PRISM:
…und plötzlich erscheint die Cloud wie eine dumme Idee

Lange war sich die Netzwirtschaft einig: Daten und Rechenprozesse sind in der Cloud am besten aufgehoben. Doch im Lichte der US-Internetüberwachung erscheint das Konzept plötzlich wie eine ziemlich dumme Idee.

CloudSeit Jahren propagieren nahezu alle Akteure der Netzwirtschaft unisono die Cloud. Ein immer größerer Teil von Rechenprozessen und gespeicherten Daten von Anwendern und Firmen landet in eben dieser – in großen virtualisierten Server-Clustern in einem Rechenzentrum um die Ecke oder am andere Ende der Welt. Zu offensichtlich scheinen die Vorteile: Durch die kollektive Verwendung von Rechenressourcen sowie die Auslagerung von Daten sinken für User, Dienstebetreiber, Firmen sowie Organisationen die Kosten ihrer Nutzung und Prozessierung, gleichzeitig steigt der Komfort. Was in der Cloud liegt, kann von beliebigen Geräten aus abgerufen und auf vielfältige Weise weiterverwendet werden. Hinzu kommen viele individuelle Synergieeffekte und Innovationspotenziale.

Dass das Outsourcing von Rechenprozessen und Datenspeicherung nicht ohne Risiken ist, weiß jeder. Doch die Nutzerzahlen von cloudbasierten Onlineservices (wozu ich auch auf zentralen Servern basierende soziale Netzwerke zähle), die Popularität von Clouddienstleistern à la Amazon Web Services, Microsoft Azure, Google App Engine und Rackspace sowie die Vielzahl der Großkonzerne, die ihre Kommunikations- und Produktivitätsstruktur teilweise oder ganz aus ihrer Kontrolle gegeben haben (Google Apps, Microsoft Office 365), sprechen eine eindeutige Sprache: Für viele überwiegen die Vorzüge der Cloud ihre eventuelle Nachteile.

Doch im Lichte der jetzt enthüllten massiven Internetüberwachung des US-Geheimdienstes wirkt der Ansturm auf die Cloud plötzlich vor allem eines: dumm. Denn was machen wir eigentlich? Wir geben unsere persönlichen Daten – und damit meine ich sämtliche Daten, die bei der Verwendung von Onlineservices generiert und bei der cloudbasierten Verarbeitung von Daten prozessiert werden – freiwillig in die Hände von vorrangig auf der anderen Seite des Atlantiks ansässigen Webfirmen, erwarten dann aber aus bei genauer Reflexion unerfindlichen Gründen, dass diese Informationen dort absolut sicher seien. Wie naiv sind wir eigentlich?

Niemand würde ein persönliches Tagebuch an ein Unternehmen schicken, das verspricht, dieses für einen aufzubewahren und auch garantiert keinen Blick auf die Inhalte zu werfen. Nicht wenn es sich in Deutschland, der Schweiz oder Österreich befindet, und erst recht nicht, wenn es in einem fernen Land ansässig ist. Zu offensichtlich wäre, dass es eine solche Garantie nicht geben kann. Bei klassischen Public-Cloud-Services ist dies nicht anders. Doch dort macht es uns plötzlich nichts mehr aus, das digitale Pendant zum erwähnten Tagebuch – die Summe unserer privaten Konversationen, Dokumente, Medieninhalte, Profilangaben und Nutzungsmuster – in wildfremde Hände zu geben, die obendrei dafür von uns nicht einmal Geld verlangen.

Dies ist keiner dieser regelmäßig erklingenden Appelle für mehr Selbsthosting. Egal wie begrüßenswert es wäre, die komplette Kontrolle über sämtliche persönlichen Daten zu behalten – für die breite Masse der Nutzer ist dies schlicht keine Alternative, da zu kompliziert und unkomfortabel. Doch Nutzer könnten damit beginnen, sich bildlich vor Augen zu führen, was geschieht, wenn sie eine WhatsApp-Nachricht verschicken, ein fremdes Facebook-Profil betrachten, ein Dokument bei Dropbox hochladen oder eine Excel-Tabelle in Google Docs anlegen: Sie senden das digitale Gegenstück zu einem Blatt Papier mit persönlichen Informationen an ein Unternehmen mit der Anweisung, damit einen bestimmten automatisierten Prozess durchzuführen. Das Papier befindet sich in einem nur locker zugeklebten Umschlag mit dem Text “Bitte nicht öffnen”.

Noch nie war das Dilemma des digitalen Zeitalters offensichtlicher als in diesen Tagen: Wir wollen die Vorzüge der globalen Echtzeitkommunikation und -Interaktion nicht mehr missen; sind regelrecht abhängig von ihr, wünschen uns aber gleichzeitig, nicht bis ins letzte Detail durchleuchtet werden zu können. Aus heutiger Sicht erscheint dies wie ein Problem ohne Lösung. Die letzte Hoffnung ist, dass Startups doch einen Weg finden, beide Ansprüche zu vereinen. Viel steht auf dem Spiel. /mw

Foto: stock.xchng/LeoSynapse

 

Martin Weigert

Martin Weigert ist der leitende Redakteur von netzwertig.com.

Mehr lesen

Schmutzige Cloud: Greenpeace prangert Amazon Web Services an

12.11.2014, 0 KommentareSchmutzige Cloud:
Greenpeace prangert Amazon Web Services an

Während Apple, Facebook und Google inzwischen auf erneuerbare Energien für ihre Rechenzentren setzen, hinkt ausgerechnet Amazon mit seinen vielgenutzten Web Services noch hinterher. Greenpeace erhöht nun den Druck auf den Webgiganten. Zugleich schafft die Organisation zugleich Öffentlichkeit für eine wichtige Frage: Wie umweltfreundlich ist das Internet?

Exklusiv: Dropbox kauft deutsch-amerikanisches Foto-Startup Loom

17.4.2014, 7 KommentareExklusiv:
Dropbox kauft deutsch-amerikanisches Foto-Startup Loom

Das von drei Deutschen in San Francisco gegründete Startup Loom veröffentlichte im vergangenen Jahr eine Art Dropbox für Fotos. Jetzt hat Dropbox ihr Unternehmen gekauft - um darauf aufbauend die in der vergangenen Woche vorgestellte App Carousel weiterzuentwickeln.

Multi-App-Strategie und neue Tätigkeitsfelder: Dropbox erfindet sich neu, um nicht überflüssig zu werden

9.4.2014, 7 KommentareMulti-App-Strategie und neue Tätigkeitsfelder:
Dropbox erfindet sich neu, um nicht überflüssig zu werden

Unter dem Motto "A home for life" will Dropbox künftig verschiedene Dienste und Apps anbieten, die alle das digitale Leben und Arbeiten in der Cloud verbessern und vereinfachen. Mit diesem Schritt versucht das Unternehmen, sich rechtzeitig von der dateizentrischen Positionierung zu verabschieden.

Technisch anspruchsvoll: Wie Spotify den Herausforderungen des Musikstreamings begegnet

8.10.2013, 0 KommentareTechnisch anspruchsvoll:
Wie Spotify den Herausforderungen des Musikstreamings begegnet

Musikstreaming-Pionier Spotify hat viele Jahre Zeit gehabt, um die technischen Herausforderungen des Musikstreamings zu meistern. Noch sind eigene Rechenzentren mit 6000 Servern notwendig, um Songs schnell auszuliefern. In Zukunft soll alles über Amazons Cloud abgewickelt werden.

Die eigene Cloud im Kasten: Protonet erreicht Crowdfundingziel in 48 Minuten

29.11.2012, 1 KommentareDie eigene Cloud im Kasten:
Protonet erreicht Crowdfundingziel in 48 Minuten

Das Hamburger Startup Protonet hat eine Crowdfinanzierungsrunde für seine Mini-Cloudinfrastruktur in Rekordzeit abgeschlossen: superchic wäre es – aber nicht gerade billig.

Nachhaltigkeit als Marketingargument: Wie die Netzgiganten sich  um unsere Umwelt sorgen

21.5.2012, 0 KommentareNachhaltigkeit als Marketingargument:
Wie die Netzgiganten sich um unsere Umwelt sorgen

Die führenden Internet- und IT-Konzerne Google, Apple und Microsoft versuchen, auf ihre Bestrebungen zum Schutz der Umwelt und knapper Ressourcen aufmerksam zu machen. Wie ernst man die Initiativen aber nehmen kann, ist unklar.

Netzfirmen und die Daten der Nutzer: Ubers pädagogisches Beispiel für die Überwachungsgesellschaft

26.11.2014, 1 KommentareNetzfirmen und die Daten der Nutzer:
Ubers pädagogisches Beispiel für die Überwachungsgesellschaft

Ubers skandalöser Umgang mit kritischen Journalisten hat etwas Gutes: Es führt auf ganz simple Weise vor, was es für Individuen bedeuten kann, in einer Überwachungsgesellschaft zu leben.

So einfach ist das nicht: Wenn Startups beteuern, dass Nutzer ihnen vertrauen können

15.8.2014, 8 KommentareSo einfach ist das nicht:
Wenn Startups beteuern, dass Nutzer ihnen vertrauen können

Viele neue Apps erfordern es von Nutzern, dass diese mit Datenfreigaben in "Vorleistung" gehen. Die Macher scheinen nicht mitbekommen zu haben, dass das Vertrauen von Usern in die Praktiken und Sicherheitsstandards von Online-Anbietern über Jahre gelitten hat.

 Forderung nach weltweiter Linklöschung: EU-Datenschützer wollen die Büchse der Pandora öffnen

25.7.2014, 6 Kommentare Forderung nach weltweiter Linklöschung:
EU-Datenschützer wollen die Büchse der Pandora öffnen

Die aktuelle Löschpraxis im Umgang mit dem Recht auf Vergessen ist ineffektiv. Doch anstatt die Sinnlosigkeit der Regelung zu erkennen, wollen Datenschützer alles noch schlimmer machen.

Linkwertig: BND, NSA, Vevo, SZ

2.10.2013, 0 KommentareLinkwertig:
BND, NSA, Vevo, SZ

Vevo ist jetzt auch in Deutschland gestartet und mehr.

Linkwertig: NSA, Wiesn, BlackBerry, Bing

23.9.2013, 0 KommentareLinkwertig:
NSA, Wiesn, BlackBerry, Bing

BlackBerry wird sich fortan auf Unternehmen konzentrieren und mehr.

Linkwertig: NSA, Schmidt, Netflix, Medium

16.9.2013, 0 KommentareLinkwertig:
NSA, Schmidt, Netflix, Medium

Die NSA überwacht auch den weltweiten Zahlungsverkehr und mehr.

22 Kommentare

  1. Es gibt ja längst Anbieter wie Protonet (http://www.protonet.info/de), die genau auf dieses Problem reagiert haben und die “Heim-Cloud” erschaffen haben. Denen spielen solche Skandale natürlich in die Hände.

  2. Deshalb gibt es Angebote wie http://owncloud.org/
    So bleibt man Herr über seine Daten und ist unabhängig.

    • hab ich mir angeschaut. Leider kann man weder gemeinsam an Tabellen arbeiten noch ein anderes Textformat als .txt (=ohne Formatierung) bearbeiten.

  3. Man muss sich aber auch fragen, welches Sicherheitsrisiko grösser ist, das ge hacked werden auf seinem eigenen, halb professionell administrierten Server, oder auf einem sehr professionellen Cloud Service, mit x backdoors zu x Organisationen….

    Zum Thema Source Code und GitHub ein guter Artikel dazu:

    http://phpmagazin.de/artikel/Git-Sicherheit-0

    Und hier das Fazit:

    Wem vertraut man also mehr? Wenn bei GitHub Daten kopiert oder manipuliert werden und das bekannt wird, ist GitHub schnell aus dem Geschäft. Man hat dort also ein großes Interesse daran, dass den gehosteten Projekten nichts passiert, und auch reichlich Erfahrung mit dem sicheren Betrieb der Git-Server und der GitHub-Infrastruktur. Kann der eigene Admin, der ja im Allgemeinen noch andere Aufgaben hat, da mithalten? Meist dürfte GitHub die sicherere Wahl sein.

    • Im Falle einer Privatperson? Der große, gewerbliche Server ist gefährlicher. Warum? Wenn du deinen Router per DynDNS ins Netz stellst und die Domain mit niemandem teilst, müsste ein potentieller Angreifer erstmal von der Existenz des Servers erfahren. Und selbst dann musst du als Ziel ausreichend attraktiv sein. Darum werden auch Linux-Desktops selten angegriffen. Zu viele verschiedene Technologien, Systeme etc., zu wenig lohnenswerte Ziele. Im Gegensatz dazu die Server: Wenige, weit verbreitete Distributionen und Server-Software, die auch von großen Anbietern genutzt wird, dadurch ein sehr attraktives Ziel.

      Aber mal abgesehen davon: Hacker klauen meine Daten, das NSA nimmt sie ganz offiziell. Was damit geschieht, weiß ich in beiden Fällen nicht. Wo ist meine Privatsphäre mehr und wo weniger gewahrt. Öffentliche Cloud-Dienste aus der EU und den USA sind somit broken by design.

  4. Einfache Lösung:
    Weg von der Kostenloskultur bei Google & Co. und hin zur Nutzung regionaler Produkte.

    • Genau! Und nur saisonal nutzen, also im Winter, damit die Server klimaneutral gekühlt werden können :/

    • Kleine Anbieter rücken seltener ins Blickfeld der Geheimdienste, und verteilt man seine Daten auch noch über “unabhängige” Drittstaaten wie Norwegen und die Schweiz, nutzt dazu auch noch Verschlüsselung…ja, dann ist es sicherer!

      @Marco: Du bist einfach nur zu faul, um dir Alternativen zu suchen, oder?

  5. > Aus heutiger Sicht erscheint dies wie ein Problem ohne Lösung. Die letzte Hoffnung ist, dass Startups doch einen Weg finden, beide Ansprüche zu vereinen.

    Für einen Teil des Cloud Computing – Cloud Storage – gibt es bereits heute vernünftige und praktikable Lösungen um die Privatsphäre der Dateien sicherzustellen, die man dort hochlädt. Dazu zählen vor allem Verschlüsselungslösungen wie das von uns entwickelte Boxcryptor.

    Es stimmt allerdings leider, dass das Thema Verschlüsselung umso schwieriger wird, je “intelligenter” die Daten bzw. Dienste sind. Sobald eine Verarbeitung der Daten auf dem Server erforderlich ist, stößt Verschlüsselung heutzutage an ihre Grenzen. Für viele SaaS-Dienste ist es daher derzeit noch unmöglich ein ähnliches Schutzniveau zu erreichen wie es bei Cloud Storage heute schon der Fall ist.

    Es gibt in diesem Bereich also definitv noch genügend Probleme zu lösen…

    –Robert

  6. Wer sich auch nur wenig mit dem Thema Cloud-Computing beschäftigt hat, sollte jetzt wirklich nicht überrascht sein. Es liegt doch in der Natur der Sache, dass man bei Nutzung der genannten Dienste einen Kontrollverlust über seine Daten erleidet.

    In Abwandlung des Obama-Zitats “Man kann nicht 100 Prozent Sicherheit und 100 Prozent Privatsphäre und null Unannehmlichkeiten haben” würde ich sagen: Man kann nicht 100 Prozent Datensicherheit und 100 Prozent Privatsphäre und 100 Prozent Komfort haben.

    Für die die meisten Menschen ist ein Zugriff der NSA auf ihre Daten kaum besonders bedrohlich – sondern eher ganz normale Kriminelle, die sich Zugang verschaffen. Dafür braucht es keine aufwendigen Projekte von Geheimdiensten, dafür reichen einfache Sicherheitslücken in Kombination mit Leichtsinn aus.

    Neben Verschlüsselung sollte auch Datenvermeidung als Problemlösung genannt werden. Aber Datenvermeidung bedeutet auch Verlust von Bequemlichkeit. Personalisierung von Diensten aller Art hat große Vorteile, aber es sammeln sich unweigerlich Daten an, die viele Rückschlüsse auf die Gedanken, Vorlieben und Verhaltensweisen der User ermöglichen.

    • “Für die die meisten Menschen ist ein Zugriff der NSA auf ihre Daten kaum besonders bedrohlich ”

      Es geht doch schlicht um die Aushöhlung des Rechts auf Privatheit (untechnisch formuliert). Unter dem Bedrohungsaspekt wäre auch eine regelmäßige amtliche Inspektion von Wohnungen für 99% der Bürger kein Problem. Aber das würde deshalb wohl auch niemand tolerieren wollen.

  7. Wer erst die Offenlegung von PRISM braucht, um zu erkennen, dass Richard Stallman Recht hatte, als er sagte, die Cloud enteigne ihre Nutzer, hat irgendwas nicht verstanden, fürchte ich.

  8. Ich kann mich den vorherigen Posts nur anschließen. Eigentlich war doch längst klar, dass es ein Sicherheitsrisiko darstellen muss, die Daten auf fremde Server (“in die Cloud”) zu laden …
    Es finden sich immer Begründungen, warum der Geheimdienst die Daten abfragen muss. Sei es der Terrorverdacht oder eine mögliche Straftat.
    Gerade was die Cloudanbieter im Ausland betrifft, muss man sich genau überlegen, wie es in dem jeweiligen Land um den Datenschutz steht.
    Doch was ist mit deutschen Anbietern? Hier drängen ja auch immer mehr Anbieter auf den Markt (siehe telekom cloud oder mobilcom cloud z.B. http://netz-blog.de/2013/…ietet-eine-cloud-an/).

    Ich für mich habe mich zu einem NAS im Wohnzimmer entschlossen. Hier lässt sich auch bequem von unterwegs drauf zugreifen. Möglich aber nur mit der passenden Internetverbindung und vernünftiger Absicherung …

  9. Alles, was hier von euch bisher als Ausweichlösungen vorgeschlagen würde, stimmt zwar, aber deckt nicht 99 Prozent der Use Cases ab, in denen der Mainstreamnutzer mit der Cloud in Kontakt kommt. Oder ist zu kompliziert.

    • Wie wär’s mit einer NAS? QNAP oder gerade Synology bieten hausgemachte, fixfertige Cloud-Lösungen out of the box an.

      http://www.synology.com/dsm/index.php?lang=enu

    • Martin, an DER Diskussion hätte ich mich wirklich gern ausführlich beteiligt. Leider hatte/hab ich die Tage absolut null Zeit. Deshalb nur soviel – auch wenns ohne Kontext irgendwie blöd klingt: Wir arbeiten hart daran. Also an dem Weg “[...] beide Ansprüche zu vereinen”. Also nicht die Hoffnung verlieren :-)

  10. Ausnahmsweise mal ein humoristischer Kommentar:

    Mustafa, ein alter Araber, lebt seit mehr als 40 Jahren in Chicago. Eines Tages kommt er auf die Idee, dass er in seinem Garten Kartoffeln pflanzen möchte. Da er alleine ist, alt ud schwach, schreibt er seinem Sohn, der in Paris studiert eine Email…
    “Mein lieber Ahmed, ich bin sehr traurig. Ich schaffe es nicht mehr, in meinem Garten Kartoffeln zu pflanzen. Wärst Du hier, könntest Du mir helfen den Garten umzugraben. Dein Vater.”

    Wenig später erhält der alte Mann eine Antwort seines Sohnes: “Lieber Vater, bitte rühre auf keinen Fall irgendetwas im Garten an. Dort habe ich nämlich ‘das Ding’ versteckt. Dein Sohn Ahmed.”

    Keine halbe Stunde später umstellen Spezialeinheiten von FBI und CIA das Haus des alten Mannes. Sie stellen alles auf den Kopf, graben im Garten, suchen jeden Millimeter ab, finden aber nichts.
    Enttäuscht ziehen sie wieder ab.

    Am nächsten Tag erhält der alte Mann noch eine E-Mail von seinem Sohn: “Lieber Vater, ich nehme an, dass der Garten jetzt komplett umgegraben ist und dass Du die Kartoffeln pflanzen kannst. Mehr konnte ich nicht für Dich tun. In Liebe, Ahmed”

  11. Private Dokumente in eine Cloud ablagern, würde mir auch nicht im Traum einfallen – zumal gute Speichermedien heute absolut bezahlbar sind. Da sind 50 Euro für eine weitere Festplatte, die einige hundert Gigabyte fasst und auf/unter jeden Schreibtisch passt, doch echt nicht die Welt.

  12. Es ist in der Tat mit großen Risiken verbunden, die persönlichen und geschäftlichen sensiblen Daten irgendwo in einer Datenwolke zu hinterlassen, wohlwissen, das es hin und wieder mal auch regnen kann… Was weg ist, ist dann weg…

  13. Das Problem ist immer nur:

    Sind die Daten auf einem lokalen Rechner “sicherer”?

    Meist wurschteln kleine Firmen mit irgendwelchen Standard-PCs rum, kein RAID, keine automatische Sicherung usw.

    Dann wird der Laptop geklaut – und alles ist weg.

    Oder es wird mangels geeigneter Programme alles redundant in Excel-Tabellen abgelegt.

    Weil natürlich für so eine kleine Firma eine Individualprogrammierung jenseits des Budgets liegt, die Firma aber “eigentlich” aufgrund der Geschäftsprozesse eine individuelle Lösung bräuchte.

    Oder ist es dann “sinnvoller”, wenn so eine Firma eine “kleine Online-Lösung” nutzt, die dafür gewisse Mindeststandards bietet? Auch wenn der Betreiber an die Daten rankommt?

    Der Freiberufler vor Ort käme auch an die Daten ran. Nur gibt es den meist nicht.

    • Hallo Jürgen,

      > Sind die Daten auf einem lokalen Rechner “sicherer”

      Aus Kundensicht zunächst mal schon. Da zählt auch das Argument nicht, dass ein Dienstleister i.A. viel besser abgesichert ist.

      Denn:

      a) kann der Kunde das nicht überprüfen,
      b) ist der Dienstleister viel interessanter für ev. Angriffe,
      c) gabs in der Vergangenheit schon zu viele Daten-GAU’s, und
      d) werden selbige GAU’s auch in Zukunft regelmässig eintreten.

      Und das sind nur ein paar der Argumente, die gegen eine bei Dienstleistern zentralisierte DV sprechen. Trotzdem denke ich, dass Deine kleine Onlinelösung sicher sinnvoller (und letztlich sehr viel preiswerter) ist, als das übliche Rumgewurschtel.

      Aber sicherer ganz sicher nicht :-)

      Wenn der Dienstleister die Daten allerdings beim Kunden lassen würde, sähe das schon anders aus. Wenn er dann außerdem noch ein cleveres System hätte, dass ihm keinen Zugrif auf Originaldaten erlauben würde, sondern z.B. nur mit daraus generierten Simulationstabellen arbeiten würde, dann wär das ne Bank. Und natürlich mit mehr Aufwand verbunden. Somit vermutlich also teurer. Die IBM hatte sowas m.E. mal als Untersystem von CICS/DS aufgesetzt.

      Am Ende bleibts also mal wieder ne Budgetfrage.

      Und wie die Unternehmen so 1-2 Jahre n.S. (nach Snowden) dann ihre Prioritäten setzen werden, kann ich mir so halbwegs denken :-)

      Grüße nach Berlin!

      – Volker

3 Pingbacks

  1. [...] Und trotzdem muss erst PRISM, ein Überwachungsszenario, das von Geheimdiensten schon seit Jahren – von der Öffentlichkeit nicht weiter zur Kenntnis genommen und für Hirngespinste von Aluhüten, also Datenschützern, gehalten – auch im Inland praktiziert wird, daherkommen, bis deutsche Blogger aus allen Wolken (eben aus der cloud) fallen: [...]

  2. [...] Weigert von netzwertig.com schreibt in einem schönen Beitrag zum Thema Prism, ob das Speichern von Daten und Rechenprozessen [...]

  3. [...] plötzlich erscheint die Cloud wie eine dumme Idee (netzwertig.com): Es ist ein Dilemma und ein Wendepunkt für alle Nutzer von Cloud-Diensten, meint Martin Weigert. [...]

vgwort