Der Whistleblower Edward Snowden führte der Welt im Juni 2013 vor Augen, in welchem Ausmaß die Geheimdienste der USA und anderer westlicher Ländern den weltweiten Datenverkehr überwachen und damit den Datenschutz aushöhlen. Da die Abkehr vom Internet und den unabdingbar gewordenen Cloud-Diensten keine Alternative ist, ist der einzige Weg zur Wiederherstellung der Datenhoheit der Aufbau einer Private Cloud.
Der Zielkonflikt zwischen Komfort und Datensicherheit wurde – gleichermaßen im privaten wie im geschäftlichen Bereich – in der Vergangenheit allzu häufig zu Gunsten des Komforts entschieden. Dank der zunehmenden Reife proprietärer ebenso wie freier Cloud-Software und innovative Private-Cloud-Paketlösungen ist der Weg zur Private Cloud geebnet wie nie zuvor.
Die schlimmsten Befürchtungen von Datenschützern bewahrheiten sich
Der 6. Juni 2013 markiert nicht nur ein bedeutendes Ereignis in der Chronik des Internets. Als rabenschwarzer Tag für den Datenschutz ging er auch in die Geschichtsbücher ein. An diesem Donnerstag veröffentliche die englische Tageszeitung The Guardian und die amerikanische The Washington Post als top secret klassifizierte Informationen aus dem Inneren der amerikanischen Sicherheitsdienste. Aus den veröffentlichten Folien ging hervor, dass die amerikanische National Security Agency (NSA) über ein Spionageprogramm namens Prism verfügte, über das sie direkten Zugang auf die Server von neun Internetfirmen hat (Original: „collection directly from the servers“).
Cloud-Speicher: Microsoft OneDrive
Unter den betroffenen Firmen waren die IT-Giganten Microsoft, Google, Apple und Facebook, an denen im Internet von heute kein Vorbeikommen ist. Außerdem – und interessanterweise damals weit weniger beachtet – ging aus den internen Dokumenten hervor, dass sich die Sicherheitsdienste direkt in die Backbones der globalen Internet-Infrastruktur eingeklinkt hatten und von dort Informationen abgreifen konnten (Original: „collection of communications on fiber cables and infrastructure as data flows past“).
©The Washington Post
Die unmittelbaren Reaktionen der betroffenen Konzerne halfen nicht, den tief sitzenden Schock zu lindern. Im Gegenteil. In legalistischem Duktus und mit erstaunlich ähnlicher Wortwahl verneinten alle neun Firmen den direkten Zugang irgendwelcher Sicherheitsbehörden auf ihre Dateninfrastruktur und jegliche Kenntnis von Prism.
Angesichts der offensichtlichen Ausmaße der Überwachung musste es so scheinen, dass sie durch die Verneinung eines direkten Zugangs ihre Programmteilnahme überdecken wollten. Erst einige Tage später folgten generellere Statements, die Hoffnung gaben, die Konzerne wollten sich nicht mit juristischen Winkelzügen aus der Affäre ziehen.
So betonte Ron Bell, der Leiter der Rechtsabteilung von Yahoo, in einem öffentlichen Statement, dass die Einschätzung, Yahoo gäbe einer Bundesbehörde uneingeschränkten Zugang zu Nutzerdaten, kategorisch falsch sei. Von den Hunderten von Millionen Nutzern falle nur ein absolut marginaler Prozentsatz jemals unter eine Datenanforderung von Seiten der Regierung (Original: „The notion that Yahoo gives any federal agency vast or unfettered access to our users’ records is categorically false. Of the hundreds of millions of users we serve, an infinitesimal percentage will ever be the subject of a government data collection directive.“). Und wer Rechtsanwälte kennt, weiß, dass die nicht geneigt sind, unüberlegte Stellungnahmen abzugeben.
Cloud-Speicher: Dropbox
Yonathan Zunger, der Chief Architekt von Google+, bezog ebenso klar Stellung : „Der einzige Weg, durch den Google Informationen über seine Nutzer preisgibt, ist, wenn wir konkrete und rechtmäßige Gerichtsbeschlüsse erhalten. (Original: “the only way in which Google reveals information about users are when we receive lawful, specific orders about individuals). Er beendete seine emotionale Stellungnahme gegen pauschale Überwachung mit einem bewegenden Vergleich: „Wir haben nicht den Kalten Krieg gekämpft, so dass wir die Stasi selbst wieder aufbauen könnten.“ (Original: „We didn’t fight the Cold War just so we could rebuild the Stasi ourselves“).
Weiterhin viel Unwissen
Mehr als zwei Jahre nach den durch den Whistleblower Edward Snowden ausgelösten Enthüllungen ist vieles klarer als noch im frühen Juni 2013, aber noch mehr unklar.
Die Existenz von Prism – oder eines Schnüffelprogramms mit den beschriebenen Fähigkeiten – kann mittlerweile als gesichert angesehen werden, nachdem Präsident Obama ein solches Programm implizit bestätigte. Auch scheint sicher, dass die amerikanischen Sicherheitsdienste in ihren internen Dokumenten – erfreulicherweise – ihre technischen Möglichkeiten überzeichneten oder zumindest unklar darstellten.
Mit an Sicherheit grenzender Wahrscheinlichkeit lässt sich sagen, dass die amerikanischen Sicherheitsdienste weder durch Prism noch durch irgendein anderes Programm direkten Zugang auf die Unternehmensserver im technischen Sinn zu haben.
Heute scheint klar, dass die Autoren der Folien mit dem Verweis auf den direkten Zugriff vielmehr meinten, umfangreiche Datenpakete von den IT-Firmen anfordern zu können. Die vielen offenen Fragen sind, auf welche Daten die Dienste Zugang haben, in welchem Umfang der Datenzugriff erfolgt und wer die Geheimdienste kontrolliert. Die Intransparenz muss Schlimmes befürchten lassen, und die zahlreichen mündlichen Berichte von Edward Snowden seitdem sind nicht geeignet, für Entspannung zu sorgen. Was bleibt ist mehr als ein schlechtes Gefühl.
Prism ist nur eines von zahlreichen weiteren Programmen jenseits des Atlantiks. Xkeyscore und Fairview sind weitere Schnüffelprogramme, deren Namen die Welt lernen musste, ohne etwas über deren konkrete Funktionen zu erfahren.
Und nicht nur der amerikanische Sicherheitsapparat hat seine Zugriffsmöglichkeiten auf die internationalen Datenströme in Folge der Anschläge des 11. September 2001 massiv ausgebaut. Briten, Kanadier und Australier eifern dem großen Bruder eifrig nach. Weiter wenig erbaulich: Edward Snowden selbst gab wiederholt zu bedenken, dass die von ihm gesammelten Dokumente nicht den aktuellen Stand der Überwachungsmöglichkeiten aufzeigten.
Cloud-Speicher: Google Drive
Noch schlimmer: Auch nach den Enthüllungen scheint ein Umdenken in den amerikanischen Sicherheitsdiensten nicht in Sicht.
Angefangen an der Spitze hat sich Barack Obama nicht als Aufklärer hervorgetan. Vielmehr hat er sich schützend vor die Geheimdienste gestellt. Dem Nationalen Geheimdienstdirektor James R. Clapper hat er sein volles Vertrauen ausgesprochen – trotz eines zarten überparteilichen Strebens, ihn zu entlassen.
Clapper war vor allem dadurch bekannt geworden, dass er im März 2013 für einen amerikanischen Kongressausschuss über den Umfang der Spionagetätigkeit nicht nur Informationen zurückhielt, sondern auch offensichtlich falsch darstellte. Änderungs- und Aufklärungswillen sieht anders aus.
Wer sich Anfang 2013 noch dem naiven Glauben hingab, die westlichen Geheimdienste hätten nur beste Interessen, dem wurde diese komfortable Rückzugsmöglichkeit genommen. Was Bedenkenträger schon lange befürchteten, wurde nun Sicherheit: Die angelsächsischen Sicherheitsdienste spionieren in ungeahntem Ausmaß, mit grenzenloser Skrupellosigkeit und sind finanziell bestens ausgestattet. Die Ketten des geltenden Gesetzesrahmens scheinen sie abgeschüttelt zu haben. Wenn die flexible Auslegung geltender Gesetzen zu ihren Gunsten nicht ausreicht, dann bedient man sich grenzüberschreitender Allianzen, um nationale gesetzliche Restriktionen zu umgehen.
Das Ausspähverbot eigener Staatsbürger wurde und wird dadurch umgangen, dass man dies durch einen befreundeten Geheimdienst erledigen lässt. In einem Interview bezeichnete Edward Snowden das Verhältnis zwischen dem deutschen Bundesnachrichtendienst und den amerikanischen Diensten als „intim“. Man muss sich darüber klar sein, dass dem Schutz der privaten Daten bei der Nutzung amerikanischer Cloud-Dienste, angefangen von Amazon über Gmail bis Yahoo, geringe Bedeutung beigemessen wird.
Handlungsoptionen zum Schutz der eigenen Daten
Für deutsche Firmen und Personen stellt sich die Frage, wie mit den neuen Realitäten umzugehen ist. Ein Rückzug aus dem Internet ist illusorisch. Fast ebenso illusorisch ist die vollständige Abkehr von den US-Konzernen. Eine zu dominante Rolle spielen die Silicon-Valley-Konzerne heute im World Wide Web.
Und selbst wenn man in einem Versuch, dem Schnüffelwahn der Amerikaner zu entgehen, alleine auf europäische Lösungen setzt, dann scheitert dieser nicht nur an der globalen Reichweite der amerikanischen Sicherheitsdienste und seiner europäischen Vasallen, sondern auch an den Realitäten des globalen Datenroutings.
Wer sichergehen will, dem bleibt nur ein Weg: Die konsequente Verschlüsselung des Datenverkehrs und der Aufbau einer eigenen Cloud. Dadurch kann eine weitgehende Unabhängigkeit von Google und Co. realisiert werden. Gerade für innovative Unternehmen, deren Wert und Erfolg in Ideen und geistigem Eigentum liegt, muss dies Pflicht sein und keine Kür.
Cloud-Speicher: iCloud
Und tatsächlich waren die Hürden zur Erreichung von IT-Unabhängigkeit nie geringer als heute. Was noch bis vor wenigen Jahren ein technisch höchst – und für die Mehrheit der Nutzer wohl zu anspruchsvolles Projekt gewesen wäre, ist es heute nicht mehr. Dank stetig fallender Preise für Hardware, der weiträumigen Verfügbarkeit von Breitbandinternet und dem kontinuierlichen Reifeprozess von Open-Source-Cloud-Diensten ist die Private Cloud für die meisten Unternehmen und Privatleute in den Bereich des Möglichen gerückt. Weniger die Verfügbarkeit leistungsfähiger Server-Dienste noch deren Kosten sind heute die bedeutendsten Hürden, sondern primär die Risikoaversion von Unternehmen sowie Beharrungsvermögen. Das leistungsfähige und sichere private Rechenzentrum ist erschwinglich und mit vertretbarem Aufwand realisierbar geworden.
Vor- und Nachteile der Private Cloud
Die Private Cloud ist die Variante des Cloud Computing, die auf einer privaten oder firmeneigenen Infrastruktur basiert. Im Gegensatz zur Public Cloud, die ihre Dienste einem nicht weiter beschränkten Benutzerkreis zur Verfügung stellt, sind die Dienste in einer Private Cloud einem vordefinierten Anwenderkreis vorbehalten, z.B. den Mitarbeitern einer Organisation.
In der Praxis herrscht außerdem weithin die Konzeption vor, dass privates Eigentum an der Cloud-Infrastruktur und der Standort vor Ort konstituierende Elemente der Private Cloud sind. Von dieser akademischen Diskussion abgesehen, liegen die Unterschiede zwischen Public und Private Cloud schwerpunktmäßig im nicht-technischen Bereich. Die verwendete Software und Hardware ist weitgehend ähnlich.
Die Entscheidung, Cloud-Dienste intern anzubieten und nicht extern zu beziehen, hat weitreichende Implikationen, die deutlich über den Verantwortungsbereich der IT-Abteilung hinausgehen. Die Entscheidung für oder gegen „going private“ ist auch eine Entscheidung für oder gegen unterschiedliche Abhängigkeiten. Weder ist die Entscheidung zu Gunsten der Private Cloud noch der Public Cloud risikofrei, das Risiko- und Anforderungsprofil ist ein völlig anderes.
Die einfache Einrichtung der Cloud-Dienste und das Outsourcing der Pflege der dazugehörigen Infrastruktur an einen externen Anbieter sind die klassischen Vorteile der Public Cloud. Ist die Entscheidung erst einmal gefallen, kann dank der paketierten Angebote eine leistungsfähige Cloud-Infrastruktur innerhalb kürzester Zeit eingerichtet und nach Maßgabe der Kundenwünsche konfiguriert werden.
Diesen Vorteilen stehen die beschränkte Erweiterbarkeit und weitere Risiken gegenüber, die mit der Übertragung zentraler Datendienste an einen Drittanbieter einhergehen. Dazu gehört unter anderen das Risiko der Änderung der Nutzungsbedingungen oder das Insolvenzrisiko des Anbieters. Der wohl entscheidende Vorbehalt gegenüber der Public Cloud – belegt durch eine Bitkom-Studie – ist jedoch der Verlust der Hoheit über die eigenen Daten.
©Christoph Dyllick-Brenzinger
Stand noch bis vor kurzem die Datenschutzthematik hinter den administrativen Aspekten an, so begannen sich spätestens mit den Enthüllungen um Edward Snowden die Verhältnisse zu verschieben. In Kombination mit den stetig sinkenden technischen Hindernissen zur Private Cloud ist die Entscheidung Public vs. Private heute schon längst nicht mehr so klar, wie sie noch bis vor kurzem schien. Private-Cloud-Betreiber sind kein elitärer Club technischer Fantasten mehr, sondern eine rasch wachsende Community.
Umstieg von Public Cloud auf Private Cloud war nie einfacher
Die Grundsatzentscheidung pro Private Cloud ist nicht mit Kompromissen in der Qualität der Software verbunden. Für praktisch jeden Cloud-Dienst gibt es sehr leistungsfähige Open Source oder proprietäre Dienste. Für den privaten Bereich sind Dienste wie Owncloud oder Seafile interessant, replizieren sich doch teilweise oder vollständig die Komfortfunktionen von iCloud und Gmail.
Im Unternehmensbereich sind die Open-Source-CRM-Lösungen SugarCRM und Vtiger interessant genauso wie die Projektmanagementsuite Openproject und Openproj. Odoo ist eine ERP-Lösung, die mittlerweile in namhaften Unternehmen wie Danone und Hyundai zum Einsatz kommt. Die Community-Version von Odoo ist voll funktionsfähig und kostenfrei.
Gerade für technisch nicht versierte Computernutzer und kleine Unternehmen ohne dedizierte, interne IT-Ressourcen ist der Aufbau einer Private-Cloud-Infrastruktur vermutlich auch heute noch zu anspruchsvoll. In der Vergangenheit führte dann kein Weg an einer Zusammenarbeit mit einem Systemhaus mit Erfahrung mit den relevanten Diensten vorbei. Aber auch das hat sich geändert.
Inzwischen gibt es standardisierte Private-Cloud-Lösungen für private Nutzer und Unternehmen. Die Innovation ist es, Cloud-Software und die benötigte Hardware zu attraktiven Gesamtpaketen zusammenzuschnüren. Für Nutzer, die sich mit einer standardisierten Cloud-Lösung anfreunden können, ist der Weg zur Private Cloud dann nicht viel mehr als der Anschluss des Anbieter-Servers bei Erhalt an den eigenen Internetrouter.
Jedem seine private Cloud
Unternehmen mittlerer Größe mit einer eigenen IT-Abteilung können sich aus dem Pool der vielen Cloud-Dienste eine maßgeschneiderte Private-Cloud-Lösung selbst einrichten. Bei der Nutzung von Open-Source-Lösungen stehen dem erhöhten Einrichtungsaufwand im Vergleich zu einer Public-Cloud-Lösung Einsparungen bei den Nutzungsgebühren gegenüber. Angesichts üppiger Lizenzkosten von Public-Cloud-Diensten für Unternehmen kann die Private-Alternative bei langfristiger Perspektive sehr wohl die kostengünstigere Variante sein. Dank vorkonfigurierter Arbeitsgruppenservern sind Private Clouds auch nicht mehr die alleinige Domäne von „IT-Freaks“.
Für einige Hundert Euro gibt es komfortable Lösungen, mit denen jeder seine private Wolke aufbauen kann. Natürlich sind ein paar Hundert Euro mehr als der kostenlose Gmail-und Dropbox-Account. Wem seine Daten aber etwas wert sind, für den sollte diese Hürde nicht zu hoch sein.
Autor: Christoph Dyllick-Brenzinger
Christoph Dyllick-Brenzinger ist Technischer Geschäftsführer der Datamate Service GmbH. Datamate ist eine IT-Beratung mit den Schwerpunkten Private Cloud, VoIP-Telefonie und Open Source.