Kategorien
Services

Unhosted.org – Unsere Daten gehören uns!

In Zeiten der Cloud, Social Media und weiteren Technologien und neuen Konzepten, bei denen es darum geht, Daten zentral bei einem Anbieter zu speichern, um damit bequem von jedem Ort darauf zugreifen zu können oder mit Freunden weltweit zu kommunizieren, entwickelt sich eine Community, die selbst für den Datenschutz sorgen möchte und ihr wertvolles gut nicht in die Hände kommerzieller und vermeintlich böser Unternehmen wie Google, Facebook oder der Cloud Computing Anbieter legen will.

Datensensibilität nur von Nerds und Geeks?

Nachdem Unternehmen insbesondere beim Cloud Computing aber auch beim Thema Social Media den Datenschutz der Anbieter beklagen – Patriot Act usw. – gehen die vermeintlichen Endanwender doch eher sehr sorglos mit ihren persönlichen Daten um, siehe Facebook. Allerdings scheint sich das Blatt ein wenig zu wenden. Vor kurzem konnte ich im Zug ein Gespräch zweier Jugendlicher mithören, die über das „… jemand Wissen kann wo man sich selbst gerade aufhält.“, also GEO-Location Services wie Foursquare etc. diskutierten. Sie hielten es für sehr kritisch und gefährlich, wenn jemand ständig sehen könnte wo man gerade ist und wo man wohnt. Ich dachte nur: „Aber ein iPhone besitzen…“. 😉

Es stellt sich daher die Frage, wie sensibel die Nutzer heutzutage wirklich mit ihrem wertvollsten gut, der Persönlichkeit umgehen – man bedenke: Wenn Du von jemanden etwas kostenlos bekommst, bist Du am Ende das Produkt. Ich weiß nicht, ob sich viele darüber im Klaren sind. Wenn man jedoch schaut, was viele täglich in Facebook posten, bin ich mir da nicht so sicher. Und auch das was Google mittlerweile über jeden einzelnen weiß – natürlich werden die gesammelten Daten nicht verknüpft… – sollte für diejenigen bedenklich sein, die das Internet nicht dafür nutzen, um ihr öffentliches Profil zu schärfen.

Aber ist es überhaupt möglich auf die Datenhaltung bei Google und Facebook Einfluss zu nehmen? Natürlich nicht, schließlich handelt es sich dabei zum größten Teil um deren Geschäftsmodell, aber…

Die Community: Unhosted.org

Es hat sich eine, derzeit noch kleine, Bewegung gebildet, die das Ziel verfolgt, freie Software gegenüber gehosteter Software zu stärken. Dazu hat die Gemeinschaft bereits ein Protokoll erstellt, mit dem eine Webseite nur aus Quellecode besteht. Dabei werden die sich ständig verändernde Daten dezentral auf eines vom Nutzer gewünschten Storage gespeichert. Die Community erhofft sich dadurch geringere Hostingkosten sowie eine verbesserte Skalierbarkeit, Robustheit und einen höheren Datenschutz.

Alles erinnert ein wenig an Asterix und das kleine gallische Dorf.

Im Kern geht es dem Projekt darum, dass Web Applikationen nicht zwangsläufig auch die Daten des Nutzers beherrschen müssen, sondern dass die Daten getrennt von den Anwendungen gespeichert werden.

Die Technologie: Remote Storage

Hierfür hat Unhosted.org ein Protokoll mit dem Namen „remoteStorage“ entwickelt, dass die bereits bestehenden Protokolle HTTP, CORS, OAuth2 und Webfinger kombiniert. Dazu liefert das Projekt mit remoteStorage.js eine JavaScript Bibliothek und ein Tutorial.

Auf Basis des Remote Storage Protokoll wurden mit Libre Docs, OpenTabs.net und SharedStuff bereits kleine Anwendungen entwickelt.

Um die Applikationen nutzen zu können, wird eine ID eines Remote Storage kompatiblen Anbieters benötigt. Zurzeit haben sich mit Pagekite, OwnCube und 5apps drei am Markt eher unbekannte Anbieter der Initiative angeschlossen. Die ID bzw. der Account bei einem der Anbieter wird dafür benötigt, um die eigenen Daten bei diesem zu speichern.

Stellt man sich das bspw. anhand von Facebook vor, würde man sich bei Facebook mit seiner Remote Storage ID anmelden. Postet man nun ein Bild oder kommentiert einen Beitrag, werden die Daten nicht bei Facebook gespeichert, sondern bei dem entsprechenden Remote Storage Anbieter für den man sich entschieden hat.

Sei Dein eigener Storage Anbieter

Natürlich kann man auch sein eigener Storage Anbieter sein. Dazu wird eine Installation von ownCloud benötigt, die das Remote Storage Protokoll unterstützt. Davon rate ich jedoch ab. Warum, habe ich hier beschrieben.

Daten selbst verwalten? Ja! Aber bitte so bequem wie möglich!

Den Grundgedanken des Projekts finde ich recht interessant. Jedoch sehe ich für den gewöhnlichen und nicht IT-affinen Benutzer riesige Probleme damit, den Überblick zu behalten, wo sich die Daten gerade befinden. Wenn ich bei Facebook oder Google bin, weiß ich, dass die Daten dort „gut“ aufgehoben sind. Wird ein weiterer Anbieter dazwischen geschaltet, wird es unübersichtlich.

Hinzu kommt zwar, dass die Daten von der eigentlichen Applikation getrennt sind, allerdings begebe ich mich hier in die Abhängigkeit von einem der RemoteStorage Anbieter. Ich habe daher nicht die Wahl, außer ich spiele selbst den Storage Anbieter, wovon ich dringend abrate.

Vertrauen ist die Grundlage

Wenn es um das Speichern persönlicher Daten und die Cloud geht, spielt das Thema Vertrauen und Transparenz eine große Rolle. Anbieter wie Google und Facebook haben eine große Wahrnehmung, auch wenn diese nicht immer positiv ist. Dennoch Vertrauen die Nutzer ihnen ihre Daten an, da sie sich sicher sind und sein können, das die Daten dort aus dem Blickwinkel der Datensicherheit gut aufgehoben sind. Genau so verhält es sich mit Amazon S3, Dropbox oder anderen bekannten Cloud Storage Anbietern, die über ausgereifte Infrastrukturen verfügen, die sich bewährt haben.

Anders sieht es mit den Anbietern aus, die sich dem Projekt angeschlossen haben. Allesamt unbekannt! Warum soll ich meine Daten also in die Hände von diesen (derzeit) No Name Anbietern geben, deren Infrastruktur ich nicht kenne? Aber vielleicht schafft es das Projekt, für die Zukunft renommierte Anbieter zu gewinnen, die das Remote Storage Protokoll unterstützen.

BTW: 5apps, einer der Remote Storage Anbieter, steckt hinter dem Unhosted.org Projekt… Alles klar?!


Bildquelle: http://imageshack.us

Kategorien
News

Microsoft wirbt mit Cloud Sicherheit für sein Office 365 for Government

Seit der vergangenen Woche bietet Microsoft sein Office 365 unter „Office 365 for Government“ nun auch für Regierungseinrichtungen an. Zwar wurde die Veröffentlichung nicht an die ganz große Glocke gehängt, dennoch kann dieser Schritt mehr Einfluss auf den Kampf um die Cloud haben, als man zunächst glauben mag.

Office 365 for Government ist auf dem ersten Blick nichts Besonders. Es enthält die typischen Cloud basierten Lösungen, wie das klassische Office 365 auch. Darunter Exchange Online, Lync Online, SharePoint Online und Office Professional Plus.

Der Trick mit dem Altbewährtem

Bereits vor zwei Jahren hatte Microsoft mit der Business Productivity Online Suite Federal einen ähnlichen Service für US-Bundesbehörden präsentiert. Bei Office 365 handelt es sich um den direkten Nachfolger und Microsoft springt zudem auf den Zug auf, den bereits der Mitbewerb herausgestellt hat, die langsam wirklich zäh werdenden Themen Datenschutz und Datensicherheit.

Sicherheit und Datenschutz stehen an erster Stelle

Regierungsbehörden stehen einem enormen Kostendruck gegenüber. Ein Cloud Services kann daher ein überzeugendes Angebot für die Beschaffung, das Servermanagement und der Lizenzierung von Software darstellen. Allerdings musste Google bereits schmerzlich erfahren, dass Behörden mehr wollen als nur Cloud basierte Versionen ihrer klassischen Business Anwendungen.

Nachdem Google mit der Stadt Los Angeles einen ziemlich dicken Fisch über 7 Million Dollar für die Umstellung von 30.000 Arbeitsplätzen an Land ziehen konnte, gab es plötzlich Probleme mit dem Los Angeles Police Departement (LAPD), das nicht mit den Sicherheitsanforderungen einverstanden war. Demnach sei Google nicht in der Lage, die hohen Anforderungen an die Datensicherheit und Vertraulichkeit von sensiblen Daten zu gewährleisten.

Um nicht dieselbe Abfuhr zu bekommen, hat Microsoft in einem Blogpost von Corporate Vice President Office Division, Kirk Koenigsbauer, direkt präventiv Stellung zu dem Thema genommen und die vielen Standards für Datensicherheit und Vorsichtsmaßnahmen herausgestellt, an die sich Office 365 for Government hält. „Office 365 unterstützt die strengsten globalen und regionalen Standards.“, so Koenigsbauer.

Die Liste umfasst hochkarätige Richtlinien der US-Regierung bspw. die „US Federal Information Security Management Act (FISMA)“, die US Health Insurance Portability and Accountability Act (HIPAA) und die „US Family Educational Rights and Privacy Act (FERPA)“. Laut Microsoft unterstützt Office 365 zudem ISO 27001, SAS70 Type II, EU Safe Harbor und die EU Bestimmungen.

Um weiteren Ängsten vorzubeugen, beruhigt Koenigsbauer damit, dass Office 365 zwar im Mehrbenutzerbetrieb läuft, aber in einer separat getrennten Cloud mit höchster Sicherheitsstufe und geographisch verteilten Rechenzentren betrieben wird. Zudem wird die IPv6-Unterstützung für Office 365 voraussichtlich im September gehen Live gehen.

Microsoft scheint Googles Auseinandersetzung mit dem LAPD allerdings nicht zu ignorieren. Koenigsbauer und sein Team arbeiten derzeit daran, Office 365 for Government mit den Regeln der Criminal Justice Information Security (CJIS) compliant zu machen.


Bildquelle: http://careers-us.hoganlovells.com

Kategorien
Services

BoxCryptor: Datenverschlüsselung für Dropbox, Google Drive & Co.

Cloud Storage Services wie Dropbox, Google Drive, SkyDrive oder Box erfreuen sich großer Beliebtheit, stehen aber ebenfalls immer wieder in der Kritik bzgl. des Datenzugriffs durch staatliche Organe oder den Anbietern selbst. Zwar werden die Daten verschlüsselt in den Cloud Storage übertragen. Die Daten werden aber in der Regel im Klartext und unverschlüsselt dort abgelegt. Das Startup die Secomba GmbH aus Deutschland (mal nicht Berlin) möchte diesen Missstand aus dem Weg schaffen und hat mit ihrem BoxCryptor einen Client für Dropbox und Google Drive entwickelt, der die Verschlüsselung übernimmt. Mitbegründer Robert Freudenreich hat mich auf der SecureCloud und CloudZone gefunden und mir den Boxcryptor vorgeführt.

BoxCryptor: Datenverschlüsselung für Dropbox, Google Drive & Co.

Um Daten verschlüsselt in einem Cloud Storage abzulegen behelfen sich viele mit der Software TrueCrypt, was „… insbesondere der vollständigen oder partiellen Verschlüsselung von Festplatten und Wechseldatenträgern“ dient. Zudem hat TrueCrypt den einen oder anderen Kniff, den es zu bewältigen gilt.

BoxCryptor integriert sich in den jeweiligen Cloud Storage und synchronisiert die Daten dann verschlüsselt. Dazu wird z.B. einfach unter dem Dropbox Ordner ein neuer Ordner beliebigen Namens angelegt. In diesem werden dann die Dateien und weitere Ordner abgelegt, die mit dem AES-256 Standard verschlüsselt in der Dropbox abgelegt werden sollen. Derzeit unterstützt BoxCryptor DropBox und Google Drive.

Auf Grund einer breiten Plattformunterstützung, darunter Windows, Mac, Linux, Android und iOS wird der Vorteil der Ortsunabhängigkeit der Cloud ausgenutzt und es kann plattformübergreifend auf die Daten zugegriffen werden.

Preise und Leistungen

BoxCryptor bietet drei verschiedene Preisstufen. Free, Unlimited Personal und Unlimited Business.

Die „Free“ Variante, wie der Name bereits sagt, ist kostenlos und verschlüsselt bis zu 2GB an Daten mit dem AES-256 Algorithmus. Darüber hinaus kann ein Laufwerk eingebunden werden.

Für „Unlimited Personal“ entstehen einmalige Kosten in Höhe von 29,99 EUR. Hier ist das Verschlüsselungsvolumen dann unbegrenzt. Verschlüsselt wird natürlich auch hier mit AES-256, zusätzlich gibt es noch die Dateinamenverschlüsselung und Nutzung mehrerer Laufwerke.

Einzig die „Unlimited Business“ Variante darf offiziell geschäftlich genutzt werden. Das ist für die beiden anderen Varianten untersagt. Diese Version kostet Einmalig 69,99 EUR und hat ansonsten dieselben Funktion wie die „Unlimited Personal“, also AES-256 Verschlüsselung, ein unbegrenztes Verschlüsselungsvolumen, Dateinamenverschlüsselung und die Möglichkeit zur Nutzung mehrerer Laufwerke.

Verbesserungspotential

BoxCryptor: Datenverschlüsselung für Dropbox, Google Drive & Co.

Was aktuell fehlt, ist die Entschlüsselung der Daten auf dem Cloud Storage, wenn man über die Webseite des Service auf die Daten zugreifen möchte. Aktuell werden die Daten dort halt verschlüsselt und als kryptische Datei- und Ordnernamen angezeigt, da für die Ver- und Entschlüsselung der lokale Client benötigt wird. Wie mir Robert allerdings verraten hat, arbeitet das Entwicklerteam bereits daran, auch hierfür eine Lösung zu finden. Wenn das Team um BoxCryptor es schafft diese Funktion zu implementieren, sind sie allerdings auf dem besten Weg damit einen Meilenstein im Bereich Cloud Storage Security zu leisten.

Fazit: BoxCryptor ist echt heißes Zeug und für alle ein Muss, die skeptisch gegenüber dem Datenschutz im Cloud Storage sind. Also anschauen und herunterladen unter http://www.boxcryptor.com

Kategorien
Management

Grundsätzliche Orientierungshilfe zur Adaption von Cloud Computing

Die konkrete Auswahl eines Anbieters gehört zu den vermeintlich schwierigsten Aufgaben bei dem Weg in die Cloud. Damit verbunden sind u.a. Themen wie Datenschutz, Datensicherheit und viele weitere technische (Sicherheits)-Bereiche. Es geht im großen und ganzen also um Vertrauen.

Für die Adaption des Cloud Computing gibt es grundsätzliche Dinge zu beachten

Bereits im September 2011 haben daher die Arbeitskreise Technik und Medien während der Konferenz der Datenschutzbeauftragten des Bundes und der Länder ein Paper mit dem Namen „Orientierungshilfe – Cloud Computing“ in der Version 1.0 erarbeitet und veröffentlicht. Es hat die die Aufgabe den datenschutzkonformen Einsatz von Cloud Computing Angeboten zu ermöglichen und zu fördern und richtet sich speziell an Unternehmen.

Der Inhalt des Papers geht u.a. auf die immer wieder viel diskutierten Probleme wie Datenschutz und Datensicherheit sowie der Verarbeitung sensibler Daten in den USA ein.

Das Paper „Orientierungshilfe – Cloud Computing Version 1.0“ kann von jeder Webseite der 16 Datenschutzbehörden kostenlos heruntergeladen werden, z.B. hier.


Bildquelle: http://www.skd-immobilien.de, http://icons.iconarchive.com

Kategorien
Management

Cloud Computing und Service Level Agreements: Das sollte nicht fehlen!

Unternehmen müssen die Leistungen, die Provider beim Cloud Computing erbringen sollen, genau definieren. Der Hamburger Managed Service Provider Easynet hat dazu zehn wesentliche Punkte zusammengestellt, die in den Verträgen und SLAs von Cloud-Projekten nicht fehlen sollten.

Cloud Computing ist zur Realität geworden – viele Unternehmen denken darüber nach, wie sie die Cloud für ihre IT nutzen können oder haben bereits konkrete Schritte vorgenommen. Wer einem Cloud Provider die Verantwortung für wesentliche IT-Ressourcen überträgt, muss mit ihm klare Regelungen treffen. Die folgenden zehn Punkte beinhalten die wesentlichen Aspekte, die Anwender bei der Festlegung von SLAs (Service Level Agreements) – beziehungsweise in sonstigen Verträgen – für das Cloud Computing keinesfalls vernachlässigen sollten:

  1. Technische Parameter – Die grundlegenden technischen Parameter müssen genau definiert werden, vor allem die nutzbaren Bandbreiten, die garantierte Verfügbarkeit, eventuelle Wartungs- und Reaktionszeiten, das Datenvolumen, aber auch die Datenarten, ob beispielsweise nur strukturierte Daten oder auch Multimedia-Daten abgedeckt werden.
  2. Prozessbezogene Kennzahlen – Über die technischen Basis-Parameter hinaus können sich Anwender auf prozessbezogene Kennzahlen beschränken und zum Beispiel für einen Online-Verkaufsvorgang die Reaktionszeiten, vom Einstellen eines Artikels in den Warenkorb des Shops bis zum Auftrag vereinbaren.
  3. Messmethoden – Für die verwendeten Parameter muss auch festgelegt werden, wie sie gemessen werden. So muss etwa für ein bestimmtes Verfügbarkeitsniveau genau definiert sein, wann, wo und mit welchen Methoden die Verfügbarkeit ermittelt wird.
  4. Monitoring – Ein umfassendes und skalierbares Monitoring für die laufenden Prozesse sowie ein entsprechendes Reporting ist für die SLA unverzichtbar.
  5. Speicherort – Es muss festgelegt sein, wo die Daten vom Provider gespeichert werden – zum Beispiel in Deutschland, in der EU oder weltweit. Dies ist auf Grund unterschiedlicher rechtlicher Regelungen unerlässlich.
  6. Eigentum an den Daten – Es muss klar sein, wem die vom Provider verarbeiteten Daten gehören – dem Provider oder seinem Kunden.
  7. Gerichtsstand – Für Streitigkeiten ist der Gerichtsstand von größter Bedeutung; die besten SLA nützen nämlich nichts, wenn sie auf den Antillen eingeklagt werden müssen. Mit dem Gerichtsstand entscheidet sich auch, welches Recht im Streitfall zur Anwendung kommt.
  8. Datensicherheit – Der Provider muss klar darlegen, was er zur Herstellung einer hohen Datensicherheit unternimmt, insbesondere bei kritischen und personenbezogenen Daten.
  9. Nachprüfbarkeit – Kunden müssen überprüfen können, ob die Festlegungen des Providers hinsichtlich der Datensicherheit eingehalten werden. Auch dazu müssen bereits in den SLA Vereinbarungen getroffen werden.
  10. Verbleib der Daten – Die SLA müssen auch Angaben dazu enthalten, was mit den Daten nach Ende der Geschäftsbeziehung geschieht, ob beispielsweise der Provider bei strittigen Forderungen ein Zurückbehaltungsrecht hat: Für solche Fälle sollte man bereits in den SLA eine Schiedsstelle vereinbaren.

Standard-Cloud-Angebote arbeiten in der Regel mit fertig vorgegebenen SLAs, die durch den Kunden nicht verändert oder nachverhandelt werden können. Diese Normierung ist meist die Voraussetzung für günstig angebotene Leistungen eines Cloud-Providers. Hier müssen Unternehmen genau prüfen, wo und wie weit die Standard-SLAs von einem eigenen Soll-SLAs abweichen – sind davon substantielle Punkte betroffen, sollte das jeweilige Angebot nicht genutzt werden.


Quelle: Easynet
Bildquelle: http://www.supplierrelationships.com, http://bluebuddies.com

Kategorien
Management

Die Herausforderungen des Cloud Computing: Datenschutz und Datensicherheit

Mit der Adaption von Cloud Computing Technologien und Services stehen Unternehmen Herausforderungen gegenüber, die es zu bewältigen gilt. Zum einen müssen organisatorische Voraussetzungen geschaffen und Aufklärungsarbeit innerhalb des Unternehmens geleistet werden, um die Akzeptanz und das Verständnis zu stärken. Zum anderen treffen aber auch viele “Widerstände” von außen auf das Unternehmen. Das sind neben Fragen bzgl. der Sicherheit und des Datenschutz ebenfalls Themen zur Verfügbarkeit und Performanz des ausgewählten Cloud Service sowie dessen Integrationsfähigkeit in die bereits bestehende IT-Infrastruktur und die nahtlose Unterstützung der vorhandenen Geschäftsprozesse. Und wie auch schon aus den klassischen Sourcingmöglichkeiten bekannt, besteht auch im Cloud Computing die Angst, in die Abhängigkeit eines einzigen Anbieters zu verfallen. So müssen auch hier die Interoperabilität und die Schnittstellen des Anbieters sowie ein Vergleich zu anderen Anbieteren vorgenommen werden.

Ist die Entscheidung für die Nutzung des Cloud Computing gefallen, ist es für Unternehmen zunächst an der Zeit, eine Ist-Analyse der bestehenden IT-Infrastruktur und Systeme vorzunehmen, um auf Basis dieser zu planen, welche Cloud Services adaptiert werden sollen. Hier kann bspw. eine Kosten-/ Nutzen-Analyse weiterhelfen, bei der auch eine Risikobewertung nicht fehlen sollte. Um erste Erfahrungen auf dem Cloud Computing Gebiet zu sammeln, sollte ein Pilotprojekt initiiert werden, welches auf Grund des Cloud Computing Konzepts schnell und kostengünstig gestartet werden kann. Dieses sollte einem Gesamtverantwortlichen “Cloud” untergeordnert sein, der als zentrale Stelle innerhalb der Organisation für die Adaption und Beratung der einzelnen Abteilungen für dieses Thema zuständig ist. Mit den gesammelten Erfahrungen können dann weitere Projekte gestartet werden und die Adaption unterschiedlicher Cloud Services sukzessive vorgenommen werden.

Datenschutz und Datensicherheit

Während der Nutzung einer Public Cloud werden die Daten eines Unternehmens immer an einen Cloud Anbieter übertragen. Aus diesem Grund sind viele Kritiker der Meinung, dass Cloud Computing von der rechtlichen Seite betrachtet nicht zulässig sei, da die Anforderungen des Datenschutzes an dieser Stelle nicht erfüllt werden.

Arnd Böken zeigt, dass es rechtlich ohne weiteres möglich ist, personenbezogene Daten innerhalb einer Public Cloud verarbeiten zu lassen, wenn das Unternehmen und der Cloud Anbieter bestimmte Voraussetzungen einhalten. Der Cloud Anbieter wird dafür als Auftragsdatenverarbeiter für das Unternehmen tätig.
Nach §11 Bundesdatenschutzgesetz (BDSG) muss das Unternehmen den Cloud Anbieter zunächst sorgfältig auswählen, um diesen die Auftragsdatenverarbeitung vornehmen zu lassen. Dazu hat es die Pflicht, “[…] zu prüfen, ob der Anbieter geeignete technische und organisatorische Schutzmaßnahmen getroffen hat, die Daten sicher zu verarbeiten.” Um das sicherzustellen, muss das Unternehmen das Schutzkonzept des Cloud Anbieters überprüfen. Grundsätzlich müssen dabei die folgenden Grundsätze der Datensicherheit bei der Verarbeitung personenbezogener Daten nach der Anlage zu § 9 des Bundesdatenschutzgesetz (BDSG) eingehalten werden:

  • Zutrittskontrolle: Maßnahmen, die Unbefugte am Zutritt zu Datenverarbeitungsanlagen hindern. Das gilt für Außenstehende sowie für Mitarbeiter aus anderen Unternehmensbereichen oder Mitarbeiter außerhalb ihrer Arbeitszeit, etwa durch Gebäudeüberwachung, Einrichten von Sicherheitszonen, Berechtigungsausweise und Alarmanlagen.
  • Zugangskontrolle: Maßnahmen, die Unbefugte daran hindern, Datenverarbeitungssysteme zu nutzen, etwa durch Passwortvergabe, sowie Schutzmaßnahmen gegen Eindringen wie Firewalls.
  • Zugriffskontrolle: Schutzmaßnahmen, damit Mitarbeiter Daten nur im Rahmen ihrer Zugriffsberechtigung einsehen und nutzen können sowie der Schutz bei Nutzung der Daten und nach Speicherung. Zum Beispiel eine eindeutige Zuweisung von Zugriffsberechtigungen, wirksame Prüfverfahren und Verschlüsselung.
    Weitergabekontrolle: Schutz der Daten bei Speicherung oder Weitergabe einschließlich einer Dokumentation, an welche Stellen Weitergabe vorgesehen ist. Durch genaue Dokumentation der beteiligten Rechenzentren, Protokollierung der Speicherorte der Daten, Regelungen zur Verschlüsselung und zuverlässige Löschverfahren.
  • Eingabekontrolle: Protokollierung, wann und von wem welche Daten eingegeben, verändert oder entfernt worden sind.
  • Auftragskontrolle: Daten dürfen bei Auftragsdatenverarbeitung nur nach den Weisungen des Auftraggebers verarbeitet werden. Unter anderem durch eine eindeutige Regelungen zur Zweckbindung, zu Zugriffsbeschränkungen, zur Aufbewahrung, zum Verlust von Datenträgern, zu Löschverfahren und vollständiger Herausgabe nach Auftragsende.
  • Verfügbarkeitskontrolle: Schutzmaßnahmen gegen zufällige Zerstörung oder Verlust von Daten. Beispielsweise durch regelmäßige Sicherung, USVs und Katastrophenpläne.
    Trennungskontrolle: Systeme müssen Daten, die zu unterschiedlichen Zwecken erhoben wurden, getrennt verarbeiten können. Zum Beispiel durch Trennung über Zugriffsregelung.

Des Weiteren sind Zertifizierungen des Anbieters unverzichtbar sowie eine Bestätigung über die Einhaltung des oben genannten Schutzkonzeptes.

Eine Auftragsdatenverarbeitung setzt gleichermaßen voraus, “[…] dass die Daten nur in Rechenzentren innerhalb des Europäischen Wirtschaftsraums (EWR), das heißt EU plus Norwegen, Island und Liechtenstein, verarbeitet werden.” Aus diesem Grund haben viele Cloud Anbieter ebenfalls EU/EWR-Clouds im Angebot, z.B. dann, “[…] wenn ein Unternehmen seine Buchführung in die Cloud auslagern will.”
Zudem sollte ein Unternehmen mit dem Cloud Anbieter eine Vertraulichkeitsvereinbarung abschließen, bevor es diesem weitere Interna mitteilt.

Kategorien
Analysen

Cloud Computing – Eine Reflexion

Die grundlegenden Ideen und Konzepte des Cloud Computing reichen bis in die 1960er zurück. Schon damals wurde die Idee entwickelt Rechenleistung und Anwendungen als Utility der Öffentlichkeit gegen eine Nutzungsgebühr bereitzustellen. Dass der Durchbruch erst heute bevorsteht, hängt mit den technischen Voraussetzungen zusammen, die zur damaligen Zeit einfach noch nicht gegeben waren.

Cloud Computing symbolisiert den service- und anwendungsorientierten Trend der heutigen Informationstechnologie, bei dem verteilte und hoch skalierbare Infrastrukturen über das Internet adaptiert werden können und Anwendungen und Dienste an jedem Ort und zu jeder Zeit verfügbar sind.

Unternehmen können durch den Einsatz von Cloud Computing ihre IT-Gesamtausgaben deutlich reduzieren und die Qualität, Sicherheit aber vor allem ihre Arbeitsabläufe messbar steigern. Cloud Computing Anbieter können Skaleneffekte nutzen, indem sie ihre Kosten über eine große Anzahl von Kunden verteilen und haben damit die Möglichkeit die Investitionen in den Betrieb und die Sicherheit (Daten- und Zugangssicherheit) ihrer Rechenzentren im Vergleich zu herkömmlichen Rechenzentrums Betreibern zu erhöhen.

Ob sich der Ansatz der Public Cloud durchsetzen wird, hängt von dem Bewusstsein jedes einzelnen zum Thema Datensicherheit(!) ab. Es werden sich mit hoher Sicherheit hauptsächlich hybride Varianten aus Private Cloud und Public Cloud durchsetzen. Unternehmen werden für unternehmenskritische Daten ihre eigenen ’kleinen’ Rechenzentren (Private Cloud) betreiben und weitergehende Dienste und Anwendungen aus einer Public Cloud beziehen. Für Startups kann zu Beginn der Nutzen einer Public Cloud von besonderem Interesse sein. Die Kosten sind leicht zu kalkulieren und die IT-Infrastruktur wächst dynamisch mit dem Unternehmen.

Vor dem Hintergrund, dass die meisten Anbieter von Cloud Computing Diensten ihre eigenen Standards innerhalb der Infrastrukturen einsetzen, sind für die Zukunft noch Fragen offen, die geklärt werden müssen. Wie komme ich aus der Cloud wieder zurück? und Wie wechsel ich von der Cloud eines Anbieters in die Cloud eines anderen Anbieters? Das zeigt, dass offene Standards signifikant für die Akzeptanz und Weiterentwicklung des Cloud Computing sind.

Zu guter Letzt müssen auch die Internetprovider und Telekommunikationsanbieter sich verpflichtet fühlen ihren Teil zum Erfolg des Cloud Computing beizutragen. Sind die aktuellen Angebote für Unternehmen sehr attraktiv, haben private Anwender fast keine Möglichkeit Dienste, wie z.B. Cloud Storage (Speicherplatz im Internet) in Anspruch zu nehmen. Die Uploadraten herkömmlicher Internetanschlüsse sind für diese Art von Dienst einfach zu langsam und können und werden dadurch auch nicht genutzt werden. Bessern die Anbieter in diesem Sektor ihre Angebote im Hinblick auf die Technik und den Preis nicht nach, besteht die Möglichkeit, dass wir im Privatbereich dieselbe Problematik erleben werden wie in den 1960er.

Kategorien
Management

Fallbeispiel: Cloud Computing im Unternehmenseinsatz

Um die Möglichkeiten des Cloud Computing im Unternehmenseinsatz darzustellen, wird am Beispiel eines fiktiven Unternehmens, der Spielwaren GmbH, die IT-Infrastruktur analysiert und ein Handlungskonzept für die Migration in die Cloud vorgestellt.

Ausgangssituation

Die Spielwaren GmbH ist ein weltweit agierendes Unternehmen mit vier Standorten in Deutschland, den USA, China und Indien. Das Unternehmen erzielt mit seinen knapp 3.500 Mitarbeitern weltweit einen Umsatz von ca. 1 Milliarde US Dollar pro Jahr. Die IT-Umgebung des Unternehmens wurde in den letzten Jahren weitestgehend nur dann aktualisiert, wenn die Notwendigkeit durch Ausfall eines Servers oder ähnliches bestand. Die Systemumgebung setzt sich wie folgt zusammen.

  • Customer Relationship Management: Microsoft Dynamics CRM
  • Enterprise Resource Planing: Microsoft Navision
  • Verzeichnisdienst/ Domain Controller: Microsoft Active Directory Services
    (ADS)
  • Kommunikationsserver/ E-Mail-Server: Microsoft Exchange 2000
  • Applicationserver: Microsoft Windows 2000 Server
  • Fileserver: Microsoft Windows 2000 Server (für Office Dokumente)
  • Webserver: Microsoft Internet Information Server
  • Betriebssysteme: Windows 2000 Professional
  • Anwendungssoftware: Microsoft Office 2000

Die Kommunikation der Standorte findet über SDSL VPN-Verbindungen statt. Die beschriebene Systemumgebung gilt für jeden Standort. Eine Skizze der IT-Infrastruktur ist in der folgenden Graphik illustriert.

Ausgangssituation der Spielwaren GmbH

Analyse der IT-Umgebung

Eine Analyse der IT-Infrastruktur führte zu folgendem Ergebnis.

  • Microsoft Dynamics CRM: ok
  • Microsoft Navision: veraltet
  • Microsoft Active Directory Services: ok
  • Microsoft Exchange 2000: veraltet, die Maintenance durch Microsoft endet im Juli 2010, Lizenzen können nicht mehr nachbestellt werden.
  • Microsoft Windows 2000 Server: veraltet, die Maintenance durch Microsoft endet im Juli 2010, Lizenzen können nicht mehr nachbestellt werden.
  • Webserver: überdimensioniert, Erweiterungen ohne Konzept, Jahresdurchschnitt ca. 15% Belastung, Hauptzeiten: 80% Zuwachs
  • Windows 2000 Professional: veraltet, die Maintenance durch Microsoft endet im Juli 2010, Lizenzen können nicht mehr nachbestellt werden.
  • Microsoft Office 2000: veraltet, die Maintenance durch Microsoft endet im Juli 2010, Lizenzen können nicht mehr nachbestellt werden.
  • Arbeitsplatzrechner: überwiegend veraltete Systeme, die in den nächsten ein bis zwei Jahren ausgetauscht werden müssen(!)
  • VPN-Verbindungen: instabil(!), der Datenverkehr nimmt durch steigende Synchronisationen zu.

Generell gilt für die vorhandenen Rechenzentren: Die Hardware bei 80% der Server ist am Limit bzw. veraltet und muss dringend augetauscht werden.

Handlungskonzept

Auf Basis der Analyse und der Sondierung des Cloud Computing Marktes erhält die Spielwaren GmbH folgende Handlungsempfehlung.

  • Microsoft Dynamics CRM: Ablösung durch Salesforce.com
  • Microsoft Navision: Ablösung durch Salesforce.com
  • Microsoft Active Directory Services: Migration zu Google Apps mittels Directory Sync, Integration von Salesforce.com in Google Apps Professional mittels Salesforce for Google Apps
  • Microsoft Exchange 2000: Ablösung durch Google Apps Professional (Mail & Kalender)
  • Microsoft Windows 2000 Server: können entfallen, da sämtliche Office Dokumente auf Google Apps abgelegt werden, ggf. können auf GoGrid Fileserver angemietet und über entsprechende APIs mit Salesforce und Google Apps verbunden werden.
  • Webserver: Go Grid Server (Baukastensystem bestehend aus Load Balancer, Datenbankserver, Webserver und Speicherplatz) auf Linux oder Windows Basis
  • Windows 2000 Professional: Kann durch eine Linux Distribution z.B. Ubuntu Linux ausgetauscht werden
  • Microsoft Office 2000: Ablösung durch Google Apps Professional (Text & Tabellen)
  • Arbeitsplatzrechner: Schrittweise Ablösung der Fat-Clients durch Thin-Clients
  • VPN-Verbindungen: Die SDSL Leitungen bleiben vorhanden, die Kommunikation erfolgt vollständig über die Cloud

Die beschriebene Handlungsempfehlung gilt für die gesamte IT-Umgebung der Spielwaren GmbH, wodurch alle Standort betroffen sind. Eine Skizze der möglichen IT-Infrastruktur nach Umsetzung der Handlungsempfehlung ist in der folgenden Graphik illustiert.

Handlungskonzept für die Spielwaren GmbH

Vorteile

Die Migration würde der Spielwaren GmbH folgende Nutzen bringen.

  • Reduzierung der Kosten
    • Lizenzkosten für Software
    • Hardwarekosten (Server, Desktop)
    • Maintenance-Kosten
    • Personalkosten
  • Erhöhung der Datensicherheit
    • Automatisierte Durchführung von Backups durch den Anbietern
  • Optimierung der Zusammenarbeit
    • Standortübergreifende Zusammenarbeit durch Web-Kollaboration
  • Automatisierung der Softwarewartung
    • die Anwendungssoftware ist immer auf dem aktuellen Stand
  • Steigerung der Flexibilität
    • Mitarbeiterverwaltung
    • Hinzufügen neuer Anwendungen
  • Mobilität
    • Mitarbeiter können von überall arbeiten
    • Zugriff auf alle Daten von überall
  • Konzentration auf Kernkompetenzen
    • Erhöhung der Investitionen in das Kerngeschäft

Nachteile

Neben den Nutzen birgt die Migration aber auch einige Gefahren, die aufgezeigt werden müssen.

  • Politische Einflüsse
    • Politische Spionage/ Einschränkungen über die Internetverbindungen (z.B. China)
  • Single point of failure
    • Internetverbindung (kann durch Backupleitungen abgesichert werden)
  • Ausfall eines Anbieters
  • Datensicherheit(!)
    • Alle unternehmenskritischen Informationen befinden sich auf fremden Servern
  • Standorte der Server
    • Ist in der Cloud nicht transparent
  • Abhängigkeit
    • Die Standards der Anbieter müssen eingehalten werden

Kostenbetrachtung

Um den finaziellen Vorteil mit Zahlen zu verdeutlichen, wird die vorgeschlagende Google Apps Professional dem vergleichbaren Microsoft Exchange Server gegenüber gestellt. Die Aufstellung der Kosten ist in der folgenden Graphik nachzuvollziehen.

Vergleich der Kosten von Google Apps Professional mit einer Microsoft Exchange Lösung

Der Vergleich zeigt den deutlichen finanziellen Vorteil durch den Einsatz der Google Apps Professional Lösung. Über einen Zeitraum von drei Jahren liegen die Ersparnisse pro Benutzer bei ca. 62,00 EUR im Vergleich zur Microsoft Exchange Lösung. Das liegt zum einen an den geringeren Lizenzkosten der Google Lösung (Ersparnis: 98.000 EUR), zum anderen an den geringeren Wartungs- (Ersparnis: 53.000 EUR) und Administrationskosten (Erspanis: 68.000 EUR) sowie an den fehlenden Investitionskosten in eine eigene Infrastruktur für die Server (Ersparnis: 20.400 EUR). Werden die gesamten Wartungs-, Administrations und Infrastrukturkosten herausgerechnet (letzte Zeile), liegt der Kostenvorteil der Google Lösung über einen Zeitraum von drei Jahren nur noch bei ca. 8,00 EUR pro Mitarbeiter.

Dieser Vergleich zeigt, wie die Infrastruktur- und Wartungskosten durch den Einsatz von Cloud Computing signifikant gesenkt werden können.

Reflexion

Die Handlungsempfehlungen, die für dieses Beispiel gewählt wurden, sind bewusst ein wenig extrem aber verdeutlichen gleichzeitig, was bereits heute mit dem Cloud Computing für Möglichkeiten bestehen. Ein Unternehmen muss sich gut überlegen, ob es seine Infrastruktur bzw. die unternehmenskritischen Daten in der Form so auslagern möchte. Zu groß ist z.B. das Risiko der Datensicherheit. Werden auf der anderen Seite aber Kunden von Google (Motorola und Procter & Gamble) und Salesforce.com (Dell, Dow Jones und Morgen Stanley) herangezogen, sollte die Attraktivität dieses Outsourcingmodells nicht vernachlässigt werden. Zu so einer Entscheidung gehört auch immer eine subjektive Betrachtung, bei der die Kosten eine immer größer werdene Variable in der Gleichung werden. Aus diesem Grund müssen auch Kompromisse geschlossen werden, wenn Kosten gesenkt werden sollen. Ob die Datensicherheit dabei zweitrangig behandelt werden darf bleibt fraglich.

Kategorien
Events

Blitznews: CloudCamp Hamburg

Das CloudCamp Hamburg wurde heute auf Freitag, 17. September 2010 festgelegt.

Alle weiteren Informationen können auf der offiziellen Webseite http://cloudcamp.org/hamburg oder auf http://cloudcamp-hamburg.org nachgelesen werden.

Kategorien
Analysen

Eigenschaften einer Cloud Platform

Ich habe bisher einige Cloud Computing Plattformen, darunter openQRM, OpenNebula oder OpenECP vorgestellt und ein paar weitere werden noch folgen. Daher erläutere ich in diesem Artikel die grundsätzlichen Eigenschaften die eine Cloud Plattform (meiner Meinung nach) hat bzw. haben sollte.

1. Zunächst sollten ausreichend virtualisierte Serverressourcen zur Verfügung stehen. Weiterhin müssen, (vor allem dann) wenn sich mehrere Kunden auf einem System befinden, jedem Kunden diese virtualisierten Serverressourcen garantiert werden und die einzelnen virtuellen Instanzen isoliert und damit vollständig von einander getrennt betrieben werden.

2. Zum Bereitstellen von umfangreichen Enterprise-Class-Services wie z.B. hohe Verfügbarkeit, Systemwiederherstellungen nach Datenverlusten, automatische Skalierung während Lastspitzen und Ressourcenoptimierungen muss eine große (unbegrenzte) Menge an virtualisierten Serverressourcen vorhanden sein.

3. Für ein zustandsbehaftetes Lifecycle Management, wozu Snapshots, schnelles Cloning (duplizieren) und eine dynamische Versorgung mit Ressourcen über große Server Infrastrukturen gehören, wird ein virtualisierter Cloud Speicher benötigt.

4. Für die Anpassung der virtuellen Topologie – durch das Hinzufügen weiterer Netzwerkfunktionen für Sicherheit, Routing, Load Balancing, Application Firewalls, Protokol Optimierung, etc. in den OSI Schichten 3 bis 7 – und die Möglichkeit die jeweiligen (Teil)-Netzwerke auf Multi-Kunden Systemen zu isolieren und Ressourcen zu garantieren, werden virtuelle Netzwerk Ressourcen benötigt.

5. Es müssen umfangreiche und offene APIs zur Kontrolle sämtlicher Ressourcen vorhanden sein, damit Cloud Computing Anbieter ihren Kunden die vollständige Kontrolle über deren privaten virtuellen Rechenzentren anbieten können.

6. Die Cloud Plattform muss für allen gängigen Virtualisierungs-Plattformen vollständige Kompatibilität bieten und jede virtuelle Maschine unterstützen, um u.a. einen Vendor Lock-in zu vermeiden. Des Weiteren müssen Funktionen für die Migration von virtuellen Maschinen zwischen unterschiedlichen Virtualisierungs-Technologien (P2V, V2P und V2V) vorhanden sein.

7. Zu guter letzt sollte die Cloud Plattform auf Open Source basieren, um eine größtmögliche Kompatibilität zu allen möglichen Clouds aufzuweisen und um einfach adaptiert und angenommen zu werden.