Willkommen auf myCSharp.de! Anmelden | kostenlos registrieren
 | Suche | FAQ

Hauptmenü
myCSharp.de
» Startseite
» Forum
» Suche
» Regeln
» Wie poste ich richtig?

Mitglieder
» Liste / Suche
» Wer ist online?

Ressourcen
» FAQ
» Artikel
» C#-Snippets
» Jobbörse
» Microsoft Docs

Team
» Kontakt
» Cookies
» Spenden
» Datenschutz
» Impressum

  • »
  • Community
  • |
  • Diskussionsforum
Cloud Diskussion
Abt
myCSharp.de - Team

Avatar #avatar-4119.png


Dabei seit:
Beiträge: 15671
Herkunft: BW

Themenstarter:

Cloud Diskussion

beantworten | zitieren | melden

Cloud Diskussion

Hintergrund
Der Thread hier entsteht aus der Bitte im Threads Einsatz von Standard-Tools oder Eigenprogrammierung? auf das Thema Cloud einzugehen.

Disclaimer
Alle Angaben basieren auf bestem Wissen und Gewissen.
Ziel des Ganzen ist es, der Community einen kleinen Einblick und Überblick zu geben und evtl. den einen oder anderen die Angst zu nehmen und den Mut zu geben, mal einfach etwas mit der neuen Technologie auszuprobieren.
Die Plattformen geben entsprechende Kontingente kostenlos zur Verfügung, sodass man mal ein Gefühl für ein paar Dinge bekommt.

Die Cloud ist riesig und sie wächst jeden Tag. Jeden Tag gibt es neue Features oder es ändert sich ein kleines bisschen etwas.
Ich kann dahingehend nicht garantieren, dass alle Angaben Morgen noch Top-Aktuell sind (zB. Beispielpreise)

Die Cloud umfasst ganze Berufszweige; IT-Pro und Entwicklung. Es so riesig, dass es jeden Tag was Neues gibt - und mein Fokus ist eben die Entwicklung.
Solltet ihr eine Unstimmigkeit sehen bitte um Korrektur (wenn möglich mit Quelle), dann korrigiere ich das.
Ich lern auch noch jeden Tag dazu ;-)

Was ihr erwarten könnt
ist nichts Konkretes in Sachen Justitia. Das werdet ihr - auch zur Verdeutlichung für das Thema - in dem Text mehrmals lesen :-)

Wir sind hier Entwickler, keine Juristen. Ich kann grobe Aussagen geben, habe Teile hieraus - besonders das Thema Daten - durch einen Juristen durchlesen lassen; aber für konkrete, juristische Fragen solltet ihr zu einem Profi gehen.
Letzten Endes müsst ihr beim jeweiligen Vertragsabschluss mit einer Cloud-Plattform ohnehin die Gegebenheiten auf eure spezifischen Anforderungen prüfen und unterschreiben.
Ebenso müsst ihr am Ende gegenüber dem Kunden gerade stehen - aber das gilt auch für eure eigenen Systeme.

Erwarten könnt ihr Aussagen in Form eines technischen Evangelisten mit Fokus Entwicklung - nichts anderes bin ich.
Die Zielgruppe ist die Community.

Ich werde auch meine Sätze in meiner normalen, (manchmal/für den ein oder anderen zu lockeren) Sprache formulieren - nicht in perfekter Buchschrift, Hochdeutsch, oder Beamtensprache.
Sollte daraus ein Missverständnis entstehen - was ich nicht hoffe und daher den Text hier mehrfach gelesen habe - dann werde ich Entsprechendes umformulieren, sodass es deutlicher wird, was ich Aussagen möchte.

Was ich erwarte
ist eine interessierte, offene und sachliche Diskussion.

Ich gehe auf die Cloud im Allgemeinen ein; meist nicht spezifisch auf einen Anbieter.
Werde aber Besonderheiten eines Anbieters durchaus erwähnen.

Ich rede gern über die Cloud bzw. moderne Technologien, aber worauf ich absolut keine Lust habe und - sollte es auftreten - auch unterbinden werde, sind Stigmatisierungen.
Aber ich erwarte an dieser Stelle durchaus auch kritische Aussagen; erwarte jedoch, dass man sich vorher informiert statt nur 0815-Stammtisch-Geschwafel abzulassen.

Sollte es darauf hinauslaufen, dann werden wir das Thema - zur Not - wieder schließen.
Verschwörungstheoretiker und Trolle mögen sich auf übliche Themen wie 9/11, Ufos, "die haben Menschen verschleppt, die jetzt alle unsere E-Mails lesen!!!!", die Regierung ist an der Leine von Obama, 2Pac lebt, Windows Mobile ist tot.. wo anders austoben.
Wir werden entsprechendes entfernen, wenn es nicht zur Diskussion beiträgt.

Erhaltene Fragen per PN
Die meisten Fragen per PN (insgesamt gab es 13 PNs) haben sich auf den Datenschutz und die Datensicherheit bezogen. Dann teilweise auch noch spezifisch auf Branchen.
Ob es dann auch noch Gesetze gibt für eure Branche, die das beeinflussen (bin erstaunt wie viele in der Finanzbranche sind) gibt: das alles kann ich nicht qualitativ und fachlich genau genug beantworten.
Bitte wendet euch hier wirklich an einen Fachanwalt.
Es macht auch kein Sinn das hier zu diskutieren, denn hier kann euch keiner eine Garantie geben.
Letzten Endes unterschreibt ihr - und auch ihr müsst dafür gerade stehen.

Für Firma A sind Finanzdaten wichtig, für Firma B sind Blaupausen von Konstruktionen wichtig - für andere wieder Personaldaten.
Im Endeffekt sind alles wichtige Daten. Cloud-Anbieter betrachten alle Daten als wichtig und Sicherheitsrelevant.

Ansonsten waren die Schwerpunkte, die per PN kamen, jetzt alle nicht wirklich neu oder irgendwie besonders und haben sich oft dann auch nicht spezifisch auf die Cloud bezogen.
Dass Kunde A nicht auf die Daten von Kunde B zugreifen kann; diese Anforderung habt ihr im eigenen Rechenzentrum bzw. auf jeder anderen Infrastruktur genauso wie in der Cloud. In beiden Fällen sind die Umsetzungen recht ähnlich oder können sogar identisch sein.
Aber das ist jetzt nichts, an dem man ausmachen kann, dass die Cloud unsicherer oder die eigene Infrastruktur sicherer sei. Wie auch, wenn das Applikationslogik ist.

Die Themen Skalierung, Kosten, was Cloud wirklich ist und Erfahrung werde ich aber hier einbringen.

==================

Was ist Cloud?

Die Definition der US Standardisierungsstelle NIST definiert Cloud wie folgt (hier im Wortlaut des BSI, das sich auf NIST beruft):
Zitat
Cloud Computing bezeichnet das dynamisch an den Bedarf angepasste Anbieten, Nutzen und Abrechnen von IT-Dienstleistungen über ein Netz. Angebot und Nutzung dieser Dienstleistungen erfolgen dabei ausschließlich über definierte technische Schnittstellen und Protokolle. Die Spannbreite der im Rahmen von Cloud-Computing angebotenen Dienstleistungen umfasst das komplette Spektrum der Informationstechnik und beinhaltet unter anderem Infrastruktur (z. B. Rechenleistung, Speicherplatz), Plattformen und Software. – Bundesamt für Sicherheit in der Informationstechnik

Die Cloud an für sich ist nichts Neues. Die prinzipiellen, technischen Lösungen, die eine Cloud bietet, könnte auch mit einem eigenen Rechenzentrum realisiert werden können - keine Frage.
Sie ermöglicht aber durch eine großartige Tatsache Dinge, die durch ein normales Hosting nicht in dieser Form realisierbar wären: Hyperscaling.

Hyperscaling - oder auch hyperscale computing - ist die Eigenschaft, die eine Cloud am Ende ausmacht.
Dadurch kann ein System bzw. dessen Ressourcen dynamisch wachsen und verschiedene auf Technologien nach Bedarf, Nutzen und Anforderung zugegriffen werden.

Durch Hyperscaling ist es möglich, dass ihr nur die Ressourcen verwendet (und am Ende bezahlt), die ihr für den Betrieb der Software benötigt - dadurch zB (temporären / kurzfristigen) Zugriff auf enorme Rechenleistung habt.
Bisher wurden Systeme auf ihre potentielle Maximallast, einen Puffer sowie das potentielle Wachstum auf X Jahre ausgelegt.
Das bedeutet, dass eine Systemlandschaft in Form von physikalischen Ressourcen zu einem Zeitpunkt mit entsprechendem Risiko angeschafft werden musste, die eine enorme finanzielle Belastung darstellte - und so viele Ideen sofort im Sand verlaufen sind.

Zudem sind solche Rechnereien immer Milchmädchenrechnungen. Immer. Immer.
Ich habe noch nie jemanden getroffen, der gesagt hat: wow, genau so haben wir das vor 3-5 Jahren geplant!

Durch Hyperscaling haben Entwickler auf Systeme und Systemressourcen Zugriff, die unter bekannten Umständen nicht möglich wären.
- zB eine kurzzeitige Berechnung / Simulation, die hunderte von CPUs benötigt - aber eben nur ein paar Minuten.
- oft habt ihr sicherlich Technologien (wie Datenbanksysteme) verwendet, weil ihr entsprechendes schon (Inhouse) hattet, statt Technologien zu nutzen, die darauf optimiert sind/waren
- braucht ihr tagsüber 7 Instanzen für eine Webanwendung, wegen der vielen Zugriffe, braucht ihr nachts vielleicht nur eine -> Kostensenkung durch dynamische Skalierung!
- ihr seid in vielen Märkten aktiv, über die Welt verteilt: ihr habt nur einen Anbieter und könnt in Sekunden nicht nur in Deutschland, sondern auch Brasilien nah beim Kunde sein
- binnen Sekunden - zum Beispiel in Azure mit dem Azure Resource Manager - könnt ihr über PowerShell riesige, komplexe IT-Infrastrukturen auf Knopfdruck erstellen, in Betrieb nehmen und ggfls. wieder verwerfen.

Ihr fangt klein an und wachst mit den Anforderungen - auch technologisch.

IaaS, PaaS und SaaS
Cloud-Plattformen werden i.d.R. in drei größere Bereiche unterteilt, Infrastructure-as-a-Service, Platform-as-a-Service und Software-as-a-Service.
Gibt auch noch Bezeichnungen wie Database-as-a-Service und Everything-as-a-Service aber das sind dann i.d.R. Unterstufen einer dieser 3 Säulen.

IaaS ist die Bereitstellung von Systemressourcen, wie virtuelle Maschinen - also Infrastruktur-Elemente.
Die Verantwortung der Aktualisierung, Verwaltung und des Betriebs liegt vollständig beim Kunden. Hier kümmert sich die Cloud-Plattform quasi nur im die Hardware-Basis bzw. Virtualisierung.
Darunter fallen eben die grundlegen Elemente wie Rechenleistung, Speicher, Netzwerk.

PaaS ist die Bereitstellung von Plattform-Elementen bzw. Systemfunktionen, zB einem Webserver. Das Betriebssystem und alles bzgl. IaaS - auch das Load Balancing (grundlegend) sowie die Verfügbarkeit - wird durch den Anbieter verwaltet.
Hier muss nur die eigene Anwendung (zB. Wordpress, die ASP.NET Anwendung) hochgeladen werden.

SaaS ist das, was viele nutzen, ohne es zu merken.
Git (im Sinne von GitHub und Co), Visual Studio Team Services, E-Mail.. das alles nutzt ihr im Rahmen von Software-as-a-Service.
Es wird nur die Funktionalität in Anspruch genommen, aber die Installation, der Betrieb und die Verwaltung erfolgt durch den Anbieter.

Besonders in Sachen PaaS und SaaS gibt es riesen Unterschiede bei den Plattformen.
Microsoft bietet hier besonders viel, Amazon und Google konzentrieren sich eher auf den IaaS Bereich.
Alle drei Plattformen haben aber SaaS-Features, die teilweise auch sehr ähnlich sind - jeweils mit Vor- und Nachteilen.

Lapidar gesagt braucht ihr für das Hosten einer Webseite in Amazon Web Services (AWS) eine virtuelle Maschine, auf der ihr dann einen Webserver installiert. Um den Systemoverhead und Infrastruktur-Security muss man sich selbst kümmern.
Bei Microsoft könnt ihr eine Web-Role (entspricht einer IIS Instanz) buchen und müsst euch nur um die Anwendung kümmern. Den Rest übernimmt Microsoft im Rahmen eines Managed Services.

Schutz der eigenen Daten
Nochmal zur Erinnerung: ich bin Entwickler; kein Jurist!
Werde mich bei meinen Aussagen auf hoher Flughöhe bewegen. Habe aber diesen Part durch einen Juristen durchlesen lassen, damit meine Satzbauten hier nicht ganz Laienhaft sind.

Ihr solltet euch bei so etwas immer an einem professionellen Juristen - zB. Fachanwalt für Informationstechnologie - wenden, der sich auf das Thema spezialisiert hat.
Ich kann an dieser Stelle nur allgemein und basierend auf meiner Erfahrung schreiben - und natürlich keine Garantien übernehmen.
Ich muss das an dieser Stelle einfach betonen.

Die größte Angst vor der Cloud betrifft die Daten, sowohl die der Anwendung wie auch die der Kunden.
Ich möcht das an dieser Stelle kurz in zwei Bereiche trennen, weil es die Sache etwas einfacher macht.

Der Datenschutz
Der Datenschutz in Europa ist einheitlich geregelt.

Es gibt die sogenannte Datenschutz-Grundverordnung, die durch die Europäische Union eingeführt wurde und europaweit den Datenschutz von personenbezogenen Daten vereinheitlicht.

Die Grundverordnung von April 2016 hebt die bislang bestehende Richtlinie 95/46/EG auf und ist in allen Mitgliedsstarten ohne nationale Umsetzung gültig.
Es gibt lediglich einige Öffnungsklauseln, um in sehr geringem Umfang auf nationale Interessen einzugehen. Es ist jedoch eine Vollharmonisierung und das Datenschutzniveau ist in allen Mitgliedsstaaten gleich.

Unberührt davon ist, dass manche Firmen interne Richtlinien oder Kundenverträgen selbst verpflichten, dass Daten nur national gespeichert werden.
Ebenso will ich nicht ausschließen, dass es für gewisse Daten die Pflicht gibt, diese auf nationalem Territorium zu speichern.
Das weiß ich aber nicht. Das müsste man mit Juristen abklären, ob so eine Pflicht für eure Daten besteht.

Mehr kann und will ich zum Datenschutz auch nicht sagen, da ich mich nicht zu weit aus dem Fenster lehnen will und das Juristen überlassen will, die sich darauf spezialisiert haben.

Der Zugriffsschutz / die Datensicherheit
Der Zugriffsschutz ist nun weniger rechtliches Thema, sondern betrifft nun die technische Umsetzung.

Es kommt immer wieder das Argument
* "Aber wir wissen doch gar nicht, was die mit unseren Daten machen!!"
* "Die klauen unsere Daten und verkaufen sie!"

Es gibt Cloud-Anbieter, die die Sorge vor unberechtigtem Zugriff mit besonders ausgeklügelten Mechanismen vertreiben möchten.
Hierbei erhält der Cloud-Plattform-Administrator/Cloud-Plattform-Support nur die Rechte, die er für die jeweilige Ausübung einer Support-Tätigkeit benötigt - temporär!
Direkt der Hinweis: das ist aber nicht bei allen Anbietern so. Ebenso kann es sein, dass der Zugriff für den Support nicht aus Deutschland erfolgt!

Eröffnet ihr ein Ticket, dann erhält der Administrator eine Rechte-Session (Token), um Support leisten zu können.
Ist das Problem behoben, werden die Rechte entzogen. Dabei wird jede Tätigkeit protokolliert und kann nachvollzogen werden. Beispielhaft gibt es bei Microsoft die Customer Lockbox (https://blogs.office.com/2015/04/21/announcing-customer-lockbox-for-office-365/).
Niemand - außer ihr selbst - habt Rechte auf die Ressourcen, wenn er keinen entsprechenden Token besitzt!

Zudem ist es i.d.R. so, dass allgemeine Zugriffe - wie Systemaktualisierungen und Co nicht manuell- , sondern durch entsprechend automatisierte Systeme erfolgen.
Sofern es einen manuellen Eingriff gibt, verfolgen einige Anbieter das 4-Augen-Prinzip, sodass niemand allein auf den Systemen unterwegs ist.

Die Rechner stehen in Containern in großen Hallen, geschützt durch Sicherheitsdienste und Sicherheitseinrichtungen, die oft der ISO 27001 und damit internationalen Zertifizierungen unterstehen.
Ein Heraustragen von Rechnern ist quasi unmöglich.

Stellt euch an dieser Stelle die Fragen oder macht mal einen Realitätscheck:
* Kann ein Admin/eine Person von uns alleine, unprotokolliert auf unsere Systeme, Daten sowie Kundendaten zugreifen?
* Könnte ein Admin eine Festplatte entnehmen / duplizieren, ohne, dass es jemand merkt?

In den meisten Fällen müsst ihr euch eingestehen: ja, das könnte er. Ihr sagt euch aber gleichzeitig: wir vertrauen unseren Leuten.
Denn solche Maßnahmen, die einen enormen Aufwand technisch wie auch organisatorisch erfordern, machen 99,9% der Firmen nicht.
Im Endeffekt vertrauen die Kunden eurem Chef und euer Chef vertraut den Mitarbeitern. Alles basiert auf Vertrauen.

Ihr habt aber keine Garantie, dass nicht z.B. ein Administrator unzufrieden ist, erpresst wird oder ihm einfach langweilig ist und er die Daten dupliziert und verkauft.
Auch eine Protokollierung habt ihr nicht. Stimmt's? ;-)


Wie oft hört man von irgendwelchen Leaks? Fast täglichhttps://haveibeenpwned.com/ (betrieben von Troy Hunt, Microsoft MVP und Microsoft Regional Director) lebt davon.
Da will niemand auftauchen.

Wer aktuell ein wenig die Nachrichten verfolgt, der hat ja mitbekommen, dass die Mitgliederliste einer gewissen deutschen Partei geleaked wurden.
Laut dieser soll es sich um einen Insiderjob handeln und höchstwahrscheinlich kein Hack. Sie vermuten einer der 16 internen Personen, die Zugriff auf diese Liste hatten oder evtl. auch durch den Dienstleister, der die externen Server verwaltet.

Hosting / Housing
Beim externer Bereitstellung der Systeme, was viele und gerne in Anspruch nehmen, müsst ihr ja ebenfalls einem Anbieter vertrauen.
z.B. bei einer virtuellen Maschine könnte der Anbieter - rein argumentativ - jederzeit die VM duplizieren, öffnen und die Inhalte sehen - oder z.B. bei einem Housing jederzeit auf die Hardware zugreifen.
Trotzdem verwende auch ich externes Hosting: weil ich meinem Anbieter vertraue. Die Nutzer davon ja auch.
Ich habe auch bislang keinen Grund, ihm nicht (mehr) zu vertrauen.

Gibt es hier eine Pauschalisierung wie bei der Cloud? Nein.

Der Fall US-Gesetze
Ja, dies war bislang ein Argument gegen die großen 3 Cloud-Anbieter Microsoft, Amazon und Google. Das ist aber kein Grund, allgemein gegen die Cloud zu sein.

Daraus entstanden dann solche Ideen wie der EuroCloud, der European Cloud Computing Strategie und Co.
Mehr als dass diese Ideen dann in die Welt posaunt wurden, hab ich dann aber auch nicht mehr gehört.

Dafür haben US Unternehmen den Markt erkannt und angefangen hier in der EU und eben auch – z.B. Amazon - in Deutschland ihre Cloud zu erweitern.
Amazon betreibt ihr Rechenzentrum selbst, weshalb sie - sofern mein juristisches Verständnis - auch operativ dem US-Recht unterliegen.
Wie das genau aussieht, Daten von Kunden an US-Gerichte / Behörden zu senden; da weigern sich ja die großen Anbieter bisher und immer wieder hört man dann was auf einschlägigen Nachrichtenportalen über Urteile und Berufungen etc. etc.

Trotzdem ist das dann kein Grund gegen die Cloud im Allgemeinen - meiner Meinung.
Es gibt zur Not ja dann auch noch andere Cloud Anbieter ohne US-Sitz.

Besonderheit Microsoft
Microsoft hat (jedenfalls ist das in meinen Augen so) einen juristischen Trick angewandt.

Microsoft hat zwischen sich und dem Kunden für "Azure Made in Germany" einen Datentreuhänder (die deutsche Telekom, genauer die Tochter t.Systems International GmbH geschaltet). Das Prinzip nennt sich Data Trustee.

Der Data Trustee überwacht und kontrolliert aus Deutschland heraus die beiden deutschen RZs in Frankfurt/Main und Magdeburg. Die beiden Betreiber sind (zumindest mir namentlich) noch nicht bekannt. Aber über Google/Bing findet man schon erste Namen.

Microsoft hat bei den beiden Räumen angemietet und betreibt auf eigener Hard- und Software die MS Services. Aktuell könnt ihr schon Azure Services testen und euch auf einen Zugang bewerben. Es sind in Deutschland aber (noch) nicht alle Services von Azure verfügbar.
Microsoft - und vor allem deren Mitarbeiter - haben ohne den Datentreuhänder, den Betreiber der Gebäude und den Kunden keinen Zugang zu den Daten. Ihr bestimmt z.B. über Customer LockBox wer wann und wo auf was Zugriff hat und wie lange. Der Datentreuhänder ist eh immer dabei und kann jede Verbindung trennen.

Erst wenn ihr ein Support Ticket eröffnet, erhält ein Administrator (wie oben erwähnt), den temporären Zugriff für die Support-Tätigkeit.
Das ermöglicht die Tatsache - so mein Verständnis und wie es auch auf der Azure Tour erzählt wurde - dass Microsoft keine Daten an US-Behörden raus geben kann, sondern der Weg über deutsche Gerichte erfolgen muss.

Genaueres kann hierzu euer Fachanwalt eures Vertrauens sagen.

Replikation / Backups
I.d.R. sind die Cloudplattformen in Regionen aufgeteilt.
Das bedeutet, dass es z.B. eine Region Nordamerika, Südamerika, Europa, Afrika, Asien - wobei das je Anbieter anders getrennt wird - gibt.

Die Anbieter replizieren / sichern ihre Systeme natürlich, sodass im Worst Case - wenn ein RZ abbrennt - nichts verloren geht.
Gewöhnlich sichern die Anbieter die RZ innerhalb ihrer Region. Ein RZ in Amsterdam sichert z.B. in Irland. Wenn es aber in der Region nur ein RZ gibt, dann wird in der nächst gelegenen Region gesichert, z.B. von Brasilien in die USA.
Das muss natürlich beachtet werden.

Azure Made in Germany ist gesondert: laut Microsoft sichert man nur innerhalb Deutschlands.
Je nach Support-Fall kann es aber sein, dass ein Mitarbeiter z.B. aus den USA zugreifen muss.

Verfügbarkeit
Die Cloud-Anbieter haben hohes Interesse an Verfügbarkeit und i.d.R. wird diese durch SLAs garantiert - z.B. 99,9% aufs Jahr gerechnet.
Das unterscheidet sich aber je nach Anbieter und jeweiligem Cloud-Dienst.

z.B. bietet Microsoft für Dateien (Azure Storage) zwei unterschiedene Verfügbarkeitsmodelle (Hot / Cool).
Hot wird z.B. mit 99,9% (mit RA-GRS 99,99%) und Cool mit einer Verfügbarkeit von 99% (mit RA-GRS 99,9%) garantiert.
Cool ist entsprechend günstiger; unterscheidet sich aber ansonsten nicht voneinander.
Cool 0,01$/GB (LRS) vs. Hot 0,022$/GB (RS).

Als Hinweis: meistens habt ihr in einem eigenen RZ keine garantierten Verfügbarkeiten, sondern kategorisiert in priorisierte Systeme.
Also z.B. ein Prio 1 System muss nach 2h wieder funktionieren, ein Prio 5 System darf eine Woche weg sein. Oft macht man bei selbst gehosteten Systemen aber keine Verfügbarkeitsplanung pro Jahr.

99% Verfügbarkeit entspricht dementsprechend einem potentiellen Ausfall von 1%, also 87h aufs Jahr(Total: 365dx24h=8760h), was wiederum 3,65 Tage bzw. 3 Tage 15 Stunden 36 Minuten entsprechen würde.

Cloud ist ein "Enabler"
Wenn ich einen Vortrag mach zum Thema Cloud, dann gebe ich meist eine Hausaufgabe mit:
- Gibt es ein Produkt, Feature, das ihr als Idee oder vom Kunden gehört habt - und das ihr mit eigenen Systemressourcen nicht ohne finanzielles Risiko umsetzen könntet?

Jeder hat eine Idee!
Aber 99,9% haben nicht die Möglichkeit, einfach mal etwas auszuprobieren. Die Cloud ermöglicht das!
Einfach mal ein Leuchtturmprojekt aufsetzen, ausprobieren.

Wenn es klappt: ausbauen!
Wenn es nicht klappt: schön, wir haben es versucht. Nächste Idee!

Im Zweifel wurden nicht enorme Ressourcen über X Monate gekauft/gemietet und finanzielle Unsummen versickert, sondern sind vielleicht ein paar Hundert Euro weg.
Ihr könnt einfach mal Zeugs ausprobieren, Technologien kurzfristig evaluieren und einbauen!

Es gibt viele Startups, die es ohne die Cloud nicht geben würde.
Ein Wochenende investiert, 1000€ Kapital für Ressourcen und trotzdem viele Leute erreicht!

Hybride Cloud
Kleine Unternehmen sind recht schnell in der Cloud, hier auch offener.
Sie haben selten das Personal und die finanziellen Mittel für IT-Infrastrukturen. Wenn sie welche haben, dann sind diese - meiner Erfahrung nach - oft schlecht verwaltet; Hauptsache das Zeug läuft (irgendwie).

Für mittlere und größere Firmen ist der Weg in die Cloud da schon schwieriger.
Helfen soll die hybride Cloud, die vor allem mit Azure Stack - aktuell als Preview - so richtig an Fahrt aufgenommen hat.

Azure Stack ist eine Private Cloud basierend auf einem Ausschnitt der Infrastruktur von Azure Public Cloud - aber in eurem Rechenzentrum.
Es läuft OnPremise aktuell auf ausgewählter Hardware, die schon für wenige hundert Euro zu haben ist.

Der riesige Vorteil ist, dass mit Azure Stack moderne Cloud-Dienste genutzt werden können, dabei aber die eigene Infrastruktur die Basis ist.
Dabei können auch Dienste von der Private in der Public Cloud angesprochen werden, damit z.B. unerwartete Lasten abgefangen werden können.
Oder beispielsweise die Anwendung selbst läuft in der Public Cloud, aber die Daten liegen in der Private Cloud.

Security
Was klar sein sollte: alle Cloud-Anbieter haben ein massives Interesse an Sicherheit, sowohl für die eigenen Systeme wie natürlich auch die Daten der Kunden.
Kein Anbieter kann sich hier großartig ein Leck leisten - das würde langfristig das Vertrauen und die Zukunft der Plattform gefährden.
Microsoft gibt für jede SaaS Plattform (Office365, VSTS) Committments über die Sicherheit und veröffentlicht Whitepapers. Es gibt dazu auch allerhand Zertifizierungen wie ISO und Co, die eigene Firmen-Rechenzentren oft nicht erfüllen.

Jede Plattform hat hunderte Mitarbeiter, die nichts anderes machen, als die Sicherheit zu evaluieren, zu verbessern, zu beobachten und mögliche Angriffe abzuwehren.
Die Plattformen erkennen z.B. i.d.R. die aller meisten Typen von (D)DoS Attacken, bieten virtuelle Firewalls, Network Isolation Options und Co an.

Die Vorsichtsmaßnahmen, die ihr treffen müsst, sind in der Cloud genauso wie in einem eigenen Rechenzentrum die Basis jeder Sicherheit.
Diese unterscheiden sich natürlich darin, was ihr nutzt aber entbindet euch gleichzeitig nicht davon, dass ihr z.B. Login-Mechanismen in eurer Webanwendung korrekt implementieren müsst.

Microsoft arbeitet z.B. mit Partnern zusammen, um Server-Malware zu entdecken und zusammen mit den Betreibern diese zu retten.
Ebenso wird Azure Active Directory aktiv überwacht um die Legitimation von Logins zu überprüfen und ggfls. automatisch zu sperren.
Das ganze nennt sich Advanced Threat Analytics / Advanced Threat Detection:
Zitat
Azure Active Directory security capabilities are built on Microsoft’s experience protecting consumer identities, and gains tremendous accuracy by analyzing the signal from over 14 billion logins to help identify 300,000 potentially compromised user authentications per a day. Azure Active Directory Identity Protection builds on these results and detects suspicious activities for end users and privileged identities based on signals like brute force attacks, leaked credentials, sign ins from unfamiliar locations and infected devices. Based on these suspicious activities, a user risk severity is calculated and risk-based policies can be configured allowing the service to automatically protect the identities of your organization from future threats.

Einige Dienste von Azure / Microsoft Cloud Produkten können so konfiguriert werden, dass z.B. auf Office 365 in Form der Active Directory Federation Services nur vom eigenen Netz aus genutzt werden kann.
Virtuellen Maschinen z.B. verfügen in Azure (Azure Virtual Network) über eine virtuelle Netzwerkschnittstelle, bei denen aktiv der Zugriff von/auf andere VMs gewährt werden muss.
Ihr habt dann auch nicht ein Netz für alle eure VMs, sondern könnt das isolieren, wie ihr das wollt und die Sicherheit verbessert.

Das sind aber alles Themen, bei denen ihr wenig "rum probieren" sondern auf Fachwissen von entsprechenden IT-lern zurückgreifen solltet.
Ich als Entwickler hole mir da auch immer Rat bzw. zieh einen Security-Profi mit ins Boot.
Persönlich schätze ich die Sicherheit einer solchen Plattform im Gesamten höher ein, als ein Rechenzentrum XY.
Hinzu kommt, dass ich das höchste Risiko einer Datenlücke im (unorganisierten/unzufriedenen) Mitarbeiter sehe und nicht in der Plattform.

Letzten Endes seid ihr für die implementierte Sicherheit verantwortlich: genauso in der Cloud wie auf eigenen Systeme.

Hierzu gibt es auch einen Einblick auf Azure Friday Azure Security Center Overview

Kosten
Cloud-Anbieter rechnen i.d.R. nur die genutzten Ressourcen ab, z.B. die Rechenzeit.

Habt ihr eine Web-Role, dann wird nur die Zeit berechnet, bei der die Anwendung CPU saugt (sowie der Speicherplatz und Traffic).
Virtuelle Maschinen werden nach der potentiell zur Verfügung stehenden Ressourcen berechnet. Eine Maschine mit 4x3Ghz ist deutlich teurer als eine Instanz mit 1x2Ghz.

Je besser ihr skaliert, desto optimaler könnt ihr durch dynamische Anpassungen die Ressourcen ausnutzen und Kosten sparen.
Besonders für Startups, die eine super Idee haben aber nicht viel Geld, ermöglicht das Kostenmodell zusammen mit der Eigenschaft Hyperscaling enorme Potentiale.

Bisher musste man tausende von Euros/Dollars in Systeme stecken, womit man aber noch keinen einzigen Euro verdient hat.
Man hat also erst nach 2-3 Jahren den Punkt erreicht, an dem man Geld macht/machen könnte - sofern die Idee gut war und besteht.
Bei eigenen Ressourcen kann es aber sein, dass man entweder Hardware hat, die dann nur rum steht, weil die Planung nicht mal ansatzweise gut war, oder man hat 6 Monate später das Problem, dass man aufrüsten muss, aber nicht so schnell skalieren kann.

Am Beispiel Hot vs. Cool Storage in Azure sieht man auch, dass gute Planung und das korrekte und sinngemäße Nutzen von Technologien massive Potentiale in Sachen Finanzen - neben den ohnehin vorhandenen technologischen Aspekten hat.

Unterschiede gibt es dann noch für Großverbraucher, mit denen man richtig Geld sparen kann.
z.B. gibt es neben der Bezahlung nach Nutzung auch Abonnements mit Vorauszahlungen. Diese gewähren dann gewisse Rabatte (z.B. 5%) auf die Cloud-Dienste.

Öffnet einfach z.B. mal den Azure Preisrechner und hakt ein paar Sachen aus eurer Umgebung rein.https://azure.microsoft.com/de-de/pricing/

Den Preisrechner von AWS finde ich persönlich etwas komplizierter, vor allem als nicht IT-Prohttps://calculator.s3.amazonaws.com/index.html
Bei manchen Sachen des AWS Rechners weiß ich jetzt nicht: brauch ich das denn?
Das ist bei Azure deutlich einfacher, da nur der Dienst ausgewählt werden muss und es so in meinen Augen transparenter ist.

Und zu guter Letzt noch der von Google: https://cloud.google.com/products/calculator/

Spezielle Benefits Azure
Wer andere Produkte von Microsoft bezieht, der bekommt oft ein gewisses Guthaben für Azure geschenkt, das dann monatlich genutzt werden kann.
z.B. erhalten Visual Studio Abonnenten ein Guthaben von bis zu 130€/Monat für direkt von Microsoft zur Verfügung gestellte Azure Dienste.

Mehr dazu unter https://www.visualstudio.com/en-us/products/how-to-buy-vs.aspx

Marketplace
Die Cloudplattformen bietet i.d.R. einen Marketplace an, über die andere Hersteller von Software oder Dienstleister Produkte über Azure anbieten.
Es gibt z.B. keinen direkten Cloud-Dienst für MySQL von Azure. Das übernimmt der Partner ClearDB. Bei den Preisen, die ClearDB verlangt, da schlackern einem meiner Meinung nach aber die Ohren.

Eine Datenbank bis 20 MB kostet nichts (Freemium Modell). Die nächst höhere Instanz ist dann direkt 1 GB, die dann 10 Dollar/Monat zu Buche schlägt.
Als Vergleich: das direkte Microsoft Angebot für eine einzelne MSSQL-Datenbank mit einem Umfang von 2GB kostet 5$. Die 250 GB Variante 15$/Monat.

Ansonsten ist der Marketplace wirklich - zumindest in Azure - riesig und wird auch enorm gepusht.

Support
Support kostet auf den einzelnen Plattformen extra und schwankt je nach Support Plan - mit entsprechend unterschiedlichen Dienstleistungen und Reaktionszeiten.
Bei Azure ist der Support für die Abrechnung z.B. kostenlos; erweiterter Support beginnt bei 25 Euro im Monat (Developer Plan) über Standard-Plan (255€/Monat) bis hin zu individuellem Supportvertrag, der dann direkt mit Microsoft verhandelt wird.

Pläne Azure: https://azure.microsoft.com/de-de/support/plans/
Pläne AWS: https://aws.amazon.com/de/premiumsupport/compare-plans/
Pläne Google: https://cloud.google.com/support/

Steuern
Ich bin kein Steuerberater, kann/darf hier also wieder nichts Definitives sagen. Aber:

- gekaufte Hardware muss i.d.R. über Jahre abgeschrieben werden, was Planungen gerade bei IT-Infrastruktur nicht einfacher macht
- das in Anspruch nehmen von Cloud-Ressourcen kann i.d.R. sofort abgesetzt werden

Persönliche Erfahrung
Ich bin der Meinung und hab die Erfahrung gemacht, dass die Leute, die gegen die Cloud sind, zu 95% nicht informiert sind.
Sie wissen nicht, was Cloud ist, wie die Cloud funktioniert und wie die Anbieter die verschiedenen Anforderungen - gerade in Sachen Datensicherheit und deren Zugriffe - umgesetzt haben.
Oft sind das dann Personen, die nach "so haben wir das immer schon gemacht"-Mythos leben und Angst vor Neuem haben.

Alles wird pauschalisiert, alles wird negativer gemacht, als es wirklich ist.
Dabei werden aber die Potentiale gar nicht beachtet; die eigenen Missstände - gerade beim Thema Daten-Zugriff - unter den Tisch gekehrt; "man vertraut ja".
Wie gesagt: meine Erfahrung.

- Es gibt Branchen, die wirklich sehr zurückhaltend sind, aber auch Branchen, die richtig scharf auf die Cloud sind.
- Es gibt Firmeninhaber, die völlig scharf drauf sind aber auch welche, die erst mal abwarten und sich Rat einholen wollen.
- Es gibt Inhaber, die aus Prinzip nicht wollen - und auch welche, die sich nicht mal informieren wollen.

Habe ein ehrliches Feedback eines IT-lers bekommen, der mir direkt gesagt hat: ich bin gegen die Cloud, weil ich Angst um meinen Arbeitsplatz hab.
Verständliche Aussage - erstmal - aber auch mit der Cloud braucht man Personal. Aber man muss sich auch Fortbilden wollen.
Es gibt keinen Job mehr, bei dem man sich nicht weiterentwickeln muss. Egal ob Pfarrer, Bäcker, Friseur - und eben ganz besonders die schnelle IT-Branche muss sich weiterbilden.

- Ja, man sollte sich der Cloud befassen
- Ja, man sollte nicht Blind in die Cloud gehen
- Ja, manche sollten es auch langsamer angehen

Man darf kritisch sein - das ist bei allem so - typische Pauschalisierungen und Stigmatisierungen "Cloud ist unsicher", "Die verkaufen unsere Daten" - unangebracht und outet einen - meiner Meinung - als Laien.

Was viele, vor allem IT-ferne gar nicht wissen: sie sind längst in der Cloud.
Sie wissen / merken es nur nicht. Sie nehmen Dienstleistungen wie E-Mail und Co in Anspruch, die oft auf Cloud-Plattformen betrieben werden.

Der Schlüssel für die Cloud ist das Vertrauen; technisch im Hinblick auf Grundlegendes gibt es nicht sooo viele Unterschiede. Aber es gibt viel Potential!
Vertrauen und Gefühl ist auch das, was ich persönlich am ehesten gelten lasse, wenn jemand - erstmal - gegen die Cloud ist.
Beides macht verdammt viel aus.

Ich hab z.B. Kunden gehabt, die in Deutschland das Wort "Cloud" nicht in den Mund genommen haben, da sie Angst hatten, dadurch Marktanteile zu verlieren oder beim Kunde nicht (mehr) akzeptiert zu werden.
Gleichzeitig waren sie aber auf anderen Märkten - z.B. USA, Skandinavien - auf denen sie aktiv mit "Cloud" geworben haben, um den modernen Standpunkt der Firma zu verdeutlichen.
Technisch gesehen sind aber alle Märkte in der Cloud.
Kann die Argumentation aber nachvollziehen, vertrete sie auch mit - aber man hat auch Beratungsverantwortung und muss dem Kunde manchmal auch die Angst nehmen.

Azure ist keine Plattform, in der ihr alles selbst vollständig überblicken könnt. Azure ist riesig!
Für gewisse Themen wie Security braucht ihr - wie beim eigenen Hosting - einfach Profis, die wissen, wie man IT-Systeme härtet und konfiguriert. Darauf haben sich auch Unternehmen spezialisiert, mit denen z.B. Microsoft dann als Partner auch auftritt.
Falls Bedarf an solch einer professionellen, partnerschaftlichen Unterstützung existiert, dann kann ich vermitteln. Einfach via PN melden.
Oder eben auch einen Fachanwalt, der die rechtlichen Aspekte klären bzw. euch einfach auch beraten kann. Das kann ich als Entwickler hier einfach nicht.

Ich persönlich hab die Befürchtung, dass Deutschland einen Trend verpennt und Potentiale übersieht.
Kein anderes Land kann so sehr von der Digitalisierung profitieren wie Deutschland - denke ich. Automobilbranche, Maschinenbau, Ingenieurswesen.
Das sind alles Themen, mit denen man - verbunden mit Digitalisierung rund um IoT, Cloud, Digitaler Revolution - vieles verändern und dabei riesige Kundengruppen erschließen kann.

Und ich befürchte, wenn Hersteller und Branchen weiter einzelne Dinge verpennen und z.B. andere Firmen einfach mal machen (wie z.B. Tesla), dann sieht die Zukunft für manche wohl relativ düster aus.
Es muss nicht jeder in die Cloud - gewiss nicht. Niemand wird gezwungen.
Aber man sollte sich mal ein paar Tage hinsetzen und schauen: können wir durch die Potentiale nicht Dinge erreichen und umsetzen, die sonst nie denkbar gewesen wären?

Nachteile der Cloud
Es gibt gewiss ein paar Nachteile, z.B. wenn man Kunden hat, die Cloud nicht akzeptieren - warum auch immer. Meist eigentlich nur wegen dem Wort "Cloud".
Da sehe ich euch Entwickler und Co dann aber auch in der Beratungspflicht den Kunden aufzuklären; ihn an die Cloud heran zu führen und evtl. auch die Angst zu nehmen.
Der Kunde wird das nicht alleine können. Nur: wenn selbst der Dienstleister Angst vor der Cloud hat, weil er sich nicht damit beschäftigt und sie nicht handhaben kann: wie soll dann der Kunde vertrauen?

Die Nachteile selbst, wenn man sie so nennen mag, sehe ich eher als typischem Inhouse vs. Outsourcing; nicht wirklich Cloud-spezifisch.
Wie im Eingang erklärt ist das ja auch nicht völlig anders und hat ähnliche Aspekte zum allgemeinen Outsourcen.

Je mehr Managed Services - also SaaS Produkte - ihr in Anspruch nehmt, desto abhängiger werdet ihr. Muss man einfach abwägen.
Ich würde auf alle Fälle evaluieren, ob ich zumindest die wichtigen Daten einer SaaS-Anwendung für eine potentielle Migration auf ein anderes System so ohne weiteres (zur Not durch ein eigenes Script) exportieren kann.
Zu sehr von einer SaaS Anwendung würde ich mich dann auch nicht machen.

Andere Dienste, wie z.B. die DocumentDB, gibt es nur in der Azure Public Cloud, aber nicht OnPremise oder in der Azure Private Cloud (Azure Stack).
Muss man eben beachten. Ist jetzt auch nicht wirklich was gegen Cloud sondern halt die allgemeine Abhängigkeit.
Das ist jetzt weniger ein Problem für Firmen, die das produktiv einsetzen und weiterentwickeln. Für uns als Forenbetreiber wäre das aber ein Problem.
Wir Administratoren hier machen alles in der Freizeit und können nie garantieren, wie viel Zeit (von unserer Freizeit) wir ins Forum stecken können / wollen.
Wenn wir aber mit einer Abkündigung konfrontiert wären, dann wäre das durchaus ein Problem, das sich in einer Firma einfacher lösen ließe.
Wir hampeln hier immer noch auf einer PHP-Lösung, weil wir nicht die Zeit finden, zu migrieren (wobei eigentlich nur die Datenübernahme das Problem ist).

Bei Microsoft ist das z.B. so, dass Azure Dienste auf anderen Azure Diensten basieren bzw. aufbauen und dahingehend Abhängigkeiten haben, z.B. Service Bus.
Auf der Azure Tour in Frankfurt wurde von einem Verantwortlichen eines Azure Dienst gesagt, dass
Änderungen am System (im Sinne eines Services), die ein Breaking Change bedeuten, mindestens 1 Jahr im Voraus angekündigt werden müssen.
So können andere Azure Teams aber natürlich auch die Kunden mit Änderungen planen.

Die Kosten durch Flexibilität müssen nicht immer ein Vorteil für die Cloud sein, sie können auch ein Nachteil sein.
Ich habe einen Kunden, der einen einzigen Server mietet. Core i7, 32GB RAM, 2 TB Plattenplatz. Kostet ihn 60€ im Monat.
Er braucht keine garantierte Verfügbarkeit; er hat nur ein paar Demoanwendungen (32 Bit, Desktopanwendung) dort laufen. Er braucht aber eine VM.
In Azure würde ihn eine ähnliche Rechenkapazität (A6) fast 500€ im Monat kosten, wenn er die VM im Dauerbetrieb hat.

Das ist so ein Fall, bei dem ich zuerst fragen würde:
- muss die VM dauernd laufen, oder willst Du sie nicht einfach ausschalten, wenn Du sie nicht brauchst?

60€ würden 104 Stunden Betrieb der A6 VM Größe bedeuten, auf die er - zumindest aktiv - nie kommt (meint er). Kann sein, dass er etwas startet und dann erst 2 Tage später wieder drauf schaut, obwohl es längst fertig ist.
Ihm war es aber lieber, dass er seine Fixkosten im Monat hat, sich nicht ums Starten und Stoppen kümmern muss. Fertig. Den Mehrwert durch Redundanz und Co braucht er nicht.
Kann ich voll nachvollziehen und hier ist der wirtschaftlich vernünftigere Weg halt das Hosting bei einem anderen Anbieter statt einer VM in der Cloud.

Cloud zahlt man halt, was man braucht / bestellt / nutzt. Und ja, manche Ressourcen auf verschiedenen Plattformen empfinde ich persönlich als teuer. Manche auch als zu teuer; vor allem, wenn man vom Mehrwert nicht profitiert.
Gibt eben Kunden und Projekte, da passt das perfekt rein oder eben Kunden, da kann das - rein finanziell gesehen, wenn sie den Mehrwert nicht haben - ein Nachteil sein.
Mein Kunde hat bei dieser Sache keine Wachstumsfaktoren und benötigt auch keine Redundanz, die andere aber sehr wohl haben.
Wenn sein dedizierter Server ein Problem hat, dann hat er halt 0 Rückhalt. Würde in der Cloud nicht passieren.
Geht aber was kaputt, was tendenziell nicht oft vorkommt, dann beauftragt er mich eben ein paar Stunden, was unterm Strich immer noch günstiger ist.
Ich weiß auch, dass hier im Forum jemand seine Plattform zunächst auf Azure hatte; jedoch aus Kostengründen von Azure wieder weg gegangen ist. Dafür muss er sich nun um die IT Infrastruktur selbst kümmern.
Evtl. liest er dies hier und möchte ein paar Worte verlieren.

Wie bewerte ich die Cloud (richtig)? Welche Cloud ist die richtige?
Jede (misstrauische) Frage, die ihr an die Cloud stellt, solltet ihr euch auch selbst stellen - und ehrlich, realistisch sowie defensiv bewerten.
Mag sein, dass euer Admin euer bester Freund ist, den ihr seit 30 Jahren kennt und ihr der Trauzeuge seiner Ehe seid; aber beachtet z.B. beim Kundendatenzugriff potentielle 4-Augen-Prinzipien.
Es geht hier schließlich auch um Argumente gegenüber Kunden und es hinkt jeder Vergleich!

Neben der reinen Migration:
Überlegt euch, was für potentiale durch entsprechende Cloud-Dienste und Cloud-Technologien für euch, eure Kunden und eure Software möglich wären.
Durch das Abrechnungsmodell der Cloud (Bezahlung nach Nutzung) könntet ihr schließlich ähnliche Modelle an eure Kunden weitergeben und es wären Features finanzierbar, bei denen viele Kunden bei einer herkömmlichen Lizenzierung (Jahr/Version) eher nein sagen würden.

Persönlich - wenn ihr vor habt ernst und professionell die Cloud als Potential zu betrachten und zu evaluieren - empfehle ich euch Rat von Profis, z.B. entsprechend breit aufgestellte Consultants einholen solltet.
Die schubsen euch in die richtige Richtung und helfen euch selbst Fuß zu fassen.

Die ersten Schritte, um einfach mal eine VM aufzusetzen und zu schauen, wie (einfach) das so ist: dafür geben die entsprechenden Plattformen Kontingente frei.
z.B. Azure mit 170 EUR, Google Cloud mit 300 USD und bei AWS basiert das Kennenlernen auf verschiedenen, zeitlich regulierten Kontingenten (z.B. 750h eine VM der Größe EC2).

Welche Plattform an Ende für euch die richtige ist: das müsst ihr evaluieren.
Ich kenne eure Anforderungen nicht :-)

Zur Größe stößt man immer wieder auf unterschiedliche Zahlen; je nachdem, ob man nach der Anzahl der Features, Anzahl der Kunden, Rechenpower, Speichermenge, Anzahl Locations oder den Umsatz geht.
Persönlich habe ich ein hohes Vertrauen in Microsoft, einfach auch durch die engen Kontakte zu MS und eben, weil ich ein Entwickler bin, der sich intensiv mit Microsoft-Technologien beschäftigt.
Zudem gehört Azure bei Microsoft mittlerweile zum Kerngeschäft.
Andere haben aber eher ein Vertrauen in Amazon oder Google. Das will ich an dieser Stelle dann auch gar nicht weiter bewerten.

======
SaaS Dienste von Microsoft

Ich hab einige PNs bekommen, die SaaS-Dienste von Microsoft betreffen, zu denen ich ein paar Worte verlieren will.
Sind aber auch wiederum Fragen, die eigentlich weniger die Produkte, eher wieder die Daten betreffen.

Visual Studio Team Services (ehemals Visual Studio Online)
VSTS ist ein typisches Beispiel eines SaaS Produkts.
Ihr wollt in diesem Fall nur ein System zum Führen von Quellcode; euch aber nicht um den TFS oder eine andere Basis administrativ kümmern - völlig legitim.

Ich verstehe hier (die Angst oder vielleicht besser gesagt) die Bedenken, dass das Gold der Firma aus der Hand gegeben wird.
Besonders mit eher konservativen Personen hab ich dann oft Diskussionen, die sich argumentativ darauf beziehen, dass "der PC des Chefs unterm Schreibtisch im Büro" viel sicherer sei als die Cloud.
Liegt auf der Hand, dass allein der physische Zugriff das System viel unsicherer macht; oft dann mit der Sturheit der Person nicht so einfach zu besprechen.

Bezüglich des Kunden gibt es oft das prinzipielle Nein, da sich die Daten/Quellcode dann womöglich in den USA befinden.
Das war am Anfang von VSO wirklich auch ein KO-Kriterium für viele, da nur die USA als Standort für VSTS/VSO zur Auswahl gab.
Mittlerweile ist VSTS gereift und andere Standort - wie eben die EU - stehen bereit. Dahingehend öffnen sich auch meiner Erfahrung nach die Kunden Richtung VSTS.

Nun ist die Aufgabe des Entwicklers/des Vertrieblers auch den Kunden zu beraten.
Vertraut euch der Kunde, vertraut er mit euch auch den Weg in die Cloud - auch für Quellcodes.

Lest dazu einfach das VSO Security Whitepaper, das viel mehr und in den Worten von Microsoft aussagen kann, als ich es je könntehttps://www.visualstudio.com/en-us/articles/vso-security-whitepaper

Jeff Beehler, bei Microsoft für die Security von VSTS/VSO verantwortlich, hat dazu auf der TechEd von 2 Jahren auch folgende Präsentation gezeigt:http://video.ch9.ms/sessions/teched/eu/2014/DEV-B214.pptx
Weiß nicht, wie aktuell das noch ist - unsicherer wurde das ganze jedenfalls sicherlich nicht.

Er spricht hierin von den verschiedenen, allgemeinen Gefahren (Cross Access, Data Loss, Falsche Bedienung, etc. etc...) sowie der allgemeinen Sicherheit.
Wenn ich mich richtig entsinne, dann gibt es dazu auch irgendwo ein Video (das ich gerade nicht finde).

Office 365
In diesem Feld bin ich auch nur Anwender; sowohl privat (hier zwar als Admin, aber nur 2 Postfächer: Frau und ich) oder geschäftlich als normaler Nutzer.
Bei Office 365 gibt es aber ein paar Fakten, die ich mir damals selbst zusammen gesucht hab (ich geh davon aus, dass diese noch aktuell sind):

- E-Mails werden anders als bei anderen Providern nicht vermarktet (z.B. für eingeblendete Werbung) (ja, bei OnPremise Server habt ihr das auch nicht)
- Die physikalische Speicherung erfolgt vollständig verschlüsselt (BitLocker), alle Transfers sind verschlüsselt (SSL)
- Die Region von Office 365 ist bekannt (z.B. auch im Zuge von Azure Made in Germany in Deutschland), CRM und Office 365 Rechenzentren gibt es aber z.B. in Europa zusätzlich in Österreich und Finnland (https://www.microsoft.com/online/legal/v2/de-de/MOS_PTC_Geo_Boundaries.htm)
- Genauer Ort der Server ist unbekannt (und auch gut so)

Möglichkeiten mit Microsoft Azure
Durch die PN-Fragen wie „wir machen X. Wie würde man sowas in Azure machen?“ möchte ich ein paar Azure Features erwähnen.
Prinzipiell führen aber immer mehrere Wege nach Rom.

Azure Batch
Azure Batch ist ein Cloud Dienst, der dafür ausgelegt ist kleinere Arbeitspakete, die sich skalieren lassen, auf hunderten oder tausenden virtuelle Maschinen zu verteilen und zu berechnen.

Das kann zum Beispiel ein Ordner voller Fotos sein, die man mit Wasserzeichen versehen möchte. Jedes Bild ist dabei ein Auftrag / Arbeitspaket.

Jemand hier im Forum verwendet Azure Batch für die Berechnung von Wassermengen bei starken Regenfällen in Kanalisationen.
Vielleicht liest er das hier und verliert ein paar Worte.

Scott Hanselman und Mark Scurell haben im Rahmen von Azure Friday hierzu – wie zu fast allen Azure Produkten – auch ein entsprechendes Video erstellt.
Introduction to Azure Batch with Mark Scurrell

Azure Cognitive Services
Mit Hilfe der Cognitive Services könnt ihr eure Anwendung verstehen lassen, was der Benutzer will.
Wie auf der Build 2016 gezeigt umfassen diese Services die Interaktion mit Menschen via Sprache, Gesichts- und Gefühlserkennung – was ihr eben z.B. von Cortana oder Siri in gewisser Weise kennt.
Mit dem riesen Unterschied, dass ihr plötzlich auf Funktionalitäten zugreifen und mit 20 Zeilen Code in eurer Anwendung nutzen könnt.

Azure IoT
Azure IoT ist ein zentraler Service in der Cloud, mit denen sich eure Future Devices verbinden und die Telemetrie-Daten hochladen können. Also typisch zB. Irgendwelche Wetterinformationen, euer Smart Device, euer Auto, Sensoren.. was auch immer Daten erzeugen kann. IoT eben.
Azure übernimmt für euch die volle Skalierung der Systeme und über verknüpfte Dienste wie Azure Stream Analytics könnt ihr in Echtzeit die Daten auswerten und darauf reagieren.
IoT wird leider noch oft belächelt; dabei ist es die Zukunft.
Technisch gesehen ist IoT der Schlüssel zu einer besseren Infrastruktur, z.B. der dynamischen Leitung von Verkehrsmitteln um Stau zu vermeiden.
Das hört sich jetzt erst mal lapidar an, aber wenn man bedenkt, wie viel wirtschaftliches Potential durch Stau verloren geht (Spritverkauf, Zeitverlust) ist das mit das wichtigste IoT Projekt unserer Zeit.
Dafür brauch man aber Leistung die Daten zu sammeln und zu analysieren. Ohne Hyperscale Systeme? Undenkbar.
Azure Tools
Weshalb für mich als Entwickler Azure die beste Plattform ist: dazu erbringen auch die Tools ihren Beitrag.
Ihr könnt in Azure Remote Debuggen, ihr seht in Visual Studio durch den Cloud Explorer alle Services, könnt direkt von Visual Studio auf eure Azure Dienste Deployen.

Informationsevents
Es gibt immer wieder Events (Webcasts, Videos, Live-Events) von Microsoft, die auf die Themen, die euch hier bewegen, eingehen.
Zum Beispiel findet am 1. Juni in der Microsoft Niederlassung Stuttgart ein Event "Modern Workplace: Discover all about security and the New Office 365"(https://msevents.microsoft.com/cui/EventDetail.aspx?culture=de-DE&EventID=1032766862&IO=eGQVM3vhX17bnlqd9iWhzQ%3d%3d) statt.
Hier finden sich dann auch Themen, die ich hier genannt hab, z.B. die Microsoft Customer Lockbox.

Was sich enorm lohnt, um bei Azure in wenig die technischen Hintergründe zu erlangen und auf dem Laufenden zu bleiben ist der Azure Friday.
Jeden Freitag wird hier ein Azure Produkt vorgestellt, Ändernungen und Verbesserungen genannt.
Zudem auch ein wenig Best Practise gezeigt und für welche Art von Verwendung der jeweilige Dienst eben besonders gedacht ist.

==================================================================================================
Wenn jemand noch etwas zu den Themen beitragen kann, z.B. Links oder Verweise, die fehlen oder ich nicht gefunden hab: immer her damit!
Ist was falsch? Bitte melden.
private Nachricht | Beiträge des Benutzers
bredator
myCSharp.de - Member



Dabei seit:
Beiträge: 368

beantworten | zitieren | melden

Ich bin etwas sprachlos :D Danke dir massivst für deine Mühe, das mal alles sauber und ordentlich zusammenzufassen. Ich weiß zwar nicht, ob ich damit unsere Dauerskeptiker überzeugen kann, aber was auf jeden Fall geht, ist, einigen bisher eher Ahnungslosen (zum Teil auch mich selbst eingeschlossen) ordentliche Infos in die Hand zu geben.
private Nachricht | Beiträge des Benutzers
LaTino
myCSharp.de - Experte

Avatar #avatar-4122.png


Dabei seit:
Beiträge: 3062
Herkunft: Thüringen

beantworten | zitieren | melden

Was würdest du folgender Argumentation entgegnen:

Daten in der Cloud zu speichern - ich bleibe mal im Berecht Geschäftsdaten, ob Max Mustermann jetzt seine Fotos in Omas DropBox schiebt, ist mir an sich egal - legt auf der einen Seite die Frage der Datensicherheit in die Hände der Cloudanbieter. Die wahrscheinlich in der überwiegenden Zahl der Fälle darin kompetenter sind als das typische Mittelstandsunternehmen von nebenan.

Aber ich halte es für eine fahrlässige Täuschung, wenn man davon ausgeht, dass dadurch die Daten sicherer werden. Es ist eben NICHT so, dass der lokale Angriffsvektor wegfällt. Der böswillige Mitarbeiter kann immer noch Daten aus der Firma schleppen. Tatsächlich kann er das sogar, ohne überhaupt die (physische) Security der Firma überwinden zu müssen, bequem von zu Hause aus.

Statt diesen Angriffsvektor zu eliminieren, führt man also einen zusätzlichen ein - und sei die Chance, dass Azure oder AWS einem Hack zum Opfer fällt, noch so klein. Es ist und bleibt eine zusätzliche Angriffsfläche, und damit ist die Gesamtsituation im Thema Sicherheit schlechter als ohne Cloud. Und das gilt nicht nur für die Sicherheit der Daten, sondern auch für deren Verfügbarkeit. Denn die wird sogar NOCH schlechter, weil die Internetverbindung als zusätzliches Ausfallrisiko dazukommt.

Anders ausgedrückt: egal, wie unsicher die Daten inhouse sind - die Situation kann nicht dadurch besser werden, dass man die Daten nicht mehr inhouse lagert. Wenn die Daten inhouse unsicher sind, muss man inhouse eine Verbesserung suchen, aber nicht die Cloud als magic bullet interpretieren.

Der Zugriff auf die Daten muss nach wie vor erfolgen können. Wenn ich darauf zugreifen kann, dann ist mir egal, wo die Daten lagern. Da von mehr Sicherheit zu reden, halte ich für Augenwischerei (und auch das Argument von dem festplattenraustragenden Admin greift nicht. Jeder mit dem entsprechenden Zugriff kann das noch ganz genauso.)

Andere Aspekte wie Finanzierung, Skalierbarkeit, etc. pp. - keine Frage. Natürlich sind das wichtige Punkte, die _für_ die Cloud sprechen. Aber es gibt eben auch Argumente dagegen, und die kann man nicht damit entkräften, dass man darauf hinweist, dass die Situation inhouse viel schlechter ist. Durch die Cloud wird sie dort nicht automatisch besser.

LaTino
"Furlow, is it always about money?"
"Is there anything else? I mean, how much sex can you have?"
"Don't know. I haven't maxed out yet."
(Furlow & Crichton, Farscape)
private Nachricht | Beiträge des Benutzers
Abt
myCSharp.de - Team

Avatar #avatar-4119.png


Dabei seit:
Beiträge: 15671
Herkunft: BW

Themenstarter:

beantworten | zitieren | melden

Du gibst Dir die Antwort drauf selbst. Es liegt am Gesamtkonzept.
Cloud vs Hosting gibt es gar keine Unterschiede. Auch Housing ist prinzipiell nicht anders.

Cloud vs. eigenes RZ hast Du andere Verhaeltnisse, und da hinkt Dein Vergleich ein wenig finde ich.
In beiden Welten kannst Du granular Rechte vergeben. Bei der Cloud hast Du die zusaetzliche Ebene in Form von der von Dir prinzipiell vorgeworfenem Fremdzugriff (der protokolliert und vertraglich ausgeschlossen wird) vs. lokalen Zugriff der nicht protokolliert wird.

Die Sache, dass jemand nicht von Zuhause zugreifen kann bzw. der Unterbindung dessen durch Federation, habe ich im Text erklaert.

Und da der Faktor Mitarbeiter/Mensch fuer mich persoenlich das hoehere Risiko ist, ist unprotokollierter, uneingeschraenkter Zugriff ohne zweite Person fuer mich persoenlich der groessere Angriffsfaktor.
Du gewichtest den Faktor Mitarbeiter offensichtlich anders, was das Thema Vertrauen betrifft, das nicht messbar ist.
Das hab ich im Text angesprochen und wird leider von den meisten (etwas, finde ich, blauaeugig) behandelt.

Die meisten und - erschreckender weise - erfolgsreichsten Hacks / Leaks erfolgen von intern.

Der Vorwurf, die Cloud ist pauschal unsicherer, lass ich nicht gelten.
private Nachricht | Beiträge des Benutzers
trib
myCSharp.de - Member



Dabei seit:
Beiträge: 690

beantworten | zitieren | melden

@bredator: Warum muss man auch alle Skeptiker überzeugen? Es sagt ja niemand dass die Cloud ein Allerheilmittel ist und jedem dient.
Wie Du schon korrekt schreibst, die Informationen und die Transparenz sind die Dinge, die man benötigt um sich selbst davon ein Bild zu machen.

@LaTino: Bisher ist der Angreifer im eigenen Haus immer noch die größte Bedrohung, das unterschreibe ich Dir sofort.
Man kann aber festlegen welche IP´s auf eine System kommen und welche nicht. Also eine Beschränkung auf "Inhouse" ist durchaus möglich.
Das "Keine Internetverbindung"-Argument ordne ich mal in die Top3 ;-)
Wenn wir im Unternehmen kein Internet haben, bringt es auch nix mehr lokal die ERP zur Verfügung zu haben. Keine Mails, keine Kundenzugriffe, kein VoIP, usw. Es kann (so gut wie) niemand mehr weiterarbeiten.
Dann holt man A) sein Handy aus der Tasche und macht einen Hotspot auf oder B) fährt in HomeOffice.
Machbar ist das schon alles!

Gegenbeispiel Stromausfall: Alle Server fahren herunter nachdem die ISV aufgibt. Dann hilft auch kein HomeOffice, Hotspot, Smartphone-Mailclient oder sonst was.

@Topic: Finde die Azure-Dienste super und nutze sie oft um, wie Abt es toll dargestellt hat, "mal eben" ein System aufzusetzen. Schnell eine SQL-Kiste ertellen, ServiceBus bauen, Daten einspielen und eine C#-Synchronisation testen. Anschließend kann ich dem Kunden eine Aussage über Aufwand, Performance und Kosten geben, ohne dass mich das selbst was gekostet hätte (im VS Abbonement) oder ich irgendwas manuell installieren musste.

Viele sind mit dem Exchange schon auf O365 umgezogen, da ist es nur noch ein logischer Schritt weitere SaaS-Angebote wahrzunehmen.

Dennoch gibt es einige Dinge, denen ich skeptisch gegenüberstehe. Es wird schlicht und ergreifend eine Abhängigkeit geschaffen. Dann kann der Anbieter künftig machen und verlangen was er möchte.
Wer weiß wie es mit Win10 weitergeht. Es kommen Features hinzu, es verschwinden welche. Darüber habe ich keine Kontrolle mehr.
Da war mit OnPremise schon eine gewisse Sicherheit da, dass ein aufgesetztes System jahrelang so weiter funktioniert. Was auch gleichzeitig oft ein Problem darstellt (Siehe Verwendung von XP in Geldautomaten, usw.) :D

Pro: Stetiger Wandel (Das Leben eines IT-lers)
Contra: Abgabe der Herrschaft über ein System.

Daher entscheide ich das je Anwendungsfall, stehe dem ganzen aber grundsätzlich positiv gegenüber. Je mehr Auswahl der Technologien, je besser für uns :)
private Nachricht | Beiträge des Benutzers
Khalid
myCSharp.de - Experte

Avatar #avatar-2534.gif


Dabei seit:
Beiträge: 3627
Herkunft: Hannover

beantworten | zitieren | melden

Moin,

danke für den wirklich ausführlichen Artikel. Top Arbeit. Respekt.

Gruß
Khalid
"Jedes Ding hat drei Seiten, eine positive, eine negative und eine komische." (Karl Valentin)
private Nachricht | Beiträge des Benutzers
UncleBens
myCSharp.de - Member



Dabei seit:
Beiträge: 138

beantworten | zitieren | melden

Zitat von Abt
Cloud Diskussion
Besonderheit Microsoft
Microsoft hat (jedenfalls ist das in meinen Augen so) einen juristischen Trick angewandt.

Microsoft hat zwischen sich und dem Kunden für "Azure Made in Germany" einen Datentreuhänder (die deutsche Telekom, genauer die Tochter t.Systems International GmbH geschaltet). Das Prinzip nennt sich Data Trustee.

Der Data Trustee überwacht und kontrolliert aus Deutschland heraus die beiden deutschen RZs in Frankfurt/Main und Magdeburg. Die beiden Betreiber sind (zumindest mir namentlich) noch nicht bekannt. Aber über Google/Bing findet man schon erste Namen.

Microsoft - und vor allem deren Mitarbeiter - haben ohne den Datentreuhänder, den Betreiber der Gebäude und den Kunden keinen Zugang zu den Daten. Ihr bestimmt z.B. über Customer LockBox wer wann und wo auf was Zugriff hat und wie lange. Der Datentreuhänder ist eh immer dabei und kann jede Verbindung trennen.

Weil Du von "blauäugig" sprachst: diese Aussage halte nun ich für blauäugig ;-)
Dass die Daten in einem von einem deutschen Unternehmen betriebenen Rechenzentrum liegen, bringt Dir exakt gar nichts, solange die dort eingesetzte Software von einem US-Unternehmen stammt. Und dieses Unternehmen von seiner Regierung gezwungen werden kann, eine entsprechende Backdoor einzubauen, deren Nicht-Existenz aufgrund von Closed Source nicht ausgeschlossen werden kann.
Das hat auch nichts mit Verschwörungstheorien oder Stammtisch-Geschwafel zu tun... dass die US-Regierung entsprechend Druck auf US-Unternehmen ausübt, ist seit Snowden nicht zu leugnen. Und Microsoft hat sich da leider eher in Richtung "vorauseilender Gehorsam" verhalten, als sich dagegen zu wehren, weshalb es schwerfällt, hier an einen plötzlichen Sinneswandel zu glauben.

Versteh mich nicht falsch: ich nutze selbst Azure und Office 365 Dienste - u.a. wegen einiger von Dir aufgezählten, durchaus vorhandenen Benefits.
Mir ist aber auch egal, ob das in Deutschland gehostet wird oder nicht: es ist nämlich völlig irrelevant. Denn dieses Risiko gilt natürlich nicht nur für die Cloud oder Microsoft, sondern grundsätzlich für jeglichen Einsatz einer ClosedSource-Software eines US-Unternehmens, auch bei Housing/Hosting.
Entweder ich kann damit leben, dass die NSA Zugriff auf meine Daten hat oder eben nicht. Für mich gilt ersteres.

Könnte ich das allerdings nicht, könnte ich das genauso wenig bei "Azure Made in Germany". Das aus o.g. Gründen letztlich nicht mehr als ein Marketing-Gag ist. Augenwischerei, um Skeptiker mit einem "hey alles gut, ist doch im sicheren™ Deutschland" zu beruhigen ;-)
private Nachricht | Beiträge des Benutzers
Abt
myCSharp.de - Team

Avatar #avatar-4119.png


Dabei seit:
Beiträge: 15671
Herkunft: BW

Themenstarter:

beantworten | zitieren | melden

Okay. Dann ist Deine Argumentation also auch diese, dass jedes Unternehmen mit Microsoft Software in Deutschland potentiell den Datenschutz verletzt, weil die Herstellerfirma Backdoors zB. in Excel einbauen kann?
Wie siehts mit SAP aus? Deutsches Unternehmen aber weltweit enorm wichtig.
Bauen die jetzt Backdoors ein weil die US Regierung ansonsten den Vertrieb in den USA verbietet?

Sorry, dass ist genau die Verschwörungstheorie, auch wenn Du es verneinst, die unangebracht ist.
Hast Du auch nur einen einzigen stichhaltigen Beweis für eine Backdoor oder basiert das auf dem 500 Jahre alten Mythos, der auch Windows verfolgt und bis heute nicht nachgewiesen wurde?
Am Schluss eben der Faktor Vertrauen, den ich genannt hab.

Auch, dass Du explizit US Unternehmen nennst statt allgemein Closed Source zu bemängeln, ist nichts anderes als Bashing.
Ist jetzt Closed Source in Deiner Argumentationskette besser oder vertrauenswürdiger, nur weil sie aus Deutschland stammt? Oder Israel? China? Russland? Alles Nationen mit sehr guten Entwicklern.
Sorry: hinkt vorne und hinten. Oder willst Du diese Pauschalisierung fundiert begründen?

Zudem wird Microsoft Code (zB. Windows) auditiert, zB. von Unternehmen die zB. für die EU dann den Quellcode analysieren. Wurde IIRC auch von der Regierung in Russland verlangt und durchgeführt.
private Nachricht | Beiträge des Benutzers
UncleBens
myCSharp.de - Member



Dabei seit:
Beiträge: 138

beantworten | zitieren | melden

Zitat von Abt
Okay. Dann ist Deine Argumentation also auch diese, dass jedes Unternehmen mit Microsoft Software in Deutschland potentiell den Datenschutz verletzt, weil die Herstellerfirma Backdoors zB. in Excel einbauen kann?

Nein. Wo habe ich das geschrieben?
Zitat von Abt
Wie siehts mit SAP aus? Deutsches Unternehmen aber weltweit enorm wichtig.
Bauen die jetzt Backdoors ein weil die US Regierung ansonsten den Vertrieb in den USA verbietet?

Sorry, dass ist genau die Verschwörungstheorie, auch wenn Du es verneinst, die unangebracht ist.

Sorry, das ist eine Verschwörungstheorie, die Du unterstellst und die ich nicht geschrieben habe. =)
Zitat von Abt
Hast Du auch nur einen einzigen stichhaltigen Beweis für eine Backdoor oder basiert das auf dem 500 Jahre alten Mythos, der auch Windows verfolgt und bis heute nicht nachgewiesen wurde?

Nein, das basiert auf dem "3 Jahre alten Mythos" namens Snowden-Enthüllung.
Oder möchtest Du diese als Verschwörungstheorie abtun? Falls ja, ist eine Diskussion wohl in der Tat sinnlos.
Zitat von Abt
Auch, dass Du explizit US Unternehmen nennst statt allgemein Closed Source zu bemängeln, ist nichts anderes als Bashing.
Ist jetzt Closed Source in Deiner Argumentationskette besser oder vertrauenswürdiger, nur weil sie aus Deutschland stammt?

Nein, natürlich ist Closed Source nicht vertrauenswürdiger, nur weil sie aus Deutschland stammt. Und das Risiko "Geheimdienst liest mit" hast Du natürlich in Deutschland genauso in Bezug auf den BND.
Ich habe deshalb ein US-Unternehmen und die NSA genannt, da es in meinem Posting um das Thema "Azure Made in Germany" ging - und Microsoft nun mal eines ist. Wenn jemand Wert auf "in Germany" legt, wird er wohl weniger ein Problem mit Closed Source, als mit ausländischem - in Microsofts Fall also US - Datenschutz haben?!

Nachdem Du mein Posting offensichtlich nicht verstanden hast und/oder ich micht nicht klar genug ausgedrückt habe, lass mich meine Kernaussage nochmal explizit formulieren: entweder man hat das Vertrauen oder nicht. Wenn nicht, ist völlig irrelevant, ob das Rechenzentrum in Deutschland oder in den USA steht, solange ein US-Unternehmen die Software dahinter baut. Da helfen auch Audits nicht, da niemand weiß, ob die auditierte Software dort eingesetzt wird. Bevor Du mir auch hier wieder ein Bashing unterstellen willst: das gilt selbstverständlich für jegliche Closed Source Software. Und auch hier gilt: entweder man hat Vertrauen, oder eben nicht. Und auch hier ist völlig irrelevant, ob diese Software in Deutschland betrieben wird, oder nicht.

Da ich, wie ich ja bereits schrieb, selbst Microsofts Cloud-Dienste nutze, habe ich offensichtlich dieses Vertrauen. Umso bemerklicher finde ich, wie Du ein Bashing in mein Posting interpretieren willst
private Nachricht | Beiträge des Benutzers
LaTino
myCSharp.de - Experte

Avatar #avatar-4122.png


Dabei seit:
Beiträge: 3062
Herkunft: Thüringen

beantworten | zitieren | melden

zum anderen Thema kommt noch was - sobald mein PC zu Hause ein neues Netzteil hat :(

Microsoft hat Juli-Dezember 2015 bei
- 4.026 staatlichen Anforderungen
- über 6.585 Benutzer
- in 83% der Fälle die angeforderten Daten geliefert.

Ich rede dabei von Anforderungen seitens der US-Regierung und von Daten deutscher Kunden. Bei solchen Anforderungen besteht keineswegs die Pflicht, den betroffenen Kunden zu informieren, und es wird auch nicht gemacht.

Dazu kommen Anforderungen per National Security Letters, die im Transparenzreport nicht auftauchen dürfen und über deren Anzahl man nur spekulieren kann.

Verschwörungstheorie? Mitnichten.

LaTino
"Furlow, is it always about money?"
"Is there anything else? I mean, how much sex can you have?"
"Don't know. I haven't maxed out yet."
(Furlow & Crichton, Farscape)
private Nachricht | Beiträge des Benutzers
Abt
myCSharp.de - Team

Avatar #avatar-4119.png


Dabei seit:
Beiträge: 15671
Herkunft: BW

Themenstarter:

beantworten | zitieren | melden

Quelle? Was für Daten? Was für Systeme?
Ohne das sind alle Zahlen wertlos und haben keine Aussagekraft.
Dann wäre es wieder nur eine Pauschalisierung und könnte zB. OneDrive einbeziehen, das mit Sicherheit eine hohe Quote hat - wie Dropbox auch, zB. wegen Urheberrecht.
private Nachricht | Beiträge des Benutzers
LaTino
myCSharp.de - Experte

Avatar #avatar-4122.png


Dabei seit:
Beiträge: 3062
Herkunft: Thüringen

beantworten | zitieren | melden

Tja, tut mir leid, der Transparenzreport von Microsoft selbst ist leider nicht transparenter. Ich würde mir auch genauere Daten wünschen. Aber man ist davon abhängig, was der Cloud-Anbieter einem sagt, und hat auch keine rechtliche Handhabe für mehr Informationen.

Das ist genau der springende Punkt.

Achso, Quelle: Microsoft selbst

LaTino
Dieser Beitrag wurde 1 mal editiert, zum letzten Mal von LaTino am .
"Furlow, is it always about money?"
"Is there anything else? I mean, how much sex can you have?"
"Don't know. I haven't maxed out yet."
(Furlow & Crichton, Farscape)
private Nachricht | Beiträge des Benutzers
Abt
myCSharp.de - Team

Avatar #avatar-4119.png


Dabei seit:
Beiträge: 15671
Herkunft: BW

Themenstarter:

beantworten | zitieren | melden

Gut, dann hinkt das wieder völlig. Das hätteste halt auch erwähnen können und erwarte ich auch. So hört sich das so an, dass Du es auf die Cloud beziehst, weil wir hier im Cloud Thema sind und es damit in den Kontext stellst.
Deswegen hab ich das im Eingangsthema so betont. Das ist nicht der Sinn dieses Threads.
Das, was Du hier dann einwirfst, ist alles andere als hilfreich - weder pro noch contra.
Ohne Hintergrund grenzt das an eine Stigmatisierung und trotzt dann mit "Tja". Ist das hilfreich, für irgendwen?

MS ist ein globales Unternehmen mit ner Menge Services und Produkten.
Ohne Kontext hören sich jetzt 4600 viel an - mit Kontext von Millionen Kunden halt nicht. Ohne Servicenennung sowieso nicht.

Da sehe ich Dich bei der Aufstellung solcher Zahlen in der Pflicht, auch andere Zahlen hier zu präsentieren, zB. Facebook.
Ansonsten ist das nichts anderes als Bullshit-Bingo und mit Zahlen um sich geworfen.
private Nachricht | Beiträge des Benutzers
LaTino
myCSharp.de - Experte

Avatar #avatar-4122.png


Dabei seit:
Beiträge: 3062
Herkunft: Thüringen

beantworten | zitieren | melden

Äh, entschuldige bitte, aber was ist das denn für ein Argument?

Weil Microsoft in seinem Transparenzreport nicht nach Services aufschlüsselt, darf man die Zahlen NICHT verwenden, um darzulegen, dass Microsoft Daten seiner Kunden ohne deren Wissen an staatliche Stellen weitergibt?

Das heisst die Tatsache, DASS sie es tun, bringt mich in die Pflicht, das für andere Anbieter auch nachzuweisen? Und so lange ich das nicht mache, tun wir so, als gäbe es diese Zahlen nicht?

Wie bitte?

LaTino
EDIT: Selbstverständlich macht nicht nur Microsoft das. Alle anderen Anbieter von Services im Netz müssen das genauso machen. Das ist ja genau ein Kritikpunkt an der Cloud, es handelt sich eben um Services, und die Anbieter sind rechtlichen Regelungen verpflichtet, die nicht unbedingt mit rechtlichen Regelungen des Herkunftslandes des Kunden übereinstimmen. Und ganz ehrlich, T-Systems als Data Trustee als Erfolg zu bezeichnen, dafür bedarf es schon einer gesunden Portion Zynismus.
Dieser Beitrag wurde 1 mal editiert, zum letzten Mal von LaTino am .
"Furlow, is it always about money?"
"Is there anything else? I mean, how much sex can you have?"
"Don't know. I haven't maxed out yet."
(Furlow & Crichton, Farscape)
private Nachricht | Beiträge des Benutzers
Abt
myCSharp.de - Team

Avatar #avatar-4119.png


Dabei seit:
Beiträge: 15671
Herkunft: BW

Themenstarter:

beantworten | zitieren | melden

Jeder tut das, da es die gesetzliche Pflicht gibt. Sehe jetzt hier keine Besonderheit.
Die würde es für Dein RZ ebenfalls geben. Worauf bezieht sich das jetzt spezifisch auf die Cloud und hilft dem Thema?
Auch Bosch mit ihrer eigenen, deutschen Cloud - keine US Firma im Hintergrund - wird dies in Zukunft - gesetzlich - tun müssen. Und jetzt?

Und um korrekt zu sein - und ich behaupte Du hast es nicht unbewusst unterschlagen - hättest Du auch erwähnen können, dass 67% der Anfragen auf transaktionaler Ebene stattgefunden hat.
Also Verbindungsdaten / Personenangaben und keine Inhalte des Benutzers.

Ich habe deutlich betont, dass ich eine sachliche Diskussion hier erwarte.
Und ja, dazu erwarte ich von vornherein Quellenangaben und Vergleiche.
private Nachricht | Beiträge des Benutzers
LaTino
myCSharp.de - Experte

Avatar #avatar-4122.png


Dabei seit:
Beiträge: 3062
Herkunft: Thüringen

beantworten | zitieren | melden

Ah, mist, gleichzeitig editiert zu deiner Antwort. Der Unterschied liegt darin, dass es

a) ohne dein Wissen erfolgt
b) ohne deine Zustimmung erfolgt
c) nicht nach rechtlichen Regeln, denen du selbst unterliegst, erfolgen muss
d) du kein Recht darauf hast zu erfahren, was genau an Daten weitergegeben wurde

All das ist ein Unterschied zum lokalen RZ. Wenn sich ein Unternehmen also, bevor es "in die Cloud geht", über diesen Aspekt grundlegende Gedanken macht und sich dann dagegen entschließt, dann ist das wohlbegründet und kann nicht so nonchalant wie in deinem Artikel vom Tisch gewischt werden.

Und wenn ich nur zeigen wollte, DASS es passiert, brauche ich auch keine Vergleiche. Da hätte EIN Fall gereicht, es geht nicht um Quantität, sondern darum, OB es vorkommt. Als Quelle hatte ich den Transparenzreport angegeben, ich war nicht davon ausgegangen, dass dir der unbekannt ist.

LaTino
Dieser Beitrag wurde 1 mal editiert, zum letzten Mal von LaTino am .
"Furlow, is it always about money?"
"Is there anything else? I mean, how much sex can you have?"
"Don't know. I haven't maxed out yet."
(Furlow & Crichton, Farscape)
private Nachricht | Beiträge des Benutzers
Abt
myCSharp.de - Team

Avatar #avatar-4119.png


Dabei seit:
Beiträge: 15671
Herkunft: BW

Themenstarter:

beantworten | zitieren | melden

Du vergleichst mir zu pauschal. Du kopierst Zahlen ohne Kontext, (zuerst) ohne Quelle rein, keiner kann diese bewerten.Und das stört mich.

Du vergleichst nur allgemein US-Cloud vs. eigenes RZ. Du betrachtest null die andere Möglichkeiten eine Cloud zu nutzen oder allgemeines Hosting/Housing, was verdammt viele nutzen - vor allem kleinere Firmen.

Du betrachtest auch null eine deutsche Cloud, eine EU-Cloud, eine Skandinavische Cloud.. nichts.
Du pauschalisierst und stigmatisierst und genau das ist das, was ich nicht in diesem Thema haben will, weil es nichts und niemanden was bringt.
private Nachricht | Beiträge des Benutzers
LaTino
myCSharp.de - Experte

Avatar #avatar-4122.png


Dabei seit:
Beiträge: 3062
Herkunft: Thüringen

beantworten | zitieren | melden

Entschuldige bitte, aber weder pauschalisiere ich, noch stigmatisiere (??) ich. Ich finde diesen Vorwurf einer sachlichen Diskussion auch nicht sehr förderlich. Die Quelle "Transparenzreport" stand von Anfang an drin. Sie war und ist halt nicht verlinkt, ja...nun.

Ich habe auch nirgends von US-Cloud gesprochen. Ich habe gesagt, dass

- ohne dein Wissen Daten an Dritte (staatliche) Stellen herausgegeben werden
Dieser Punkt betrifft jeden Anbieter einer Cloud. Jeden. Hat man die Daten unter eigener Kontroller, kann das nicht passieren.

- ohne deine Zustimmung erfolgt
Direkt aus Punkt 1 abgeleitet. Auch hier: irrelevant, wer der Anbieter ist. Und ja, es gibt Möglichkeiten, zB bei einer Hausdurchsuchung den Zugang zu bestimmten Daten zu verweigern. Diese Möglichkeiten hast du nicht, wenn die Durchsuchung nicht bei dir stattfindet.

- Punkt drei ist nur gültig für Cloudanbieter, die einer anderen Jurisdiktion unterworfen sind. Logisch.

- Punkt 4 ist wieder völlig unabhängig vom Standort. Es gibt auch in Deutschland keine Verpflichtung von Unternehmen, ihre Kunden über rechtlich sanktionierte Zugriffe des Staates auf ihre Daten zu unterrichten. Im Gegenteil. Der Grund liegt auf der Hand - im laufenden Verfahren den Verdächtigen zu informieren, ist kontraproduktiv.

Ich behaupte ja nicht einmal, dass alle staatlichen Zugriffe ungerechtfertigt sind. Das ist auch nicht der Punkt. Der Punkt ist, dass man die Kontrolle über seine Daten abgegeben hat und dadurch eben Nachteile haben kann. Allein, dass man das erwähnen muss, verwirrt mich schon etwas, ich meine - liegt doch auf der Hand, nicht?

LaTino
Dieser Beitrag wurde 1 mal editiert, zum letzten Mal von LaTino am .
"Furlow, is it always about money?"
"Is there anything else? I mean, how much sex can you have?"
"Don't know. I haven't maxed out yet."
(Furlow & Crichton, Farscape)
private Nachricht | Beiträge des Benutzers
UncleBens
myCSharp.de - Member



Dabei seit:
Beiträge: 138

beantworten | zitieren | melden

Zitat von Abt
Du pauschalisierst und stigmatisierst und genau das ist das, was ich nicht in diesem Thema haben will, weil es nichts und niemanden was bringt.

Weder pauschalisiert, noch stigmatisiert, noch trollt er, noch macht er irgendwas pauschal mies.

Du dagegen erweckst den Eindruck auf mich, hier eine Werbeveranstaltung für die Cloud unter dem Deckmantel einer "interessierten, offenen und sachlichen Diskussion" zu veranstalten. Genau diese findet gerade statt. Bei einer Diskussion liegt in der Natur der Sache, dass unterschiedliche Meinungen existieren... und bei einem Forum liegt in der Natur der Sache, dass diese Meinungen kundgetan werden. Es zeugt von ziemlich miesem Diskussionsstil, alles was einem nicht in den Kram passt, als "Stigmatisierung" und "hilft nicht dem Thema" abzukanzeln. Das ist es, was Du nicht im Thema haben wollen solltest, denn das bringt in der Tat nichts und niemandem etwas. Und das solltest Du als Moderator eines Forums eigentlich wissen.
Fehlt nur noch, dass Du anfängst, Beiträge zu zensieren/löschen. Dabei hast Du das gar nicht nötig... ein Großteil Deines Ursprungspostings ist klasse.


Weiterhin wirfst Du ihm vor, "pauschal zu vergleichen".
Ziemlich mutig dafür, dass Du selbst mit pauschalen, nicht belegbaren Behauptungen ("Ich bin der Meinung und hab die Erfahrung gemacht, dass die Leute, die gegen die Cloud sind, zu 95% nicht informiert sind.
Sie wissen nicht, was Cloud ist, wie die Cloud funktioniert und wie die Anbieter die verschiedenen Anforderungen - gerade in Sachen Datensicherheit und deren Zugriffe - umgesetzt haben.") um Dich wirfst.

Was mich angeht, hast Du Dein Ziel übrigens erreicht: ich werde mich an einer weiteren Diskussion zum Thema nicht beteiligen, da Dir ganz offensichtlich entgegen Deines Lippenbekenntnisses nicht daran gelegen ist. Und weiter off-topic in Richtung Deiner Diskussionsfähigkeit möchte ich in der Tat nicht eintauchen.
Daher von mir: schöne Pfingstfeiertage!
private Nachricht | Beiträge des Benutzers
Abt
myCSharp.de - Team

Avatar #avatar-4119.png


Dabei seit:
Beiträge: 15671
Herkunft: BW

Themenstarter:

beantworten | zitieren | melden

Du nimmst Zahlen aus einem Kontext, deren Ursprung nicht klar ist und schubst damit durch den negativen Eindruck ein komplettes Thema in eine Richtung und verleist damit (evtl. ungewollt) einen Stempel.
Das ist - für mich (und wenn ich mir nochmal die Definition im Duden dazu durchlese und auf dieses Thema projiziere) - Stigmatisieren.
Zitat von LaTino
- ohne dein Wissen Daten an Dritte (staatliche) Stellen herausgegeben werden
Dieser Punkt betrifft jeden Anbieter einer Cloud. Jeden. Hat man die Daten unter eigener Kontroller, kann das nicht passieren.
Das ist falsch, denn das kommt auf das jeweilige Land an.
Zitat von LaTino
- ohne deine Zustimmung erfolgt
Direkt aus Punkt 1 abgeleitet. Auch hier: irrelevant, wer der Anbieter ist. Und ja, es gibt Möglichkeiten, zB bei einer Hausdurchsuchung den Zugang zu bestimmten Daten zu verweigern. Diese Möglichkeiten hast du nicht, wenn die Durchsuchung nicht bei dir stattfindet.
in Deutschland musst Du eine gerichtlich angeordnete Durchsuchung gewähren.
Zitat von LaTino
Allein, dass man das erwähnen muss, verwirrt mich schon etwas, ich meine - liegt doch auf der Hand, nicht?
Nein, weil die Cloud prinzipiell nicht nur Daten ist - und das ist diese unangebrachte pauschalisierung.
Es gibt hybride Lösungen, um genau sowas zu vermeiden - wenn dies ein Faktor ist.
Das gilt aber auch - ich wiederhole mich - nur bei eigenem RZ.

Die wenigsten Firmen haben ein eigenes RZ, sondern greifen auf Housing / Hosting zurück.
Und da ist der Faktor (achtung Trommelwirbel): null :-)
Zitat von UncleBens
Weiterhin wirfst Du ihm vor, "pauschal zu vergleichen".
Ziemlich mutig dafür, dass Du selbst mit pauschalen, nicht belegbaren Behauptungen ("Ich bin der Meinung und hab die Erfahrung gemacht, dass die Leute, die gegen die Cloud sind, zu 95% nicht informiert sind.
Sie wissen nicht, was Cloud ist, wie die Cloud funktioniert und wie die Anbieter die verschiedenen Anforderungen - gerade in Sachen Datensicherheit und deren Zugriffe - umgesetzt haben.") um Dich wirfst.

Korrekt. Ich habe diese Erfahrung gemacht. Deswegen sage ich das.
Denn ganz oft bekomm ich die Reaktion "Wow, so ist das? Das habe ich anders gehört!"
Damit schließ ich nicht aus, dass andere eben etwas andere, eigene Erfahrungen gemacht haben.

Das Thema hier kommt aufgrund einer Bitte; nicht von mir.
Solche Reaktionen mit diesen Vorwürfen unter der Gürtellinie führt dazu, dass ich mir das in Zukunft zwei mal überlege.
Und dann noch zu behaupten, dass es mein "Ziel" sei... sorry. Geht gar nicht.

Ich hab nichts gegen Kritik; es kam ja auch Kritik von mir und Punkte gegen die Cloud von mir. Das Thema hat keinen anderen Fokus als die Leute zu animieren, sich mit der Cloud zu beschäftigen.
Aber es gehört zu solch einer Diskussion alle Seiten abzuwägen - stattdessen fängt nun die Stigmatisierung an.
private Nachricht | Beiträge des Benutzers
LaTino
myCSharp.de - Experte

Avatar #avatar-4122.png


Dabei seit:
Beiträge: 3062
Herkunft: Thüringen

beantworten | zitieren | melden

Zitat von Abt
Zitat von LaTino
- ohne dein Wissen Daten an Dritte (staatliche) Stellen herausgegeben werden
Dieser Punkt betrifft jeden Anbieter einer Cloud. Jeden. Hat man die Daten unter eigener Kontroller, kann das nicht passieren.
Das ist falsch, denn das kommt auf das jeweilige Land an.
Oh, echt? In welchem Land muss der Cloudanbieter nicht auf staatliche (legale) Anweisung hin Daten rausrücken?
Zitat
in Deutschland musst Du eine gerichtlich angeordnete Durchsuchung gewähren.

Anders als ein Cloudanbieter hast du allerdings die Möglichkeit, Widerspruch einzulegen und die Durchsuchung anwaltlich begleiten zu lassen, sowie die Durchsuchung nur soweit zuzulassen, wie sie durch den richterlichen Beschluss gedeckt ist. Diese Möglichkeiten entfallen, wenn du gar nicht dabei bist, weil es keine Durchsuchung gibt. Denn die Cloudanbieter erhalten lediglich eine Aufforderung der Ermittlungsbehörden, OHNE richterlichen Beschluss. So ist es jedenfalls in Deutschland. Wir können das weiter diskutieren, aber es derailt die Diskussion. Wen's weiter interessiert, da gibt es zahlreiche (seriöse) Quellen im Netz :).
Zitat
Nein, weil die Cloud prinzipiell nicht nur Daten ist - und das ist diese unangebrachte pauschalisierung.

Auch wenn Daten im Rahmen von Services etc. verarbeitet werden, gilt das. Selbst wenn ich housing mache, fallen Daten an, die ohne mein Wissen weitergegeben werden können.
Ich würde es begrüßen, wenn du nicht so fixiert auf die Quantitäten wärst: es geht darum, dass das Prinzip "Cloud" einige Eigenschaften hat, die den Kunden zum Nachteil gereichen können. Will man sich dafür oder dagegen entscheiden, muss man das eben abwägen - ganz normaler strategischer Vorgang. Nur, was man eben nicht machen darf, ist, diese Punkte außen vor zu lassen oder herunterzuspielen. Und das ist meine Kritik an deinem wirklich guten Ausgangsbeitrag: an dieser Stelle wirkt es teilweise so, als wolltest du etwas verkaufen. Vielleicht hast du's nur unglücklich formuliert, vielleicht fehlt dir eine Perspektive mit ein bisschen mehr Abstand (du steckst ja immerhin mitten drin :D), ich weiß es nicht.

Und es wäre auch völlig legitim, wenn du versuchen würdest, die Leser von der Cloud zu überzeugen. Da gibt es so viele ausgezeichnete Argumente dafür!
Man kann da die Nachteile völlig offen kommunizieren: ja, ihr macht damit mehr Daten als vorher zugänglich, und ja, ihr habt möglicherweise nicht mehr die vollständige Kontrolle darüber, wer diese Daten einsehen kann - aber das Risiko ist längst nicht so groß, wie man oft hört, denn [Begründung hier einfügen]. Weisst du, was ich meine? Auf die Weise hätte der Beitrag ausgewogener und objektiver gewirkt, und das hätte ihm, so denke ich, gut getan.

Wenn du das als Kritik an deiner Person siehst, liegst du falsch. Es geht darum, das Gesamtbild zu vervollständigen. Alle Punkte für und wider zusammenzutragen. Und wenn einige Leser den Eindruck haben, dass die Punkt "wider" zu kurz gekommen sind, dann werden sie versuchen, dazu beizutragen.

LaTino
"Furlow, is it always about money?"
"Is there anything else? I mean, how much sex can you have?"
"Don't know. I haven't maxed out yet."
(Furlow & Crichton, Farscape)
private Nachricht | Beiträge des Benutzers
Abt
myCSharp.de - Team

Avatar #avatar-4119.png


Dabei seit:
Beiträge: 15671
Herkunft: BW

Themenstarter:

beantworten | zitieren | melden

Ich hatte Dich in dem Satz so verstanden, dass Du sagtest, dass der Betreiber nicht immer den Kunden informieren muss. Nicht, dass die Firma nicht die Daten raus geben muss.
Das war also ein Missverständnis.

Zitat von Latino
Wenn du das als Kritik an deiner Person siehst, liegst du falsch.

Die Aussage
Zitat von UncleBens
Fehlt nur noch, dass Du anfängst, Beiträge zu zensieren/löschen.
ist nichts anderes als ein persönlicher Angriff bzw. Kritik an meiner Person/Funktion.
Völlig unsachlich und am Thema vorbei.

Und damit bin ich erstmal raus.
private Nachricht | Beiträge des Benutzers

Moderationshinweis von gfoidl (13.05.2016 - 16:02:51):

Bitte bleibt sachlich und diskutiert ordentlich, dazu gehört auch korrektes Zitieren und Quellenangaben.

T-Virus
myCSharp.de - Member



Dabei seit:
Beiträge: 1813
Herkunft: Nordhausen, Nörten-Hardenberg

beantworten | zitieren | melden

Hallo zusammen,
da ich das Thema auch zum rollen gebracht habe, möchte ich mir hier in einem engen Rahmen nochmals äußern.

Ich teile die Bedenken zum Thema Cloud wie sie von LaTino und UncleBens geäußert wurden.
Auch konntest mich Abt nicht von der Cloud überzeugen, was aber eben auch an fehlenden Vertrauen in die Unternehmen dahinter liegt.

Es gibt schon einige Grüne für die Cloud.
Aber durch die Snowden Enthüllungen ist das Misstrauen in dieses Thema mit Datenauslagern in die Hände von US Firmen, egal ob Microsoft, Amazon und co. einfach zu groß als das jeder blau äugig seine Daten in die Cloud schiebt.

Was mir aber wieder negativ auffällt, ist eben das du, Abt, nicht auf die Bedenken/Gegenargumente eingehst.
Du hattest auch mir nur die Vorzüge geschrieben und meine Bedenken/Gegenargumente einfach für nichtig erklärt ohne tatsächlich darauf einzugehen.

Aber warum gehst du nicht auf die Bedenken der Leute ein?
Wenn dir nur die Argumente recht sind, die dir passen, dann ist dies eine sehr monotone Diskussion.
Du musst den Leuten ihren Freiraum lassen und ihnen dann eben sagen, dass die Cloud keine Lösung für Sie ist wenn sie solche Bedenken haben.

Aber grundsätzlich den Leuten versuchen alle Bedenken/Gegenargumente als nichtig zuerklären ohne darauf einzugehen, bringt die Diskussion in keine sinnvolle Richtung.

Ich möchte deine Bemühungen aber nicht mit Füßen treten.
Ich bin sehr überrascht, wie du dich für das Thema ins Zeug legst und würdige auch die schiere Informationsflut und die Details.

Insgesamt stehe ich dem Thema aber auch weiterhin nicht positiv entgegen, auch wenn es einige Punkte gibt die man ab und an schon gebrauchen kann.

T-Virus
Developer, Developer, Developer, Developer....

99 little bugs in the code, 99 little bugs. Take one down, patch it around, 117 little bugs in the code.
private Nachricht | Beiträge des Benutzers
Abt
myCSharp.de - Team

Avatar #avatar-4119.png


Dabei seit:
Beiträge: 15671
Herkunft: BW

Themenstarter:

beantworten | zitieren | melden

Zitat von T-Virus
Auch konntest mich Abt nicht von der Cloud überzeugen,
Bitte die Einleitung korrekt lesen.


Zitat von Einleitung
Ziel des Ganzen ist es, der Community einen kleinen Einblick und Überblick zu geben und evtl. den einen oder anderen die Angst zu nehmen und den Mut zu geben, mal einfach etwas mit der neuen Technologie auszuprobieren.


Der Thread ist nicht dazu da irgendjemanden zu überzeugen.
Auf sachliche Themen werde ich weiterhin antworten. PNs, die darauf Zielen ohnehin nur kein sachliches Ende zu finden, werde ich nicht durchlesen oder beantworten.
Das bringt keinem was. Danke aber für die bisherigen, positiven Feedback - vor allem via PN / Skype.


Ein Risiko von einem Datenleck bleibt auf jeder Plattform. Welche Risikofaktoren besonders hoch sind - Mitarbeiterfaktor habe ich hier genannt - sind aus verschiedenen, teilweise unterschiedlichen Statistiken zu entnehmen.
Wie hoch der Faktor Mitarbeiter im Gegensatz zu Geheimdienst ist - 0 gibt es nie - die Frage muss man realistisch sich selbst stellen (wie bereits im Eingangstext erwähnt).
Blauäugig ist es immer nur einen Faktor zu sehen: den Geheimdienst.

IT-Security-Pros haben dafür bestimmte Risiko-Matrix-Sheets.
Und aus meiner Erfahrung kann ich sagen, dass ich auf jedem dieser Sheets den Faktor Mitarbeiter gesehen habe (die Firmen bewerten die Faktoren ja unterschiedlich); den Faktor Geheimdienst dann doch deutlich seltener :-)

Dass ich mit meiner Offenheit nun für einen gewissen Prozentsazz in eine Art Zielscheibe bin; schade, aber damit war zu rechnen.
Schöne Pfingsten.
private Nachricht | Beiträge des Benutzers
Coder007
myCSharp.de - Member



Dabei seit:
Beiträge: 1249

beantworten | zitieren | melden

Ich glaube, der Gesamteindruck nach der Diskussion hier bisher bleibt erstmal, dass eine gewisse Skepsis gegenüber der Cloud angebracht ist. Auch müsste tatsächlich jeder, der etwas mit der Cloud machen möchte, das sehr genau von entsprechenden Juristen prüfen lassen und den Kunden gegenüber auch transparent kommunizieren.

So wirklich viele Erfahrungen habe ich mit der Cloud nicht gemacht. Aber ein paar Punkte/Überlegungen meinerseits:

- Die von Abt genannten Vorteile sind in der Tat enorm, finde ich. Auch ich habe mit ein paar Studienkollegen mal ein Projekt in der Amazoncloud angefangen. Ich glaube, das ist schon so lange her, dass es Azure und die Google Cloud entweder noch nicht gab, oder die noch zu sehr im Betastadium waren. Im Endeffekt war das Projekt insgesamt dann doch komplexer, als gedacht, und es ist nichts draus geworden. Aber ohne die Cloud wäre das gar nicht denkbar gewesen. Auch wenn wir uns durchgesetzt hätten und schon über ein gewisses Kapital verfügen würden, wäre das Konzept des Hyperscalings für uns ideal gewesen. Allerdings weiß ich nicht, wie die potenziellen Kunden darauf reagiert hätten, ihre Daten in eine Cloud auszulagern. Denkbar, dass es uns dann doch das Genick gebrochen hätte.

- Grundsätzlich finde ich die Überlegung auch völlig richtig, dass das Risiko, dass interne Mitarbeiter Daten entwenden/manipulieren wesentlich höher ist, als dass ein Geheimdienst sich für die Daten interessiert und dann auch tatsächlich etwas damit anfangen kann/will. Im Endeffekt kommt in vielen Firmen jeder Praktikant an sehr viele wichtige Daten heran.

- Ein Kommilitone von mir hat in einer (kleineren) Firma gearbeitet, die ihre Services ebenfalls schon ganz am Anfang in die Amazon Cloud verlagert haben. Und das ist damals nicht wirklich gut bei den Kunden angekommen. Das war ein kritischer Moment für die Firma, ohne die Cloud wärs für sie tatsächlich kaum möglich gewesen, diese Dienstleistungen anzubieten. Sie haben dann versucht, zu deinem deutschen Cloudanbieter zu wechseln, was daraus geworden ist, habe ich aber nicht mehr mitverfolgt.

- Meine jetzige Firma hat ein eigenes Rechenzentrum. Zum einen wäre es schwierig, die Rechenleistung dynamisch zu skalieren, u.a. wegen sehr teuren Lizenzen für verschiedene Software. Zum anderen müssen wir oft Verträge mit tausend zusätzlichen Klauseln unterschreiben (teilweise müssen auch einzelne Entwickler und Consultants unterschreiben), wenn wir Daten von Kunden bekommen (ist jetzt nicht unser Hauptgeschäft, es geht dann eher um Testdaten oder zusätzliche Dienstleistungen). Und wir müssen oft detailliert darlegen, wie unsere Infrastruktur und Sicherheitsmaßnahmen aussehen, bevor die Kunden uns tatsächlich die Daten anvertrauen. Ich bin natürlich auch kein Jurist und ich weiß es nicht, aber ich bin einfach äußerst skeptisch, ob noch viele Kunden mitmachen würden, wenn wir sagen würden, die Daten liegen gar nicht bei uns, sondern bei XYZ, und keine Ahnung, was sie genau damit machen...


Insgesamt sehe ich das also etwas zwiespältig. Es ist eine großartige Chance mit vielen Vorteilen für viele Firmen und Projekte, aber für viele andere ist es einfach zu problematisch.
private Nachricht | Beiträge des Benutzers
Abt
myCSharp.de - Team

Avatar #avatar-4119.png


Dabei seit:
Beiträge: 15671
Herkunft: BW

Themenstarter:

beantworten | zitieren | melden

Zitat von Coder007
Auch müsste tatsächlich jeder, der etwas mit der Cloud machen möchte, das sehr genau von entsprechenden Juristen prüfen lassen und den Kunden gegenüber auch transparent kommunizieren.

Bin absolut kein Freund davon, dass man diese bzw. solche Aussagen auf die Cloud alleine bezieht.
Das lass ich so nun mal nicht gelten ;-)

Egal ob Du jetzt Hosting/Housing oder die Cloud verwendest: nimmst Du externe Dienstleistungen in Anspruch, dann sollte der Kunde das wissen. Ebenso muss man immer auch den rechtlichen Rahmen prüfen.
Absolut keine Aussage, die nur auf die Cloud zutrifft.

Jetzt kommt gleich wieder jemand mit dem "Eigenen Rechenzentrum"-Argument. Aber: die aller meisten Firmen, bestimmt mehr als 80%, haben kein eigenes RZ, sondern hosten durch externe Dienstleister.
Die Ausgangslage und das Umfeld ist damit identisch.

Aber selbst Firmen mit riesigen, eigenen Rechenzentren und "sensiblen" Daten (jedenfalls für die Firma gesehen), nutzen die Cloud - und das schon ein paar Jahre.
Azure Customer Story: Daimler Uses Cloud to Deliver Internet Services for Electric Cars
Microsoft schiebt VW und Daimler auf die Wolke

Schaut man dann ein wenig in Jobbörsen, dann sieht man, dass eben zB. auch Daimler aktuell einen Cloud Architekten sucht.
Hier wird auch explizit nach Fähigkeiten mit AWS, Bluemix, Azure abgefragt.

Ich kann mir die Skepsis nicht basierend auf rechtlich oder technischen Gründen erklären.
Vor allem eben mit der Tatsache, dass andere Märkte ganz anders kommunizieren und die Firmen auch mit der Cloud anders umgehen.
Bekomme es ja selbst regelmäßig mit. Ist es also nicht eher ein deutsches Problem, wie in meinem Eingangspost angedeutet?
Sind bestimmte Firmen einfach rechtlich schlecht beraten? Oder falsch beraten? Bildet sich evtl. der eigene Anwalt nicht genügend fort, um der schnellen IT-Welt gerecht zu werden?
Woher kommt die Skepsis? Und wieso ist diese nur in DE so extrem?

Ich nutze Browser Externsions, um zu sehen, welche Dienstleistungen die Webseitenbetreiber nutzen.
Ständig sehe ich die US-Flagge durch die Extension und zB. GoDaddy als Dienstleister (Hostet in Arizona).

Vermutlich wissen die meisten gar nicht, wo sie eine Dienstleistung örtlich nutzen; bashen aber fleissig weiter.

Dass Sicherheitsbedenken das Gegenargument Nr 1 ist: absolut keine Frage. Das steht fest und wird auch durch Studien untermauert.
Aber warum ist das zB. bei klassischen externen Dienstleistern anders? Woher kommt das?

Daher die Frage:
Wieso haben so viele nichts gegen externes Hosting im klassischen Sinne, aber gegen die Cloud? Woher kommt die spezifische Skepsis, die eben das Hosting so nicht spürt? Es ist de facto nichts anderes.
Ich persönlich kann es mir nur an der negativen Kommunikation des Worts Cloud sowie der fehlenden Information und Aufklärung erklären.

Eine echte, vollständige Begründung bei explizitem Nachfragen habe ich bislang nicht bekommen.
Eben nur diese Mythen mit USA, Geheimdiensten und "die klauen unsere Daten". Faktor Vertrauen.
Cloud ist doch nicht nur USA!

Wie kann man den Leuten hier in DE etwas die Angst nehmen? Überzeugen kann man Hardliner nie.
Aber es geht darum die falsch gestreute Angst vor einem Wort zu nehmen.

Wenn kategorisch US Anbieter - US-spezifische Gründe sind jetzt mal zweitrangig - nicht infrage kommen, warum dann nicht europäische, skandinavische oder deutsche Anbieter?
private Nachricht | Beiträge des Benutzers
LaTino
myCSharp.de - Experte

Avatar #avatar-4122.png


Dabei seit:
Beiträge: 3062
Herkunft: Thüringen

beantworten | zitieren | melden

Zitat von Abt
Daher die Frage:
Wieso haben so viele nichts gegen externes Hosting im klassischen Sinne, aber gegen die Cloud? Woher kommt die spezifische Skepsis, die eben das Hosting so nicht spürt? Es ist de facto nichts anderes.
Ich persönlich kann es mir nur an der negativen Kommunikation des Worts Cloud sowie der fehlenden Information und Aufklärung erklären.

Okay, ein paar Gründe (auch, wenn nicht explizit angegeben, geht es immer um Daten in einer oder aus einer Cloud):

Die Zwischenfälle sind sehr oft AWS / EC von Amazon. Das liegt daran, dass der Marktanteil von Amazon überwältigend ist, nicht daran, dass sie die einzigen mit Sicherheitsproblemen sind. Amazon hat mehr als dreimal soviel Marktanteil wie bspw. Microsoft.)

Los geht's:


Mitte 2015 wurde bei BitDefener eine unbekannte Anzahl Kundendaten gekapert, die in der Cloud (AWS) gespeichert waren. Der Hacker verlangte $15.000 Lösegeld.

Im "Anthem breach" wurden 2015 80 Millionen Kunden-Datensätze aus der cloud entwendet.

Vom britischen Telekom-Giganten TalkTalk wurden zwischen 2014 und 2015 bei mehreren Einbrüchen insgesamt 4 Millionen Kundendaten entwendet.

2014 wurden bei ein GitHub-Account innerhalb von 36 Stunden nach seiner Erstellung benutzt, um Cloud-Zugangsdaten zu entwenden und mit diesen BitCoin-Mining zu betreiben.

Mitte 2015 wurden bei der US-amerikanischen Steuerbehörde IRS 300.000 Steuerzahler-Daten über eine Lücke in der benutzten API entwendet.

Im Juni 2014 wurde bei Code Space, einem GitHub-Wettbewerber, bei einem Einbruch fast sämtliche (bei AWS) gehosteten Daten zerstört. Code Space hat das ruiniert, das Unternehmen existiert nicht mehr.

April 2010 war es möglich, durch einen Bug Usercredentials von Amazon zu klauen.

In 2009 wurden einige AWS-Systeme übernommen und damit ein Botnetz aufgebaut (Zeus botnet).

Mit Hilfe des Trojaners "Carbanak" wurden seit Mitte 2013 ca. $1.000.000.000 bei Banken entwendet. Credentials, die benutzt wurden, stammten zu einem Teil aus der Cloud.
(Nur teils relevant, hauptsächlich das gute alte phishing. Wie hoch der Anteil durch in der Cloud verfügbare Credentials war, lässt sich wohl nicht sagen, zumal die Angriffe wahrscheinlich hunderte Banken betrafen. Die Geschichte ist noch nicht analysiert und aufgearbeitet.)

Im April 2011 gab es bei Amazon EC2 einen Crash, durch den Hunderte Kundendaten verloren gingen.

Im November 2014 brachen Hacker in die sony-eigene Cloud ein und entwendeten vertrauliche Informationen.

2012 brach in der AWS die ostamerikanische Region (die einige Cloud-Zonen umfasst) komplett weg. Unter anderem gab es Ausfälle bei Netflix und anderen großen Kunden.

2013 meldete Nirvanix, ein Cloud-Anbieter, der u.a. Daten für IBM und DELL betreute, Insolvenz an und gab seinen Kunden lediglich 14 Tage Zeit, ihre Daten zu einem anderen Anbieter zu transferieren.

Im März 2013 wurden etliche gekaperte Cloud-Accounts benutzt, um einen der größten DDOS-Angriff in der Geschichte zu fahren. Die Angreifer waren in der Lage, ca. 300 GBit/s Datenaufkommen zu erzeugen, obwohl ihre "eigene" Infrastruktur nur ein Hunderstel dieses Wertes zu leisten imstande war. Der Traffic war so gewaltig, dass die Attacke auch als "The DDoS That Almost Broke the Internet" bekannt wurde.

Mitte 2014 brachen Hacker in die AWS ein und waren in der Lage, die vorhandenen Ressourcen für mindestens eine DDOS-Attacke zu kanalisieren.

Im November 2014 gingen bei Deezer, Evernote und Feedly kurzfristig durch eine DDOS-Attacke die Lichter aus, weil ihre cloud-basierten Services nicht mehr erreichbar waren.

Es wäre absolut kein Problem, noch mehr Beispiele zu finden. Und ja, das wäre alles auch ohne Cloud möglich gewesen, aber in einigen Fällen waren die Cloud-Kunden vollkommen machtlos. In anderen Fällen waren sie unvorsichtig (aber auch damit muss man immer rechnen). In diesen Dimensionen wäre es ohne Cloud absolut unmöglich gewesen.

Und da darf man sich schon seine Gedanken machen.

Quelle: Hewlett Packard Enterprise, "The Treacherous 12: CSA’s Cloud Computing Top Threats in 2016", Cloud Security Alliance, 2016
(Publikation der Cloud Security Alliance, zu der auch so gut wie alle großen Cloud-Anbieter gehören)

Und das ist nur eine einzige Quelle.

Skepsis hat noch nie geschadet.

LaTino
"Furlow, is it always about money?"
"Is there anything else? I mean, how much sex can you have?"
"Don't know. I haven't maxed out yet."
(Furlow & Crichton, Farscape)
private Nachricht | Beiträge des Benutzers
MrSparkle
myCSharp.de - Team

Avatar #avatar-2159.gif


Dabei seit:
Beiträge: 5963
Herkunft: Leipzig

beantworten | zitieren | melden

Zitat von Abt
Wieso haben so viele nichts gegen externes Hosting im klassischen Sinne, aber gegen die Cloud?

Für meine bisherigen Kunden war es meistens das unterschiedliche Geschäftsmodell. Das Geschäftsmodell eines Webhosters ist es, einen Server zur Verfügung zu stellen. Das Geschäftsmodell von Amazon & Co. ist es, Daten zu sammeln, zu verarbeiten, und weiterzuverkaufen. Die Wirklichkeit ist sicher nicht so schwarz/weiß, aber es entscheidet wohl meistens das Bauchgefühl.

Die Angst vor Geheimdiensten hatte jedenfalls damit nichts zu tun (die kommen sowieso an alle Daten, siehe Tempora etc.).
Weeks of programming can save you hours of planning
private Nachricht | Beiträge des Benutzers
LaTino
myCSharp.de - Experte

Avatar #avatar-4122.png


Dabei seit:
Beiträge: 3062
Herkunft: Thüringen

beantworten | zitieren | melden

Zitat von MrSparkle
Die Angst vor Geheimdiensten hatte jedenfalls damit nichts zu tun (die kommen sowieso an alle Daten
Das ist wahr. Diese Diskussion beobachte ich beinahe ausschließlich im privaten Bereich.

LaTino
"Furlow, is it always about money?"
"Is there anything else? I mean, how much sex can you have?"
"Don't know. I haven't maxed out yet."
(Furlow & Crichton, Farscape)
private Nachricht | Beiträge des Benutzers
Coder007
myCSharp.de - Member



Dabei seit:
Beiträge: 1249

beantworten | zitieren | melden

Zitat von Abt
Daher die Frage:
Wieso haben so viele nichts gegen externes Hosting im klassischen Sinne, aber gegen die Cloud? Woher kommt die spezifische Skepsis, die eben das Hosting so nicht spürt? Es ist de facto nichts anderes.

Habe ich nicht ;) Ich habe das zumindest nicht weiter präzisiert, weil es in der Diskussion eben um die Cloud geht. Viele der Probleme beziehen sich gleichermaßen auf Hosting.

Allerdings würden mir schon ein paar Punkte einfallen, wo ich gewisse Unterschiede sehe:

- Was ist überhaupt Hosting und was macht man dann damit? Wenn eine Firma eine Webpräsenz bei einem Hoster unterhält, wie hoch ist die Wahrscheinlichkeit, dass da überhaupt irgendwelche brisanten Daten rumliegen? Der Unterschied ist für mich, dass die meisten Firmen, die Hosting/Hosing in Aspruch nehmen, oft keine oder nicht so viele brisante Kundendaten auf diese Server hochladen. Bei einer Cloud ist hingegen klar, dass man sie eben gerade dafür braucht, viele Kundendaten zu verarbeiten.
- Jede drei Mann IT-Firma, in der ich bisher gearbeitet habe oder mit der ich zu tun hatte, hatte einen eigenen Server im Büro oder im Keller rumstehen. Kein Hosting/Housing. Und keine Kundendaten, die da rumliegen.
- Ich gehe davon aus (und auch wenn ich das nicht weiß, werde ich mich nicht vom Gegenteil überzeugen lassen), dass der Betreiber einer Cloud viel mehr Eingriffsmöglichkeiten hat, als ein Housing Provider. Wenn jemand nur Fläche, Strom, Kühlung usw. bereitstellt, und die Kunden eigene Hardware bereitstellen, werden sich die Betreiber des Rechenzentrums kaum trauen, an den Kundenhardware/-software rumzupfuschen, von der sie keine Ahnung haben. In einer Cloud ist das alles vereinheitlicht und abstrahiert, der Betreiber hätte viel mehr Möglichkeiten, unentdeckt und ungestört Daten abzugreifen oder zu manipulieren. Das ist ein zusätzliches Level an Vertrauen, das man dem Betreiber zugestehen muss. Das aber eher am Rande, im Zweifelsfall würde ich wahrscheinlich auch einem Cloud Anbieter "vertrauen", wenn ich ansonsten gezwungen wäre, einem Hoster zu vertrauen, die Cloud mir aber Vorteile bieten würde
- Wie gesagt wollte ich auch gar nicht großartig zwischen Cloud und Hosting unterscheiden. Aus meiner Sicht wäre der Unterschied eher, ob ein Kunde die Daten überhaupt rausgibt, weil ers grad noch akzeptieren kann, dass sie in der Partnerfirma intern auf eigener Hardware verarbeitet werden, oder ob er eher eine Software verlangt, um seine Daten selbst zu verarbeiten. Wir verkaufen die Software eben hauptsächlich. Es kommt aber ab und zu vor, dass wir Testdaten von Kunden bekommen, oder aber auch die kompletten Daten, um Analysen intern zu erstellen, weil die Software mit bestimmten komplexen Daten (CAD Modelle) vielleicht noch nicht optimal zurechtkommt und wir noch an paar Stellen optimieren müssen. Die Kunden wissen, dass wir auch ihre Konkurrenten bedienen und wollen dann schon sehr genau wissen, was mit ihren Daten passiert und inwiefern sie von den Daten der Konkurrenten getrennt sind. Das ist einfach eine Dienstleistung, die wir anbieten können, weil wir ein eigenes Rechenzentrum haben. Sonst könnten wir das nicht machen, egal ob wir sagen würden, wir laden die Daten zu einem Hoster oder in die Cloud hoch.
private Nachricht | Beiträge des Benutzers