Verfügbarkeitskontrolle, Teil 2: Warum Cloud-Daten ein Backup brauchen

Die meisten Unternehmen fürchten bei Cloud Computing den Datenzugriff durch Unbefugte. Ein schlichter Datenverlust gehört angesichts elastischer Wolken kaum zum gängigen Schreckbild. Dabei ist die Sorge durchaus berechtigt: Die Verfügbarkeit von Cloud-Daten ist keineswegs selbstverständlich.

Bevor die Wolke sich in Luft auflöst

Von Oliver Schonschek

79 % der IT-Fachkräfte glauben, dass die standardisierten Service Level Agreements (SLAs) für Cloud Computing im Hinblick auf die Verfügbarkeit unzureichend sind – so eine Research-In-Action-Studie im Auftrag von Compuware. Rund drei Viertel (73 %) der Unternehmen glauben außerdem, dass ihre Cloud-Anbieter Probleme auf Infrastruktur- oder Plattformebene verheimlichen, die sich auf die Performance ihrer Anwendungen auswirken könnten. Eine Kontrolle der Cloud-Verfügbarkeit sollte also im Interesse jedes Unternehmens sein. Doch dazu muss das richtige Verständnis von Verfügbarkeit bei Cloud-Diensten bestehen.

Gegensicherung für die Cloud

Eine zentrale Maßnahme zur Sicherstellung der Verfügbarkeit von Cloud-Daten sind regelmäßige Datensicherungen, das ist allen klar – so scheint es zumindest. Leider sehen jedoch viele Unternehmen nur eine Seite von Cloud-Backups: die Cloud-Speicherdienste, die sie als flexibles, von überall über das Internet erreichbares Backup-Medium nutzen. Tatsächlich gehört bei Cloud-Storage das Online-Backup zu den häufigsten Anwendungsfällen. Die Anwender(unternehmen) vergessen dabei aber allzu oft, dass Cloud Computing nicht automatisch für die notwendigen Backups sorgt. Es reicht nicht, einen Cloud-Dienst zu nutzen und das Thema Backup als erledigt zu sehen. Cloud-Backups sind eigene Leistungsbestandteile der Cloud-Nutzung.

Serie: Verfügbarkeitskontrolle
Teil 1 erklärt, wie weit die gesetzlich vorgeschriebene Verfügbarkeitskontrolle reicht. Teil 2 prüft, auf welche Weise sich eine Cloud gegensichern und garantieren lässt. Teil 3 spielt schließlich die Abläufe für die besonders gefährdeten Mobilgeräte durch.

Wenn also regelmäßige Backups nicht ausdrücklich Teil des Cloud-Vertrags sind, müssen die Nutzer selbst für eine Gegensicherung der ausgelagerten Cloud-Daten sorgen. Dies kann auf verschiedenen Wegen geschehen, z.B. durch andere Cloud-Dienste. Es ist aber auch möglich, lokale Backups anzulegen. In diesem Fall ist nicht die Cloud das Backup-Medium für die lokale IT, sondern die lokale IT bildet umgekehrt die Datensicherung für die Cloud.

Datensicherheit von Cloud und Provider

Ein Blick in das Bundesdatenschutzgesetz (BDSG) zeigt, dass Verfügbarkeitskontrolle mehr verlangt als eine Datensicherung. Gefordert ist auch ein Schutz gegen Verlust oder Zerstörung. Die notwendigen Maßnahmen gehen über das Backup-Konzept hinaus und betreffen zusätzliche Verfahren der Datensicherheit – durch das Anwenderunternehmen, aber auch durch den Cloud-Provider.

Datenschützer geben Orientierung

Kostenfreier Download

Was alles zur Verfügbarkeit von Cloud-Daten gehört, führen die Aufsichtsbehörden für den Datenschutz in ihrer Orientierungshilfe – Cloud Computing auf. Dazu gehören z.B. Maßnahmen gegen Ausfälle von Hardware, Cloud-Diensten und Verbindungen sowie die notwendige Abwehr von Schadsoftware in der Cloud.

Aufseiten des Providers gehören zu den notwendigen Maßnahmen insbesondere Brandschutzvorkehrungen, ein Überspannungsschutz, eine unterbrechungsfreie Stromversorgung (USV), die Klimaanlage im Serverraum, die Schulung der Mitarbeiterinnen und Mitarbeiter gegen ungewollte Datenzerstörung, Lösungen gegen Schadsoftware sowie eine Zutritts-, Zugangs– und eine Zugriffskontrolle. Im Sinne der Auftragsdatenverarbeitung (§ 11 BDSG) müssen sich die Cloud-Nutzer davon überzeugen, dass der Cloud-Provider dies auch zuverlässig durchführt. So wird die Verfügbarkeitskontrolle für Cloud-Daten auch zu einer Kontrolle des Providers.

Nicht zu vergessen ist dabei auch der Standort der Cloud-Datenspeicherung, gerade bei Cloud-Standorten außerhalb des EU/EWR-Raumes!

Update: Cloud Computing nach Safe Harbor – Der Europäische Gerichtshofs hat mit Urteil vom 6. Oktober 2015 die bisherige Safe-Harbor-Praxis gekippt: Persönliche Daten europäischer Internet-Nutzer seien in den USA nicht ausreichend vor dem Zugriff durch Behörden geschützt. Ein Sonderbeitrag erklärt, welche Folgen das für deutsche Unternehmen hat und was vorerst zu tun ist.
Die Besonderheiten bei der Verfügbarkeitskontrolle von mobilen Endgeräten sind Gegenstand des dritten und letzten Teils dieser Serie.
News Analyst Oliver Schonschek.JPG

Oliver Schonschek bewertet als News Analyst auf MittelstandsWiki.de aktuelle Vorfälle und Entwicklungen. Der Fokus liegt auf den wirtschaftlichen Aspekten von Datenschutz und IT-Sicherheit aus dem Blickwinkel des Mittelstands. Er ist Herausgeber und Fachautor zahlreicher Fachpublikationen, insbesondere in seinem Spezialgebiet Datenschutz und Datensicherheit.


Oliver Schonschek, Tel.: 02603-936116, www.schonschek.de

Nützliche Links