“Aber die NSA…” – Ich kann es nicht mehr hören!

Jörn Böger, Nils Schmidt,
Cloud
Siegel der National Security Agency (Bild: News.com)

Wie hoch in Deutschland die Wellen immer noch bei Neuigkeiten rund um den NSA-Überwachungsskandal schlagen, zeigt die aktuelle Debatte darüber, dass die NSA und die CIA für die Analyse gigantischer Datenmengen in Echtzeit die Hochleistungsdatenbank SAP HANA einsetzen. Dass die deutsche SAP US-Behörden – und damit auch die NSA – als Kunden hat, war kein Geheimnis. Neu dagegen ist, dass SAP mit einem US-amerikanischen Tochterunternehmen gezielt diesen Markt anspricht. Dabei stellen die Walldorfer klar, dass sie zwar die Big-Data-Lösung bereitstellen, sich jedoch nicht in der Verantwortung sehen, wie diese dann unter Umständen von Sicherheits- und Geheimdiensten genutzt wird.

Der Vorstandsvorsitzende der deutschsprachigen SAP Anwendergruppe DSAG, Marco Lenck, stellt dazu die entscheidende Frage aus Anwendersicht: “Wie wirkt sich diese Kooperation auch auf meine Kundendaten in einer SAP Cloud aus?” Mit ähnlichen Fragen sehen wir uns als Consultants täglich konfrontiert. Sobald man das Thema Cloud-Strategie bei Kunden anspricht, so kann man sich sicher sein, dass innerhalb der nächsten 10 Sekunden das Wort “NSA” zu hören ist. Die Bedenken in unserem Land sind hoch, nicht zuletzt seit dem Bekanntwerden der Arbeitsweisen der Überwachungsorgane.

Wir müssen nun aber gestehen, dass wir das Thema NSA langsam nicht mehr hören können. Mit diesem Einwand wird oft jede noch so gute IT-Innovation sofort torpediert. Insbesondere in Deutschland steht man der sich immer schneller verändernden Technologie besonders skeptisch gegenüber. Hier wird die NSA gerne als ultimatives Totschlagargument gebraucht. Aber schauen wir uns diese Argumente einmal genauer an.

Das Phantom National Security Agency (NSA)

Liest man die ersten Zeilen bei Wikipedia zum Thema NSA, findet sich folgendes: “Die NSA ist für die weltweite Überwachung, Entschlüsselung und Auswertung elektronischer Kommunikation zuständig und in dieser Funktion ein Teil der Intelligence Community, in der sämtliche Nachrichtendienste der USA zusammengefasst sind.”

NSA spioniert (Bild: ZDNet)

Der aufmerksame Leser wird bereits beim “weltweit” stutzig. Cloud Computing oder die Überwachung von Public Clouds fallen demnach nicht in den Zuständigkeitsbereich der Behörde. Nimmt man Wikipedia wörtlich, liest oder hört die NSA demnach also überall rein und zwar egal wo, wann und bei wem. Wenn dem so ist, dann spielt es also erst einmal keine Rolle, ob Unternehmen oder Privatpersonen nun eine Privat-Cloud, Public Cloud, Hybrid-Cloud nutzen oder nur mit einem einzelnen Rechner arbeiten. Eine weltweite Überwachung spielt sich überall ab und beschränkt sich nicht auf Daten, die in einem externen Rechenzentrum ausgelagert sind.

Abgesehen davon: Wenn man ehrlich ist, muss man davon ausgehen, dass nicht nur die NSA Daten auswertet, sondern ebenso der deutsche Bundesnachrichtendienst sowie alle anderen großen Geheimdienste. Warum sind es also gerade diese “wolkigen” Lösungen, denen Anwender und Unternehmen im Zusammenhang mit der Überwachung durch Nachrichtendienste so kritisch gegenüber stehen?

Schwachstellen mit SLAs und Verschlüsselung begegnen

Oftmals zeigt die eigentliche Diskussion mit dem Kunden, dass sich dahinter die Angst vor Kontrollverlust sowie Fehlinformationen über Sicherheit, Zugriffserlaubnis und Hacks verbergen. Hier wird das Vorurteil ins Feld geführt, dass Public Clouds ja nicht sicher seien, denn niemand könne wissen, wer auf diese Daten Zugriff habe und wie leicht in das System einzubrechen sei. Das sind berechtigte Einwände, doch halten sie keiner tiefergehenden Analyse Stand.

Die Frage, die sich Unternehmen stellen müssen, ist vielmehr: Sind Daten in meinem eigenen Rechenzentrum auf meinen eigenen Servern wirklich sicherer als die, die ich beispielsweise über VMware vCloud Air, Microsoft Azure oder Amazon AWS in die Cloud ausgelagert habe und die nun extern gehostet sind? Meist ist sogar das Gegenteil der Fall.

Alle großen Cloud-Anbieter bieten Kunden zum Beispiel detaillierte Service Level Agreemens (SLAs), die den Unternehmen höchste Dienstleistungs- und Sicherheitslevel garantieren. Darunter fällt auch ein regelmäßiges Patching, also das Einspielen von Updates und die Fehlerbehebung in Systemen, das automatisiert zur Verfügung gestellt wird. Die Erfahrung zeigt, dass dies in vielen Unternehmen weniger reibungslos und automatisiert funktioniert.

Hinzu kommt die “Schwachstelle Mitarbeiter”: Große Hersteller wie Microsoft oder VMware haben massiv in die Sicherheit ihrer Infrastruktur investiert – mit ein Grund, warum ihr Name nie bei einem der großen IT-Skandale der letzten Zeit auftauchte. Im eigenen Unternehmen dagegen kann ein einzelner Mitarbeiter unwissentlich mit einem infizierten USB-Stick großen Schaden anrichten.

Unabhängig davon ist eine Ende-zu-Ende-Verschlüsselung der Daten die einfache Lösung. In dem Fall haben nur Sie Zugriff auf diesen Daten, denn Sie haben den Schlüssel, mit dem sich der Clear-Text, also der originale Klartext, wieder herstellen lässt. Auch die NSA kann verschlüsselte Daten nicht einfach auslesen. Eine 2048 Bit RSA Verschlüsselung knackt beispielsweise auch die Behörde nicht einfach so, selbst wenn sie Ihre Daten bekommen sollte.

Sind diese Daten zum Beispiel bei Microsoft Azure gehostet, dann lassen sie sich nur über Microsoft selbst mit erheblichem Aufwand herauslesen. Werden jedoch Daten zum Beispiel via E-Mail als Freitext geschickt, ist das Argument hinfällig, die NSA greife Daten direkt beim Cloud-Anbieter. Denn in dem Fall stehen die Daten bereits offen im Netz zur Verfügung.

Vertrauen ist gut, Kontrolle ist besser

Der altbewährte Spruch “Vertrauen ist gut, Kontrolle ist besser”, gilt auch bei der Wahl des eigenen Public-Cloud-Anbieters. Wenn ich mir ein Auto kaufe, dann vertraue ich darauf, dass die Bremsen und das Licht funktionieren. Ich bin ein Laie in Sachen Autos und vertraue dem Hersteller, dass alles so funktioniert, wie ich es erwarte. Nichts desto trotz werde ich das Licht einschalten um zu sehen, ob es funktioniert und auch die Bremsen beim langsamen fahren testen

Die gleichen Möglichkeiten stehen Ihnen bei Public Cloud Anbietern ebenfalls zur Verfügung. Sie können mit eigenen Tools die Funktionsweise und Sicherheit einer Cloud-Umgebung und deren Performance testen. Je nach Cloud-Ökosystem bieten sich hier Azure Speed Test, Visual Studio, Eclipse oder Xcode an. Darüber hinaus, kann sich der Kunde vor Ort einen Überblick über die physische und digitale Sicherheit verschaffen, in dem er beispielsweise das Sicherheitszentrum von Amazon Web Service (AWS) oder bei Microsoft das Azure-Trust-Center besucht.

Klar ist: Mangelndes Vertrauen in den Cloud-Anbieter ist keine gute Basis für eine erfolgreiche Zusammenarbeit. Denn Daten sind als “Rohstoff des 21. Jahrhunderts”, heute der wichtigste Vermögenswert für viele Unternehmen. Ebenso wie wir einer Bank auf Grund ihrer Reputation, Tradition und Kompetenz unser Geld anvertrauen und davon ausgehen, dass sie unsere vertraulichen Daten sicher verwaltet, müssen wir annehmen, dass Cloud-Computing-Anbieter die gleichen Anstrengungen für die Sicherheit der “Werte” ihrer Kunden machen.

Einer Bank vertrauen wir in gewisser Hinsicht blind, das Vertrauen in sie ist uns in Mark und Bein übergegangen – zumindest bis zur Bankenkrise 2009. Aber auch jetzt machen wir uns wenig Sorgen, wer denn hier Zugriff auf unsere Informationen haben könnte, weil wir sie grundsätzlich in Sicherheit sehen.

Eine genaue Analyse der Cloud-Sachverhalte ergibt daher ein klares Urteil: Die Vorteile einer Cloud-Infrastruktur wiegen mögliche Sicherheitsbedenken bei weitem auf. Wenn Sie sich einen Ruck geben und den Cloud-Anbietern das gleiche Vertrauen entgegenbringen wie Ihrer Bank oder Ihrem Autohaus und die Angebote ernsthaft auf “Bremsen” und “Lichtfunktionalität” testen, dann werden Sie die Vorzüge nicht mehr missen wollen.

Während Politiker und Wirtschaftslobbyisten gleichermaßen fordern, dass technologische Innovationen in Deutschland gefördert werden, um den Standort Deutschland auszubauen und im internationalen Konkurrenzkampf mithalten zu können, scheitert die Umsetzung selbst oftmals im Kleinen. Viele Unternehmen fühlen sich angesichts der Geschwindigkeit, mit der sich neue Geschäftsideen entwickeln und Produktwelten verändern, überfordert. Dies erleben wir als Berater live jeden Tag. Doch es gilt, diese Berührungsängste in Deutschland zum eigenen Nutzen zu überwinden und die Aktivitäten der NSA nicht länger als Ausrede vorzuschieben.

Die Autoren: Jörn Böger und Nils Schmidt arbeiten beide beim System- und Beratungshaus Fritz & Macziol. Böger ist SQL Consultant, Schmidt als Marketing Consultant. Sie haben bei Fritz & Macziol über 1000 Kollegen – die meisten davon in Deutschland, aber auch an Standorten in der Schweiz und Asien. Das vor 25 Jahren in Ulm gegründete Unternehmen betreut so über 3000 Kunden – von öffentlichen Einrichtungen über Firmen aus dem Mittelstand bis hin zu Großkonzernen.

Tipp: Wissen Sie alles über Edward Snowden und die NSA? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Lesen Sie auch :

Die Bedeutung von ERP-Systemen im Mittelstand

Microsoft kündigt Veröffentlichung von Hyper-V Server 2019 an

Flowground: Neue Integrations-Plattform der Telekom vernetzt IT-Anwendungen