12.06.13 09:07, von Martin Weigert

PRISM: ...und plötzlich erscheint die Cloud wie eine dumme Idee

Lange war sich die Netzwirtschaft einig: Daten und Rechenprozesse sind in der Cloud am besten aufgehoben. Doch im Lichte der US-Internetüberwachung erscheint das Konzept plötzlich wie eine ziemlich dumme Idee.


CloudSeit Jahren propagieren nahezu alle Akteure der Netzwirtschaft unisono die Cloud. Ein immer größerer Teil von Rechenprozessen und gespeicherten Daten von Anwendern und Firmen landet in eben dieser - in großen virtualisierten Server-Clustern in einem Rechenzentrum um die Ecke oder am andere Ende der Welt. Zu offensichtlich scheinen die Vorteile: Durch die kollektive Verwendung von Rechenressourcen sowie die Auslagerung von Daten sinken für User, Dienstebetreiber, Firmen sowie Organisationen die Kosten ihrer Nutzung und Prozessierung, gleichzeitig steigt der Komfort. Was in der Cloud liegt, kann von beliebigen Geräten aus abgerufen und auf vielfältige Weise weiterverwendet werden. Hinzu kommen viele individuelle Synergieeffekte und Innovationspotenziale.

Dass das Outsourcing von Rechenprozessen und Datenspeicherung nicht ohne Risiken ist, weiß jeder. Doch die Nutzerzahlen von cloudbasierten Onlineservices (wozu ich auch auf zentralen Servern basierende soziale Netzwerke zähle), die Popularität von Clouddienstleistern à la Amazon Web Services, Microsoft Azure, Google App Engine und Rackspace sowie die Vielzahl der Großkonzerne, die ihre Kommunikations- und Produktivitätsstruktur teilweise oder ganz aus ihrer Kontrolle gegeben haben (Google Apps, Microsoft Office 365), sprechen eine eindeutige Sprache: Für viele überwiegen die Vorzüge der Cloud ihre eventuelle Nachteile. Doch im Lichte der jetzt enthüllten massiven Internetüberwachung des US-Geheimdienstes wirkt der Ansturm auf die Cloud plötzlich vor allem eines: dumm. Denn was machen wir eigentlich? Wir geben unsere persönlichen Daten - und damit meine ich sämtliche Daten, die bei der Verwendung von Onlineservices generiert und bei der cloudbasierten Verarbeitung von Daten prozessiert werden - freiwillig in die Hände von vorrangig auf der anderen Seite des Atlantiks ansässigen Webfirmen, erwarten dann aber aus bei genauer Reflexion unerfindlichen Gründen, dass diese Informationen dort absolut sicher seien. Wie naiv sind wir eigentlich?

Niemand würde ein persönliches Tagebuch an ein Unternehmen schicken, das verspricht, dieses für einen aufzubewahren und auch garantiert keinen Blick auf die Inhalte zu werfen. Nicht wenn es sich in Deutschland, der Schweiz oder Österreich befindet, und erst recht nicht, wenn es in einem fernen Land ansässig ist. Zu offensichtlich wäre, dass es eine solche Garantie nicht geben kann. Bei klassischen Public-Cloud-Services ist dies nicht anders. Doch dort macht es uns plötzlich nichts mehr aus, das digitale Pendant zum erwähnten Tagebuch - die Summe unserer privaten Konversationen, Dokumente, Medieninhalte, Profilangaben und Nutzungsmuster - in wildfremde Hände zu geben, die obendrei dafür von uns nicht einmal Geld verlangen.

Dies ist keiner dieser regelmäßig erklingenden Appelle für mehr Selbsthosting. Egal wie begrüßenswert es wäre, die komplette Kontrolle über sämtliche persönlichen Daten zu behalten - für die breite Masse der Nutzer ist dies schlicht keine Alternative, da zu kompliziert und unkomfortabel. Doch Nutzer könnten damit beginnen, sich bildlich vor Augen zu führen, was geschieht, wenn sie eine WhatsApp-Nachricht verschicken, ein fremdes Facebook-Profil betrachten, ein Dokument bei Dropbox hochladen oder eine Excel-Tabelle in Google Docs anlegen: Sie senden das digitale Gegenstück zu einem Blatt Papier mit persönlichen Informationen an ein Unternehmen mit der Anweisung, damit einen bestimmten automatisierten Prozess durchzuführen. Das Papier befindet sich in einem nur locker zugeklebten Umschlag mit dem Text "Bitte nicht öffnen".

Noch nie war das Dilemma des digitalen Zeitalters offensichtlicher als in diesen Tagen: Wir wollen die Vorzüge der globalen Echtzeitkommunikation und -Interaktion nicht mehr missen; sind regelrecht abhängig von ihr, wünschen uns aber gleichzeitig, nicht bis ins letzte Detail durchleuchtet werden zu können. Aus heutiger Sicht erscheint dies wie ein Problem ohne Lösung. Die letzte Hoffnung ist, dass Startups doch einen Weg finden, beide Ansprüche zu vereinen. Viel steht auf dem Spiel. /mw

Foto: stock.xchng/LeoSynapse

© 2015 förderland
  drucken
RSS Feed Beobachten

Kommentare: PRISM: ...und plötzlich erscheint die Cloud wie eine dumme Idee

Es gibt ja längst Anbieter wie Protonet (http://www.protonet.info/de), die genau auf dieses Problem reagiert haben und die "Heim-Cloud" erschaffen haben. Denen spielen solche Skandale natürlich in die Hände.

Diese Nachricht wurde von Jakob am 12.06.13 (09:31:30) kommentiert.

Deshalb gibt es Angebote wie http://owncloud.org/ So bleibt man Herr über seine Daten und ist unabhängig.

Diese Nachricht wurde von Mike Schwede am 12.06.13 (10:33:56) kommentiert.

Man muss sich aber auch fragen, welches Sicherheitsrisiko grösser ist, das ge hacked werden auf seinem eigenen, halb professionell administrierten Server, oder auf einem sehr professionellen Cloud Service, mit x backdoors zu x Organisationen.... Zum Thema Source Code und GitHub ein guter Artikel dazu: http://phpmagazin.de/artikel/Git-Sicherheit-0 Und hier das Fazit: Wem vertraut man also mehr? Wenn bei GitHub Daten kopiert oder manipuliert werden und das bekannt wird, ist GitHub schnell aus dem Geschäft. Man hat dort also ein großes Interesse daran, dass den gehosteten Projekten nichts passiert, und auch reichlich Erfahrung mit dem sicheren Betrieb der Git-Server und der GitHub-Infrastruktur. Kann der eigene Admin, der ja im Allgemeinen noch andere Aufgaben hat, da mithalten? Meist dürfte GitHub die sicherere Wahl sein.

Diese Nachricht wurde von Marco am 12.06.13 (10:39:58) kommentiert.

Einfache Lösung: Weg von der Kostenloskultur bei Google & Co. und hin zur Nutzung regionaler Produkte.

Diese Nachricht wurde von Frank Bursche am 12.06.13 (11:27:14) kommentiert.

hab ich mir angeschaut. Leider kann man weder gemeinsam an Tabellen arbeiten noch ein anderes Textformat als .txt (=ohne Formatierung) bearbeiten.

Diese Nachricht wurde von ClaudiaBerlin am 12.06.13 (11:27:17) kommentiert.

Genau! Und nur saisonal nutzen, also im Winter, damit die Server klimaneutral gekühlt werden können :/

Diese Nachricht wurde von Marco am 12.06.13 (13:21:40) kommentiert.

> Aus heutiger Sicht erscheint dies wie ein Problem ohne Lösung. Die letzte Hoffnung ist, dass Startups doch einen Weg finden, beide Ansprüche zu vereinen. Für einen Teil des Cloud Computing - Cloud Storage - gibt es bereits heute vernünftige und praktikable Lösungen um die Privatsphäre der Dateien sicherzustellen, die man dort hochlädt. Dazu zählen vor allem Verschlüsselungslösungen wie das von uns entwickelte Boxcryptor. Es stimmt allerdings leider, dass das Thema Verschlüsselung umso schwieriger wird, je "intelligenter" die Daten bzw. Dienste sind. Sobald eine Verarbeitung der Daten auf dem Server erforderlich ist, stößt Verschlüsselung heutzutage an ihre Grenzen. Für viele SaaS-Dienste ist es daher derzeit noch unmöglich ein ähnliches Schutzniveau zu erreichen wie es bei Cloud Storage heute schon der Fall ist. Es gibt in diesem Bereich also definitv noch genügend Probleme zu lösen... --Robert

Diese Nachricht wurde von Robert Freudenreich am 12.06.13 (14:24:45) kommentiert.

Wer sich auch nur wenig mit dem Thema Cloud-Computing beschäftigt hat, sollte jetzt wirklich nicht überrascht sein. Es liegt doch in der Natur der Sache, dass man bei Nutzung der genannten Dienste einen Kontrollverlust über seine Daten erleidet. In Abwandlung des Obama-Zitats "Man kann nicht 100 Prozent Sicherheit und 100 Prozent Privatsphäre und null Unannehmlichkeiten haben" würde ich sagen: Man kann nicht 100 Prozent Datensicherheit und 100 Prozent Privatsphäre und 100 Prozent Komfort haben. Für die die meisten Menschen ist ein Zugriff der NSA auf ihre Daten kaum besonders bedrohlich - sondern eher ganz normale Kriminelle, die sich Zugang verschaffen. Dafür braucht es keine aufwendigen Projekte von Geheimdiensten, dafür reichen einfache Sicherheitslücken in Kombination mit Leichtsinn aus. Neben Verschlüsselung sollte auch Datenvermeidung als Problemlösung genannt werden. Aber Datenvermeidung bedeutet auch Verlust von Bequemlichkeit. Personalisierung von Diensten aller Art hat große Vorteile, aber es sammeln sich unweigerlich Daten an, die viele Rückschlüsse auf die Gedanken, Vorlieben und Verhaltensweisen der User ermöglichen.

Diese Nachricht wurde von Oliver Springer am 12.06.13 (18:05:47) kommentiert.

Wer erst die Offenlegung von PRISM braucht, um zu erkennen, dass Richard Stallman Recht hatte, als er sagte, die Cloud enteigne ihre Nutzer, hat irgendwas nicht verstanden, fürchte ich.

Diese Nachricht wurde von tux. am 12.06.13 (18:45:26) kommentiert.

Ich kann mich den vorherigen Posts nur anschließen. Eigentlich war doch längst klar, dass es ein Sicherheitsrisiko darstellen muss, die Daten auf fremde Server ("in die Cloud") zu laden ... Es finden sich immer Begründungen, warum der Geheimdienst die Daten abfragen muss. Sei es der Terrorverdacht oder eine mögliche Straftat. Gerade was die Cloudanbieter im Ausland betrifft, muss man sich genau überlegen, wie es in dem jeweiligen Land um den Datenschutz steht. Doch was ist mit deutschen Anbietern? Hier drängen ja auch immer mehr Anbieter auf den Markt (siehe telekom cloud oder mobilcom cloud z.B. http://netz-blog.de/2013/mobilcom-debitel-bietet-eine-cloud-an/). Ich für mich habe mich zu einem NAS im Wohnzimmer entschlossen. Hier lässt sich auch bequem von unterwegs drauf zugreifen. Möglich aber nur mit der passenden Internetverbindung und vernünftiger Absicherung ...

Diese Nachricht wurde von Manuel am 12.06.13 (21:51:12) kommentiert.

Im Falle einer Privatperson? Der große, gewerbliche Server ist gefährlicher. Warum? Wenn du deinen Router per DynDNS ins Netz stellst und die Domain mit niemandem teilst, müsste ein potentieller Angreifer erstmal von der Existenz des Servers erfahren. Und selbst dann musst du als Ziel ausreichend attraktiv sein. Darum werden auch Linux-Desktops selten angegriffen. Zu viele verschiedene Technologien, Systeme etc., zu wenig lohnenswerte Ziele. Im Gegensatz dazu die Server: Wenige, weit verbreitete Distributionen und Server-Software, die auch von großen Anbietern genutzt wird, dadurch ein sehr attraktives Ziel. Aber mal abgesehen davon: Hacker klauen meine Daten, das NSA nimmt sie ganz offiziell. Was damit geschieht, weiß ich in beiden Fällen nicht. Wo ist meine Privatsphäre mehr und wo weniger gewahrt. Öffentliche Cloud-Dienste aus der EU und den USA sind somit broken by design.

Diese Nachricht wurde von Georg am 12.06.13 (22:27:56) kommentiert.

Alles, was hier von euch bisher als Ausweichlösungen vorgeschlagen würde, stimmt zwar, aber deckt nicht 99 Prozent der Use Cases ab, in denen der Mainstreamnutzer mit der Cloud in Kontakt kommt. Oder ist zu kompliziert.

Diese Nachricht wurde von Martin Weigert am 13.06.13 (08:17:00) kommentiert.

"Für die die meisten Menschen ist ein Zugriff der NSA auf ihre Daten kaum besonders bedrohlich " Es geht doch schlicht um die Aushöhlung des Rechts auf Privatheit (untechnisch formuliert). Unter dem Bedrohungsaspekt wäre auch eine regelmäßige amtliche Inspektion von Wohnungen für 99% der Bürger kein Problem. Aber das würde deshalb wohl auch niemand tolerieren wollen.

Diese Nachricht wurde von wim am 13.06.13 (11:52:38) kommentiert.

Ausnahmsweise mal ein humoristischer Kommentar: Mustafa, ein alter Araber, lebt seit mehr als 40 Jahren in Chicago. Eines Tages kommt er auf die Idee, dass er in seinem Garten Kartoffeln pflanzen möchte. Da er alleine ist, alt ud schwach, schreibt er seinem Sohn, der in Paris studiert eine Email… “Mein lieber Ahmed, ich bin sehr traurig. Ich schaffe es nicht mehr, in meinem Garten Kartoffeln zu pflanzen. Wärst Du hier, könntest Du mir helfen den Garten umzugraben. Dein Vater.” Wenig später erhält der alte Mann eine Antwort seines Sohnes: "Lieber Vater, bitte rühre auf keinen Fall irgendetwas im Garten an. Dort habe ich nämlich ‘das Ding’ versteckt. Dein Sohn Ahmed.” Keine halbe Stunde später umstellen Spezialeinheiten von FBI und CIA das Haus des alten Mannes. Sie stellen alles auf den Kopf, graben im Garten, suchen jeden Millimeter ab, finden aber nichts. Enttäuscht ziehen sie wieder ab. Am nächsten Tag erhält der alte Mann noch eine E-Mail von seinem Sohn: “Lieber Vater, ich nehme an, dass der Garten jetzt komplett umgegraben ist und dass Du die Kartoffeln pflanzen kannst. Mehr konnte ich nicht für Dich tun. In Liebe, Ahmed”

Diese Nachricht wurde von wim am 13.06.13 (11:58:11) kommentiert.

Nicht schlecht ;)

Diese Nachricht wurde von Martin Weigert am 13.06.13 (12:54:19) kommentiert.

Wie wär's mit einer NAS? QNAP oder gerade Synology bieten hausgemachte, fixfertige Cloud-Lösungen out of the box an. http://www.synology.com/dsm/index.php?lang=enu

Diese Nachricht wurde von JMW am 13.06.13 (13:36:01) kommentiert.

Martin, an DER Diskussion hätte ich mich wirklich gern ausführlich beteiligt. Leider hatte/hab ich die Tage absolut null Zeit. Deshalb nur soviel - auch wenns ohne Kontext irgendwie blöd klingt: Wir arbeiten hart daran. Also an dem Weg "[...] beide Ansprüche zu vereinen". Also nicht die Hoffnung verlieren :-)

Diese Nachricht wurde von Volker Dörr am 13.06.13 (14:06:34) kommentiert.

Private Dokumente in eine Cloud ablagern, würde mir auch nicht im Traum einfallen - zumal gute Speichermedien heute absolut bezahlbar sind. Da sind 50 Euro für eine weitere Festplatte, die einige hundert Gigabyte fasst und auf/unter jeden Schreibtisch passt, doch echt nicht die Welt.

Diese Nachricht wurde von DJ Nameless am 13.06.13 (15:30:09) kommentiert.

Es ist in der Tat mit großen Risiken verbunden, die persönlichen und geschäftlichen sensiblen Daten irgendwo in einer Datenwolke zu hinterlassen, wohlwissen, das es hin und wieder mal auch regnen kann... Was weg ist, ist dann weg...

Diese Nachricht wurde von Dominik am 13.06.13 (23:43:46) kommentiert.

Das Problem ist immer nur: Sind die Daten auf einem lokalen Rechner "sicherer"? Meist wurschteln kleine Firmen mit irgendwelchen Standard-PCs rum, kein RAID, keine automatische Sicherung usw. Dann wird der Laptop geklaut - und alles ist weg. Oder es wird mangels geeigneter Programme alles redundant in Excel-Tabellen abgelegt. Weil natürlich für so eine kleine Firma eine Individualprogrammierung jenseits des Budgets liegt, die Firma aber "eigentlich" aufgrund der Geschäftsprozesse eine individuelle Lösung bräuchte. Oder ist es dann "sinnvoller", wenn so eine Firma eine "kleine Online-Lösung" nutzt, die dafür gewisse Mindeststandards bietet? Auch wenn der Betreiber an die Daten rankommt? Der Freiberufler vor Ort käme auch an die Daten ran. Nur gibt es den meist nicht.

Diese Nachricht wurde von Jürgen Auer am 14.06.13 (01:21:58) kommentiert.

Kleine Anbieter rücken seltener ins Blickfeld der Geheimdienste, und verteilt man seine Daten auch noch über "unabhängige" Drittstaaten wie Norwegen und die Schweiz, nutzt dazu auch noch Verschlüsselung...ja, dann ist es sicherer! @Marco: Du bist einfach nur zu faul, um dir Alternativen zu suchen, oder?

Diese Nachricht wurde von Georg am 14.06.13 (08:55:22) kommentiert.

Hallo Jürgen, > Sind die Daten auf einem lokalen Rechner “sicherer” Aus Kundensicht zunächst mal schon. Da zählt auch das Argument nicht, dass ein Dienstleister i.A. viel besser abgesichert ist. Denn: a) kann der Kunde das nicht überprüfen, b) ist der Dienstleister viel interessanter für ev. Angriffe, c) gabs in der Vergangenheit schon zu viele Daten-GAU's, und d) werden selbige GAU's auch in Zukunft regelmässig eintreten. Und das sind nur ein paar der Argumente, die gegen eine bei Dienstleistern zentralisierte DV sprechen. Trotzdem denke ich, dass Deine kleine Onlinelösung sicher sinnvoller (und letztlich sehr viel preiswerter) ist, als das übliche Rumgewurschtel. Aber sicherer ganz sicher nicht :-) Wenn der Dienstleister die Daten allerdings beim Kunden lassen würde, sähe das schon anders aus. Wenn er dann außerdem noch ein cleveres System hätte, dass ihm keinen Zugrif auf Originaldaten erlauben würde, sondern z.B. nur mit daraus generierten Simulationstabellen arbeiten würde, dann wär das ne Bank. Und natürlich mit mehr Aufwand verbunden. Somit vermutlich also teurer. Die IBM hatte sowas m.E. mal als Untersystem von CICS/DS aufgesetzt. Am Ende bleibts also mal wieder ne Budgetfrage. Und wie die Unternehmen so 1-2 Jahre n.S. (nach Snowden) dann ihre Prioritäten setzen werden, kann ich mir so halbwegs denken :-) Grüße nach Berlin! -- Volker

Diese Nachricht wurde von Volker Dörr am 18.07.13 (23:13:51) kommentiert.
Diesen Beitrag kommentieren:

Die Kommentare können nur zwischen 9 und 16 Uhr
freigeschaltet werden. Wir bitten um Verständnis.

Titel*

Name*

E-Mail*

(Wird nicht veröffentlicht!)

URL

Kommentar*

Um Spam zu vermeiden, lösen Sie bitte folgende Rechenaufgabe:

Förderland-Newsletter

Wissen für Gründer und Unternehmer