Alles „Cloud“

… oder was?

Wir kennen die Wolke als bildliche Darstellung des Internets. Ihren Ursprung findet die Wolken-Grafik in den Anfängen des Cloud Computing, als man begann, geografisch verteilte und organisatorisch geteilte Computerressourcen für Datenspeicherung und Informationsaustausch zu verwenden. Das war lange vor dem Internet, wie wir es heute kennen. Aber das Bild passte weiterhin, den das Internet ist fließend, nicht greifbar und gewisser Maßen chaotisch verteilt, aber von einem System zusammen gehalten, wie das Wetterphänomen „Wolke“. Und so wurde aus dem „Internet“ =  die „Cloud“. Und umgekehrt.

Die Verlockungen der „Cloud“

Doch inzwischen wird alles undifferenziert als „Cloud“ bezeichnet, was irgendwie mit Internet zu tun hat. Besonders gerne im Zusammenhang mit der Digitalisierung verschwimmen die Grenzen.Wo früher ein Unternehmen mit seinem „Business“ ins Internet musste, gehören nach allgemeiner Auffassung Geschäftsanwendungen einfach in die Cloud. Das jedenfalls versuchen Cloud Service Betreiber den Unternehmen bzw. ihren Entscheidern einzutrichtern. Dabei (ver)locken diese Anbieter gerne mit Kostenersparnis, Mobilität und Flexibilität. Und ebenso bereitwillig folgen besonders techniknahe Unternehmen diesen Ruf. Doch leider übersehen sie dabei etwas entscheidendes. Denn was als „Cloudlösung“ verkauft wird, ist meistens eine Mogelpackung für „Software as a Service“, also Mietprogramme. Diese laufen auf zentralen Internetservern eines einzelnen Betreibers in einem einzigen Datacenter. Die Programme werden mit den Kundendaten eng miteinander verknüpft gespeichtert.

Als Kunde ist man diesem Konstrukt auf Gedeih und Verderb ausgeliefert. Tatsächlich ist das ein Problem, denn es schafft Abhängigkeiten, wo es keine geben darf. Darüber hinaus hat dieses Geschäftsmodell mit dem Cloudgedanken rein gar nichts mehr zu tun.

Die Cloud nutzen und digital souverän bleiben

Für eine naive Vertrauensseligkeit gegenüber Cloudanbietern gibt es keinen Grund. Aber Cloud Services als „Teufelswerk“ abzutun, ist genau so unangebracht. Denn viele Anwendungen wie zum Beispiel Mailserver Services sind schon lange „Cloudlösungen“. Darüber hinaus möchte kein Unternehmen mehr auf Datenclouds oder Webkonferenz-Systeme verzichten, nachdem es seine Mitarbeiter in den letzten Monaten ins Homeoffice schicken musste. Und das ist auch gut so. Aber eine „alles ab in die Cloud“ Euphorie ist gefährlich. Denn so manche für das Unternehmen überlebenswichtige Geschäftsanwendung gehört nicht dorthin, jedenfalls nicht ohne ein organisatorisches und technisches „Backup“. Darüber hinaus gibt es noch andere technische Lösungsansätze, welche Mitarbeitern den mobilen Zugriff auf Geschäftsprozesse erlauben. Und zwar so, dass man die firmeninternen Daten nicht aus der Hand an fremde Dritte geben muss und unabhängig, also „digital souverän“ bleibt.

Lösungsansätze

Da Cloudanwendungen für eine sinnvolle Digitalisierung immer wichtiger werden, aber auch ihre Schattenseiten haben, widmen wir diesem wichtigen Thema zwei Beiträge:

Im Zentrum unserer Ausführungen steht somit die „digitale Souveränität“, welche zunächst ein Gegenpol zur „Digitalisierung via Cloud“ darstellt. Damit Sie nicht zwischen dem „Entweder – Oder“ hängen bleiben, sondern bei einem konstruktiven „Und“ landen, geben wir Ihnen wie immer jede Menge Denkanstöße und Entscheidungshilfen. Denn wenn Sie diese Beiträge durchgearbeitet haben, dann wissen Sie, worauf es bei Geschäftsanwendungen als Cloudlösungen ankommt. Und wenn dann noch Fragen offen sind oder neue auftauchen, die beantwortet werden müssen, dann melden Sie sich bei uns.

Digital souverän dank Datensicherung und Backup

Warum geht das Eine nicht ohne das Andere?

In diesem Beitrag führen wir zwei Bereiche zusammen, die wir bis dato immer wieder einzeln betrachtet haben. Doch anläßlich der jüngsten Ausfälle zweier großer, namhafter Cloudanbieter müssen wir genau dieser Frage nachgehen. Denn zweifelsohne sind Cloudanwendungen aus der Digitalisierung von Geschäftsprozessen nicht mehr wegzudenken. Um so schlimmer ist es, wenn sich Unternehmen – vor allem KMUs – (un)wissentlich in eine Abhängigkeit begeben, die fatale Folgen haben kann. Also schauen wir uns den konzeptionellen Zusammenhang von digitaler Souveränität, Datensicherung und Backup genauer an.

Zwei Vorfälle, die zu denken geben

Am 5. April 2022 gab es einen Totalausfall bei „Atlassian“, einem namhaften, großen Cloudanbieter für Ticketsysteme, Collaborations- und CRM-Anwendungen. Noch zwei Wochen später waren nicht alle Daten der Kunden wieder vollständig hergestellt. Da diese Werkzeuge zu den typischen „kritischen Geschäftsprozessen“ gehören, waren die betroffenen Unternehmen über mehrere Tag komplett arbeitsunfähig. Denn die betroffenen Unternehmen verwalteten unter anderem mit den beiden Cloud-Diensten Jira & Confluence alle wichtigen Geschäftsprozesse, beispielsweise in der Entwicklung bzw. Software-Entwicklung.

Kaum waren die Schäden behoben, machte am 15.04. ein großer Hoster Schlagzeilen wegen eines Festplattenausfalls. Nun, Hardware kann tatsächlich plötzlich ausfallen. Davor ist kein Datacenter-Betreiber gefeit. Aber dass 1500 sogenannte Snapshots (Momentaufnahmen eines Server-Zustandes) dabei unwiederbringlich verloren gingen, die eigentlich als Absicherung dienen sollten, ist schon bedenklich. So gab es offensichtlich keine Datensicherung, geschweige denn ein Backup.

Zum Kern der digitalen Souveränität in Zusammenhang mit Datensicherung und Backup

Wie wir sehen, sind Cloudanwendungen ohne zusätzliche Absicherung riskant, besonders für Sie, den Cloudanwender. Aber Sie können diesen „Cloud-Risiken“ vorbeugen und Ihre digitale Souveränität wahren, also trotzdem unabhängiger werden, wenn Sie die Konzepte von Datensicherung und Backup kennen und konsequent verfolgen. Doch fangen wir mit der digitalen Souveränität an. Denn sie ist von grundlegender Bedeutung für die planmässige Erreichung von Unternehmenszielen.

Digitale Souveränität

Als Unternehmer sollten Sie daran interessiert sein, dass das Unternehmen auf die von Ihnen geplante Art und Weise funktioniert. Das lässt sich umso besser realisieren, je mehr strategische Entscheidungen IM Unternehmen fallen. Aber je mehr Sie diese Fähigkeit nach draußen verlagern, desto weniger Einfluss haben Sie auf die Prozesse und Entscheidungen, die Ihr Unternehmen direkt oder indirekt betreffen.

Veranstaltungstipp: secIT 2022 in Hannover

Es gibt wieder eine interessante IT-Veranstaltung in Hannover: die „secIT 2022“. Es ist ein Kongress zum Thema „IT-Security für KMUs„, organisiert von c’t, heise Security und iX. Am 29.03.2022 werden diverse ganztägige Workshops angeboten. Der Kongress geht vom 30. bis 31. März 2022 und findet im Hannover Congress Centrum (HCC) statt, also im Herzen der niedersächsischen Hauptstadt.

Die Themen der secIT 2022

Hannover ist ansich immer eine Reise wert. Und dass die secIT 2022 nicht im „CC“ auf dem Messegelände, sondern im „HCC“ nahe dem schönen Erlebnis-Zoo Hannover und der grünen Eilenriede stattfindet, ist sicherlich von Vorteil. Auch der Umstand, dass zwar für den Veranstaltungsort immer noch die 2G-Regeln gelten, aber es endlich wieder eine Live-Veranstaltung ist, macht viel aus.

Am „Treffpunkt für Security-Anwender und -Anbieter“ erwarten Sie

  • 29.03.2022: ganztägige Workshops
    Zum Beispiel zu Fragen der Windows-Sicherheit oder über die Tricks von Hackern (Social Hacking)
  • 30. und 31.03.2022: diverse Fachvorträge und Workshops
    Beispielsweise über das richtige Verhalten bei einem Cybervorfall – oder wie man ihn vermeidet

Zum vollständigen Programm der secIT geht es hier…

Weitere Hinweise

Die Preise und Tickets für den Kongress und die einzelnen Workshops finden Sie hier …

Falls Sie noch weitere Informationen zur secIT suchen, dann empfehlen wir Ihnen den heise-Beitrag. Oder besuchen Sie die Webseite zur Veranstaltung.

Übrigens, wenn Sie da waren, freuen wir uns über einen Kurzbericht. Wir schaffen es dieses Jahr nicht, hinzufahren. Aber wir freuen uns auf Ihren „Input“. Am besten nehmen Sie dafür Kontakt mit uns auf. Vielen Dank!

Webcast: Datenverarbeitung in den USA

Wenn Sie in Ihrem Betrieb mit sogenannten „Cloudlösungen“ wie zum Beispiel „Zoom“ (Videokonferenz), „WeTransfer“ oder „Dropbox (Datenclouds)“ oder auch mit einem der vielen Google-Dienste arbeiten, dann machen Sie „Datenverarbeitung in den USA“ und sollten Sie sich diesen Video-Beitrag ansehen. Denn all diese praktischen Dienste sind seit dem EUGH-Urteil „Schrems  II“ (Download) für Ihr Unternehmen eigentlich tabu, genau genommen sogar illegal. Aber es gibt Lösungen und Maßnahmen, wie Sie das Problem lösen können. Diese stellen wir Ihnen hier vor.

Datenverarbeitung in den USA nach „Schrems II“: Wo ist das Problem und wie löst man es?

Bereits in der Vergangenheit gab es Bedenken zum Datenschutz beim Einsatz von Internetanwendungen „made & hosted in USA“. Denn hier hat man ein anderes Grundverständnis im Umgang mit persönlichen Daten (Bsp. „Five Eyes“). So stellt die US-Regierung ihr Sicherheitsbedürfnis der gerne mal über das Recht auf „Privacy“und zwingt US-amerikanische Unternehmen zur Ausleitung von aller (Kunden)Daten – und zwar ohne Kenntnis der Betroffenen. Das widerspricht unserer Auffassung von Datenschutz als Bürgerrecht.

So behalf man sich lange Zeit mit dem „Privacy Shield“. Aber seit dem EUGH-Urteil „Schrems II“ ist es außer Kraft gesetzt. Und damit ist es endgültig mit dem sorglosen Umgang von „Zoom“, „Dropbox“ & Co. im betrieblichen Alltag vorbei. Denn sie sind für Unternehmen in der EU nach der aktuellen Rechtsprechung so ohne weiteres legal nicht mehr einsetzbar. Aber es gibt Abhilfe, wie Sie die (EU) DSGVO einhalten und trotzdem Anwendungen nutzen können, deren Datenverarbeitung in den USA stattfindet.

Zielgruppe

Dieser Video-Beitrag über Datenverarbeitung in den USA wendet sich an Selbständige, Inhaber und Entscheider von Unternehmen, die Cloudlösungen und SaaS-Anwendungen amerikanischer Betreiber in in ihrem Betrieb einsetzen.

Vorkenntnisse und Hintergrundwissen

Sie benötigen Sie keine Vorkenntnisse, denn alle wichtigen Begriffe und fachlichen Zusammenhänge werden verständlich erklärt. Doch falls Sie sich ein wenig vorbereiten oder etwas mehr nachlesen wollen, dann empfehlen wir Ihnen unsere Beiträge zur DSGVO.

Starten Sie das Webinar:

(K)ein Sommerhit

Die Sache ist eigentlich nicht zum Lachen. Aber „Ransomware“ – eine äußerst gefährliche Schadsoftware – hat  jetzt ihren eigenen Musik-Hit. Während der Pwnie Awards, dem „Security Oscar“ (heise.de August 2021)  prämierte die Jury  den „Ransomware-Song (Just Blame Math)“ von Forrest Brazeal (Youtube, Juni 2021)  zum besten Song des Jahres. Doch vielleicht ist es ganz gut, wenn sich ein musikalischer Programmierer mit diesem ernsthaften Problem satirisch auseinandersetzt.

Tatsächlich ist sind die Algorithmen, welche ganze IT-Systeme durch Verschlüsselung der Speichermedien unbrauchbar machen, „einfach nur Mathematik“. Mathematik, welche die Unzulänglichkeiten schlampig programmierter Softwares ausnutzen, um in die IT-Landschaften von Unternehmen und Behörden einzudringen. Das heißt: Dieses Mal sind nicht nur die Anwender „selbst schuld“, sondern sie sind tatsächlich echte Opfer.

Hacker nutzen Ransomware, die sie über Sicherheitslücken in Software-Patches oder Updates einschleusen. Damit dringen sie in die IT-Systeme ein, verschlüsseln die Speichermedien von Servern oder Endgeräten und fordern dann hohe Lösegelder von ihren Opfern. Denn diese sind jetzt komplett lahmgelegt und stehen unter hohem Druck. Nach Zahlung der erpressten Summe erhalten die Opfer dann den Schlüssel und können ihre Systeme wieder betriebsbereit machen. Manche der Betroffenen nutzen noch nicht befallene Datensicherungen, deren Rückspielung einen zwar veralteten aber brauchbaren Datenbestand enthalten. Aber die IT-Landschaft muss trotzdem komplett neu eingerichtet werden. Das alles kostet Zeit und verschlingt Unsummen. Vom Imageschaden mal ganz abgesehen.

Und dennoch ist man dem nicht hilflos ausgeliefert. In unserem „Webcast: Ransomware 2021 – Gegenmittel und Abwehrmassnahmen“ greifen wir die Problematik auf und zeigen Wege und Lösungen, wie Sie mit dieser Bedrohung ganz praktisch umgehen. Da braucht man keine höhere Mathematik, sondern nur ein vernünftiges Sicherheitsmanagement. Und das ist eigentlich kein großer Hit.

In diesem Sinne

Ihr eBusiness Lotse Berlin