Welche Chance geben wir der Cloud?
Ich weiß nicht recht, wie ich den Artikel anfangen soll, denn es geht um so vieles, aber nur eines scheint am Ende relevant zu sein. Als wir vor Edward Snowdens Wistleblowing vom Outsourcing, Co-Sourcing und Hosting auf die Cloud zugingen, waren viele euphorisch. Alles wird billiger und besser. Vor allem billiger. Es gab auch einige Skeptiker. Leute, die bei Know-How-Trägern im High-Techbereich arbeiten und sagen, dass sie hoch sensible Daten nicht in die Cloud stellen würden, höchstens in eine private Cloud.
Dieser Spruch aber, unterscheidet sich kaum merklich von den Aussagen, die Unternehmen getroffen haben, bevor sie Outsourcing als neue Datenverarbeitungsform für sich entdeckt haben. „Wir werden keine sensiblen Daten auf die Systeme von unseren Outsourcing-Anbietern stellen“. 40 Jahre später waren jegliche klassifizierte Informationen nach dem Komplettoutsourcing auf den Systemen des Outsourcing-Anbieters gespeichert, und sogar auf denen von Subunternehmern. Wie kommt es? Wird sich dieser Vorgang mit sehr großer Sicherheit in weniger als 20 Jahren in der Cloud wiederholen? Daran wird auch Edward Snowden’s Aussage nichts ändern.
Aber was versprechen sich Großunternehmen von Cloud Computing? Es soll billiger werden. Billiger steht in über 90% aller Fälle im Projektantrag. Erst danach soll nur das genutzt werden was wirklich benötigt wird. Man spricht von schnelleren Reaktionszeiten auf interne Anfragen. Was der CIO erst lange aufbauen und testen muss im Unternehmen, kann der Cloud Provider sofort liefern, so der Mythos. Weit gefehlt. Standard Cloud-Computing, das können alle großen Anbieter. Wenn Sie genauer hinschauen, unterscheidet es sich nicht merklich vom Outsourcing. Ob dedizierte Server oder nicht, normalerweise ist alle Infrastruktur ge-shared, es wird virtualisiert bis in die Wolken, die Antwortzeiten sind ein wenig schlechter, und alle sind meist von dem Ausfall ge-sharter Infrastruktur betroffen, die Stromrechnung ist günstiger. Ein paar SAP Clouds hier, Mailclouds dort, Office 365 gibt es auch. Die einen haben architektonisch bessere Clouds, die anderen haben leistungsfähigere größere Clouds, andere haben spezialisiertere Clouds (Mittelstandanwendungen z.B.). Die pinkfarbigen verarbeiten nur in Deutschland und im Osten, die blaufarbigen und türkisfarbigen auch in England, der USA und sogar der ganzen Welt, das bunte Fischchen bleibt mit den Daten zumindest in Europa. Unverschlüsselte Daten werden also durch den GCQH und die NSA, durch Echelon, seinem Nachfolger und Carnivore direkt mitgelesen.
Ich weiß gar nicht, warum sich so viele über das Abhören der NSA und des GCHQ aufregen. Die EU-Kommission warnte 2001 bereits auf Ihrer Webseite alle Bürger der EU vor massivem Abhören durch Echelon und Carnivore, und bat Untenehmen und Bürger der EU Verschlüsselung einzusetzen. 2001 war der EU leider noch nicht bekannt, dass es wahrhaftig keinen sicheren Verschlüsselungsalgorithmus auf der Welt mehr gab und geben würde. Der 2048 bit RSA, der berechnet die Primzahlen gar nicht so randomisiert wie immer vorgegeben. Und der AES, unser elliptische Kurvenalgorithmus, der ist nicht sicher, weil die NSA bei den Schnittpunkten, in denen die Gerade die Kurve schneidet mitbestimmt hat. Also auch wenn das BSI und die ENISA sagen, all das sei sicher, glauben Sie das bitte nicht. Es war niemand weniger als Bruce Schneier, der das mit dem AES zugeflüstert bekommen hat.
Selbst Militärs in Deutschland, die sich dazu hinschlagen ließen Lotus Notes bei unserer Bundeswehr einzusetzen, überprüfen seit Snowden jedes System auf mögliche Sicherheitslücken, und sind sich nicht sicher, ob neben der Verschlüsselung im Lotus Notes auch der Verschlüsselungsalgorithmus, den eine bei uns eingesetzte US-amerikanische Flugabwehrrakete mit dem Leitradar verbindet, sicher von einem deutschen Soldaten gesteuert werden kann, also völlig frei? Die Kommunikation der Rakete mit dem Leit-Radar ist verschlüsselt. Mit einem US-amerikanischen Verschlüsselungsalgorithmus. Es klingelt?
In Europa gibt es amerikanische Agenten, die unsere Enegieversorger beraten. Sie sichern Kernkraftwerke in Frankreich ab und das Energy Grid in Deutschland. Und wenn das Grid Einzug hält in unsere Energieversorgungsnetze, dann stehe man uns bei, wenn wir Sicherheitstechnik einsetzen, die nicht aus unserem Land kommt. Nach der totalen Kontrolle des Internets folgt die totale Kontrolle der Urban Security. S5, S7, SCADA, Kraftwerke, Wasserversorgung, Verkehrsleitsysteme, und mehr. Ein Land spielt nicht mit wie die USA es wollen? Ein kleines Grid-Stuxnet-Virus und aus ist der Strom, das Gas, das Wasser, bei den Deutschen, Iranern, und wo auch immer benötigt. Es läuft auf die totale Kontrolle hinaus. Fahren Sie bitte auf die SPS IPC Devices Messe nach Nürnberg vom 26-28.11 und schauen Sie sich den Vortrag von Prof. Pohl an. Anhand einer Speicherprogramierbaren Steuerung zeigt Ihnen Pohl in Live-Demos wie bisher unbekannte Sicherheitslücken identifiziert und ausgenutzt werden. Die Ausnutzung einer Sicherheitslücke führt unmittelbar zu einem Totalausfall der SPS.
Cloud Computing funktioniert wesentlich schlechter, als alles andere was es zuvor gab. Ob es wirklich billiger oder nur schöngerechnet ist, mag ich ebenso bezweifeln, aber lassen wir einfach einmal das stehen, dass es günstiger ist. Nehmen wir einfach an, Cloud-Computing kostet weniger als Outsourcing. In allen großen Cloud-Computing-Projekten gibt es größere Schwierigkeiten als es im Outsouring jemals gab. So massiv, dass man das eine nicht einmal mit dem anderen vergleichen darf, weil es sich auf zwei völlig unterschiedlichen Qualitätsniveaus abspielt. Während Outsouring in seiner höchsten Vollendung der Mercedes der Datenverarbeitung ist (der Rolls ist die eigene Datenverarbeitung), stehen wir beim Cloud Computing vor einem Dacia. In allen Projekten, in denen ich bisher war bei Kunden, oder für Kunden im Auftrag von großen Cloud-Anbietern, gab es so viele Schwierigkeiten in den Projekten, wie ich es seit fast 20 Jahren nicht mehr erlebt hatte. Also zumindest nicht mehr seit der Einführung von Projektmanagement und Qualitätsmangement. Ich komme von EDS, dort habe ich Datenverarbeitung gelernt, im RZ und am Großrechner. EDS führte als eines der ersten Unternehmen auf der Welt Qualitätsmanagement ein. Nicht umsonst war das Unternehmen viele Jahre so erfolgreich. In Cloud-Computing-Projekten werden sie sich an die Zeit vor Projekt- und Qualitätsmanagement zurückerinnert fühlen. Lange davor. Hochglanzbrochüren mit Prozessbeschreibungen für die Sicherheit vom Feinsten werden Sie finden für neue Cloud Sicherheitsstandards, und die ITIL Bröckelfassade kommt nach dem Kauf direkt hinterher, wenn Sie mit der Produktion zu tun haben. Zwischen der Brochüre und der Produkutionsrealität werden Welten liegen. Oder andere Provider wissen nicht so recht, wie sie einen Cloud Sicherheitsstandard für sich definieren sollen, und setzen auf BSI Grundschutz und dem Virtualisierungsmodul für die Cloud. Und dabei gab es schon vor mehr als vier Jahren vom Professor Wolfgang Böhmer den Artikel „Mit BSI Grundschutz in der Cloud reitet man ein totes Pferd“.
Bei einem großen deutschen Provider fühlte man sich sogar so stark, dass man große Cloudprojekte sogar ohne Projektplan durchzog. Viele Kunden stellen sich ungefähr vor, was sie sich von Cloud Computing erhoffen. Aber scheinbar hören sie nicht richtig zu, was der Provider wirklich anzubieten hat im Cloud Computing, oder verstehen es nicht. Es folgen Verträge, die auf Kostensenkung optimiert werden (wir müssen 40.000 Server in die Cloud stellen und auf 28.000 runtervirtualisieren) und das darf nicht mehr kosten als X Euro. Was die Technik dann verrichten mag, setzt man eher mit einer Art Vodoo-Intuition voraus, „naja Provider 0815 wird ja wohl ein Office anbieten können, und Exchange, und ein wenig Blackberry, Android und OS. „SAP benötigen wir auch, und bitte noch ein wenig AS400, Unix sowieso, und Datenbanken“. „Wie? Sie bieten Cloud Computing an und können nicht einmal ein Produkt zum Database Activity Monitoring anbieten?““Wir haben aber zig tausend Datenbanken und benötigen das unbedingt.“ Und überhaupt, in unserer heutigen IT gibt es das schon.
Alles was man sich im Outsourcing oder der eigenen IT so schön aufgebaut hat, bröckelt in der Cloud völlig auseinander. Transitionphasen in Outsourcing-Projekten sieht man selten. Meist wird die Cloud designed, die Infrastruktur aufgebaut und in Betrieb genommen, und schon wird auch schnell migriert, ein kleiner Test, und schwupps geht es in die Produktion. Man möchte schließlich ähnlich wie beim Hausbau, Zinsen – bzw. im Cloud Computing Kosten sparen. Und so merkt man dann, wenn schon alles aufgebaut wird an den ersten Tests, was alles noch fehlt. Was man auf einmal nicht mehr hat. Oder was eben doch nicht geht. Und dann ordert man es nach, auch wenn der Provider von Anfang an sagte „das können wir nicht in der Cloud“, man ordert nach, und hört auch das Zweite Mal nicht richtig hin. Können wir vor dem Vertrag nicht, heißt nicht, dass der Provider es nach dem Vertrag auf einmal doch kann. Und so setzt man den Provider unter Druck, und der wiederum sucht in seiner Organisation verzweifelt jemanden, der es planen, liefern und betreiben kann, und sogar außerhalb wird gesucht, aber sehr oft wird nichts gefunden, und es bleibt bei der Lücke.
„Wir setzen bei uns ArcSight ein, so der Kunde des Cloud Anbieters. Können Sie aus unserer Cloud Daten mittels ArcSight in unsere ArcSight-Infrastruktur senden?“ „Nein, das können wir nicht. Wir haben zwar ArcSight, aber nur unseren Standard“. „Können Sie Qualys-Appliances einsetzen um auf Vulnerabilities zu scannen und die Ergebnisse in unser Qualys pushen? “ „Nein, das können wir nicht. Nehmen Sie doch Excel-Logfiles und Nessus, das ist das was wir können und anbieten.“
Cloud und Sicherheit? Die meisten Cloud-Anbieter können nur sehr wenige gefragte Standardsicherheitsprodukte zur Cloud liefern. Sie bekommen Virenscanner, Anti-Spam, IDS und ein paar Firewalls. Wenn Sie Glück haben dürfen Sie sogar unter mehr als einem Produkt auswählen. Vulnerability Scanning, Pentesting, Data Base Activity Monitoring und vieles, wirklich vieles mehr, ist bisher Science Fiction. Nichts wird gegen die angebotene Cloud Architektur geschnürrt und getestet. Provider haben fast nichts in petto. Man wird als Provider auf Sie zukommen und Ihnen anbieten, in einem Extraprojekt dies und das abzuwickeln bzw. anzubieten. Extraprojekt hier und dort bedeutet auch Kosten hier und dort. Und an dieser Stelle kommen wir auf den Vertrag. Noch nie im Leben las ich so schlechte generische ungeregelte alles offen lassende Verträge, wie für das Cloud Computing. Noch nie wurden Kunden so über den Tisch gezogen, weil man sich an den genauen Wortlaut in den Ausschreibungsverhandlungen am Tisch der Vertragsunterzeichnung nicht erinnern konnte, bzw. weil die, die das Projekt in Auftrag gaben und die, dies es abwickeln, nicht identisch sind. Dann wird unspezifiziertes hin und her interpretiert, bis einer aufgibt, und das kann lange dauern. Aber wollte man nicht auch die Cloud, weil es schneller gehen sollte? Weil die Provider flexibler sind.
Schauen Sie sich Ihren Provider genaustens an bevor sie einen Schritt tun, den Sie bereuen könnten. Prüfen Sie ihn auf Herz und Nieren. Lassen Sie sich Referenzen geben von anderen Kunden des Providers. Denken Sie nicht, dass Sie ihn sowieso schon nutzen im Outsourcing, und dass sie bei ihm in einer Cloud gut aufgehoben sind. Das stimmt in den meisten Fällen nicht. Lassen Sie sich Zeit die Verträge genau so auszuarbeiten, wie sie es benötigen. Aber all das können Sie sich sparen, wenn Sie vorher genau hinschauen. Hören Sie genau zu, was der Provider Ihnen anbietet. Wenn das was er sagt, genau das ist, was Sie sich vorstellen, greifen Sie zu. Wenn Sie aber anfangen zu überlegen, dass Sie dies oder das noch benötigen, dann vergessen Sie es. Dann ist die Cloud nicht die richtige Cloud und Sie müssen so leid es mir tut weitersuchen.
Nun geht es um weitere Themen. Cloud mit Speicherung in D oder in den USA? Derzeit rocken die deutschen Provider so richtig auf der NSA herum. Ja, rein vom Gefühl her würde ich einen deutschen Provider bevorzugen. Daten werden in einer deutschen Großstadt gespeichert, basta. Ist aber allen Ernstes egal, denn wenn Sie von München über Frankfurt nach Hamburg senden, landet alles ebenso in den USA. Dieses Argument zieht also nicht in jedem Fall bei mir. Fast das ganze Netz in Deutschland ist von C…. Gehen Sie mal in die Vereinigten Emirate und fragen Sie mal die Innenminister, was da genau im Netzwerk passiert und warum die ganze arabische Welt gerade andere Router einführen möchte?
Es ist relativ egal, ob Sie in der Cloud in Deutschland oder in der USA speichern. Die NSA kann auf beides zugreifen. Selbst wenn Sie verschlüsseln, denn es gibt keine sichere Verschlüsselung derzeit. Aus diesem Grund empfehle ich Ihnen u.a. ganz allgemein einen großen Bogen um das Cloud Computing zu machen.
Wenn Sie bei den Providern die Accountmanager suchen für das Outsourcing und den Preis mit Ihnen besprechen, dann können derzeit sogar ein Schnäppchen machen. Sie unterbieten sich schon fast gegenseitig. Zwar gibt die GF der Provider immer die Anweisung das Cloud Computing zu propagieren, aber was machen, wenn andere Kunden ihre Outsourcingverträge nicht so einfach verlassen? Auch Outsourcing hat dann noch seine Daseinsberechtigung und die Infrastruktur muss auch genutzt werden. Derzeit sind Schnäppchen möglich. Viele Anbieter von Clouds, die sich auf große Ausschreibungen bewerben, sind selbst so unsicher eine reine Cloud anzubieten, weil sie wissen wie schlecht sie sind, dass sie als Alternative immer dazu tendieren den gleichen Deal etwas teurer auch noch für das Outsourcing anzubieten. Aber mal ganz im Ernst. Sie sind mit dem etwas teurerem Outsourcing allemal besser bedient. Sie bekommen alles gleich und es funktioniert. Sie bezahlen kein Lehrgeld, damit der Provider lernt. Das Gleiche gleich sicher in der Cloud, bis das so weit ist, wie das Outsourcingangebot und auch so funktioniert, wird mit großer Sicherheit teurer. Alle die das Gegenteil behaupten zähle ich zu Schönrechnern.
Jetzt denken Sie, nach all den Informationen müssen Sie sich richtig schlau machen, was die Clouds angeht. Sie lesen sich ein. Bei Gartner, Forrester, IDG und wie die alle heißen. Ist Ihnen schon mal aufgefallen, dass jeder von den großen Research Companies und den Kleinen jeden Anbieter völlig unterschiedlich bewertet? Selten stehen zwei am selben Punkt. Das ist das Faszinierenste für mich. Da werden Benchmarks gekauft für viel Geld, und würde man alle kaufen und lesen und überprüfen, wüßte man am Ende nicht wer Recht hat? Man wüßte schon wer Blödsinn verbreitet, und wer von welchem Provider gesponsort und gekauft ist, und wer auch nicht richtig ausgewertet hat, aber sagen Sie ernsthaft, ist Ihnen das dieses viele Geld wert? Sie kaufen eine verlängerte Marketingbank eines Anbieters. Research Companies sind nach ihrem Start-Up noch unabhängig. Ab der Gründung müssen aber regelmäßig Gehälter bezahlt werden, und dieser Druck macht erfinderisch. Research Firmen sind meist so unabhängig wie Autozeitungen oder so unknackbar wie amerikanische Verschlüsselungsprogramme. Sie sind so hilfsbereit wie zu große Arztpraxen und führen auch schon einmal eine OP durch, die gar nicht notwendig war. Benchmarks taugen manchmal etwas. Sie sind oft falsch, voller Bauchgefühl, oder Vitamin B. Ich habe Analysten erlebt, die auf eine Beschwerde nach Veröffentlichung eines Benchmarks eines Herstellers oder Dienstleisters meinten, „ach der soll sich nicht so aufregen, er soll halt das nächst Mal mitmachen“ und verfielen in Gelächter, und regen diesen geprellten dazu an, das nächste Mal aktiv am Benchmark teilzunehmen.
Machen Sie lieber einen 5 Tages-Workshop mit einem unabhängigen Berater, der die großen Provider gut aus geleisteten Projekten kennt und arbeiten Sie Ihre Cloud aus, wenn Sie dennoch der Meinung sind, dass es eine Cloud sein soll. Das ist obendrein meist noch günstiger als einen Benchmark zu kaufen, und sie können sich auf Ihre Arbeit verlassen.
Alexander Tsolkas
