Kein deutscher Weg

Wenn es um Standards geht, ist es vernünftig, eine globale Einigung zu finden. Weder politische, noch technologische Alleingänge haben auf lange Sicht Erfolg. Das zu akzeptieren fällt insbesondere dann schwer, wenn man überzeugt ist, dass der eigene Standard der überlegene ist. Doch weder bei der Videoaufzeichnung, noch bei Audioaufnahmen oder Telekommunikationsprotokollen haben sich notwendigerweise die überlegenen Technologien durchgesetzt, sondern die, mit der Aussicht auf den breitesten Konsens. Selbst die Eisenbahnen, die lange Zeit national geprägt waren und Standards ganz bewusst zur gegenseitigen Abschottung eingesetzt haben, schwenken inzwischen mühsam auf global gültige Geltungsregeln ein.

Selbst Sicherheit, von der man meinen sollte, sie sei unverhandelbar, unterliegt offensichtlich diesem Fundamentalgesetz der globalen Gleichheit, wie sich jetzt an der „Deutschen Cloud“ zeigt. Vor drei Jahren hatten Microsoft Deutschland und die Deutsche Telekom in einer Art Treuhänderschaft zwei Cloud-Rechenzentren errichtet, die dem überlegenen deutschen Datenschutz Rechnung trugen und zugleich vor dem überbordenden Datenhunger US-amerikanischer Nachrichtendienste und Ermittlungsbehörden schützen sollte. Denn vor drei Jahren war die Rechtsprechung derart, dass ein transatlantisches Unternehmen die Wahl hatte, entweder gegen europäisches oder gegen US-amerikanisches Recht zu verstoßen.

Jetzt hat Microsoft angekündigt, die Microsoft Cloud Deutschland für neue Kunden nicht mehr anzubieten. Stattdessen werden hierzulande zwei neue Cloud-Rechenzentren errichtet, die bis 2020 zunächst Azure, dann Office 365 und schließlich die ERP-Suite Dynamics 365 in einer Public Cloud zur Verfügung stellen. Kunden der Deutschen Cloud können die Services weiter nutzen, erhalten aber keine zusätzlichen Features mehr. Die Deutsche Telekom will angeblich ihrerseits an der Deutschen Cloud festhalten.

Grundsätzlich hat sich die Rechtssituation seit 2015 nicht geändert – nach wie vor könnten US-Behörden Zugriff auf in Deutschland gespeicherte personenbezogene Daten verlangen, wenn der Betreiber der Cloud seinen Hauptsitz in den Vereinigten Staaten hat und damit auch im Ausland US-amerikanischer Rechtsauffassung unterliegt. Geändert hat sich die Lage allerdings insofern, als mit der Datenschutz Grundverordnung (DSGVO) ein inzwischen europaweit gültiger Standard zum Umgang mit personenbezogenen Daten besteht und andererseits die Cloud-Anbieter ihre internen Qualitätsansprüche soweit angehoben haben, dass das Datenschutz-Delta zur Deutschen Cloud immer kleiner geworden ist.

Jetzt hat der Markt entschieden. Durchschnittlich rund 18 Prozent höhere Kosten in der Deutschen Cloud und deutlich geringere Flexibilität haben dazu geführt, dass das nationale Angebot nie eine breite Anwenderschaft gefunden hat. Die neuen Microsoft-Rechenzentren werden dem globalen Qualitätsrahmen der Microsoft-Trusted-Cloud-Grundsätze und Compliance-Zertifikaten und -Testaten für komplexe Sicherheits- und Datenschutzanforderungen folgen. Darüber hinaus sollen die Rechenzentren künftig nach dem C5-Anforderungskatalog (Cloud Computing Compliance Controls Catalogue) ausgelegt werden.

Microsoft hat mit der Deutschen Cloud zusammen mit der Deutschen Telekom Maßstäbe gesetzt. Der Markt aber hat anders entschieden und ist mit weniger zufrieden. Einen deutschen Weg wird es nicht geben. Die Deutsche Cloud geht den Weg aller nationalen Standards. Sie unterliegen gegenüber der Globalisierung auch dann, wenn sie eigentlich besser sind.

Die Dinosaurier sind zurück

2,5 Milliarden Dollar Gewinn! Im Quartal! Das ist für die meisten Companies auf diesem Planeten ein ziemlich stolzes Ergebnis. Auch für das zweitgrößte Unternehmen dieser Welt – Amazon nämlich – sind 2,5 Milliarden Dollar eine stolze Stange Geld; vor allem, wenn man bedenkt, dass der Online-Versandriese lange Zeit als chronisch margenschwach galt. Wenn er überhaupt Gewinne ausweisen konnte.

Aber Amazon ist nicht mehr nur ein Online-Versandriese. Amazon ist vor allem der Weltmarktführer im Cloud-Business. Amazon Web Services stehen mit 6,1 Milliarden Dollar zwar nur für einen kleinen Teil des Konzernumsatzes, tragen aber mit 1,6 Milliarden Dollar Betriebsgewinn zu mehr als 55 Prozent des Gesamtgewinns bei. Wenn Amazon mit einer Marktkapitalisierung von derzeit gut 860 Milliarden Dollar Apple bei einem Börsenwert von 945 Milliarden Dollar als wertvollstes Unternehmen der Welt jemals ablösen sollte, dann wegen seiner Cloud-Aktivitäten.

Doch wie wackelig die Marktführerschaft im Cloud-Business ist, zeigen die Quartalsergebnisse der nachfolgenden Dinosaurier: Microsoft, IBM und SAP. Während Amazon praktisch ein Kind der Wolke ist, sind die drei alteingesessenen Tech-Companies allenfalls Cloud-Immigranten, Einwanderer aus einer Welt in der das Geschäftsmodell vom Besitz der Infrastrukturen und Produktivitätswerkzeuge geprägt war. Aber die drei scheinen sich erfolgreich in die Ära der Share-Economy und On-Demand-Infrastrukturen hinüberzuretten.

Allen voran Microsoft. Mit 30,1 Milliarden Dollar Umsatz im vierten Quartal des Geschäftsjahres hat die Gates-Company nicht nur erstmals die 100-Milliarden-Marke durchstoßen; zu diesem Ergebnis hat auch die Cloud-Sparte mit 6,9 Milliarden Dollar überdurchschnittlich gut beigetragen. Auch wenn sich das Wachstum rund um die Cloud-Angebote Azure, Dynamics 365 und Office 365 etwas verlangsamt hat, übersteigt der erreichte Cloud-Umsatz doch den von Amazon inzwischen deutlich. Die Frage der Marktführerschaft ist also schon längst eine Frage der Definition.

Denn auch IBM und SAP kommen mit ihren Cloud-Umsätzen allmählich in die Regionen von Amazon und Microsoft. Für beide – wie auch für Microsoft – zahlen sich offensichtlich die langjährigen festen Beziehungen zu Enterprise-Kunden aus, die jetzt auf dem Migrationsweg in die Cloud sind und bei den drei Dinosauriern Asyl suchen. Für IBMs Chefin Virginia Rometty dürfte das nach zahllosen Quartalen mit sinkendem Umsatz wie eine Erlösung sein. Das Unternehmen hat sich in die Herzen der IT-Leiter zurückgekämpft. Vor allem die CIOs, die mit globalen, zeit- und transaktionskritischen Infrastrukturen zu kämpfen haben, wählen offensichtlich bei ihrem Weg von On-Premises zu On-Demand lieber die „Good Old Buddies“ als die Cloud-Natives wie Amazon und Google.

SAP sieht sich damit auf einem guten Weg, den alten Cloud-Rivalen Salesforce im Geschäft mit Lösungen für das Kundenbeziehungsmanagement abzuschütteln. Und alle drei Dinosaurier – Microsoft, IBM und mit Einschränkungen SAP – setzen nicht nur auf die Cloud, sondern zugleich auf alle Disziplinen im Modernen Fünfkampf, der neben Cloud Computing aus Mobile Computing, Data Analytics, Artificial Intelligence und Security Management besteht.

SAP ist – mit Recht – stolz darauf, dass 93 Prozent der Fortune-500-Unternehmen Lösungen der Walldorfer einsetzen. Microsoft kann sich nicht nur auf ein Quasi-Monopol bei Desktop-Betriebssystemen stützen, sondern auch auf eine gigantische Zahl von Kunden und Partnern, die in Azure die facettenreichste Cloud-Plattform sehen. IBM wiederum holt auf verlorenem Mainframe-Terrain wieder auf und nutzt dabei die Intelligenz von Watson, dem derzeit marktführenden KI-System.

Noch ist der größte Teil des Cloud-Kuchens unangetastet. Die Zahl der Migrationswilligen ist riesig – sie umfasst praktisch alle Unternehmen dieser Welt. Aber im Laufe des kommenden Jahrzehnts wird unter den jetzigen Cloud-Riesen der Verdrängungskampf beginnen. Dann wird sich zeigen, wer die bessere Strategie hat. Die Dinosaurier jedenfalls sind gar nicht ausgestorben – sie haben sich agil in die Lüfte erhoben.

 

Amicus Stay Home

Seit sechs Jahren geht der Absatz von Personal Computern und Laptops stetig zurück. Nach den Berechnungen der Gartner Group wurden im zurückliegenden Jahr noch 260 Millionen Rechner verkauft – vor vier Jahren waren es noch 320 Millionen Stück. Lange Zeit war der PC unser bester Freund. Fünf mobile Geräte entfallen inzwischen auf jeden auf der Welt installierten PC. Wenn wir das Haus verlassen, sind es die Tablets, Smartphones und Netbooks, die wir mitnehmen. Zu unserem langjährigen Freund, dem PC, aber sagen wir: „Amicus Stay Home“.

Von dieser Entwicklung profitieren diejenigen, die rechtzeitig auf den Technologiewandel gesetzt haben – allen voran Apple mit dem iPhone und die Anbieter von Android-Geräten wie zum Beispiel Samsung. Wer neben PCs auch Server in der Angebotspalette hat, muss – vorerst – nicht um sein Geschäft bangen, denn in die weltweiten Data Centers wird kräftig investiert. Denn erst die Cloud macht mobile Computing so richtig schön. Nach Einschätzung von McKinsey werden in diesem Jahr 80 Prozent aller bestellten Server in Rechenzentren aufgestellt. Doch auch hier droht ein langfristiger Marktschwenk. Immer mehr Server werden in Asien hergestellt oder als sogenannte „weiße Marken“ zum Selberbauen angeboten. IDC schätzt, dass im Jahr 2020 jeder zweite Server „Marke Eigenbau“ sein wird. Public Clouds werden zum Mainstream. Dem eigenen Rechenzentrum sagen wir „Amicus Ade“.

Kein Wunder: die Cloud-Betreiber bieten ein Sicherheitsniveau, das zu wirtschaftlichen Bedingungen im eigenen Rechenzentrum nur erreicht werden kann, wenn man es konsequent vom Internet abschottet. Aber wo bliebe dann der Mehrwert, der sich aus der Digitalisierung und dem Internet der Dinge ergibt? Cloud Services sind inzwischen unsere liebgewordenen Freunde, zu denen wir sagen: „Amici Stay with Us!“

Aber wir begegnen auch völlig neuen Gefahren in dieser cloudifizierten Welt – und selbst unsere besten Freunde könnten da zu unseren Gegnern werden. Davor warnen jetzt der Hightech-Verband Bitkom, der Bundesverband der Deutschen Industrie und die Deutsche Industrie- und Handelskammer mit Blick auf eine anstehende Entscheidung des Obersten Gerichtshofs in den USA. Darin geht es um den seit Jahren anhängigen Rechtsstreit der US-Bundesregierung mit Microsoft, wonach der Cloud-Anbieter auch dann personenbezogene Daten herausgeben muss, wenn diese außerhalb der USA, also zum Beispiel in Europa, gespeichert sind. Die Begründung im so genannten „New York Search Warrant Case“ ist einfach: US-Unternehmen unterliegen auch dann US-amerikanischem (Zugriffs-)Recht, wenn es sich um Aktivitäten außerhalb der USA handelt.

Microsoft hat die Zeit der Verhandlungen genutzt, um sich zumindest in Deutschland vor dem drohenden Zugriff zu schützen. Zwei Rechenzentren hierzulande wurden in die treuhänderische Verantwortung der Deutschen Telekom gegeben, die nun wirklich kein US-Unternehmen ist und damit per se nicht den Zugriffsrechten der US-Behörden unterliegen kann. Hier gilt: „Ami Stay Out“.

Doch sollte der Oberste Gerichtshof – was zu befürchten ist – eine Entscheidung zugunsten der US-Behörden treffen, dann wäre dies ein tiefgreifender Eingriff in deutsches Datenschutzrecht. Denn wenn sie sich im Falle eines Falles einem Auslieferungsbegehren für personenbezogene Daten aus den USA gegenübersehen, verstoßen sie im Verweigerungsfall gegen US-Recht. Und wenn sie dem Begehren nachgeben, wäre deutsches Recht gebrochen. Dann wäre also der Freund des Freundes Wolf. Oder im schönsten Juristenlatein: „Amicus amicum lupus“.

Dabei haben die Deutschen kaum Rechtsmittel an der Hand, um hier auf den Obersten Gerichtshof in den USA einzuwirken. In einem sogenannten „Amicus-Schreiben“, das in Rule 37 Abs. 1 der Verfahrensordnung des US Supreme Court dritten, nicht direkt am Rechtsstreit beteiligten Personen oder Personengruppen erlaubt, Stellung zu beziehen und zusätzliche Rechtsfragen aufzuwerfen, hat der Bitkom jetzt das Dilemma beschrieben. Zur Zusammenarbeit mit ausländischen Behörden gebe es bestehende Rechtshilfeabkommen, die nicht dadurch umgangen werden dürften, dass US-Behörden unmittelbaren Zugriff auf Daten in Europa verlangen.

Waren das noch Zeiten, als wir unsere Daten auf dem PC gespeichert hatten. Da sind sie zwar den pausenlosen Hackerangriffen aus dem Internet ausgesetzt, vor denen wir uns in der Regel nur notdürftig schützen. Aber wir mussten wenigstens nicht mit der Herausgabe an US-Regierungsbehörden rechnen. Denn „Amicus Stay Home“ bedeutet eben auch: „Ami Stay Out“.

Spekulative Aushorchung

„Kernschmelze“ und „Gespenst“ sind wahrlich nicht zu niedrig gegriffene Schlagworte für das möglicherweise größte anzunehmende Unbehagen der Informationswirtschaft. Wir wissen nicht einmal, wie viele Milliarden Prozessoren mit den jetzt vorgefundenen Sicherheitslücken weltweit im Einsatz sind. Die Chipproduktion seit 1995 – also seit mehr als 20 Jahren – ist sozusagen kontaminiert.

Das Einfallstor, durch das nach Ansicht der Sicherheitsforscher bislang noch kein Angriffsversuch unternommen wurde, ist eine im Grunde äußerst wünschenswerte Einrichtung: „Speculative Execution“ – zu deutsch: „Spekulative Ausführung“ – ist eigentlich ein Klassiker der Prozessorbeschleunigung. Der Chip mutmaßt, welche Daten als nächstes benötigt werden, und lädt sie schon mal runter. Dabei sind dann auch verschlüsselte oder geschützte Daten auf der Hardwareebene unverschlüsselt verfügbar. Meltdown macht sich das zunutze, indem der Prozessor aufgefordert wird, die eigenen Daten sozusagen spekulativ auszuhorchen. Durch Software kann dieser Prozess weder bemerkt noch unterbunden werden.

Eigentlich. Doch seit Monaten arbeiten die großen Anbieter von Betriebssystemen und Geräten an einer softwareseitigen Lösung. Sie sollte eigentlich am 9. Januar – also am Dienstag – weltweit als Update bereitgestellt und in den Data Centern der größten Cloud-Anbieter installiert werden. Doch eine derart weltumspannende Reparatur ließ sich wohl nicht mehr länger verheimlichen. In den USA tauchten erste Berichte von hektischen Update-Aktivitäten auf, die Spekulationen über ein anstehendes IT-Großereignis schürten. Dass es so groß und so niederschmetternd für eine ganze Industrie, ja für unsere komplette Art zu leben, zu arbeiten, zu kommunizieren sein würde – das hatte wohl niemand ahnen können.

Außer jenen Anbietern – darunter Microsoft, Google und Amazon –, deren IT-Ökosphäre durch die Sicherheitslücke in größte Gefahr geraten würde. Seit Juni letzten Jahres – heißt es – arbeiten die Hersteller an einem Software-Update, dass diese Lücke zwar nicht endgültig schließt, aber doch wenigstens schwerer nutzbar macht. Endgültige Sicherheit wird wohl nur ein kompletter Austausch der Hardware bringen. Aber wie soll das gelingen?

Wer jetzt an Dieselgate denkt, ist kein Schelm. Ohne die Möglichkeit der schnellen Hilfe durch ein Software-Update stünde die Welt an einem Abgrund – denn Milliarden Prozessoren kann man nicht einfach mal so eben austauschen. Allein sie zu produzieren, würde die Produktionskapazitäten aller Chiphersteller aufbrauchen. Sie auszutauschen ist in vielen Fällen ebenfalls nicht möglich – wer weiß schon, wo er welchen Chip im Einsatz und am Netz hat.

Da ist es fast ein Segen, dass die Dematerialisierung unserer Produktwelten so weit fortgeschritten ist, dass die notwendigen ersten Sicherheitsmaßnahmen über ein Software-Update erfolgen können. Und es ist zugleich ein Segen, dass inzwischen Hunderttausende Unternehmen ihre Anwendungen nicht mehr im betriebseigenen Rechenzentrum, sondern in der Cloud haben. Dort – und das ist durchaus ein Wettbewerbsvorteil – haben die großen Anbieter wie Microsoft, Google und Amazon längst die Nase vorn. Sie wurden bereits früh durch die Hackerforscher informiert – denn nur sie können es sich leisten, diese extrem aufwändigen Forschungsarbeiten auch zu finanzieren.

Wie komplex das Software-Update ist, zeigt sich daran, dass beispielsweise Microsoft davor warnt, das Update erst auszuführen, wenn auch die Antivirus-Hersteller wiederum ihre Updates bereitgestellt haben. Denn die bestehenden Schutzsoftware-Versionen werden aktiv, wenn nicht unterstützte Aufrufe in den Speicher des Kernels getätigt werden. Erste Antivirus-Anbieter haben allerdings schon reagiert und ebenfalls Updates zur Verfügung gestellt.

Andere Anbieter ziehen jetzt in einem zweiten Schritt nach. Und Millionen von Unternehmen, die ihre Lösungen unverändert im eigenen Betrieb hosten, werden in den kommenden Wochen folgen. Oder nichts tun. So unfassbar das erscheinen mag, aber die Zahl der Menschen, die auch nach Bekanntwerden einer Sicherheitslücke nur schulterzuckend beiseite gehen, ist immer noch erschreckend hoch.

Oh, dabei fällt mir ein: Ich sollte jetzt meinen PC runterfahren und dann das neue Sicherheitsupdate hochladen. Oder gleich alle Daten und Anwendungen einem seriösen Cloud-Anbieter anvertrauen. Und morgen kaufe ich einen neuen Computer – mit bugfreien Prozessoren gegen spekulatives Aushorchen.

Aber erst morgen…