Hadmut Danisch

Ansichten eines Informatikers

Noch so ein Furtwängler’sches „Brain Capital” am Werk

Hadmut
28.10.2020 19:28

Migrationen in die Cloud scheinen besonders bei Frauen sehr beliebt zu sein.

Was ziemlich genau auf eine Beobachtung passt, die ich früher mal gäußert habe: Erst wollen sie unbedingt Verantwortung. Und wenn sie sie haben, ist das erste und wichtigste, was sie tun, sie auf andere abzuschieben.

Das Handelsblatt schreibt über die Bahn: Deutsche Bahn verlagert ihre komplette IT in die Cloud

Wahnsinn. Der blanke Wahnsinn.

Die eigenen Bahn-Server gibt es nun nicht mehr. Alles kommt aus der Cloud. Das sind Rechenzentren von Microsoft und Amazon, die mit ihren Diensten Azure und AWS Speicherplatz und Rechenleistungen über das Internet bereitstellen. „Wir haben quasi unter dem rollenden Rad die IT-Anwendungen in die Cloud gehoben und dann weiter optimiert“, sagt Christa Koenen, IT-Chefin der Bahn. „Damit haben wir jetzt mehrere hundert Anwendungen in die Cloud migriert. Und nachdem vor zwei Wochen die letzte Anwendung unser Rechenzentrum verlassen hat, konnten wir jetzt mit dem Rückbau starten.“

Im Prinzip Selbstmord. Die Bahn ist dann völlig abhängig von Diensten in den USA. Ausgerechnet den USA.

Wo schon nach deren Rechtssystem niemand überhaupt Grundrechte hat, der nicht entweder Amerikaner oder auf amerikanischem Boden ist. Wo es dann nicht mal einen richterlichen Beschluss braucht, um Daten solcher Nichtamerikaner zu durchsuchen. Und wo die Geheimdienste den Chefs dort einen Brief schicken können, wonach sie Zugang verlangen, und der Empfänger des Briefs sich schon strafbar macht, wenn er auch nur zugibt, so einen Brief erhalten zu haben.

Als der Bahn-Vorstand im Jahr 2016 den Beschluss fasste, 450 Anwendungen der Bahn in die Cloud zu verlagern, wurde die Entscheidung in der Öffentlichkeit auch kritisch aufgenommen. Schließlich zeichnete sich damals schon ab, dass ein US-Konzern zum Zug kommen wird, der im Zweifelsfall dem US-amerikanischen Recht unterliegt. Nicht erst seit den Enthüllungen von Edward Snowden ist klar, dass die Datenschutzgesetze in den USA deutlich laxer sind und Dienste wie die NSA in großem Umfang Daten über Personen und Unternehmen sammeln.

Genau das ist die Gefahr.

Und jetzt der Brüller:

Bahn-IT-Chefin Koenen sagt: „Wir haben natürlich gleich zu Anfang des Projektes einen ganz besonderen Fokus auf Sicherheit und Datenschutz gelegt.“ Dabei setzt die Bahn zum einen auf eine harte Verschlüsselung, die neugierige Blicke der US-Dienste verhindern soll: „Wir verschlüsseln alle Daten, und nur wir können sie entschlüsseln. Das heißt, nur wir haben Zugriff auf die Schlüssel und nicht die Cloud-Provider“, betont die Geschäftsführerin der Bahn-IT-Tochter DB Systel. Daher können die Bahn auch Anwendungen, bei denen der Datenschutz eine wichtige Rolle spiele, in der Cloud betreiben.

Wie, bitte!?

Anscheinend weiß die IT-Chefin der Bahn nicht, wie Computer funktionieren. Wenn die Anwendung in der Cloud läuft und die Anwendung auf die Daten zugreifen kann, und die hier auch alles abbauen, dann ist auch der Schlüssel in der Cloud. Dann haben die US-Geheimdienste selbstverständlich auch den Schlüssel. Man kann nicht behaupten, dass man eine Anwendung auf einem fremden Rechner laufen lässt, die Daten also dort verarbeitet, man aber nur selbst den Schlüssel habe. Sonst könnte die Anwendung ja dort nicht laufen. Man kann Daten verschlüsselt bei jemand anderem abspeichern, aber man kann sie dort nicht verarbeiten. (Ich könnte jetzt mit meiner Diss ankommen, da steht’s nämlich drin. Das eine ist Datensicherheit, das andere ist Systemsicherheit. Und Systemsicherheit geht nicht in Feindesland. War mal mein Promotionsthema und Dissertationsinhalt, in den Kapiteln vor dem mit der Kryptographie. Ich habe das damals beschrieben, wie man das analysiert und was geht und was nicht.)

Wie, außer durch die Existenz als Quotenweibchen, kann man zu einer derart dummen Aussage über IT-Sicherheit kommen und dann IT-Chefin der Bahn werden?

Man kann Daten entweder verschlüsselt irgendwo speichern, oder man kann sie unverschlüsselt verarbeiten. Aber man kann sie nicht verschlüsselt verarbeiten. Und bevor jetzt wieder die Besserwisser und Schlaumeier bei mir anturnen: Ja, ich weiß, was homomorphe Verschlüsselung ist, die ja genau sowas ermöglichen soll, nämlich Datenverarbeitung auf den chiffrierten Daten. Das ist aber so speziell, abgefahren und und auf einfache Rechenoperationen beschränkt (insbesondere eben auch nicht turingfähig), dass das hier nicht in Betracht kommt und nicht entfernt anwendbar ist.

Mal ganz abgesehen davon, dass die USA durch Wirtschaftssanktionen jederzeit die Bahn komplett lahmlegen können. Verfügbarkeit ist auch ein Thema der IT-Sicherheit.

Neben dem technischen Schutz setzt die Bahn aber auch auf Kleingedrucktes: „Wir haben das mit den Cloudprovidern auch entsprechend vertraglich abgesichert und überprüfen die Einhaltung regelmäßig.“ Dabei nutze die Bahn ausschließlich europäische Rechenzentren in Frankfurt und in den Niederlanden.

Aha. Dass die USA aber neulich mal ihr Recht geändert haben und Zugriff auf alles haben, was unter Kontrolle einer US-Firma steht, auch außerhalb der USA, scheint man da auch nicht zu wissen, und dass die gesetzliche Pflicht, den Geheimdiensten Zugriff zu gewähren, in den USA ganz klar deutlich über dem Privat- und Vertragsrecht steht, auch nicht. Das kann man gar nicht vertraglich ausschließen, und überprüfen kann man es auch nicht. Denn wenn die eine Überprüfung zulassen oder ermöglichen würden, hätten sie sich nach US-Recht schon strafbar gemacht und würden dafür Knast riskieren. Und Knast riskieren die nicht.

Gleichwohl sieht Koenen die Gefahr, sich von einem großen Cloud-Betreiber abhängig zu machen. Die Bahn verfolge deshalb eine „Multi-Cloud-Strategie“. Neben Amazon AWS kommt auch Microsoft Azure zum Einsatz. Anbieter aus Deutschland oder Europa gingen aber leer aus.

Huahahahaaaa!

Man will sich nicht abhängig machen und deshalb hat man eine Multi-Cloud-Strategie aus Amazon und Microsoft.

Erinnert mich an die Blues-Brothers: Wir spielen hier beide Arten von Musik. Country und Western.

Das könne sich aber ändern. Die Bahn werde den Markt weiter beobachten, weil sich die Cloud-Landschaft in den kommenden Jahren weiterentwickeln werde. „Und es ist absolut nicht ausgeschlossen, dass wir dann entsprechend auch mal den Cloud-Provider wechseln.“

Das werden die schon wirksam zu verhindern wissen. Als ob es Microsoft jemals irgendwem leicht gemacht hätte, aus deren Klauen wieder rauszukommen.

Betroffen von der Änderung waren auch rund 1000 Mitarbeiter, die in den Bahn-Rechenzentren beschäftigt waren. „Von denen haben wir fast alle behalten und weiterbilden können.“ Viele hätten einen sogenannten Cloud-Führerschein gemacht und arbeiteten jetzt in der Betriebsführung der Clouddienste.

Den „Cloud-Führerschein”.

Ach, Du liebe Zeit.

Ja, sowas habe ich auch. Ich habe ein Amazon-Kunden-Diplom. Ich bin ausgebildeter Amazon-Besteller und geprüfter Geldausgeber.

Demnächst noch als Frauenstudiengang: Master in Powershopping. Mit Option zum PhD. Proudly sponsored by Gucci oder sowas.

Pro Jahr stellt die Bahn rund 1000 IT- und Digitalexperten ein, Tendenz steigend.

Hört sich jetzt nicht so an, als ob sie schon welche hätten, die den Namen verdienen.