Cloud-Services für Backup und Disaster Recovery
Datensicherung in der Wolke
Stetig wachsende Datenvolumina machen flexible Speichermethoden und Sicherungen gegen Datenverlust notwendig. Datenverlust im großen Stil nimmt einem Unternehmen die Existenzgrundlage. Detailgetreue und schnelle Wiederherstellung von Firmendaten ist unter Umständen Voraussetzung für den Fortbestand des Unternehmens. Deshalb fordern Wirtschaftsprüfer und regulatorische Instanzen mittlerweile vermehrt die externe, geografisch vom Hauptstandort getrennte Datensicherung. Hier kann die Cloud einen Lösungsweg bieten.Ein Unternehmen ist für die sichere Aufbewahrung seiner Daten verantwortlich und muss diese bei Bedarf, zum Beispiel bei Steuerprüfungen, jederzeit zur Verfügung stellen. Die deutsche Rechtsprechung sieht hier die Verantwortung klar beim Unternehmen, unabhängig von höherer Gewalt oder Fremdverschulden muss es seiner Vorlagepflicht nachkommen. Für die meisten Unternehmen ist dabei allerdings der Aufbau eines eigenen zweiten, räumlich getrennten Rechenzentrums keine Option: Ein zweites Rechenzentrum ist kostenintensiv und bindet zu viele Ressourcen. Dadurch ist Datensicherung in der Cloud ein gefragtes Thema. Voraussetzung dafür und somit für eine optimale Datenwiederherstellung im Katastrophenfall ist ein modernes Backup-Rechenzentrum mit einer skalierbaren, leistungsfähigen und stabilen Netzanbindung. Damit ein Dienstleister die passende, maßgeschneiderte Cloud-Lösung anbieten kann, sollte das Unternehmen im Vorfeld seine Anforderungen formulieren. Dazu sollte es seine Daten und Prozesse in unterschiedliche Prioritätsstufen klassifizieren und eruieren, welche Datenmengen täglich zu übermitteln sind. Dies ist wichtig für die Definition der Speicherintervalle und die Berechnung der Kosten. Vor allem aber ist es unentbehrlich für die Reihenfolge der Wiederherstellung von Daten im Katastrophenfall. Die erarbeiteten Anforderungen lassen sich später in den Vertrag und das Notfallhandbuch übernehmen. Die Auswahl eines Dienstleisters für die Cloud-Lösung gilt es von vielen Seiten zu beleuchten. Sicherheit in allen Bereichen hat höchste Priorität. Dabei spielt die rechtliche Komponente eine wichtige Rolle, ebenso der Speicherort, die verwendete Technik und nicht zuletzt das Vertrauen in den Dienstleister, denn auch er hat Zugriff auf die Firmendaten. Transparenz der Handlungen, Zuverlässigkeit sowie eine hohe Datenverfügbarkeit sind Entscheidungskriterien, die mit den Kosten in Relation zu setzen sind. Rechtliche Entscheidungskriterien Im Hinblick auf den rechtlichen Hintergrund ist der Speicherort der Daten das wichtigste Entscheidungskriterium. Ein Unternehmen mit Sitz in Deutschland muss den deutschen Datenschutzbestimmungen mit ihren hohen Anforderungen entsprechen. International und auch europaweit ist die Gesetzgebung hier sehr unterschiedlich. Ein Vertrag mit einem ausländischen Dienstleister und Speicherort im Ausland sollte also unbedingt an deutsches Recht angepasst werden. Das stellt sich häufig als sehr schwierig heraus. Der Aufbewahrungsort der Daten muss klar definiert und bekannt sein, und das Unternehmen muss jederzeit über seine Daten verfügen können. Dies fordert nicht nur das Bundesdatenschutzgesetz (BDSG) für personenbezogene Daten, sondern es gilt ebenfalls für die Bereiche der Revision und Steuerprüfung (GoBS/GDPdU). Auch bezüglich des Gerichtsstands spielt der Speicherort eine Rolle, denn nach deutschem Recht ist Gerichtsstand der Ort, an dem die Daten verarbeitet und gespeichert werden. Losgelöst von gesetzlichen Anforderungen ist eine räumliche Nähe des Speicherorts unter vielerlei anderen Aspekten empfehlenswert. Zum einen sind die Daten im K-Fall wesentlich schneller wieder verfügbar, wenn sich der Speicherort in Deutschland befindet, denn dann muss der Datentransport bei größeren Datenmengen über mobile Speicher erfolgen. Auch bei der Erstspeicherung im Ziel-RZ spielt dies eine Rolle. Zum anderen sind rechtlich angeratene externe Notfallübungen in der Nähe kostengünstiger und einfacher möglich. Diese sind zwar nicht gesetzlich vorgeschrieben, es gilt allerdings als grob fahrlässig, keine Notfallübungen durchzuführen. Eine weitere Betrachtungsweise des Speicherorts betrifft seine Sicherheitszertifizierung. Wo liegen die Unternehmensdaten und wie ist dieser Ort geschützt? Empfehlenswert ist die Speicherung in einem deutschen Hochsicherheits-Rechenzentrum, das nach TIER-III-Standard klassifiziert ist oder über eine höherwertige Klassifizierung verfügt. Die Einstufung nach TIER orientiert sich an Redundanzen, Ausfallzeiten und Verfügbarkeiten, um zu garantieren, dass während Wartungsarbeiten oder bei Ausfällen keine Beeinträchtigungen entstehen. Technische Entscheidungskriterien Ein weiteres sicherheitsrelevantes Entscheidungskriterium betrifft die verwendete Technik des Cloud-Service-Providers. Dazu zählt neben der allgemein eingesetzten Hard- und Software der Einsatz einer revisionssicheren Protokolleinheit für privilegierte Zugriffe. Zum einen müssen Technik und Prozesse des Dienstleisters ausgereift sein und höchsten Sicherheitsansprüchen genügen. Zum anderen gilt es zu überlegen, Technik aus Ländern mit möglichst geringen Geheimdienstaktivitäten einzusetzen, um die Angriffsfläche zu minimieren. Die Nachverfolgbarkeit von Zugriffen auf die Hardware-Infrastruktur der Cloud ist ein wesentlicher Faktor, wenn man Unternehmensdaten außer Haus gibt. Hier geht es vor allem um den Schutz vor Sabotage und die Absicherung gegen einfache menschliche Fehler. Deshalb müssen die Zugriffe intern wie extern vollständig nachvollziehbar sein. Alle Datenzugriffe müssen transparent erfolgen, und es sollte keine Möglichkeit geben, mit den Daten unbeobachtet zu arbeiten. Wichtig ist außerdem die administrative Funktionstrennung von primärem und Backup-Storage, um Sabotage mit dem Ziel des Datenverlusts möglichst auszuschließen. Ebenso nützlich ist ein eigens eingerichtetes Portal, auf das der Kunde und der Dienstleister gleichermaßen Zugriff haben, um die durchgeführten Prozesse prüfen zu können. Mandantenfähigkeit und damit die klare Trennung der Daten von denjenigen der Mitnutzer im Speicher ist ein weiterer wichtiger Punkt. Verschiedene gängige Lösungen sind am Markt vorhanden, die Auswahl einer von Wirtschaftsprüfern zertifizierten Software ist ratsam. Trotzdem sollte der Speicherplatz skalierbar und dynamisch an die tatsächlich benötigte Leistung anzupassen sein. Auch hier muss das Unternehmen unterscheiden, ob es sich für eine individuell angepasste Leistung entscheidet oder den Weg des Pauschalangebots wählt. Übungen Ein weiteres sicherheitsrelevantes Kriterium betrifft die K-Fall-Übungen. Wirtschaftsprüfer fordern jährliche Notfalltests ein, um höchste Sicherheit für Disaster Recovery zu gewährleisten. Bei größeren Veränderungen in IT-Prozessen und im Rechenzentrum empfehlen sich außerordentliche Disaster-Recovery-Tests. Auch das Erstellen eines Notfallhand-buchs ist überaus wichtig. Im Idealfall entwickelt das Unternehmen dieses gemeinsam mit dem Cloud-Dienstleister im Rahmen eines Workshops. Trotz aller technischen und automatisierten Sicherheit spielen Menschen auch beim Backup eine wichtige Rolle. Dabei geht es weniger um die Frage der Sabotage oder menschlicher Fehler. Dieses Risiko wird, wenn man die oben genannten technischen Sicherheiten übernimmt, weitgehend ausgeschaltet. Vielmehr steht die Frage des Vertrauens in den Service-Provider im Vordergrund. Es ist von wesentlichem Vorteil, wenn dieser das Unternehmen mit gleichbleibenden Ansprechpartnern kompetent bei der Planung und Durchführung einer zukunftsfähigen Cloud-Lösung unterstützt. Die Beratung sollte sich im Idealfall nicht auf Backup- und Disaster-Recovery-Themen beschränken, sondern sich über die vollständige Umsetzung der unternehmenseigenen Cloud Roadmap erstrecken. Passt das Angebot des Service Providers zum eigenen Unternehmen, öffnen sich damit alle Möglichkeiten für die weitere Auslagerung Service-intensiver IT-Tätigkeiten in die Cloud. Angesichts ständig wachsender Datenmengen sorgt eine langfristig angelegte Cloud-Lösung dafür, dass sich ein Unternehmen auf seine Kernkompetenzen konzentrieren kann.
Lesen Sie mehr zum Thema
