NASA: In die Cloud geschubst
Von den Bundesbehörden in die Cloud gedrängt und ohne richtige Cloud-Strategie, schob die NASA Daten in die Wolke - nicht abgesichert und teils ohne Wissen des zuständigen Büros. Bei den Bundesbehörden setzt man aber weiterhin auf die Cloud.
Bei der Absicherung und Nutzung von Cloud-Angeboten hat die NASA gepatzt. Das geht aus einem Bericht des Generalinspektors der Weltraumbehörde zur Einschätzung der Cloud-Nutzung hervor. Die NASA war zwar dazu angehalten worden, mehr auf Cloud-Systeme zu setzen, um beispielsweise Kosten zu reduzieren, allerdings versäumte die Weltraumbehörde es, die Sicherheit der Daten vertraglich zu schützen. Innerhalb der NASA hätte es überdies Kommunikationsprobleme gegeben. So gab es zwar einen verantwortlichen Chief Information Officer (CIO), dieser wusste aber etwa nichts davon, dass zwei "moderate-impact" Systeme rund zwei Jahre in die Cloud gezogen waren, ohne, dass dies autorisiert worden wäre.
Wie es in dem Bericht heißt, habe das Büro des CIO keine ausreichenden Befugnisse für den Überblick gehabt. Zudem sei es zu langsam gewesen, eine behördenweite Cloud-Strategie zu etablieren oder Vorschriften für das Abschließen von Verträge zu sicheren Cloud-Lösungen zu verfassen. Die Voraussetzungen für sicheres Cloud-Computing seien nicht ausreichend kommuniziert worden. So wussten unter anderem nur drei von fünfzehn Zentren der NASA, dass sie einen Umzug in die Cloud mit dem Büro des CIO absprechen und von ihm autorisieren lassen müssten. Zudem sollte das Cloud-Computing dem Federal Risk Authorization Management Program (FedRAMP) gerecht werden - einem Programm für sichere und effiziente Cloud-Lösungen. Allerdings sollen mindestens fünf Verträge abgeschlossen worden sein, die die Sicherheitsbestimmungen des FedRAMP nicht erfüllt hätten.
Dem gegenüber stand der staatliche Auftrag, dass die NASA mehr auf Cloud-Dienste setzen sollte. Das Office of Management and Budget (OMB), eine Bundesbehörde, die unter anderem die Umsetzung von Richtlinien in anderen Behörden überwacht, vertritt eine "Cloud First"-Strategie. Wenn IT-Käufe getätigt werden, sollten auch sichere, zuverlässige und kosten-effiziente Cloud-Lösungen in Betracht gezogen werden. Dieser Maßgabe folgend, wurden Behörden vom OMB angeleitet, mindestens einen IT-Service bis Dezember 2011 in die Cloud zu befördern, und zwei weitere bis Juni 2012.
Die NASA hatte allerdings auch mit eigenen Cloud-Lösungen kein Glück. Im Jahr 2009 hatte die Weltraumbehörde das eigene Cloud-Datencenter "Nebula" gegründet. Dieses wurde allerdings nach einer fünfmonatigen Analyse im Jahr 2012 abgeschaltet. Nebula besaß nur etwa 15.000 CPUs; private Anbieter wie etwa Microsoft und Amazon konnten hingegen mit über 300.000 aufwarten. Auch im Support schnitten sie besser ab.
Dem Bericht zufolge sollen die Bundesbehörden nun ab Juni 2014 nur noch nach Vorschriften des FedRAMP genehmigte Clouds nutzen. Demnach müsse die NASA sicherstellen, dass bei den privaten Anbietern die Sicherheit und die Performance stimmen. Als Beispiel wird unter anderem der West Prime Vertrag herangezogen, der in 2012 geschlossen wurde und die Vorschriften des FedRAMP erfüllt habe.
Obwohl der Bericht ein bisher verheerendes Zeugnis ausstellt, sollen mehr Behörden und auch die NASA weiterhin auf Cloud-Computing setzen. Wie der Bericht preis gibt, liegt der IT-Etat der NASA bei 1.5 Milliarden US-Dollar. Durch die Nutzung von Cloud-Lösungen habe die NASA zum Zeitpunkt der Analyse "weniger als 1 Prozent dieser Summe, circa zehn Millionen US-Dollar", für Cloud-computing ausgegeben. Dabei könnten, so der Bericht, ein Großteil der NASA-Daten in die Cloud ziehen und so die "IT-Geldmittel effektiv genutzt werden". (kbe)