«Die Cloud» wird sprichwörtlich in den Himmel gelobt. Dabei geht oft vergessen, dass sie dadurch auch zum Spielball aller Winde wird. Wissenswertes zum IT-Outsourcing in die Cloud. Dies betrifft nicht nur Firmen, sondern auch Bürger:innen, deren Daten an Cloud-Anbieterinnen in Drittstaaten ausgelagert werden. Um so mehr in schwierigen und unsicheren Zeiten. Und geht uns alle an, weil sowohl unsere persönlichen Daten als auch die Funktion des Staatswesens davon abhängen.
Dies ist der dritte Teil unserer Cloudserie. Der erste Teil – «Die Cloud» gibt es nicht – zeigt auf, dass man nicht alles in einen Topf werfen kann. Der zweite Teil – Wo genau geht es in die Cloud? Ein Wegweiser durch den Dschungel – erklärt die Herkunft und die wirtschaftlichen Grundprinzipien. Und erklärt Cloud als mehrstufiges Outsourcing, erläutert durch Vergleiche mit Bürogebäuden oder Schrebergärten.
TL;DR: Das Wichtigste in Kürze
Der Gang in die Cloud ist das ultimative Outsourcing der IT. Outsourcing entlastet von gewissen Aufgaben, dafür muss man sich meist einer Standardisierung der Prozesse und einer Abhängigkeit zum entsprechenden Dienstleister aussetzen. Das kann bei Bereichen, die mit dem eigenen Kerngeschäft wenig zu tun haben – klassische Beispiele sind da Gebäudereinigung und -unterhalt – mit wenigen Risiken und Ärger verbunden sein. Wenn das Kerngeschäft tangiert ist, müssen auch Risiken abgewogen werden. Ganz besonders bei Dienstleistern in anderen Ländern und Rechtssystemen.
Das betrifft uns alle. Besonders hohe Risiken bestehen, wenn Staaten ihre IT und Daten an Dienstleister in Drittstaaten auslagern. Genau das soll bei der Swiss Government Cloud geschehen. Und geht uns alle an, weil sowohl unsere persönlichen Daten als auch die Funktion des Staatswesens davon abhängen.
Rekapitulation: Was ist «die Cloud»?
Im letzten Teil der Serie wurden die Eigenschaften und Varianten der Cloud detailliert diskutiert. Kurz: Durch Standardisierung von Hardware, Software und Prozessen sowie Skaleneffekte hat eine Cloudanbieterin niedrigere Gestehungskosten. Diese Dienstleistungen kann sie danach in verschiedenen Veredelungsstufen anbieten.
Schauen wir uns das am Beispiel eines eigenen Gemüsegartens an. In der untenstehenden Grafik folgen wir dazu der oberen Zeile von links nach rechts:
- Traditionell baut man das Gemüse auf eigenem Land an, mit eigenen Beeten und eigenem Gartenhäuschen, wo man sich selbst um Geräte kümmern muss und auch selbst für Sitzbank und Grill für die Zeit nach getaner Arbeit zuständig ist.
Das entspricht dem Betrieb der eigenen Server und Software in eigenen Serverräumen. - Wer kein eigenes Land hat, kann das auch pachten, beispielsweise von einem Schrebergartenverein.
Hier sind dann Serverräume und evt. Server nur geleast, die Software und der Betrieb läuft aber noch selbst. - Falls man die Beete nicht das ganze Jahr durch braucht, gibt es vielleicht jemanden, der sie in der unbenutzten Zeit bepflanzen will.
Wenn ein Server gerade nicht oder kaum gebraucht wird, können Dritte darauf rechnen. - Wer sich nicht selbst ums Jäten und Umgraben kümmern will, findet sicher jemanden, der das übernimmt. Und vielleicht sich auch gleichzeitig noch um den Unterhalt der Gartengeräte und das Auffüllen des Kühlschranks im Gartenhäuschen kümmert.
Ein Teil der Serverbetreuung, beispielsweise die Updates für das Betriebssystem, werden vom Dienstleister übernommen. - Als Variante davon können gleichzeitig auch noch Halbfertigprodukte eingekauft werden. Zum Beispiel kann der Dienstleister ein Beet für die Produktion von Kompost oder Brennnesseljauche verwenden.
Im IT-Bereich wäre das dann beispielsweise der vollständige Betrieb eines Datenbankservers durch den Cloudanbieter, während man die Webapplikation selbst betreut. - Am Komfortabelsten aber ist es, wenn man sich die Hände gar nicht schmutzig machen will, sondern die Beete vollständig einem Dienstleister übergibt und einfach das geerntete Gemüse geliefert bekommt.
Im Cloudumfeld entspricht dies der reinen Nutzung einer Software, beispielsweise als Webapplikation.
Statt immer einen ganzen Schrebergarten zu verwalten, geht das Ganze aber auch noch feingranularer (untere Zeile):
- Statt ganzer Server kann man auch eine Art Miniserver nutzen («Container»), welche modularer sowie spar- und wartungsärmer sind.
- Wenn man viele solcher Container hat, die auch je nach Aufgaben und Last automatisch gestartet und gestoppt werden sollen oder deren Anzahl sich dynamisch ändern soll, kann diese Steueraufgabe auch einem sogenannten Orchestrator überlassen.
- Wer nur am Endprodukt und nicht an der ganzen Ernte des Gartens interessiert ist, kann auch eine einzelne Tomate im Supermarkt kaufen gehen.
Arbeitsteilung ist effizient – und macht abhängig
Kaum eine Firma käme heute auf die Idee, alle ihre Vorprodukte und Werkzeuge durchgängig selbst zu produzieren. Das wäre ineffizient und finanzieller Selbstmord.
Gleichzeitig gibt es aber auch kaum eine Firma, die gar nichts selbst zur Wertschöpfungskette beiträgt. Denn woher sollte dann der Profit kommen? Und jede andere Firma könnte das Geschäftsmodell kopieren.
Entsprechend stellt sich immer die Frage, wo man die Grenze zieht. Folgende Punkte fliessen typischerweise in solche Überlegungen ein.
| Thema | Blickwinkel | Fragen |
|---|---|---|
| Kerngeschäft | Pro | Was ist mein Kerngeschäft? Wo hilft mein Know-How am meisten? |
| Kontra | Was kann jemand anders besser/günstiger? | |
| Cloud | Will ich die technische Umsetzung meines Kerngeschäfts einem Cloud-Anbieter übertragen? Oder soll er mich nur ausserhalb des Kerngeschäfts unterstützen? | |
| Einmaligkeit | Pro | Wo bringe ich etwas Einmaliges ein? |
| Kontra | Wo kann ich Standardprodukte und -dienstleistungen einkaufen? Sind die gut genug? Können sie angepasst werden? | |
| Cloud | Sind meine Anforderungen genügend standardisiert, dass ich sie einem Clouddienstleister übertragen kann? | |
| Kontrolle | Pro | Wo brauche ich die Kontrolle über den Geschäftsprozess? Wo will ich zur Qualität beitragen und Verantwortung übernehmen? |
| Kontra | Wo kann ich das abgeben? | |
| Cloud | Wie sorge ich für Kontrolle über die Datenverarbeitungsschritte und meine dabei verwendeten Daten? Reichen mir da Verträge, z.B. zur Auftragsdatenverarbeitung bzw. Zertifikate des Anbieters wie ISO 27001 oder SOC 2 Typ II? | |
| Schutz | Pro | Wie schütze ich mich davor, dass andere mein Geschäftsmodell kopieren? |
| Kontra | Wie sorge ich dafür, dass meine Produkte und Dienstleistungen genügend attraktiv und standardisiert sind, damit es viele Abnehmer gibt? | |
| Cloud | Was kann ich tun, damit der Cloudanbieter meine Programme und Daten nicht verliert, löscht oder klauen lässt? | |
| Unabhängigkeit | Pro | Wo will ich unabhängig, autonom sein? |
| Kontra | Wo gibt es genügend unabhängige Zulieferer, dass wohl immer jemand liefern kann? Was passiert, wenn die Rohstoffquellen versiegen oder blockiert werden? Wenn Lieferanten, Produktionsstätten oder Transportwege aus technischen oder politischen Gründen nicht mehr zur Verfügung stehen? Oder die Preise erhöhen, weil sie es können? | |
| Cloud | Was passiert, wenn ein Hersteller oder ein Sitzland die Vertragsbedingungen bzw. Gesetze ändert? Oder sich als unsicher oder korrupt herausstellt? Gibt es dann Möglichkeiten zu wechseln? Auch wenn viele andere Nutzer gleichzeitig wechseln wollen? |
Natürlich entstehen auch bei Verzicht auf Cloudlösungen Kosten und Aufwände. Diese müssen natürlich in jede fundierte Kostenschätzung und Geschäftsentscheidung einfliessen.
IT-Risiken
Keine Frage: Jeder Geschäftsprozess bringt Risiken mit sich, egal, ob er mit oder ohne IT erbracht wird. Im Normalfall aber führt man eine IT-Lösung ein, weil man sich von dieser beispielsweise Vereinfachungen, Effizienzsteigerungen oder Kostenreduktionen verspricht. Häufig sind die ersten Überlegungen aber nicht vollständig, manchmal sogar geradezu blauäugig, insbesondere, wenn sich diese nur auf den Versprechungen des Verkäufers einer (Cloud-)Lösung verlassen. Die Folge: Zumindest einige Kosten und Risiken werden dabei übersehen.
Die klassischen drei IT-Sicherheitsrisiken bilden die sogenannte CIA-Triade:
- Vertraulichkeit (Confidentiality): Sind meine Daten und Prozesse ausreichend gegen Fremdzugriff geschützt?
- Integrität (Integrity): Sind meine Daten vor unerlaubter Veränderung geschützt? Und als Erweiterung davon: Sind Herkunft und Änderungen nachvollziehbar?
- Verfügbarkeit (Availability): Das beste Computersystem nützt nichts, wenn es nicht für seinen geplanten Zweck zur Verfügung steht. Entsprechend sind Szenarien mit Ausfällen oder Datenverlusten häufig Teil des Business Continuity Managements.
| Schutzziel | Zweck | Umsetzung |
|---|---|---|
| Vertraulichkeit | Unberechtigte dürfen die Daten nicht lesen oder kopieren | Datenschutz, Datensicherheit, Zugriffsschutz, Verschlüsselung, … |
| Integrität | Unberechtigte dürfen die Daten nicht schreiben oder ändern | Zugriffsschutz, Änderungsprotokolle, … |
| Verfügbarkeit | Berechtigte dürfen auf die Daten zugreifen | Unabhängige Systeme (Redundanz), Ausfallsicherheit, Backups, … |
Kapselung gegen Risiken
In der Informatik ist man sich diesen Risiken durchaus bewusst und hat in der bald 100-jährigen Geschichte der elektronischen Rechner etliche Mechanismen entwickelt, um diese Risiken einzudämmen. Schauen wir uns einige davon anhand der folgenden Grafik an.
So versucht man bei der Entwicklung von Software und Systemen die Komplexität möglichst gut zu kapseln: Softwareentwicklung nutzt beispielsweise Funktionen, Module und separate Programme, damit die Entwickler:innen den Überblick nicht verlieren. Mittels Containern und Virtuellen Maschinen werden diese bei Bedarf weiter gruppiert.
Die obigen Mechanismen dienen nicht nur der Übersicht, sondern auch der Fehlerreduktion. Auch die Nutzung separater Benutzerkonten oder Serverräumen sind dabei hilfreich.
Fehler können immer passieren. Ihre Auswirkungen sollten aber möglichst eingegrenzt bleiben. Neben den bisherigen Punkten hilft auch die Nutzung verschiedener Rechner. Beispielsweise beschränkt sich ein Defekt am Netzteil eines Rechners auf den Ausfall dieses einen Rechners; seine Nachbarn sollten davon nichts mitbekommen. Ebenso kann es auch wichtig sein, dass gewisse Dienste über verschiedenen Betreiber verteilt sind, da auch renommierten Betreibern Konfigurationsfehler unterlaufen.
Wenn man ganz sicher vor Ausfällen sein will, sorgt man mittels Verteilung der Daten und Dienste über mehrere geographische Zonen und evt. sogar Jurisdiktionen dafür, dass Schiffsanker, Naturkatastrophen oder Gesetzesänderungen die Verfügbarkeit des IT-Systems nicht übermässig einschränken können.
Was bedeutet das …
… für Private?
Viele Cloudanbieter sind sehr gut in dem, was sie machen. Trotzdem passieren Fehler, die zu Datenverlusten führen können. Oder der Anbieter beschliesst, das Konto von Nutzern zu sperren und so den Zugang zu Daten zu verunmöglichen. Oder der Anbieter streicht gleich ganz die Segel; Kund:innen bekommen das oftmals erst zu spät mit. Oder ein Angreifer knackt das Passwort und löscht die Daten in der Cloud. Oder, oder, oder …
Wer also seine Familienfotos, Emails, Termine, Adresslisten, Passwörter, Bewerbungs- und Steuerunterlagen gegen solche Unbill schützen will, sollte regelmässig Backups erstellen. Am besten auf eine externe USB-Festplatte oder -SSD; mit geeigneten Sicherheitsmassnahmen ist aber auch ein zweiter Cloudspeicher möglich: separates Passwort, Zwei-Faktor-Authentisierung (2FA, MFA) mit ausgedruckten Recovery-Codes, nicht dieselbe Mailadresse für Passwort-Reset.
Leider kenne ich kein Patentrezept, wie man alle Daten von allen Cloudprovidern zuverlässig und einfach sichert. Es bleibt also nur eine Kombination von Onlinelektüre, Ausprobieren und Kontakt zu Fachpersonen.
Selbsthilfe
Solche allgemeinen Tipps können nur als generelle Hinweise genutzt werden, da sie weder auf die konkreten Bedürfnisse und Risiken der Nutzenden noch auf die spezifischen Eigenschaften der Produkte und Anbieter eingehen. Aber sie bieten eine Grundlage für Diskussionen und Produktauswahl.
Beispielhafte Optionen für eine Familie, welche ihre Fotos und einige Dokumente speichern bzw. untereinander teilen will.
- Cloudspeicher bei einem Unternehmen in der Schweiz oder der EU buchen.
- Dateien auf mindestens einen Rechner der Familienmitglieder synchronisieren (d.h. sicherstellen, dass eine Kopie auch immer auf einem lokalen Rechner gespeichert sind; nicht nur in der Cloud)
- Zumindest von diesem lokalen Rechner regelmässig ein Backup auf eine – besser zwei – USB-Festplatten machen (und Platte bei Nichtverwendung ausstecken)
- Webbrowser gegen Tracking schützen
- Allgemeine Sicherheitsvorkehrungen einhalten
… für Firmen?
Grundsätzlich gelten dieselben Überlegungen wie für Private; die grössere Anzahl Dienstleister, verschiedene Nutzerkonten sowie die zusätzlichen Datenmengen tragen zu einer höheren Komplexität bei.
Daher lohnt es sich auch, geschäftskritische Daten und Prozesse anders zu behandeln, als diejenigen, auf die man zur Not ein paar Tagen oder Wochen verzichten kann.
Je nach Firma sollte man sich zusätzlich Gedanken machen, wie lange man auf welche Funktionen und Daten verzichten kann. Und wie man mit Ausfällen umgeht. Eine gute Planung sieht – neben Überlegungen dazu, wie lange das Wiedereinspielen der Daten vom Backup dauert – auch Schritte vor, mit denen man die eigene Software und Konfigurationen automatisch wieder aufsetzen kann.
Grössere Firmen oder Betreiber kritischer Infrastrukturen sollten hier nicht aufhören, sondern auch das nächste Kapitel berücksichtigen.
Selbsthilfe
Beispielhafte Optionen für ein KMU, welches Cloud-Buchhaltung, Dokumentenablage, Mail und Videokonferenzen nutzt.
- Für möglichst viele dieser Cloudanwendungen Dienstleister in der Schweiz oder der EU nutzen
- Wenn möglich Angebote nutzen, welche den Download aller Daten durch die IT-Administratorin der Firma erlauben. (Sonst muss es u.U. jede Nutzer:in selbst machen.)
- Regelmässigen Datenexport durchführen.
- Für Videokonferenzen auf die Konferenzmöglichkeiten von Ende-zu-Ende-verschlüsselten Messenger-Apps zurückgreifen oder in Schweiz oder Europa gehostete Konferenzsysteme nutzen
- Dokumentenablage wenn möglich auch auf mindestens einen Rechner synchronisieren
- Lokale Backups auf ein NAS oder – bei wenigen Daten – auf USB-Festplatten machen
- Webbrowser gegen Tracking schützen
- Allgemeine Sicherheitsvorkehrungen einhalten
… für Staaten?
Nachdem die internationale Staatengemeinschaft – aus europäischer bzw. schweizerischer Sicht – die letzten 4 Jahrzehnte sich vergleichsweise kooperativ verhalten hat, zeichnen sich wieder vermehrt nationalistische, isolationistische und protektionistische Tendenzen ab. Handelskriege und andere Erpressungen zwischen Staaten werden nicht nur wieder denkbar, sondern inzwischen auch ausgesprochen.
Dabei kann ein Kleinstaat ohne starke, verlässliche Bündnispartner sehr schnell zum Spielball der Mächte werden. An dem man vielleicht auch einmal ein Exempel statuieren möchte, um grössere Staaten gefügig zu machen. Oder einfach, weil man es kann.
Nur wenige Grossmächte können sich Autarkie leisten. Oder sind zu einem genügend grossen Teil «Selbstversorger» über alle Disziplinen und Ressourcenarten hinweg.
Alle anderen Staaten müssen deshalb bereit sein, jegliche Drohungen oder «Strafmassnahmen» umgehend kontern zu können. Das Durchschneiden von essenziellen digitalen Diensten ist nur ein Füllerstrich eines erratischen Präsidenten oder einen Tweet eines provozierenden Milliardärs entfernt. Und vielleicht könnte das zukünftig schon alleine dadurch ausgelöst werden, dass eine Bundespräsidentin eine Rede eines ausländischen Vizepräsidenten zu wenig lobt, dessen Land gerade dabei ist, sich in eine autokratische Oligarchie zu verwandeln.
Wie wird dann unsere Grundversorgung aufrechterhalten? Eine einsatzfähige Armee sichergestellt? Oder einfach nur das Login zu essenziellen Informationsquellen oder Behördendienste garantieren?
Selbsthilfe
Beispielhafte Optionen für einen Kleinstaat in Mitteleuropa, der zusätzlich noch eigene Anwendungen betreibt.
- Diese eigenen Anwendungen möglichst in eigenen Rechenzentren oder bei Cloudanbietern aus der Schweiz oder Europa hosten
- Verträge mit den Anbietern für Datenschutz, Datenexport und -portabilität aufsetzen
- Sensible Daten nur nach Verschlüsselung in die Cloudspeicher hochladen
- Für kleinere Videokonferenzen auf die Konferenzmöglichkeiten von Ende-zu-Ende-verschlüsselten Messenger-Apps zurückgreifen; für mehr Teilnehmer oder Zusatzfunktionen auf in der Schweiz oder Europa gehostete Konferenzsysteme zurückgreifen
- Webbrowser gegen Tracking schützen
- Allgemeine Sicherheitsvorkehrungen einhalten
Mehr dazu im Folgeartikel, der sich konkret den Herausforderungen und Lösungen für hypothetische Kleinstaaten annimmt.
Was können wir tun?
Obwohl es die USA in wenigen Wochen geschafft haben, scheinbar tief verankerte Grundprinzipien der Rechtsstaatlichkeit über Bord zu werfen: Es ist nicht damit zu rechnen, dass uns in den nächsten Wochen der Cloud-Hahn abgedreht wird. Zu wichtig ist der Wirtschaftszweig für die aktuelle US-Regierung. Aber das wird Trump nicht davon abhalten, in den nächsten Jahren auch hier etliche neue Regeln aus dem Hut zu zaubern, wenn sie ihm gerade in den Kram passen. Insbesondere die Themen Datenschutz, Hassrede und antimonopolistische Regeln dürften aufgeweicht oder zu Druckmitteln werden.
Es ist unrealistisch, alle grossen Cloudprovider innert weniger Wochen durch eine eigene Infrastruktur ersetzen zu wollen. Es ist aber auch (noch) nicht nötig. Aktuell gibt es keinen vollwertigen Ersatz zu den globalen Hyperscalern.
Trotzdem ist es notwendig, dass in einzelnen strategischen Bereichen rasch eine punktuelle Unabhängigkeit aufgezeigt werden kann:
- Beispielsweise hat das deutsche Bundesland Schleswig-Holstein beschlossen, viele Cloudlösungen durch selbst betriebene Open-Source-Lösungen zu ersetzen. Ein Proof-of-Concept passiert gerade auch in der Bundesverwaltung. Ein Erfahrungsaustausch und ein gemeinsames Vorgehen wären da sicher in beiderseitigem Interesse.
- Auch kann eigene Infrastruktur oder schweizerischen und europäische Cloudprovider als Basis genutzt werden, um darauf mit Open-Source-Lösungen tragfähige Cloud-Alternativen aufzubauen. Eigenentwicklungen oder eingekaufte Software darauf zu betreiben ist kein Hexenwerk. Und manchmal sogar ökonomischer. Aber mehr dazu im nächsten Teil der Serie.
Es bleibt daher die Entscheidung unserer Landesregierung, ob sie weiterhin den Bückling machen will oder ob sie selbstbestimmter auftreten will. Und – nach einer Durststrecke – sogar ökonomische und gesellschaftliche Vorteile daraus zieht.
