DE Cloud - die deutsche Microsoft Cloud

Dass Microsoft auf Dauer nicht alle europäischen Kunden auf den beiden Standorten Irland und Amsterdam hosten kann, habe ich mir schon länger überlegt. Anfang 2015 gab es die ersten Meldungen, dass Microsoft ein eigenes Datacenter in Österreich und Finnland (für Exchange) aufbauen wird. Auch in Japan, Australien und Indien hat Microsoft schon Datacenter. In China gibt es wohl eine vergleichbare Lösung mit 21Vianet als Treuhänder.

Hinweis: Dieser Artikel enthält persönliche subjektive Einschätzungen, die nicht alle belegt sind. Nutzen sie mehrere Quellen, um sich ihre eigene Meinung zu bilden.

Kurzfassung

Quasi seit Snowden wird speziell in Deutschland das Thema Datenschutz immer wieder diskutiert. Speziell wird hinterfragt, wie sicher die Cloud ist, welche Risiken es gibt und wie die Geheimdienste (NSA und Co) zu betrachten sind, die anscheinend auch massiv Daten kopieren und analysieren. Auch gibt es US-Richter, die Microsoft auffordern Daten eines Tenant in Europa auszuliefern. All das sind Hürden bei einer Cloud-Planung, die aus dem Weg geräumt werden müssen. Das "Safe Harbor II" Abkommen als Nachfolger ist in 11 von 13 Punkten schon verhandelt aber an den beiden letzten Punkten gibt es Diskussionsbedarf:

  • ... American authorities are able to gain access to data held by American companies, wherever held
    Wenn also Microsoft als amerikanische Firma Daten von deutschen Firmen hosted, dann könnte Microsoft verpflichtet werden, Daten von allen Kunden auszuliefern.
  • ... only American citizens are able to seek redress in the American courts für breaches (eg of privacy ) by American companies.
    Damit soll jeden "Nicht-Amerikaner" der Weg verbaut sein, selbst illegales Vorgehen vor einem Gericht in den USA verfolgen zu lassen.

Genau diese beiden Punkte hebelt Microsoft nun aus. Ich kann also nicht behaupten, dass es Microsoft den amerikanischen Behörden leichtmacht. Mit der deutschen Cloud sollten diese Frage gar nicht mehr gestellt werden müssen.

Vieles ist aber noch unklar. So habe ich noch keinen Vertrag gesehen, kenne weder Preise und noch Leistungsumfang. Es bleibt auf jeden Fall spannend. Eine abschließende Antwort kann ich sicher nicht liefern aber Denkanstöße und Einschätzungen, die sie in ihre Überlegungen mit einbeziehen können.

Die Überlegungen von Microsoft

Im November 2015 hat Microsoft dann aber die Katze aus dem Sack gelassen. Es wird die ersten beiden Datacenter auf deutschem Boden geben. Im Gegensatz zu Amazon, Google und Co wird Microsoft diese Datacenter zwar selbst betreiben aber von der T-Systems überwachen lassen. Damit könnte Microsoft gleich mehrere Ziele erreichen:

  • Schneller Start
    Die Datacenter gibt es sicher schon und haben wohl genug Platz für weitere Server. Auch die Leitungen dürften schon liegen und müssen nur noch aktiviert werden. Das ist sicher ein Vorteil anstatt erst Zeit mit Bauanträgen und Erdarbeiten zu verlieren. Und genug "leere" Datacenter scheint es ja schon zu geben.
  • Nähe zum Kunden
    Mit einem deutschen Partner wie der Telekom, die für viele eigene Kunden auch MPLS-Netzwerke betreibt, wird es sehr einfach sein, nicht nur schneller sondern "nahe" Verbindungen mit geringer Laufzeiten zu etablieren. Die Telekom ist halt schon ein zumindest in Deutschland tief verankerter Anbieter. Und wenn ich mir die vielen kleineren Firmen anschaue, die auch mit Office 365 glücklich werden können, dann ist ein Datacenter mit direktem Zugang zum Telekom Backbone von Vorteil. Die Anbindung der Telekom z.B. an das De-CIX mit 20GBit (Quelle: www.peeringdb.com, Stand Nov 2015) ist ja nicht so prickeln, wenn Microsoft alleine 260 GB hat und Amazon, Apple, Google und Co auch drüber sind.
  • Rechtliche Aspekte
    Ich bin sicher keine verlässliche Quelle für Rechtsauskünfte aber Microsoft und Telekom reiten drauf herum, dass über das Treuhandverhältnis der deutsche Datenschutz besser gewährleistet wäre. Ob dem so ist, muss sich aber noch zeigen. Bislang ist mir die Telekom nicht gerade als Provider aufgefallen, der sich vehement gegen Interessen von Geheimdiensten gestemmt hat. Dazu wurden zulange Mails innerhalb von Deutschland über ausländische Peeringpoint geroutet.
    Und ob so eine Konstruktion dann wirklich vor US-Gerichten bestand haben wird, muss sich auch noch zeigen.

Insofern ist der Weg von Microsoft durchaus verständlich. Ich habe von mindestens zwei weiteren namhaften Firmen gehört, die von Microsoft ebenfalls im Vorfeld angesprochen wurden aber entweder nicht angeboten oder keine Zusage bekommen haben.

Vorteile für die Telekom

Natürlich muss sich sowas für den Treuhänder auch lohnen. Die Punkte dürften ähnlich wie bei den Überlegungen von Microsoft sein.

  • Datacenter-Auslastung
    Wenn man den Gerüchten glauben darf, dann werden Server immer leistungsfähiger bei reduziertem Platzbedarf und Rackspace wurde in der Vergangenheit auch gerne großzügig aufgebaut. Nun dürfte sich zumindest für die Telekom das Problem des Leerstandes entspannen.
  • "günstige" Kundenbindung
    Durch die Telekom-Internetkunden und das Backbone kann die Telekom über eigene vorhandene Leitungen die Verbindung herstellen. Kunden, die z.B. bei Vodafone, BT, Colt und anderen Providern ihr Netzwerk betreiben, werden wohl nicht so günstig eine schnelle Leitung an die deutsche Cloud legen können. Das wird man zukünftig sehen, wie sich der Markt hier verhält und welchen Einfluss hier Microsoft nimmt.
  • EBC zu Office 365 ?
    Aktuell (Nov 2015) betreibt die Telekom selbst auch eine Art Office 365 Plattform. Als Enriched Business Communication (http://www.enrichedbusinesscommunication.com/) hostet. Allerdings wird dieses Hosting immer schwerer, da Microsoft die entsprechenden Versionen von Exchange, Skype für Business etc. nicht mehr "Multi-Tenant" bereitstellt. Ich könnte mir vorstellen, dass die Telekom/T-Systems ihre EBC-Kunden zügig auf die deutsche Cloud umstellen dürfte.
  • Telefonie in der Cloud
    Mit den Servern im eigenen RZ und Backbone und damit nahe an der TK-Technik wird es der Telekom ein leichtes sein, auch die Telefonie von Office 365 bereit zu stellen. So wird die Portierung einer Rufnummer von dem "TK-Anbieter Telekom" zum "Cloud-Anbieter Telekom" sicher schneller und einfacher gehen also die Übertragung zwischen Wettbewerbern.
  • Wandel vom reinen Transportdienstleister zum Mehrwertdienstleister
    Mit Office 365, SipGate, Skype, DropBox, GMail, YouTube u.a. sind die bisherigen TK-Universal Anbieter mehr und mehr zum reinen "IP-Transporteur" verkommen. Sie sitzen auf den Kupferadern, die kaum Potential für höhere Umsätze und Gewinne haben und auch wenn Telekom-Chef Tim Höttges schon ein paar Prozent Wegezoll erheben will (Siehe http://www.heise.de/netze/meldung/Netzneutralitaet-Telekom-Chef-will-Startups-zur-Kasse-bitten-2865381.html, so hat die Telekom nun ein neues Standbein. Vielleicht sind in 10 Jahren ja 50% aller Kunden in Office 365. Dann wäre das das größte Outsorcing, das eine T-Systems frei Haus geliefert bekommen hat.

Insofern war mit schon klar, dass die T-Familie hier einen aktiven Part spielen will. Indirekt hat die deutsche Rechtslage hier den Steigbügel gehalten, da Microsoft die Datacenter nicht selbst betreiben will.

Rechtlich Aspekte

Telekom ist zwar eine "deutsche" Firma, aber hat durchaus Partnerschaften und Töchter in anderen Ländern. Es gibt also schon zumindest theoretisch auch hier Druckmittel, wenn jemand unbedingt an Informationen kommen will. Ich frage mich, warum "Die Telekom / T-Systems" die deutsche Cloud betreiben wird. für alles mögliche werden heute Firmen gegründet. Wäre es nicht sinnvoller gewesen, eine neue GmbH für diesen Betrieb zu gründen, in der die Partner beteiligt sind?

Laut Wikipedia (https://de.wikipedia.org/wiki/Deutsche_Telekom) gehören dem deutschen Staat nur noch 14,5% der Aktien, (KFW noch mal 17,4%) während 68% im sogenannten Streubesitz sind. Si gibt es mit der "Deutsche Funkturm" ja auch eine eigene Firma für den Antennenbetrieb und auch Strato als Webhoster ist rechtlich eine eigene Firma. Auch gibt es immer wieder Kritik an der Telekom bezüglich Überwachungsaffäre, Korruption, Netzneutralität. (https://de.wikipedia.org/wiki/Deutsche_Telekom#Kritik).

Auch haben diverse Entscheidungen und neue Gesetze in den Jahren seit 9/11 den Eindruck aufkommen lassen, dass die Carrier und Provider auch in Deutschland immer schlechter gegen Begehrlichkeiten wehren können. Allerdings sind die Provider hier kaum schlechter gestellt als eine Firma mit einem Eigenbetrieb. Nicht erst seit Franz-Josef und der Spiegel-Affäre passiert es wohl, dass Durchsuchungsbeschlüsse erlassen werden, die im Nachhinein als unwirksam und falsch bewertet werden. Aber immerhin erhält das Opfer in solchen Fällen meist Kenntnis von einer Untersuchung und kann diese überprüfen lassen. In den USA ist besonders der "National Security Letter NSL" oder die "GAG Order" ein fragliches Mittel einer Demokratie.

Letztlich wird die Zukunft zeigen, wie viel Schutz die Daten haben, wie viel "Überwachung" real passiert und was die als Bürger davon bemerken. Ich habe vor einige Zeit mal wieder in Orwell's "Big Brother" 1988 gestöbert und diese Vision haben wir zumindest in Teilen schon lange überholt. Und auch Minority-Report oder Staatsfeind Nr1 haben Szenarien dargestellt, die gar nicht mehr so weit weg sind. Erschreckende Aussichten.

Technische Überlegungen

Der Satz "Was nicht sein darf, kann nicht sein" ist bei Computern, Netzwerken und Behörden kein guter Ratgeber. Auch wenn Microsoft die deutsche Cloud von einen deutschen Treuhänder in deutschen Standorten und hoffentlich lokalen Verbindungen betreibt und damit die Kunden in allen Fällen innerhalb der Grenzen von Deutschland bleiben, kann die Trennung natürlich nicht 100% sein. Gerade bei Azure ist zu sehen, dass ich eine VM in verschiedenen Datacentern hosten kann. Auch wenn die Daten dann in diesem geografischen Bereich liegen, sind Zugangsdaten und Metadaten sicher repliziert.

  • Client Zugangspunkt und das Microsoft WAN
    Genauso wenig wird der DNS-Namespace getrennt werden. Natürlich muss ein Anwender auf https://login.microsoftonline.com oder auf https://Outlook.office365.com gehen, um Zugriff zu erhalten,. Und natürlich wird Microsoft über GeoDNS den Client auf den nächsten Netzübergang in das Microsoft WAN verweisen, um dann die Pakete zum Heimatstandort zu routen.
    Ist ihr Außendienstler also gerade in den USA unterwegs, dann gehen die Daten natürlich durch die US-Netze. Selbst in Deutschland ist nicht sichergestellt, dass ein Anwender an einem COLT-Anschloss über das DE-CIX "innerdeutsch" zur deutschen Cloud kommt. Es gehen immer noch viele Routen über ausländische Peering-Punkte.
    Soweit ich weiß, "gehört" Microsoft das weltweite WAN selbst. Aber damit unterliegt es auch wieder dem Zugriff der US-Dienste. Es wäre interessant zu wissen, wie diese deutsche Cloud angebunden wird, damit die Anwender entweder über das Internet oder gesicherte Leitungen arbeiten.
  • Azure AD
    Da nun die Clients doch alle am gleichen System landen und sich daran authentifizieren, ist natürlich auch klar, dass dieses Directory, (Azure AD) natürlich keine rein deutsche Instanz ist. Wenn Sie als mit einem DirSync ihre Identitäten, Gruppenmitgliedschaften etc. in das Azure AD ihres Tenant replizieren, dann sind diese Daten natürlich nicht nur in Deutschland, sondern aktuell noch weltweit repliziert.
    Einzige ihre "Daten", d.h. Mails in den Postfächers, Dokumente im Sharepoint und OneDrive und ihre Konferenzdaten liegen auf dem Heimatpool, der dann in Deutschland steht.

Ob das allen Firmen reicht, muss der DEO/CTO und die Rechtsabteilung bewerten.

Schwarzmaler ?

Schön, dass Sie bis hier her gelesen haben. Viele Informationen sind einfach nur "Gedanken" und vieles sind persönliche und damit subjektive Einschätzungen, basierend auf meinen Kenntnisstand. ich kann irren und die Anbieter halten sich mit essentiellen Informationen auch zurück. Aus meiner Sicht wird es Personen, die etwas hinter den Vorhang schauen wollen, nicht gerade einfach gemacht. Das ist aber auch verständlich, denn auch Mitbewerber würden sicher gerne mehr erfahren. Insofern müssen Microsoft, Telekom, T-Systems die Fragen ihre Kunden und Interessenten beantworten, Garantien und Zusicherungen geben.

Aber selbst wenn das nicht vollumfänglich passiert, möge sich jeder Admin, CTO oder CEO einmal selbst fragen, wie sicher im Vergleich dazu das eigene Rechenzentrum ist.

  • Ausfall
    Haben Sie zwei RZs in denen alles doppelt ist und die weit genug auseinander sind
  • Physikalischer Schutz
    Sind ihre Server gegen fremde Personen, Überfälle, Stromausfälle ausreichend gesichert ?
  • Aktualität und Konfiguration
    Können Sie sicherstellen, dass ihre Systeme möglichst aktuell und gepatched sind und vor allem auch richtig konfiguriert wurden? Windows Server sind recht sicher, wenn nicht ein Admin darauf Webseiten mit Flash aufruft, verseuchte PDF-Anleitungen liest oder die Firewall mal schnell aus Bequemlichkeit abschaltet
  • Betrieb, Überwachung, Administratoren
    Wann war ihr Admin das letzte Mal bei einer Schulung? Der Staplerfahrer im Lager hat natürlich einen Führerschein aber sollte ihr Admin nicht wenigstens "Sachkenntnis" in Form einer Prüfung für die eingesetzten Produkte (z.B. Microsoft Certified Professional) nachweisen? Auch Kenntnisse in Datensicherheit, Prozesse etc. sind wünschenswert. Wie soll er sich verhalten, wenn er von der Polizei abgeholt und zur Firma gebracht wird, um den Zugang für Ermittlungsbeamten zu gewähren und der CEO gerade nicht erreichbar ist?

Jede Cloud, dazu zähle ich sogar Office 365 in Irland, hat durchaus positive Aspekte, die bei allen Unkenrufen über fremde Zugriffe auf der anderen Seite der Waagschale liegen:

  • Cloud-Server können nicht "mitgenommen" werden
    Das Bild, wenn die Polizei mit einem Buller vorfährt und PCs und Server "mal mitnimmt" ist mit Office 365 so nicht möglich. Sicher kann eine ermittelnde Stelle eine "Kopie" der Daten erhalten, aber Sie sind weiter arbeitsfähig.
  • Provider als "Verteidiger der Kundenrechte"
    Wenn ein US-Gericht Microsoft auffordert, Daten in einem anderen Land herauszugeben, dann gefährdet dies das ureigenste Interesse des Cloud Anbieters: Eine vertrauenswürdige Plattform für die Kunden zu bieten. Der Cloud Anbieter hat aber sicher mehr Geld, Anwälte und Lobby-Kontakte als der kleine Mittelständler im Lande.
  • Haftung
    Wen fragen die Aktionäre, wenn aufgrund eines Datenproblems der Firmenwert gesunken ist? Als CEO oder CTO ist es vielleicht leichter auf all die Zertifikate der Anbieter zu verweisen anstatt eingestehen zu müssen, dass Sie ihren IT-Laden nicht im Griff hatten.
  • Kosten
    Zuletzt gibt es immer noch die Kostenvorteile von Cloud-Lösungen, insbesondere je kleiner die Firma ist und je umfangreicher die Dienste sind. Das stimmt zwar nicht in allen Fällen, aber auch hier können z.B. Aktionäre fragen, warum das Exchange Postfach "OnPremise" ein Vielfaches kostet.

Die Entscheidung von Microsoft in Deutschland entsprechende Datacenter aufzubauen, kann ich vollkommen nachvollziehen. Es ist der logische Schritt um auf die Kunden in Deutschland zuzugehen und einen Service anzubieten, der für US-Kunden und Briten schon lange selbstverständlich ist. Ich könnte mir sogar vorstellen, dass zukünftig noch mehr Datacenter entstehen, wenn mehr und mehr Kunden die Dienstleistung in Anspruch nehmen. Stellen Sie sich doch mal vor, wenn 50% aller Kunden in allen Städten Office 365 nutzen würden, wie viel Kapazität (Disk, CPU und Leitung) hierfür erforderlich wäre. Quasi in jeder größeren Stadt könnte ein Datacenter entstehen.

Die Trennung des Betreibers von Microsoft als Firma ist ein pfiffiger Schritt, der aber erst noch beweisen muss, dass er auch belastbar ist. Die deutsche Office 365 Cloud ist aus meiner Sicht nicht komplett abgekoppelt und hoffen wir, dass die menschlichen und technischen Firewalls den Zugriff zumindest erschweren. Aber letztlich vertrauen wir als Anwender und Firmen  der eingesetzten Software und dass Sie nicht Böses im Schilde führt. Schließlich könnte auch ein Grafikkartentreiber (Intel, AMD, Nvidia sind alle US-Firmen), ein Netzwerkkartentreiber (Intel, Broadcom, HP sind US-Firmen), ein Virenscanner (überwiegend US Firmen oder Russland) oder auch das Betriebssystem selbst die Daten ohne Mithilfe der Cloud einfach "ausleiten".

Es geht um die komplette Wertschöpfungskette und letztlich liegt es an den politischen Führern der Länder ein Klima des Vertrauens zu schaffen, damit Bürger und Firmen sich auf ihr Leben und ihre Geschäfte konzentrieren können. Nationale Geheimdienste sollten die Bürger und Staaten nicht nur gegen einzelne Terroristen schützen, sondern die territoriale Integrität sicher, anstatt alle gemeinsam und undurchsichtiges Spiel zu spielen.

Weitere Links