Feuerfest

Dieser Text war ursprünglich ein spontan geschriebener Beitrag auf meinem LinkedIn-Profil. Zudem wurde er in einem emotional sehr engagierten (lies: aufgeregten) Zustand verfasst. Für das Blog habe ich ihn etwas überarbeitet und vor allem die zahlreichen Tippfehler beseitigt.

Die digitale Souveränität ist derzeit in aller Munde. Als Nerd muss ich da schon etwas hochnäsig fragen: "Ach, endlich mal? Wieso nicht schon vor 20 Jahren? Spätestens 9/11 bzw. die daraus resultierenden Gesetze, spätestens aber die Snowden-Enthüllungen hätten ein Weckruf sein müssen."
Na ja, immerhin hat uns die Kanzlerin der Herzen dafür einen memwürdigen Spruch geschenkt. #Neuland

Aber zurück zum Thema. In letzter Zeit habe ich viel gehört. Viel Business-BlaBla und, pardon, viel Schwachsinn.

Entzückt war ich, als ein Kollege von einer Microsoft-Veranstaltung berichtete. Microsoft hat angekündigt, sein Geschäft in Europa nun separat zu führen. Wohl auch mit extra Firmen, die in Europa registriert sind, etc. Das Motto lautet: "Falls es hart auf hart kommt, könnten wir das Europageschäft komplett vom US-Mutterkonzern abspalten."

Klingt toll. Ich habe es aber nicht so richtig geglaubt. So etwas macht ein Tech-Gigant nicht einfach so. Und selbst wenn es rechtlich machbar wäre. Wer betreibt es dann? Aktuell fällt die IT-Branche ja durch Massenentlassungen auf. Es ist schwer vorstellbar, dass Microsoft dann mehrere hundert Leute in Deutschland anstellt, um die Sovereign Cloud und alles Rechtliche drumherum zu managen. Einfach nur, um für den Fall der Fälle die nötige Manpower zu haben. Denn Firmen im jeweiligen Land zu registrieren ist das eine, aber das nötige Know-how vor Ort zu haben, um die Sovereign Cloud dann auch betreiben zu können, das andere.

Microsoft war derweil mit seiner Microsoft Sovereign Cloud am Markt unterwegs und hat erzählt, wie toll alles ist. Ich hingegen habe nur ein handelsübliches Azure gesehen. Dafür jetzt mit blauem Schleifchen dran. 🥰

Und irgendwie gehen alle auf einmal davon aus: "Wenn wir unsere Daten da reintun, dann kommt der böse, fiese Trump nicht dran! Haha!"

Nein, sorry, das gehört eigentlich zusammen. Ja. In der Praxis sind Betrieb und Datenzugriff aber jeweils separat auf Souveränität zu überprüfen. Gerade bei Cloudanbietern.

Dass dem nicht so ist, hat Microsoft höchstpersönlich in Form von Anton Carniaux vor dem französischen Parlament bestätigt.

Auf die Frage, ob er bzw. Microsoft garantieren könne, dass die von Microsoft gehosteten Daten französischer Bürger niemals ohne die Zustimmung der französischen Behörden an ausländische Behörden weitergegeben würden, antwortete er: "Nein, das kann ich nicht garantieren."
Quelle: https://www.senat.fr/rap/r24-830-1/r24-830-11.pdf, Seite 23.

Aber ist es nicht genau das, was alle mit Souveränität erreichen wollen? Unabhängigkeit und Schutz des eigenen Technologiestacks und der Daten vor fremder – und politischer – Einflussnahme?

Was nützt mir also eine Microsoft Sovereign Cloud, wenn dort die exakt gleichen rechtlichen Bedingungen gelten wie bei der "Non-Sovereign Cloud"?

Verstehe ich da etwas nicht? Oder sehe ich das zu engstirnig/idealistisch?

Ich freue mich über Austausch.

Und bitte nicht vergessen: Selbst wenn Microsoft eine vollständig von den USA abgekoppelte "Sovereign EU Cloud" betreibt. Wo alle nötigen Systeme in der EU stehen. Und alle nötigen Mitarbeiter in der EU arbeiten. Dann kommt immer noch ein Großteil der Software aus den USA. Und was nützt eine souveräne Cloud, wenn man keine Sicherheitsupdates mehr erhält?

Insofern sollte man zuerst immer klären: "Wie unabhängig können wir überhaupt sein?" Und "Wie weit wollen wir unabhängig sein?" Von diesem Punkt aus sollten dann die Planungen starten.
Oder ... Einfach Business-BlaBla machen. Ist weniger anstrengend und weitaus kosteneffizienter.

EDIT: Golem hat just heute einen interessanten Artikel dazu veröffentlich wie man im eigenen Unternehmen vorgehen kann um digital Unabhängiger zu werden: Digitale Souveränität: Argumentationshilfe für resiliente IT-Entscheidungen

Photo by Paula: https://www.pexels.com/photo/grey-metal-lockers-is-open-170453/

Recently I got into a discussion about cloud password managers like LastPass, 1Password and the like. People argued that they were great because they offer flexibility, synchronisation, and enable users to automatically choose secure passwords. And while I concurred to these arguments, I still took the position of the opposite side.

I am strongly against any form of online/cloud/managed password managers where I (or an entity I trust) don't control everything in a transparent way. Why?

First let me make my, the what I call, "the conspiracy theory argument": It's the least important argument for me, but is suited just right for paving the way to my main arguments. Most companies are US based. National security letters are a fact. And companies like Lavabit and, presumably, the Open Source Drive/File encryption project Truecrypt had their fair share of experience with them. The US and especially the NSA shows that it has no sane moral limits on what type of data to access, accumulate, and analyse. Would they stop at companies offering password managers? I don't think so. Others take the stance: "Why should they send a NSL to LastPass, if they can access the data they are after directly through others means?" but enough on that point.

My main argument is the following: "If I can't trust them, why should I use them?" A cloud password manager is a blackbox. I put my credentials in, hit save, and that's it. What happens in the background? Is the data stored secure? Are the algorithms used still considered secure? Are there no unencrypted backup copies? How does their security concept look like? Are the servers patched regularly? Am I being informed to re-generate my passwords in case the password-generation algorithm had a flaw and was, for example, tied to the systems date and time (wired.com)? I can't know.

Just search for the name of your cloud password provider and add the lovely word "breach". They were already dozens of it for all online password managers out there. Despite people ironically choosing or recommending them as to be "more secure".

But more secure in comparison to what?

You don't have to use an online/cloud password manager. A locally installed password manager like KeePass works the same way.

"But it doesn't synchronize automatically with all my devices!" - Ah, so it's comfort you are after? Yeah, well that is the common trade-off you have to choose: Comfort, or security. However, you do know KeePass has a build in sync which allows to sync two KeePass database files? I use that and it works fine.

Or I just copy over the file from my Linux workstation onto my Smartphone when I know that I had added no new entry on my smartphone. There are enough tools to allow the accessing of Windows/NFS/whatever file shares from Smartphones. Even via SSH utilizing SCP.

Additionally online password managers with sync-features who do allow to host your own instance do exist! Take for example Bitwarden: https://bitwarden.com/help/install-on-premise-linux/
This would give you the security of hosting it yourself and automatic sync-feature so many people desire. If not made accessable to the internet, but online in your local network you can still sync your smartphone, without opening your crucial application to the biggest security risk in human history: The internet.

Sure, not everybody has the knowledge to selfhost such an application. That's a fair point which Jürgen Geuter aka tante pointed out years ago in his writing "Host your own is cynical". But that's exactly the reason why I make this blogpost about me and my viewpoint. I have the knowledge, and I constantly observe broken promises by the very companies who gave them. And yet I still use KeePass. As I like the simplicity.

That's why I'm on #TeamKeePassUltras. An OpenSource application available for all operating systems out there. A simple file, a key, a passphrase and that's it.