 Schönen guten Abend, schönen guten Tag. Ich bin Marlis Schaum und wir haben wieder den digitalen Salon hier geöffnet. Eure Gastgeber sind wie immer der Radio Wissen und das Humboldt-Institut für Internet und Gesellschaft und es ist der letzte Live-Talk-Salon in diesem Jahr 2013 und deswegen haben wir uns gedacht, hauen wir noch mal richtig drauf, machen mal richtig großes Fass auf und fragen mal, ob wir uns vielleicht eigentlich mal von dieser schönen Idee verabschieden sollten, dass die Daten im Netz irgendwie sicher sein könnten, unsere Daten. Und da wandern wir auf diesen sprichwörtlichen Wölkchen, von denen wir gerade schon gehört haben. Wir stürzen uns dabei nämlich aufs Cloud Computing. Gestern haben wir bei der Radio Wissen noch gemeldet, dass laut einer aktuellen User-Umfrage immer mehr Deutsche sehr skeptisch sein, was Cloud Computing Services angeht und auch sowas wie hier soziale Netzwerke und so. Da will man sich seit NSA und Prism jetzt doch nicht mehr so ganz sicher, ob man das alles nutzen soll. Eine andere Umfrage hat allerdings ergeben, dass deutsche Unternehmen und die deutsche Wirtschaft im Allgemeinen sehr viel hält von Cloud Computing Services und dass sie das gerne nutzen und wollen und auch vertrauen darin haben. Haben wir uns gedacht, okay, ja was nun? Sind natürlich zwei Hände und Füße hier irgendwie. Einmal wir User, wir nutzen vielleicht Cloud Computing Services, natürlich auch vielleicht ohne uns dessen bewusst zu sein. Facebook basiert ja drauf, Twitter, Google, Dropbox, ich weiß nicht, wenn du Dropbox hat und Dokumente teilt, ist auch Cloud Computing dahinter. Andererseits können Unternehmen ja heutzutage in viel größerem Stil Sachen auslagern. Brauchen keine Server, keine Software mehr, keine Plattformen, können das alles irgendwo mieten in großen oder kleinen Umfang. Flexibel damit umgehen, Daten hin und her schieben und sind diese Daten dann eigentlich noch sicher? Haben wir uns gefragt. Und da ist der letzte Salon ist und wir auch nicht drauf waren, haben wir nicht nur zwei oder drei vier Gäste eingeladen, einfach direkt mal fünf und alles Männer, auch schön. Und ich habe dich schon so ein bisschen aufgeteilt in zwei Lager. Das eine Lager sind die, die mit Cloud Computing Kohle machen und das andere ist so Wissenschaft, Recht und Gesetz und Forschung und Kritik im Allgemeinen. Ich habe gedacht, das hilft uns vielleicht weiter, wenn es aufeinander losgeht. Und ich würde anfangen, euch vorzustellen, am besten mit denen, die Geld machen oder anderen, Klaus Lensen ist da. Jetzt muss ich mich aussetzen, mein Spickzettel rauszuholen, weil ihr seid so viel und ihr macht so viel, ist es echt schwer. Also Klaus Lensen arbeitet für Cisco Systems. Ich habe heute noch im Handelsquad gelesen, dass Internet ohne Cisco Systems wäre wie Autofahren ohne Reifen. Ihr stellt ungefähr alles vom Router bis zur Firewall zur Verfügung, was man braucht, um ordentliches Netzwerk zu betreiben. Das ist halt, glaube ich, auch Marktführer, wenn ich das richtig verstanden habe. Und unter anderem bieten sie auch Cloud Computing Software an. Ich habe auch gelesen im Handelsquad, dass das erste Quartal von Cisco Systems dieses Jahr wohl nicht so rund lief, also unter den Erwartungen lag auch, was die Zahlen anging, aber Cloud Computing, das sei bei euch ganz gut und so und hoffne. Reden wir nachher noch drüber. Abgesehen davon, dass man mit Cloud Computing Geld machen kann, was findest du daran besonders Vorteil? Cloud Computing, dass man halt Services zur Verfügung stellen kann, die man unter Umständen selber nicht produzieren kann, dass es sehr effektiv machbar ist und dass man das unter Umständen sehr resourcenschont aus der Sicht eines Unternehmens halt irgendwo anders einkaufen kann. Wir kommen auf all das ja auch noch zurück. Nikola ist auch einer von denen, die Geld machen, zumindest irgendwie Geld machen mit Cloud Computing. Nikolai Lungolius ist nämlich Geschäftsführer von Schnee von Morgen TV. Ich finde sowohl die Firma hat einen tollen Namen als auch Nikola. Und Nikolai sorgt dafür, dass neue Web TV Formate entstehen. Also er arbeitet sie, wenn Unternehmen das wollen und setzt sie auch mit um und das auf Basis von Cloud Computing Infrastruktur. Was würdest du sagen, ist aus Sicht eines Unternehmens der beste Vorteil, wenn man Cloud Computing Infrastruktur nutzt für das Unternehmen, dass du was nutzt? Was gewinnen die am meisten? Ich sitze heute hier zum ersten Mal auf der Seite der Bösen. Du bist nicht böse. Geld verdienen ist okay. Ja, die Vorteile für klassische Unternehmen sind nicht so schnell zu sagen. Ich glaube, die Vorteile für neue Unternehmen und Startups, die liegen auf der Hand. Zum Beispiel, das ist anders heute nicht mehr geht. Es gibt kein Berliner IT Startup, was nicht in der Cloud ist. Ich hätte gedacht, du sagst jetzt sowas wie Geld sparen. Ja, das gilt ja auch für die, der Witz ist für die Startups gilt, dass es anders heute nicht mehr geht. Die Sparmen nicht geht, sondern die existieren dadurch und Enterprise Unternehmen verbrennen eigentlich nur Geld in der Cloud bislang. Gut, kommen wir nach Hause auf zurück. Wir wechseln zur anderen Seite. Philipp Otto sitzt hier, er weiß ungefähr alles rund um Recht und Gesetz, wenn es um Cloud Computing geht. Würde ich jetzt mal behaupten, denn er betreut unter anderem ein tolles Projekt. Das heißt, Eye-Rides, nee, ich will mal Eye-Rides Info sagen, aber es ist die Eye-Rides Cloud, ne? So ist es richtig, oder? Genau, Eye-Rides Cloud, das ist aber ein Projekt von Eye-Rides Info. Genau, ich komme immer durcheinander dabei. Eye-Rides Cloud ist auf jeden Fall eine Info-Plattform, wo man sich alles, was ein zu Recht und Gesetz rund um Cloud interessiert, kann man sich bei euch abrufen, du weißt Bescheid. Wirst nachher noch gefragt sein. Alle von dem abgesehen, was ich mal da eben aufgezählt habe, so Facebook oder Twitter oder Dropbox, nutzt du selber irgendwelche Cloud-Systeme noch in deinem privaten Umfeld? Bewusst? Sehr, sehr viele nutze ich. Also das geht von Google Drive bis Dropbox bis Verschlüsselungssysteme, die in der Cloud liegen. Ich nutze aber auch ganz bewusst lauter unterschiedliche. Da kommen wir wahrscheinlich auch noch mal. Vielleicht. Sagst du doch ganz kurz, warum ganz viele unterschiedliche Bewusst? Na, das ist dieser ganze Bereich von Big Data und Verknüpfung und dem Superprofil dieser ganzen Diskussion. Und ich glaube, ein Punkt von Bewusstseinsbildung muss am Ende des Tages sein, dass man guckt, dass man die Risiken streut und das kann man machen, indem man dezentral agiert und auf verschiedenen Anbieter ausweicht. Risiken streuen und dezentral agieren, Leute. Das schreiben wir uns auf, für später. Sandro Geikensitz neben Philipp, Sandro ist Technik und Sicherheitsvorscher, finde ich hört sich auch gut an, am Institut auf Computer Science der FU in Berlin. Sandro interessiert sich für viel, unter anderem für Cyber War und Überwachung und Datensammeln, aber eben auch für Cloud Computing und die Sicherheitsaspekte vor allem. Nutzt du denn selber bewusst oder vermeidest du alles, was auf Cloud Computing basiert? Ich achte einfach überhaupt nicht drauf. Wahrscheinlich versehentlich nutze ich den einfach an den Klau. Hab ich dich auf die falsche Seite gesetzt? Nö, ich wechsle mal vielleicht. Okay, also kritischer Haltung, aber durchaus auch was Positives abgewinnen können. Okay. Frank, haben wir noch da, auf der anderen Seite. Unser Außenseiter, ein Anführungszeichen, weil du gar aus Außens ist. Frank Palas ist da. Er ist ganz viel auch, aber unter anderem, ich kann nicht alles aufzählen, ist er Professor für Informatik und Gesellschaft hier an der TU Berlin. Und das ist wichtig heute für uns Abend, denn er interessiert sich vor allem auch für technische und rechtliche Fragen rund ums Cloud Computing. Und ich auch die Frage, immer mittendrin in der Cloud oder eher weit davon entfernt? Mittendrin ständig in verschiedenen Dimensionen und diversen Forschungsprojekten. Manchmal auch schon zehn, zwölf Jahre voraus. Also das ist so die Dimensionen, die wir in den Forschungsprojekten denken, also gar nicht so das, was im Moment Cloud der Zukunft schon sagen nachher. Ich kann vielleicht Ideen davon vermitteln, worüber gerade so nachgedacht wird mit so einem hohen Freund. Wo hin gehen könnte. Super. Also Frank, Sandro, Philipp, Nikolaj, Klaus. Wer das am Ende aufsagen kann, kriegt eine Flasche Wein. Aber nicht im Internet nachgucken. So, wir legen mal los. Ich hätte gerne, weil wir uns ja vor allem für diesen Sicherheitsaspekt hier interessieren heute Abend und wie sicher Daten noch sind, hätte ich gerne von euch allen eine kurze Einschätzung auf der ganz normalen Losen-Skala, eins wie sehr gut bis sechs total durchgefallen. Wie sicher sind Daten, die wir in Cloud rein schieben, raus schieben, hin und her schieben? Was würdest du sagen, Frank? Eine Note, nur eine Note. Eins, sehr, sehr gut, sehr sicher. Anwalt werden in drei Sekunden. Es kommt drauf an. Du bist raus, Sandro. Es kommt drauf an, okay. Es gibt keine absoluten Sicherheit, ist relativ zum Angreifer, zum Interesse. Zwischen irgendwie, so zwischen zwei und drei oder? Na ja, eher so zwischen fünf und sechs, aber kommt drauf an. Philipp? Eine Fünf-Plus. Eine Fünf-Plus, oder? Unterlegt mit einer Untersuchung der Stiftung Warenfeste für einen Cloud-Anliegdeck. Hast du die gemacht oder was? Nee, die Stiftung Warenfeste. Was war mal gut und was war schlecht? Eins war gut. Eins ist sehr gut und sechs ist komplett durchgefallen. Okay. Nikolaj. Ich möchte mich der Fünf-Plus anschließen. Und Klaus? Eins Plus. Nein, ich denke, die Einschätzung ist wirklich auf den Einzelfall reinkommt. Das ist absolut richtig. Und man muss wirklich gucken, welche Daten man wohin schiebt und was will der Angreifer? Okay, dann sagt mir doch mal ganz kurz, wo liegen hier die größten Sicherheitsrisiken? Für so kleine Privaternutzer wie mich, die Facebook nutzen oder für die großen Firmen, die je mehr Daten sie reinschieben, auch je mehr Risiko haben. Ist es so einfach, je mehr Daten, desto größer das Risiko? Nee, es kommt nicht auf Solumen an. Welche Daten, privier Privater, desto schlimmer, wie immer? Naja, für Unternehmen gibt es natürlich irgendwo ein Level von unternehmenskritischen Daten, wo sehr weniger Dokumente ausreichen, um Schaden anzurichten. Und für Privatpersonen gilt es wahrscheinlich eher im Zusammenhang, den die Daten auslösen. Und an welcher Stelle ist das größer? Wenn die Daten übertragen werden vom Nutzer in die Cloud? Wenn sie in der Cloud sind oder wenn sie wieder rausgenommen werden? Wo sind hier die Risiken? Wie werden der aktuellen Affäre ja sehen, wird überall werden Daten abgezogen. Also es ist egal. NSA verschafft sich, was sie haben wollen. Das ist nicht pauschal, jetzt die NSA oder irgendein britischer Geheimnienz. Es kann die ja aller vergleicht, dass sich der oder der jetzt ganz bestimmt das nimmt. Aber grundsätzlich haben wir an allen Stellen Unsicherheitsfaktoren. Und wenn er ein Interesse besteht, dann kann an ganz, ganz vielen verschiedenen Stellen eingegriffen werden und die Daten verloren gehen. Also stimmt. Unsere große Frage, das ist alles eine Illusion, dass Daten sicher sein könnten im heutigen Cloudverkehr. Also ich würde mich erst mal anschließen, mit dem Aspekt, dass es an vielen, vielen verschiedenen Punkten was gibt. Ich würde aber trotzdem sagen, dass wahrscheinlich im Transfer, wenn es nicht irgendwie der internal Transfer, wir haben das ja alles gesehen, ist, ich glaube, der Transfer ist einigermaßen safe, wenn er nicht auf der SC4 basiert. Also von zuhause nach irgendwo hin. Weil er so gut verschlüsselt ist oder? Weil es eigentlich, sagen wir mal, also Raketenwissenschaft ist es nicht irgendwie so eine Transfer sicher zu machen. Das Handling auf dem anderen Ende ist, glaube ich, eher kritisch. Und da haben wir auch schon das eine oder andere gesehen. Und also wie die Anbieter der Cloud Systeme mit den Daten dann umfassend die die Lager, was damit passiert. Also da gab es ja Zwischenfälle oder was heißt Zwischenfälle. Aber da gab es dann Evidenz dafür, dass eine Dropbox und Word Dokumente halt aufmacht und da reingucken und solche Sachen. Also ich glaube, am ehesten im Handling beim beim Anbieter, da muss man wahrscheinlich am ehesten draufgucken. Weil jeder, der die Daten verwaltet, kann generell reingucken. Ist das so? Nein, so nicht, aber in vielen Services, so wie wir heute umgesetzt sind, ist das so, es gibt bestimmte Arten von Diensten, bei denen es auch gezwungenermaßen so sein muss. Und dann gibt es aber auch Dienste, die man von Beginn an so bauen kann, dass das nicht so ist. Wir sind denn hier die Guten, wer guckt nicht rein? Nennt doch mal ein paar. Es sind nur zwei, viel immer, die forschen und nicht die haben Geld verdienen. Aber das ist natürlich so ein Problem, das wissen wir ja nicht. Ja, also das große oder eines der strukturellen Probleme bei der Cloud ist ja, dass ich das sozusagen abgebe an jemand Drittes. Und ich muss dem dann mehr oder weniger vertrauen, dass der das macht, was er sagt. Ich muss dann auch darauf vertrauen, dass der weiß, was er macht, was er sagt, dass er das richtig konfigurieren kann und so weiter. Bei den größeren Jungs mache ich mir da weniger Sorgen, aber weil so mittler und klein weiß man das schon wieder nicht so genau, ob die das alles auch können, wie sie es versprechen. Und das ist einfach so eine Hürde. Ja, da ist so ein bisschen intransparent. Ich gebe das ab, ich kann das nicht selber kontrollieren. Das ist einerseits gut, weil im Zweifelsfall bin ich schlechter drinnen, Sicherheitsentscheidungen zu treffen. Hab auch gleich das Geld, wie Cisco jetzt nur so ein Ding zu sichern. Aber dann weiß ich halt eben nicht, ob da die NSA irgendwelche Verträge mit denen hat oder der das ist natürlich nicht. Ich wollte jetzt nicht unterstellen. Ja, aber man weiß halt eben nicht, wer da und da ist. Und dann ist es natürlich auch so, dass so eine schönetige Cloud mit so schönen saftigen Daten auch ein schönes dickes Ziel ist für viele Angreifer, insbesondere dann für Nachrichtendienste, die halt massenhaft gerne Sachen und das ist dann natürlich aus so einer Economy of Scale sozusagen attraktiv, einfach eine Cloud anzugreifen. Guck mal, jetzt hat Nicola eben gesagt, Startups können schon nicht mehr ohne Cloud Computing basierte Infrastruktur. Und wir nutzen das alles, weil wir gerne bei Twitter sein wollen oder meine Drehend die Dropbox nutzen wollen. Wie kann man sich denn persönlich jetzt als wir kleine User absichern, dass ich möglichst sicher sein kann? Also gibt es was, worauf man achten kann? Es muss doch irgendwann... Ohne Interessant sein, das ist immer noch das Beste. Vielen Dank. Vielleicht erst mal von mir. Ich glaube, diese Gegenüberstellung von der alten Welt gegen die neue Welt macht ja an vielen Stellen überhaupt keinen Sinn. Oh, ich wollte gar gar keine Welten gegenüberstellen. Da haben Sie mich... Nein, es gibt sozusagen das neue Cloud Computing. Wenn es was Neues gibt, gibt es ja auch was Altes. Aber ein altes Facebook ist ja extrem langweilig. Das Lokal auf meinem Computer funktioniert. Ja, das nannte sich Tagebuch früher und dann was auf Papier. Aber sozusagen dieses digitale Tagebuch macht ja erst in diesem sozialen Kontext Sinn. Das heißt, es gibt es ja überhaupt erst in der Cloud. Und so gibt es diese beiden Arten von Sicherheit. Die erste Frage ist, wer kann meine Daten lesen? Und die zweite Frage ist, sind meine Daten morgen überhaupt noch da? Und was Cloud Computing angeht, haben wir uns gerade auf so eine mittelschwere 5G geeinigt. Und das ist, glaube ich, auch eine faire Aussage, weil wir heute über die Zustände auch eine ganze Menge wissen. Was halt klar sein muss, ist, dass die alte Welt im Gegensatz dazu eine glatte 6 ist. Also das heißt sozusagen, ich glaube, das war eben die Verwirrung, dass wir alle hier so einen Stottern kamen und was verteidigen sollten, was dagegen einfach dreck ist. Also wir haben heute viele Probleme, aber die Probleme, die wir davor hatten, war eine Katastrophe. Also du meinst, wir müssen aufhören zu greinen und mit dem arbeiten, was wir eben haben? Ich glaube, wir sollten im Pörd sein über all die Probleme, die wir haben und das angehen, ja. Und wie angehen? Ich wollte nur gerade mal reingreifen. Die Welt von vorher war jetzt nicht unbedingt in der Glatte 6. Ja, jedes einzelne System war eine Glatte 6 im Vergleich zu einer schön gewarteten Cloud, aber für einen Angreifer wie Nachrichtendienst, zum Beispiel, der halt Masthaftdaten absammeln will, ist extrem schmerzhaft, in 10.000 Einzelrechner einzubrechen mit unterschiedlichen Konfigurationen und so weiter und so fort, als in einer einzelnen Cloud. Der eine einzelne Cloud ist für den Nachmittagarbeit, für die Cracks, die die da haben. Und 10.000 Einzelsysteme, das machen die einfach schon nicht. Das skaliert nicht mehr. Von daher so sehr viele unsichere Systeme. Ist dann im Zweifelsfall manchmal doch sicherer. Kommt drauf an auf die Intention, die der Anwalt hat. Sicher, es hat sehr große Wort. Hinblick auf die Geheimdienste, stimmt das total. Anderer Hinblick ist, meine Datensicherung war früher auf gebrannten CDs. Die davon hat keiner bis heute überlebt. Ich bin tot traurig, dass all meine Daten weg sind. Aber keiner konnte reinspähen, weil du sie nicht rausgegeben hast. Ja, unter heute könnte ich sie der NSA übertragen und sie könnten nicht reingucken. Die sind nämlich zerfressen. Also dein Video geht in Richtung, man muss damit arbeiten, weil das geht nicht mehr anders. Aber sagt, also das... Der Deutsche will müssen, ne? Was ist das denn? Der Deutsche will müssen. So siehst du das. Klaus, du verdienst nicht du persönlich unter anderem, aber deine Firma verdient Geld damit, dass sie unter anderem diese Cloud Computing Software verkauft. Es ist, wie das Handelsblatt eben heute schrieb, einer eurer besten Stützpfeiler momentan. So schrieben die das, ist das übertrieben oder wird das echt so gut nachgefragt? Nein, das ist schon ein Trend, der deutlich zu sehen ist. Und die Frage, die man sich ja verstellen muss, woher kommt das? Und ich glaube, das Beispiel von dir war sehr, sehr gut. Von Nikolaj. Von Nikolaj. Danke. Dass das neue Start-up-Unternehmen einfach gar nicht mehr ohne bestimmte Services oder auf bestimmte Services zurückzugreifen, einfach ihr Geschäft starten können. Weil man kann, wir haben eine so arbeitsteilige Welt, dass das nur noch durch Standardisierung zu schaffen ist. Wir als Produktentwickler im Internetbereich sind ja auch durch die ständigen Anfragen unserer Kunden nach Standardisierung von Betriebsabläufen, um die weiter zu optimieren. Die wollen nicht eine Vielzahl von Geräten haben, sondern die möchte gerne eine Plattform haben, die möglichst effizient zu managen ist. Und das ist dann auch wieder eine Basis, wo Frank dann anfängt zu forschen, um die Standardisierung der Cloud der Zukunft jetzt schon sicherzustellen, dass demnächst die Produkte halt genau dieses können. Weiter effizienter und zusammenschrumpfender und effektiver für den einzelnen Benutzer zu sein. Bevor wir zu der Zukunftswolke kommen, Nikolaj, vielleicht kannst du uns dann einmal klarmachen, wenn du sagst, man muss damit arbeiten, das geht nicht mehr anders. Warum ein Start-up heutzutage Cloud Computing Services braucht? Zum Beispiel wenn du ein Web-TV für irgendwelchen Kunden fiktiv wegen irgendeinem Web-Format jetzt entwickelst. Warum braucht ihr das? Der Umgang mit Filmen im Internet ist relativ aufwendig. Filme von einem Format in ein anderes zu wandeln ist aufwendig. Filme neigen dazu sehr groß zu sein in Daten. Wir müssen die Speichern. Wir speichern Peterbeit von Daten. Das ist sehr viel in Festplatten. Und wir wollen viele Zuschauer haben und haben jetzt Millionen von Zuschauer. Und die gucken alle dann auch noch gleichzeitig Filme. Das heißt, wir brauchen sehr viele Datenleitungen. Und die crux ist, dass wir die nicht immer brauchen. Das heißt, wenn man... Also essen sie es teuer und seitens braucht ihr sie nicht immer? Nee, das Problem ist das Computer, die sich langweilen, unglaublich teuer sind. Computer, die was tun, kosten sehr wenig Geld. Computer, die sich langweilen, sind sehr teuer, weil die verbrauchen den gleichen Strom. Die haben die gleichen Anschaffungskosten. Und das heißt, wir haben Momente, wo wir deutlich mehr als 1.000 Server gleichzeitig betreiben. Und die können wir binnen Minuten hochfahren. Und die brauchen wir dann für eine Stunde. Und dann legen wir die wieder schlafen. Und das kostet sowas wie 15 Dollar oder so in der großen Ordnung. Und ich habe mal einen Serverraum. Da war ich mal verantwortlich dafür, dass ein Serverraum gebaut wurde mit 80 Servern. Und ich kann sagen, dass alleine die Konfiguration der Klimaanlage mir Alptroller beschert hat, über ein halbes Jahr. Und jetzt kann ich 1.000 Server mit dem Mausklick starten. Aber wo hast du die, deine Server? Beschreib doch mal, wo sind die? Das ist mir sowas von wurscht. Ich frage aus Neugierde. Also, wo hast du dir die gekauft, gemietet? Die günstigsten mieten wir uns im Moment an der US-Ostküste. In drei Rechenzentren, die da rumstehen. Aber es ist auch wirklich wurscht. Wir haben auch welche in Deutschland. Wir haben welche in Irland. Und wir können die innerhalb von ungefähr 2 Minuten über die Kontinente transferieren. Also, wenn du merkst, die Kapazität reicht nicht mehr, kaufst du halt ein bisschen mehr dazu, mietest dazu quasi. Genau, nur, dass ich das nicht merke, sondern ein Computer. Und das braucht man heutzutage, sagst du so? Nö, man kann ja auch andere Sachen machen, aber wir machen halt Fernsehen, das ist ganz gut. Und andere Startups, du hast eben gesagt, die Startups generell, die vor allem auch in Berlin ja aus dem Boden schießen, dauern die ganze Zeit. Es gibt ja auch Strick-Startups, die brauchen kein Cloud-Computing. Aber gerade in Berlin gibt es natürlich eine Menge Internet. Alle mit Internet und Technologie, mein ich, ist das schon. Und das Problem, wenn man eine neue Idee hat, ist ja, man weiß nicht, wie erfolgreich sie wird, man weiß nicht, wie groß sie wird. Das ist ja ein ganz klassisches Problem. Und da wir alle hoffentlich Optimisten sind, gehe ich natürlich auch davon aus, dass das Ding durch die Decke geht. Also fange ich an, technische Infrastruktur auf der Basis zu kalkulieren, von das Ding geht durch die Decke. Und turns out, die kann ich mir nicht leisten. Es ist ja ganz einfach, wenn ich einen neuen Fernsehsender gründe und ich sage, ich werde so groß wie Bertelsmann, und ich rechne das Ding in Satellitenschüsseln und was weiß ich nicht, was Bertelsmann alles hat, dann kann ich das nicht bezahlen. Und das hat einen ganz einfachen Grund. Und wenn ich aber mir IT-Infrastruktur Stück für Stück nachkaufen muss, dann ist das eine Katastrophe. Weil, wie gesagt, der, der den Server-Rom mal gebaut hat für 80 Server, weiß, was ein Problem das ist, wenn der 81. kommt und er mit den Klimatechnikern telefonieren muss, wie in meinem Fall, was einfach Weltuntergang bedeutet. Das heißt, für Start-ups heute ist Skalierbarkeit das A und O. Also wachsen können ohne Ende. Und vor allem ja, wachsen können ist immer das eine, und schrumpfen können. Schrumpfen können ist viel wichtiger in Wahrheit. Billig schrumpfen können ist für ein Start-up, was eine Krise durchstehen soll, viel wichtiger als wachsen zu können. Jetzt sagt Nikolaj, es geht nicht ohne, seht ihr das genauso. Es gibt keine Alternative momentan zu Cloud. Ist das so? Also in dem Kontext Start-ups, irgendwie kleine Unternehmen. Also gerade, dass das so in Berlin Mitte passiert, sehe ich das auch so. Die Welt ist ja größer als Berlin, nichts gegen Berlin? Ja, also ich sage, niemand wird behaupten, dass die traditionellen Größen Köln nicht, nein, und halt schnellen Branchen und auch, sagen wir mal, die etablierten Anbieter im IT-Bereich, dass die nicht ohne Cloud könnten. Für die kann das in bestimmten Kontexten ein sinnvoller Mechanismus sein. Aber ich bin da vollkommen, weil die gerade so ein junges Start-up, und man stellt sich das mal vor, die haben eine tolle Idee. Und jetzt passiert was ganz Großartiges, was aber ohne Cloud Computing das Schlimmste der Welt wäre. Man kommt in der Tagesschau. Und dann sitzen die Leute auf dem Sofa und, aha, aha, und reichen die regional nachhin schon, um im traditionellen Modell einfach das, was so ein kleines Start-up sich an IT da üblicherweise hinstellt, irgendwie in die Knie zu zwingen. Dann bricht das System zusammen. Keiner kann mehr Schneepen morgens TV gucken, wenn du das anders aufgezogen hättest. Genau. Und gerade für so kleine Unternehmen ist es eine Möglichkeit, mit solchen Spitzen, kurzzeitigen Spitzen umzugehen. Es gibt auch Unternehmen, bei denen es ganz, ganz klare Verläufe über so ein, also über einen Tag, also es gibt Unternehmen, die werden üblicherweise auf dem Montagmorgen mit der vierfachen Last von Freitagmorgen beschossen. Und das wiederkehrend. Wenn man das sogar noch planen kann, dann kann man es irgendwie im Vorhinein sagen, okay, jetzt ist es wieder zu erwarten, jetzt kaufen wir ein bisschen was dazu, oder mieten ein bisschen was dazu, skalieren das hoch, sind dann ready, und wissen aber auch so ab zwölf, können wir langsam wieder runter. Und das, also um solche Anfragen zu bedienen, das, was man sich selbst in den Keller stellen müsste, dann passiert Innovation im Zweifel nicht. Gut. Ich glaube, ein wesentlicher Punkt, der hier auch eine Rolle spielt, und der das auch untermauert, dass Start-ups kaum mehr ohne können, ist die internationale Ausrichtung. Ich glaube, fast alle Start-ups haben irgendwo Leute sitzen, mit denen sie in Konferenzen den ganzen Tag übersprechen, wo sie mit Kunden sprechen, et cetera. Und ich glaube, allein dieser ganzen Datenverkehr, das Dokumente teilen, die Videotelefonie, et cetera, pp, das ohne Cloud zu denken ist, glaube ich, nahezu undenkbar anzuspielen. Aber man sollte das mal ein bisschen wegholen, nur von den Start-ups. Wir haben in Deutschland 3,2 Millionen Mittelständler, der erwiesenermaßen das Rückhalt der Wirtschaft darstellen. Und wenn jeder Malermeister, der eine Webseite braucht, oder ein E-Mail-Postfach braucht, damit er erreichbar ist, sich ein Server in den Keller stellen müsste, wenn es nur ein kleiner WC ist, das wird einfach nicht funktionieren, weil der gute Mann ist Maler. Er beschäftigte sich nicht mit dem Computer und dem E-Mail-Server aufsetzend im Keller, sondern er kaufte diesen Dienst ein und dafür gibt es Dienstgeister aus der Cloud. Und wenn man sich überlegt, als ich vor 25 Jahren das erste Mal mit der IT in Wurrung gekommen bin, da gab es Modems, 1275 Boot und die Cloud, die dahinter hieß, einfach BTX, das war die erste Cloud. Das war alles in einem Rechenzentrum von der Post damals und dort haben die ersten Einzelhändler und Shops angefangen, ihre Waren anzubieten. Es hat sich definitiv weiterentwickelt. Da, wo du gerade den Malermeister erwähnt hast, ich habe gelesen, dass das Bundeswirtschaftsministerium seit 2011 bis 2014 ordentlich erforschen lässt, welche technischen und rechtlichen Lösungen man so finden könnte, damit die Clouds noch sicherer werden, damit das Cloud Computing noch sicherer wird. Welche Möglichkeiten gibt es denn da? Wenn ihr schon eben gesagt habt, wir brauchen es, es ist da, viele brauchen es, es wird weitergehen, aber Sicherheit eher so fünf plus bis vier. Also ich meine, welche Möglichkeiten gibt es, um Cloud Computing sicherer zu machen, technisch und rechtlich? Ich glaube, einer der ganz, ganz wesentlichen Punkte, wenn man jetzt den Layer über alles drüberzieht, ist die Frage vom Einsatz von Open Source Software ja oder nein. Ich glaube, wenn man in diesen Bereich reingeht und investiert und auch dritten den Code zur Überprüfung zulässt, ob da Fehler drin sind, ob da möglicherweise ein Geheimdienst drin sitzt, ich glaube, das ist die größte Form von Sicherheit für ein Gesamtsystem. Natürlich hat jeder Endverbraucher auch noch viele Möglichkeiten, ein Maximum oder ein mögliches Maximum an Sicherheitsmaßnahmen zu treffen, indem er verschlüsselt, indem er es fängt zu Hause an mit der Festplatte und mit E-Mails etc. und ich glaube, in Zukunft werden wir auch Systeme haben, die nicht mehr so kompliziert sind wie heute. Heute ist es noch zu kompliziert für die allermeisten Endverbraucher, aber in Zukunft werden wir da ein komplett anderes gesellschaftliches Verständnis davon haben, weil die Awareness wird da wachsen an dem Punkt. Es gibt ja immer wieder, du kennst dich ja aus mit den Rechten, mit den Gesetzen rund um Cloud Computing. Es wird ja immer wieder gesagt, ja, die Amis sind da viel laxer, die Europäer sind da viel strenger. Wie sind denn die Deutschen, welche rechtlichen Vorgaben geht es denn, wenn man bei uns ein Cloud Computing Service, eine Infrastruktur anbieten möchte, in Deutschland oder in Europa wird die betrieben, welche rechtlichen Vorgaben gibt es, um das zu leisten, bevor wir das anbieten dürfen. Sie müssen in erster Linie deutsche oder europäische Datenschutzstandards beispielsweise einhalten und das sind ganz wesentliche Punkte, die eben Server, die irgendwo sonst stehen, an der Ostküste zum Beispiel, wo das nicht gesetzt ist, was das am Ende des Tages heißt oder ob nicht zwischen Lasten auch woanders liegen, diese Überbrüffbarkeit hat man in den seltensten Fällen. Es fehlt der Schritt, genau hier auch zu kontrollieren, wird das denn tatsächlich eingehalten und ich glaube, das ist auch ein Punkt, wo Sysco vielleicht auch noch mal möglicherweise was dazu sagen könnte oder du was dazu sagen könntest, wie ihr das garantieren könnt, an diesem Punkt, das beispielsweise, wenn ihr auf die Wärmung drauf schreibt, die Servers stehen in Deutschland, ich weiß nicht, ob er das tut, aber es bietet sich ja gerade an und wahrscheinlich erklärt das auch so ein Quartalsgewinn, wie wird das sichergestellt und wie wird das auch dritten zur Überbrüfung breitgestellt, weil das ist ja der entscheidende Punkt. Klaus. Also das Thema sich beantworte den Punkt gerne. Die spannende Frage ist immer, was definiere ich denn als sicher, was ist für mich selber sicher und da muss ich eigentlich wissen, mit welchen Daten ich an der Stelle hantiere und die irgendwo ablege. Beim Streaming von Video, da kommt es wahrscheinlich darauf an, entsprechende Bandparte zu haben und genügend Streaming Endpoints zu haben, die bedient werden können gleichzeitig. Wenn ich aber irgendein Forschungsdokument aus meiner R&D-Abteilung habe, das irgendwo liegt, dann würde ich mir das fünfmal überlegen, ob ich das in die Cloud lege oder nicht besser auf einem separaten Server, der vielleicht gar keine Netzverbindung hat. Also man muss immer erst mal klären, was ist denn für mich Sicherheit oder das kann man so pauschal gar nicht beantworten. Also du meinst, das muss der User selber entscheiden? Natürlich, der User muss... ...sich bewusst sein, dass nicht alles da besonders gut aufgehoben ist? Exakt, genau. Was wir als Hersteller in der Stelle tun können, ist, wir können bestimmte Sicherheitsfunktionen, die unsere Produkte, jetzt ein Router oder ein Switch oder ein Firewall, leistet, die können wir überprüfen lassen. Und dafür gibt es etablierte Verfahren, eines der wesentlichen Prüfverfahren, das weltweit eingesetzt wird, ist halt Common Criteria. Und wir sind einer der größten Investoren in Common Criteria-Zertifizierungen weltweit. Das machen wir über den Globus verteilt und das Interessante dabei ist, dass Common Criteria halt ein Framework vorgibt, nachdem also ein Rahmenwerk vorgibt, wie geprüft werden muss und dass die individuellen Punkte, die Checklisten, die während des Prüferfahrens abgearbeitet werden, also die Sicherheits-Eigenschaften des Produktes beschreiben, individuell für die jeweilige Prüfung festgelegt werden. Und das ist eine Überprüfung, die durch unabhängige Dritte erfolgt. Und das kann ich einsehen bei euch? Als Interessierter. Das Ergebnis, also A, gibt es ein Zertifikat, das von der staatlichen Stelle, die dieses Verfahren, das ist weltweit 27 Nationen, die sich diesen Verfahren angeschlossen haben. In Deutschland hat das Innenministerium, stellvertretend für das Innenministerium, das BSI, diesen Memorandum of Understanding zur Teilnahme an diesem Common Criteria-Verfahren unterschrieben. Und wenn wir in USA-Berschlussweise ein Router und dort die VPN-Funktion prüfen lassen, dann kann man das Prüfzertifikat und den Prüfreport anschließend einsehen. Und wie oft prüft ihr? Ist das vorgeschrieben? Nein, das ist nicht vorgeschrieben, aber wir haben natürlich ein hohes Interesse daran, dass wir durch unabhängige Prüfungen, dass das Vertrauen in unsere Produkte hochhalten. Darum investieren wir sehr viel Geld in dieses Verfahren. Die junge Dame, die da eben so laut geklatscht hat, warum musstest du da so klatschen oder lachen? Oder ich weiß nicht was, als er gesagt hat, es wäre so schwierig, das zu überprüfen? Sagst du mir das? Wie sicher das ist? Eigentlich habe ich nicht klatscht, als er gesagt hat, es sei so schwierig zu überprüfen. Das kann man auch beklatschen, weil natürlich der Verkehr grundsätzlich im Internet ja nicht verschlüsselt übertragen wird. Aber mich hat eigentlich eher der Transparenzaspekt interessiert. Deshalb habe ich geklatscht, weil ich mich da auf Antworten freue und vor allem auf die große Transparenzauffensive. Welch von wem erwartest du mehr Transparenz? Eigentlich von allen Seiten, die beteiligt sind. Also von Betreibern von Cloud Services, aber auch von Unternehmen, die Cloud Services benutzen und darüber ausgeben, welche Dienste sie verwenden und was sie vielleicht auch von den Diensten anbietern verlangen oder worauf sie wertlegen. Hast du denn schon mal versucht, mehr Transparenz für dich selber reinzukriegen in was, was du benutzt, ein Cloud Computing Service oder so hast du mal versucht, hinter die Kulissen zu klicken? Bei einem Service an sich nicht, aber grundsätzlich natürlich dabei wie, sozusagen grundsätzlich wissen darüber zu erlangen, dass es Serverstandorte gibt und wie Unternehmen versuchen, sich zusätzlich zu verteilen und auch in möglichen Alternativen, was Friedrich Eingangs angesprochen hat, auch das interessiert mich, wie können dezentrale Infrastrukturen aussehen, ist das überhaupt möglich? Also da habe ich schon versucht, mir die Sachen anzugucken, aber es ist ja eben an der Stelle auch eben nicht die große PR-Offensive von Unternehmen zu sagen, unsere Servers stehen hier und hier und hier, sondern eben nur ganz allgemein. Wir haben Server in Europa, möglicherweise zu informieren über das, was dahinter liegt, nämlich wie die Daten zwischen den Servern übertragen werden. Also was nützt es mir, wenn meine Daten auf dem Server in Deutschland liegen, wenn ich sie aber von einem anderen Ort aus abrufen möchte, einmal durch die ganze Welt transportiert werden, um dann auf einem Server zu danken, der ebenfalls in Deutschland wieder steht, aber dabei ein Weg durch die ganze Welt genommen zu haben. Wo jeder vielleicht mal reingucken könnte, der Leute. Vielen Dank. Also diese Transparenz, nein, 100%ig. Die Transparenz? Ja, also ich glaube, das ist sogar eine der Kern, also der Kernherausforderungen, auch irgendwie einer der Kernwidersprüche, mit denen wir es jetzt schon zu tun haben und in Zukunft erst recht haben werden. Weil wir zum einen, haben wir ja vorhin schon gesagt, wir wollen ja irgendwie Cloud Computing nutzen, weil das irgendwie auch immer heißt, andere arbeiten lassen und ich bin eben Maler und ich kann malern und ich kann verdammt noch mal nicht irgendeinen Server administrieren. Das muss alles gar nicht wissen. Das muss funktionieren. Genauso wie für viele Menschen einfach ein Auto funktionieren muss, ohne dass man da jetzt unbedingt eine Umlenkrolle vom Kairi mehr verstehen muss. Auf der anderen Seite gibt es dann aber immer wieder Situationen, an denen man dann doch irgendwie aus unterschiedlichsten Gründen das Entweder es wissen will oder es wissen wollen muss, also wenn man sich entscheidet, welchen Service man nutzen möchte. Also rechtliche Fragen. Da gibt es ganz, ganz viele Konstellationen, in denen man das irgendwie als Cloud nutzendes Unternehmen dann auch irgendwie wissen muss, weil seine Kunden wieder ein Auskunftsrecht haben. Jetzt machen wir in Forschungsprojekten ganz viel solche Fragen. Dass Witzungen so ein Kernkonflikt werden und das fängt schon damit an, dass ich kaum einer weiß, wo denn eigentlich die Daten liegen, die ich jetzt so in ein Dropbox schubse. Also ich meine, hier im Kreis wissen wir das wahrscheinlich. Aber ich glaube, da draußen denken ganz viele Leute, da gibt es für immer Dropbox, die hat ja ein großes Rechenzentrum mit 50.000 Millionen Festplatten. Diese Leute gibt es nicht nur da draußen, ich bin eine von ihnen. Was kann ich mit Transparenz anfangen? Wir haben bei uns im Bereich Hochsicherheit häufig das Problem, dann wollen Leute auch Transparenz darüber, Transparenz für Territorialität ist sicherlich wichtig. Also ob Server in den USA steht oder nicht, haben wir gemerkt, ist wichtig, weil einfach die Territorialität ausschlaggebend ist dafür, wer rechtlich mit welchen Mitteln da was tun darf. Das heißt, wenn dein Server in den USA steht, dann können die Amerikaner wissen, was ich mir ansehe oder nicht, ob das dann strategisch relevant ist oder nicht, sei mal dahin gestellt. Aber es ist auf jeden Fall eine andere Situation, als wenn der halt in Deutschland steht. Das ist also eine wichtige Geschichte, dass die technischen Details ihrer Sicherheitskonfigurationen offenlegen müssen, ihren Quellcode. Denn dafür stehe ich als Laie überhaupt nichts davon. Die Erfahrungen haben wir ganz oft gemacht, dann haben irgendwelche Generäle die die Spezifikationen angefordert. Stand da vor so einem dicken 300 Seiten buchvolle technische Daten, konnten echt überhaupt gar nichts damit anfangen. Haben das dann schnell verschwinden lassen, damit keiner nachfragt, ob was dann jetzt damit wäre. Hab aber beim Zweifelsfall dann das Problem, wenn ich das Offen lege, die ich selber vielleicht gar nicht so kenne und wenn ich das dann entsprechend breit streue, ist das wieder ein Problem. Mit Transparenz muss man gucken und dann wollte ich noch zu Open Source Geschichten sagen, das ist so, ich weiß nicht, ob das so ein relevanter Sicherheitsvorsprung ist in einigen Bereichen. Die Diskussion gibt es immer so klar, Open Source hat weniger Verwundbarkeiten in der Basis. Das ist auf jeden Fall ein Gewinn. Aber zum Beispiel für die Nachrichtendienste also für Commercial of the Shelf haben die pro Produkt 1000 Exploits auf dem Regal immer pro Open Source, haben die immer noch 500 Exploits auf dem Regal, das reicht immer noch aus, um da reinzukommen. Für Kriminelle ist es dann schon ein Angriff, ein fertig gewassener Angriff. Für Kriminelle ist es dann schon relevanter, die haben dann größere Schwierigkeiten da einzusteigen, aber Kriminelle kriegen auch langsam Schwierigkeiten mit gut entwickelten kommerziellen Produkten. Microsoft zum Beispiel mit seinem Software-Entwickel, die haben also so ein Vier-Augen-Prinzip, wenn sie Software entwickeln und sind dadurch in der Lage ganz viele von diesen Standard-Verwundbarkeiten, die also vom Bodensatz der Klein-Kriminellen immer gerne ausgebeutet werden, die haben sie einfach rausgekämmt und dadurch fällt so dieser unterste Satz Angreifer weg. Von daher kann also auch, wenn ich jetzt ein Geschäft habe, das sozusagen nicht für ein Nachrichtendienst ist, sondern interessant ist, dass man auch eine gute kommerzielle Security und dann muss ich nicht irgendwelche hohen Spezifikationen Transparenzoge und so weiter haben und das ist aber eben genau der Punkt, wo es eben darauf ankommt. Was lege ich da rein? Das ist ganz wichtig, für wen ist das interessant? Was bringt der für Ressourcen mit, für Interessen mit? Wo kommt der überall durch? Und da zum Beispiel bei Forschung und Entwicklung, das gehört einfach nicht in die Cloud. Das hat da nichts zu verloren. Kundendaten mit Kreditkarten und so weiter ist auch schon so grenzwertig. Ich bin mir sehr sicher, dass die hier sehr sicher ist. Das ist eben der Punkt, den man so... Es sind unglaublich viele Punkte, die man ja beachten muss. Ich würde mal ganz kurz ein bisschen noch zusammenfassen. Also wir haben uns schon darauf geeinigt, dass Cloud Computing-Systeme einfach da sind, die Infrastruktur, sie wird genutzt. Die wird gerne auch von kleineren Startups genutzt oder von uns als Privatpersonen. Jeder ist ein bisschen selbstverantwortlich, was er in seine Cloud reinschubst, weil man sich einfach bewusst sein muss. Total sicher ist es nicht, wie so vieles im Leben und ich habe jetzt aber immer noch von euch keine Antwort darauf. Ob wir es denn sicherer machen können und ob wir es überhaupt wollen? Ja, können wir. Können wir. Ha! Nikola! Vielleicht, wenn ich den Einsatz noch vorne wegsagen darf, ich halte diese deutsche Datenpakete für deutsche Bürgerartiteute total für eine Katastrophe. Das ist irgendwie so ein... Weil, was ich eben angesprochen habe, dass man sagt, in Deutschland gibt es strengere Datenschutzgesetze, daran müssen sich Firmen behalten. Das gibt es und wir können auch eine Debatte darüber führen, wie man das sicher machen kann. Genau. Mit Empörung. Ich glaube, dass das Hauptproblem in dieser gesamten Datendebatte gerade darin liegt, dass die Bürger einfach nicht verstehen, was da vor sich geht. Weil man es eben nicht einsehen kann, richtig? Das halte ich verquatscht. Die Informationslage ist ja da. Dieses Mauden-Powerpoint-Präsentationen waren an Klarheit ja nicht zu überbieten. Und das hat sich niemand erschrocken, sondern all das war so. Das war so. Das hat sich niemand erschrocken, sondern all das, was man an jeder Ecke gehört hat, ist, ich habe nichts zu verbergen. Und das bedeutet, dass die Menschen nicht verstanden haben, was für eine neue Bedrohung durch die Verknüpfung vom Metadaten und die Automatisierung da entsteht. Weil wenn man was konstruieren will, dann kriegt man das auch in egal wie viel oder wie wenig jemand zu verbergen ist. Wir haben es erst verstanden, als klar war, dass am Pariser Platz nicht weit von hier ein Agent hinter einer Mikrowellen-Antenne sitzt, die ja auf Angela Merkel richtet. Das war nämlich das Leben der anderen. Das kennt man. Der hatte ein Kopfhörer auf, und der hat das auf ihr Telefon gerichtet. Aber alle Informationen, die wir davor hatten, waren viel größere Katastrophe. Das heißt, wir empören uns dann, wenn es um eine persönliche Information geht. Aber wir empören uns nicht, wenn es systematisch wird. Aber wenn wir uns jetzt noch nicht empört haben, was macht dich dann hoffen, dass wir uns in Zukunft empören werden? Und wenn das das einzige Mittel ist, dass wir dann irgendwann mal zu mehr Sicherheit kommen? Ich glaube, dass die Menschen ein sehr gutes Gefühl für die Grenze haben, wo es überschwappt. Aber bis jetzt scheint es noch okay zu sein. Bei dieser Verschlüsselungsbeispiele, du schreibst es doch nicht auf Postkarten. Ich schreib total viele Postkarten. Ich glaube, dass wir sehr gut differenzieren können, was auf einer Postkarte gehört und was nicht. Es gibt auch Sachen auf einer Postkarte drauf, die schreib ich drauf. Selbstverständlich ist es vollkommen okay, wenn der Briefträger die mir einwirft und der guckt dabei auf die Postkarte oder was auch immer. Schreibst du auch manchmal nur was für den Briefträger drauf? Ich mach das manchmal. Aber es gibt natürlich dann diesen Moment, wo dann gibt es ein Dialog mit dem Briefträger, aber ich hätte nie das Gefühl, hier ist eine Grenze überschritten worden. Wenn der aber vor dem Auftragen alle Dinger fotografiert, irgendwie katalogisiert und daraus was anderes. Und ich dann darüber mal informieren würde, dass er das gemacht hat, würde man sich bedroht fühlen. Dann wandert er in den Knastpunkt. Das ist doch ganz einfach. Und das Gleiche funktioniert mit den Daten in der Cloud doch auch. Natürlich ist es ein Unternehmen so, ich hab das selber erlebt, da gibt es IT-Administratoren, die können auf Daten zuhören, aber die tun es nicht. Aber sozusagen, wo die Möglichkeiten vorhanden sind, die Möglichkeiten Schindluder zu treiben, sind immer vorhanden. Aber dann, wenn es einer systematisch tut, und das ist ja das, was wir offenbar gerade erleben. Das systematisch gemeine Sachen mit meinen Daten. Da müssen wir die Möglichkeiten verringern, Schindluder zu betreiben. Ich meine, erst mal musste die Möglichkeiten verringern, dass überhaupt jemand was Böses damit machen kann. Geht das nicht technisch? Kann ich nicht auch eine Cloud schaffen, wo keiner reingucken kann, der sie verwaltet? Was ist denn das System, was wir haben, damit es keinen Versicherungsbetrug gibt? Das geht nicht. Das System, das es keinen Versicherungsbetrug gibt, funktioniert dadurch, dass wir Menschen die Versicherungen betrügen, sehr hart bestrafen. Was sprungen Kritsch legst du jetzt vor? Dass wir Menschen, die systematisch meine Daten ausforschen, können nicht ran. Ich komme ja auch nicht an Versicherungsbetrüger ran. Also du denkst, der Staat muss mehr tun, damit sowas wie Cloud Computing z.B. sicherer wird. Ich denke, die Bürger müssen sich mehr empören. Damit der Staat darauf reagiert. Damit der Gesetzgeber reagiert, und damit es dann Exekutive gibt, die reagieren kann. Also du denkst, dass es die einzige Möglichkeit gibt, um so etwas in Zukunft generell sicherer zu machen? Der Hell ist eher da ein Profil. Der Hell ist eher der Profil, Frank oder Philipp. Das ist eine Ergänzung, eine ganz kurze Transparenz. Nein, nicht zurückgehen gerade. Nein, das ist wichtig. Transparenz als Selbstzweck funktioniert natürlich nicht. Dann haben wir schon den Bogen. Es muss immer erklärt werden, was das bedeutet. Man braucht an diesem Punkt ... Wie Sannro sagte, nur was offenlegen, womit keiner was anfangen kann, bringt nichts. Das funktioniert nicht. Das führt auf der anderen Seite dazu, dass ganz viele Leute überfordert sind. Überforderung drückt sich an diesem Punkt dadurch aus, dass die Gesellschaft aus meiner Sicht nicht in der Lage ist, zu definieren, wie eine digitale Gesellschaft, eine Definition von, wie gehe ich mit dem Internet um in einer positiven Weise nicht stattfindet. Es gibt keine positive Definition. Es sind alles immer ... Skepsis. Wenn diese positive Definition aber nicht da ist, dann kann ich auch nicht merken oder spüren, was ich denn verlieren kann. Erst wenn ich das spüre, dann kommt diese Erregung oder dieser Widerstand oder was auch immer. Ich glaube, dieser Punkt fehlt an diesem Punkt. Möglicherweise. Aber so funktioniert das ja auch. Wie bringst du das den Leuten weiter? Also positiv, negativ? Das ist jetzt irgendwie so ein bisschen schwammig, was du gerade gesagt hast. Man muss definieren, wo die roten Linien sind. Wer macht das denn? Jeder persönlich. Wir sind selber verantwortlich. Man muss definieren, wo seine Grenzen sind, wo er denn will, das genutzt wird von seinen Daten, wo er zustimmt, wo er nicht zustimmt, was ein Ding der Unmöglichkeit ist, etc. Und jeder kann dieses Schwelle für sich ziehen. Aber dieser Punkt findet aus meiner Sicht noch nicht statt. Ich weiß nicht, ob das auch anders gesehen wird. Immer wieder das schöne Beispiel Facebook wird dann ja gerne genannt. Dass Leute ja angeblich selber schuld sind, wenn sie sauf part die Fotos von sich da hochladen, dass sie sich doch bewusst sein müssen, dass die dann auch mal sieht und dass sie sich dann in der Unmöglichkeit mit der Technik oder was? Genau. Ich muss mich mit der Technik anfreunden, um auch zu verstehen, was ich da tue. Das ist genau dieser Schritt. Plus, ich muss es definieren. Auch staatlicherseits definieren, wo möglicherweise Grenzen sind, für Dritte, für Bürger, die sich möglicherweise warum auch immer nicht wehren können. Das muss man auch mal sehen. Ich finde das interessant, was die beiden gesagt haben. Ich bin bei den Dingen schon mehr oder minder d'accord, aber ich bin fest überzeugt, dass wir auch mit Technik was tun können. Und ich tue mich schwer damit, mit so einer Vorstellung, ich muss jetzt den Malermeister sensibilisieren und da muss ich ganz viele... Er muss nicht positive Einstellungen entwickeln? Ja. Es gibt technologische Ansätze, mit denen man was machen kann. Sag mal was, wo es hingeht, wo es hingeht. Es gibt zum Beispiel Ansätze, Daten wie eine Glasscheibe in viele kleine Scherben zu verteilen und auf viele verschiedene Anbieter zu verteilen. Dann weißen wir, wie ich diese Glasscherben wieder zusammensetzen kann. Das ist ein bisschen wie Papierschnipsel machen und die irgendwie in fünf Büros packen und selber aber noch den Bauplan zum Zusammensetzen der Papierschnipsel haben. Also ich verteile meine Daten selber auf ganz viele verschiedene Dienste. Und dann kann man das Ganze natürlich an eine Zwischenschicht auslagern, die das dann für einen macht. Die das zersplittern macht. Die das zersplittern macht, nach bestimmten Vorgaben, die aber mehr oder minder von mir, also in meinem positionellen Speicheranbieter da nutzt. Das ist so eine Möglichkeit. Und dann müssen wir gar nicht mehr die Frage stellen, werden dann jetzt auf irgendeiner dedicated Fiber-Line irgendwie schnorchelt. Was ist eine dedicated Fiber-Line? Die haben wir dann auch wieder nebenan. Halt, halt, halt, ihr habt mich verloren. Das ist ja das, was bei Google passiert ist, dass sie eine eigene Glasfaserleitung hatten und da haben sie gesagt, da müssen wir jetzt auch nicht verschlüsseln über diese Leitung, die zwischen zwei Rechenzentren geht. Und dann kam eben der Smiley von der NSA, die sich dann eben doch drauf gesetzt haben. Zwischen zwei verschiedenen Datenzentren haben sie hier getauscht. Wo man, wo man von Google lang gedacht hat, das ist irgendwie alles uns, alles intern und so intern war es dann eben doch nicht. Also das ist so ein Verfahren. Das machen wir alles mit dem Karlsruher Hut. Warum hat sich das noch nicht durchgesetzt? Weil das einfach eine Zeichnange braucht, bis das fertig ist. Im kleinen Maßstab gibt es das schon? Ja, im kleinen Maßstab gibt es das schon. Das musste ich dann aber auch noch... Also dann haben wir noch wieder die Probleme. Wenn die Technik da ist, dann muss man das auch... Dann haben wir es aber eher mit ökonomisch und nicht mit technischem Problem. Genau. Und ob der Service für Ihnen geeignet ist um Videos zu streamen? Eine Dropbox wird benutzt, mal als Beispiel irgendwie nicht, weil das jetzt vielleicht auch, weil es ein Super-Service ist, aber eben auch, weil das eben alle benutzen. Also Facebook, also ich nicht, aber viele sind auf Facebook, einfach weil da eben alle sind. Geht das jetzt in diese Richtung Decentralisierung, was wir eben schon mal öfter gehört haben? Also wenn man sowas mit so einer Zwischenschicht zum Beispiel macht und dann kann man sagen, ich habe jetzt ein... Also was ist Sicherheit, können wir auch wieder stundenlang darüber reden. Der eine hat vielleicht die Anforderung, dass die Daten immer verfügbar sind. Der andere will, dass sie einfach vertraulich sind. Das sind, wir sagen dann immer Schutzziele, die sich unter Umständen auch widersprechen. Und die können also nicht alle gleichzeitig realisierbar sein können. Und wenn man... Das machen wir zum Beispiel gerade, dass wir so eine Zwischenschicht bauen, mit der man dann sagen kann, jetzt möchte ich für diesen, sagen wir mal für diesen kleinen Container einfach zur Verfügbarkeit haben. Und der verteilt das dann so, dass das irgendwie, dass einer von drei genutzten Anbietern dann ausfallen kann. Ich finde so, dass das Problem von der informierten Entscheidung ist eigentlich immer nur kontinuierlich schlecht. Informierte Entscheidung ist... Was genau meinst du, Sanro mit der informierten Entscheidung? Ich informiere mich vorher und... Ich informiere mich vorher und... ... was ich tun will und wo ich mich dann halt empören muss. Und was ich tun soll. Und dann, da ist mehr Technik, ist also meine Erfahrung einfach, wenn du die Politiker zum Beispiel oder Entscheidungsträger in der Wirtschaft zuschüttest mit neuen Technologien. Und das kann man entwickeln. Dann kommt dein Konkurrenz und sagt, das ist ja, geht das den Bach runter. Und dann gibt es tausend Lobbyisten von Firmen, die den Kram von letzter Woche noch verkaufen müssen. Und wie würde ich da als Laie eine mündige Entscheidung treffen? Eine mündige Entscheidung ist noch mal eine Angefrage, als, sagen wir mal, die Sicherheit irgendwie umzusetzen. Und mündig entscheiden ist noch mal was anderes als die diversen anderen Schutzziele, die wir haben. Also muss doch... Oder jemand muss für dich entscheiden. Ich habe mich im First Order sozusagen nicht betrifft. Die Navy Seals kommen jetzt nicht nächste Woche, weil ich irgendwelche komischen Sachen auf Schnee von morgen geguckt habe. Und den Rest, der Rest ist dann sozusagen eine Expertokratie. Dann sind wir bald Platos, Republik. Hallo, Leute. Geht das nicht eher in die Richtung, was Nicole vielleicht auch schon angeregt hat? Dass es Leute geben muss, die dann eben Entscheidungen treffen, die Grenzen setzen, die Regeln vorgeben, die uns sagen können, was ist sicher, was nicht. Es gibt ja auch Leute wie neutrale Forschungsinstanzen, die uns das vielleicht sagen können. Das habe ich noch nicht gesehen in Deutschland. Frank ist absolut neutral unterwegs. Frank natürlich. Aber zum Beispiel die Frauenhofer und so, die sind so Drittmittel geprügelt inzwischen und so eng gebunden an die Industrie, mit der die kooperieren, die müssen auch das Lied singen von dem, der da das Drittmittel reingeht. Also du bist jemand, der am Ende des Abends ist, oder? Ja, also ich muss das schon so ein Kranularer auflösen. Wenn ich jetzt so ein Durchschnitts- Videokucker bin, dann ist das für mich nicht relevant. Ich habe dann kein Sicherheitsproblem. Wenn ich aber ein forschendes, entwickeltes Unternehmen bin, dann muss ich mir darüber andere Sorgen machen. Und dann habe ich das Problem, dass ich mich nicht mündig entscheiden kann, dass ich mich empören müsste über die NSA, weil die das möglicherweise an ihre Wirtschaft weiter gibt und mein Unternehmen dadurch den Bach runtergeht und so. Aber die müssen ja in welcher Form betroffen und wer braucht jetzt welche Art von Schutz und welche Art von, ja, wir müssen ja quasi Protegiers dann aufbauen, die das tun und wie kann man die unabhängig hinbauen? Also die Unabhängigkeit ist für mich jetzt gerade in der aktuellen Situation, wo jetzt ja viel Geld losgetreten wird und die Regierung will was machen, die Wirtschaft will was machen, aber dann Geld ausgeben, das Ström natürlich die Lobbyisten her scharen ein und versuchen alles möglich zu verscherbeln und das wird jetzt gar kaum unabhängig. Du meinst jetzt bei der Weiterentwicklung von solchen Technologen? Bei der Weiterentwicklung von Sicherheit und da gibt es kaum unabhängige Instanzen, die sagen können, was man tun soll, was man nicht. Und ich finde, wir haben auch da ein Problem mit unserer Forschungslandschaft, da haben durch diese Drittmittel Prügelei haben wir die so richtig verdorben. Da gibt es also ganz wenige, die ihnen wirklich unabhängig sagen würden, das können sie kaufen, das können sie nicht kaufen. Nein, nein, nein. Also ich mag das nicht so irgendwie, kommentiert stehen lassen nur die Frauen vor Kollegen, nicht alle sagen alle nicht die Wahrheiten, alle nicht neutral oder so. Und gegen sie forschen auch auf Drittmittel Basis. Es geht auch gar nicht mehr anders. Okay, lasst vertieft euch nicht in diese Gelddiskussion jetzt bitte. Genau, das soll man gar noch baustellen, vielleicht noch einmal. Ich sehe das schon, dass es gute Gründe dafür gibt zu sagen, es musste zumindest so Leitplanken geben. Also ein Raum, in dem man da doch eine gewisse Freiheit hat, aber wo man dann auch sagt, ob das nun staatlicherseits oder wie auch immer, dass man sagt, in diesem Rahmen bitte und drüber hinaus nicht. Und da... Was dich dann schon wieder für ein Problem stellt, wenn es internationaler wird. Genau, also wir haben zum Beispiel dieses rominiöse Safe Harbour Abkommen mit einer einzigen Katastrophe, so wie es jetzt ist. Kennt das jeder das Safe Harbour Abkommen mit den USA? Daten, die untereinander ausgetauscht haben. Okay, gut, sag ich nichts mehr zurück. Die USA haben sich mehr oder weniger darauf eingelaschen, dass sie sich an europäische Regeln darhalten mit gewissen Ausnahmen, die der Patriot Act dann wiederum beraten. Ja, also es ist eigentlich, vielleicht ganz kurz, ursprünglich hieß es, Personbezogene Daten dürfen im Regelfall nicht außerhalb Europa nicht verlassen. Das ist jetzt ein angemessenes Schutzniveau, das so ist wie in Europa. Und dann gibt es eben so ein Abkommen zwischen, da hat man ja immer gemerkt, das wäre ja irgendwie blöd, wenn die USA irgendwie dieses nicht haben. Und da hat man ein Abkommen gemacht, mit dem sich einzelne US-amerikanische Unternehmen oder auch andere, praktisch bestimmte Regeln unterwerfen können und damit heißt es dann, per Dekret ist das angemessenes Schutz, das ist adäquat. Und das ist aber seit Jahren bekannt, wie ein Hammer. Es wirkt nicht. Punkt. Wir bauen gerade in Europa einen neuen Rahmen, sehr eigentlich die Möglichkeit da jetzt, was zu reparieren. Es gibt aber so Tendenzen, das irgendwie im Wesentlichen zu lassen ist. Bei europäischen Datenschutzabkommen? Also Datenschutzgrundverordnung. Und dann muss man sich auch wieder die Frage stellen, ob man diesen Safehaber, aber ihr lasst mich jetzt gerade hier so ein bisschen ratlos zurück. Man soll ja nicht so tun, als hätten wir in dem letzten Jahr keine neuen Erkenntnisse gewonnen. Man kann das ja auch noch einmal zusammenfassen. Wir wissen heute, dass die Paranoid Nerds der letzten 10 Jahre alle Recht hatten. Und zwar in jeder Hinsicht. Also jede Verschwörungstheorie der letzten 10 Jahre bis auf ein paar Freakshow-Bestandteile hat sich bestätigt. Das ist der Verschlüsselungsalgorithmen, die in der Zeit propagiert worden für sichere Kommunikation einfach irgendwie auch nicht funktioniert hatten. Also im Großteil der SSL-Kommunikation. Das ist sicherlich ein Algorithmus. Geschickt. Dinge, von denen wir sicher waren, dass sie halten würden, haben nicht gehalten. Das ist irgendwie der Zustand heute. Die Sachen, die gehalten haben, sind eine Hand abzuzählen und waren auch in der Vergangenheit nicht einfach anzuwenden. Das ist irgendwie der Zustand, in dem wir heute leben. Deshalb meinte ich einfach, diese technische Basis ist erstmal von den Sachen, die wir geglaubt haben, dass sie funktionieren würden, wissen wir heute, dass sehr wenig gehalten hat. Deshalb propagiere ich halt, natürlich muss es technologisch weitergehen, natürlich müssen wir an neuen, einfacheren Methoden arbeiten, verschlüsselte Daten von A nach B zu pumpen. Ich halte diese Deutschland-Net-Debatte dabei für eine Katastrophe, aber dass sich so was... eine Verschlüsselung von Kommunikation sehr gut ist. Und dass wenn irgendjemand in der Mitte sitzt, egal mit welchen Interessen, der sagt, was anderes würde gut sein, dann stimmt es nicht. Das wissen alle außer die Politik. Aber das ist sozusagen hier in der Runde, niemand wird sagen, die andere Art der Verschlüsselung ist genauso gut oder so was, das ist einfach Quark. Und dann anderen Stellen müssen wir es gemeinsam rausgucken, aber ich glaube, das Defizit ist ein moralisches, das Defizit, wenn es um Cloud Computing geht. Ich kann mich den nur anschließen. Es gibt bestimmte Angriffe und Angreifer, die man einfach mit noch mehr Technik nicht erschlagen kann, weil sie einfach... Weil sie auch noch mehr Technik aufrüsten werden. Nicht mehr Technik aufrüsten, sondern weil sie sich einfach gegenüber bestimmte Regeln, die gesetzt worden sind, nämlich die roten Linien, die definiert worden sind, hinweggesetzt haben. Und da muss angesetzt werden. Also bleibt es bei Eigenverantwortung, sich viel informieren, soweit es eben geht, versuchen, sensibel mit seinen eigenen Daten umzugehen und immer so ein bisschen versuchen, ohne sich abschrecken zu lassen, auf der Höhe der technischen Zeit zu bleiben, oder was, Philipp? Definitiv auch. Ich kann mich da anschließen. Ich glaube, das sind die wesentlichen Punkte. Man wird keinen, woran es jetzt auch ein Rezept irgendwo rausholen können. Das sind immer verschiedene Punkte, die hier eine Rolle spielen. Klar, wer es wünschenswert, wenn eine dritte Person oder eine Institution da wäre, die mir selber Entscheidungen abnimmt. Im Idealfall wären das ja auch Unternehmen, die Angebote machen, die dann durch Dritte wieder überprüft werden, etc. wo ich am Ende sagen kann, ja, das ist was, was okay ist. Aber ich werde nie darum herumkommen, a. zu sagen, es ist alles sicher. Es ist nicht alles sicher. Davon muss ich dem Grunde nach rausgehen. Das ist eine Illusion. Ich glaube, das ist definitiv eine Illusion. Und ich kann aber mich so gut anstrengen, wie ich es selber für möglich halte und auch kann, um es sicherer zu machen. Und trotzdem kannst du wenig sein. Genau. Sandro? Ich hatte ein bisschen bei Frank. Sie sind den Durchschnitts-User, dem Fondim jetzt oder auch von Unternehmen, den abzufordern, dass wir irgendwelche informierten Entscheidungen treffen, ist einfach nicht möglich. Das können die nicht. Selbst bei uns in Expertenkreisen ist es schon schwierig, über alles den Überblick zu behalten und dann hier und da und da auch noch informierte Entscheidungen zu treffen. Das funktioniert nicht. Wir brauchen dann tatsächlich eine kompetente Politik, die wir da realisiert haben möchten. Und das sind keine anderen, als die, die wir auch so im normalen Leben haben möchten, in diesem Feld dann umsetzt. Und die brauchen wir dringend. Die brauchen einfach auch mehr Geld, mehr Personal, mehr Expertise. Dazu brauchen wir ganz wichtig aus wer viel mehr unabhängige Wissenschaft, die dann halt eben auch unabhängig berät, was Gutes und was nicht gut ist, die vielleicht auch erstmal rausfinden muss, was Gutes und was nicht gut ist. Und dann muss es in dem Feld leider so sein, dass man einen Zweifelsfall nachrechnen kann, wenn man dem nicht traut. Aber der Durchschnittsnutzer, dem irgendwelche Entscheidungen da jetzt aufzulasten, das wird nicht funktionieren. Also brauchen wir eigentlich noch eine ganze Menge? Ja, das gilt vor allen Dingen. Frank? Ja, bin ich voll dabei, natürlich brauchen wir alle mehr Geld. Keine Frage. Wasliche Kompetenz in die maßgeblichen Entscheidungen zu tragen, da liegt noch einiges im Argen, also es gibt ganz, ganz über Parteigrenzen hinweg, es gibt ganz, ganz viele fähige, engagierte Menschen in den Parteien und wenn die aber, es gab da gerade den ganz prominenten Fall, wenn die dann aber irgendwie immer klein gehalten werden und dann am Ende des Tages von, ich sag mal, alten, grauen Männern in politischen Sprechern? Abgewatscht werden, wie irrell das doch ist und sie mögen doch bitte mal in die wahre Welt kommen und so. Ich glaube, da fehlt es an den richtigen Stellen, zum einen an Kompetenz oder zumindest an der Erkenntnis, dass andere vielleicht in anderen Bereichen auch Kompetenz haben könnten. Vielen Dank. Ich würde sagen, wir schließen unsere kleine Diskussionsrunde an dieser Stelle. Es gab ein paar Anregungen, ihr alle könnt euch jetzt selber überlegen, welche Cloud Computing Services ihr nutzen wollt und wie man die Namen von allen Gästen behalten kann. Ich habe das ja zu Anfang der Stunde gebracht. Kann die jemand aufsagen? Auswendig? Es gibt eine Flasche Wein zu gewinnen. Sovorweihnachtlich? Keiner. Da muss ich selber verabschieden. Klaus war da. Ich mache es mal in Vornamen. Nikolaj, Philipp, Sandro und Frank. Toll, dass ihr bei uns in der Runde wart. Das war es vom Digitalen Salon für diesmal. Im Dezember wird es eine Art wundervolles Überraschungspaket geben rund um den Digitalen Salon und da sind wir wieder frisch für euch da. Viel Spaß beim Weihnachten feiern und neuer feiern und dann bis Januar 2014. Schön, dass ihr da wart.