Es regnet Jobs aus der Wolke

Vom verstärkten Einsatz der Cloud-Technologien verspricht sich Kroes bis 2020 etwa 2,5 Millionen zusätzliche Jobs.

RP Online — Schutz vor Cyberattacken: EU plant Meldepflicht für Hackerangriffe

Kommentar

Im RP-Online-Artikel ist so viel auf so schmerzhafte Weise dumm und falsch, dass ich mit einer vollständigen Richtigstellung kaum nachkäme. Das fängt schon mit dem Wort „Hackerangriff“ an, und es hört nicht damit auf, dass eine Meldepflicht nach einem derartigen Angriff ungefähr so viel Schutz vor einem derartigen Angriff bietet, wie eine amtliche Meldepflicht von AIDS-Erkrankungen vor HIV-Neuinfektionen bei Geschlechtsverkehr ohne Kondom schützte. Die Verwendung von Kondomen und ein genaues Wissen um (in Hinblick auf AIDS) gefährliche Sexualpraktiken in Kombination mit Selbstverantwortung und angemessener Vorsicht schützen hingegen sehr wohl vor einer Infektion…

Um den „Schutz“, das „Wissen“ und die „Vorsicht“ bei der Verarbeitung und Speicherung von Daten geht es Frau Kroes auch eher weniger, es geht ihr vielmehr um… ähm… ja, es geht ihr um „gefühlte Sicherheit“, also um ein gefährlich-trügerisches Gefühl von Schutz und möglichst blindes Vertrauen unter an sich vermeidbaren Bedingungen, die den Datenschutz objektiv herabsetzen und gefährden:

Zum besseren Schutz vor Hackerangriffen denkt die EU über eine Meldepflicht von Cyberattacken für Unternehmen nach. So sollen die Sicherheit und das Vertrauen der Menschen in die moderne Technologie gestärkt werden […] Die Menschen müssten darauf vertrauen, dass neue Technologien wie etwa das Cloud Computing sicher seien, sagte Kroes. Andernfalls würden sich das Auslagern von Daten und Diensten ins Internet nicht durchsetzen.

Ich weiß ja nicht, welche Interessengruppen der Frau Kroes mutmaßlich Geld oder sonstige geldwerte Zuwendungen zustecken und welche europäischen Entrechtungsmin… ähm… Innenminister ihr ins Ohr wispern, damit sie so eine dumme und gefährliche Agenda vertritt, aber was ich weiß, kann jeder in Sicherheitsfragen auch nur mittelmäßig geschulte Administrator bestätigen:

1. Komplexität ist das Gegenteil von Sicherheit
   Je einfacher (und damit einer Analyse zugänglicher) eine Datenhaltung und Datenverarbeitung technisch realisiert wird, je weniger Schichten unnötiger Komplexität hinzukommen, desto sicherer sind Datenhaltung und Datenspeicherung vor Manipulationen und desto geringer können Risiken für den Datenschutz gehalten werden. Die zusätzliche (und in vielen Fällen völlig unnötige) Komplexität einer Datenhaltung und Datenverarbeitung durch externe Internetdienstleister fügt dem Prozess der Datenverarbeitung eine Reihe zusätzlicher Angriffsflächen hinzu, ist also das genaue Gegenteil von Sicherheit.
2. Datensicherheit entsteht nicht durch ein „Gefühl“
   Datensicherheit kann nur dann gewährleistet werden, wenn der gesamte Prozess der Datenverarbeitung und die Speicherung der Daten analysierbar ist, so dass mögliche Schwachstellen darin erkannt und behoben werden können. Gefühlte Datensicherheit in Kombination mit einer Unklarheit über Prozess und Datenhaltung ist hochgefährlich und geradezu eine Garantie für erfolgreiche externe Angriffe. Das so genannte „Cloud Computung“, das man besser als verantwortungsloses und gefährliches Speichern- und Rechnenlassen bezeichnen sollte, führt für seine Nutzer zu einer zusätzlichen Unklarheit über die Vorgehensweise bei der Datenhaltung und über die Prozesse der Datenverarbeitung, die eine Analyse erschweren oder gar unmöglich machen. Das von Frau Kroes gewünschte „Gefühl“ und „Vertrauen“ ist ein ungenügender Ersatz für die Möglichkeit einer Analyse.
3. Das Internet selbst ist ein Risiko
   Rechner, die nicht mit dem Internet verbunden sind, können nicht aus dem Internet heraus angegriffen werden. Diese Aussage ist so einfach, dass sie jeder aufweckte Neunjährige verstehen kann. Der Verzicht auf so genanntes „Cloud Computing“ bedeutet auch, dass Rechner und Netzwerke mit betriebswichtigen Anwendungen ohne diesen zusätzlichen Angriffsvektor betrieben werden können, so dass ein eventueller Angreifer eine ungleich höhere Hürde zu überwinden hätte, um Zugang zu Rechnern und Datenbanken zu erhalten.
4. Für den Datenschutz ist es ein Desaster, egal, was gefühlt und vertraut wird
   Ich habe vor einigen Tagen ein paar Stündchen bei einem Menschen verbracht, der unter Windows 8 arbeitet. Seine (geschäftlichen) Termine verwaltet er mit der mitgelieferten Kalender-App, die aus Anwendersicht ungefähr den gleichen Funktionsumfang wie die calendar.exe von Windows 1.02 aus dem Jahre 1984 hat. Der größte Unterschied zum Microsoft-Produkt aus den Achtziger Jahren ist folgender: Die Daten werden „in der Cloud“ auf einem Server bei Microsoft zentral gespeichert, also auf einem Server, der nicht unter eigener Kontrolle steht und durch seine Funktion als zentraler Datenspeicher der Termine von Millionen Menschen für interessierte Angreifer (zum Beispiel aus der industriellen Spionage) ausgesprochen attraktiv ist. Eine Nutzung ohne dieses „Funktionsmerkmal“ ist gar nicht erst möglich gemacht, also vorsätzlich auf technischem Wege verhindert worden. Dies ist verbunden mit Nutzungsbedingungen, die Microsoft von jeder Haftung für eventuelle Fehler freistellen und die vorsätzlich so formuliert sind, dass sie von keinem Menschen gelesen werden und — sollten sie doch einmal gelesen werden — in ihrer Tragweite, Gültigkeit und eventuellen Ungültigkeit nicht erfasst werden können. Mit dieser Sammlung (und den weiteren zentral bei Microsoft anfallenden Informationen wie etwa Adressbüchern) lassen sich vollständige soziale Graphen der privaten und geschäftlichen sozialen Netze erstellen und eventuell für Angriffe auf Einzelpersonen oder gezielte Korrumptionen von Einzelpersonen nutzen, über die auf diesem Wege einiges bekannt werden kann. Selbst, wenn die US-amerikanische Unternehmung Microsoft selbst oder einer ihrer Mitarbeiter niemals das bei ihr angesammelte Wissen für kriminelle oder halbseidene Zwecke missbrauchen sollte (was niemand garantieren kann), ist bereits die bestehende Möglichkeit und die attraktive Beute bei einem Angriff auf Microsofts Serverfarm ein mit Leichtigkeit vermeidbares Risiko. Ich bin entsetzt über das Ausmaß blinden Vertrauens und „gefühlter Sicherheit“ bei normal gebildeten Menschen und wäre froh, wenn dieses durch etwas mehr Wissen um vermeidbare Datenschutzrisiken ersetzt werden würde, bevor es zum Schlimmstmöglichen kommt. Frau Neelie Kroes will die Entwicklung derartigen Wissens durch EU-staatliche Schlangenöl-Sicherheit unterbinden.
5. Ich habe die Nutzungsbedingungen gelesen und bin damit einverstanden…

Der Klick auf das Kontrollkästchen vor diesem Satz dürfte — und das keineswegs nur im privaten Umfeld — die häufigste Lüge im Internet sein. Niemand versteht, was sich privatwirtschaftliche Unternehmungen in ihrem Augenpulver an Privilegien herausnehmen, und bei den Unternehmungen gibt mal sich alle Mühe der juristisch auf weitgehende Unverständlichkeit optimierten Formulierungskunst, dass das auch so bleibt. Interessanterweise ist von dieser leicht zu machenden Beobachtung niemals die Rede, wenn Menschen aus der classe politique von den Vorzügen des so genannten „Cloud Computings“ an Stellen sprechen, an denen man bislang prächtig (und in jeder Hinsicht wesentlich sicherer) ohne auskam.

Dass Frau EU-Kommisarin Neelie Kroes, die übrigens als niederländische Ministerin durch ihre Beteiligung an der TCR-Affäre¹ schon belegt hat, dass sie mit genügend Geld im Hintergrund weitgehend korrumpierbar ist und dann gegen die Interessen des größten Teils der Bevölkerung der Wirtschaft zuarbeitet, angesichts der manifesten Nachteile und Risiken des so genannten „Cloud Computings“ für die nutzenden Menschen und Unternehmungen kaum noch gute Argumente für diesen teuren und gefährlichen Unfug hat, kann man an ihrer oben zitierten Arbeitsplatz-Argumentation sehen. Wie durch ein Wunder sollen also durch so genanntes „Cloud Computing“ zweieinhalb Millionen Arbeitsplätze entstehen, natürlich, wenn dies auch nicht direkt ausgesprochen wird, in Europa. Was die Beschäftigten in den so entstehenden, hinphantasierten Jobs wohl machen werden? Auf einer rosaroten Wolke als moderner Weihnachtsmann der Neelie Kroes sitzen und Datenpakete versenden?

Nur ein Vergleich für alle, die den zugegebenermaßen beißenden Spott im letzten Satz für unangemessen halten: Amazon als einer der — sowohl für das eigene Kerngeschäft des Handels als auch für die Vermietung von Serverparks und Cloud-Dienstleistungen — größten Cloud-Computing-Dienstleister der Welt hatte im Jahr 2009 weltweit insgesamt 33.700 Mitarbeiter. Zu den nur für die weitere Volksverblödung wertvollen Bullshit-Zahlen der Frau Kroes fehlen da zwei ganze Größenordnungen. Allein diese leicht zu machende Recherche entblößt das blinde Gelaber einer Frau Kroes als das, was es ist: Propaganda, die mit Tatsachen nichts zu tun hat.

Diese leicht zu machende Recherche, die Ermittlung der Mitarbeiterzahlen eines etablierten, großen Cloud-Anbieters, die mich nur dreißig Sekunden mit einer Websuchmaschine gekostet hat, wurde von den „Qualitätsjournalisten“ bei der Rheinischen Post nicht gemacht. Stattdessen hat sich dieses Stück deutschsprachiger Journaille zum Sprachrohr für volksverdummende und in ihren langfristigen Folgen möglicherweise gefährliche, mutmaßlich wirtschaftsfinanzierte „politische“ Propaganda gemacht.

Wenn Sachwissen nicht vorhanden ist und Fakten nicht recherchiert (und natürlich auch für Leser aufgeschlüsselt und bewertet) werden, dann verzichte ich gern auf diesen „Qualitätsjournalismus“, der an anderen Stellen, an denen ich mich zufällig weniger gut auskenne, sicherlich genau so schäbig sein wird.

¹Da diese Affäre außerhalb der Niederlande kaum beachtet wurde, kann ich leider nur die niederländische Wikipedia für einen kurzen Überblick verlinken.