Klabautermann - Gedanken
Als ich den folgenden Artikel auf LINIUXNEWS.DE las, war ich doch sehr davon angetan. Stefan gibt da meine Ansichten und Bedenken bzgl. der Cloud-Verwendung besser wieder als ich es jemals formulieren und dastellen könnte. Also habe ich ihn um die Erlaubnis gebeten den Artikel hier veröffentlichen zu dürfen, die er mir netterweise gegeben hat. Hier ist also der originale Text, nur dem Design dieser Seite angepasst.
Daten in der Cloud: Meine Abrechnung
26. Juli 2023 StefanLange habe ich es prophezeit und wurde dafür immer belächelt, nun ist es passiert: Die Microsoft Cloud im „löchrig wie Käse“ Modus. Endlich ein Ansporn, einen lang geplanten Artikel über die Cloud, zu schreiben!
Was war geschehen?
Wenn wir das mal wüssten! Microsoft hat bei seinem größten Leck eine Informationspolitik, die definitiv Vertrauen schafft. Dort sagt niemand wirklich etwas. Allzu viele Worte möchte ich darüber auch nicht verlieren, Franky hat hierzu eine hervorragende Zusammenfassung geschrieben. Kurz angerissen: Man hat sich einen Signaturschlüssel zur gesamten MS-Cloudinfrastruktur stehlen lassen, der von Hackern (das ist ja dann kein Hacking mehr) auch genutzt wurde. Es ist potenziell alles und jeder betroffen.
Das Infiltrieren des Root of Trust der gesamten Microsoft Infrastruktur ist kein Pappenstiel, intern müssen da aktuell die Fetzen fliegen. Eigentlich kann man direkt den Stecker ziehen, ein sicherer Betrieb kann nicht gewährleistet werden. Hier wurde nicht ein Zugriffstoken gestohlen, sondern gleich die ganze Presse, um neue herzustellen.
Was muss noch alles passieren?
Als Microsoft mit der Cloud an den Start ging, damals hieß das Teil noch Office 365, sagte ich, dass das nichts werden kann. Nur weil man den Kram von on Premise in die Cloud holt, verbessert sich ja nichts – eher das Gegenteil, der Flickenteppich wird nur hochkonzentriert. Es ist und bleibt derselbe Krempel – nur woanders ohne Hoheit darüber. Da „oben“ läuft der gleiche Exchange wie on Premise – Sicherheitslücken sind somit überall, da kann man auch gleich lokal bleiben und zahlt nur einmal für die Lizenzen.
Dieser Vorfall zeigt mehr als deutlich, dass man keinem Cloud-Anbieter (SaaS) vertrauen kann. Allein die Tatsache, dass es diese Master-Keys gibt und der Umgang damit wohl ziemlich lasch ist. Fairerweise muss man dazu sagen, dass auch ich mir einen Master Key erstellen würde. Als Diensteanbieter muss man das auch, um gewisse gesetzliche Bedingungen abzudecken (Löschung von urheberrechtlich geschütztem Material usw.). Allerdings wäre der Umgang damit ein anderer. Bei einem früheren Arbeitgeber hatten wir eine ähnliche Ausgangslage, dort ging es aber um Finanzdaten von knapp 20 % aller in Deutschland lebenden Personen. Hier gab es diese Master-Keys auch. Diese waren nur nutzbar am „Achtauge“. Ein speziell konfigurierter Rechner, der diese Keys einlesen und verarbeiten konnte und ausschließlich von acht Augen beobachtet wurde – einer macht und drei schauen zu, dass kein Mist gemacht wird wie z.B. das private Konto füllen 😀
Einen kleinen Seitenhieb lasse ich mir nicht nehmen: Egal wann ich mich in meinen Spiel-Tenant einlogge, immer sind im Admin Center mehrere Meldungen zu Exchange Online. So viel Störung wie es da gibt, kann ich nicht mal on Premise produzieren (als nicht zertifizierter Exchange Admin, der seinen Exchange mit dem Holzhammer behandelt, wenn er nicht will). Was veranstalten die da in der Cloud bitte?!
Cloud Act
Ohne zu tief in die Juristerei abzusteigen, sollte jedem klar sein, dass es ihn gibt und was er tut. Der Cloud Act verpflichtet jedes US-Unternehmen, Daten bereitzustellen, unabhängig vom Speicherort. Diesers Gesetzblatt macht es unmöglich, etwas bei einem US Anbieter zu speichern, auch wenn das Marketing sagt, dass die Server in DE/EU stehen.
Datenspeicherort Deutschland/EU! Ist die Infrastruktur Microsoft? Ja ↑ US-Firma ↑ Cloud Act greift. Etwas das niemand verstehen will, alle gehen sie in Microsoft 365. In Unternehmen arbeiten Ingenieure an neuen Produkten unter strengster Geheimhaltung, um mit dem fertigen Produkt ihr Unternehmen an die Weltspitze zu katapultieren. Wo wird’s gespeichert? Bei Microsoft… na Danke!
Outlook Mobile App
Es geht schon im kleinen los. Ziemlich genau erinnere ich mich an die Rundmail, die ich schrieb, dass die MS-Outlook App keinen Zugriff auf unseren Exchange erhält (und dank Geo-Sperren auch nicht kann).
Um die Push-Benachrichtigungen für neue Mails zu realisieren, speichert Microsoft den Benutzernamen und das Kennwort auf US-Servern (auch von On Prem Exchange). Ein Microsoft Server aus den USA greift auf den Exchange zu, der aus Datenschutzgründen womöglich noch lokal steht.
Bei uns kam das Thema auf, als eine Nutzerin auf mich zukam, ihre Mails am Tablet würden nicht funktionieren. Unser Exchange ist nur für Deutschland freigegeben. In den Logs sah ich US-IP´s, das kann doch nicht sein. Doch kann es sehr wohl: Bei Mike gibt es eine tolle Zusammenfassung dazu.
Freigegeben habe ich es bis heute nicht, das ist Sicherheitstechnisch die Vollkatastrophe.
Wie baust du (geschäftlich) Cloud Projekte?
Das ist relativ einfach erklärt: Bei allem, was über IaaS bei rein deutschen Anbietern hinausgeht, bin ich raus! Beispiel vSphere Infrastrukturen: Haut mir die Dell PowerEdge ins Rack und danach Finger weg. iDRAC Firmware wird neu installiert, ESXi installiert und ein vCenter drübergestülpt. vCenter auch bei nur einem einzelnen Host, mehr dazu später.
Die VMWare Tools werden aktualisiert und ein Datastore mit ISO Dateien betankt. vCenter darf nun ESXi mit den neusten Patches versorgen und neu starten. Nach dem Updaten gibt es noch etwas Performance Optimierung. Bis zu diesem Zeitpunkt sehen die Hosts/ der Anbieter kein Bit meiner Daten. Der Host wird an den in vCenter eingebauten KMS angestöpselt, um VMs verschlüsselt auszuführen. Der Charme bei dieser Lösung: das vCenter steht on Premise. Ohne das ist der Host wertlos – die Daten können ohne KMS nicht gelesen werden.
Aber während die Kiste läuft, kann man doch Daten auslesen, wenn man XY anschließt und YZ ausführt?! Richtig! Jeder „Geräteanschluss“ löst eine Ultra-High-Alert-alles-klingelt-was-nur-klingeln-kann Meldung im Monitoring aus. Im nächsten Schritt fahren die VMs runter und der Host fliegt aus dem vCenter. Ohne KMS keine Daten – viel Spaß mit dem Blech. Privat gehe ich hier sogar noch weiter, wie in diesem Artikel beschrieben (die zwei Absätze vor NGINX). Da pulverisiert sich gleich der ganze Server selbst.
Das ist eine Funktion, die ich bei Proxmox schmerzlich vermisse, hier hat der Host nur LUKS. Nicht dass das nun missverstanden wird: Diese Umsetzung mit vCenter bietet auch keinen hundertprozentigen Schutz, ist aber ein großer Anfang und weit über dem, was 98 % der Leute in der Cloud umsetzen. Die Verschlüsselung der VM’s ermöglicht es uns hochverfügbar in der Cloud, (Lohn/Gehalts) Daten von rund 150 Mitarbeitern zu verarbeiten – mit dem Nebeneffekt, dass ich so nachts ruhigen Gewissens schlafen kann. Zero Trust Infrastrukturen sind zwar komplex, m.E.n. lohnt sich der Aufwand aber.
"Warum diese komplexe Architektur?" Mag sich jedoch der ein oder andere fragen. Die Antwort darauf muss man in zwei Teile aufbrechen:
Mir gehen betriebliche Datenschutzbeauftragte ungeheuer auf den Keks. "Wir könnten noch dies" oder auch "Ich habe da das gelesen, mach mal" – das alles sind Sätze, die mich zum Brodeln bringen (weil zumeist heise.de- oder ComputerBlöd-Clickbait-Artikel zugrunde liegen). Keine Ahnung von der Technik, aber Hauptsache Welle gemacht, um die eigene Position zu sichern. Das mag nicht auf jeden zutreffen, mit der aktuellen DSB komme ich hervorragend zurecht. So manch ein, in meinen Augen sinnloser Vorschlag, wird bis ins Unermessliche diskutiert und überanalysiert. Unzählige "Meetings", die eigentlich nur ein Erklärbär für Leute sind, die mit wenig Kenntnis auf einer ungeeigneten Position sitzen. Mein Gruppenrichtlinien-Baum ist jetzt schon dichter als der Amazonas-Regenwald, ja wie viel denn noch?
Der zweite Teil erspart oftmals den ersten: Meine Grundsätze und Einstellung zu Privatsphäre und Datenschutz sind schlimmer als es jede DSGVO jemals sein könnte. Ich möchte nichts wissen, es muss alles Verschlüsselt sein und darf nur in deutschen Landen liegen.
Doppelmoral?
Stehen diese Grundsätze nicht im Konflikt mit der Registrierungspflicht von LinuxNews.de? Klares jein. Einerseits möchten wir auch nichts wissen, müssen aber. Als Betreiber einer Plattform, müssen gewisse Daten erfasst werden, um sie eventuell an Strafverfolgungsbehörden weitergeben zu können. Es ist eigentlich egal, ob wir das bei jedem Kommentar erfragen, oder wie jetzt, mit etwas mehr Komfort – mit einer einmaligen Registrierung.
Abseits dieser gesetzlichen Bestimmungen ist der Rest unverändert: LinuxNews und eure Daten werden ausschließlich in deutschen Rechenzentren verarbeitet und sind vollständig Data-at-Rest verschlüsselt. Auch die Firma hinter dem Server, netcup GmbH, hat keine Verflechtungen in die Staaten. Es gibt lediglich die Anexia als Holdinggesellschaft. Anexia sitzt in Österreich und fällt somit auch unter die DSGVO. Inwieweit die beiden Unternehmen überhaupt Kundendaten austauschen, wurde nie öffentlich kommuniziert. Das würde euch aber auch nicht betreffen, nur mich, der als Mieter mit seinen Stammdaten hinterlegt ist.
Einen Data-Breach gab es bisher bei uns nicht, stattdessen das Gegenteil: Backups, an die ich dank der Verschlüsselung nicht mehr herankam und alles verloren war. Auch nicht schön, aber datenschutzkonform!
Aufruf an Arbeitnehmer
Nicht jede Entscheidung trifft die IT. Gelegentlich sind es solche "Schlipsträgerentscheidungen", wie ich sie nenne. Jemand hat sich von einem Vertriebler mit schönen Hochglanzmagazinen irgendeinen Mist andrehen lassen. Kraft seiner Position oder Entscheidungsgewalt setzt er die Umsetzung durch, Risiken oder Hinweise auf Risiken egal. Wehrt euch dagegen! Hier rate ich jedem IT-Arbeitnehmer den »Dreizeiler«:
Ich, NAME DES FACHLICHEN VORGESETZEN ODER GESCHÄFTSFÜHRER, Vorgesetzer von MITARBEITERNAME wurde über folgendes Aufgeklärt:
- Was? Z.B. Einführung von Office 365
- Risiken und Tragweite (so umfangreich wie möglich, hier muss viel "könnte", "hätte",
"würde" und "geschäftsschädigend" stehen)
Mit meiner Unterschrift bestätige ich, dass ich über die Risiken aufgeklärt wurde und bei Rückfragen MTIARBEITERNAME zur Verfügung steht. Ich werde von meiner Weisungsbefugnis gebrauch zu machen und die Umsetzung durch MITARBEITERNAME anordnen. Gleichzeitig wird MITARBEITERNAME von jeglicher Haftung zu dieser Sache oder für Folgeschäden entbunden. Auf abreitsrechliche oder disziplinarische Konsequenzen wird ebenfalls verzichtet.
Datum, OrtViele schrecken zurück, sobald dieser Zettel vorgelegt wird. Ob dieser juristisch eine Relevanz hat, mag ich nicht beurteilen – er zeigt aber die gewünschte Wirkung. Ein Beispiel, ich habe diesen Wisch auch schon benötigt: Ich sollte mal eben schnell Google Analytics auf einer Kundenhomepage einbauen. Äh, nö. Eine Diskussion später, im Büro vom Geschäftsführer mit diesem Schreiben. Thema erledigt – ohne seine Unterschrift und Google Analytics. 😉
Vor dieser Aktion muss man heutzutage keine Angst mehr haben. Weiß ein Arbeitgeber diese eindringliche Warnung seiner Mitarbeiter nicht zu schätzen und droht sogar mit einer Abmahnung/Kündigung, nur zu. IT-Fachkräfte sind gesucht, ein Jobproblem haben wir nicht. In diesem Fall würde ich sagen: "War nett mit dir, ich such’ mir was anderes" und ihn eine voll bezahlte Freistellung unterschreiben lassen. Wer das Mitdenken seiner Arbeitnehmer mit Füßen tritt oder sogar abstraft, hat es nicht anders verdient.
Fazit
Damit sollte auch dem letzten klar werden, dass Software as a Service ein Albtraum ist. Marketingsätze wie:
- Server in Deutschland (von US Firmen)
- In der Cloud ist alles sicher
- Cloud ist billiger
sind absolut wertlos. Ein IT-Dienstleister wollte mir in Kaltakquise Microsoft 365 verkaufen. Auf meine Nachfrage "Würden sie mir ein Schreiben meines Anwaltes unterschreiben, in dem sie mit voller Haftung erklären, dass Microsoft 365 DSGVO Konform ist", kam nur ein Nein. Ich legte kommentarlos auf. Lasst euch von diesen Vertriebstypen nicht blenden, es hat einen Grund, warum deutsche Behörden bis heute ihre Gutachten zu Microsoft 365 unter Verschluss halten. Auch unsere Kunden müssten wegen dieses Datenschutzvorfalles auf uns zukommen, um uns als Betroffene zu informieren. Ich bin gespannt …
Ebenfalls würde ich bei dieser Tragweite ein umgehendes Statement des CEO und CTO/CIO erwarten.
Wessen Interesse nun geweckt ist, verschlüsselte vSphere Infrastrukturen zu bauen – ich empfehle euch wärmstens meinen (bundesweit aktiven) IT-Dienstleister, der dieses Projekt mit mir umgesetzt hat: ComputerPartner Rhein-Neckar. (keine bezahlte Werbung, sondern volle Überzeugung). Ohne das CPRN-Team wäre das nicht möglich gewesen, abermals vielen Dank dafür!
Soweit Stefans Artikel - besser hätte ich das nicht ausdrücken können. Das Original mit Kommentaren findet ihr hier : Daten in der Cloud: Meine Abrechnung.