Unternehmensdaten in der Cloud – darum nicht

Cloud – ein weites Feld (um Günter Grass zu zitieren). Es gibt nicht „DIE“ Cloud. Zunächst sollte man sich bewusst machen, was damit überhaupt gemeint ist.

Cloudsysteme sind nichts anderes als verteilte Systeme in Rechenzentren verschiedener Anbieter. Die großen Player sind Amazon AWS, Microsoft, Google, etc. Mittlerweile werden unzählige Dienste in solche Systeme ausgelagert. Kaum eine App, die nicht ohne irgend einen Cloudzwang und damit der Herausgabe persönlicher Daten auskommt, Mail, Dateispeicher, Überwachungskameras, Kalender, Krankenkassen, etc. pp. Die Liste lässt sich beliebig erweitern.

Persönliche Daten und Verwertung

Mit jeder Registrierung bei einem Anbieter – sei es nun für die heimische Überwachungskamera, Türklingel oder mittlerweile auch Waschmaschinen(!) – gibt man persönliche Daten preis. Und diese Daten liegen ohne jegliche Kontrollmöglichkeit bei den Anbietern. Aber es sind nicht nur diese Daten, welche von den Anbietern für weitere Zwecke analysiert und in Geld umgewandelt werden. Besonders bei Apps auf Smartphones werden zahlreiche Telemetriedaten verknüpft und darauf hat der User so gut wie keinen Einfluss. Den privaten Usern mag dies noch egal sein, im Unternehmensumfeld ist das eine ganz andere Hausnummer.

Mit dem Unternehmen in die Cloud

schöner abhängig sein mit Amazon, Microsoft, Google & Co.

Der anhaltende Trend mit seinem Marketing-Bullshit-Bingo-Sprech, sein Unternehmen möglichst komplett „in die Cloud“ zu bringen, ist ungebrochen. In Zeiten von Corona und der Auslagerung vieler Arbeitsplätze in das Home Office, erlebten die großen Anbieter einen wahren Boom. Bei vielen Unternehmen wurde – teils aus Unterbesetzung der hauseigenen IT, teils aus Kostengründen – der Wechsel in Cloudsysteme dadurch weiter forciert. Besonders Anbieter wie Microsoft erfreuen sich an wachsenden Userzahlen für ihre Office 365 Suite (trotz eklatantem Daten-Super-GAU, dazu später mehr) oder Google an steigenden Umsätze für die G-Suite Business.

Aber es ist doch alles so praktisch?!

Natürlich sind solche Cloudsysteme (auf den ersten Blick) sehr praktisch. Es müssen inhouse weniger Systeme vorgehalten und gepflegt werden (weniger Kosten für Hard- und Software, Personal und Energie) und die Daten sind – rein theoretisch – jederzeit und überall abrufbar (auch für Leute, die eigentlich keinen Einblick darin haben sollten).

Aber was gibt man im Gegenzug dafür auf? Richtig – die exklusive Hoheit über seine Daten. Niemand mit etwas Verstand kann heute glauben, dass all diese Daten nicht gewinnbringend verwertet und vermarktet werden. Mit dem Cloudboom sind die feuchten Träume vieler großer Konzerne wahr geworden. Die User geben die Daten freiwillig ab UND zahlen dafür auch noch monatlich Geld. Besser geht es (noch) nicht.

Lock-in & Abhängigkeit

Mit jedem weiteren Dienst, den man in „die Cloud schubst“, macht man sich mehr und mehr abhängig von den jeweiligen Anbietern. Und hat man die meisten wichtigen Dienste (von Mail über ERP/CRM) erst einmal migriert, ist Schluss mit der Autonomie. Sind die Dienste des Anbieters gestört (was trotz der Beteuerungen der Marketing-Strategen durchaus vorkommt), können die User Schreibtische aufräumen, Blumen gießen oder anderweitig für Zerstreuung sorgen.

Aber es gibt nicht nur das Ausfallrisiko. Auch wenn schnittige CEOs und PowerPoint-Athleten den Kostenfaktor immer wieder in den Raum werfen, einmal drin in der Abhängigkeit kann der Anbieter beliebig an der Preisschraube drehen, wie es jetzt Microsoft wieder einmal getan hat. Was bleibt dann? Die Migration weg von der Cloud scheuen viele Unternehmen, weil sie den Kostenfaktor fürchten oder Entscheidungsträger eingestehen müssten, dass sie sich verkalkuliert haben. Und das ist ja ein Problem unserer Zeit – Fehler eingestehen können (jetzt wirds philosophisch).

Ja, Lock-ins bzw. Abhängigkeiten gibt es in der IT nicht nur durch oder in der Cloud. Diverse proprietäre Betriebssysteme, Office-Suites oder Branchensoftware sind auch lokal installiert ein Lock-in, aus dem man mitunter schwer wieder rauskommt. Dies liegt aber nicht nur an den Kosten, sondern vielfach auch an den Endusern selbst, welche – wie jeder Mensch – Gewohnheitstiere sind.

Die Cloud ist sicher!

und Zitronenfalter falten Zitronen

Eine ähnliche Formulierung hat damals Norbert Blüm in seiner Funktion als Minister bezüglich der Rente auch verwendet. Die Rente ist sicher! Die Cloud ist sicher! Morgen kommt der Weihnachtsmann und Ostern der Osterhase!

Jedes System ist angreifbar, wird von Menschen erstellt, gewartet und aktualisiert. Das betrifft auch Cloudsysteme. Wer sich in der Fachpresse schlau macht, findet unzählige Beiträge zu Lücken, Befall durch Ransomware oder gar richtigen „GAUs“.

Microsoft hat sich in diesem Jahr ein besonderes Bonbon erlaubt. Es wurde ein sog. „Master-Key“ von einer Hackergruppe erbeutet, welcher wie ein Generalschlüssel für die Cloud betrachtet werden kann. Was dies letztendlich für Folgen hat (eigentlich müsste man die gesamte Cloud von Microsoft als kompromittiert ansehen), ist immer noch nicht abzusehen. Microsoft selbst hält sich verständlicherweise sehr bedeckt und die Mainstreampresse, welche sonst jede tolle Neuerung von großen Anbietern bejubelt, befand dieses Thema offenbar als uninteressant. Böse Zungen könnten nun behaupten, Microsoft würde sein Werbebudget und Marktmacht missbrauchen, um unliebsame Presseartikel unter dem Deckel zu halten.

Einige Beispielartikel:

Microsofts gestohlener Schlüssel mächtiger als vermutet

Ein gestohlener Schlüssel funktionierte möglicherweise nicht nur bei Exchange Online, sondern war eine Art Masterkey für große Teile der Microsoft-Cloud.

heise online

Microsofts gestohlener Cloud-Master-Key

Wenn sich die Wolken der Cloud verdunkeln

IT Works AG

Sicherheitsrisiko Microsoft?

Feuer von der US-Politik nach Microsofts Azure Cloud-GAU und Forderung zum Microsoft Exit

Borncity

Was bleibt den Nutzern der Cloud in solchen Fällen? Sie müssen selbst eingehende Analysen ihrer Azure Cloud betreiben! Bis kurz vor dem Bekanntwerden dieses GAUs waren Log-Dateien bei Microsoft nur gegen Aufpreis erhältlich. Ein Manko, welches vielen großen Playern anhaftet. Die fehlende tiefere Einsicht in Protokolle durch den User bzw. Administration selbst.

Alternativen

Trends lassen sich nicht umkehren oder aufhalten. Aber Entscheidungsträger in Unternehmen müssen abwägen, wie weit sie sich von solchen Anbietern wirklich abhängig machen wollen. Der kurz- und mittelfristige Nutzen durch Kosteneinsparungen für eigene IT, Personal und Lizenzen ist oft zu kurz gedacht. Die Migration eines Unternehmens in die Cloud ist ebenfalls mit teils hohen Kosten verbunden und die Anpassungen sowie der Support für Enduser verschlingt bis zur Umstellung ebenfalls Budget.

Fragen Sie sich als Entscheidungsträger, ob

  • Ihnen die Abhängigkeit von einem Anbieter diese begrenzte Kostenreduktion wert ist
  • Ihre Daten uneingeschränkt von Dritten genutzt, vermarktet und verwertet werden können
  • es im Falle eines Datenlecks bei diesen Anbietern zu enormen Kosten in Ihrem Unternehmen kommen kann (bspw. durch verletzte NDAs von Kunden und Lieferanten)
  • Sie bei Preissteigerungen durch den Anbieter diesen alternativlos gegenüberstehen wollen
  • Sie keinen administrativen Einblick in die Kernfunktionen Ihrer Cloud haben wollen

Es gibt durchaus lohnende Alternativen zu den Diensten großer Cloudanbieter. Viele davon sind im Open Source Bereich zu finden und werden von uns für Kunden erfolgreich realisiert. Größtenteils sind diese Systeme lizenzkostenfrei, müssen aber eingerichtet und gepflegt werden.

Dokumentation, Dokumentation und nochmals Dokumentation

Was uns in den letzten Jahren bei vielen Neukunden aufgefallen ist: fehlende oder unzureichende Dokumentation der IT-Systeme. Das betrifft besonders die großen „Systemhäuser“, von welchen man eigentlich ein professionelleres Vorgehen erwarten kann. Aus diesem Grund erhalten alle Kunden von uns eine sehr detaillierte und fortlaufend gepflegte Dokumentation ihrer Systeme. Dies sichert ein weiteres Stück Unabhängigkeit gegenüber Dritten. Denn selbst als IT-Dienstleister muss man sagen: auch von „uns“ kann man als Kunde abhängig sein. Und falls man sich nicht mehr „grün“ ist (was bisher in über 20 Jahren noch nie vorgekommen ist), kann man eine saubere Übergabe vollziehen.

Beispiele - Hypervisor-Systeme, Mailserver uvm.

Ein Plädoyer für Open Source Software

Der Großteil unserer Bestands- und Neukunden hat sich dazu entschieden, Open Source Systeme ohne fremde Cloudleistungen zu nutzen. Einige Kunden konnten wir bereits von den Vorteilen der „eigenen Cloud“ überzeugen und diese sind nach jahrelanger Nutzung weg von Anbietern wie Google oder Microsoft hin zu eigenen Lösungen migriert.

Proxmox - der bessere Ersatz für Hyper-V und VMWare

Sämtliche Virtualisierungssysteme unserer Kunden haben wir mittlerweile weg von den kommerziellen Anbietern wie Microsofts Hyper-V oder VMWare (vSphere/ESXi) hin zu Proxmox VE migriert. Das System kann einzeln oder im Cluster betrieben werden. Als Basis kommt ein Debian Linux zum Einsatz und es bleibt den Kunden überlassen, ob sie die kostenfreie (welche keinerlei Einschränkungen hat) oder die Subskriptionsvariante nutzen wollen. Starke Features wie das ZFS Dateisystem, ein „hauseigener“ Backupserver uvm. sind nur einige Eckpunkte.

Mail- und Cloudserver

E-Mail und Cloudspeicher lassen sich ebenfalls mit robusten Open Source Projekten realisieren. Beispiele sind hierfür etwa

  • Nextcloud
  • SeaFile
  • Kopano
  • MailCow

Diese Dienste lassen sich auch als Docker Container betreiben, skalieren und relativ einfach warten.

Office Tools

Libre Office, Stirling PDF, BitWarden/VaultWarden, OpenProject – die Liste frei verfügbarer Office Programme ist lang. Auch der Großteil dieser Programme kann unter Docker betrieben werden.

Firewalls, VPN & AdBlocker

Wir setzen bei unseren Kunden konsequent auf OPNSense Firewalls in Kombination mit diversen AdBlockern (bspw. PiHole, AdGuard Home, etc.) und IPS/IDS-Plugins. Auch sichere und zeitgemäße VPN-Zugänge lassen sich hiermit realisieren. Home Office Zugänge sind damit kein Problem.

Fazit

Man sollte die Cloud nicht grundsätzlich als „Teufelswerk“ ansehen. Jedes System hat sein Vor- und Nachteile. Aber letztendlich sind die Themen Datenhoheit und Unabhängigkeit von Anbietern essentielle Fragen, die sich jeder Entscheidungsträger stellen muss. Und diese sehen wir durch den Einsatz von geschlossenen Systemen von großen Anbietern in keinster Weise gegeben.

Nach oben scrollen