Ich gehe in diesem Artikel nur auf Microsoft Cloud Lösungen wie Microsoft Azure und Office 365 ein.
Als ich vor vielen Jahren an einer internen Konferenz von Microsoft die ersten Berührungspunkte mit der Cloud hatte, war ich als Schweizer recht skeptisch. Während in den USA nur noch die Frage bestand, wann man in der Cloud ist, hat sich das Bild in der Schweiz doch einiges konservativer gezeigt. Heute besteht glaube ich bei den meisten kein Zweifel mehr das ein Weg an der Cloud vorbei auch ein Weg an der Realität vorbei ist.
Doch beginnen wir bei der Suche nach den Gründen wieso die Schweizer speziell sensitiv auf das Thema Cloud reagieren.
Cloud und Datenschutz
Viele Firmen argumentieren gegen die Cloud mit dem Datenschutz der in der Schweiz höher gewichtet wird als in anderen Ländern. Das die grossen Spieler im Cloud Geschäft meist aus der USA kommen, ist die Datenschutz Diskussion natürlich Aufgrund der Gesetzeslage schwieriger. Ich möchte hier aber nur auf Tennants eingehen die in EMEA liegen und daher der DSGVO resp. GDPR unterstehen.
Im groben verbietet dieses Gesetz das Daten eines Individuums ohne sein Wissen den Europäischen Rechtsraum verlassen. Darüber hinaus muss der Anbieter der Daten speichert, jederzeit auf Verlangen des Benutzers belegen können wo welche Daten von diesem gespeichert sind. Schlussendlich muss er diese Daten auch auf Verlangen des Benutzers löschen können.
Als ehemaliger Microsoft Mitarbeiter kann ich an der Stelle mit bestem Wissen und Gewissen bestätigen dass diese Gesetze von Microsoft auch eingehalten werden.
Europäisches Recht?
Was bedeutet nun Europäisches Recht?
Es bedeutet, dass die Daten auf Basis eines Tennants den man erstellt, in einem Microsoft Rechencenter in den Niederlanden oder Irland liegen. Da beide Länder zu Europa gehören, gilt auch das Europäische Recht. Somit kann im Zweifelsfall auch ein Europäisches Gericht angehört werden. Wichtig ist dies für den Europäer wegen den weitreichenden Armen der amerikanischen Justiz. Konkret kann ein amerikanisches Gericht die Herausgabe von Daten die in einem amerikanischen Rechencenter liegen, erzwingen. Daher auch die Angst die Daten an Microsoft zu geben- da diese ja aus den USA stammen. Dadurch dass die Daten jedoch physikalisch in Europa liegen, kann die USA so nichts machen.
Aber was genau sind Daten?
Generell unterscheidet man zwischen kritischen, Personenbezogenen Daten und Daten. Das bedeutet z.B. das ein Kontoauszug keineswegs kritisch ist- so lange ich keine Rückschlüsse auf eine Person machen kann. Es sind nur Zahlen. Wenn ich jedoch einen Kontoauszug habe, auf dem mein Name steht oder indem ich Anhand von Überweisungen Rückschlüsse auf Personen machen kann- so ist dies kritisch.
Das Problem mit dem Datenschutz in der Cloud das viele anführen, ist daher ein Problem, das schon viel früher anfängt- es fängt da an wo man Daten sammelt und diese nicht klassifiziert.
Ein Beispiel: Ich habe einen Kunden, bei dem ich den FileServer migrieren soll. Ich frage diesen welche Teile des Datentopfes den kritisch sind. Die Antwort: Alle! Das stimmt so aber nicht. Vielmehr ist es so dass man eine Berechtigungsstruktur hat die kritische Daten nicht von nichtkritischen Daten trennt und somit alles vermischt ist. Das führt dazu, dass dann eben alles kritisch ist. Will man nun damit in die Cloud, wird’s schwierig, da man nicht unterscheiden kann was für einen kritisch ist und was nicht.
Das heisst, im eigenen Rechencenter ist alles sicher?
Nein. Ich glaube nicht. Sicherheit und Datenschutz passieren nur zu einem Teil in der Technik. Der viel wichtigere Faktor ist der Faktor Mensch. Ich habe unzählige Kunden in den letzten 25 Jahren kennengelernt und die welche die am lautesten gegen die Cloud und die Sicherheit protestieren, sind meist die die am laschesten mit Daten umgehen.
Beispiele:
- Schwache oder gar keine Passwörter
- Keine zweifache Authentifizierung
- Schwache oder gar keine Zugriffsrechte definiert auf den Datenablagen
- Daten werden mit jeglicher Art von Apps zwischen Handys, Tablets, PCs hin und her gesyncht ohne mal zu hinterfragen wo die Daten den hingeschickt werden
- Kritische Kommunikation passiert über Email mit Ämtern, Ärzten, Banken
- Der externe IT Fachmann beim KMU hat Zugriff auf alle Daten
- Schwache physische Absicherung der Serverräume
Datenschutz beginnt bei einem selber. Der Umgang mit Daten muss gelernt werden und der einzelne muss sensibilisiert werden. Wir neigen immer dazu menschliche Probleme mit technischen Lösungen zu umgehen und dies funktioniert nur bis zu einem gewissen Grad.
Die Mär mit dem Zugriff durch den Rechencenter Betreiber
Eines der Argumente, die mir immer wieder gegen die Cloud gesagt wird, ist das der Rechencenter Betreiber auf alles Zugriff hat. Dies ist schlicht und einfach eine Mär. Wenn man sich mit der Technik auseinandergesetzt hat, wird einem klar, dass dies nicht so ist. Zudem liegt es an jedem Kunden selbst, technische Sicherheit auch in der Cloud umzusetzen. Verschlüsselung von Übertragungen und Datenablagen, Datenbanken, etc. Sicherheitskonzepte, Zugriffskonzepte, etc.
Technisch ist heute in Azure und O365 soviel möglich und auch Revisionsfähig, dass mir keiner mehr beweisen kann das irgendwer wer keinen Zugriff haben sollte- tatsächlich Zugriff hatte. Nur, hier kommt wieder die alte Leier- die Leute, die solche Cloud Umgebungen aufbauen sollten, die Sensibilität und auch das KnowHow haben um den bestmöglichen Schutz zu erreichen.
Man muss sich auch einmal vor Augen führen was für ein Image Schaden Microsoft hätte, wenn nur ein einziger Datenzugriff auffliegen würde, der nicht hätte sein sollen! Die könnten den Laden schliessen, wer würde noch Daten in die Microsoft Cloud geben wollen?
Daher, das ist für mich nichts anderes als Stimmungsmache und keineswegs förderlich für den Fortschritt- den wir sowieso nicht aufhalten können. Daher sollte hier die Gelegenheit genutzt werden und nicht einfach in die Cloud zu gehen, sondern auch Strukturen, Prozesse und Angewohnheiten zu hinterfragen und Sachen, die nicht so toll sind, zu lösen.
Und was ist nun mit den Schweizern?
Ich glaube da sind verschiedene Themen ein Grund für die Skepsis der Schweizer. Einerseits sind wir technisch gesehen kein Mitgliedsstaat der Europäischen Gemeinschaft. Anderseits leben wir mit Sachen wie z.B. dem Bankgeheimnis ein Datenschutz VIP Leben. Erschwerend kommen dann noch die genannten Gründe über das Handling mit Daten.
Schweizer Rechencenter
Die meisten sollten erfahren haben das Microsoft nun mit einem Rechencenter in Zürich und einem Rechencenter in Genf noch diesen Frühling ans Netz geht. Konkret bedeutet dies das die Azure und Office 365 Dienste dann in einem Rechencenter in der Schweiz bezogen werden können.
Dies verändert aus meiner Sicht zumindest fast alles. Die Daten liegen nämlich in der Schweiz und verlassen diese auch nicht, solange der Kunde keine Replikation in eine andere Geo Lokation macht und es wird dann natürlich schweizerisches Recht angewandt.
Der Skeptiker wird nun noch sagen- so lange keine grossen wie eine Bank oder der Staat in so einem Rechencenter ist, so lange bleibe ich auch noch in meinem Keller mit den Daten. Nun, die Gerüchte halten sich hartnäckig, dass auch da einiges passieren wird. Konkret geht es um das Gerücht, dass die grösste Schweizer Bank, die UBS mit mehr oder weniger allen ihren Rechencentern in der Schweiz in die Azure Cloud umziehen will:
https://www.netzwoche.ch/news/2018-12-12/ubs-zieht-es-in-die-microsoft-cloud
Sollte sich dies bewahrheiten- wir werden es beim Start in Kürze sehen, dann glaube ich das auch den Skeptikern die Argumente ausgehen, um nicht in die Cloud zu gehen.
Fazit
Ich denke nicht das es noch plausible, nachvollziehbare Gründe gibt nicht in die Cloud zu gehen. Mal abgesehen von der Datenschutz Diskussion bietet die Cloud so viele neue Möglichkeiten um modern, effizient und vor allem mit den Kosten im Blick, Informatik zu betreiben. Ich kann verstehen, wenn man gerne alles beim Alten gelassen hätte- nur so funktioniert leider unsere Gesellschaft nicht. Nun kann man sich selbst entscheiden ob man in der Gegenwart steckenbleibt oder ob man ein Teil der Zukunft sein will.
Aus Business Sicht kann ich nur bestätigen das wohl auch sehr viele in der Schweiz verstanden haben wo die Reise hingeht und sich und ihre Firma in Richtung Microsoft Cloud bringen. Ich darf als Consultant bei meinem Arbeitgeber Baggenstos viele interessante Kunden und Projekte in die Cloud begleiten und wo ein Wille ist- da ist auch ein Weg, um den Skeptiker glücklich zu machen…