Office 365 - Cloud Sicherheit

Vorwort:
Nein, ich habe nichts gegen die Cloud, die MSXFAQ läuft ja auch quasi „in der Cloud“ und die Sicherheit in der Daten gegen Fremdzugriff und Diebstahl ist bei kleinen Firmen mit einem Server in der „Besenkammer“ und einem „allwissenden Domänen Admin“ sicher schlechter bestellt. Ein professioneller Umgang bezüglich der technischen aber auch organisatorischen und rechtlichen Aspekte ist dringend erforderlich.

Hosting ist großartig!

Ich sehe sehr wohl die Chancen und das Potential von Cloud-Services. Das ist aber nichts neues, denn Dienstleistungen an Spezialisten abzugeben ist nicht erst seit dem Internet und dicker Bandbreiten ein gängiges Geschäftsmodell. "Hosted Services" gibt es schon lange, z.B. das Auslagern von Buchhaltungsleistungen zu Steuerberaten, das Management von Fahrzeugflotten durch Mietwagenfirmen und auch die MSXFAQ läuft schon viele Jahre bei einem "Hoster". Ich könnte die MSXFAQ schon aufgrund der Datenmenge gar nicht in meinem Home Office betreiben. Allerdings ist alles auf der MSXFAQ sowieso "öffentlich" und nur eine Kopie meiner "lokalen Version".

Auch andere Firmen wären ohne "Hosted Services" gar nicht vorstellbar. Wie bitte hätte eine Firma wie Facebook, Twitter u.a. so schnell die Serverlandschaft geografisch aufstellen können, die das Wachstum gefordert hätte. So schnell kann niemand rechtliche Rahmenbedingungen schaffen, Grundstücker kaufen, Gebäude bauen, Leitungen verlegen, Server einbauen und in Betrieb nehmen. Das geht nur "Hosted".

Spezialanwendungen wie z.B. DATEV oder SAP werden ja auch schon lange bei "Dienstleistern" gehostet. Das ist zwar dann kein "Public Hosting für Jedermann über Internet" sondern eher für direkte Kundenbeziehungen mit eigenen Standleitungen und meist auch im gleichen Land, aber es ist auch ein Cloud-Service, der schon viele Jahre funktionieren kann. Selbst die Banken und Sparkassen haben ihr "Datenverarbeitungszentralen", obwohl z.B. einzelne Sparkassen und Volksbanken nach außen doch eigenständig auftreten.

Aber auch "kleine "Firmen müssen natürlich auf Kosten und Verfügbarkeit schauen. Bezogen auf Exchange als auch Lync macht hier Hosting natürlich erst recht Sinn. Der Betrieb eines Exchange Servers für vielleicht 5-20 Benutzer ist eigentlich zu "Teuer", speziell wenn man noch ActiveSync und OWA per Reverse Proxy und Zertifikat veröffentlicht, sich um Virenscanner und Spamschutz kümmern muss und Backup und Monitoring dazu kommen. Über Cluster und Loadbalancer reden wir gar nicht und auch die Umgebung in einem klimatisierten, zugangsgeschützten und uSV-abgesicherten Raum. Hier kann ein Hster natürlich seine Vorteile beim Betrieb einer Plattform für mehrere Firmen ausspielen.

Ein 50 GB Postfach, 1TB OneDrive, Teamseiten und Videokonferenzlösung und mehr für 3,80€/User/Monat (Stand Mail2015) sind kaum mit eigener Hardware zu unterbieten. Als Geschäftsführer müssen Sie wirtschaftlich arbeiten. Das erwarten Aktionäre und Gesellschafter. Rechnen Sie genau.

Sicherheit Teil 1: Der sichere Raum

Gerade die Ablage der Daten in einem sicheren Rechenzentrum ist für kleinere Firmen ein immens großer Vorteil, da damit ein "Verlust" durch einen physikalische Einbrecher deutlich reduziert werden kann. Allerdings ist das auch zugleich ein großer Kritikpunkt von gehosteten Lösungen, denn ein defekten Schloss an der Tür ist deutlich leichter zu erkennen und auffälliger als ein virtueller Einbruch. Ein virtueller Einbruch ist aber auch On-Premises möglich, wenn Firmen ihre Systeme notwendigerweise veröffentlichen. Ein Hoster kann auch hier mehr Mittel aufwenden, um durch Firewalls, Proxies, Patch-Management und der erforderlichen Überwachung den Sicherheitslevel höher zu halten.

Und dann gibt es noch ein "Problem", welche für Geschäftsführer besonders interessant ist: Einen Server On-Premises kann ihnen jede Ermittlungsbehörde mit einem Durchsuchungsbeschluss einfach beschlagnahmen. Die Systeme stehen dann erst mal im Asservatenraum und harren der Analyse durch Spezialisten. In der Zwischenzeit wird die Luft für ihr Unternehmen immer dünner.

Haben Sie schon mal gesehen, dass eine Ermittlungsbehörde in der Cloud ihnen ihre Daten "weggenommen hat? Sicher kann eine Kopie angefertigt werden aber ihr regulärer Geschäftsbetrieb kann durchaus weiter gehen.

Sicherheit Teil 2: Administration beim Anbieter

Weiterhin sollten die Hoster auch internen Berechtigungsstrukturen entsprechend ausgelegt haben, dass ein einfacher Helpdesk Mitarbeiter nicht mal einfach die Berechtigungen auf Daten eines Kunden ändern oder direkt Zugriff nehmen kann. Wobei sich hier natürlich kein Hoster wirklich in die Karten schauen lässt und meist nur mit irgendwelchen "Zertifizierungen" winken.

Dennoch würde ich in der ersten Näherung davon ausgehen, das die administrativen Konzepte und Delegierungen von Berechtigungen bei einem Hoster durchdachter und konsequenter umgesetzt sind, als die bei einem Eigenbetrieb vielleicht möglich ist. Das ist schon allein durch die Kosten zu erklären, denn ein qualifizierte Administrator kostet Geld. Wenn er nicht qualifiziert genug ist, dann macht er mehr Fehler die erst recht Geld kosten. Daher muss ein Hoster versuchen möglichst viele Dinge von noch weniger qualifizierten "Kunden" quasi als "SelfService" durchführen zu lassen und das geht nur mit Provisioning und Skripts.

Wobei das natürlich nur eine "Annahme" ist. Denn wenn Sie z.B. bei einem namhaften DSL-Anbieter ein Problem haben und der Mitarbeiter am Helpdesk aus der Ferne dann ihren Router zurücksetzen kann, dann gibt einem das schon zu denken. Damit bekommt auch die Diskussion um den "Netzabschlusspunkt" einen neue Qualität. Durch den Wechsel auf VoIP für Privatkunden muss der Provider beim Kunden auch das Gerät nach dem TAE-Anschluss verwalten. Ganz bequem bekommen Sie dann einen DSL-Anschluss samt "managed" Router. Nur wie verlässlich ist im Falle einer Straftat oder Telefonkostenfalle noch die Aussage, dass Sie als Anschlussinhaber wirklich "Verursacher" sind, wo doch die DSL-Zugangsdaten und VoIP-Zugangsdaten elegant per TR069 vom Server des Providers ausgeliefert werden. ist wirklich sichergestellt, dass diese netten Zugangsdaten von einem korrupten Mitarbeiter oder einen Softwarefehler nicht anderweitig gerade für eine strafbare Handlung missbrauch werden?.

Als Geschäftsführer bezahlen Sie für die erbrachte Dienstleistung, egal ob durch eigenes Personal im eigenen RZ oder an den Cloud-Anbieter. Die Cloudanbieter können mit vielen Testaten (ISO9001, PCI DSS, FERBA, HIPAA etc.) aufwarten, die sie mit einem lokalen RZ nur sehr teuer erreichen können. Wenn dann mal etwas passieren sollte und Sie als "verantwortliche Person" sich gegenüber den Besitzern oder Aktionären erklären müssen, dann ist es schon ein unterschied, ob man auf Testate verweisen kann oder quasi selbst beweispflichtig ist.

Sicherheit Teil 3: Die Behörden

Bleibt noch die Frage, wie sicher die Daten beim Hoster gegen Fremdzugriffe sind, die per Gesetz sich Zugang verschaffen wollen bzw. können. Dazu zählen sowohl Behörden im gleichen Land aber auch "Mächte" anderer Länder, die nicht an ihren Grenzen halt machen. Hinweise dazu gibt es doch einige.

Losgelöst aller technischen Herausforderungen hinterlassen solche Ansinnen ein ungutes Gefühl und lassen mich die Frage stellen, ob hier noch ein "Gleichgewicht der Kräfte" gegeben ist und die Verhältnismäßigkeit gewahrt bleibt. Um es mal mit einem Vergleich zu beschreiben:

Wenn die Steuerfahndung oder Strafverfolger meine Wohnung oder den Arbeitsplatz durchsuchen wollen, dann benötigen Sie in den meisten Fällen für die Hausdurchsuchung einen Durchsuchungsbeschluss. Als "Besitzer" der angeblich gesuchten Information erhalte ich auf jeden Fall "Kenntnis", dass eine Durchsuchung stattgefunden hat, wer sie gegen wen angeordnet hat und was gesucht wird. So kann ich wahlweise sogar "mithelfen" und den freundlichen Beamten die Arbeit erleichtern und eine komplett durchwühlte Wohnung und wahllos beschlagnahmte Dinge ersparen. Sollte die Durchsuchung auch z.B. ein anderes Objekt betreffen, z.B. eine gemietete Garage, ein Schuppen, eine Kleingartenparzelle oder o.ä. dann muss dies meines Wissens auch im Beschluss beschrieben sein.

Wie ist dann ein gemieteter WebSpace, eine virtuelle Maschine oder ein hosted Server oder Service bei einem Provider zu bewerten?. Hierüber scheint es noch keine abschließende Aussagen zu geben, denn anders kann ich mir nicht erklären, dass genau das wohl passiert: Zugriffe auf Daten und Dienste beim Hoster, ohne dass der Besitzer davon zeitgleich oder nachträglich in Kenntnis gesetzt wird und dann noch Gesetze, die dem Provider eine solche gebotene Information verbieten.

Damit entfällt jede Kontroll- und ÜberprüfungsMöglichkeit für den Dateninhaber. Sollten die Daten über den Umweg einer Behörde vielleicht noch in fremde Hände kommen, dann gibt es sogar noch einen Konflikt bezüglich "Datensicherheit - § 109a TKG", da der Inhaber mangels Kenntnis gar nicht informieren könnte.

Sicherheit Teil 4: Auf hoher See und vor dem Richter ...

Nicht ganz vergessen darf man, dass sich auch rechtliche Rahmenbedingungen ändern können oder gerade noch ausgefochten werden. Da kann dann weder Microsoft noch eine Firma wirklich was ändern, wenn Politiker unter dem Einfluss verschiedener Lobby-Organisationen oder blindem Aktionismus nach Attentaten eine Richtung einschlagen, deren Tragweite sie gar nicht verstehen können. Ein paar aktuelle Aufreger

  • Datenschutz-Grundverordnung
    Auch Anfang 2016 ist sie noch nicht verabschiedet und in Arbeit. Aber diese EU-weite regelung wird viele lokalen Vorgaben ersetzen. Das bedeutet aber auch, dass die Cloud in Frankreich und die Cloud in England aber auch Deutschland alle den gleichen Gesetzen unterliegen. Spätestens dann ist die DE-Cloud vielleicht gar ncht mehr sicherer also alle anderen Clouds.
  • Microsoft gegen „Landgericht New York“
    Ein lokaler Richter hat Microsoft aufgefordert Daten aus einem Datacenter in Europa an US-Ermittlungsbehörden zu übergeben. Unter Umgehung der üblichen Wege der Amtshilfe. Microsoft wehrt sich. Als kleine Firma hätten Sie wohl kaum die Mittel das vergleichbar durchzufechten
  • Patriot Act und GAG-Orders in den USA
    Immer häufiger fordern Ermittlungsbehörden Einblick an und verbieten dem Anbieter darüber zu sprechen. Angeblich wäre so gar ein Gespräch mit einem Anwalt schon strafbar.
  • Die Pflicht ein IPhone per Fingerabdruck zu entsperren
    Niemand kann sie dazu zwingen eine PIN auf dem Smartphone einzugeben. Seitdem immer mehr Telefone per Fingerabdruck entsperrt werden können, gibt es eine neue Tür für Behörden. Das "Auflegen" des Fingers können Sie angeblich nicht verweigern
  • Safe Harbour und Max Schrems
    Angefangen hat es mit einer Nachfrage zu Facebook bei der irischen Datenschutzbehörde. Und plötzlich kippt das EuGH das Safe Harbour. Aber beachten Sie dabei, dass sich Safe Harbour sowieso nur auf "Geschäftsdaten" bezieht. Ihr privaten Facebook, Twitter oder auch OneDrive-Daten sind da noch nie drunter gefallen.
  • Vorratsdatenspeicherung
    Nach meiner Einschätzung werden viel zu oft mit dem Generalschlüssel „Terrorbekämpfung“ als Dietrich Bürgerrechte ausgehebelt. Wenn schon alles überwacht wird, warum ist es dann nicht möglich Spammer, Erpresser etc. dingfest zu machen. Ich muss ja froh sein, weil NoSpamProxy hier ja eine gute Hilfe ist. Ich habe mal wieder Orwell 1984 gelesen und zufällig Minority Report gelesen. Utopie?  wir sind teilweise schon viel weiter.
  • Public WiFi
    Auf der anderen Seite tun sich unsere hiesigen Politiker so schwer mit einer Regelung zum WiFi. Sie erschweren damit aber extrem den Zugang zu Cloud Diensten. Oder stecken das die LTE-Provider dahinter, die damit Geld verdienen ?
  • Sachstand Snowden, Mannings und andere "moderne Ritter"
    Vergessen wir mal, dass viele Ritter im Mittelalter alles andere als ehrenhaft waren, sondern durchaus eigene Interessen auch mit Waffengewalt verfolgt haben. Aber wer auf der einen Seite die Pressefreiheit hochhalten will, weil damit auch Missstände aufgedeckt werden, muss auch den Schutz der Journalisten sicherstellen und mit Augenmaß agieren. Der Umgang mit einigen Personen rüttelt schon mächtig an meinem "Vertrauen" in die staatlichen Institutionen und noch mehr an dem Selbstverständnis der verschiedenen "Dienste".

Es ist schon ein vertracktes Gebiet und kaum jemand kann hier immer auf dem laufenden Bleiben. Selbst Anwälte tun sich schwer. Das macht es für die Anbieter aber auch die Nutzer einer Cloud nicht wirklich einfacher.

Sicherheit Teil 5: Lokale Server sind nicht automatisch sicher

Wenn Sie aber nun glauben, dass ein lokaler Betrieb sicherer sei, dann möchte ich ihnen nur noch ein paar Dinge mit auf den Weg geben:

  • Administratoren sind namentlich bekannt
    Sie sind damit angreifbar und können beeinflusst werden (Bestechung, Erpressung)
  • Serverstandorte sind bekannt
    Damit sind sie ein bekanntes Ziel für Einbrecher oder andere Zugänge (Putztrupp, Handwerker etc.) aber auch für Beschlagnahme durch Polizei u.a..
  • Begrenztes Management:
    Je kleiner eine Firma ist, desto ungünstiger wird die Kostenrechnung und desto "allgemeiner" wird die Verwaltung. So kommt es, dass Administratoren oft umfangreiche Rechte haben, Updates verzögert eingespielt werden, Sicherheitsprozesse aus "Zeitgründen" umgangen werden..

Es ist ja nicht so, dass nur Cloud ihre Risiken hätte.

Orwell 1984 oder Paranoia?

Vielleicht liegt es an meinem fortgeschrittenen Alter, dass ich Orwells 1984 als Teenager gelesen habe, die Teilung Deutschlands bei dem obligatorischen Schulausflug nach Berlin erleben durfte und durch die Lange Jahre in der IT um das Missbrauchspotential weiß. Wenn in Kinofilmen wie Minority Report oder Fernsehserien (CSI etc.) wie selbstverständlich von den "Guten" anhand von Datenabfragen und Verknüpfungen der Kreis der Filmverdächtigen ausgedünnt wird, dann sollte dies in der Realität sich in einem nachvollziehbaren Rahmen bewegen. Mir scheint aber, dass einige Regierungen gerade nicht mehr wissen, für wen sie ihren Amtseid geschworen haben.

Wenn Sie nun denken, dass Sie sich einfach einen Hoster in ihrem Staat suchen, dann könnte das trügerisch sein. Selbst der Hoster der MSXFAQ (1und1, Stand Juli 2014) hat z.B. Datacenter in den USA (https://www.1and1.com/DataCenter) die sicher auch mit dem deutschen Standort verbunden sind und selbst die "Deutsche Telekom" hat eine nicht gerade kleine Tochter in den USA und ich werde meine Hand hier nicht ins Feuer legen, dass eine klare Trennung vorhanden ist.

Die Frage bleibt einfach, wie weit ein Staat gehen kann, bis die Firmen wirklich den Standort wechseln und keine Dienste mehr in einem Land direkt anbieten. Aus steuerlichen Gründen gibt es ja schon entsprechende Verschiebungen.

Und nun? Cloud oder nicht ?

Letztlich ist es ihre eigene Entscheidung und Bewertung, in welchem umfang sie welche Dienste in die Cloud verschieben. Ich als Einzelperson verzichte weitgehend auf die Ablage von "sensiblen Daten "in der Cloud. Die MSXFAQ ist sowieso öffentlich und die Ablage beim Hosting ist quasi nur eine "Kopie". Mit dem Risiko, dass jemand das Postfach beim Provider einsieht, muss ich wohl genauso leben wie jemand auch meine Briefpost "scannen" könnte.

Ich kann ihnen keine Empfehlung geben aber rein vom technischen Aspekt kann ich Sie bei allen Fragen der Cloud natürlich unterstützen. Ich bin also keinesfalls gegen Dienste in der Cloud.

Über den Erfolg der Cloud bestimmen meiner Ansicht nach aber nicht allein die verschiedenen Anbieter mit ihrer Preis- und Leistungsgestaltung oder die möglichen Firmen und Nutzer sondern zu einem entscheidenden Faktor auch die jeweiligen Regierungen und Gesetzgeber und deren weiteren Verhalten. Firmen sind gut damit beraten, sich an die lokalen Gesetze zu halten, wenn Sie nicht den Standort wechseln können aber Staaten sollten abwägen, wie weit die die Freiheit der Allgemeinheit zu Gunsten eventuell überzogener Kontrollvollmachten einschränken wollen und wie weit sie die Unverletzlichkeit staatlichen Grenzen beachten wollen. Technisch ist die Cloud und deren Nutzung möglich und in vielen Fällen sogar wirtschaftlich sehr interessant.

Weitere Links