Die Gefahr aus der Wolke Sony- und Amazon-Probleme schüren Zweifel an externer Datenhaltung

Redakteur: Dr. Stefan Riedl

Cloud Computing funktioniert, weil externe Datenhaltung sicherer ist als die auf Systemen der KMUs. Die Zweifler mehren sich, denn Hacks und Pannen bei großen Diensten werfen neue Fragen auf.

Firmen zum Thema

Insbesondere in Deutschland geben User ihre Daten ungern in ein externes System, das sich außerhalb ihrer Kontrolle befindet.
Insbesondere in Deutschland geben User ihre Daten ungern in ein externes System, das sich außerhalb ihrer Kontrolle befindet.
( Foto: P.R. Yakin - Fotolia.com )

Die Angst vor schwarzen Schwänen geht auch in der IT-Branche um. Das sind unvorhergesehene Ereignisse, die nach gängiger Überzeugung der meisten Experten auf einem Gebiet so unwahrscheinlich sind, dass sie gar nicht zur Debatte stehen. Sie können aber eben doch eintreten und dann ist das Entsetzen groß. Für die Beteiligten kann es dann so richtig unangenehm werden.

Bei Sony rechnete sicherlich keiner damit, dass es Hacker schaffen, fast ebensoviele Kundendaten (vielleicht inklusive Kreditkarteninformationen) aus dem Playstation-Netzwerk zu stehlen, wie es Einwohner in Deutschland gibt. Und nachdem das passiert ist, rechnete man bei Sony sicherlich nicht mit dem zweiten Datenklau, bei dem kurze Zeit später ein Internet-Spiele-Server von Sony Online Entertainment (SOE) geknackt wurde. Diesmal ging es um weitere 25 Millionen Kundendaten, darunter auch Bankverbindungen, Namen, Kontonamen und Adressen von rund 12.700 Kunden aus Deutschland, Österreich, den Niederlanden und Spanien. Die SOE-Daten umfassen Name, Adresse, E-Mail, Geburtsdatum, Telefonnummer, Login-Name und das verschlüsselte Passwort.

Neben krimineller Gewinnerzielungsabsicht (Adressverkauf, Kreditkartenbetrug) wird gemutmaßt, dass hinter den gezielten Angriffen ein Racheakt aus der Hacker-Szene steht: Sony hatte zuvor einem Playstation-Hacker das Leben schwer gemacht, ihn verklagt und sich dann außergerichtlich geeinigt. Es könnte eine Botschaft sein: Legt Euch nicht mit uns an.

Lesen Sie auf der nächsten Seite mehr zu „schwarzen Schwänen“ und der Skepsis gegenüber externer Datenhaltung.

Schwarze Schwäne

Was lässt sich aus dem, inzwischen als „Sonygate“ bekannten Hack lernen? Schwarze Schwäne durchkreuzen etablierte Grundannahmen nicht nur in der Finanzwirtschaft (europäische Staatsanleihen sind sicher) und der Atomindustrie (moderne Kernkraftwerke können nicht explodieren), sondern auch in der Informationstechnologie (man kann hochsensible Daten wirksam vor Hackern schützen). In Bezug auf Cloud Computing ist diese letztgenannte Erkenntnis besonders brisant. Denn es ist eines der Hauptargumente für Public-Cloud-Modelle, dass die professionell betriebenen Rechenzentren der „Cloud-Konzerne“ weitaus sicherer sind, als es ein paar schnöde Server in einem mittelständischen Betrieb jemals sein können.

Gegenfrage

Allerdings muss dann auch eine Gegenfrage erlaubt sein: Ist es nicht erst das immense Datenvolumen in großen Cloud-Rechenzentren, die Hacker anlocken? In diesen zwielichtigen Kreisen wird nach Datensätzen abgerechnet. Allein für gültige E-Mail-Adressen werden im Spammer-Dunstkreis pro Stück ein paar Cent bezahlt. 77 Millionen (erster Hack) plus 25 Millionen (zweiter Hack) Datensätze bedeuten für die beteiligten zwielichtigen Gestalten einen enormen wirtschaftlichen Erfolg. Inwieweit Kreditkartenvergehen hinzu kommen, bleibt abzuwarten. Sollten Kreditkarten ausgetauscht werden müssen und Regressforderungen auf Sony zukommen, könnte das den japanischen Konzern Milliarden kosten, rechnete die Financial Times Deutschland vor.

Lesen Sie auf der nächsten Seite mehr zum Amazon-Fauxpas und ein Fazit.

Das Amazon-Desaster

Wie sieht es mit anderen Grundannahmen aus, die externe Datenhaltung im Besonderen und Cloud-Computing-Modelle im Allgemeinen betreffen?

Der Ausfall begann am 21. April 2011 um 9:30 Uhr nach hiesiger Zeit. K.O. gingen die Services des Amazon-Angebots „Elastic Block Store“ (EBS), die normalerweise vom wichtigsten Rechenzentrum des Web-Tycoons in Ashburn, Virginia, bereit gestellt werden.

Ungefähr zwölf Stunden später gab der Konzern bekannt, dass die Web-Services der Amazon-Cloud grundsätzlich wieder laufen. Allerdings habe man Wiederherstellungs-Routinen angeworfen.

Um 1:00 Uhr nachts am 24. April gab das Unternehmen dann bekannt, dass die Services nunmehr allesamt stabil arbeiteten, die Wiederherstellung jedoch noch andauere. Bis dann tatsächlich die „Amazon Web Services“ (AWS) korrekt funktionierten, war es an der Ostküste der USA schon der 25. April, und noch immer liefen die „Relational Database Services“ nicht rund. Das alles habe so lange gedauert, weil man Standard-Routinen zur Wiederverwendung freigewordener Kapazitäten nicht folgen wolle, solange ungeklärt war, ob alle Daten wiederhergestellt werden konnten. Der letzte Halbsatz ist der entscheidende.

Fazit

Steht der vielbeschworene Cloud-Computing-Erfolg damit auf tönernen Füßen und wird bedroht von weiteren medienwirksamen Desastern? Eher nein, denn die Vorteile der As-a-Service-Modelle sind immens (siehe Seite 4). Aber Ereignisse wie das Sonygate und die „fast verlorene Amazon-Wolke“ könnten IT-Entscheider stärker für Private-Cloud-Modelle begeistern, die in As-a-Service-Szenarien einen Kompromiss zwischen komplett externer und interner Datenhaltung darstellen.

Lesen Sie auf der nächsten Seite eine Sammlung gängiger Pro- und Contra-Argumente zum Thema Cloud Computing.

Contra Cloud

  • Durch Cloud Computing wird tendenziell Wertschöpfung aus dem Channel genommen, während Direktvertriebsmodelle profitieren.
  • Bestimmte Daten dürfen die Bundesrepublik Deutschland oder die EU aufgrund von gesetzlichen Bestimmungen nicht verlassen; viele Cloud-Anbieter betreiben ihre Rechenzentren aber außerhalb.
  • Der Zugriff von Mitarbeitern des Cloud-Anbieters auf sensible Daten kann nicht gänzlich ausgeschlossen werden, haben diese das eigene Unternehmen einmal verlassen.
  • Änderungen beim Cloud-Anbieter, beispielsweise der Verkauf des Unternehmens oder der Austausch von Hardware geht mit Risiken einher.
  • Vor gezielten Hacker-Angriffen können mitunter die besten Sicherheitsmaßnahmen nicht schützen (siehe „Sonygate“). Und die Gefahr eines solchen Hacker-Angriffs ist bei großen Playern im Markt tendenziell größer als bei kleinen Unternehmen.

Pro Cloud

  • Den Sicherheitsstandard externer Rechenzentren erreichen die meisten In-House-Systeme keineswegs.
  • Die heranwachsende „Generation Facebook“ ist mit der Cloud aufgewachsen und wird Public-Cloud-Lösungen offener gegenüber stehen.
  • Das wahre Sicherheitsrisiko sind Mitarbeiter eines Unternehmens und Cloud-Lösungen helfen bei der Zugangsbeschränkung zu sensiblen Daten.
  • Beim Cloud-Computing-Bereitstellungsmodell fallen keine Einmal-Investitionen an, sondern monatliche Gebühren – das schont die Eigenkapitalquote eines Unternehmens.
  • Viele Cloud-Verträge sind sehr flexibel und skalierbar, was dem dynamischen Geschäftsalltag besser entspricht, als Lizenz-Investitionen.
  • Durch Umwandlung von Eigentum (Lizenz) zu Miete (SaaS) wird Software tendenziell günstiger.
  • Das Bereitstellungsmodell SaaS ist häufig browser-basiert und dann endgeräteunabhängig sowie besonders gut für den mobilen Zugriff geeignet.
  • Statt dem Lizenz-Dschungel im On-Premise-Modell ist Cloud-Computing insgesamt übersichtlicher und damit compliance-gerechter.
  • Im SaaS-Modell neue Arbeitsplätze einzurichten und zu administrieren ist tendenziell mit weniger Aufwand verbunden als im On-Premise-Modell.
  • Bei verbrauchsabhängigen SaaS-, IaaS- und StaaS-Modellen (Software-, Infrastructure und Storage as a Service) muss nur das bezahlt werden, was tatsächlich genutzt wurde.

(ID:2051290)