Meinungen zu AMA

Hallo,

Auch ich möchte gern meine ganz private(!) Meinung zum Thema dazu geben.

ich kann die Aufregung um Cloud oder Nicht-Cloud nicht verstehen. Ich war die letzten Tage auf der Infosec und es scheint, als wäre Großbritannien generell cloudfreundlicher eingestellt.

Ich selbst traue einem multinationalen Hoster, der eine seit 10+ Jahren saubere geschäftliche Weste selbst im sensiblen Paymentbereich hat deutlich mehr über dem Weg als einem "Feld-, Wald- und Wiesen-Provider", bei dem der Admin vielleicht doch ein wenig neugieriger ist als notwendig.

Sicherheitstechnisch halte ich lokal gesicherte Mails - sofern der Kunde nicht über mehrere RZ's oder Brandabschnitte verfügt (aber ist das ein "typischer" Astaro Kunde?) - für bedenklicher als eine in der EU gelagerte (und somit den gängigen Anforderungen für Unternehmensarchivierung entsprechende) Lösung. Dazu kommt ja, dass die Mails entsprechend verschlüsselt gelagert werden.

Natürlich muss man ein Grundvertrauen darin haben, dass der Dienstleister (ob es nun ein Managed Service Provider, Hersteller von Cloudlösungen oder lokaler IT Dienstleister ist) ordentlich arbeitet, aber auch hier ist die Gefahr des Mißbrauchs nicht zwingend geringer, nur weil die Daten lokal im Unternehmen liegen. Auch hier kann ein Admin oder Dienstleister recht gut unbemerkt Datenschindluder betreiben, dazu müssen die Daten gar nicht ausser Haus gelagert werden.

Desweiteren wage ich zu bezweifeln, dass man mit dem derzeitigen Preismodell einer Cloudlösung mithalten kann, wenn man die Kosten für regelmäßige Vor-Ort-Pflege der Systeme, Updates der Storageinfrastruktur und Systemaktualisierungen mit einkalkuliert.

Dazu kommt, dass E-Mail, selbst bei interner Kommunikation, auch schon heute an zahlreichen Stellen über externe Infrastrukturen läuft. Zumindest Mails von extern sind idR nicht als vertraulich anzusehen, da sie - mit wenigen vorkonfigurierten TLS Tunneln als Ausnahme - über unverschlüsselte Leitungen übertragen werden. 

Und auch sämtliche internen Mails, die über eine BlackBerry Infrastruktur laufen, sind meiner Meinung nach sicherheitstechnisch mit der verschlüsselten Lagerung in der "Cloud" vergleichbar.

Man muss den Kunden hierbei klarmachen, dass E-Mail nunmal kein physikalisches Gut sind und damit auch die "Safe-Taktik" nicht zwingend angewendet werden kann. 

Bei Gegenständen, die einen bestimmten Wert haben (Gold, Diamanten, Geld, Kunstwerke) kann ich verstehen, dass man diese an einem sicheren Ort lagern will; jedoch hat man hier  sobald man sich vom Besitz des Gegenstandes überzeugt hat ebenfalls die Sicherheit, dass dieser Gegenstand nicht vorher entwendet wurde.

Bei digitalen Daten, die verlustfrei und ohne Nachweis kopiert werden können, ist diese Safe-Logik (Orginal möglichst gut schützen) jedoch nicht passend. Hier kann ein kurzer Zugriff, ein Blick auf den "Gegenstand" E-Mail schon ausreichen, um diesen zu stehlen.

Mit anderen Worten: Kirche im Dorf lassen, andere Baustellen dicht machen (wie viele Notebooks mit Daten wurden bei $kunde denn so im letzten Jahr geklaut, wie viele Zugriffe auf interne Ressourcen incl. E-Mail wurden von Privat-PCs getätigt, wie viele Mails mit ungewollten Anhängen gingen raus) und überlegen, ob man einen professionellen internen Betrieb wirklich zum gleichen Preis hinbekommt. 

Falls nein, muss man finde ich schon wirklich gute Argumente - bspw. durch entsprechende Zusammenarbeit mit Bundesbehörden oder Tätigkeit im Gesundheitsumfeld - haben, die die Mehrkosten und den Mehraufwand rechtfertigen.

Just my 2 cents
Christian

Hallo,

Auch ich möchte gern meine ganz private(!) Meinung zum Thema dazu geben.

ich kann die Aufregung um Cloud oder Nicht-Cloud nicht verstehen. Ich war die letzten Tage auf der Infosec und es scheint, als wäre Großbritannien generell cloudfreundlicher eingestellt.

Ich selbst traue einem multinationalen Hoster, der eine seit 10+ Jahren saubere geschäftliche Weste selbst im sensiblen Paymentbereich hat deutlich mehr über dem Weg als einem "Feld-, Wald- und Wiesen-Provider", bei dem der Admin vielleicht doch ein wenig neugieriger ist als notwendig.

Sicherheitstechnisch halte ich lokal gesicherte Mails - sofern der Kunde nicht über mehrere RZ's oder Brandabschnitte verfügt (aber ist das ein "typischer" Astaro Kunde?) - für bedenklicher als eine in der EU gelagerte (und somit den gängigen Anforderungen für Unternehmensarchivierung entsprechende) Lösung. Dazu kommt ja, dass die Mails entsprechend verschlüsselt gelagert werden.

Natürlich muss man ein Grundvertrauen darin haben, dass der Dienstleister (ob es nun ein Managed Service Provider, Hersteller von Cloudlösungen oder lokaler IT Dienstleister ist) ordentlich arbeitet, aber auch hier ist die Gefahr des Mißbrauchs nicht zwingend geringer, nur weil die Daten lokal im Unternehmen liegen. Auch hier kann ein Admin oder Dienstleister recht gut unbemerkt Datenschindluder betreiben, dazu müssen die Daten gar nicht ausser Haus gelagert werden.

Desweiteren wage ich zu bezweifeln, dass man mit dem derzeitigen Preismodell einer Cloudlösung mithalten kann, wenn man die Kosten für regelmäßige Vor-Ort-Pflege der Systeme, Updates der Storageinfrastruktur und Systemaktualisierungen mit einkalkuliert.

Dazu kommt, dass E-Mail, selbst bei interner Kommunikation, auch schon heute an zahlreichen Stellen über externe Infrastrukturen läuft. Zumindest Mails von extern sind idR nicht als vertraulich anzusehen, da sie - mit wenigen vorkonfigurierten TLS Tunneln als Ausnahme - über unverschlüsselte Leitungen übertragen werden. 

Und auch sämtliche internen Mails, die über eine BlackBerry Infrastruktur laufen, sind meiner Meinung nach sicherheitstechnisch mit der verschlüsselten Lagerung in der "Cloud" vergleichbar.

Man muss den Kunden hierbei klarmachen, dass E-Mail nunmal kein physikalisches Gut sind und damit auch die "Safe-Taktik" nicht zwingend angewendet werden kann. 

Bei Gegenständen, die einen bestimmten Wert haben (Gold, Diamanten, Geld, Kunstwerke) kann ich verstehen, dass man diese an einem sicheren Ort lagern will; jedoch hat man hier  sobald man sich vom Besitz des Gegenstandes überzeugt hat ebenfalls die Sicherheit, dass dieser Gegenstand nicht vorher entwendet wurde.

Bei digitalen Daten, die verlustfrei und ohne Nachweis kopiert werden können, ist diese Safe-Logik (Orginal möglichst gut schützen) jedoch nicht passend. Hier kann ein kurzer Zugriff, ein Blick auf den "Gegenstand" E-Mail schon ausreichen, um diesen zu stehlen.

Mit anderen Worten: Kirche im Dorf lassen, andere Baustellen dicht machen (wie viele Notebooks mit Daten wurden bei $kunde denn so im letzten Jahr geklaut, wie viele Zugriffe auf interne Ressourcen incl. E-Mail wurden von Privat-PCs getätigt, wie viele Mails mit ungewollten Anhängen gingen raus) und überlegen, ob man einen professionellen internen Betrieb wirklich zum gleichen Preis hinbekommt. 

Falls nein, muss man finde ich schon wirklich gute Argumente - bspw. durch entsprechende Zusammenarbeit mit Bundesbehörden oder Tätigkeit im Gesundheitsumfeld - haben, die die Mehrkosten und den Mehraufwand rechtfertigen.

Just my 2 cents
Christian

Hallo Christian,

rein logisch stimme ich Dir zu. Es exsistiert nur leider der §11 BDSG und der ist schwer mit einer Cloud ausserhalb der EU einzuhalten (Kontrolle über Einhaltung des Datenschutzes). Ausserdem wäre da noch die Richtlinie 95/46/EG, welche es grundsätzlich verbietet, personenbezogene Daten aus EG-Mitgliedsstaaten in unsichere Drittstaaten zu übertragen.

Gruß

ElAdMi