Cloud und USA

[h-d.neuenfeldt 21]

zum lesen :

http://web.de/magazine/digitale-welt/sicher-im-netz/19178510-microsoft-e-mails-europa-us-behoerden-herausgeben.html#.channel3_1.Microsoft%20muss%20Mails%20ausliefern.393.2077

[cgri 0]

wer nichts zu verbergen hat, hat auch nichts zu befürchten.

[tesso 375]

Als Unternehmen habe ich trotzdem was dagegen, daß der Inhalt meiner Kommunikation andere mitlesen.

Das hat nichts damit zu tun, ob ich was zu verstecken habe oder nicht. So was nennt sich in Deutschland bisher Datenschutz. Mal sehen wielange es den noch gibt.

[h-d.neuenfeldt 21]

oh man, wie ich ausrasten könnte bei einem Kommentar wie " wer nichts zu verbergen hat" ...

 

ich frage mich wirklich für wen oder was ich bei der Volkszählung der 80er Jahre in Bonn demonstriert habe.

Und :

Unsere Kundenkommunikation fällt nun mal wirklich in den Bereich "vertraulich". aber bald ist das ja kein Problem mehr, Stichwort : Ende zu Ende Verschlüsselung

[Daniel -MSFT- 129]

Was man dazu vielleicht wissen sollte, ist die Tatsache, dass dieser Fall genau nach rechtsstaatlichen Prinzipien abläuft. Es gibt einen Verdacht gegen eine Person, die möglicherweise in kriminelle Aktivitäten verwickelt ist. Die Staatsanwaltschaft ermittelt und beantragt einen richterlichen Durchsuchungsbeschluss. Der Richter stimmt dem zu und es wird der Provider um Zugriff gebeten.

 

Genau das gleiche würde bei uns nicht anders ablaufen. Wen es interessiert, der mag mal einen Blick werfen auf 'Staatliche Zugriffe in der Cloud': http://m.hoganlovells.com/hogan-lovells-revealing-study-about-governmental-access-to-data-in-the-cloud-detailed-in-white-paper-released-at-brussels-program-05-23-2012/

 

Die Besonderheit ist, dass die Daten in diesem Fall nicht auf Servern im amerikanischen Justizbereich gespeichert sind. Wir sind der Meinung, dass analog zu physikalischen Hausdurchsuchungen solch ein richterlicher Beschluss nur auf amerikanischem Boden ausgeübt werden kann und international um Rechtshilfe in dem Land gebeten werden muss, wo die Daten physikalisch gespeichert sind.

 

Allerdings hinkt hier die Justiz und Rechtsprechung der technologischen Entwicklung hinterher. Heute kann man digitale Daten problemlos in Sekunden zwischen verschiedenen Juristriktionen hin- und herschieben. Man kann Daten so speichern, das sie in Chunks auf Servern in unterschiedlichen Ländern verteilt sind...

 

Es bleibt abzuwarten, wie hier höhere Instanzen entscheiden werden. Wir legen Berufung ein und treiben das bis zum höchsten Gericht. Der Vollzug wurde auch bis zum Ablauf des Berufungsverfahrens ausgesetzt.

 

Bei uns werden auch viele rechtliche Fragen von der Legislative, Judikative und Exekutive unterschiedlich bewertet, bis eine Grundsatzentscheidung Rechtssicherheit schafft. Ich verweise hier nur mal als Beispiele auf das Volkszählungsurteil (Geburtsstunde des neuen Grundrechts auf informationelle Selbstbestimmung) oder die europäische Entscheidung gegen die Vorratsdatenspeicherung.

bearbeitet 1. August 2014 von Daniel -MSFT-

[NeMiX 76]

Daniel das Problem derzeit ist doch, dass die diversen Gerichte den Geheimdiensten alles erlauben und es absolut keine Kontrollinstanz gibt. Siehe den aktuellen CIA Fall, die bei dem Parlamentarische Geheimdienst-Kontrollgremium einfach mal Daten gelöscht haben nach dem sich reingehackt wurde. Und da es darüber keine Kontrolle gibt, welche Dienste zugreifen sollte das ganze Cloud Thema für Unternehmensdaten als gestorben angesehen werden.

[cgri 0]

Die USA sind einfach strenger, "The United States has less than 5 percent of the world's population. But it has almost a quarter of the world's prisoners." ( http://www.nytimes.com/2008/04/23/world/americas/23iht-23prison.12253738.html?pagewanted=all&_r=0 ), wer das nicht mag, muss die Dienste ja nicht nutzen.

[Daniel -MSFT- 129]

Hi NeMIX,

 

im aktuellen CIA-Beispiel hat kein Gericht das der CIA vorher erlaubt. Die haben das einfach gemacht, weil sie es können. Die Zieldaten lagen übrigens auch nicht in der Cloud, sondern, wenn ich das richtig verstanden habe, in einem lokalen, angeblich besonders gesicherten Netzwerk. Daher kann ich Deinem Schluss nicht folgen. Dein Beispiel spricht eher dagegen: Die meisten Unternehmensnetzwerke sind schlechter gesichert als Cloudumgebungen. Dort fallen Einbruchsversuche auch viel eher auf.

[cgri 0]

Die meisten Unternehmensnetzwerke sind schlechter gesichert als Cloudumgebungen. Dort fallen Einbruchsversuche auch viel eher auf.

Gegen was denn gesichert?

-  Bedrohungszenario1: "Menschen kommen mit LKW und transportieren die Server physikalisch ab"

- Bedrohungsszenario2: "da stehen Menschen im Anzug mit offiziellen Zettel und ein paar Polizisten sind auch dabei, die wollen an die Systemkonsole von Servern 500-520 um da zu lesen oder zu schreiben"?

- Bedrohungsszenario3: "da nutzen Menschen mit 'Amt für XYZ' im Rücken undokumentierte Sicherheitslücken in beliebter Software X aus (über Internet, ggfs. ohne Richterzettel), um da Sachen auszuspähen oder zu verändern?"

- Bedrohungsszenario4: "da nutzen Menschen mit 'Amt für XYZ' im Rücken undokumentierte Sicherheitslücken in beliebter Software X aus (innerhalb desselben Datacenter, ggfs. ohne Richterzettel), um da Sachen auszuspähen oder zu verändern?"

- Bedrohungsszenario5: "da nutzen Menschen (ohne 'Amt für XYZ' im Rücken) undokumentierte Sicherheitslücken in beliebter Software X aus, um da Sachen auszuspähen/zu verändern oder Geld/Schutzgeld zu erpressen?"

 

Ganz locker werfe ich mal www.codespaces.com in den Raum wo es heisst: "most of our data, backups, machine configurations and offsite backups were either partially or completely deleted." und "Code Spaces will not be able to operate beyond this point, the cost of resolving this issue to date and the expected cost of refunding customers who have been left without the service they paid for will put Code Spaces in a irreversible position both financially and in terms of on going credibility."

bearbeitet 2. August 2014 von cgri

[Daniel -MSFT- 129]

Jetzt hast Du ganz viel geschrieben aber mir wird nicht klar, was Du damit sagen willst. Oder hapert es vielleicht an meinem Leseverständnis?

 

Was Codespaces passiert ist, liegt nach http://blog.trendmicro.com/the-code-spaces-nightmare wohl an simplen administrativen Fehlern. Kein besonderer Schutz von hoch-privilegierten Accounts (Multifaktor-Authentifizierung), keine Auftrennung der Administration nach Rollen. Wer ein 'Root darf alles'-Konzept fährt, darf sich über sowas nicht wundern. Das hat mit Cloud nichts zu tun. Das kann lokal genauso schief gehen.

bearbeitet 2. August 2014 von Daniel -MSFT-

[cgri 0]

Einfachstes Beispiel, was man "lokal" realisieren kann und "in der Cloud" bei keinem mir bekannten Anbieter: Bei Softlayer ("81,000 servers for more than 26,000 customers", letztes Jahr für 2 Mrd. von der IBM aufgekauft, also kein kleiner Laden) kann man kein Bandlaufwerk/DVD-Brenner anschliessen um dann Sicherungskopien "100%" offline in den Tresor zu tun. - verifiziert vor 30 Minuten.

Wenn jemand was gegen Wechselmedien hat: Ein 4-Bay-NAS, oder zwei davon, kostet auch nicht die Welt - wenn keine Sicherung läuft einfach den dazwischenliegenden Switch elektrisch ausschalten, so kann kein böser Mensch über Internet ran, selbst bei noch soviel gestohlenen Credentials, oder bei USB3-Diskarrays einfach Kabel ziehen.

bearbeitet 2. August 2014 von cgri

[Daniel -MSFT- 129]

Ich fürchte, Du solltest Dich etwas mehr mit Cloudtechnologien beschäftigen, bevor Du solche Vergleiche ziehst. Was Du verlangst, geht bei Housing oder Private Cage, wo dem Kunden dedizierte Server zugeordnet sind.

 

Bei IaaS bekommst Du dagegen virtuelle Instanzen. Da ist DVD-R oder NAS kein sinnvolles Konzept.

 

Wenn Codespaces zum Beispiel Amazon Glacier als Tape Backup genutzt hätte, wäre das wohl nicht passiert. Oder wenn Sie ihr Backup bei einem anderen Cloudanbieter vorgehalten hätten. Oder wenn sie die Berechtigung, Backups löschen zu dürfen, an eine eigene, besser gesicherte Adminrolle ausgelagert hätten.

 

Deine Beispiele mit dem NAS und den gezogenen Kabeln kannst Du im professionellen Betrieb ganz schnell vergessen. Willst Du da jemanden hinsetzen, der im richtigen Moment die Kabel wieder reinzustecken hat?

 

Ausserdem ist so ein NAS an einem Ort auch kein besonders sicheres Backup. Wie sieht's aus bei Diebstahl, Vandalismus, Brand, etc? Wid sicher dass sind die Festplatten? Ich sach nur: http://blogs.technet.com/b/dmelanchthon/archive/2006/01/19/shocking-harddisk.aspx

bearbeitet 2. August 2014 von Daniel -MSFT-

[cgri 0]

Ich fürchte, Du solltest Dich etwas mehr mit Cloudtechnologien beschäftigen, bevor Du solche Vergleiche ziehst. Was Du verlangst, geht bei Housing oder Private Cage, wo dem Kunden dedizierte Server zugeordnet sind.

Ich bin mit meiner jetzigen, flexiblen Lösung zufrieden. Cloud bietet mir keinen Mehrwert, nur Mehr-Risiko.

SAN-Bereiche schreibschützen mit Zeitablauf bietet ebenfalls kein mir bekannter Cloud-Anbieter.

[Daniel -MSFT- 129]

Tja und einen Schirmchendrink bietet mir auch kein Cloudprovider, deswegen sind die jetzt alle richtig schlecht, oder wie?

 

SCNR

bearbeitet 2. August 2014 von Daniel -MSFT-

[Rallo 0]

Was war das überhaupt für ne Straftat, wofür die irischen Daten rausgerückt werden müssen? Diebstahl/Mord/Einbruch oder eher Steuerhinterziehung/Schutzgelderpressung/Börsenmanipulation? Existieren auch "nicht-digitale Beweise"...?