4 Tipps für ein sicheres Cloud-Archiv
Im Frühjahr 2021 hielten tausende Unternehmen den Atem an: Beim größten Cloud-Anbieter Europas erscholl der Ruf: „Es brennt!“ Von den vier Rechenzentren des französischen Unternehmens in Straßburg ging ein Datenzentrum ganz in Flammen auf, eines zur Hälfte, die anderen beiden wurden aus Sicherheitsgründen heruntergefahren. Die Folgen dramatisch: Millionen von Webseiten waren vorübergehend nicht erreichbar. Ein Teil der Daten unwiederbringlich vernichtet.
Digitale Geschäftsprozesse sicher in der Cloud
Klar, ein Großbrand im Datencenter ist die Ausnahme. Trotzdem zeigt das Beispiel des OVH-Brands, dass Datensicherheit in der Cloud deutlich mehr beinhaltet als „nur“ Cyberschutz, Datenleaks oder Hackerangriffe. Während der Brandschutz meist noch durch die Gebäudeplanung abgedeckt ist, fallen andere Maßnahmen rund um physikalische IT-Sicherheit, Backup und Compliance in vielen Unternehmen eher mangelhaft aus.
Das Thema Sicherheit bereitet also nach wie vor Sorgen, wenn Unternehmen die Archivierung von Daten in der Cloud in Angriff nehmen. Vor allem wenn es um steuerrelevante und aufbewahrungspflichtige Dokumente sowie personenbezogene Daten geht, sind die Bedenken groß. Wie können Unternehmen sichergehen, dass ihre Daten nicht in Rauch aufgehen? Um es vorwegzunehmen: Die Cloud ist nicht nur sicher. Das Ende der Papierablage und der Wandel zum digitalen Dokumentenmanagement im Cloud-Archiv bringt zudem wichtige Vorteile. Dazu gehören die zeitsparende automatisierte Übertragung, revisionssichere und transparente Prozesse oder ein schneller und direkter Datenzugriff. Im Klartext heißt das: Augen auf bei der Partnerwahl. Wer bei der Auswahl einer Lösung für das Dokumentenmanagement nur auf die Kosten achtet, ist schlecht beraten. Bei der Wahl des Cloud-Partners sind in Sachen Sicherheit und Datenschutz einige Faktoren in Betracht zu ziehen. Die Voraussetzung für sichere Dokumenten- und Datenservices in der Cloud: Physische IT-Sicherheit, eine zuverlässige Datensicherung (Backup), Zertifikate sowie ein Rundum-Sorglos-Service-Paket des Anbieters.
Tipp 1 – Ganz schön sicher: Der Standort
Zuerst einmal das Offensichtliche: Der Zugang zum Gelände des Cloud-Partners sollte abgesichert sein. Eine Umzäunung ist genauso Pflicht wie Sicherheitspersonal rund um die Uhr. Personen, die Zutritt begehren, müssen angemeldet sein und sich ausweisen können. Was selbstverständlich klingt, sorgt in der Praxis immer wieder für Überraschungen. Wer denkt zum Beispiel beim Thema Sicherheit im Cloud-Archiv an die Besuchertoilette? Ein Pentester verschaffte sich im Juli 2022 Zugang in ein gesichertes Rechenzentrum – ganz einfach über eine öffentliche Toilette, die er zuvor im Gebäudeplan ausfindig gemacht hatte.
Die nächste Frage: Wie ist der Brandschutz des Rechenzentrums aufgebaut, in dem die Dokumentenmanagement-Lösung gehostet wird? Hier gibt es verschiedene Ansätze. Manche Serverräume sind so ausgestattet, dass ein Brand gar nicht mehr entstehen kann, zum Beispiel durch einen permanent niedrigen Sauerstoffgehalt in der Luft. Andere Serverräume verfügen über ein Brand-Früherkennungs-System. Bei einem ausgelösten Alarm wird der Raum mit Gas geflutet, um den Brand sofort im Keim zu ersticken. Idealerweise werden Serverdaten beim Hosting-Anbieter über verschiedene Brandschutzzonen hinweg doppelt gespeichert. Noch sicherer ist die Aufbewahrung der Serverdaten in verschiedenen Gebäuden mit ausreichend räumlicher Trennung.
Tipp 2 – Die beste Absicherung: Das Backup
Das A und O der Absicherung: Ein Cloud-Backup. Dies stellt jeder Anbieter zur Verfügung und sollte beim Auswahlprozess ganz oben bei den Prioritäten stehen. Nur durch ein entsprechendes Backup-System sind die auf den Servern gespeicherten Daten wirklich sicher. Viele Anbieter testen jedoch nie, ob Unternehmen ihre Daten im Notfall zurückbekommen. Beispiel: Das klassische Tape-Backup. Geschieht die Überschreibung der Tapes schon zum 160sten Mal, kann es beim Auslesen der Tapes und der Datenrekonstruierung zu Schwierigkeiten kommen. Service Level Agreements (SLA) decken solche Fälle in der Regel ab. Die Gewährleistung einer Serververfügbarkeit und Datensicherheit von 99,9 Prozent hört sich zunächst nicht schlecht an – ist aber wertlos, wenn die Unternehmensdaten am Schluss trotzdem weg sind.
Entscheidend ist daher ein verlässliches Backup, ein System mit einem vollständigen Datenbestand. In Unternehmen kommen völlig unterschiedliche Systeme zum Einsatz und die verschiedensten Objektdaten fallen an. Zum Beispiel erfolgt die Referenzierung von PDF- oder Word-Dokumenten aus unterschiedlichen Datenbanken heraus. Eine logisch sinnvolle Überführung bei der Datensicherung garantiert im Notfall eine vernünftige Wiederherstellung dieser unterschiedlichen Datentöpfe. Ein gutes Backup enthält auch Mechanismen, um Datenveränderungen zu erkennen. Damit wird sichergestellt, dass die Datenbank noch in Betrieb oder das Word-Dokument in unveränderter Form auch nach Jahren noch vorhanden ist.
Tipp3 – Zertifikate: Hilft viel wirklich viel?
Viele Rechenzentrumsbetreiber verweisen auf ihre zahlreichen Zertifikate. Nicht immer ist eine Zertifizierung jedoch ein Garant für eine vernünftige Leistung. Ja, Zertifikate sind wichtig. Sie zeigen beispielsweise, dass der Rechenzentrumsbetreiber einen überprüften Brandschutz hat, die Stromversorgung sauber ausgelegt ist und die Dieselaggregate im Notfall funktionstüchtig sind. Dennoch sollten Unternehmen genau prüfen, ob sich das vom Anbieter angepriesene Zertifikat auch tatsächlich auf den gewünschten Service oder auf einen ganz anderen Bereich bezieht.
Ein wichtiger Standard in Sachen Daten- und Cloud-Sicherheit ist ISO 27001. Dieses Zertifikat betrifft das Risikomanagement: Hat der Anbieter mögliche Risiken identifiziert und stimmt die Dokumentation für den Notfall? Wenn ein Mitarbeiter erkrankt, muss dessen Know-how sauber dokumentiert und die Vertretung geregelt sein. Wenn ein Server kaputt geht oder es brennt, müssen die einzuleitenden Maßnahmen ebenfalls bekannt sein. Risikomanagement heißt, der Anbieter hat das Risiko identifiziert und Maßnahmen ergriffen, die im Notfall das Risiko mitigieren. Das bedeutet, ein Risiko wird verkleinert oder komplett ausgeschaltet, zum Beispiel durch Redundanzen oder durch saubere Prozesse. Durch solche Vorbereitungen werden Servicelevel beschrieben und erbracht.
Die Compliance ist also wichtig und zeigt, wie ein Rechenzentrumsanbieter intern arbeitet. Kunden sollten sich trotzdem immer fragen, was diese Zertifizierungen tatsächlich bringen und wie es im Ernstfall mit der Lösungskompetenz und Flexibilität von Cloud-Providern aussieht. Nicht alle Probleme sind im Vorfeld definiert. Im Krisenfall zeigt sich, ob der Provider versteht, wie das System funktioniert und vor allem die Auswirkungen auf den Kunden. SLAs und die Einhaltung branchenweiter Standards gehören zu den Mindestanforderungen. Echte Datensicherheit setzt jedoch darüber hinaus smarte Workarounds voraus, die zeitnah und effektiv zur Verfügung stehen.
Tipp 4 – Was ist besser: Infrastructure as a Service oder Managed Service?
Infrastructure as a Service (IaaS) ist in aller Munde. Jeder Cloud-Provider bietet virtuelle Maschinen oder Services zur Miete an. Bei IaaS kümmert sich ein Unternehmen nicht mehr um die physikalischen Server, um eigene Anwendungen zu betreiben, sondern mietet diesen Service. Das entbindet das Unternehmen natürlich nicht von der Verantwortung.
Vielen Unternehmen fehlt ein tiefergehendes Wissen zum selbständigen Aufbau und Betrieb einer umfassenden virtuellen IT-Infrastruktur. Sie buchen deshalb Lösungen gleich als Managed Service. Bei diesem Service entwickelt der Provider interaktiv mit seinem Kunden ein Konzept zum Aufbau der Infrastruktur. Der Provider erhält einen gewissen Einblick in die Anwendungen eines Unternehmens, um die Infrastruktur daran anzupassen. Das Unternehmen kennt seine Software in und auswendig, während der Provider wiederum weiß, wie schnell zum Beispiel seine Datenspeicher und Netzwerke sind. So wird gemeinsam die optimale Lösung gefunden. Dazu zählen nicht nur technische, sondern auch finanzielle Aspekte. Technologisch immer auf dem neuesten Stand zu sein, muss auch bezahlbar bleiben. Das gehört bei einem Managed Service mit dazu.
Sicher mit entsprechenden Sicherheiten: Auf in die Cloud
Ein Datenverlust sollte nicht unterschätzt werden. Was für große Unternehmen bereits äußerst schmerzhaft ist, kann kleine und mittelständische Unternehmen innerhalb kürzester Zeit in die Knie zwingen. In diesem Sinne ist und bleibt die Frage nach Sicherheit in der Cloud berechtigt. Die gute Nachricht: Smarte Lösungen für Dokumentenmanagement und Archivierung bieten heute bereits umfassende Maßnahmen. Dazu gehören Hochverfügbarkeitsserver in deutschen Hochsicherheits-Rechenzentren und mit AES 256 verschlüsselte HTTPS-Verbindungen, um sowohl die Cloud Archivierung selbst als auch alle Übertragungswege wirkungsvoll vor unberechtigtem Zugriff und Datenverlust zu schützen. Damit steht dem Weg in die Cloud – und für digitale Geschäftsprozesse in der Beschaffung, im Vertragsmanagement oder auch im Personalwesen – nichts mehr im Weg.
Zum Autor:
Christoph Nordmann leitet die Unternehmenskommunikation der EASY SOFTWARE AG. Mit Stationen im Gesundheitswesen und der herstellenden Industrie in der Schweiz, den Niederlanden und Deutschland verfügt er über umfangreiche Erfahrungen im Aufbau und der Leitung von Kommunikationsabteilungen und der Begleitung von Change-Prozessen.
Creative Commons Lizenz CC BY-ND 4.0
Sie dürfen:
Teilen — das Material in jedwedem Format oder Medium vervielfältigen und weiterverbreiten und zwar für beliebige Zwecke, sogar kommerziell.
Der Lizenzgeber kann diese Freiheiten nicht widerrufen solange Sie sich an die Lizenzbedingungen halten.
Unter folgenden Bedingungen:
Namensnennung — Sie müssen angemessene Urheber- und Rechteangaben machen, einen Link zur Lizenz beifügen und angeben, ob Änderungen vorgenommen wurden. Diese Angaben dürfen in jeder angemessenen Art und Weise gemacht werden, allerdings nicht so, dass der Eindruck entsteht, der Lizenzgeber unterstütze gerade Sie oder Ihre Nutzung besonders.
Keine Bearbeitungen — Wenn Sie das Material remixen, verändern oder darauf anderweitig direkt aufbauen, dürfen Sie die bearbeitete Fassung des Materials nicht verbreiten.