Klar, nicht jeder Einbruch bei einem Anbieter hat yahooeske Ausmaße, glücklicherweise, aber bei jedem neuen Einbruch, jedes Mal, wenn irgendwo Daten in die falschen Hände geraten, sind diejenigen nicht weit, die direkt erzählen, dass sie ja von so was überhaupt nicht betroffen seien, schließlich können man doch alles selber machen. Sei es der gemietete Rootserver oder ein Raspberry Pi daheim, die Kosten für die Hardware sind überschaubar und es gibt reichlich Open Source Software für so ziemlich alle Zwecke. Und wir stellen solche Lösungen ja auch gerne hier bei uns vor und beschäftigen uns damit. Ob so ein eigener Server aber wirklich immer eine bessere Lösung ist, wird kaum gefragt – auch von uns.
Setzte neue Maßstäbe:
Yahoo: Auch der schlimmste Hack kann noch schlimmer werden
Bau dir halt deine eigene Cloud!
Ob nun ownCloud oder der Ableger NextCloud, eine der beiden Lösungen wird immer sofort vorgeschlagen, wenn es um Cloud-Speicher geht, mit entsprechenden Erweiterungen kann man da jede Menge Sachen realisieren – wirklich feine Software. Und es gibt ja noch viel mehr Lösungen für so ziemlich jeden Zweck. Warum also sollte irgendjemand die eigenen Daten einem Unternehmen anvertrauen, das diese Daten für eigene Zwecke nutzt oder vielleicht Geheimdiensten Zugang ins eigene Netzwerk gewährt? Abgesehen davon, dass solche großen Anbieter schließlich ständig Ziel von Angriffen sind, denn sie sind aufgrund der großen Datenmengen, die sie für ihre Kunden speichern, lohnende Ziele.
Aber nur, wenn du es kannst!
Hier beginnt das Problem: Theoretisch kann natürlich jeder einen Linux-Server betreiben, darauf NextCloud installieren und das alles selber machen. Praktisch sieht das dann schon anders aus. So ein Server, der ständig im Netz erreichbar ist, ist einfach etwas anderes, als der Rechner daheim. Bevor man sich also an ein solches Projekt wagt, sollte man sich schon ein paar Gedanken dazu machen, wie viel Zeit man investieren kann und will und wie viel Aufwand das eigentlich am Ende ist. Wer auf seinem Windows-Rechner daheim schon aus Tradition jede neue Wurm- und Trojaner-Weller mitnimmt, dem sollte direkt klar sein, dass der Betrieb eines eigenen Servers vielleicht nicht sein Ding ist. Klingt logisch? So denkt nicht jeder…
Kleine Anekdoten
Wir haben Freitag, also kann ich auch mal ein paar kleine Anekdoten einbringen. Lange habe ich in Rechenzentren gearbeitet, dort auch Support gemacht und gerade wenn es um das Thema „Bau deine Cloud doch selbst“ und den Betrieb eines eigenen Linux-Servers geht, könnte ich wahrscheinlich ein Buch füllen. Mir persönlich hat diese Zeit dort einfach nur gezeigt, dass zumindest ein großer Teil der im Netz erreichbaren Server dort nicht stehen sollte.
Als mein damaliger Arbeitgeber sein Geschäft von „Server-Stellplätze, Racks und RZ-Fläche für Businesskunden“ auf „Mietserver auch für Privatkunden“ ausweitete, änderte sich schnell auch die Arbeit dort. Während wir in Sachen Support davor fast nur als Remote Hands im RZ unterwegs waren und nur relativ selten mal einen gehackten Server vom Netz nehmen mussten, war das mit den neuen, günstigen Mietservern sehr schnell vorbei. Das begann schon bei einem der ersten bestellten Server des neuen Geschäftsbereichs, dessen Kunde uns fragte, wer oder was ein „root“ sei und warum er sich mit seinem Windows Remote Desktop nicht auf den Linux-Server einloggen könne, er brauche dafür den Administrator-Account. Damit war klar, dass die optimistische Annahme „Es wird sich keiner einen Server mieten, der nicht weiß, was er da tut, so blöd ist keiner“ einfach falsch war.
Jeder, wirklich jeder, damals durch die Gegend geisternde Wurm, der es auf Serversoftware abgesehen hatte, war in dem entsprechenden Bereich des Rechenzentrums großflächig vorhanden, es waren täglich Server wegen eines Hacks oder SPAM-Versand (wobei es da meist einen Zusammenhang gab) vom Netz zu nehmen und frisch zu installieren. Einer der Kunden wollte uns verklagen, weil wir ihm ein unsicheres System installiert hätten – das wäre der Grund für den Hack gewesen. Klar, bei der Grundinstallation war die Lücke sicherlich vorhanden, hätte er aber in den knapp zwei Jahren, die sein Server lief, mal die angebotenen Updates für sein System durchgeführt (wozu sich die Kunden übrigens in den AGB verpflichtet hatten), dann wäre die Lücke rechtzeitig geschlossen worden.
Lass das mal die Profis machen
Es gibt gute Gründe, eben nicht alles selbst zu machen, sondern auch mal größeren Unternehmen ein Stück weit zu vertrauen. Natürlich sollte man nicht unkritisch alle privaten Daten dem neuesten Start-Up hinterher schmeissen, aber etablierte Anbieter sind doch etwas anderes. Ob nun Google, Microsoft, Amazon oder Apple, in allen Unternehmen werden reichlich Menschen beschäftigt, die sich um die Technik und die Systemsicherheit der Cloud-Dienste kümmern. Selbstverständlich sind Menschen niemals perfekt und auch bei diesen Unternehmen passieren Fehler, das lässt sich niemals vermeiden, aber die Lebenserfahrung zeigt, dass ein Team von Profis weniger Fehler macht, als ein einzelner Laie.
Und gerade, weil diese Unternehmen ständigen und vor allem auch gezielten Attacken ausgesetzt sind, kann man davon ausgehen, dass die entsprechenden Abteilungen dort eben auch wissen, wie sie damit umgehen müssen. Aber jeder einzelne Server im Netz wird ständig attackiert, das kann ich auf den von mir betreuten Servern wunderbar beobachten: Automatisierte Login-Versuche per SSH, blind ins Netz gefeuerte Angriffe auf teilweise Jahre alte WordPress- oder Joomla-Lücken usw. – alles da und zwar wirklich ständig. Gezielte Angriffe sind in so einem Umfeld natürlich eher selten bis nicht vorhanden, aber die automatisierten Massenattacken sind nicht weniger gefährlich.
Aber Google wertet meine Daten doch aus!?
Das Argument ist natürlich nicht ganz von der Hand zu weisen. Es ist ja kein Geheimnis, dass zum Beispiel Google die Nutzerdaten für verschiedene Zwecke mindestens statistisch und automatisiert auswertet. Ob es darum geht, passende Werbung bei Gratisdiensten einzublenden oder darum, die bezahlten Dienste zu verbessern, indem das Nutzerverhalten ausgewertet wird. Das muss einem nicht gefallen, aber so eine automatisierte Auswertung ist etwas anderes als ein gezieltes Herumschnüffeln in Kundendaten. Und ein früherer Kunde von mir, der für sein Unternehmen voll auf die Google Apps setzte, antwortete in dem Zusammenhang immer, dass er keine Sorgen habe, dass sich Google als Konzern mit Milliardenumsatz für die Geschäftsdaten seines Mini-Ladens interessieren würde. Eben Verhältnismäßigkeit: wie interessant sind meine Daten denn wirklich für die Cloud-Anbieter?
Man kann es natürlich prinzipiell sehen und es daher grundsätzlich ablehnen, dass ein Cloud-Anbieter die eigenen Daten und Aktionen in irgendeiner Form auswertet, in dem Fall kann man solche Anbieter meiden. Es muss ja nicht immer Google sein. Klar, andere Dienste, gerade die mit großen Versprechen in Sachen Datenschutz, kosten Geld – aber ein eigener Server auch.
Aber die Geheimdienste!
Die Schnüffelei von Geheimdiensten ist natürlich wieder eine andere Sache. Je nach Herkunftsland eines Anbieters, dürfen staatliche Dienste möglicherweise ganz legal schnüffeln und man erfährt es wahrscheinlich in den meisten Fällen nie. Denn wenn es ein entsprechend ausgestatteter Geheimdienst gezielt auf die Daten einer Person abgesehen hat, dann werden die sich nicht damit aufhalten, nur bei Cloud-Anbietern zu schnüffeln, sondern eben gezielt auf diese eine Person losgehen. Ein eigener Server schützt davor nicht wirklich.
Auf meinem Server bin ich der Boss
Tatsächlich der Grund, warum ich einiges auf eigenen Servern mache: Dort kann ich entscheiden, wie so ein Dienst läuft. Aber auch hier gilt: Mit dem Aufsetzen und Anpassen ist es nicht getan. Ich hatte mal einen Chef, mit dem ich eine Diskussion über das Thema Arbeitsbelastung im Team hatte. Ich versuchte ihm zu erklären, dass wir nicht ständig neue Systeme und Serverdienste installieren könnten, schließlich müssten die auch betreut werden und nebenbei stand zu dem Zeitpunkt auch ein größerer Umbau der IT an. Seine Antwort? Es wäre Blödsinn, man würde die Software halt installieren und konfigurieren, danach macht sie keine Arbeit mehr… Hat hier jemand zustimmend genickt? Dann bitte niemals einen eigenen Server betreiben, danke.
Massen individueller Server statt Cloud mit Massen von Daten?
So ein vServer kostet heute nicht mehr viel, diverse Softwarepakete versprechen eine Out-of-the-Box-Cloud-Lösung mit einem bequemen Webinstaller – da mag die Versuchung groß sein, sich beim nächsten Sicherheitsproblem bei einem Cloud-Anbieter schnell einen zu bestellen und sich die passende Software zu installieren, geht doch so schnell. Was viele dabei aber eben vergessen: So ein Server administriert sich eben nicht von selbst. Wer hier ein bisschen Erfahrung hat, dem ist das klar. Umso unverständlicher ist dabei für mich, warum gerade von solchen Menschen in schöner Regelmäßigkeit einfach ein „Mach dir deine Cloud doch selbst“ empfohlen wird, selbst wenn deutlich zu erkennen ist, dass man das gerade jemandem um die Ohren haut, der schon mit seinem Desktop-Rechner überfordert ist.
Experimente gerne, aber daheim
Natürlich kann, darf und soll sich bitte jeder gerne im Rahmen von vorhandener Lust und Zeit auch mit Serversoftware beschäftigen und experimentieren – aber für Experimente gibt es virtuelle Maschinen auf dem eigenen Desktop, Kleinstrechner wie Raspberry Pi oder ausgemusterte Desktop-Rechner, mit denen man im heimischen LAN experimentieren kann. Aber sobald man einen Server betreiben möchte, der ständig im Internet erreichbar ist – ob es ein Server bei einem Hoster ist oder der durch Portforwarding in der Fritz-Box und einen DynDNS-Dienst von außen erreichbare Server daheim – sollte man sich dessen bewusst sein, was man da macht.
Ob Cloud oder eigener Server: Absolute Sicherheit wird es nie geben, Fehler passieren immer und jedem. Bevor man aber „mal eben schnell“ einen eigenen Server aufsetzt, sollte man sich überlegen, ob die Nutzung eines Cloud-Dienstes für den eigenen Kenntnisstand nicht die bessere Option darstellt. Die meisten Nutzer sind in Sachen Sicherheit bei einem Cloud-Anbieter besser aufgehoben. Das gilt übrigens auch für die „Personal Cloud Festplatten“, die so gerne als die Alternative zu Cloud-Anbietern angepriesen werden. Der Administrationsaufwand ist hier sicher geringer als bei einem eigenen Server, aber „Einschalten, konfigurieren und vergessen“ funktioniert auch hier nicht. Wird aber trotzdem viel zu oft so gehandhabt: Wer etwas Zeit übrig hat, kann ja mal ein wenig mit Shodan experimentieren, einer Spezialsuchmaschine für das Internet of Things.