Microsoft und der (leidige) Datenschutz

Aber nur zum Zwecke der Bequemlichkeit und weil ein paar Taler gespart werden. On Premisses kann man auch die 40tonner abfertigen.

Moin...

also zumindest bei Office365 habe ich keine sorgen, speicher doch alles lokal... ist eben eine einstellungsache...

Frank

Das geht natürlich wenn du in der MS Cloud eine verschlüsselte Datei ablegst und diese nur an deinem lokalen Gerät ver- und entschlüsselt wird. Das geht natürlich nicht wenn du all die schönen bunten Dienste nutzt die MS dir erstens "günstig" als Bundle überlässt und zweitens deren Funktionsumfang nur noch in der Cloud um Dinge wie REST-Schnittstellen erweitert wird, die also defacto nur bei MS vollumfänglich gehostet werden können.

Die Firma spart sich einfach die Arbeit eines fähigen Administrators. Bei einem 3-5 User Büro wäre das OK, bei allen größeren Firmen, wo Administratoren vorhanden sein müssen, sollte es auch kein Problem sein einen Serverraum zu horten und den Administrationsaufwand dem Admin zuzumuten.

Weil wir früher auch nen Kaiser hatten. „Früher ging es doch auch“ ist die mMn dümmste aller Begründungen warum man etwas macht oder nicht macht.

/Thomas

100.000 Euro Lohnkosten? *Räusper* verdiene ich grad mal 40% von im Jahr. Und wie kommst du von 100.000 Euro auf 1 Mio? (Mille sind übrigens Tausend)

Ich glaube nicht das die Lohnkosten das Problem sind. Administrieren muss ich auch in der Cloud. Sicherlich spare ich kosten für Updates und eventuell auch für Fehlersuche (oder eben auch grade nicht) aber der größte Kostenblock sind für mich eher die Lizenzkosten für den ganzen Unterbau die man so braucht vom Server bis zur Applikation. Das rechnet sich halt nicht bei wenig Nutzern.

Du sagst also, ich bin dumm.

Dann drücken wir es halt anders aus:
On Premmisses kann man alle Funktionen bewerkstelligen, wie in der Klaut auch. Das hat mit "früher oder jetzt" nichts zu tun. Mit "früher" ist einfach nur gemeint, dass es zu dem Zeitpunkt keine Klaut gab.

Du hast jedoch weniger Aufwand. Früher hast du... (Entschuldigung, das ist ja angeblich ein dummes Argument)... Im Haus hast du dann oft mehr Manpower benötigt, als mit den Servern in der Klaut, also spiegelt sich das schon in Lohnkosten ab. Mit den Servern in der Klaut kann ein Mann alleine einfach mehr Infrastruktur Verwalten, als mit den Servern im Haus. Oder in einer größeren DImension gesehen: Wo man früher 5 Admins benötigt hat, braucht man jetzt 4 oder weniger.

Alte Profitregel: Im Einkauf liegt der Gewinn! Oder landläufig: Geiz ist geil!

In aller Regel sind solche Betrachtungen, die in erster Linie die Arbeitskosten und die Lizenzkosten im Fokus haben, deutlich zu kurz gegriffen. Es sind halt die Positionen, die am augenfälligsten sind. Aber wie ist das beispielsweise mit der Datenbandbreite beim Griff in die Cloud. Das dürfte mit einem lokalen 1GBit-LAN (Server mit 10GBit oder mehr angebunden) derzeit noch nicht mithalten können. Falls doch, dann sind wohl erhebliche Anschlusskosten nötig (= mehrere Tsd. Euro). Hinzukommt, dass ich bei einer Auslagerung in die Cloud einen ganz anderen Absicherungsbedarf habe. Und das alles und noch viel mehr muss gegeneinander abgewogen werden, zumal es mit Linux, Samba, Wine und Konsorten einen riesengroßen Blumenstrauß an seriösen und erprobten Alternativen gibt, bei denen beispielsweise nicht nur Lizenzkosten, sondern auch noch leistungstechnische Einsparungen möglich sind.

Das für mich schlagende Argument ist letztlich der Datenschutz. Nämlich der Schutz meiner Daten vor dem freien Zugriff ungewünschter Dritter. Dasselbe gilt für die Abhängigkeit von einem Dritten (dem Cloudanbieter), dass ich auf meine Daten jederzeit zugreifen kann/darf. Hierzu gehört auch das Risiko, dass der Cloudanbieter einfach sein Angebot beenden oder sich regelmäßig einen zusätzlichen Griff in meine Schatulle genehmigen kann.
Und hier hat @NordicMike völlig Recht: Was eine Public Cloud in Bezug auf den jederzeitigen Zugriff auf meine Daten anzubieten hat, kann ich ebenso mit (m)einer Private Cloud realisieren (- freilich kommt es immer auf den ganz konkreten Anwendungsfall an).

Viele Grüße
HansDampf06

Es ist deutlich teurer. Das lässt sich praktisch erleben und kann kaufmännisch auch kaum anders sein, wenn man die jeweils profitabelsten Sparten von Microsoft, Amazon und Co. bezahlt. Einige miteinander verbundene Gründe, es dennoch zu tun:

1. Es ist selten noch mit ein paar Servern und VPN getan. Im Umfeld von Lieferantenanforderungen, (Über-)Regulierung, ironischerweise auch Datenschutz, wird jede Datenverarbeitungsaktivität sehr schnell sehr komplex. Die Daten sollen verschlüsselt werden, die Schlüsselverwaltung soll in einem HSM verankert sein, IAM soll auditierbar vernünftig aufgesetzt sein, MFA dazu sowieso, DSC auf den Endpunkten, Patch-Management und Backups natürlich, alles mindestens 99,9% verfügbar... Das kostet on-premises nicht nur Investitionen, sondern auch Arbeitszeit. Da qualifizierte Arbeit knapp ist, ist das gleichbedeutend mit: Es kostet Zeit, viel Zeit.

2. Entsprechend ist es auch nicht mit ein, zwei Admins getan. Aber sehr viel mehr bekommt man auf dem Arbeitsmarkt auch nicht, selbst wenn man wollte. Die genannten Aspekte sind bei der großen Mehrzahl der On-premises-Infrastrukturen in schlechtem Zustand, weil die fähigen Leute dafür fehlen.

3. 80/20-Regel, in dem Fall eher 95/5-Regel: Die Punkte 1 und 2 sind in jedem Unternehmen bekannt. Sondersparten wie Rüstung oder Gesundheit ausgenommen, verbessert daher eine Migration in die Cloud (unter Nutzung der dort gegebenen Möglichkeiten) bei 95 Prozent der Partner und Kunden das Ansehen der eigenen Sicherheitsarchitektur wesentlich, während 5 Prozent es aus Datenschutzgründen ganz schrecklich finden. Das wiederum hat teils auch eine esoterische Dimension, denn so genau gelesen werden die schlimmen US-amerikanischen Gesetze erfahrungsgemäß nicht, bevor dann im O365-Outlook oder Word der Schriftsatz formuliert wird. 2013 haben eine Reihe angehender Juristen in einzelnen Ländern, Deutschland wohl das Epizentrum davon, spontan ihr Interesse für "Geheimdienstrecht" entdeckt und beraten inzwischen eben einen Teil des Marktes. Frei nach dem Fragesteller könnte man sagen: Sie haben prinzipiell nichts gegen juristische Präzision, eher gegen die US-amerikanische Politik.

4. Ein lokales Projekt oder in Colocation ist eine Investition für Jahre, die unternehmerische Risikobereitschaft und technisches Verständnis für das Nutzen-Risikoverhältnis und evtl. Exit-Strategien erfordern. Besser noch Leidenschaft für Technik. Das ist im Management Mangelware.

Grüße
Richard

Wenn es das ist was du aus meinem Kommentar herausließt könnte es schon sein.
Aber wenn du meinen Kommentar noch einmal in Ruhe ließt wirst du feststellen das ich nicht dich sondern deine Begründung, oder genauer diese Art der Begründung im allgemeinen, dumm genannt habe.

/Thomas

In Organisationen und Firmen muß es notwendigerwise "IT Verantwortliche" und "Datenschutzbeauftragte" geben, damit es jemanden gibt, der im Streitfall greifbar ist.

Der Beauftragte kann der Verantwortung rechtlich gesehen gerecht werden, indem er die für die entsprechenden Aufgaben empfohlenen Microsoft-Produkte wie aktuelle Versionen "Windows professional" nach den Herstellervorgaben und in aktuellem Updatestand für die betrieblich notwendigen Aufgaben konfiguriert.

Der Verantwortliche hat dann nach bestem Wissen und Gewissen gehandelt.

Das Problem der Praxis ist stets, daß bei der Planung neuer Aufgaben im KMO Umfeld die Belange der IT-Sicherheit allenfalls nachrangig hinterherkonfiguriert werden, obwohl sie richtigerweise von Beginn an zu berücksichtigen sind.

Da schiebt man dann dem IT-Verantwortlichen die Rolle zu, nachträglich unmögliche Planungen durch haftungsrechtliches aber stillschweigendes Schultern der Risiken "mutig" zu ermöglichen, um im Wettbewerb bestehen zu können.

Der Schutz von Daten hat entweder durch Zugriffsmöglichkeiten und Rechte oder durch Verschlüsselung zu erfolgen. Ein Microsoft Betriebssystem und seine Erweiterungen müssen diese Aufgaben so bewältigen, daß es für die Nutzer bediensicher ist.

Eine Datensicherheit, die ein hohes Risiko fehlerhafter Bedienung in sich trägt, ist für die regelmäßige Arbeit nicht geeignet.

Wer würde es zum Beispiel billigen, daß man einer Hilfskraft eine offene Kiste mit frischgedruckten EC Karten plus Liste mit dazugehörigen PINs in die Hand drückt, um die erstmal in der SBahn mit nachhause zu nehmen?

Wenn das nicht möglich ist, dann ist ein System zu wählen, das alle Bedingungen erfüllt.

Mir ist das Konzept der Lohnnebenkosten durchaus vertraut Aber du rechnest hier doch sehr hohe Summen aus:
Du startest mit einem (recht üppigen Gehalt) von 100.000 Euro (pro Jahr nehme ich an, alles andere wäre aberwitzig). Daraus machst du 1 Mio Euro durch Lohnnebenkosten? Du schreibst selbst OHNE Infrastruktur.

In Deutschland würdest du bei 100.000 Jahresgehalt etwa 20% AG Anteile zur Sozialversicherung und Umlagen etc. bezahlen (vielleicht weniger wegen Beitragsbemessungsgrenzen). Das macht dann 880.000 Euro für Fortbildung, Arbeitskleidung^^, Smartphone (wobei das Infrastruktur sein kann), viel fällt mir da nicht mehr ein.

Versteh mich nicht falsch ich will da jetzt nicht Korinthen kachen aber man sollte Diskussionen nicht mit Zahlen führen die völlig aus der Luft gegriffen sind. Es gibt zich Gründe warum man keinen lokalen Admin hat (Arbeitsmarkt gibt das nicht her etc.) aber Personalkosten? Systemhäuser fangen erst bei 120 Euro die Stunde an und irgendwer muss ja immer noch die Struktur vor Ort anschaffen, betreiben, die Cloud administrieren, den Usern helfen...