Technical Summit 2015

Die deutsche Cloud – sicher, aber nicht absolut
Kommentare

Vom 17. bis 19. November fand der Technical Summit 2015 in Darmstadt statt. Wir waren vor Ort auf Microsofts Konferenz für Entwickler- und IT-Professionals, die in diesem Jahr zum zweiten Mal stattgefunden hat. Ein wichtiges Thema der Konferenz war der Einsatz von Cloud-Technologien in Unternehmen. Dazu wurden ganz im Zeichen von DevOps Aspekte vorgestellt, die Entwickler und Administratoren gleichermaßen betreffen.

Zur Begrüßung des Technical Summit fasste Peter Jaeger, Senior Director Developer Experience & Evangelism (DX), zusammen, wohin die Reise bei Microsoft zukünftig gehen soll.

Cortana und Co. sollen Computer mehr und mehr personalisieren

Eine Vision, die der Softwarekonzern weiterhin fokussiert verfolgen will, ist es, Computer mehr und mehr zu personalisieren – sprich ihnen eine Art Persönlichkeit einzuhauchen und sie zu einem möglichst persönlichen Begleiter von Anwendern zu machen, der nicht nur auf Anweisung reagiert, sondern – wie ein Assistent – proaktiv relevante Informationen liefert. Mit der Einführung von Windows 10, das den persönlichen Sprachassistenten Cortana integriert, ist sicherlich ein Meilenstein in diese Richtung markiert. Ganz oben auf der Liste von Microsoft steht außerdem das Thema Datensicherheit, dass der Softwarekonzern beispielsweise durch Technologien wie Windows Hello zu vereinfachen versucht. Nutzer haben damit die Möglichkeit, sich per Fingerabdruck-, Gesichts- oder Iriserkennung bei Ihren Windows 10-Geräten anzumelden, ohne ein Kennwort eingeben zu müssen.

„Die Cloud soll da sein, wo echtes Leben stattfindet“

Aber vor allem das Thema Cloud steht obenauf am Microsoft-Himmel. „Die Cloud soll da sein, wo echtes Leben stattfindet“, mit diesen Worten brachte Jaeger ein weiteres Ziel von Microsoft zum Ausdruck. Um dieses umzusetzen, setzt der Softwarekonzern verstärkt auf Azure-Machine-Learning-Technologien, die eine intelligente Cloud-Plattform ermöglichen sollen. In diesem Kontext kam auch Dr. Thomas Friese von Siemens Healthcare zu Wort, der „teamplay“ vorstellte – ein neues Programm, das derzeit mithilfe der Azure-Plattform entwickelt wird.

Im Zuge der Frage, in welcher Hinsicht man die Sicherheit von Unternehmensdaten in der Cloud gewährleistet kann, war es sicherlich ein kluger Schachzug Microsofts, ausgerechnet einen Kunden aus dem Healthcare-Bereich, in dem die ständige Aktualisierung von ISO-Zertifizierungen auf der Tagesordnung steht, als Sprecher auszuwählen. Das sich die Siemens Healthcare GmbH auf die Sicherheit der Microsoft-Cloud-Services  verlässt, dürfte seine Wirkung vermutlich nicht verfehlt haben.

Microsoft Cloud in Deutschland – das steckt dahinter

Im Cloud-Bereich gibt es aber vor allem eine Neuerung, mit der Microsoft die Sicherheitsbedenken von Anwendern adressiert: Im nächsten Jahr wird es eine neue Cloud mit deutscher Datentreuhand geben. Was genau das bedeutet, hat Rainer Strassner aus dem Azure-Datacenter-Team in seiner Keynote „Insights: Microsoft Cloud in Deutschland“ näher erläutert. Bereits am 11. November hat Satya Nadella die neue Cloud-Strategie von Microsoft vorgestellt,  die beinhaltet, dass der Softwarekonzern seine Dienste Azure, Office 365 und Dynamics CRM Online künftig auch aus Rechenzentren in Magdeburg und Frankfurt am Main anbieten wird. Ab der zweiten Jahreshälfte 2016 sollen die neuen Cloud-Dienste sukzessive im Markt ausgerollt werden und auch Kunden aus anderen europäischen Ländern (EU und EFTA) zur Verfügung stehen.

Wie Strassner betont, wird es keinen besonderen neuen Datenschutzstandard geben. Die deutschen Rechenzentren sollen die gleichen Service-Level und Sicherheitsstandards wie die globalen Microsoft-Cloud-Angebote bieten, mit dem einzigen Unterschied, dass die US-Regierung keinen Zugriff auf die Daten hat. Zudem soll es eine eigene Instanz von Azure Active Directory geben, was bisher eine Hürde darstellt. Die Kontrolle über die Daten liegt beim Datentreuhänder T-Systems, einer Tochterfirma der Deutschen Telekom. Ohne Zustimmung des Datentreuhänders oder des Kunden hat Microsoft keinerlei Zugang zu Kundendaten.

Klingt nach einem vernünftigen Plan, aus dem Publikum kamen dennoch berechtigte kritische Fragen. So trat unter anderem ans Licht, dass es für Nutzer der deutschen Cloud keinen Vertrag mit der Microsoft Deutschland GmbH geben wird. Zu bedenken bleibt außerdem, dass T-Systems weltweit agiert, fraglich ist also, wie und ob sichergestellt werden kann, dass  das Unternehmen nicht zur Herausgabe der Daten gezwungen wird – beispielsweise durch die amerikanische Regierung. Jaeger zufolge wird dieser Punkt rechtlich in der Auftragsdatenverarbeitung geklärt. Die Aussage „An die Daten kommt niemand ran“ lässt sich ihm zufolge zugegebenermaßen allerdings nicht unterschreiben. Auf die Frage, ob es Migrationswege aus der europäischen Cloud in die deutsche Cloud geben wird, gab Jaeger ein „klares Jein“ zur Antwort: „Tenants der EU Cloud kann man nicht einfach umhängen“, erläuterte er. Wie sich das alle in der Praxis entwickelt werden, wir Ende 2016 sehen.

Sichere Anwendungsentwicklung und Deployment in der Cloud

Zum Abschluss des ersten Tages diskutierten Peter Jaeger (Microsoft), Peter Arbitter (Microsoft), Thomas Friese (Siemens Healthcare GmbH), René Büst (Crisp Research AG) Prof. Andreas Heinemann (Hochschule Darmstadt) und Wolfgang Herrmann (IDG Business Media GmbH), die Frage, wie bzw. ob sichere Anwendungsentwicklung und Deployment in der Cloud möglich sind. Dabei zeigten sich drei Punkte deutlich: absolute Sicherheit gibt es nicht, die Cloud ist sehr sicher und die Nutzer der Cloud, seien es Anwender, Entwickler oder Administratoren, müssen sich bewusst sein, dass sie in der Cloud arbeiten und sich entsprechend verhalten.

Das Panel gab hierzu zu bedenken, dass man in der allgemeinen Diskussion Datenschutz und Datensicherheit getrennt betrachten muss. René Büst sagte dazu, es gehe in der Regel nicht um das Vertrauen in die Technologie, sondern immer sofort um die Daten „aber die sind im eigenen Keller nicht sicherer“, so Büst, und „wenn jemand da ran will, der BND, die NSA,“ dann kommen die schon ran, und sei es, dass man eine Sekretärin oder den Pförtner schmiert. Hier ist die Hürde bei Cloud-Systemen in jedem Fall höher, da der Zugang zu den Cloud-Rechenzentren ungleich schwerer ist. Zudem seien diese durch Teams von Sicherheitsexperten betrieben, wie sie sich ein einzelnes Unternehmen nicht leisten könne. Das gilt für Angriffe ebenso wie für den Schutz von Datenverlust. Dieser Aspekt scheint auch im Markt anzukommen, denn laut Büst zeige eine aktuelle Studie, die Ende November erscheint, die zunehmende Bereitschaft in deutschen Unternehmen, die Cloud-Nutzung einzuführen eine „positive Entwicklung“ vor allem im Zuge der digitalen Transformation mit dynamischen Infrastrukturen und agilen Methoden seien Unternehmen dafür offen.

Stellen Sie Ihre Fragen zu diesen oder anderen Themen unseren entwickler.de-Lesern oder beantworten Sie Fragen der anderen Leser.

Friese unterstützte diesen Punkt und bestätigte, dass man sich davon auch vor Ort in den Rechenzentren von Microsoft überzeugt habe. Siemens nutze nun für die teamplay-Lösung die eigene Infrastruktur, aber die Plattform-as-a-Service-Angebote von Azure. Er sagte, dass sowohl im Hinblick auf Datensicherheit und auch Datenschutz Transparenz gegenüber den Nutzern wichtig ist. Diese sollten immer nachvollziehen können, was die Anwendung zu welchem Zeitpunkt mit den Daten macht und wo sie sind. Die Möglichkeit, dass der Anwender das immer selbst überprüfen kann, sollte so in die Anwendung integriert sein – ein Punkt, dem Hermann voll und ganz zustimmte.

Was den Datenschutz angeht, waren Peter Arbitter und Peter Jaeger von Microsoft vor allem im Hinblick auf das Treuhändermodell mit der Telekom überzeugt, dass dieses  momentan von rechtlicher Seite sicher sei. Auf Nachfrage aus dem Publikum betonte Arbitter mehrfach, dass man über zwei Jahre viele Anwälte beschäftig habe, um das zu klären und diese Modell zu entwickeln. Aber für die Zukunft wollte verständlicherweise keiner die Hand ins Feuer legen – was hinsichtlich der dynamischen Entwicklung in Sachen Datenschutz auch klar sei.

Wenn das Vertrauen in die amerikanischen Anbieter bzw. der Cloud aus einer Hand fehle, böten sich die Alternative auf heterogene System zu setzten, so Heinemann, die es erlaubten, Komponenten auszutauschen, sobald Probleme auftreten. Büst gab zu bedenken, dass man ja statt zu diskutieren und zu klagen auch darüber nachdenken könne, in Deutschland bzw. Europa eigene, vollständige Cloud-Technologien zu entwickeln, sodass die Rechtsprechung der USA oder andere Staaten keinen Einfluss haben. Hier könne man durchaus in die in Innovationen investieren.
Auch wenn der beste Umgang mit der Cloud noch nicht gefunden ist, bleibt doch eine Frage: wie lange kann man es sich als Unternehmen heute noch leisten, die Cloud zu ignorieren?

Aufmacherbild: Data and Computer Security in the Cloud von Shutterstock / Urheberrecht: Nailia Schwarz

Unsere Redaktion empfiehlt:

Relevante Beiträge

Meinungen zu diesem Beitrag

X
- Gib Deinen Standort ein -
- or -