Eine Entdeckungsreise in Cloud-Computing
Cloud-Computing ist seit ca. 2010 in aller Munde und dominiert auch heute – rund zehn Jahre, nachdem es in Erscheinung getreten ist – den IT-Markt. Angesichts der weltweit wachsenden Bedenken bezüglich Datenschutz und Privatsphäre ist es wichtig, einen Blick darauf zu werfen, welche verschiedenen Arten von Cloud-Computing-Services heutzutage angeboten werden.
Die wichtigsten Größen im Bereich Cloudanbieter sind momentan Amazon, Microsoft, Google, IBM, Oracle und SAP. Millionen von Unternehmen und Privatpersonen nutzen deren Dienstleistungen entweder als Erweiterung ihrer bereits vorhandenen IT-Infrastruktur oder manchmal gar als vollständigen Ersatz für diese.
Was ist Cloud-Computing überhaupt?
Cloud-Computing-Services basieren auf einer Virtualisierungstechnlogie, bei der physische Server unter Verwendung von Hypervisor-Software in ein abstraktes Ressourcenbündel umgewandelt werden. Virtuelle Maschinen können mittels vorkonfigurierter OS-Images in Minutenschnelle erstellt und ebenso zügig außer Betrieb gesetzt werden.
Wie funktioniert Cloud-Computing?
Es funktioniert auf dieselbe Weise wie jede andere firmeneigene oder private IT-Infrastruktur – nur dass Sie die Verbindung zu ihr über die Entfernung per Internet oder über ein direktes VPN herstellen. Der Serviceanbieter verfügt über mehrere Datencenterstandorte rund um den Globus und bietet unterschiedliche virtualisierte Funktionalitäten (virtuelle Maschinen, Speicherplatz, Datenbanken, Software, Rechnerkapazitäten, Netzwerkfunktionen etc.) seiner eigenen Infrastruktur auf Abonnement- oder Vertragsbasis an.
Die verschiedenen Arten von Cloud-Computing-Services
Es gibt drei Hauptarten von Cloud-Computing-Services: Infrastructure-as-a-Service, Platform-as-a-Service und Software-as-a-Service. Diese lassen sich am besten aufbauend von unten nach oben beschreiben, indem man mit der physischen Schicht beginnt und sich bis zur Anwendung hocharbeitet.
Infrastructure as a Service (IaaS)
Infrastructure as a Service (IaaS) erlaubt es Ihnen, Ihre eigene IT-Infrastruktur um Speicherplatz und Rechnerkapazitäten zu erweitern oder sie komplett von Ihren physischen Servern auf virtualisierte Computerressourcen zu übertragen. Die Verantwortung für die Instandhaltung und Verwaltung von physischen Servern, deren Unterbringung, Virtualisierung (Hypervisor), Speicherplatz und Netzwerkbetrieb liegt beim Anbieter. Auf eine derartige Infrastruktur kann über ein privates Netzwerk oder übers Internet mittels einer API oder einem Dashboard zugegriffen werden. Der Kunde kann zusätzlich virtuelle Maschinen und Anwendungen für die von ihm gewünschten Zwecke erstellen und verwalten. Der Anbieter muss Geschäftskontinuität durch die Bereitstellung einer stabilen Verbindung und Ressourcenverfügbarkeit sicherstellen. Magento ist ein typisches Beispiel für IaaS in AWS.
Die Vorzüge von IaaS:
- Kosten: Kleine oder mittlere Unternehmen, die kein großes Budget für ihre IT-Infrastruktur oder ‑Fachleute zur Verfügung haben, ziehen die meisten Vorteile aus der Nutzung von IaaS-Dienstleistungen. Serviceanbieter verdienen ihren Lebensunterhalt mit der Bereitstellung derartiger IT-Umgebungen in Übereinstimmung mit anspruchsvollen Dienstleistungsvereinbarungen (Service Level Agreements, SLA), damit Unternehmen jeglicher Größe von besseren Sicherheits- und Betriebsgepflogenheiten profitieren können.
- Skalierbarkeit: Unternehmen, die über ein beschränktes Budget für ihre eigene IT-Umgebung verfügen, können IaaS-Verträge zu ihrem Vorteil nutzen, da diese auf einer Nutzungsbasis abgerechnet werden und einfach hoch- oder heruntergeschraubt werden können, wenn z. B. zusätzliche Ressourcen in Spitzenzeiten erforderlich sind.
- Flexibilität: Mitarbeiter können auf Dateien sogar von außerhalb des Firmengeländes oder von unterwegs aus zugreifen. Außerdem können Teams zusätzliche Rechner- und Speicherkapazitäten und Software-Anwendungen zugewiesen werden.
- Geschäftskontinuität: Im Falle von Unterbrechungen, Verbindungsproblemen oder Naturkatastophen garantiert die Nutzung eines IaaS-Services, der über mehrere Datenstandorte hinweg betrieben wird, dass der Geschäftsbetrieb niemals zum Stillstand kommt.
- Standorte: Einschränkende gesetzliche Vorgaben wie HIPAA oder die DSGVO können es Ihrem Unternehmen erschweren, Geschäfte in bestimmten Ländern zu machen, in die personenbezogene Daten nicht übertragen werden dürfen. Daher ist es eine gute Idee, Ihre Daten in einem speziell zu diesem Zweck eingerichteten Datencenter aufzubewahren, dessen Standort sich in dem Land befindet, in dem Sie Geschäfte abwickeln möchten.
Die Nachteile von IaaS:
- Kontrollverlust: Große Unternehmen, die viele Einschränkungen bezüglich der von ihnen oder im Auftrag ihrer Kunden gehandhabten Daten haben, werden Kontrolle und Transparenz bezüglich Leistung, Konfiguration, Sicherheit und Daten verlieren, wenn sie sich für IaaS entscheiden. Falls die Daten in einer öffentlichen Cloud aufbewahrt werden, könnten sensible Daten an unbekannte und gemäß der DSGVO unzulässige Standorte übertragen werden.
- Externe Effekte: Im Falle einer öffentlichen oder einer Virtual Private Cloud werden Sie mit anderen Nutzern um Rechner- und Speicherkapazitäten auf derselben physischen Hardware konkurrieren. Außerdem muss der Anbieter gewährleisten, dass eine angemessene Trennung für die verschiedenen Cluster der virtuellen Maschinen besteht und weder Datenverluste noch Crosstalk (gegenseitige Beeinflussung von Signalen) auftreten können.
- Instandhaltung: Auch wenn einer der größten Vorzüge einer Cloudinfrastruktur darin besteht, dass die Verantwortung für Instandhaltung und Hardware-Upgrades sowie Betriebssysteme oder Anwendungslizenzen nicht bei Ihnen liegt, müssen Sie dennoch sicherstellen, dass die Anbieter sich an die SLA halten und Sie und Ihr Unternehmen somit wettbewerbsfähig bleiben.
- Benutzerdefinierte Anpassung: Hochautomatisierte Umgebungen, die einem vorgegebenen Schema folgen, bieten weniger Raum für benutzerdefinierte Anpassung. Zusätzlich gibt es erhebliche Unterschiede zwischen den Anbietern, wenn es um ihre Sicherheitspraktiken in Bezug auf Datenschutz und Privatsphäre der Nutzer geht.
- Lock-in-Effekt: Cloudanbieter bieten kurzfristige Pay-as-you-go-Verträge, die ihre Rechnung auf Verbrauchsbasis stellen. Aber falls Sie sich irgendwann für einen Anbieterwechsel entscheiden, ist es nicht immer einfach, aus einem solchen Vertrag herauszukommen – und die komplette Migration Ihrer IT-Infrastruktur wird schnell zu einem komplexen und mühsamen Unterfangen werden.
- Ausfallzeiten: Die meisten IaaS-Angebote basieren auf redundanten Datenzentren, die über mehrere Standorte verteilt sind. Dennoch kann es zu Ausfallzeiten kommen. Wenn Sie mit wichtigen Anwendungen umgehen und Daten handhaben, die stets verfügbar sein müssen, sollten Sie eine direkte VPN-Verbindung zur IaaS anstelle des Internets erwägen. Stellen Sie sicher, dass ausreichend WAN-Bandbreite zur Verfügung steht und dass die Wartung durch den Anbieter niemals während Hauptgeschäftszeiten stattfindet.
Platform as a Service (PaaS)
Mit Platform as a Service (PaaS) übernimmt der Serviceanbieter die Verantwortung für das Betriebssystem, die Middleware und die Laufzeitumgebung. Hierbei handelt es sich gewöhnlicherweise um eine Plattform für bestimmte Arten von Business-Software (z. B. SAP), die an der Spitze vom Kunden verwaltet wird. PaaS wird auch weitläufig im Bereich Softwareentwicklung und -programmierung eingesetzt, so dass es nicht nötig ist, sich um die zugrundeliegende Infrastruktur zu kümmern. Azure App Service ist ein Paradebeispiel für einen PaaS-Anbieter.
Die Vorteile von PaaS:
- Kosten: Einer der größten Vorteile von PaaS besteht darin, dass selbst kleine oder mittlere Unternehmen von hochmodernen Ressourcen und Technologien zu einem sehr erschwinglichen Preis profitieren können. Es ist nicht nötig, eine robuste IT-Umgebung am Firmenstandort einzurichten.
- Markteinführung: PaaS ist die perfekte Sandbox – also eine sichere Testumgebung – für Unternehmen, die eine Anwendung so schnell wie möglich entwickeln und auf den Markt bringen möchten.
- Skalierbarkeit: PaaS ermöglicht eine schnelle Aufstockung zu Stoßgeschäftszeiten oder wenn ein Bedarf an Test- und Vorproduktionsumgebungen besteht – und eine ebenso einfache Reduzierung.
- Flexibilität: Befähigen Sie Ihre Mitarbeiter dazu, sich in Anwendungen von diversen Geräten und Standorten aus anzumelden und in diesen zu arbeiten.
Die Nachteile von PaaS:
- Anbieterabhängigkeit: Es gibt riesige Unterschiede zwischen den von den Anbietern bereitgestellten Kapazitäten und man kann schnell in vertragliche Fallen tappen, in denen Sie auf Programmiersprachen, Benutzeroberflächen oder Programmen sitzen bleiben, für die Sie nicht länger Bedarf haben.
- Kompatibilität: Kunden, die bereits über eine etablierte Entwicklungsplattform verfügen, können sich Schwierigkeiten gegenübersehen, wenn sie PaaS in ihre Umgebung integrieren möchten. Außerdem können im Laufe der Zeit weitere Inkompabilitätsprobleme auftreten.
- Abhängigkeitsverlagerung: Der Kunde trägt weiterhin die Verantwortung für die Sicherheit der von ihm entwickelten Anwendung. Eine gründliche Planung ist notwendig, um zu gewährleisten, dass die zugrundeliegende Plattform dem Zweck der Anwendung und deren Sicherheitsstruktur gerecht wird.
- Datensicherheit: Die Aufbewahrung von geschäftlichen oder sensiblen personenbezogenen Daten in Datenbanken des Anbieters kann mit Risiken behaftet sein. Fällen Sie ein fundiertes Urteil über die Sicherheitspraktiken von Cloudanbietern, besonders deren Verschlüsselungsmethoden. Die Transparenz der Anbieter in diesen Angelegenheiten lässt normalerweise darauf schließen, wie sehr Sie ihnen vertrauen können.
Software as a Service (SaaS)
Und zu guter Letzt: Software as a Service (SaaS). Dieses Angebot lässt sich mit der Anmietung eines Hotelzimmers vergleichen. Sie können an dem Zimmer keine Änderungen vornehmen, sondern mieten es in dem angegebenen Zustand an – und die Instandhaltung wird vom Hotelpersonal übernommen. SaaS bietet eine Softwareanwendung auf Abruf, die gewöhnlicherweise von Kunden über eine Webschnittstelle oder API verwendet wird. Alle Updates für die Softwareelemente werden vom Anbieter ausgeführt. Dies hat den Vorteil, dass der Kunde nicht Software auf einzelnen Workspaces oder Servern manuell installieren oder warten muss, und bietet bessere Methoden für die Zusammenarbeit. Typische Business-Anwendungen, die auf Lizenz- oder Abonnementbasis angeboten werden, sind Büro- und Kommunikationssoftware (z. B. Microsoft 365), HR-, ERP- und CRM-Managementsoftware, Lohnabrechnungs- und Buchhaltungsprogramme und mobile Apps.
Die Vorteile von SaaS:
- Marktbereitschaft: SaaS ist die beste Lösung für kleine und mittlere Unternehmen. Das Einrichten eines firmeneigenen Datencenters und firmeneigener Server sowie die Konfiguration und Wartung von firmeneigenen Anwendungen durch geschulte IT-Experten ist kostspielig und zeitaufwendig.
- Pay as you go: Für größere Unternehmen eignen sich auf einem Abonnement basierende SaaS-Lösungen perfekt für kurzfristige Projekte oder für Anwendungen, die nicht über das gesamte Jahr benötigt werden.
- Kosten: Der attraktivste Vorteil von SaaS besteht darin, dass Ihr Unternehmen Einsparungen bezüglich Kosten für die Instandhaltung von Hard-/Software und Personal machen kann.
- Stets auf dem neuesten Stand: Die Serviceanbieter werden dafür sorgen, dass jegliche Software stets aktualisiert und gepatcht ist und nur die neuesten Technologien eingesetzt werden, um wettbewerbsfähig zu bleiben.
- Zugänglichkeit: Ein breites Spektrum an Geräten (für mobile oder bürobasierte Workspaces) kann rund um die Uhr auf die Anwendung per Internet zugreifen.
- Skalierbarkeit: Falls Ihr Unternehmen rapide wächst und zusätzliche Ressourcen benötigt oder Sie Ihre Nutzung herunterschrauben müssen, da ein Entwicklungsprojekt zu Ende gegangen ist, halten Cloudanbieter Ihnen den Rücken mit mehreren Möglichkeiten frei. Sie bieten Flexibilität, um die Bedürfnisse von kleinen, mittleren und Großunternehmen kurz- oder langfristig zufriedenzustellen.
Die Nachteile von SaaS:
- Mangel an benutzerdefinierter Anpassung: Ein Nachteil von SaaS ist, dass die Software von Drittanbietern vorkonfigurierte Features enthält, die nicht viel Spielraum für eine benutzerdefinierte Anpassung lassen.
- Exitstrategie: Auf dem SaaS-Markt tummeln sich unzählige kurzlebige Start-ups, die sich oftmals als Eintagsfliegen entpuppen. Zusätzlich herrscht ein harter und fortwährender Wettbewerb, so dass Ihr Unternehmen sich möglicherweise nach kurzer Zeit für einen anderen Anbieter entscheidet. Aber seien Sie sich darüber im Klaren: Eine Übertragung all Ihrer Daten und die Einführung Ihrer Mitarbeiter in eine neue Benutzeroberfläche wird viel Zeit und Ressourcen kosten.
- Geringe Leistung: Eine browserbasierte Anwendung, die auf Internetbandbreite und -verfügbarkeit angewiesen ist, kann Mängel bezüglich Leistungsfähigkeit aufweisen – im Gegensatz zu einer auf dem Desktop des Nutzers ausgeführten Anwendung.
Was sind die populärsten Bereitstellungsmodelle für Cloud-Computing?
Rechenmodelle unterscheiden sich in der Hinsicht, wo die virtualisierten Umgebungen bereitgestellt werden: auf Kunden- oder Anbieterseite oder vielleicht gar als Kombination aus beidem? Außerdem muss noch zwischen einer individuellen oder gemeinschaftlich genutzen Infrastruktur unterschieden werden, was einen wichtigen Aspekt im Hinblick auf Datenschutzfragen darstellt.
Die Entscheidung zwischen einer direkten WAN-Verbindung oder einer regulären Internetverbindung mit einem Datencenter ist ein weiterer wichtiger Aspekt bei der Bereitstellung von Cloud-Computing. Bekannte Cloudanbieter wie Amazon, Google, Microsoft und T-Systems verfügen alle über ihre eigenen Versionen öffentlicher oder privater Clouddienste – oder über ein Zwischending aus beidem.
Lassen Sie uns einmal einen Blick auf vier verschiedene Bereitstellungsmodelle für Cloud-Computing werfen.
Privates Cloud-Computing
Eine private Cloudbereitstellung kommt einer traditionellen On-Premise-Infrastruktur am nächsten und ist daher auch das kostspieligste Verfahren. Tatsächlich können private Clouds aufseiten des Kunden bereitgestellt und gleichzeitig über die Entfernung von einem Anbieter gewartet werden. Unternehmen, die sich für diese Option entscheiden, haben oftmals vor, ihre Infrastruktur zu einem späteren Zeitpunkt auch auf eine externe Cloud auszuweiten. Dies erzeugt eine hybride Lösung, in der die wichtigsten Daten vor Ort gespeichert und andere weniger sensible Workloads in der Cloud des Anbieters ausgeführt werden.
Im Allgemeinen versteht man unter der privaten Cloud, dass dem Kunden eine feste Anzahl physischer Server zur Verfügung gestellt wird, wobei der Kunde zwischen einem oder mehreren Standorten wählen kann. Diese Server machen einen virtuellen Server-Pool aus, in dem der Kunde virtuelle Maschinen erstellen und seine eigenen Server und Anwendungen seinen Vorstellungen entsprechend aufbauen kann. Dies kann über ein web- oder API-basiertes Selbstbedienungsportal erfolgen. Einer der größten Vorteile von privaten Clouds ist, dass sie mit einer dedizierten VPN-Verbindung zwischen den Serverstandorten ausgerüstet sein können und sich somit nicht aufs weniger vertrauenswürdige Internet verlassen müssen.
Privates Cloud-Computing eignet sich hervorragend für Großunternehmen, die geschäftskritische Anwendungen ausführen und sich keine Ausfallzeiten oder Verbindungsprobleme leisten können oder die hochsensible Daten handhaben, die innerhalb der Landesgrenzen bleiben müssen. Außerdem investieren Unternehmen in private Clouds, wenn das Risiko für Datenverluste auf ein Minimum beschränkt werden muss. Mit einer privaten Cloud können Sie einen Standort in Firmen-oder Kundennähe wählen, um die Verbindung, Geschwindigkeit und Zugänglichkeit so zuverlässig wie möglich zu machen. Zusätzlich entfällt der Konkurrenzkampf mit anderen Nutzern um Rechenkapazitäten auf derselben physischen Hardware. Die private Cloud ist ebenfalls die beste Option, wenn Sie komplexe Legacy-Anwendungen betreiben, die noch nicht für die öffentliche Cloud bereit sind. Die Möglichkeit der Skalierbarkeit besteht weiterhin, genauso wie in der öffentlichen Cloud – im Prinzip zahlen Sie hauptsächlich für die Exklusivität.
Die Virtual Private Cloud
Virtual Private Clouds haben im Prinzip mehr mit einer öffentlichen Cloud gemeinsam, verfügen jedoch über erweiterte Features, die sie sicherer machen. Zum einen weiß der Kunde ganz genau, wo sich die physischen Server befinden, so dass er sich für einen Server in Firmen- oder Kundennähe entscheiden und so sicherstellen kann, dass Datenschutzauflagen eingehalten werden. Eine direkte VPN-Verbindung gewährleistet ebenfalls eine bessere Sicherheit und Verfügbarkeit, im Gegensatz zu unzuverlässigen Internetverbindungen. Somit bietet eine Virtual Private Cloud mehr Vorteile bezüglich Kosten und Sicherheit im Vergleich zu einer privaten Cloud. Ihr einziger Nachteil besteht in der gemeinschaftlichen Nutzung mit anderen Kunden. Das bedeutet, dass Sie denselben physischen Server mit anderen Nutzern teilen. Die Nutzertrennung ist jedoch differenzierter als im Fall von öffentlichem Cloud-Computing.
Öffentliches Cloud-Computing
Bei öffentlichen Clouds handelt es sich um die beliebteste Variante, aufgrund ihrer Flexibilität in Sachen Kosten, schnelle Bereitstellung und Zugänglichkeit. Alles, was Sie benötigen, ist eine Internetverbindung – und jede Art von Unternehmen kann eine Pay-as-you-go-Lizenz erwerben, um über ausreichend Ressourcen für ein kurzfristiges Projekt oder zu Geschäftsstoßzeiten zu verfügen. Egal, ob Sie sich zusätzliche IT-Kapazitäten bezüglich Speicherplatz, Netzwerk, Anwendungen oder Computing wünschen: Öffentliche Clouds sind eine gute kurz- und langfristige Lösung.
Allerdings hat die öffentliche Cloud auch ihre Tücken: Tausenden von Kunden steht eine Zusammenlegung eines umfangreichen virtuellen Ressourcenpools zur Verfügung – und dahinter verbergen sich physische Standorte, die um den ganzen Globus verstreut sind. Ihre wichtigen Geschäftsdaten können sich in einer Minute in China und in der nächsten Minute in Indien befinden. Und Daten sind dann am gefährdetsten, wenn Sie übertragen oder in einer gemeinschaftlich genutzten virtuellen Umgebung gespeichert werden. Somit zahlen Sie für Privilegien wie Geschwindigkeit und Flexibilität, während Sie sich gleichzeitig Sicherheitsmängeln und möglichen Ausfallzeiten gegenübersehen, die durch eine unzuverlässige Internetverbindung verursacht werden. Außerdem steigen die Kosten für die Nutzung der öffentlichen Cloud stetig an, so dass Sie sich möglicherweise schon bald in einem Knebelvertrag wiederfinden, der Ihren Geschäftsbedürfnissen auf lange Sicht nicht gerecht wird.
Hybrides Cloud-Computing
Einige Jahre nach dem großen Angebotsboom in Sachen öffentliche Cloud und im Zuge von weltweit wachsenden Bedenken bezüglich Datenschutz und ‑sicherheit konnte eine Tendenz beobachtet werden, traditionelle On-Premise-Datenzentren mit der Nutzung von Cloudservices zu verbinden. Dieser Ansatz vereint das Beste aus zwei Welten. Zwar ist diese Option kostspieliger, aber Kontrolle und Sicherheit liegen in Ihrer Hand und Ihnen werden die nötige Flexibilität und Mobilität geboten. Die hybride Cloud bietet Unternehmen, die über viele an traditionelle Hardware gekoppelte Legacy-Anwendungen verfügen, aber IT-Funktionalitäten der Cloud zu ihrem Vorteil nutzen oder zukünftig komplett in die Cloud wechseln möchten, die meisten Vorteile.
Diese Methode dient eher als Erweiterung einer bereits vorhandenen IT-Infrastruktur, anstatt diese vollständig zu ersetzen. Hybrides Cloud-Computing kann auch der ideale Weg für Gesundheitsdienstleister sein, deren rechtlich sensible personenbezogene und Patientendaten das Firmengelände nicht verlassen dürfen.
Die Vorteile von Cloud-Computing für Unternehmen und Privatnutzer
Die wichtigsten Vorteile cloudbasierter Services für Unternehmen bestehen in der Skalierbarkeit und Elastizität, d. h. der Möglichkeit, Ressourcen quasi in Echtzeit dem Bedarf anzupassen. Somit müssen Unternehmen sich nicht den Kopf darüber zerbrechen, wie sie Stoßzeiten gerecht werden können oder ob sie eine Computing-Infrastruktur mit einem Übermaß an Kapazitäten betreiben. Durch die Auslagerung in die Cloud werden außerdem ein großer Teil der Infrastrukturverwaltung und -wartung sowie erhebliche IT-Kosten eingespart.
Für Privatnutzer bietet ein cloudbasierter Service Flexibilität und Komfort, indem der Zugriff auf Ressourcen jederzeit und von überall aus möglich ist. Es ist oft problematisch, Daten über mehrere Geräte (Laptops, Tablets und Mobiltelefone) hinweg zu synchronisieren. Clouddienste bieten daher ihren Kunden die Möglichkeit, alles an einem Ort zu verwahren und auf die Daten mit einer beliebigen Anzahl von Geräten zuzugreifen. Sobald Daten (z. B. Fotos und Videos) in die Cloud hochgeladen wurden, sind sie viel einfacher zu teilen.
Wichtige Bedenken beim Wechsel in die Cloud: Sicherheit und Datenschutz
Neben all diesen Vorzügen hat der Transfer all Ihrer Daten in die Cloud auch potenzielle Nachteile – und die Sicherheit und der Schutz von Daten sind hierbei unsere größte Sorge.
Heutzutage haben nahezu alle Cloudserviceanbieter unbegrenzten Zugriff auf die von ihnen gehandhabten Nutzerdaten. Auch wenn die Nutzer dem Anbieter die Speicherung und Verwaltung der hochgeladenen Daten anvertrauen, heißt das nicht, dass sie ihm auch gestatten möchten, auf ihre Daten zuzugreifen und diese für seine eigenen Zwecke zu nutzen. Die Optionen der Nutzer sind hier weiterhin begrenzt: Entweder stimmen sie den Nutzungsbedingungen zu und akzeptieren somit die unbegrenzte Nutzung ihrer Daten oder sie entscheiden sich gegen eine Registrierung für diesen Service.
Die Frage ist, ob Unternehmen sich dem schieren Ausmaß der Risiken bewusst sind, wenn sie private Daten in die Hände von Cloudanbietern geben. Es ist nicht verwunderlich, dass das Freemium-Geschäftsmodell auf dem Markt so beliebt ist: Anbieter stellen ihre Basic-Lizenzen kostenlos zur Verfügung, um Kunden anzulocken, und indem sie dies tun, heben sie ausschließlich die Vorteile hervor, die die Registrierung mit sich bringt. Letztendlich hat die Nutzung dieser kostenlosen Angebote ihren Preis: die Privatsphäre der Nutzer. Es ist allgemein bekannt, dass Nutzerdaten oftmals analysiert und zum Kundenprofiling verwendet werden, um zielgerichtete Werbung anzubieten, oder aus Profitzwecken an Drittanbieter weitergereicht werden.
Unternehmen sollten besser dafür gerüstet sein, das Risiko zu bewerten, das damit einhergeht, wenn sie einem Cloudbetreiber ihre vertraulichen Firmendokumente, -datenbanken und -E-Mails anvertrauen. Die Erfahrung hat gezeigt, dass sensible Daten nicht in die Cloud hochgeladen werden sollten (siehe die Optionen für private und hybride Cloudlösungen oben). Spezielle Dienstleistungsvereinbarungen sollten ausgehandelt werden, die die Verantwortung für jegliche Datenverluste sensibler Informationen dem Cloudbetreiber zuschreiben – aber derartige Vereinbarungen haben ihren (höheren) Preis. Manche Unternehmen sind in hochregulierten Branchen (wie dem Gesundheitswesen) tätig und rechtliche Vorschriften hindern das Unternehmen daran, Daten außerhalb des Firmengeländes zu speichern – besonders dann, wenn ’außerhalb’ sich auf ein anderes Land mit eigenen nationalen Datenschutzgesetzen bezieht. So oder so büßen diese Organisationen die Vorteile von Cloud-Computing ein, da sie entweder ihre eigene Computing-Infrastruktur einrichten und betreiben müssen oder zusätzliche Kosten haben, um ihre Daten privat zu halten.
Frischer Wind im Cloud-Computing: Verschlüsselung in der Cloud
Glücklicherweise ist diese Situation nicht unveränderlich. Tatsächlich gibt es keinen guten Grund, sie nicht zu ändern. Verschlüsselungsmethoden können genutzt werden, um in der Cloud gespeicherte Daten unlesbar zu machen – auch wenn manche Serviceanbieter nur At-rest-Verschlüsselung meinen, wenn sie von verschlüsselten Speicheroptionen sprechen. Serverseitige Verschlüsselung löst das Problem nicht vollständig: In diesem Fall hat der Anbieter weiterhin unbegrenzten Zugriff, da er über die Verschlüsselungscodes verfügt und so Daten nach Lust und Laune entschlüsseln kann. Daher ist clientseitige Verschlüsselung notwendig, d. h. der Nutzer sollte die Daten verschlüsseln, bevor sie in die Cloud hochgeladen werden.
Clientseitige Verschlüsselung beseitigt den Hauptteil des Problems, aber wenn sie auf naive Weise ausgeführt wird, wird das Teilen der Daten unmöglich gemacht. Wenn Sie Daten mit einem Schlüssel teilen, den nur Sie besitzen, können andere Personen die Daten nicht lokal entschlüsseln, selbst wenn sie auf entschlüsselte Daten in der Cloud zugreifen können.
Hier ist eine Schlüsselverwaltung nötig, die befugten Parteien Entschlüsselungscodes für in der Cloud gespeicherte Daten bereitstellt. Und das ist genau das, was Tresorit seinen Nutzern als zentrale Funktion bietet. Dies mag nach einem komplizierten Prozess klingen, aber die Software wurde speziell entwickelt, um maximale Sicherheit zu gewährleisten, ohne dabei den Bedienkomfort zu beeinträchtigen.
Die Verschlüsselung wird lokal von Tresorits Client vorgenommen, so dass der Cloudanbieter nur die verschlüsselten Dateien zu Gesicht bekommt. Darüber hinaus lässt Tresorit die Nutzer entscheiden, wer auf ihre Ordner zugreifen kann. Wenn einer anderen Person Zugriff auf einen Ordner erteilt wird, wird mittels dem verschlüsselten öffentlichen Schlüssel des Cloudspeichers ein Entschlüsselungscode für die Ordnerinhalte bereitgestellt. Der eingeladene Nutzer kann die verschlüsselten Inhalte und den Entschlüsselungscode herunterladen, anschließend seinen privaten Schlüssel zur Entschlüsselung des Inhaltsschlüssels und schließlich den Inhaltsschlüssel zur Entschlüsselung des Ordnerinhalts nutzen. Die Software bewältigt auch jegliche Probleme, die durch simultanen Zugriff durch mehrere Nutzer auf den gleichen Ordner in der Cloud entstehen, sowie weitere Komplikationen in Verbindung mit der Verwaltung von befugten Gruppennutzern, einschließlich der Einladung von neuen Mitgliedern oder dem Ausschluss unerwünschter Personen.
Tresorit nutzt hochmoderne Verschlüsselungsalgorithmen mit längeren Schlüsselgrößen. Die Ordnerinhalte werden mit AES-256 und die Inhaltschlüssel mit RSA-4096 verschlüsselt. Zur Authentifizierung nutzt Tresorit das RSA-Signaturverfahren mit 512-bit-langen SHA-Hash-Werten. Zusätzlich werden Technologien wie Lazy Revocation aus Effizienzgründen und ein sorgfältig designtes eigenes Protokoll zur Schlüsseleinrichtung mit dem Namen ICE, um die Einladungen neuer Mitglieder in die Nutzergruppe für einen Order zu händeln, eingesetzt.
Zusammengefasst lässt sich sagen, dass Tresorit ein noch wichtigeres Problem angeht, indem das Speichern von Informationen in der Cloud gesichert wird und Cloud-Computing somit zu einer geeigneten Lösung für sowohl Unternehmen als auch Privatnutzer macht, die den Cloudanbietern nicht trauen oder Bedenken bezüglich Vertraulichkeit und Datenschutz haben. Tresorit bietet eine auf clientseitiger Verschlüsselung basierende Lösung und zugehörige Schlüsselverwaltungsprotokolle, die sicher und gleichzeitig effizient sind. Dies hält die Möglichkeit offen, Daten innerhalb einer Nutzergruppe auszutauschen. Die mit gleichzeitigem Zugriff und Nutzerverwaltung verbundenen Probleme werden im Hintergrund gehandhabt, ohne Nutzer mit Einzelheiten zu belästigen, die ihrer Produktivität schaden könnten. Zum Zeitpunkt von Tresorits Konzeption war die Software einzigartig – und selbst heute lassen sich nur wenige Wettbewerber finden, die einen ähnlichen Service zur Verfügung stellen.