Shared Responsibility
Datenstrategie in der Cloud
Datenverlust kann schnell eintreten, ob durch menschliche oder technische Fehler. Das gilt auch für Cloud-Strukturen, wie die Vergangenheit gezeigt hat. Vielen Unternehmen ist aber nicht bewusst, wer im Worst Case die Verantwortung trägt und was sie für mehr Datensicherheit in der Cloud tun können.
Vor einem Jahr, am 10. März 2021, brach ein Brand auf dem Gelände des Cloud-Anbieters OVH Cloud im französischen Straßburg aus. Das Feuer zerstörte das Rechenzentrum SBG-2 vollständig sowie vier von zwölf Räumen des benachbarten SBG-1. Zudem mussten die Rechenzentren SBG-3 und SBG-4 vorrübergehend abgeschaltet werden. Die Folge: Zahlreiche Webseiten und Dienste der OVH-Nutzer waren nur eingeschränkt oder gar nicht mehr nutzbar, darunter beispielsweise Webseiten der französischen Regierung sowie Online-Auftritte vieler Städte und Kommunen. Und selbst in Deutschland wurden die Folgen des Vorfalls deutlich: So konnten Nutzer zum Beispiel die Webseite des Bundesliga-Zweitligisten Fortuna Düsseldorf nicht mehr erreichen.
Insgesamt standen im Rechenzentrums-Cluster in Straßburg rund 100.000 Server, etwa 15.000 sollen durch den Brand zerstört worden sein. Und der Datenverlust, der daraus resultierte, war erheblich. Denn nicht jedes Service-Paket hat laut Medienberichten auch ein Backup- und Disaster Recovery-Angebot enthalten. Einige Daten ließen sich daher nicht wiederherstellen. So schwerwiegend die Folgen des Brandes aber waren, so entscheidend sind die Lehren aus dem Vorfall: Datensicherheit ist auch in der Cloud nicht automatisch gewährleistet und Unternehmen sollten genau prüfen, wer im Worst Case die Verantwortung trägt.
Geteilte Verantwortung ist halbe Verantwortung
Im Nachgang des Brands wurden Stimmen von Cloud-Kritikern laut, die sich bestätigt fühlten und die Sicherheit der Cloud infrage stellten. Doch nicht immer liegt die Verantwortung allein in den Händen der Cloud-Provider. Stattdessen greift das Konzept der „Shared Responsibility“, also eine Aufteilung der Verantwortlichkeit über mehrere Parteien hinweg. Die Anbieter von Cloud-Diensten sind dabei vor allem für die Infrastruktur selbst verantwortlich, inklusive aller Netzwerkkomponenten und der Software. Auch aktuelle Sicherheitsstandards im Rechenzentrum sowie ein aktueller Stand der Technik liegen in diesem Aufgabenbereich. Die Verantwortung der Nutzer beginnt indessen meistens beim Schutz von über die Cloud betriebenen oder gespeicherten Anwendungen und Daten. Dass sich die Verantwortung für Datensicherheit im Cloud-Rechenzentrum aufteilt, ist allerdings nicht jedem bewusst. So zeigt eine Studie des Datensicherheits-Anbieters StorageCraft aus dem Jahr 2021, dass nahezu die Hälfte (44 Prozent) der befragten Entscheider davon ausgeht, dass Schutz und Wiederherstellung von Daten in Public Clouds alleinig die Aufgabe des Cloud-Anbieters seien. Und unter deutschen Entscheidern waren es sogar 54 Prozent.
Für Christian Müller, Geschäftsführer des IT-Dienstleisters Cronon, steht fest, dass Nutzer daher besser über Datensicherheit in der Cloud aufgeklärt werden müssen: „Beim Datenschutz sind sich viele Unternehmen inzwischen ihrer Verantwortung bewusst und überlegen sich genau, wo sie ihre Daten speichern.“ Bei der Datensicherheit gebe es aber immer noch die Tendenz, die Verantwortung stillschweigend an den Provider abzugeben oder gar anzunehmen, die Cloud würde zum Beispiel von der Notwendigkeit eines Back-ups befreien. „Diesem Eindruck begegnen manche Cloud-Provider eventuell nicht deutlich genug.“ Dabei ist diese Aufgabe essenziell, sind es doch nur selten Katastrophenfälle, die zu Datenverlust führen können. Viel häufiger ist dieser zurückzuführen „auf Faktoren, die die Cloud-Hosts den Nutzern zuschreiben können, wie menschliches Verhalten und Versagen oder Ransomware“, wie Patrick Englisch, Head of Technology DACH bei Veritas Technologies, feststellt.
Es ist daher unerlässlich, dass sich die Anwenderunternehmen über ihre Zuständigkeit in der Cloud im Klaren sind. Dabei gilt es wiederum, „die Service-Vereinbarungen mit Dienstleistern wie etwa Cloud-Anbietern detailliert auf Verpflichtungen wie Backups und Recovery zu prüfen“, sagt Marc Kleff, Director Solutions Engineering bei Netapp. Denn die Sicherung von Betriebssystemen, Plattformen und Daten liege – wenn nicht anders mit dem Provider vereinbart – in der Verantwortung der Nutzer. Vor allem, wenn Cloud-Provider keine entsprechenden Lösungen im Portfolio haben, sollten Nutzer davon ausgehen, dass sie für die Datensicherheit zuständig sind.
- Datenstrategie in der Cloud
- Strategie statt Planlosigkeit
Lesen Sie mehr zum Thema
