DE Cloud - die deutsche Microsoft Cloud

Seit 31. Aug 2018 ist es öffentlich: DE-Cloud wird nicht weiterentwickelt. Stattdessen werden Dienste zukünftig in deutschen RZs bereit gestellt. Siehe auch Office 365 Region

Seit 2020 gibt es Office 365 Datacenter in Deutschland. Siehe Office 365 aus Deutschland

Dass Microsoft auf Dauer nicht alle europäischen Kunden auf den beiden Standorten Irland und Amsterdam hosten kann, habe ich mir schon länger überlegt. Anfang 2015 gab es die ersten Meldungen, dass Microsoft ein eigenes Datacenter in Österreich und Finnland (für Exchange) aufbauen wird. Auch in Japan, Australien und Indien hat Microsoft schon Datacenter. In China gibt es wohl eine vergleichbare Lösung mit 21Vianet als Treuhänder.

Aktueller Stand

Am 31. August hat Microsoft eine vielsagende Pressmeldung veröffentlicht:
https://news.microsoft.com/europe/2018/08/31/microsoft-to-deliver-cloud-services-from-new-datacentres-in-germany-in-2019-to-meet-evolving-customer-needs/
https://news.microsoft.com/de-de/microsoft-cloud-2019-rechenzentren-deutschland/
Es gibt ab einen wichtigen Abschnitt
Mit diesem neuen Schwerpunkt werden wir die Microsoft Cloud Deutschland nicht mehr für Neukunden zur Verfügung stellen und keine neuen Dienste mehr bereitstellen. Bestandskunden können nach wie vor die derzeit verfügbaren Cloud-Dienste der Microsoft Cloud Deutschland in Anspruch nehmen. Für diese Dienste werden wir auch künftig die erforderlichen Sicherheits-Updates ausliefern."

Microsoft wird nach und nach die Kunden auch über ihre Optionen informieren. Ich kann mir gut vorstellen, dass z.B.: über Office 365 FastTrack oder andere Angebote die Migration auf die "öffentliche Cloud" beschleunigt wird.

Alter Stand

Als ich diese Seite in 2015 erstellt habe, war noch viel Vermuten und Einschätzen angesagt. Mittlerweile ist Microsoft mit der "Deutschen Cloud" produktiv gegangen und bietet neben Azure auch Office 365 Dienste an. Wie auch in der öffentlichen Cloud unterliegen die Angeboten einer permanenten Veränderungen und Weiterentwicklung, so dass ich hier nur eingeschränkt den aktuellsten Stand wiedergeben kann.

Die Microsoft Cloud Deutschland | Microsoft
https://www.youtube.com/watch?v=4Bele7yR_8M
Ab Minute 1:30 wird unser Referenzobjekt Spiegel Verlag genannt.

Bitte informieren Sie sich daher entweder auf den Webseiten von Microsoft oder sprechen Sie uns an.

  • Net at Work
    Meine Kollegen und ich beantworten ihnen gerne alle Fragen zur Cloud

Seit Anfang 2017 können Sie über die deutsche Cloud nun auch "Office 365"- Dienste nutzen. Vorher war es primär ein Azure-Hosting. Die Zugänge sind

Seit Ende April 2017 können Sie acuh über 1und1 die DE-Cloud Services nutzen.
https://profiseller.de/shop/office-365.html?ps_id=P1649516
Die Preise sind durchaus interessant.
10€/Monat für OfficePremium (Word, Excel, PowerPoint, 1 GB OneDrive)
12,99€/Monat für OfficePremium Plus (zzgl 50 GB Postfach und Skype for Businesss.

Eigentlich war es nur eine Frage der Zeit, bis andere Hoster auch DE-Cloud als Reseller vertreiben. 1und1, Host Europe, OVH und andere haben ja auch schon das Microsoft Public Office 365 vertrieben. Da Microsoft eder Exchange noch Skype für ein "Selbst Hosting" mehr vertreiben bleibt den Anbietern gar keine andere Wahl, wenn Sie diese Produkte ihren Kunden anbieten wollen.

Office 365 Deutschland - Ihre Produktivitätslösung aus deutschen Rechenzentren für Kunden
https://youtu.be/qsnAFfJrRJU

Office 365 Deutschland - Neue Marktchancen für Microsoft Partner für Partner
https://youtu.be/CrvxqiSEj80

Hintergründe

Nicht erst seit Snowden wird speziell in Deutschland das Thema Datenschutz intensiver diskutiert als dies andere Länger vielleicht tun. Da ist vielleicht die Vorsicht beim Thema "Überwachung" historisch begründet (Stasi, Blockwart etc.) und die Sorge vor neuen Diktaturen. Speziell wird hinterfragt, wie sicher die Cloud ist, welche Risiken es gibt und wie die Geheimdienste (NSA und Co) zu betrachten sind, die anscheinend auch massiv Daten kopieren und analysieren. Auch gibt es US-Richter, die Microsoft auffordern Daten eines Tenant in Europa auszuliefern. All das sind Hürden bei einer Cloud-Planung, die aus dem Weg geräumt werden müssen. Das "Safe Harbor II" Abkommen als Nachfolger ist in 11 von 13 Punkten schon verhandelt aber an den beiden letzten Punkten gibt es Diskussionsbedarf:

  • ... American authorities are able to gain access to data held by American companies, wherever held
    Wenn also Microsoft als amerikanische Firma Daten von deutschen Firmen hosted, dann könnte Microsoft verpflichtet werden, Daten von allen Kunden auszuliefern.
  • ... only American citizens are able to seek redress in the American courts für breaches (eg of privacy ) by American companies.
    Damit soll jeden "Nicht-Amerikaner" der Weg verbaut sein, selbst illegales Vorgehen vor einem Gericht in den USA verfolgen zu lassen.

Genau diese beiden Punkte hebelt Microsoft nun aus. Ich kann also nicht behaupten, dass es Microsoft den amerikanischen Behörden leichtmacht. Mit der deutschen Cloud sollten diese Frage gar nicht mehr gestellt werden müssen. Allerdings ist die eine komplett getrennte Umgebung von den anderen Office 365 Diensten mit eigener Kostenstruktur und Funktionsumfang. Zudem gibt es Vorgaben der EU, die deutsche nationale Alleingänge beim Datenschutz aushebeln. Eine Firma MUSS anhand von rechtlichen Vorgaben nicht in die deutsche Cloud, aber sie kann es natürlich tun. Hier gilt es abzuwägen, welchen Sicherheitsgewinn den Kosten und Einschränkungen gegenübersteht.

Die Überlegungen von Microsoft

Im November 2015 hat Microsoft dann aber die Katze aus dem Sack gelassen. Es wird die ersten beiden Datacenter auf deutschem Boden geben. Im Gegensatz zu Amazon, Google und Co wird Microsoft diese Datacenter zwar selbst betreiben aber von der T-Systems überwachen lassen. Damit könnte Microsoft gleich mehrere Ziele erreichen:

  • Schneller Start
    Die Datacenter gibt es sicher schon und haben wohl genug Platz für weitere Server. Auch die Leitungen dürften schon liegen und müssen nur noch aktiviert werden. Das ist sicher ein Vorteil anstatt erst Zeit mit Bauanträgen und Erdarbeiten zu verlieren. Und genug "leere" Datacenter scheint es ja schon zu geben.
  • Nähe zum Kunden
    Mit einem deutschen Partner wie der Telekom, die für viele eigene Kunden auch MPLS-Netzwerke betreibt, wird es sehr einfach sein, nicht nur schneller sondern "nahe" Verbindungen mit geringer Laufzeiten zu etablieren. Die Telekom ist halt schon ein zumindest in Deutschland tief verankerter Anbieter. Und wenn ich mir die vielen kleineren Firmen anschaue, die auch mit Office 365 glücklich werden können, dann ist ein Datacenter mit direktem Zugang zum Telekom Backbone von Vorteil. Die Anbindung der Telekom z.B. an das De-CIX mit 20GBit (Quelle: www.peeringdb.com, Stand Nov 2015) ist ja nicht so prickeln, wenn Microsoft alleine 260 GB hat und Amazon, Apple, Google und Co auch drüber sind.
  • Rechtliche Aspekte
    Ich bin sicher keine verlässliche Quelle für Rechtsauskünfte aber Microsoft und Telekom reiten drauf herum, dass über das Treuhandverhältnis der deutsche Datenschutz besser gewährleistet wäre. Ob dem so ist, muss sich aber noch zeigen. Bislang ist mir die Telekom nicht gerade als Provider aufgefallen, der sich vehement gegen Interessen von Geheimdiensten gestemmt hat. Dazu wurden zulange Mails innerhalb von Deutschland über ausländische Peeringpoint geroutet.
    Und ob so eine Konstruktion dann wirklich vor US-Gerichten bestand haben wird, muss sich auch noch zeigen.

Insofern ist der Weg von Microsoft durchaus verständlich. Ich habe von mindestens zwei weiteren namhaften Firmen gehört, die von Microsoft ebenfalls im Vorfeld angesprochen wurden aber entweder nicht angeboten oder keine Zusage bekommen haben.

Vorteile für die Telekom

Natürlich muss sich sowas für den Treuhänder auch lohnen. Die Punkte dürften ähnlich wie bei den Überlegungen von Microsoft sein.

  • Datacenter-Auslastung
    Wenn man den Gerüchten glauben darf, dann werden Server immer leistungsfähiger bei reduziertem Platzbedarf und Rackspace wurde in der Vergangenheit auch gerne großzügig aufgebaut. Nun dürfte sich zumindest für die Telekom das Problem des Leerstandes entspannen.
  • "günstige" Kundenbindung
    Durch die Telekom-Internetkunden und das Backbone kann die Telekom über eigene vorhandene Leitungen die Verbindung herstellen. Kunden, die z.B. bei Vodafone, BT, Colt und anderen Providern ihr Netzwerk betreiben, werden wohl nicht so günstig eine schnelle Leitung an die deutsche Cloud legen können. Das wird man zukünftig sehen, wie sich der Markt hier verhält und welchen Einfluss hier Microsoft nimmt.
  • EBC zu Office 365?
    Aktuell (Nov 2015) betreibt die Telekom selbst auch eine Art Office 365 Plattform. Als Enriched Business Communication (http://www.enrichedbusinesscommunication.com/) hostet. Allerdings wird dieses Hosting immer schwerer, da Microsoft die entsprechenden Versionen von Exchange, Skype für Business etc. nicht mehr "Multi-Tenant" bereitstellt. Ich könnte mir vorstellen, dass die Telekom/T-Systems ihre EBC-Kunden zügig auf die deutsche Cloud umstellen dürfte.
  • Telefonie in der Cloud
    Mit den Servern im eigenen RZ und Backbone und damit nahe an der TK-Technik wird es der Telekom ein leichtes sein, auch die Telefonie von Office 365 bereit zu stellen. So wird die Portierung einer Rufnummer von dem "TK-Anbieter Telekom" zum "Cloud-Anbieter Telekom" sicher schneller und einfacher gehen also die Übertragung zwischen Wettbewerbern.
  • Wandel vom reinen Transportdienstleister zum Mehrwertdienstleister
    Mit Office 365, SIPate, Skype, DropBox, GMail, YouTube u.a. sind die bisherigen TK-Universal Anbieter mehr und mehr zum reinen "IP-Transporteur" verkommen. Sie sitzen auf den Kupferadern, die kaum Potential für höhere Umsätze und Gewinne haben und auch wenn Telekom-Chef Tim Höttges schon ein paar Prozent Wegezoll erheben will (Siehe http://www.heise.de/netze/meldung/Netzneutralitaet-Telekom-Chef-will-Startups-zur-Kasse-bitten-2865381.html, so hat die Telekom nun ein neues Standbein. Vielleicht sind in 10 Jahren ja 50% aller Kunden in Office 365. Dann wäre das das größte Outsourcing, das eine T-Systems frei Haus geliefert bekommen hat.

Insofern war mit schon klar, dass die T-Familie hier einen aktiven Part spielen will. Indirekt hat die deutsche Rechtslage hier den Steigbügel gehalten, da Microsoft die Datacenter nicht selbst betreiben will.

Rechtlich Aspekte

Telekom ist zwar eine "deutsche" Firma, aber hat durchaus Partnerschaften und Töchter in anderen Ländern. Es gibt also schon zumindest theoretisch auch hier Druckmittel, wenn jemand unbedingt an Informationen kommen will. Ich frage mich, warum "Die Telekom / T-Systems" die deutsche Cloud betreiben wird. für alles mögliche werden heute Firmen gegründet. Wäre es nicht sinnvoller gewesen, eine neue GmbH für diesen Betrieb zu gründen, in der die Partner beteiligt sind?

Laut Wikipedia (https://de.wikipedia.org/wiki/Deutsche_Telekom) gehören dem deutschen Staat nur noch 14,5% der Aktien, (KFW noch mal 17,4%) während 68% im sogenannten Streubesitz sind. Si gibt es mit der "Deutsche Funkturm" ja auch eine eigene Firma für den Antennenbetrieb und auch Strato als Webhoster ist rechtlich eine eigene Firma. Auch gibt es immer wieder Kritik an der Telekom bezüglich Überwachungsaffäre, Korruption, Netzneutralität. (https://de.wikipedia.org/wiki/Deutsche_Telekom#Kritik).

Auch haben diverse Entscheidungen und neue Gesetze in den Jahren seit 9/11 den Eindruck aufkommen lassen, dass die Carrier und Provider auch in Deutschland immer schlechter gegen Begehrlichkeiten wehren können. Allerdings sind die Provider hier kaum schlechter gestellt als eine Firma mit einem Eigenbetrieb. Nicht erst seit Franz-Josef und der Spiegel-Affäre passiert es wohl, dass Durchsuchungsbeschlüsse erlassen werden, die im Nachhinein als unwirksam und falsch bewertet werden. Aber immerhin erhält das Opfer in solchen Fällen meist Kenntnis von einer Untersuchung und kann diese überprüfen lassen. In den USA ist besonders der "National Security Letter NSL" oder die "GAG Order" ein fragliches Mittel einer Demokratie.

Letztlich wird die Zukunft zeigen, wie viel Schutz die Daten haben, wie viel "Überwachung" real passiert und was die als Bürger davon bemerken. Ich habe vor einige Zeit mal wieder in Orwell's "Big Brother" 1988 gestöbert und diese Vision haben wir zumindest in Teilen schon lange überholt. Und auch Minority-Report oder Staatsfeind Nr1 haben Szenarien dargestellt, die gar nicht mehr so weit weg sind. Erschreckende Aussichten.

Technische Überlegungen

Der Satz "Was nicht sein darf, kann nicht sein" ist bei Computern, Netzwerken und Behörden kein guter Ratgeber. Auch wenn Microsoft die deutsche Cloud von einen deutschen Treuhänder in deutschen Standorten und hoffentlich lokalen Verbindungen betreibt und damit die Kunden in allen Fällen innerhalb der Grenzen von Deutschland bleiben, kann die Trennung natürlich nicht 100% sein. Gerade bei Azure ist zu sehen, dass ich eine VM in verschiedenen Datacentern hosten kann. Auch wenn die Daten dann in diesem geografischen Bereich liegen, sind Zugangsdaten und Metadaten sicher repliziert.

  • Client Zugangspunkt und das Microsoft WAN
    Genauso wenig wird der DNS-Namespace getrennt werden. Natürlich muss ein Anwender auf https://login.microsoftonline.com oder auf https://Outlook.office365.com gehen, um Zugriff zu erhalten,. Und natürlich wird Microsoft über Geo-DNS den Client auf den nächsten Netzübergang in das Microsoft WAN verweisen, um dann die Pakete zum Heimatstandort zu routen.
    Ist ihr Außendienstler also gerade in den USA unterwegs, dann gehen die Daten natürlich durch die US-Netze. Selbst in Deutschland ist nicht sichergestellt, dass ein Anwender an einem COLT-Anschloss über das DE-CIX "innerdeutsch" zur deutschen Cloud kommt. Es gehen immer noch viele Routen über ausländische Peering-Punkte.
    Soweit ich weiß, "gehört" Microsoft das weltweite WAN selbst. Aber damit unterliegt es auch wieder dem Zugriff der US-Dienste. Es wäre interessant zu wissen, wie diese deutsche Cloud angebunden wird, damit die Anwender entweder über das Internet oder gesicherte Leitungen arbeiten.
  • Azure AD
    Da nun die Clients doch alle am gleichen System landen und sich daran authentifizieren, ist natürlich auch klar, dass dieses Directory, (Azure AD) natürlich keine rein deutsche Instanz ist. Wenn Sie als mit einem DirSync ihre Identitäten, Gruppenmitgliedschaften etc. in das Azure AD ihres Tenant replizieren, dann sind diese Daten natürlich nicht nur in Deutschland, sondern aktuell noch weltweit repliziert.
    Einzige ihre "Daten", d.h. Mails in den Postfächers, Dokumente im Sharepoint und OneDrive und ihre Konferenzdaten liegen auf dem Heimatpool, der dann in Deutschland steht.

Ob das allen Firmen reicht, muss der DEO/CTO und die Rechtsabteilung bewerten.

Schwarzmaler ?

Schön, dass Sie bis hier her gelesen haben. Viele Informationen sind einfach nur "Gedanken" und vieles sind persönliche und damit subjektive Einschätzungen, basierend auf meinen Kenntnisstand. ich kann irren und die Anbieter halten sich mit essentiellen Informationen auch zurück. Aus meiner Sicht wird es Personen, die etwas hinter den Vorhang schauen wollen, nicht gerade einfach gemacht. Das ist aber auch verständlich, denn auch Mitbewerber würden sicher gerne mehr erfahren. Insofern müssen Microsoft, Telekom, T-Systems die Fragen ihre Kunden und Interessenten beantworten, Garantien und Zusicherungen geben.

Aber selbst wenn das nicht vollumfänglich passiert, möge sich jeder Admin, CTO oder CEO einmal selbst fragen, wie sicher im Vergleich dazu das eigene Rechenzentrum ist.

  • Ausfall
    Haben Sie zwei RZs in denen alles doppelt ist und die weit genug auseinander sind.
  • Physikalischer Schutz
    Sind ihre Server gegen fremde Personen, Überfälle, Stromausfälle ausreichend gesichert ?
  • Aktualität und Konfiguration
    Können Sie sicherstellen, dass ihre Systeme möglichst aktuell und gepatched sind und vor allem auch richtig konfiguriert wurden? Windows Server sind recht sicher, wenn nicht ein Admin darauf Webseiten mit Flash aufruft, verseuchte PDF-Anleitungen liest oder die Firewall mal schnell aus Bequemlichkeit abschaltet
  • Betrieb, Überwachung, Administratoren
    Wann war ihr Admin das letzte Mal bei einer Schulung? Der Staplerfahrer im Lager hat natürlich einen Führerschein aber sollte ihr Admin nicht wenigstens "Sachkenntnis" in Form einer Prüfung für die eingesetzten Produkte (z.B. Microsoft Certified Professional) nachweisen? Auch Kenntnisse in Datensicherheit, Prozesse etc. sind wünschenswert. Wie soll er sich verhalten, wenn er von der Polizei abgeholt und zur Firma gebracht wird, um den Zugang für Ermittlungsbeamten zu gewähren und der CEO gerade nicht erreichbar ist?

Jede Cloud, dazu zähle ich sogar Office 365 in Irland, hat durchaus positive Aspekte, die bei allen Unkenrufen über fremde Zugriffe auf der anderen Seite der Waagschale liegen:

  • Cloud-Server können nicht "mitgenommen" werden
    Das Bild, wenn die Polizei mit einem Buller vorfährt und PCs und Server "mal mitnimmt" ist mit Office 365 so nicht möglich. Sicher kann eine ermittelnde Stelle eine "Kopie" der Daten erhalten, aber Sie sind weiter arbeitsfähig.
  • Provider als "Verteidiger der Kundenrechte"
    Wenn ein US-Gericht Microsoft auffordert, Daten in einem anderen Land herauszugeben, dann gefährdet dies das ureigenste Interesse des Cloud Anbieters: Eine vertrauenswürdige Plattform für die Kunden zu bieten. Der Cloud Anbieter hat aber sicher mehr Geld, Anwälte und Lobby-Kontakte als der kleine Mittelständler im Lande.
  • Haftung
    Wen fragen die Aktionäre, wenn aufgrund eines Datenproblems der Firmenwert gesunken ist? Als CEO oder CTO ist es vielleicht leichter auf all die Zertifikate der Anbieter zu verweisen anstatt eingestehen zu müssen, dass Sie ihren IT-Laden nicht im Griff hatten.
  • Kosten
    Zuletzt gibt es immer noch die Kostenvorteile von Cloud-Lösungen, insbesondere je kleiner die Firma ist und je umfangreicher die Dienste sind. Das stimmt zwar nicht in allen Fällen, aber auch hier können z.B. Aktionäre fragen, warum das Exchange Postfach On-Premises ein Vielfaches kostet.

Die Entscheidung von Microsoft in Deutschland entsprechende Datacenter aufzubauen, kann ich vollkommen nachvollziehen. Es ist der logische Schritt um auf die Kunden in Deutschland zuzugehen und einen Service anzubieten, der für US-Kunden und Briten schon lange selbstverständlich ist. Ich könnte mir sogar vorstellen, dass zukünftig noch mehr Datacenter entstehen, wenn mehr und mehr Kunden die Dienstleistung in Anspruch nehmen. Stellen Sie sich doch mal vor, wenn 50% aller Kunden in allen Städten Office 365 nutzen würden, wie viel Kapazität (Disk, CPU und Leitung) hierfür erforderlich wäre. Quasi in jeder größeren Stadt könnte ein Datacenter entstehen.

Die Trennung des Betreibers von Microsoft als Firma ist ein pfiffiger Schritt, der aber erst noch beweisen muss, dass er auch belastbar ist. Die deutsche Office 365 Cloud ist aus meiner Sicht nicht komplett abgekoppelt und hoffen wir, dass die menschlichen und technischen Firewalls den Zugriff zumindest erschweren. Aber letztlich vertrauen wir als Anwender und Firmen  der eingesetzten Software und dass Sie nicht Böses im Schilde führt. Schließlich könnte auch ein Grafikkartentreiber (Intel, AMD, Nvidia sind alle US-Firmen), ein Netzwerkkartentreiber (Intel, Broadcom, HP sind US-Firmen), ein Virenscanner (überwiegend US Firmen oder Russland) oder auch das Betriebssystem selbst die Daten ohne Mithilfe der Cloud einfach "ausleiten".

Es geht um die komplette Wertschöpfungskette und letztlich liegt es an den politischen Führern der Länder ein Klima des Vertrauens zu schaffen, damit Bürger und Firmen sich auf ihr Leben und ihre Geschäfte konzentrieren können. Nationale Geheimdienste sollten die Bürger und Staaten nicht nur gegen einzelne Terroristen schützen, sondern die territoriale Integrität sicher, anstatt alle gemeinsam und undurchsichtiges Spiel zu spielen.

Weitere Links