Folge 14: Sind unsere Daten in der Cloud sicher?

00:00:00: Hi und herzlich willkommen zurück bei einer neuen Folge von Cloud & Deutlich.

00:00:04: Und dieses Mal haben wir zwar keinen neuen Gast, aber wieder ein super, super spannendes Thema natürlich!

00:00:10: Diesmal schauen wir uns nämlich an sind die Daten in der Cloud überhaupt sicher?

00:00:15: Diese Frage wird uns der gute Daniel Schweikle wieder beantworten und deswegen würde ich sagen wie starten jetzt die Folge?

00:00:23: also viel Spaß beim Zuschauen und beim Zuhören.

00:00:26: Also let's go nach dem Intro.

00:00:28: Hallo und herzlich willkommen zu Cloud & Deutlich, eurem Netplans Podcast rund um die IT-Welt.

00:00:33: Mein Name ist Nicole Wiske und ich bin der Host dieses Podcasts und natürlich freue mich, dass du wieder dabei bist!

00:00:39: In unseren Folgen tauchen wir tief in die IT Welt ein und bringen dir spannende Gespräche, interessante Gäste und wertvolle Einblicke zur aktuellen Themen mit.

00:00:48: Wenn dir der Podcast also gefällt lasst doch gerne sein Abo da.

00:00:50: – und jetzt viel Spaß mit der neuen Folge!

00:00:56: Wir hatten ja schon mal eine Folge aufgenommen.

00:00:58: Und natürlich ging es da auch um Cloud und alles Mögliche, was man so wissen sollte wenn man sich für einen Cloud Provider entscheiden kann, möchte oder soll.

00:01:08: Und diesmal gehen wir jetzt nochmal ein Schritt weiter denn wir möchten uns natürlich anschauen.

00:01:14: okay jetzt sind wir in der Cloud aber sind die Daten überhaupt sicher?

00:01:17: Können sie da sicher sein?

00:01:18: Genau das ist meine erste Frage an dich!

00:01:21: Sind die Daten in der cloud sicher?

00:01:23: Oder noch was kann man ausgehen?

00:01:25: Ja, danke dass ich noch mal dabei sein kann und sehr gerne auch zu einem präsenten Thema nämlich genau dem ob die Daten sicher sind.

00:01:36: Es gibt mehrere Arten von Sicherheit, die man glaube ich unterscheidet.

00:01:41: Zuallererst würde ich behaupten steht da bei den meisten die physische Sicherheit oder die physikalischen Gegebenheiten der Daten im Vordergrund.

00:01:51: Es kann sein, dass ich meine Daten vor Brand schützen möchte.

00:01:55: Das kann aber auch sein, das sich meine Daten von einem Hochwasser-Naturkatastrophen jeglicher Art Zutrittskontrolle sichern möchte und dass sie verfügbar haben möchte zum Beispiel mit Redundanzsysteme physischer Natur oder auch mit Zutritskontrolle in Kohlen.

00:02:13: Gerade da im Rechenzentrumsbereich gibt es ja schon deutliche Unterschiede.

00:02:19: Warum gehe ich überhaupt in so einen Rechencentrum?

00:02:21: Naja, meistens habe ich halt dort eine bessere Sicherheit wie in dem Serverraum der jetzt vielleicht im Keller steht oder wo vielleicht doch keine Zutrittssicherheit auf das Gelände in der Form Vierundzwanzigmal Sieben stattfindet.

00:02:36: Ganz spannend dabei ist auch der BSI hat sich auch darum gekümmert, G-Catalog heißt der für elementaren Schäden, also allen Dingen die quasi so passieren können.

00:02:51: Und wenn man die dann so anschaut wird auch häufig das Thema Brand oder in den Mund genommen und diese Fahren, die da der BSI definiert kann man dann zum Beispiel gegen seine Assets, also gegen seine physischen Systeme legen und kann sich fragen, naja was passiert denn wenn jetzt so ein Server brennt oder wenn dann zu viel Strom oder zu wenig Strom also Überspannung oder Stromausfall stattfinden.

00:03:20: Und kann so die physische Sicherheit erstmal in Frage stellen ohne jetzt weitergehen zu wollen?

00:03:29: wieder natürlich wichtig und spannend.

00:03:31: Also physische Bedrohungen sind ja schon mal so ein Punkt, aber ich habe auch gehört es gibt ja noch mehrere Arten.

00:03:38: also nicht nur die physischen Bedrohhung, die ist natürlich darstellt was gibt's denn da noch?

00:03:43: Genau.

00:03:43: Also es ist dann weiter auch ein bisschen Subjektivität, glaube ich dabei.

00:03:48: und das Sicherheit stellen sich alle anderen die jetzt denken was spricht der hier von Rechenzentrums, Bau- und Zutrittskontrolle im Stromversorgung geht sie ja um die digitale Sicherheit also sprich um den Schutz von extern.

00:04:04: Thema Hacker Angriffe Fremdzugriff über die digitale Nennwege, zum Beispiel das Internet in der Regel.

00:04:13: Was ein Riesenaspekt ist?

00:04:15: Da kann man sich natürlich dann mit der altbekannten Firewall erstmal grundsätzlich schützen... Die gute!

00:04:21: Ja, die gute Firewall macht heute aber auch ein bisschen mehr in den meisten Fällen als nur irgendwie eine Port Protection oder sowas sondern die kann auch schon je nach System natürlich auch wieder ganz, ganz viele Dinge erkennen.

00:04:36: Kann anhand von bekannten IP-Adressen diese schon aussperren hat.

00:04:40: Auch KI-Indegration zum Teil schon ein spannendes Thema.

00:04:43: Das

00:04:43: darfst du gar nicht sagen

00:04:44: bei mir!

00:04:46: Aber über das man möchte mal heute entsprechen.

00:04:48: also grundlegend können wir festhalten der Firewatch bietet erstmal einen guten Grundschutz.

00:04:52: Wichtig und richtig?

00:04:54: Und weiter geht es natürlich dann auch mit den Themen wie Passwortsicherheit, Zugänge von externen über zwei Faktor Audinfizierung.

00:05:02: Über gewisse andere Mechanismenschützen, Passwortrichtlinien ist ein Riesenthema und alles was dazugehört und natürlich die entsprechende Segmentierungen von Netzen das Absichern vom externen Zugriff des Einschränken einfach auch vielleicht das Begrenzen der Angriffsplattform im Gesamt und nicht alles offen lassen.

00:05:26: Aber wir reden ja jetzt auch, du hast ja gerade schön gesagt, Heckerangriff!

00:05:31: Wir hören ja aktuell nur es wird immer angegriffen das wird immer schlimmer die Jahre haben sich gestapelt und quasi auch die Hecker Angriffe Es wird ja immer schlimme, das merkst Du ja auch selber in der Praxis.

00:05:43: Und was ist aber jetzt mit dem Punkt Backup?

00:05:46: Also Hecker-Angriff, Back up eins und eins

00:05:50: Genau, also das Backup ist da auch ein elementarer Bestandteil davon.

00:05:57: Wenn man jetzt so einen Hackerangriff mal anschaut dann beginnt er oft damit dass es sich mittlerweile jemand versucht erstmal Daten zu ziehen Auswörter rauszukriegen Zugriffspunkte zu schaffen.

00:06:11: Das ist natürlich ganz wichtig.

00:06:12: wir haben das Firewall Thema gehabt.

00:06:14: Jetzt können wir natürlich in einem Rechenzentrum stehen in der Regel unsere Server die sichern wir mit einer Firewall.

00:06:21: Jetzt haben wir auf der anderen Seite aber auch erstmal noch Endgeräte, die wir absichern möchten, die vielleicht auch mit dem klassischen Virenscanner oder auch hier intelligenteren Technologien versorgen.

00:06:34: Dann hofft es so dass ja ein Mitarbeiter Zugriff auf Ressourcen im Backend hat, Zugriffe auf die Cloud.

00:06:41: Machen wir es mal einfach für die Community.

00:06:44: Und der Zugriff ist valide und er ist geschützt, ihr allerweise über ein Passwort oder einen zweiten Faktor.

00:06:50: Das Gerät ist irgendwann autonifiziert und wenn das jetzt jemand schafft sich dieses Gerät quasi zu kapern dass ja irgendwo stehen kann mittlerweile Die Welt ist bunt Homeoffice anywhere anytime Dann habe ich da schon ein Problem.

00:07:03: das heißt die Sicherheit beginnt dann eigentlich auch schon außerhalb von dieser Wolke, von diesem Rechenzentrum beim Endgerät und in meinem Unternehmensnetz.

00:07:13: Und wird darüber quasi dann abgesichert.

00:07:16: Wenn jetzt der Hacker... Dann komme ich auch gleich auf das Thema Backup.

00:07:21: wenn der Häcker sich Zugriff verschafft hat.

00:07:24: Und es möglich ist an Daten ranzukommen zum Beispiel nur die Daten die der Benutzer auch sehen darf in seiner realen Welt Dann ist schon recht schnell dabei die Rede, dass man und das hört man glaube ich medial überall.

00:07:38: So Krypto-Troyana oder Verschlüsselung, Festplatten werden verschlüsselt, Datensätze werden verschüsselt...

00:07:45: Mittlerweile gibt es ja so unglaublich viel!

00:07:47: Einfach Wahnsinn.

00:07:48: also wir haben auch leider Gottes immer wieder Kunden den wir so aus der Patsche helfen und haben tatsächlich da aber auch viel viel Technologie und viel viel moderne Systeme, die uns zumindest in den meisten Fällen davor schützen.

00:08:05: Aber wenn es dann mal passiert... Dann ist es oft so wie läuft sowas ab?

00:08:10: Es greift jemand an.

00:08:11: In der Regel werden die Daten erst einmal rausgezogen und geliegt.

00:08:17: Dann werden Lösegelder gefordert.

00:08:21: Und ja das findet eine Pressungsstadt dass halt Daten verschlüsselt werden.

00:08:25: Wenn diese dann verschlüsselt sind bekommt man Schlüssel zum Endschlüssel, ganz viel

00:08:30: Schlüssel.

00:08:30: Ja mal schauen ob das ja wirklich auch am Ende des Tages so

00:08:34: ist.

00:08:34: Bekommt man dann wieder gegen Lösegeld?

00:08:36: In der Regel sind es dann Kryptowährungen weil man will ja die nicht

00:08:40: zurückverfolgen

00:08:40: können.

00:08:41: Genau richtig aber so läuft es ab und so ist in der Praxis.

00:08:44: also haben wir auch schon Kunden begleitet und tatsächlich auch schon Kunden die diese Lösegelbe bezahlt haben.

00:08:51: Und es ist traurig in der Schrecken das funktioniert.

00:08:54: Also es ist tatsächlich so dass private Schlüssel, das ganze wieder entschlüsselt.

00:09:01: Aber in der Regel gibt es da halt eine Möglichkeit dieser ganzen Nummer den Ga auszumachen und dass ist eigentlich dann ein vernünftiges Backup.

00:09:11: Und da sind wir auch beim Punkt die Produktivdaten werden verschlüsselst Die Daten sind erstmal weg und ich kann natürlich durch mein Back-Up auf einem Vortag oder ähnliches je nach Konzept zurück.

00:09:25: Dummerweise verstehen diese Angreifer das auch und löschen mittlerweile sogar die Backups, wenn sie das denn schaffen.

00:09:36: Dafür gibt es natürlich auch wieder eine Technik, die dann dagegen wirkt, der nennt sich Immutability also das unveränderliche Speichern von Daten was durch Technologien geschützt wird oder durch gewisse Objekt-Speicher kann man das dann ausschützen und natürlich ganz essentiell auch eine Geo-Redundanz im Backer, die uns natürlich dann wiederum gesamtheitlich schützt.

00:10:02: Dass man ja auch durch Vandalismus oder durch physische Schäden diese Sachen kompensieren kann.

00:10:11: Da bildet sich irgendwie schon ein Kreis.

00:10:13: Wenn das eine, dann das andere schützen

00:10:15: usw.,

00:10:15: so wie so'n kleine Organismus?

00:10:18: So ist es genau, also man hat tatsächlich ganz viele Aufgaben die dann zu dieser Gesamten-Sicherheit führen.

00:10:28: Man muss auch ehrlich sagen vieles was jetzt unter dem Deckmantel Cloud läuft haben wir natürlich die Aufgabe haben wir onbrem im Rächenzentrum vor Ort genauso.

00:10:44: nur da unterscheiden sich halt glaube ich ganz viele.

00:10:48: Wenn wir jetzt in die Cloud gehen oder zu einem Service Provider, dann hat man oft den Vorteil dass der Service Provide einen da unterstützt.

00:10:57: Ich glaube viele gehen ja so kann es mich auch verbessern von Mindset eher her.

00:11:04: das hatten wir auch thematisiert mit der Folge mit Marcel Casper wo es generell um diesen Unterschied gab und Prem.

00:11:09: und halt sollen wir jetzt sind die cloud.

00:11:12: Wir haben jetzt gerade das Datenthema und auch hier Vielleicht haben ja die Unternehmen oder die Personen, die sich dazu entscheiden doch in die Cloud zu gehen.

00:11:20: Angst?

00:11:21: Ich gebe jetzt alle meine Daten her!

00:11:23: Ich habe also keine Macht mehr darüber was eigentlich nicht der Fall ist.

00:11:29: Genau man gibt natürlich ein Stück weit Daten her aber so einen Glaubprovider und da kann ich auch aus Erfahrung sprechen.

00:11:38: Der ist in der Regel erst mal nicht interessiert an den Daten itself und glaube auch durch viele, viele Mechanismen, Vandantentrennungen und was so ein Provider alles erfüllen muss.

00:11:50: Ist es auch nicht so dass dann immer irgendwie alle Datensätze bei jedem Mitarbeiter einsehbar sind?

00:11:56: Nichtsdestotrotz ist es schon wichtig sich ja auch anzuschauen was leistet so einen Cloudprovider und wie geht der mit Daten um?

00:12:03: Und ich glaube da ist es gar nicht so einfach das zu unterscheiden und vielleicht auch Leistungsmerkmale auszumachen.

00:12:11: wir haben aber grundsätzliche Regeln sag ich mal, die man vielleicht beachten sollte.

00:12:16: Ich meine so ein Provider sollte natürlich in einem entsprechenden Rechenzentrum die physische Sicherheit gewähren.

00:12:24: Das ist ja ganz wichtig!

00:12:25: Ich mein nur weil einer sagt das es Cloud heißt nicht dass Cloud drin ist.

00:12:29: also da gibt's zum Beispiel Einfaches einfaches Merkmal.

00:12:36: So Rechencentren haben so Rechen-Centrums Klassen.

00:12:38: Das sind übliche Handelsgröße nennt sich dann Tier eins, Tier zwei, Tier drei, Tier vier.

00:12:45: Und da denen wir es unterschieden gibt noch ganz viele andere, sag ich mal vielleicht auch Frameworks oder Maßstäbe wo man sich messen kann aber das ist ein gängiges Ding.

00:12:57: und dieses T-Ring oder einen Tier Drei zum Beispiel der Vier das beschreibt halt den Gesamtesel auf dem Rechenzentrum eine gewisse Güteklasse.

00:13:08: Jetzt ist das Ganze ja schon ein bisschen Mathematik.

00:13:10: Wie wahrscheinlich ist es, dass ein Feuer ausbricht?

00:13:13: Wie lange brauchen wir um das Feuer zu löschen und wie lang muss dementsprechend zum Beispiel mein Gebäudehülle dem Brandstand halten?

00:13:23: Und das kann man dann natürlich skalieren und kann sich da dann das richtige... Genau!

00:13:30: So kann man das dann einfach klassifizieren und sagen hey lieber Provider du hast jetzt hier einen Angebot gemacht, das sind super preis was für eine Güteklasse hat in deinem Rechenzentrum.

00:13:40: und dann sieht man okay, es ist vielleicht preisleistungsinordnung oder es ist halt zu günstig, zu teuer.

00:13:49: Das ist schon ein Kriterium.

00:13:51: und was man da natürlich auch immer machen kann und was glaube ich ausserwichtig ist Sind so die grundlegenden Themen, wie geht der Rechenzernumso weiter mit unseren Daten um?

00:14:01: Das wäre genau die nächste Frage.

00:14:03: Weil okay wir haben das Tiering, dass natürlich auch nochmal ein Stück weit zur Sicherheit beiträgt.

00:14:09: aber wie sieht es jetzt auch genau bei dem Punkt aus?

00:14:13: Wie kann ein Provider garantieren also für die Sicherheit der Daten garantieren?

00:14:18: Ja Garantie ist ein hartes Wort Aber wie kann ich das erkennen?

00:14:22: Also gibt es ein paar grundlegende Themen, z.B.

00:14:25: ne ISO-Siebenundzwanzigtausendeins beschäftigt sich mit der Informationssicherheit und wenn ich jetzt so einen Zertifikat vorweisen kann dann ist schon mal durch den dritten auditiert dass ich den Umgang mit diesen Daten anständig mache, denn ich habe ein implementiertes IASMS.

00:14:45: Informationsmanagementsicherheitssystem.

00:14:47: Danke!

00:14:48: Genau.

00:14:50: und wenn ich jetzt so was implementiert hab dann sind gewisse Dinge gar nicht mehr anders möglich wie eine Klassifizierung vorzunehmen von Dokumenten.

00:15:00: Wie eine Risikobetrachtung zu machen über die wichtigsten Assets, die ich dann betreibe.

00:15:07: Und gang und gäbe ist es auch das ein Rechenzentrum diese Zertifizierung vorweist.

00:15:13: Das ist das übliche, aber der Teufel steckt ja auch im Detail wenn ich wieder auf den Provider rausgehe denn oft gibt also man kann so eine Zertifikation weitergeben und kann sagen Ich meine Cloud läuft in einem ISO zertifiziertem Rechenzentrum.

00:15:30: Wenn man sowas liest, da muss man mal aufpassen.

00:15:32: Denn dann ist zwar das Rechenzentrum also die Gebäudehülle und der Strom und alles was da so ist zertifiziert.

00:15:38: super ist erstmal wichtig.

00:15:41: aber der Provider der in diesem Rechen Zentrum einhaust Der hat ja dann erst einmal nix.

00:15:48: Also der muss auch nicht dieses SMS implementiert haben.

00:15:54: Spannend,

00:15:55: ja.

00:15:55: Ja also das ist nicht so einfach und wenn man es so über den Markt schaut dann sieht man das auch oft und man muss halt darauf achten dass der Dienst oder der Betrieb der Cloud Systeme iso-zertifiziertes schon einen Unterschied finde ich.

00:16:10: und wenn das der Fall ist dann kann ich auch sagen da macht's auf jeden fall ordentlich.

00:16:16: Ich weiß jetzt nicht ob du es davor schon gesagt hast aber muss ein Rechenzentrum diese Isozertifizierung haben?

00:16:23: Oder darf es auch ohne diese Zertifizierung?

00:16:25: Also natürlich dann irgendwie auf eigene Gefahr, aber...

00:16:29: Ja.

00:16:30: Das ist eine gute Frage ob man... Ob's da eine Verpflichtung gibt ich glaube nicht.

00:16:34: Ich habe davon nicht gehört.

00:16:37: Ich würde aber behaupten jemand der so ein Rechenzentrum vermietet also so einen Co-Location macht.

00:16:41: Also ich vermiete Fläche und kann meinen Räckern bauen und jeder kann sich da was einmieten.

00:16:47: Ich glaube er würde kein Geschäft mehr machen.

00:16:51: das Minimum, glaube ich.

00:16:53: Aber es zeigt sich jetzt auch in der Zeit dass die Provider das brauchen mittlerweile sogar Systemhäuser schon solche Dinge ausweisen weil sie eben im Umgang mit den Daten gewisse Standards und Regeln einhalten müssen geht auch nicht mehr anders heute?

00:17:12: Ich

00:17:13: glaube nämlich wenn irgendwas passiert muss man ja auch irgendwie nachweisen Haben wir zu irgendwas oder nicht?

00:17:20: Das ist das eine und es gehört vielleicht auch mittlerweile dazu, dass wir wie in allem anderen auch Made In Germany oder das oder jenes irgendwelches Siegel haben.

00:17:32: Wo der Endverbraucher auch signalisiert kriegt, dessen die dies ordentlich machen und das sind vielleicht auch welche, die ja diese nicht so ordentlich waren oder die vielleicht einfach das Zertifikat nicht haben Ja, halt noch nicht so professionell bewegen und um das geht es ja eigentlich.

00:17:51: Es geht nicht darum zu sagen ohne Zertifikat kein Auftrag.

00:17:55: aber wenn ich jetzt wissen will wie steht's um meinen Betrieb?

00:18:01: Und ich suche mir einen der so ein Zertifikat vorweisen kann dann weiß ich okay da eine öffentliche Stelle die auditiert.

00:18:09: bei einer ISO-Zertifizierung jährlich muss man sich mal vorstellen also ist schon net so ne kleine Nummer ob das denn auch in Ordnung ist.

00:18:20: Gibt natürlich noch viele andere, es gibt dann so C-Fünf Testate, C-fünft Zertifikate, T-Sax ist ein Thema.

00:18:26: also es gibt ganz viele auch Branchen spezifisch aber so einen Grundschutz ist denke ich so ein ISO Zertifikat eine ganz saubere Sache.

00:18:35: und ja und dann geht's halt weiter wie sind meine SLAs definiert?

00:18:40: Was bietet der Provider an welchen?

00:18:43: Welchen Zugrifflevel?

00:18:44: hat der vielleicht rechte Konzept, die er vorverlegt?

00:18:48: Hat der für seine Administraturen selbst Passwortrichtlinien und Zugriffs Zutrittsrichtlinie?

00:18:55: Also wie stellt das sicher, dass nicht der Provider angegriffen wird.

00:19:00: Ist ja auch immer ein Thema für spannendes Angriffsziel für einen Hacker.

00:19:04: Stimmt!

00:19:04: Weil da trifft er ins Schwarze direkt.

00:19:07: So ist es genau.

00:19:09: Aber Daniel wir haben jetzt schon wieder viel gehört.

00:19:12: Wir müssen aber jetzt auch mal ein Thema anschneiden, das vielleicht gar nicht so toll ist.

00:19:16: Wobei es ist super wichtig.

00:19:19: Ich weiß auch nicht wie viel du dazu sagen kannst, aber lass uns mal über die DSGVO sprechen im Bezug auf ja genau den Cloudact weil das ist ja auch eine riesen Nummer.

00:19:29: deswegen sieht's da denn aus?

00:19:32: Ja genau also das ist tatsächlich ein Thema.

00:19:36: es ist nicht unbequem darüber zu sprechen.

00:19:40: Es ist immer schwierig über ein Thema zu sprechen, das man halt ganz durchdrungen hat.

00:19:44: Und so ist es bei der DSGVO.

00:19:45: ich gebe's offen und ehrlich zu Ich bin keine Rechtsberatung keinen Datenschützer und möchte es auch nicht sein.

00:19:53: tatsächlich

00:19:55: Wie?

00:19:57: Was ich aber sagen kann witzigerweise und da hoffe jetzt dass mir die Medizinbranche dann kein Strick draus dreht also drei Datenschützen vier Meinungen analog zu drei Ärzte vier Meinungs.

00:20:11: Wir haben ganz, ganz viele Kunden schon in die Cloud begleitet und wir haben auch schon bei vielen Kunden unterstützt und beraten welches Cloudsystem es sein darf.

00:20:21: Ob es eine große Cloud, eine internationale Cloud wie zum Beispiel die Azure sein darf oder ob es eher systemhausgetriebene Cloud sein darf.

00:20:34: Jeder Datenschützer antwortet anders und sagt, naja das ist okay.

00:20:38: Es ist nicht ok Die Microsoft hat die Zertifikate.

00:20:42: oder wenn wir die richtige Region auswählen es ist gut.

00:20:47: Und der nächste sagt es geht gar nicht Weil der US Cloud Act ja grundsätzlich besagt Unternehmen die in Amerika geführt werden Sind zur herausgabe von Daten verpflichtet?

00:20:59: Die Frage ist aber auch wer verwendet dass wie und was wäre wenn?

00:21:06: Da würde ich sagen, das muss jedes Unternehmen mit seinem Datensatz und den Daten, mit denen sie arbeiten auch klustern.

00:21:15: Wenn jemand in der Medizinbranche sehr sensiblen Gesundheitsdaten arbeitet dann ist es vielleicht ein anderes Risiko wie wenn jemand jetzt reines Handelsgeschäft hat Stammdaten von Kunden pflegt, ich weiß es nicht.

00:21:31: Dafür sind die Experten da und das sollte man sich in jedem Fall einen entsprechenden Beistand suchen der einen dazu berät.

00:21:39: Und dann hat man natürlich auch die Möglichkeit am Schluss zu sagen hey cool Ich kann das dass oder das oder bin vielleicht in meiner in meiner Sache etwas beschränkt?

00:21:52: Wir hatten ja auch noch so eine kleine Info quasi, wie das mit der Regelmäßigkeit aussieht.

00:22:00: Also wie kann man jetzt zum Beispiel regelmäßig sicherstellen dass man auch eben sicher ist?

00:22:06: Kannst du da noch was dazu sagen.

00:22:08: also wie wird es im Hintergrund?

00:22:09: oder ist es überhaupt ein Hintergrundprozess?

00:22:12: Ja genau!

00:22:16: Zum großen Ganzen... Wenn man seine Aufgabe gemacht hat, man hat ein super tolles Rechenzentrum.

00:22:21: Man hat sich die Fragen gestellt, was passiert?

00:22:25: Elementare Schäden und so weiter... ...man hat eine tolle Firewall, man hatte ein tolles Security-Konzept,... ...man hatte eine Netzsegmentierung, das Zugriffskonzept usw.

00:22:35: Und man hat es einmal gemacht, dann ist es eigentlich auch so ein bisschen wie beim TÜV vielleicht oder sowas.

00:22:41: Dann ist immer die Frage ich sollte es ja regelmäßig überwachen!

00:22:46: Und bei so einer Überwachung ist ja dann auch immer das Thema.

00:22:48: Jetzt habe ich dieses Rechenzentrum total zugenagelt, und irgendeiner lässt halt einen physisch gesehenen Schlüssel unterm Stein legen und sagt Ja, das ist mein Notnagel!

00:23:06: Man baut sich quasi ein supertottes Ding hin und stellt aber fest die Sicherheit hängt davon ab, dass niemand den Stein findet.

00:23:17: Und der liegt am besten an rechts neben dem Schrank?

00:23:19: Klar!

00:23:22: Also bildlich gesprochen... Man muss die Hausaufgaben machen ja aber man sollte sie regelmäßig überwachen.

00:23:30: und Überwachen heißt dann halt auch fremdüberwachen eigentlich.

00:23:35: also man sollte sich mit einem managed service oder mit kontinuierlichen Überwachungsmechanismen auseinandersetzen.

00:23:44: Sollte sich infrage stellen, wie sicher sind meine Systeme wenn ich sie nicht patche?

00:23:48: Solltet ihr regelmäßig patch'n?

00:23:50: Solle vielleicht auch ein Vertragsverhältnis dazu aufbauen und sagen Ich hab da einen Vertrag mit einem Systemhaus das kümmert sich darum Und ich weiß dass es sich darum kümmart und es schickt mir vielleicht doch regelmässig irgendwie in Report und sagt Ich habe mich drum gekümmert sodass einfach im kontinuierlicher Prozess ... etabliert wird.

00:24:09: Aber auch nicht nur das, gell?

00:24:10: Weil wenn du jetzt auch grade sagst also... Wenn ich zum Beispiel für einen Provider entschieden habe, hab' meine Sachen dort liegen!

00:24:17: Ich weiß, meine Daten sind mein Heiligtum und ich krieg dann regelmäßig halt zu Reports oder halt zur Rückmeldungen was denn da alles vor sich geht.

00:24:25: Dann finde ich fühle mich ja eigentlich schon schön aufgerufen.

00:24:28: Also es ist schon diese Vertrauensbasis die dann doch im Hintergrund entsteht.

00:24:33: Genau.

00:24:33: Es gehört unumgänglich dazu.

00:24:36: Ich muss schon dem ... der meine Cloud-Systeme betreibt, auch ein gewisses Vertrauen aussprechen.

00:24:44: Und muss natürlich dann aber auch schauen... ...vertrauen ist gut, Kontrolle ist besser und ich so einen Report bekomme und... Ich nehme den mal und schaue und sage okay gut ihr solltet euch darum kümmern.

00:24:57: habt ihr euch auch drum gekümmert?

00:24:59: Es kommt dann so ein Jawoll haben wir ganz logischerweise gemacht.

00:25:03: also dann bin ich eigentlich da schon zehn Schritte weiter wie die meisten Ja und genau, also das ist schon wichtig.

00:25:12: Sehr schön!

00:25:13: Daniel ich glaube wir sind durch wenn wir nichts mehr haben?

00:25:18: Ne, also grundsätzlich ist mir vielleicht noch eins wichtig Wir betreiben ja auch eine eigene Business-Glaut.

00:25:27: Wer hat's gedacht?

00:25:28: Genau Und daher schöpfe ich ja auch viel meiner Erfahrung.

00:25:32: Wir haben uns aber dazu entschieden breite aufzustellen.

00:25:37: Wir beraten unabhängig, so auch mit und ohne US Cloud Act haben uns aber entschieden das unsere eigene Business Cloud eine souveräne deutsche Cloud ist für den Mittelstand und so lassen wir quasi auch dem Unternehmen unserem Kunden die Möglichkeit auszuwählen welche Variationen welche Geschmacksrichtung es sein darf.

00:25:59: sehr schön hast du schön nochmal zusammengefasst Ja und dementsprechend, wir sind jetzt schon wieder am Ende.

00:26:06: Es ist unglaublich wie schnell die Zeit eigentlich vergeht wenn ich mit dir über die Cloud spreche.

00:26:11: Mensch du sollst auf jeden Fall noch bei ganz vielen anderen Folgen dabei sein.

00:26:14: also wie gesagt auch hier wieder Du bist immer herzlich eingeladen Wenn es gerade darum geht.

00:26:20: das ist dein Fachgebiet man merkt das richtig.

00:26:22: Das macht super Spaß mit dir darüber zu sprechen Und natürlich auch jetzt für die Zuschauer und Zuhörerinnen.

00:26:30: Das war's wieder mit der Folge War super spannend, hoffentlich für euch auch und auch wieder hier gesagt.

00:26:37: Wenn ihr spannende Themen habt dann lasst es uns gerne wissen, abonniert doch gerne den Podcast und verpasst die nächste Folge nicht!

00:26:44: Wir würden uns auf jeden Fall riesig darüber freuen und natürlich auch in diesem Sinne viel Spaß.

00:26:50: sonst noch wir haben ja auch in den letzten Folgen schon über ein paar Checklisten gesprochen sei es über Backup Strategien oder halt auch für den Cloud Ready Check-Up.

00:26:59: Wenn ihr da vielleicht noch Interesse oder gerade einen Wunsch habt, dann schreibt uns gerne einfach unter die Kontaktadresse.

00:27:05: Die wir unten in der Beschreibung verlinkt haben und wie werden euch da auf jeden Fall unterstützen?

00:27:09: Und im Diesen Sinne danke dass ihr dabei seid oder dabei wart und bis zum nächsten Mal wieder!

00:27:15: Ciao.