also ich bin ehrlich gesagt auch kein Freund von den aktuell verfügbaren Public Cloud Lösungen. Ich würde hier auch nie unternehmenskritische Daten wie Backups (egal wie gut verschlüsselt) ablegen. Dazu gibt es in dem Bereich viel zu viele unbekannte Risikofaktoren. Viele davon wurden schon angesprochen:
- Verfügbarkeit der Umgebung (End2End), man bräuchte nicht nur Verträge mit dem Cloud Anbieter sondern auch mit allen zwischenliegenden Telco-Unternehmen um eine perfomante Anbindung im DR Fall zu haben.
- Recovery Zeit bei großen Datenmengen (da spielen auch wieder die Telco's mit eine Rolle)
- Zugriffsrechte von Administratoren / Mitarbeitern auf die Daten in der Cloud
- Durchgriffsrechte von (fremden) Regierungen / Geheimdiensten auf die Daten (Thema Patriot Act)
- Tatsächliche Kosteneinsparung (Welche zusätzliche Hardware / Verträge sind nötig um die Cloud in die gleiche Position zu bringen wie ein "lokales" Backup im DR Rechenzentrum und was kann am Ende gespart werden.)
- Ich würde das Angriffsrisiko eines zentralen Anbieters deutlich höher einschätzen als das meiner lokalen Infrastruktur. (Kosten / Nutzen für den Angreifer -> Der Erfolgreiche Hack / Infiltration der Cloud gibt Zugriff auf riesige Datenmengen)
... ich könnte wohl noch etwas länger weiter schreiben - aber im wesentlichen sind alle z. B. über CoBiT beschriebenen Sicherheitsvorkehrungen fraglich / unbekannt. Daher wäre für mich das unternehmerische Risiko für eine solche Lösung viel zu hoch, selbst wenn man von einer perfekt funktionierenden und für immer sicheren Verschlüsselungslösung (die es nicht gibt) ausgeht.
In S-H gab es vor kurzem einen "Vorfall", Patientendaten der Brücke sollen potentiell zugänglich gewesen sein im Internet, Versagen eines Dienstleisters (Rechenzentrums, Cloud).
Auch wir speichern Daten auf uns vom Auftrageber vogegebenen Internetsites von Rechenzentren; das ist nicht unsere Entscheidung, es ist die des Auftraggebers. Wir dürfen diese Daten nicht bei uns speichern, es sind nicht unsere, es sind die des Auftraggebers.
Falls ein Admin meint, Daten unter seiner Kontrolle zu haben, dann hat wohl nur er Zugang; bei uns sind es jede Menge Benutzer, die erstellen Daten und löschen diese auch wieder. Ich komme erst ins Spiel, falls jemand etwas vermisst, nicht weiß seit wann, nicht mehr weiß wie die Datei hieß, ..... .
Und den Verwaltungsdirektoren und GFs interessieren die Einsparungen durch die Cloud, die Meinungen und Ängste von (auch leitenden) Admins, sind uninteressant.
Wenn ich dem Zertifikatsschutz nicht traue, darf man nach Draussen schlicht nicht mehr elektronisch kommunizieren, d.h. kein WLAN, keine verschlüsselten/ signierten Mails, kein VPN ... . Alles kann mitgeschnitten und mit Sicherheit in X-Jahren aufgemacht und gegen dich werden. (Das X ist vermutlich nicht besonders groß).
Lt. Verschwörungstheoretikern brauchen Geheimdienste die X-Jahre dafür nicht mal abzuwarten.
Ich war schon in Firmen bzw. Abteilungen, da geht keine einzige Datenleitung aus den Mauern raus, jeder Winkel im Gebäude wird von Kameras übewacht, seine Hände muss man immer sichtbar halten...
OT "blub...
Ich war schon in Firmen bzw. Abteilungen, da geht keine einzige Datenleitung aus den Mauern raus, jeder Winkel im Gebäude wird von Kameras übewacht, seine Hände muss man immer sichtbar halten..."
Diesen Firmen eine Cloud-Backup-Lösung zu verkaufen, wäre doch mal eine echte Herausfordernung /OT
Bei dieser Diskussion muss man Klassifizieren - bei den zu sichernden Daten angefangen bis zum Cloud-System, wo die Daten später liegen.
Ich würde auch NIE die Amazon-Cloud als Backup-Lösung in Bertracht ziehen.
Also ich würde durchaus unseren (personenbezogenen!) Datenbestand unserem Rechenzentrumsverbund, an den wir angeschlossen sind, anvertrauen (sollte dieser je eine Cloud-Backup-Lösung anbieten).
Ob er die Daten zwischen Rechenzentrum A, B oder C hin- und herschiebt, wäre mir egal - Hauptsache, diese sind ausfallsicher und zugriffsgeschützt gelagert.
Allerdings würde dies bereits aus Kostengründen scheitern, denn die dafür erforderliche Breitbandinfrastruktur würde ein Vermögen verschlingen.
Wenn ich dem Zertifikatsschutz nicht traue, darf man nach Draussen schlicht nicht mehr elektronisch kommunizieren, d.h. kein WLAN, keine verschlüsselten/ signierten Mails, kein VPN ... . Alles kann mitgeschnitten und mit Sicherheit in X-Jahren aufgemacht und gegen dich werden. (Das X ist vermutlich nicht besonders groß).
Oben war das Thema Zertifikate mal in einem anderen Kontext angesprochen (sowas wie SAS 70 oder ISO 900x), oder habe ich da etwas falsch verstanden?
Lt. Verschwörungstheoretikern brauchen Geheimdienste die X-Jahre dafür nicht mal abzuwarten.
Dank der großen Clouds zählt das leider nicht nur für Geheimdienste. Auf der letzten Blackhat war ein Vortrag zu sehen bei dem ein junger Mann (ich schätze mal 18 oder 19) aus deutschland die Amazon Cloud dazu verwendet hat an sich sichere Schlüssel zu knacken und dass für ein paar Euro gemieteter Rechenpower...
Ich war schon in Firmen bzw. Abteilungen, da geht keine einzige Datenleitung aus den Mauern raus, jeder Winkel im Gebäude wird von Kameras übewacht, seine Hände muss man immer sichtbar halten...
blub
Off-Topic: Hast du beim betreten meiner Wohnung ncith auch unterschrieben, dass du keinem davon erzählst?
Ich war schon in Firmen bzw. Abteilungen, da geht keine einzige Datenleitung aus den Mauern raus, jeder Winkel im Gebäude wird von Kameras übewacht, seine Hände muss man immer sichtbar halten...
Ich hoffe du wurdest vorzeitig wegen guter Führung wieder frei gelassen...
Ich hoffe du wurdest vorzeitig wegen guter Führung wieder frei gelassen...
Die wollten mich nicht mehr, ich war einfach zu überqualifiziert
Ernsthaft: meines Wissens gelten 2048-er Schlüssel auch beim Einsatz von Cloudpower noch als sicher. Die Info ist aber auch schon wieder 6 Monate alt . Welche Schlüssellänge hatte die Amazon Cloud?
