client software will generate a PBPG key and a matching public key. Following the client software sends the registration password and the public key encrypted back to the registration server using the public key of the server. The activation code is verified and the public key of the user stored. All of the following messages that are sent to the registration server are encrypted with the PBPG public key of the user and need the device ID and the registration password for authorization.

Data Storage and Processing

To generate a Space, the user needs a Space Depot and its password. This tells the TeamDrive client which server it needs to contact in order to create the Space. Subsequently the client software asks for the public key of the TeamDrive Hosting Server. The client software sends the device ID, the Space Depot id, username, user ID, the user’s public key and the name of the Space as an encrypted message to the TeamDrive server. The message is encrypted with the public key of the server. The Space Depot ID and password are checked. For the encrypted transmission of the response the user’s public key is used. The TeamDrive server creates a new Space on the specified Space Depot. A 128-bit „authorization code“ is randomly generated for the new Space and sent back to the client.

To access a Space the URL, an authorization code and a Space data key is required. The URL contains the address of the server which is addressed to the Space Depot that includes the contents of the Space, and the Space ID. Changes in the Space are uploaded or downloaded to the Space in the Space Depot. For this purpose, HTTP PUT and POST methods are used. Before a file leaves the client, it is compressed and encrypted with a 256-bit AES key.

To access a Space, the TeamDrive client opens a session with the server. First therein the ID of the Space, to be accessed, is transmitted. After successful testing the server generates a new session ID with a 128-bit random number (RND) and sends it back to the client which stores it locally. For uploading and deleting data, the client uses the RND and the authorization code of the Space and links these in a xor operation including a MD5 operation on the result. The result will be sent along with the session ID and the encrypted data to the server.

The security of a Space Depot is ensured that after each request a random RND value is returned that must be recalculated to a local value each time by the client. In addition a MD5 hash guarantees that the authorization code of the Space cannot be derived. Even if the RND and the local value are known on the client side. This will also prevent that an attacker can infiltrate into a session to upload data to the server.

Summary

The data security in a TeamDrive Space is ensured by encrypting the data with a 256-bit AES key. For this, the key is only known by the TeamDrive clients, which are member of a Space. Provider of storage services based on TeamDrive or system administrators do not have access to the data. The exchange of Space authorization keys between TeamDrive users follows with a secure public/ private key method, which uses a 256-bit AES encryption itself. The access to a Space Depot or a Space is protected with a 128-bit authorization code. The authorization code prevents that the storage of a Space Depot or a Space cannot be used by unauthorized third parties.

In addition to the encrypted data storage on the servers and the clients the data is also always fully encrypted during transmission, whereby TeamDrive delivers a complete end-to-end encryption of the data.

It should also be noted that TeamDrive has received the data protection seal of the „Independent Centre for Privacy Protection Schleswig Holstein“. The official approval number is 2-3/2005. In addition, TeamDrive was named as a „Cool Vendor in Privacy“ 2013 in May by Gartner.

ownCloud: Server-side Encryption

At ownCloud one looks in vain for public security information, provided by ownCloud itself. This is a little surprising, since there are apparently many open questions even in the ownCloud community [1], [2] regarding the server-side encryption and encryption in general. Only a blog post can be found in which the fundamental understanding of ownCloud on security is displayed publicly. However, questions on direct demand ownCloud answered without hesitation and made more information available.

Ciphering Method

For data encryption ownCloud 5.0 sets on the Advanced Encryption Standard (AES) with a 256-bit key.

Security blogger Pascal Junod had dealt with the encryption of ownCloud 4.0 in early 2012. The necessary information can be found in the OC_Crypt class. Junod has analyzed the PHP file in this context and published relevant information. Thus, the key is generated in the mt_rand() PHP routine. That implemented the Mersenne Twister, a pseudo-random number generator. Junod commented that this is not a cryptographically good quality. The generated key is encrypted with the user password in conjunction with the symmetric block encryption algorithm Blowfish in ECB mode and then stored in the encryption.key. Junod comes to the conclusion that an attacker who owned this file could get the password using the brute-force method. He also aware, that this key is used for encryption of all the data of a user and the data to be encrypted on the server side. He describes other ways to steal the encryption.key. The password, which is responsible for the encryption of the file is transmitted in clear text (plain HTTP) from the client to the server. If the connection is not secured with HTTPS, everyone is able to intercept the communication, steal the password and could therefore access the ownCloud account and all data. Furthermore, the encryption.key is stored in plain text in the session data on the server side. Most of the time in the /tmp directory. This means that a malicious ownCloud server administrator would be able to decipher the data. Junod also indicates that the encryption is done on the server side, so a system administrator could intentionally manipulate the ownCloud installation. He therefore recommends never use ownCloud 4.0 to store confidential information.

ownCloud confirmed in the inquiry that ownCloud 5.0 itself does not implement a fully integrated end-to-end encryption in the software. However, this can be implemented with third-party tools. Furthermore, encryption is done „at rest„. This means that the data will be physically stored in encrypted form. The connection between the devices and the server is secured with SSL. The key exchange is authorized via the Provisioning API. A comprehensive key management follows in the future.

System Architecture

ownCloud has a plugin for server-side encryption administrators can use to store data encrypted on the server. Users get access to the data and can share them as if they are unencrypted. The new plugin in ownCloud 5.0 replaces the vulnerability in ownCloud 4.0, in which a malicious system administrator could bypass the security architecture by making adjustments to the ownCloud source code to integrate a backdoor or a password sniffer. For data encryption during transmission from the server to the device SSL is used. The password can be changed by a user at any time. All files are encrypted with the new password afterwards.

For server-side security, the administrator must enable the encryption app in the ownCloud management console and set the hook „encryption“ in the admin interface. Then a key pair (public/ private) will be created for all users. For this purpose, the user password is used to protect the private key. In addition, for each file uploaded to the server, a symmetric key pair is created. The uploaded user data is encrypted and stored with the symmetric key. As algorithm the Advanced Encryption Standard (AES 256) is used. The symmetric key is encrypted with the private key of the user and stored on the server. If the data is retrieved from the server, it is first decoded and then sent via an SSL connection to the client. The encryption routine behaves with other applications connected to ownCloud, such as the web interface, the versioning and the algorithm for synchronization, exactly the same. If a user changes his password, the private key is decrypted with the old password, and re-encrypted with the new password.

For the user an uploaded and encrypted file on the ownCloud server resembles as a non-encrypted file. The encryption is completely transparent to him. If a file is shared with other users, the public keys of each of these users are stored in the encrypted file. These users can use it to access the file and make changes to it, as it is an unencrypted file. It’s the same with a folder. Users can not open files that are not intended for them. Should a malicious user try to obtain access to the storage backend, files and keys are unreadable.

If the appropriate plug-in is enabled, a system administrator is able to see all files that are stored on ownCloud over the command line. However, the content of the files is encrypted. Regular backups can still be made, but all the files remain encrypted. Even if the data is copied outside the system. An administrator can also configure additional settings to exclude certain file sizes and formats for the encryption.

Summary

With version 5.0 ownCloud now offers server-side data encryption. However, an administrator must explicitly activate a plug-in to encrypt files with AES 256. If a file leaves the ownCloud server it is first decrypted and transmitted over an SSL connection to the ownCloud client. This means that a complete end-to-end encryption is currently not available with simple on-board tools, what ownCloud confirms.

The ownCloud encryption module has been developed for the use within an enterprise data center on the company’s own servers, administered by trusted administrators.

Management Advisory: TeamDrive vs. ownCloud

The comparison of TeamDrive with ownCloud virtually also confronts a commercial with an open source approach. However, what here a little irritates is the openness of the commercial vendor TeamDrive towards ownCloud. Commercial vendors are often criticized for talk little about their security architecture. In this case, we see exactly the opposite. This is probably because ownCloud have not much security respectively encryption implemented to talk about. First with the ownCloud version 5.0, a module for server-side encryption is implemented. However, that there is a need for information and in particular for security, show the questions from the ownCloud community. Here the ownCloud community is still claimed to demand for more public information and security.

In this context the content of the above-mentioned blog article by ownCloud makes sense, which reflects the basic safety philosophy of ownCloud. For ownCloud encryption is an important point. But the focus should rather be on the control of the data.

Security vs. Flexibility

TeamDrive sets on a fully integrated approach and also provides an end-to-end encryption of all data that is transferred from the server to the client of the respective device. Thus, TeamDrive allows despite of a very high claim to the uncomfortable topic of security, the convenient use of a cloud storage service. ownCloud decodes the data first after they are loaded from the server and transfers it over an SSL connection. The lack of on-board tools for an end-to-end encryption can be achieved with external third-party solutions. However, it should be considered that the integration is costlier with it and whether an open source approach provides a cost advantages especially in this case.

But, it should be noted that ownCloud, due to its open source approach, offers more flexibility as TeamDrive and thereby can be completely adapted to the own IT infrastructure according to the own needs. In terms of security ownCloud still need to catch up. This has the consequence that the solution per se does not meet the current safety standards of businesses and is therefore only conditionally recommended.

At the end of the day, the decision must be made whether a company expects a commercial and integrated approach including security mechanisms based on on-board tools and an open source software that requires additional external security solutions which must be integrated themselves. Who is looking for an all-in-one solution, including complete end-to-end encryption and at the same time more security, should decide for TeamDrive.