Cloud Backup und IT-Sicherheit: Backup in der Wolke – ist das denn sicher?

Beobachtet man die derzeitige Diskussion zum Thema Cloud Computing und IT-Sicherheit, so stellt man eine fast paradoxe Situation fest. Auf der einen Seite nennen viele Unternehmen das Thema Sicherheit als einen der Hauptgründe GEGEN den Einsatz von Cloud Computing-Lösungen, auf der anderen Seite hört man immer häufiger den Punkt IT-Sicherheit als Argument FÜR den Einsatz von Cloud Computing-Lösungen. Was stimmt also? Führt Cloud Computing zu einem Mehr an Sicherheit, oder verbergen sich hinter dem Einsatz von Cloud Computing-Lösungen höhere Sicherheitsrisiken?

Wie aktuelle Umfragen zeigen, profitieren gerade kleine und mittlere Unternehmen (KMU) im Hinblick auf die IT-Sicherheit beim Einsatz von Cloud Computing-Lösungen. Der Cloud Service Provider wird in der Regel ein viel höheres Maß an IT-Sicherheitsvorkehrungen treffen, als dies einem KMU selbst möglich ist. Als Dienstleister ist er davon abhängig, seinen Kunden ein maximales Level an Sicherheit für seine Anwendung und die damit bearbeiteten Daten zu gewährleisten.

Dennoch sollte natürlich auch der Anwender selbst überprüfen, ob und in welchem Maße seine eigenen Anforderungen an die IT-Sicherheit erfüllt werden. Dies spielt insbesondere in den Bereichen Backup und Disaster Recovery eine zentrale Rolle, denn hier muss im Fall der Fälle sichergestellt sein, dass verloren gegangene Daten wiederhergestellt werden können.

Aus diesem Grund haben wir Ihnen nachfolgend einige grundlegende Kriterien zusammengefasst, die Sie, insbesondere bei der Entscheidung für eine Cloud Backup-Lösung, beachten sollten.

Wie kann ich sicherstellen, dass meine Verfügbarkeitsanforderungen eingehalten werden, wenn meine Firmendaten extern in einer Cloud gespeichert werden?

Selbst wenn Sie eine Cloud Backup-Lösung einsetzen, sollten Sie auf jeden Fall einen „Plan B“ in der Schublade haben, der greift, wenn es zu Schwierigkeiten beim Backup/Restore kommt.

Verlangen Sie deshalb von Ihrem Cloud Service Provider den Nachweis, dass dieser mehrere, an unterschiedlichen geografischen Standorten angesiedelte Rechenzentren nutzt und damit eine ausreichende Redundanz auf Infrastrukturseite für das Backup Ihrer Daten bieten kann. Nur so kann im Fall eines Ausfalls des Primärrechenzentrums gewährleistet werden, dass ein Restore-Prozess ohne Unterbrechung durchgeführt werden kann. Darüber hinaus sollten Sie mit Ihrem Dienstleister Möglichkeiten besprechen, wichtige Daten auch in Form einer lokalen Backup-Kopie vorzuhalten. Neben einem Notfallwiederherstellungsplan sollte Ihr Serviceprovider auf jeden Fall einen Plan für das Betriebskontinuitätsmanagement (BKM) darlegen, in dem er aufzeigt, wie auf unterschiedliche Stör- und Problemfälle reagiert wird.

Achillesferse Internet: Wie kann ein Cloud-Backup-System garantieren, dass die Daten sicher übertragen werden?

Da bei einem Cloud Backup die gesicherten Daten über das Internet übertragen werden, spielen die Übertragungsleistung und -sicherheit eine zentrale Rolle. Eine besondere Bedeutung kommt dabei dem verwendeten Verschlüsselungsstandard zu: Ihr Serviceanbieter sollte auf jeden Fall den Advanced Encryption Standard (AES) in Verbindung mit einer FIPS 140-2 Zertifizierung des National Institute of Standards and Technology (NIST) verwenden. FIPS 140-2 ist die höchste Stufe der vertrauenswürdigen Zertifizierungen, die zur Verfügung steht. Sie stellt damit sicher, dass die Verschlüsselung korrekt implementiert wurde und nicht zu „knacken“ ist. Jede Übertragung zwischen Ihrem Firmenstandort und dem Cloud-Backup-Serviceprovider sollte darüber hinaus durch einen neuen, zufällig generierten AES-Schlüssel geschützt werden.

Vertrauen ist gut, Kontrolle ist besser: Wodurch wird gewährleistet, dass ich eine zuverlässige Cloud-Backup-Lösung erhalte?

Der Cloud Computing-Markt boomt mittlerweile auch in Deutschland, und so erscheinen fast täglich neue Angebote und Anbieter am Markt. Doch gerade im Bereich Cloud Backup sollten Sie sich auf einen Anbieter verlassen, der schon länger in diesem Geschäftsfeld tätig ist und dabei Unternehmen betreut, die Ihrem Unternehmen in Bezug auf Geschäftsmodell und/oder Branche ähnlich sind. Nur so ist er in der Lage, beispielsweise die Compliance-Anforderungen Ihres Unternehmens, oder die für Ihre Branche einschlägigen Industriestandards, zu kennen und auch umzusetzen.

Alle Vereinbarungen zu Form und Qualität der Dienstleistung sollten dann in einem Service Level Agreement (SLA), auf Deutsch Dienstgütevereinbarung, festgehalten werden. Diese Vereinbarung legt außerdem die Folgen fest, falls die in der Vereinbarung festgelegten Service Levels nicht eingehalten werden. Das Dokument skizziert Ihre Vorgaben auf operativer Ebene und wie diese über die entsprechende Backup-Strategie umgesetzt werden.

Laufzeiten und Kündigungsfristen sollten ebenfalls schriftlich festgehalten werden. Außerdem sollte Ihnen Ihr Cloud Backup Provider jederzeit die Flexibilität bieten, bei Bedarf zwischen einer Private oder Hybrid Cloud und einer PublicCloud wechseln zu können, wenn sich die Backup-Anforderungen Ihres Unternehmens im Laufe der Zeit verändern. Stellen Sie sich Ihren Serviceanbieter jederzeit wie eine Art Depotbank vor, welche Ihre Daten verwaltet – Sie besitzen und kontrollieren Ihre Daten. Der Dienstleister ist daher verpflichtet, Ihnen einen angemessenen Zugang zu Ihren Daten bereitzustellen, um mit seiner Hilfe die Daten jederzeit dahin zu migrieren, wo Sie diese benötigen.

Lesetipp: Whitepaper: Haftungsrisiken für den Geschäftsführer/Vorstand

Haftungsrisiken für den Geschäftsführer/Vorstand im Bereich IT-Security – und wie sie minimiert werden können: Mit diesem Thema beschäftigt sich unser neues Whitepaper, das ab sofort auf der BAYERN-BACKUP Seite heruntergeladen werden kann. Das Whitepaper enthält eine Zusammenfassung der wichtigsten gesetzlichen Regelungen zum Thema IT-Security und den damit verbundenen Haftungsrisiken für den Geschäftsführer einer GmbH, bzw. Vorstand einer AG in Deutschland. Darüber hinaus wird die Bedeutung einer IT-Sicherheitsstrategie erläutert, sowie die Frage, weshalb IT-Security “Chefsache” sein MUSS. Eine Checkliste hilft dem Geschäftsführer/Vorstand dabei, die entsprechenden Maßnahmen für eine unternehmensweite IT-Sicherheitsstrategie einzuleiten und damit letztendlich sein eigenes Haftungsrisiko zu minimieren.

 

Am besten, Sie fordern gleich jetzt Ihr persönliches Exemplar des Whitepapers an.