Cloud Computing, SaaS, IP im Auto – und Vorsicht!

Cloud Computing, Saas, IP-Technologie in den Fahrzeugen, Datenschutzvergehen à  la Mehdorn, Blackberry, Skype und vieles mehr, bei allen aufgeführten und nicht aufgeführten, doch vorhandenen Fällen steuern wir immer mehr in die überwachte beziehungsweise abgehörte Gesellschaft – und zum Teil in die Unsicherheit. Fortschritt ist nicht aufzuhalten, heißt es. Doch was bitte ist hier der Fortschritt, wenn dafür Privacy und jahrelange errungene Sicherheit aufgegeben werden? Ganz sicher Konnektivität und Interoperabilität zu einem hohen Preis.

Cloud Computing und Saas, was ist neu daran außer dem Namen und der Marketing-Slogans? Als Optimist ist es das Webbasierte, was alle Infrastrukturen kooperieren läßt, die SOA-Fee, die Funktionalitäten, die ich ansonsten in vielen Einzelanwendungen laden und “verschnittstellen” müßte, das Bunte. Als Pessimist ist es das Risiko, dass alle Daten beim Dritten liegen, dass ich mich voll in die Abhängigkeit begebe, dass man immer nur die Benutzer-Hochglanzsicherheit sieht, die auch vorhanden ist – und wenn man tiefer geht und die interne Policy des Providers hinterfragt, sehr oft auf heiße Luft stößt. Derzeit argumentieren die Anbieter mit diversen Security Levels, die vom Abonnement-Preis abhängig seien. Noch penetranter nachgehakt erweist sich vieles als noch…sagen wir einfach “unreguliert”. Da liegen Terrabytes an Daten von DAX-Unternehmen einer ganzen Wirtschaftsnation, die man zentral verarbeiten könnte. Wie es im Spiegel Spezial in den 90iger Jahren von EDS behauptet wurde.

1995 habe ich schon bei einer Bausparkasse im Ländle Software on Demand erlebt im LAN, mit OS2, das Ganze in einem superschnellen Token Ring, mit z/OS und SAP R2 darauf laufend, ein AIX-Cluster als Mail-Lösung, das ganze super schnell und ohne Reibung, für nicht einmal 2000 Benutzer. Ich glaube, keiner dieser Benutzer wollte damals je mit etwas anderem arbeiten oder hätte an SaaS gedacht.

Cloud Computing und Saas sind nicht so neu, wie es immer gepriesen wird. Auf dem Mainframe hatte EDS solche Lösungen schon Anfang der 90iger Jahre, natürlich nicht in einer Web-basierenden Infrastruktur, wie es heute der Fall ist und immer als Vorteil gepriesen wird. Man kann es sich unschwer vorstellen, doch das wollte man damals gar nicht. Man wollte schnelle, schlanke und sichere Terminals, Anwendungen die maximal 1-5 Kb pro Transaktion über die Leitung schicken, mit denen man dünne WAN-Leitungen mieten konnte und jede Menge Geld gespart hat; für diesen hat Zweck ein Modem gereicht – das hat es auch getan, und die Arbeit wurde erledigt. Man hatte viel Geld, der CIO war meist vom Fach und nicht Ökonom oder ein IT-Ökonomderivat, die heutzutage nur Excel-Sheets aufbereiten können und eine Firma kaputt sparen können, nein, da war Innovation und man musste gar nicht wirklich sparen, um in der Folge auch nicht auf neue Ideen zu kommen. Heute vermarkten manche schon gescheiterte Projekte als Lessons learned.

Manche Ideen sind einfach genial, andere wiederum sind nur aus einem Leid Dritter geboren. Mitunter eines der ersten Dienstleistungen wie Cloud Computing oder SaaS waren seit 2003/2004 die outgesourcten Dienste für Security. Man erinnere sich an Webwasher, Symantec usw. Oder wie würden Sie das nennen? Outsourcing? Man schickte seine Daten durch den Filter beim Provider und alles Malade wurde entfernt.

Stellen Sie sich mal Mehdorn als Chef eines SaaS-Providers vor. Ist das nicht ein toller Gedanke?

Nun, was mag ich persönlich nicht an SaaS, Cloud Computing oder auch Outsourcing? Es ist die Tatsache, dass ich mich nackt fühle, ausgezogen. Alle meine Daten liegen beim Dienstleister. Doch das ist immer so bei Dienstleistern. Das stimmt, aber sie sind verteilt auf vielen verschiedenen Systemen und Datenbanken. Bei guten Providern sogar verschlüsselt – doch Vorsicht, auch Verschlüsselung hat unterschiedliche Qualitäten. Das ist alleine schon so ein komplexes Thema an sich, private key, public key, symetrische und asymetrische Verschlüsselung – was war noch einmal was, und wofür? Egal, Hauptsache meine Daten sind verschlüsselt. Kommunikationsverschlüsselung? SSL 2.0, ja, gut, das wurde just diese Woche geknackt. Ach was, ehrlich? Ja, aber wir nicht. Genau. Lesen Sie denn die Vulnerability Reports nicht? Nein, das macht unser Administrator. Welcher? Der für Windows. Und was hat der mit SaaS zu tun? Nichts! Ach was. Genau.

Den Masterkey für 7 Terrabyte Daten beim Provider haben dann 8 bis 30 Leute, genauere Angaben kann der CSO des Providers leider nicht geben? Administrative Zugriffe werden geloggt, man weiß aber nicht welche, im Umkehrschluss also nicht alle, aha. Gut, gut.

Das Logfile ist aber manipulationssicher? Nein, wir haben keine Blackbox, die verplombt ist und alle Admin-Zugriffe logged. Doch unsere Administratoren sind alle geschult und haben eine Datenschutzerklärung unterschrieben, so der Provider. Ach ja. Ein nicht genau identifizierbarer Mitarbeiter des Providers kann dann mit einem Schlag 7 Terrabyte von 100 Kunden entschlüsseln? Cool! Ist das schnell. Was für ein Service?! Den muss ich auch haben, oder?

Unsere Daten liegen dann also bei Ihnen in Italien? Nein, unsere Hauptverwaltung ist in Italien, wir bedienen uns eines RZs in den baltischen Staaten, innerhalb der EU. Ja dem Himmel sei dank. Das stimmt unseren Datenschutzbeauftragten gleich freundlicher. Lettland, nicht Lybien. Alles kein Grund zur Paranoia. Wir speichern doch sowieso keine kritischen Daten beim SaaS-Provider, so der Projektleiter der an SaaS interessierten Firma. Stimmt, denke ich als Berater. Nicht zu Beginn, doch mit der Zeit….

Geheimdienste, Wirtschaftsspionage, auch von EU-Staaten gegen EU-Staaten, alles nur in der Rubrik Action Thriller der Stadtbibliothek zu finden. Geniale Services, nach außen hin Hochglanz, super sichtbare Sicherheit, oder etwas umsonst wie Skype. Wollte bei Skype die CIA nicht etwa Geld sparen, und müssen sie nun nicht mehr teuer Telefonate filtern, sondern filtern nun direkt auf das Protokoll von Skype? Das ist zentral, geht schneller und ist billiger. Oder nehmen wir eben irgendwie etwas anderes Geniales wie z.B. Blackberry und die Geschichte vom Kanadischen Geheimdienst. Alles Erfindungen meinen Sie? Wer außer mir käme da auf die Idee, da wäre etwas faul daran? Bruce Schneier – der Sicherheitspapst? Sie glauben auch ihm nicht? Dann glauben Sie doch wenigstens der EU, und lesen Sie mal aus Spass den Echelon Report.

Schweden, das ist IKEA, Midsommer und Knut. Zum Einen. Zum Anderen ist Schweden aber auch grenzüberschreitendes Abhören seit dem 18.2.2008. Kriminelle Subjekte, gibt es, …doch nur 5 Prozent einer Gesellschaft sind kriminell, so die Kriminalisten. Hightech-Firmen, die über ein im Garten der Firma verlegtes WaveLAN, das sich in einer Tupperdose im Erdreich verbuddelt befindet und direkt am Switch des LANs angeschlossen ist, abgehört werden, aber nein, bei uns doch nicht, solche Geschichten erzählen nur Verfassungsschützer auf Sicherheitskongressen, um anzugeben.

Wenn ich Ihnen jetzt noch mitteile, dass in Zukunft ein Hacker Ihre IP-gesteuerte S-Klasse dahingehend manipuliert, dass bei 250 km/h der Bremsassistent die Bremsbeläge ohne Ihr Zutun zu einer Vollbremsung überrede,t und die zwei Front-Airbags aufbläst, dann erklären Sie mich für vollends verrückt. Traf ich auf einem Flug nach Gothenburg vor 8 Jahren schon einen Dänen im Flugzeug, der erste Virenscanner für Autos entwickelte, die großen Autohersteller in Europa besuchte, aber nur belächelt wurde und Mißgunst erntete. Zu früh erkannte der geniale Däne, was BWM diese Wochen in Monster suchte: Doktorant für Fahrzeugsicherheit gesucht. Man möchte IP einführen. Nur für den Fortschritt. Noch mehr Vernetzung. Wozu? Nun, mehr Konnektivität, mehr Interoperabilität, Kosten sparen. Was im RZ geht, funktioniert auch für das Auto. Für IP gibt es schon so viel Technologie. Das muss nicht alles für das Auto explizit entwickelt werden, das ist schon da, ein wenig Modifikation, ein bißchen Sicherheit, dann passt es. Nun, die Hersteller werden das brav entwickeln, und dann irgendwann, wenn ein IT-Ökonomderivat sparen will, halbfertig outsourcen. Wir werden Spannendes erleben.

Ich habe in meinem Auto ca. 50 zentrale Steuereinheiten (ohne Gateways und Busverteiler, ohne das elektronische Zündschloss). Da ist viel Spielraum für Manipulation, vor allem wenn ich häufig verschiedene Werkstätten aufsuche und an ebenso verschiedenen Testern hänge. Vor allem aber, wenn das Werk in Stuttgart per Remote-Zugriff die Kontrolle über die Programme in meinem Auto hat. Wie sicher ist eigentlich die IT in Stuttgart? Mit Sicherheit wird ein Zertifikat der Big 4 auf meinem Display kurz nach dem Start aufleuchten, damit ich mich sicherer fühle. Alle Stern-Parameter in einer sicheren Oracle-Datenbank, oder vielleicht später aus Spargründen der IT in MySQL auf Linux? Der Gedanke daran macht mich skeptisch und wird wohl in den Anfängen dafür sorgen, dass ich einem Youngtimer oder wenn ich ihn mir leisten kann, einem Oldtimer gleicher Marke eher zugeneigt sein werde. Eben ein Auto, das ich zur Konfiguration nicht erst an meinen Laptop hängen muss, bevor ich es das erste Mal in Betrieb nehme, und in dem Gott und die Welt meine SMS und E-Mails lesen kann, die in irgend einem Cache im IP-Netz des Autos herumhängen.

Wir empfangen während der Fahrt bei Tempo 250 km/h sogar mittels Kommunikationsschnittstelle automatisch heruntergeladene Updates – wenn Sie Glück haben, können Sie das im Menü während der Laptop-Erstinstallation deaktivieren. Wenn das aber so geregelt ist wie bei Vista, au weia. Ja, das ist alles gar nicht abwägig. Genau darüber unterhalten sich die Elektronikgurus der Automobilhersteller. Sie machen das Gleiche wie die Flugzeughersteller mit IP-Technologie. Warum auch nicht? Ich schlage vor, wir nehmen Java als unsichere Programmiersprache für die Entwicklung von Anwendungen zur Atomkraftwerkssteuerung wieder von der Liste der verbotenen Progammiersprachen für diese Zwecke. Warum so panisch? Wenn ich durch die Endlager schon verstrahlt werde, dann kann man doch auch ein bichen kostengünstiger programmieren. Letztes Jahr habe ich in den USA schon eine Ausschreibung genau dazu gesehen: Java Programmierer für Anwendungen der Kernkraftwerksteuerung gesucht (in Monster.com). Ich hoffe es war nur ein Scherz…

Es gibt aber auch Besserung in der Welt. Welche Produkte kopieren Chinesen, wenn Sie schon alles von Dritten kopiert haben? Die Antwort lautet: Ihre eigenen (:-).

Es wird spannend in der nächsten Zeit. IT ist wie Krawattenmode. Es wiederholt sich alles, doch es wird bunter, funktionaler, kooperativer, flexibler, virtueller, heiter bis cloudig – doch schon aufgrund der Tatsache, dass Konnektivität leider immer noch Vorrang vor Sicherheit hat in den Köpfen der IT-Planer, wird alles unausweichlich auch erst einmal unsicherer, bis die Kurve nachzieht. Und genau in dieser Zeit ist Vorsicht geboten.

Teilen Sie uns Ihre Erfahrung mit SaaS oder Cloud Computing oder mit IP gesteuerten Autos mit – wir freuen uns auf Ihren Beitrag oder Kommentar

23.07.2010
Alexander Tsolkas




Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden .