Jump to content

Cloud und USA


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

oh man, wie ich ausrasten könnte bei einem Kommentar wie " wer nichts zu verbergen hat" ...

 

ich frage mich wirklich für wen oder was ich bei der Volkszählung der 80er Jahre in Bonn demonstriert habe.

Und :

Unsere Kundenkommunikation fällt nun mal wirklich in den Bereich "vertraulich". aber bald ist das ja kein Problem mehr, Stichwort : Ende zu Ende Verschlüsselung

Link zu diesem Kommentar

Was man dazu vielleicht wissen sollte, ist die Tatsache, dass dieser Fall genau nach rechtsstaatlichen Prinzipien abläuft. Es gibt einen Verdacht gegen eine Person, die möglicherweise in kriminelle Aktivitäten verwickelt ist. Die Staatsanwaltschaft ermittelt und beantragt einen richterlichen Durchsuchungsbeschluss. Der Richter stimmt dem zu und es wird der Provider um Zugriff gebeten.

 

Genau das gleiche würde bei uns nicht anders ablaufen. Wen es interessiert, der mag mal einen Blick werfen auf 'Staatliche Zugriffe in der Cloud': http://m.hoganlovells.com/hogan-lovells-revealing-study-about-governmental-access-to-data-in-the-cloud-detailed-in-white-paper-released-at-brussels-program-05-23-2012/

 

Die Besonderheit ist, dass die Daten in diesem Fall nicht auf Servern im amerikanischen Justizbereich gespeichert sind. Wir sind der Meinung, dass analog zu physikalischen Hausdurchsuchungen solch ein richterlicher Beschluss nur auf amerikanischem Boden ausgeübt werden kann und international um Rechtshilfe in dem Land gebeten werden muss, wo die Daten physikalisch gespeichert sind.

 

Allerdings hinkt hier die Justiz und Rechtsprechung der technologischen Entwicklung hinterher. Heute kann man digitale Daten problemlos in Sekunden zwischen verschiedenen Juristriktionen hin- und herschieben. Man kann Daten so speichern, das sie in Chunks auf Servern in unterschiedlichen Ländern verteilt sind...

 

Es bleibt abzuwarten, wie hier höhere Instanzen entscheiden werden. Wir legen Berufung ein und treiben das bis zum höchsten Gericht. Der Vollzug wurde auch bis zum Ablauf des Berufungsverfahrens ausgesetzt.

 

Bei uns werden auch viele rechtliche Fragen von der Legislative, Judikative und Exekutive unterschiedlich bewertet, bis eine Grundsatzentscheidung Rechtssicherheit schafft. Ich verweise hier nur mal als Beispiele auf das Volkszählungsurteil (Geburtsstunde des neuen Grundrechts auf informationelle Selbstbestimmung) oder die europäische Entscheidung gegen die Vorratsdatenspeicherung.

bearbeitet von Daniel -MSFT-
Link zu diesem Kommentar

Daniel das Problem derzeit ist doch, dass die diversen Gerichte den Geheimdiensten alles erlauben und es absolut keine Kontrollinstanz gibt. Siehe den aktuellen CIA Fall, die bei dem Parlamentarische Geheimdienst-Kontrollgremium einfach mal Daten gelöscht haben nach dem sich reingehackt wurde. Und da es darüber keine Kontrolle gibt, welche Dienste zugreifen sollte das ganze Cloud Thema für Unternehmensdaten als gestorben angesehen werden.

Link zu diesem Kommentar

Hi NeMIX,

 

im aktuellen CIA-Beispiel hat kein Gericht das der CIA vorher erlaubt. Die haben das einfach gemacht, weil sie es können. Die Zieldaten lagen übrigens auch nicht in der Cloud, sondern, wenn ich das richtig verstanden habe, in einem lokalen, angeblich besonders gesicherten Netzwerk. Daher kann ich Deinem Schluss nicht folgen. Dein Beispiel spricht eher dagegen: Die meisten Unternehmensnetzwerke sind schlechter gesichert als Cloudumgebungen. Dort fallen Einbruchsversuche auch viel eher auf.

Link zu diesem Kommentar

Die meisten Unternehmensnetzwerke sind schlechter gesichert als Cloudumgebungen. Dort fallen Einbruchsversuche auch viel eher auf.

Gegen was denn gesichert?

-  Bedrohungszenario1: "Menschen kommen mit LKW und transportieren die Server physikalisch ab"

- Bedrohungsszenario2: "da stehen Menschen im Anzug mit offiziellen Zettel und ein paar Polizisten sind auch dabei, die wollen an die Systemkonsole von Servern 500-520 um da zu lesen oder zu schreiben"?

- Bedrohungsszenario3: "da nutzen Menschen mit 'Amt für XYZ' im Rücken undokumentierte Sicherheitslücken in beliebter Software X aus (über Internet, ggfs. ohne Richterzettel), um da Sachen auszuspähen oder zu verändern?"

- Bedrohungsszenario4: "da nutzen Menschen mit 'Amt für XYZ' im Rücken undokumentierte Sicherheitslücken in beliebter Software X aus (innerhalb desselben Datacenter, ggfs. ohne Richterzettel), um da Sachen auszuspähen oder zu verändern?"

- Bedrohungsszenario5: "da nutzen Menschen (ohne 'Amt für XYZ' im Rücken) undokumentierte Sicherheitslücken in beliebter Software X aus, um da Sachen auszuspähen/zu verändern oder Geld/Schutzgeld zu erpressen?"

 

Ganz locker werfe ich mal www.codespaces.com in den Raum wo es heisst: "most of our data, backups, machine configurations and offsite backups were either partially or completely deleted." und "Code Spaces will not be able to operate beyond this point, the cost of resolving this issue to date and the expected cost of refunding customers who have been left without the service they paid for will put Code Spaces in a irreversible position both financially and in terms of on going credibility."

bearbeitet von cgri
Link zu diesem Kommentar

Jetzt hast Du ganz viel geschrieben aber mir wird nicht klar, was Du damit sagen willst. Oder hapert es vielleicht an meinem Leseverständnis?

 

Was Codespaces passiert ist, liegt nach http://blog.trendmicro.com/the-code-spaces-nightmare wohl an simplen administrativen Fehlern. Kein besonderer Schutz von hoch-privilegierten Accounts (Multifaktor-Authentifizierung), keine Auftrennung der Administration nach Rollen. Wer ein 'Root darf alles'-Konzept fährt, darf sich über sowas nicht wundern. Das hat mit Cloud nichts zu tun. Das kann lokal genauso schief gehen.

bearbeitet von Daniel -MSFT-
Link zu diesem Kommentar

Einfachstes Beispiel, was man "lokal" realisieren kann und "in der Cloud" bei keinem mir bekannten Anbieter: Bei Softlayer ("81,000 servers for more than 26,000 customers", letztes Jahr für 2 Mrd. von der IBM aufgekauft, also kein kleiner Laden) kann man kein Bandlaufwerk/DVD-Brenner anschliessen um dann Sicherungskopien "100%" offline in den Tresor zu tun. - verifiziert vor 30 Minuten.

Wenn jemand was gegen Wechselmedien hat: Ein 4-Bay-NAS, oder zwei davon, kostet auch nicht die Welt - wenn keine Sicherung läuft einfach den dazwischenliegenden Switch elektrisch ausschalten, so kann kein böser Mensch über Internet ran, selbst bei noch soviel gestohlenen Credentials, oder bei USB3-Diskarrays einfach Kabel ziehen.

bearbeitet von cgri
Link zu diesem Kommentar

Ich fürchte, Du solltest Dich etwas mehr mit Cloudtechnologien beschäftigen, bevor Du solche Vergleiche ziehst. Was Du verlangst, geht bei Housing oder Private Cage, wo dem Kunden dedizierte Server zugeordnet sind.

 

Bei IaaS bekommst Du dagegen virtuelle Instanzen. Da ist DVD-R oder NAS kein sinnvolles Konzept.

 

Wenn Codespaces zum Beispiel Amazon Glacier als Tape Backup genutzt hätte, wäre das wohl nicht passiert. Oder wenn Sie ihr Backup bei einem anderen Cloudanbieter vorgehalten hätten. Oder wenn sie die Berechtigung, Backups löschen zu dürfen, an eine eigene, besser gesicherte Adminrolle ausgelagert hätten.

 

Deine Beispiele mit dem NAS und den gezogenen Kabeln kannst Du im professionellen Betrieb ganz schnell vergessen. Willst Du da jemanden hinsetzen, der im richtigen Moment die Kabel wieder reinzustecken hat?

 

Ausserdem ist so ein NAS an einem Ort auch kein besonders sicheres Backup. Wie sieht's aus bei Diebstahl, Vandalismus, Brand, etc? Wid sicher dass sind die Festplatten? Ich sach nur: http://blogs.technet.com/b/dmelanchthon/archive/2006/01/19/shocking-harddisk.aspx

bearbeitet von Daniel -MSFT-
Link zu diesem Kommentar

Ich fürchte, Du solltest Dich etwas mehr mit Cloudtechnologien beschäftigen, bevor Du solche Vergleiche ziehst. Was Du verlangst, geht bei Housing oder Private Cage, wo dem Kunden dedizierte Server zugeordnet sind.

Ich bin mit meiner jetzigen, flexiblen Lösung zufrieden. Cloud bietet mir keinen Mehrwert, nur Mehr-Risiko.

SAN-Bereiche schreibschützen mit Zeitablauf bietet ebenfalls kein mir bekannter Cloud-Anbieter.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...