Virtualisierung und Cloud – der endgültige Tod der Systemhäuser?

Nachdem ich am Mittwoch an einer recht „bemerkenswerten“ Veranstaltung der IT-Business teilnahm, schwirrt in meinem Kopf eine Frage herum: Lassen die Systemhäuser tatsächlich dazu instrumentalisieren, sich selbst das Wasser abzugraben?

Sachstand ist der: Alle (grossen) Hersteller von Serversystemen setzen derzeit darauf, ihren (End)Kunden etwaige Dienste in eigenen Rechenzentren anzubieten. Das „Zauberwort“ heisst stehts „as a service“ – sei es Infrastruktur, Software und am Ende sogar Baaz (Buzzwords as a Service).

Schon heute haben Systemhäuser und Fachhändler Probleme ihr Einkommen zu generieren. Das liegt nicht nur an der Vielzahl von Arbeitslosen, Schülern und „Feierabendspezialisten“, die Support und Beratung leisten und sich durch Vertrieb ein kleines Einkommen dazu verdienen. Das liegt auch an dem Wandel im Vertriebsweg. Müsste man früher zum Fachhändler, wollte man einen PC oder höherwertige Software erwerben, so ersteht man seine Ware heute häufig im Mediamarkt oder bei Amazon. Dies wurde dadurch möglich, dass die Distributionswege durch die Hersteller komplett aufgelöst wurden. Ein Distributor (Großhändler) kauft heute meist teurer ein, als es die grossen Onlinehändler tun. Schon vor 10 Jahren musste ich mir dies von Systemhäusern vorhalten lassen (als ich noch in der Distribution tätig war).

Für den Hersteller macht der kürzeste Weg zum Kunden natürlich Sinn. Umso kürzer die Wertschöpfungskette ist, desto höheren Ertrag kann man erwirtschaften.

Wenn jetzt aber die Fachhändler und Systemhäuser tatsächlich losrennen und die Applikationen ihrer Kunden in die Rechenzentren von HP, IBM, Dell und Konsorten verschieben, werden eben diese ehemaligen Vervielfältiger ein Problem bekommen: Sie generieren keinen Umsatz mehr. Support und Beratung wird dann mehr und mehr über Callcenter abgewickelt und die benannten Hersteller bieten dann zentralisiert alles aus einer Hand.

Natürlich werden in diesem Umfeld auch wieder Arbeitsplätze geschaffen. Die „besten“ Techniker und Berater werden zentral bei den Herstellern eine Anstellung finden. Der Rest allerdings wandert – mit „Lohnanpassungen“ ins Callcenter oder gleich zum Arbeitsamt.

Auch ich, als Mitarbeiter in einem privat betriebenem Rechenzentrum, sehe diese Entwicklung sehr kritisch. Denn der Hersteller der Server, die in meinem RZ stehen, kann seine eigene Ware natürlich deutlich preiswerter ins eigene RZ integrieren, als ich es je könnte. Ich muss sowohl die Hardware als auch den Zwischenhandel finanzieren, der Hersteller selbst rechnet eventuell sogar „quer“.

Am Ende kann es bei der Entwicklung (fast) nur Verlierer geben:

  • Systemhäuser werden massive Einbussen hinnehmen müssen
  • Private Rechenzentren müssen sich sehr strecken um mit dem Hersteller konkurieren zu können (Individualität/Service)
  • Die Anwender werden auf Gedeih und Verderb von den Herstellern abhängig sein und noch stärker als bisher mit einzelnen Herstellern „verheiratet“ sein, denn ein Wechsel wird sehr aufwendig und teuer sein.

Aber die Karawane zieht weiter und die Systemhäuser schaufeln sich ihr eigenes Grab. Die Zentralisierung/Globalisierung wird für weiteren Kollateralschaden auf dem Arbeitsmarkt und den Volkswirtschaften sorgen.

#Digiges auf Zensursulas Pfaden?

„Wer ein Datenleck verursacht, muss beweisen, dass es nicht sein Leck war das zu Missbrauch geführt hat“, heißt es in einer Mitteilung. Und da für den Einzelnen der Nachweis kaum möglich sei, dass Betrugsfälle beispielsweise mit gestohlenen Kreditkartendaten aus dem Pool der betroffenen Firma stammen, müssten dann diese Unternehmen nachweisen, dass dies nicht der Fall sei.

Lese ich als eine der Forderungen der „Digitalen Gesellschaft“(Digiges), eine Lobbyvereinigung die – so wie Sie auftritt – vorgibt die Interessen der „Bürger im digitalen Zeitalter“ zu vertreten, aber mit der Ahnungslosigkeit des Ältestenrates des CDU-Kreisverbandes Hintertupfingen auftritt.

Harte Worte, oder? Aber als jemand, der sich seit Jahren mit Daten- und Systemsicherheit auseinander setzt, möchte ich mal die Frage stellen, wie ein Unternehmen denn den Nachweis antreten soll, dass es nicht schuld ist, dass meine Daten bei einem Drittunternehmen missbraucht werden.

Die Verteilung unserer Daten

Wieviele Unternehmen haben z.B. meine Bank/Kreditkartendaten? Bestelldienste im Internet wie Amazon, Ottoversand, Paypal etc.. Wo habe ich mit Kreditkarte bezahlt? Wo mit einem Verrechnungscheck/Überweisung? Es gibt „Unendlich minus 1“ Möglichkeiten, wo meine Bankdaten rumliegen können. Sollen nun all diese Unternehmen erstmal unter Generalverdacht stehen, wenn irgendwo meine Kreditkartendaten auftauchen? Und wie soll ein Unternehmen nachweisen, dass es nicht schuld daran schuld ist, dass meine Daten in fremde Hände gelangt sind?

Der Beweis der Unschuld

Die Blogger-Profis um Beckedahl herum, sollen mir mal beweisen, dass niemand auf dem Server von netzpolitk unberechtigten Zugriff hat. Weder durch Weitergabe von privilegierten Zugriffsdaten, noch durch Softwarefehler, noch durch physikalischen Zugriff auf dem Server. Desweiteren sollen mir die Möchtegernprofis der digitalen Gesellschaft einmal aufzeigen, wie ich nachweise, dass niemand Zugriff hatte:

  • Auswerten der Logdateien? Die werden vom Hacker als erstes gelöscht, das können sogar Klicki-Bunti Rootkits
  • Logdateien auf separat gesicherten Severn? Und wenn die auch gehackt werden?
  • Gar kein externen Zugriff? Dann habe ich (wie meist) das Problem inhouse – obiges bleibt bestehen.

Jeder Nutzer, der von dem SONY-Debakel betroffen ist, könnte sich nun hinstellen und bei etwaigen Unstimmigkeiten der Kreditkartenabrechnung SONY in die Pflicht nehmen. Ob die Daten durch die Lücke bei SONY den Weg in die Freiheit genommen haben, oder bei dem Internethändler „Billig und Geil“ in Palermo, bei dem ich vor 2 Monaten per Kreditkarte zahlte, oder der Keylogger oder oder oder. Laut der Forderung der Digitalen Gesellschaft muss SONY nachweisen, dass der Betrüger die Daten nicht aus deren Datenbestand hat. Wie soll das funktionieren?

Nachwort

In meinen Augen haben sich die Leute der Digitalen Gesellschaft mit dieser Forderung auf das Niveau einer Frau von der Leyen begeben: Forderungen stellen ohne sich vorher eingehend mit der Materie auseinander gesetzt zu haben, mal mit einem gesprochen zu haben, der etwas davon versteht(SCNR).

Abgesehen von dem – in meinen Augen – Blödsinn, den die Digiges hier verzapft, gibt es natürlich Handlungsbedarf in Sachen Datenschutz und Datensicherheit. Allerdings muss man hier sehr genau darauf achten was man fordert und welche Lösungen man vorschlägt, da man sich sonst schnell in Abseits manövriert.

Cloud ersetzt kein Hirn

Es ist schon bemerkenswert, wie einfach (nicht nur) der Deutsche mit Verantwortung umgeht. Hiess es früher, wer Siemens oder Cisco kauft wird – auch wenn es nicht läuft – dafür niemals gefeuert. Denn es gibt Firmen und Begriffe, bei denen kann man nicht falsch machen (hahahahahahahahahaha).

Heute scheint es die die Weiterentwicklung der Virtualisierung, die Cloud, zu sein die als der Heilsbringer der Welt verkauft wird, zu sein die immer richtig ist. Oder sollte man sagen: Richtig war?

Heise befriedigte gestern Abend meine Schadenfreude:

Die Panne des Cloud-Service Amazon EC2 hat schwerwiegende Folgen. Beim Crash des Angebots vergangene Woche ging eine unbekannte Anzahl an Daten unwiederbringlich verloren. Das geht aus einer von Amazon an betroffene Kunden verschickten Mail hervor, welche das US-Magazin Business Insider veröffentlichte. Amazon räumt darin ein, Versuche zur manuellen Wiederherstellung der Kundendaten seien gescheitert.

Es ist eine alte Weisheit, dass auch ein RAID-System kein Grund ist weder Backups anzulegen noch eine (wie weitgehend auch immer) Redundanz vorzuhalten. Ausfallsichere Systeme erfordern Gehirnschmalz und Erfahrung und sind IMMER auch mit Verantwortung verbunden. Und eben diese Verantwortung ist nicht delegierbar, so gern das mancher IT-Verantwortliche auch hätte.

Da  der Ausfall nur amerikanische Kunden zu betreffen scheint, hoffe ich dass mein ehemaliger Kunde davon nicht betroffen ist. Er rechnete, dass ein Umzug zu Amazon ihm preiswerter kommt als ein komplett redundantes System, das mit gespiegelter Hardware in einem dedizierten Rechenzentrum steht. Mag er recht haben. Aber dass ihm gleich mehrere Hardware-Server komplett um die Ohren fliegen ist dann schon deutlich unwahrscheinlicher.

Ich mag ein wenig oldfashioned sein, aber mir ist ein Server lieber der vor mir steht und auch wenn darauf virtualisierte Systeme laufen, mag ich es wenn ich genau weiss, was gerade wo passiert. Nur dann kann ich mich der Verantwortung auch stellen, die ich für diese Vorgänge habe.