Shared Responsibility
Datenstrategie in der Cloud
Fortsetzung des Artikels von Teil 1
Strategie statt Planlosigkeit
Sind sich Unternehmen ihrer Verantwortung für die Datensicherheit bewusst, unterscheidet sich die daraus folgende Strategie für die Cloud-Services kaum von On-Premises-Infrastruktur. Diese müssten „ebenso wie im heimischen Rechenzentrum in Form von Maßnahmen rund um Data Protection, Disaster Recovery, Ausfallsicherheit und redundante Systeme umgesetzt werden“, erläutert Kleff. Ein integraler Bestandteil der Datensicherheitsstrategie sei dabei die bewährte 3-2-1-Regel für Backups. Diese besagt, dass Daten dreimal gespeichert werden sollten, auf zwei verschiedenen Medien und davon mindestens einmal an einem anderen Ort.
Diese externe Datensicherung ist vorrangig für eine Wiederherstellung im Katastrophenfall gedacht. Die sogenannte Georedundanz, also die mehrfache Verfügbarkeit an verschiedenen Orten mit einem Mindestabstand von 100 Kilometern, ist ein wichtiger Baustein, um vor einem Datenverlust zu schützen. So habe sich im Zuge des OVH-Brandes gezeigt, „wie wichtig ein Offsite-Back-up ist, vor allem für geschäftskritische Daten“, erklärt Christian Müller. Denn „der Verlust eines ganzen Datacenters ist zwar selten, aber nicht unmöglich“.
Backups sind dabei ein entscheidender Teil einer Sicherheitsstrategie, nicht nur aufgrund möglicher Katastrophen, sondern auch aufgrund häufiger Vorfälle wie Datendiebstahl, technischer Defekte und zunehmender Ransomware-Angriffe. Um bei den verschiedenen Datenspeicherorten – ob in der Cloud oder on-premises – aber den Überblick zu behalten, rät Patrick Englisch zur Implementierung einer einzigen Datensicherungsplattform, „die sich für den gesamten Bestand an Informationen – sowohl im Rechenzentrum als auch in der (öffentlichen) Cloud – einsetzen lässt“. Diese vereinfache den Prozess der Datensicherung durch Konsolidierung.
Backups allein schützen jedoch nicht immer vor Datenverlust. Sie sind lediglich eine Hälfte der Sicherheitsstrategie. Die andere Hälfte ist der Disaster-Recovery-Plan. Dieser kann unter anderem vorsehen, dass Daten in einem zweiten Rechenzentrum asynchron gespiegelt werden, um die Systeme dort bei einem Ausfall wiederherstellen zu können. Manche Disaster-Recovery-Lösungen brauchen für diese Wiederherstellung nur wenige Minuten. Eine andere Vorgehensweise für einen ist eine synchrone Datenspiegelung. Entscheidend bei dieser Wahl ist das Recovery Time Objective (RTO). Das RTO gibt Aufschluss darüber, wie lange eine Anwendung, ein System oder ein Prozess ausfallen kann, ohne dass ein signifikanter Schaden für das Unternehmen entsteht. Ist dieser Zeitraum sehr gering und es handelt sich um kritische Anwendungen, sollten Daten in zwei Rechenzentren synchron vorhanden sein. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat hierfür den Begriff „Betriebsredundanz“ definiert. Demnach darf die Latenz zwischen den beiden Rechenzentren nicht wesentlich höher sein als eine Millisekunde. Das setzt wiederum eine örtliche Nähe der Rechenzentren voraus.
Es sind vielschichtige Anforderungen, die Unternehmen beim Einsatz und Schutz von Cloud-Services beachten müssen. Sich einfach nur auf den entsprechenden Anbieter zu verlassen, reicht aufgrund der geteilten Verantwortung nicht aus. Christian Müller ist daher der fest davon überzeugt, dass „ein Cloud-Projekt ohne einen getesteten Back-up- und Restore-Plan ein unvollständiges Projekt“ ist.
- Datenstrategie in der Cloud
- Strategie statt Planlosigkeit
Lesen Sie mehr zum Thema
