Veröffentlicht am

Die Cloud – Ein paar Denkanstöße

Cloud Services - DenkanstößeDas Thema Cloud Services ist nicht mehr wegzudenken.

Wohin man auch blickt, überall wird mit Cloud Diensten geworben. Sei es als gemeinsamer Datenspeicher a la DropBox oder als komplette Servervirtualisierung in der Elastic Cloud von Amazon.

Neben diesen beiden Speicher-, bzw. Rechnerlösungen gibt es noch viele Spezialanwendungen, die direkt in der Cloud realisiert werden. Hier merkt der Anwender nicht einmal, dass er in der Cloud arbeitet. Die Dienste arbeiten oftmals entweder im Internetbrowser oder als separate Applikation, die lokal auf dem Rechner installiert wird und ein sogenanntes Frontend bildet.


Wie kann Ihr Unternehmen von Cloud Diensten profitieren?

Wie und ob diese verschiedenen Ansätze in Ihrem Unternehmen eingesetzt werden können, ist oft fraglich. Die Beschreibungen der einzelnen Dienste sind oft eher für Techniker geschrieben als für Entscheider.

Mit diesen Informationen fällt es oft schwer zu entscheiden, ob und welche Dienste in einem Unternehmen wirklich eingesetzt werden können. Hinzu kommen relativ undurchschaubare Geschäftsbedingungen, die eine Kalkulation nicht einfach machen.

Genug Ansatzpunkte also das Thema in einer losen Beitragsreihe einmal aufzuarbeiten und ein paar Denkanstöße zu liefern.

Muss es immer eine externe Cloud sein?

Das ist oft ein erster Gedanke. Bedenken um die Themen Datenschutz und Ausfallsicherheit kommen in Gesprächen immer sehr schnell auf. Ein Aspekt dabei ist in der Tat das Thema Datenschutz. Die Entwicklung im Juni 2013 rund um die Tätigkeiten der U.S.-amerikanischen NSA lassen viele Vermutungen zur Gewissheit werden.

Auch Ausfallsicherheit, Datensicherung (Backup) und Zugriffsmöglichkeiten sind ein Thema, das in der Diskussion um die Frage einer externen Cloud-Lösung aufkommt.

Hier im Blog wird es in den nächsten Wochen ein paar Hinweise und Denkanstöße geben, die für Sie als Entscheider wichtig sein werden.

Es wird bewusst nicht das System A oder B konkret vorgestellt werden, sondern es wird eher um die grundsätzlichen Dinge in der Planung gehen. Die Themen werden sein:

  • Diensteauswahl
    • Speicherplatz
    • Rechenleistung
  • Zugang zu den Services
    • Eigener Internetzugang
    • Standort Dienstleister
  • Datensicherung
    • Absicherung und Fehlerquellen
    • Rücksicherung und Wiederinbetriebnahme
    • Organisatorischen Maßnahmen
  • Datenschutz
    • Auswahl des Providers aus juristischer Sicht
    • Auswahl der Service Level Agreements

Abonnieren Sie einfach den Newsfeed und bleiben Sie auf dem Laufenden.

Veröffentlicht am

Surfen im Web, Schadsoftware umschiffen

IGP0814_1000px-199x300Sie haben gerade Ihren Laptop bei mir abgeholt?

 

Und Ihnen ist aufgefallen, dass der Webbrowser ganz anders aussieht?

Da haben Sie recht. Ich habe da etwas ein kleines Stück sicherer gemacht. Einfach nur ein Schloss daran hängen bringt es nämlich nicht immer.


Aber keine Angst. Solche Änderungen mache ich nicht, ohne das abzusprechen. Aber manchmal würde ich das schon gerne. Denn gerade im Bereich der Windows-PCs lauern Risiken, die man schon mit kleinen Änderungen minimieren kann.

 

Also reden wir doch einmal darüber, was an einfachen Änderungen machbar ist, um das Risiko von Schadsoftware zu verringern.

Alles fängt mit der Wahl des Internetbrowsers an. Denn der ist mittlerweile die Hauptquelle für Schadsoftware auf dem Rechner. Also nehmen wir einen, der sich mit Anpassung auf ein sinnvolles Maß an Sicherheit nachrüsten lässt.

Am einfachsten aus Sicht der IT-Sicherheit lässt sich das mit Mozilla Firefox bewerkstelligen. Hier gibt es eine breite Auswahl an sogenannten AddOns, mit denen man sehr hübsche Sachen nachrüsten kann.

Im Grunde reichen dazu drei AddOns: AdBlock Plus, Ghostery und NoScript. All drei findet man problemlos über die im Firefox enthaltene AddOn-Funktion.

Diese drei kleinen Zusatzprogramme ergänzen sich gut auf verschiedenen Ebenen.

AdBlock Plus filtert unerwünschte Werbung heraus. Sie werden staunen, wie so manche Ihrer gewohnten Webseiten aussieht, nachdem das AddOn zuschlägt. Neben der Unterdrückung von Werbung hilft es auch, die meisten externen Skripte auf Seiten zu blocken.

 

NoScript ist auf dem Gebiet aber Experte. Denn genau diese Funktion hilft bei der Vermeidung der meisten Schadsoftware. Diese wird nämlich häufig über im Hintergrund einer Seite lauernde aktive Inhalte eingeblendet. Mal eben ein für den Nutzer unsichtbares iFrame eingebettet, das den entsprechenden Schadcode nachlädt. NoScript schiebt da einen ziemlich dicken Riegel vor.

(Wie bei manchen menschlichen Experten passiert auch hier manchmal doch zu viel des Guten. Viele Webseiten funktionieren mit NoScript nicht mehr wirklich toll. Also mit Augenmaß einsetzen…)

 

Ghostery macht unsichtbar. Also jedenfalls ein wenig. Ghostery ist spezialisiert, sogenannte WebBugs, also transparente Zählpixel, auszublenden und zu filtern.

Ab man nun alle drei einsetzt oder nur einzelne, muss jeder Nutzer auf Basis der eigenen Webseiten entscheiden.

Als sehr gut erwiesen hat sich die Kombination aus AdBlock und Ghostery. Diese beiden arbeiten ruhig im Hintergrund und fallen nur dadurch auf, dass ab und zu die Filterlisten aktualisiert werden. Wer es sicherer mag, sollte aber NoScript ruhig dazunehmen. Mit der Pflege von Ausnahmelisten kann man auch die eigenen und als sicher befundenen Webseiten dann freigeben. Aber klarer Tip: Ausprobieren und prüfen ob es zum eigenen Arbeitsablauf passt.

[UPDATE]

Nach einem Hinweis aus der Follower-Gemeinde, die auf eine negative Beurteilung von Ghostery hinwies, eine kurzes Ergänzung:

Ghostery ist in der Tat vor einiger Zeit von einem Werbedienstleister gekauft worden. Auch AdBlock hat im Hintergrund irgendwelche Vereinbarungen mit Werbedienstleistern und lässt daher „Weniger störende Werbung“ durch. Natürlich ist Werbung ein Geschäftsmodell. Darüber sollte man sich im klaren sein. Und es wird immer eine Gratwanderung sein.

[/UPDATE]

 

Wer sich nicht anpasst, geht unter!

Denn all diese Tools helfen nicht ohne Anpassungen im Firefox! Auch im Programm selber sind die vorhandenen Sicherheitsfunktionen nicht unbedingt perfekt voreingestellt. Nehmen wir beispielhaft doch einmal einige dieser Einstellungen unter die Lupe.

EinstellungenIn den Einstellungen der Reiterkarte „Datenschutz“ finden sich ein paar nette Häkchen, die man hinterfragen und eigentlich auch setzen sollte.

Die Verfolgung von Websites abzuschalten ist eigentlich Pflicht, basiert aber auf dem Goodwill des Seitenbetreibers. Aber es schadet nicht, die Funktion anzuschalten.

Die Option privater Modus sorgt dafür, dass kein Browserverlauf geschrieben wird und das keine Formulardaten gespeichert werden. Insbesondere dann interessant, wenn mehrere Personen einen Rechner nutzen.

Cookies sind an sich erst einmal nicht schädlich, sie lassen sich aber über die Drittanbieter-Erlaubnis missbrauchen. Also Drittanbieter aussperren!

Die Vorschläge in der Adressleiste sind zweischneidig. Natürlich ist es bequem, dass man dort nicht immer die ganze URL eintippen muss. Aber woher kommen die Vorschläge? Natürlich von draußen. Und wer sagt mir, dass diese Vorschläge nicht vorgefiltert sind oder zu „statistischen“ Zwecken gespeichert werden? Also abschalten und lieber tippen.

Mit diesen wenigen Handgriffen ist der Browser schon einmal nicht mehr ganz so auskunftsfreudig. Das Ergebnis sehen Sie nicht direkt. Aber es zahlt sich aus.

 

Vom Suchen und Finden

Auch ein Aspekt. Oben rechts neben der Eingabezeile für die URL gibt so ein praktisches Suchfeld. Bei den meisten sieht es so aus:

Google SucheIst doch so herrlich bequem. Wer ahnt denn schon, dass sich mit statistischen Methoden aus den an Google übermittelten Informationen mit recht hoher Genauigkeit eine Identifizierung eines Browsers machen lässt? Der Browser liefert dem Server (also Google) nämlich auf Anfrage eine Liste der PlugIns, der benutzten Rechnerplattform und anderen Informationen wie der Bildschirmeinstellung. Hieraus lässt sich schon ein recht genau zu identifizierender Fingerabdruck erstellen, der identifizierbar ist.

Warum das nicht ändern auf: ixquick

Das kostet eine letzte Suche bei Google mit dem Suchbegriff ixquick. Oder einen Klick hier. Und dann noch einen unter dem Suchfeld. „Zu Firefox hinzufügen“.

ixquick macht nichts anderes, als die Suchanfragen an andere Suchmaschinen weiterzuleiten. Allerdings vermischt mit anderen Anfragen. Man verschwindet also wieder ein wenig in der anonymen Masse. Also jedenfalls der von Google. Natürlich kann der Betreiber von ixquick auch Daten sammeln. Aber weit weniger sinnhaft.

 

WWW – Mach’s mit. Immer.

Ebenso unabdingbar ist ein gut funktionierender Viren- und Malwareschutz. Wenn nämlich doch einmal etwas durchrutscht, braucht es einfach noch eine Instanz, die das Einnisten von Schadcode wirkungsvoll unterbindet.

Und welchen man da nimmt? Das ist echt eine Glaubensfrage geworden. Natürlich könnten wir nach so vielen Jahren in der IT hier unsere Meinung kundtun, aber das macht man nicht. Jedenfalls nicht ohne Anwalt. Deshalb: Rufen Sie doch einfach mal an.

Veröffentlicht am

Passwort-Lecks und Trittbrettfahrer

Passwort in GefahrPasswort in Gefahr: Das soziale Netz „LinkedIn“ hat offenbar „ein paar Passworte“ in Form von Hashes „verloren“.

 

Es ist die Rede von 6,5 Millionen Passwort-Hashes, die im Netz frei abrufbar sind.

Da sollten wir jetzt einmal drüber reden.


 

Erst einmal:
Das sind „nur“ 6,5 von 160 Millionen. Und es sind nur die Passwort-Hashes. Das sind im Grunde Prüfsummen, die mit Hilfe eines Rechenverfahrens aus dem eigentlichen Passwort berechnet werden. Mittels Berechnung und Vergleich kann man sein eigenes Passwort in den Hash umrechnen lassen und dann in der Liste suchen.

Das ist Fakt, da die Passworte offenbar ohne zusätzliche Verschleierung durch das sogenannte „Salzen“ weiter abgesichert sind.

Was aber scheinbar nicht mit kopiert werden konnte, sind die zugehörigen E-Mail Adressen. Die Betonung liegt auf „scheinbar“.

Sicherheitshalber sollte man also das Passwort bei LinkedIn ändern. Und auch bei anderen Diensten, wo die gleiche Kombination benutzt wurde! Solange „LinkedIn“ nicht klar belegen kann, dass nur die Hashes entwendet wurden, ist aus Sicht der IT-Sicherheit davon auszugehen, dass die gesamte Account/Passwort kompromittiert wurde.
Und selbst wenn sich die erste Darstellung bestätigt, wäre ich vorsichtig!

 

Auf keinen Fall sollte man aber auf irgendwelchen Sites jetzt sein Passwort eintippen, dort den Hash berechnen lassen und gegen eine angebliche Liste prüfen lassen!
Man gibt sein Passwort nicht aus der Hand. Nie. Nicht. Niemals.

 

Und schon gar nicht auf einer Site, deren Betreiber man nicht kennt.

 

Also bitte ignorieren Sie alle Tips, das Passwort doch einmal prüfen zu lassen!

 

Das einzig sinnvolle Verhalten: Passwort ändern. Und zwar direkt über die Login-Seite des Dienstes und nicht über einen netterweise zur Verfügung gestellten Link.

Es ist nämlich oft wirklich ganz einfach, über diesen Weg an gültige Informationen zu gelangen: Im Hintergrund den Facebook Like-Button und ich habe die Verknüpfung zu Facebook und der dort hinterlegten Mail-Adresse. Und ich wage zu schätzen, dass ca. 20% aller Nutzer bei Facebook, LinkedIn, StudiVZ und anderen Netzwerken in allen Netzen die gleiche Kombination nutzen!

Also bitte erst nachdenken!

Sie dürfen auch gerne eine Mail mit Fragen an VICO schicken oder anrufen und darüber reden: 0208/74011908

Veröffentlicht am

Grenzen der Bequemlichkeit

WLAN SicherheitEin WLAN abzusichern kann man jedem zumuten.

Kann man.
Sollte man aber nicht.

 

Sicherheit bleibt etwas Individuelles.

 


Aktuell in der Presse und sogar im Fernsehen: Massenhaft eingesetzte Endgeräte der Telekom haben eine „Sicherheitslücke“.

Was einem dabei zu denken geben sollte? Ganz einfach. Ob man Sicherheitsfeatures im IT-Bereich so umsetzen kann und muss, dass jeder, der einen Toaster bedienen kann sich zutraut das eigene IT-Equipment zu bedienen.

Das mag provokant klingen, aber machen wir uns die Situation einmal klar.

Die Rechtsprechung verlangt vom Betreiber eines Drahtlos-Netzwerks (WLAN), dass dies so konfiguriert sein muss, dass es dem Stand der Technik entspricht. Das bedeutet klar eine Absicherung gegen unbefugte Nutzung und leitet aus dem Nichtvorhandensein von Sicherungsmaßnahmen eine Haftung ab. Den Beteuerungen von Beklagten wurde zum Beispiel nie Glauben geschenkt, dass Netz nicht offen betrieben zu haben. Klare Beweislastumkehr, die im Zivilprozess so auch immer funktionierte, wenn es um Schadenersatzforderung der Film- oder Musikindustrie ging.

Mit dieser Argumentation war klar, dass ein WLAN mit der im Auslieferungszeitpunkt bestmöglichen Verschlüsselung abzusichern ist. Im Grunde kann man als Hersteller bei allen in Deutschland verkauften Geräten eigentlich die Modi „offenes WLAN“, „WEP“ und „WPA“ aus der Firmware heraus lassen. Also rückte „WPA2“ in den Fokus. Längere Passworte, andere Verschlüsselungverfahren und sogar Authentisierungen per Radius-Server…

Und damit wird es problematisch. Die Hersteller trauen oder muten den Anwendern ja nicht einmal zu, Passworte einer bestimmten Länge in all ihre WLAN-Geräte einzutippen. Statt als Hersteller aber hier klar zu empfehlen „Suchen Sie sich einen Experten“, versucht man diese Funktionen durch Automatismen mit Knöpfendrücken zu umschiffen.

Also statt den User für Sicherheit in der IT zu sensibilieren, macht man Sicherheit simpel.

Leider ist IT auch im Heimbereich schon lange nicht mehr simpel. Die kleinsten Router bringen schon Sicherheitsfeatures mit, bei denen der Normalanwender völlig überfordert ist. Wie viele Menschen können denn beurteilen, ob sie Prioritizing, Paketshaping, QoS oder LowLatency Ping brauchen? Oder welche Ports in der Firewall freizugeben sind und welche nicht? Richtig. Das wissen 5% der Anwender. Also von 100.000 Betroffenen im aktuellen Fall 5000. Bei den restlichen 95.000 Anwendern stehen die Geräte mit ziemlicher Sicherheit in den unveränderten Werksvoreinstellungen.

Ist ja auch alles ganz einfach. Gerät verkabeln, Strom drauf, läuft.

Damit man als Hersteller oder Provider auch noch Support leisten kann, falls der Anwender doch mal experimentiert und im Endergebniss nun wirklich alles zerschraubt hat, werden Hintertüren eingebaut. Für die Konfiguration des Router wurde z.B. TR-069 entwickelt. Ein Verfahren, bei dem sich der Router alle notwendigen Konfigurationsdaten selber holt. Und es sind noch weit mehr Dinge damit möglich. Der obige Wikipedia-Artikel sei dem interessierten Leser sehr empfohlen!

Nebenbei werden in die Geräte vermutlich auch feste Testkonfigurationen einprogrammiert, um das WLAN zu testen. Das wäre nämlich eine mögliche Erklärung für das aktuell gefundene Sicherheitsloch. Im Grunde sind beides aus Sicht der Hersteller und Provider völlig nachvollziehbare Funktionen.

Diese Fakten sollten aber vor dem Aspekt Sicherheit klar kommuniziert werden! Und diese Funktionen haben so umgesetzt zu werden, dass der Anwender diese abschalten kann. Zum Beispiel gelten für den Home-Office-Zugang die gleichen Sicherheitsrichtlinien wie im Betrieb. Und da hat niemand ohne explizite Zustimmung Funktionen zu aktivieren oder Logdateien auszuwerten. Auch Software-Updates sind ohne Freigabe durch den Eigentümer fast nach §202 und §303 StGB zu werten.

Vor dem rechtlichen Hintergrund ergibt sich eigentlich nur eine Konsequenz: Wenn ich keinen Einfluss auf die Sicherheit meines WLANs habe, lehne ich auch die Haftung dafür ab! Es ist doch wohl ein schlechter Witz, dass mein WLAN trotz Abschaltung der „Knöpfchen“-Lösung und sogar bei expliziter ABSCHALTUNG des WLAN einen Zugang mit fest einprogrammierten PIN bietet. Und dann auch noch „01234567“.

Die von Hersteller und Inverkehrbringer gezeigte Art mit IT-Sicherheit umzugehen, ist aus meiner Sicht mehr als grob fahrlässig.

Letztendlich liefen in Deutschland einige Prozesse, bei denen es den verklagten Anwendern unmöglich war, den Nachweis zu erbringen, dass das ausreichend abgesicherte WLAN unbefugt genutzt worden sein könnte. Richter haben stets argumentiert, dass die eingesetzten Verfahren zur Absicherung des WLAN sicher sein. Sind die Verfahren auch. Nur die Implementierung in der Hardware aber nicht. Was nun hinreichend bewiesen ist. Bereits gefällte Urteile sollten vor dem Hintergrund der jetzt verfügbaren Informationen noch einmal hinterfragt werden!

Man sollte dem Inverkehrbringer die Geräte auf den Hof kippen und sämtliche Prozesskosten seit der Inverkehrbringung weitergeben!
Veröffentlicht am

Social.Net.Works

Es fragt sich immer nur wie es wirkt.

 

Sie gehören zur „ich habe doch nichts zu verbergen“-Fraktion?

Das mag im Grunde ja auch stimmen, Sie sind ja ein grundehrlicher Mensch. Aber wollen Sie wirklich, dass in zwei Jahren immer noch die alten Fotos von der völlig schrägen Silvesterparty im Netz geistern? Es war ja wirklich eine tolle Party, aber ab 3 Uhr wissen Sie nicht mehr so genau was da war? Oh ja… das war vielleicht was. So betrunken waren Sie schon lange nicht mehr.

Sehen Sie? Wie wirkt wohl ein einzelnes, völlig aus dem Zusammenhang gerissenes Foto von Ihnen bei der nächsten Bewerbung?

Jeder Mensch hat etwas zu verbergen. Das nennt man Privatsphäre. Und das sollte auch so bleiben. Damit das so bleibt, müssen Sie sich einfach Gedanken machen, in welche sozialen Netzwerke Sie welche Inhalte einstellen. Und unter welchem Namen. Muss es wirklich der reale Name sein? Macht ja nichts? Doch…..

Die einzelne Plattform ist nicht unbedingt das Problem. Die Verknüpfung unterschiedlicher Quellen macht es brisant.

 

Konstruieren wir einen Fall: Sie sind Mitglied der Community XYZ. Ursprünglich war die Idee, nach dem Studium mit den ehemaligen Kommilitonen in Kontakt zu bleiben. Gar nicht so doof also. Jedenfalls wenn man mal die dort echt aufdringliche Werbung außer Acht lässt.

Aber Sie geben dort brav Ihren Namen und die Postleitzahl oder den Ort an. In Verbindung mit dem Telefonbuch werden Sie oft so schon mit nur einer weiteren Quelle lokalisierbar. Wenn Sie dann noch auf MySpace ein eigenes Profil haben und in YouTube witzige Videos kommentieren, dann sind Sie bestimmt ein aktives Mitglied und haben viele Freunde. Insgesamt kriegt man mit diesen wenigen Quellen schon ein Menge zu Ihren Hobbies und Ihren Interessen heraus.

Und noch wichtiger: ab da kommen Dritte ins Spiel. Denn all Ihre Freunde ergeben ein Netzwerk. Sie kennen von den 351 Leuten die meisten zwar kaum, aber sie werden im Kopf des Betrachters zu Ihren Freunden. Denn die Liste heißt ja Freundesliste. Wie soll der Betrachter entscheiden, ob das jetzt ein echter Freund ist oder nur jemand, den Sie aufgrund einer witzigen Antwort zu einem Kommentar dort in dieser Liste haben?

Eines Tages gehen Sie in einer anderen Community auf die Suche, weil einer Ihrer Freunde schrieb, dass Sie ja ganz tolle Bilder da drin haben. Sie suchen also Ihren Namen bei Facebook. Und finden ihn. Beim Betrachten der Bilder in diesem Profil wird Ihnen allerdings ein wenig seltsam. Denn Sie haben dort sehr „interessante“ Bilder im Profil. In einem Profil, dass Sie nicht einmal selbst angelegt haben. Und auf das Sie keinen Zugriff haben um die Bilder und Äußerungen zu löschen. Entsetzlich….? Stimmt!

Denn vor allem stimmen die angegeben Daten. Alter, Wohnort, Adresse, sogar das Profilbild. Machen Sie jetzt mal den echten Freunden klar, dass das ein Identitätsdiebstahl ist. Zählen Sie mal die hochgezogenen Augenbrauen und Sprüche wie „hab ich ja schon immer vermutet“….

Und wenn dann auch noch der Arbeitgeber das mitbekommt, denn einige Ihrer echten Freunde sind natürlich aus der Firma. Was glauben Sie, wie schnell sich so etwas herumspricht?

Solche Sachen lassen sich nur vermeiden, wenn Sie mit der Herausgabe persönlicher Daten extrem umsichtig sind. So wenig Daten wie möglich ist ein Ansatz. Und die Zugangsmöglichkeiten beschränken. Denn die Partybilder gehen nur die Freunde etwas an und nicht jeden Nutzer. Egal wie lustig das war. Früher oder später geistern Ihre Bilder nämlich durchs Internet. Und die dann wieder einzufangen, ist richtig schwierig.

Ein alter Grundsatz des Internet aus dem Jahr 1994: „Be liberal in what you accept, but strict in what you send!„.

Wie wahr…. Also erst denken, dann posten.

Veröffentlicht am

Ein Handy auf Reisen

Die Vorratsdatenspeicherung und was allein mit den beim Handynetzbetreiber gespeicherten Daten möglich ist:

http://www.zeit.de/datenschutz/malte-spitz-vorratsdaten

Das muss man eigentlich nicht weiter kommentieren. Was man daraus so alles in Kombination mit Daten aus sozialen Netzwerken machen kann mag jeder einmal selber überlegen.

Und das die Daten ohne Rechtsgrundlage genutzt werden hat Dresden klar bewiesen. Ein Beitrag des Magazins Fakt:

http://www.youtube.com/watch?v=DXIBOjMg6l0

Im Grunde kann aus diesem Beispiel nur eines ableiten: Öfter mal das Handy ausmachen. Oder in Keksdosen legen wie in so manchem Unternehmen, Evonik wird schon wissen warum man das macht. Quelle: Spiegel Online

 

Veröffentlicht am

Schon wieder Gewitter in der Cloud

CloudUnd wieder hat es Probleme bei einem großen Cloud-Anbieter gegeben: In einem Rechenzentrum in Irland ist es nach Angaben der Betreiber durch einen Blitzeinschlag zu einem größeren Stromausfall gekommen. (Quelle: heise Online)

Dies ist der zweite massive Ausfall eines solchen Cloud-Rechenzentrums. Und auch diesmal dauert es bis zur Wiederinbetriebnahme der Dienste mehr als einen Tag. Ein Tag, in dem die dort gelagerten Daten nicht abrufbar waren. Die darauf aufsetzenden Shops waren nicht verfügbar.

Jetzt beginnt für alle Kunden, die auf diese Dienste aufsetzen auch noch die große Kontrolle. Sind die Daten noch konsistent? Muss ein Backup eingespielt werden? Welchen Stand haben vorhandene Daten? Welche Aufträge sind schon erfasst oder abgewickelt?

Die Inbetriebnahme nach dem Notfall wird länger dauern als der Ausfall selbst. Denn rund 36 Stunden nach dem Ausfall scheint nocht nicht klar zu sein, welche Volumes möglicherweise inkonsistent sind.

Geworben wird übrigens mit einer Verfügbarkeitsquote von 99,95%, Zum Vergleich: Nach dem BSI ist eine Installation „höchstverfügbar“ bei 99,999%, das enspricht einer Ausfallzeit von rund 6 Minuten pro Jahr. Ab neun Stunden Ausfall (99,0%) sind wir bereits in der Klassifizierung „Normal verfügbar“.

Und das bezieht sich nur auf die Zeit bis Hard- und Software im Prinzip wieder laufen. Es gibt aber eben noch den Nebenschauplatz Datenkontrolle. Der Betreiber des Rechenzentrums stellt nämlich den Kunden offenbar nur Recovery-Images der Volumes zur Verfügung. Die Prüfung und Kontrolle der Daten obliegt dem Kunden selbst. Kann der Kunde das überhaupt? Oder sind die personellen und strukturellen Resourcen nicht gerade erst heruntergefahren worden, da ja jetzt alles in der Cloud liegt?

Man darf also durchaus skeptisch sein, wenn man Cloud-Dienste nutzt. Gerade im Bereich Mittelstand, wo gerade massiv für Cloud-Dienste geworben wird, sollte man sich klar einige Fragen zum Risiko/Nutzen-Verhältnis stellen. Denn wenn die großen Kunden in den Rechenzentren schon derartige Probleme haben, wie wird es dann dem kleinen Mittelstandskunden ergehen? Eine Woche kein Datenzugriff, weil erst einmal die großen wieder produktiv gehen müssen? Zwei bis drei Wochen um Daten und Aufträge zu prüfen, um Doubletten zu vermeiden? Das kann für einen kleineren Betrieb ein existentielles Risiko darstellen.

Das Fazit kann aus unserer Sicht nur lauten: Cloud? Ja gerne. Aber bitte eine eigene, private Cloud. Mit einem hinterfragbaren Konzept, aufgesetzt mit standardisierter Hard- und Software. Und mit einem externen Berater, der dem Kunden mit Rat und Tat zur Seite steht.

Sprechen Sie uns an, wir entwickeln Ihr Konzept.