[l] Ungefähr zwei Dutzend Leute haben mich darauf hingewiesen, dass die DKB offenbar auf ihren "Hackerangriff" reagiert hat, indem sie Cloudflare vorgeschaltet haben.
Das hat ein offensichtliches Problem: Cloudflare kann jetzt den entschlüsselten Traffic sehen, inklusive eure Kontostände und Überweisungen, wenn ihr euch da einloggt und Überweisungen tätigt.
Cloudflare hat in den letzten Jahren vor allem durch Inkompetenz und Ausfälle auf sich aufmerksam gemacht, und darauf, dass sie so verzweifelt "Kunden" brauchten, dass sie ihre Dienste verschenkt haben, um ihren Investoren mehr "Conversions" zeigen zu können. Gewinn haben die glaube ich noch nicht gemacht, das ist wie Uber eine Verbrennungsmaschine für Investorenkohle. In Expertenkreisen werden die gerne als Clownflare verspottet.
Außerdem ist das eine US-Firma. Und es ist bekannt, dass die US-Regierung sehr an Kontoinformationen ausländischer Bürger interessiert sind. Mit solchen illegal erlangten Daten haben sie gegen die Schweiz ein Exempel statuiert, wenn ihr euch erinnert.
Das ist alles ein perfekter Sturm. Wieso sitze ich also seit mehreren Tagen auf der Meldung?
Weil die Lage nicht so einfach ist. Meine Anforderungen an meine Bank sind völlig klar. Ich möchte, dass die höhere Security-Anforderungen haben, dass die ihren Scheiß nicht in der Cloud haben sondern selber hosten, dass das ein ordentliches Rechenzentrum mit ordentlichen Betreibern ist, und mit physischer Security, und dass meine Kontodaten da sicher liegen.
Das Problem bei dem Bild ist, dass Banken keine Hosting-Experten sind. Die können auch nicht mit Geld umgehen, daher werfen Banken üblicherweise mit hanebüchenen Geldsäcken auf das Problem, was aber meiner Beobachtung nach nicht dazu führt, dass die die beste Leistung kriegen, sondern dass sie die krassesten Blender und Abzocker als Dienstleister kriegen.
Dazu kommt, dass das Umfeld ein Morast aus Compliance-Scheiß und einer inkompetenten, freidrehenden Regulierungsbehörde ist, die (aus meiner Warte gesehen) an einem Stück völlig hilflos sinnlose Maßnahmen verhängt. Dazu kommt, dass es je nach Bank und Zusammenschluss (z.B. die Landesbanken oder die Sparkassen) nochmal separate Regularien gibt. Da blickt niemand mehr durch. Am Ende hat man da einen riesigen Apparat, der sich so Passierschein-A38-mäßig selbst mit Alzheimer-Prävention in Form von sinnloser Beschäftigung im Kreis beschäftigt.
Die Situation ist daher regelmäßig so, dass der Scheiß in der Cloud sogar besser implementiert und kompetenter administriert wird.
Wer also wie ich Wert darauf legt, dass seine Bank den Scheiß nicht in die Cloud geschoben hat, der wird wahrscheinlich nicht eine superkompetente Bank kriegen, die ihren Kram im Griff hat, sondern einen Moloch aus Abhängigkeiten, der eigentlich schon vor fünf Jahren in die Cloud gesollt hätte, aber sie haben es nicht geschafft.
Ich verallgemeine hier natürlich schamlos.
Aber eine Frage könnt ihr euch ja mal direkt stellen: Wieso hat die Regulierungsbehörde der DKB nach der Cloudflare-Nummer nicht direkt die Lizenz entzogen? Das kann doch nur heißen, dass sie entweder nichts taugt, weil sie zu lahmarschig ist, oder sie taugt nichts, weil sowas nicht verhindert. Das heißt aber im Umkehrschluss, dass deren Regulierung sicher auch nicht dazu geführt haben wird, dass bei den anderen Banken die Rechenzentren ordentlich betrieben werden.
Denkt mal drüber nach.
Ich weiß aus gut informierter Quelle, dass die Bafin (die Regulierungsbehörde) keine grundsätzlichen Einwände gegen Cloud-Migrationen hat. Also nicht nur Cloudflare vorschalten sondern richtig komplett in die Cloud ziehen. Wozu haben wir eigentlich eine Regulierungsbehörde, wenn die das nicht verhindert?
Anders herum gefragt: Was ist eigentlich der fundamentale Unterschied zwischen Cloud und "eigenem RZ"? Das ist im Allgemeinen nämlich kein eigenes RZ sondern das betreibt irgendein Zulieferer. Ist das nicht dasselbe in grün?
Ja aber Fefe, die sitzen doch in Deutschland und unterliegen unseren strengen Gesetzen und Regulierungen!!1! Ja das haben wir ja gerade live gesehen, wie hilfreich unsere strengen Gesetze und Regulierungen sind. Keine weiteren Fragen.
Ich habe mich über die Jahre mit vielen Kunden über die Cloud unterhalten, und da die hanebüchsten Geschichten gehört. Die Ausrede ist immer dieselbe. Schlimmer als was wir jetzt haben kann das auch nicht sein. Ein Kunde formulierte das mal so: Amazon antwortet wenigstens auf unsere Trouble Tickets.
Insofern, kurz gesagt: Das Gedankenmodell, das euch dazu bringt, die Cloudflare-Nummer negativ zu bewerten, fußt auf völlig falschen Annahmen über die Industrie. Ihr habt zwar völlig recht, dass das Scheiße ist, aber ihr habt ja gar keine Vorstellung davon, wie Scheiße der Normalzustand in der Branche ist. Dabei ist gerade erst live und in Farbe die PSD2-Apokalypse an euch vorbeigescrollt. Aber irgendwie nimmt das niemand als Anlass, mal sein Gedankenmodell zur Bankeninfrastruktur zu überdenken.
#
fefebot #
amazon 
