„Backup to Cloud“ aber „Restore from Hell“?

Die Sicherung von Daten hat heute viele Facetten und im Grunde muss jedes Unternehmen für sich entscheiden, welche Sicherheitsstrategie die richtige ist. Für alle gleich sind jedoch die gesetzlichen Vorschriften, die in den deutschen Gesetzen zur Datensicherheit und in diversen Compliance-Richtlinien festgeschrieben sind. Damit hat das Unternehmen die Qual der Wahl und muss diese mit der eigenen IT-Infrastruktur und den zur Verfügung stehenden Budgets in Einklang bringen.

Eines ist jedoch für alle Unternehmen sicher: klassisches Backup, wie es noch vor einigen Jahren auf Bändern oder lokalen Festplatten üblich war, reicht heute nicht mehr aus. Viele Unternehmen – darunter nicht nur Großkonzerne, sondern auch mittelständische oder kleine Betriebe – richten ihr Backup, das Desaster Recovery und damit auch ihre Business Continuity richtigerweise an den Geschäftsbedürfnissen aus.

Ein international agierendes Unternehmen beispielsweise muss heute seine IT-Infrastruktur 24×7 zur Verfügung stellen. Hier ist es nicht möglich, Backups, die eventuell sogar eine Pause diverser Dienste fordern, währen der Nachtstunden zu erledigen. Klassische Backup-Fenster von acht Stunden des Nachts existieren nicht mehr, insbesondere wenn die Datenspeicher und Server verteilt und nicht an einem zentralen Standort sind.

Hinzu kommt die Frage, was gesichert und im Notfall möglichst schnell wieder hergestellt werden muss. Die Wiederherstellung von Datensätzen, ob strukturiert oder unstrukturiert, reicht im Katastrophenfall oftmals nicht aus. Es geht vielmehr darum, ganze Applikationen, Services oder virtuelle Maschinen laufend zu sichern und im Notfall so schnell wie möglich wieder zur Verfügung zu stellen.

Für Großunternehmen sind derart komplexe, aufwändige und ressourcenintensive Backup- und Desaster-Recovery-Konzepte nicht Neues. Doch auch mittelständische und kleinere Unternehmen müssen sich nun mit echten Profilösungen beschäftigen, um ihren Betrieb zu sichern und ganz nebenbei die gesetzlichen Vorlagen zu erfüllen.

 Backup in die Cloud

Lösungen im privaten Bereich wie Dropbox, SugarSync und viele andere haben den Mehrwert von überall zugängigen Daten in unser tägliches Leben gebracht und der Komplexität mit simplen Oberflächen den Schrecken genommen. Freilich sind solche Lösungen nicht den Anforderungen der Konzerne gewachsen, öffnen jedoch Türen für Gedankenspiele. Damit die Kosten im Rahmen bleiben und nicht sämtliche IT-Budgets beim Aufbau einer eigenen Cloud sprengen, locken mittlerweile nationale und internationale Anbieter mit professionellen Datensicherungslösungen auf Basis von geteilten Cloud-Diensten. Das Konzept ist einleuchtend, einfach und wirtschaftlich nachvollziehbar. Der Dienstleister stellt seine Infrastruktur sowie entsprechende Datensicherungslösungen zur Verfügung. Da er dies für viele Unternehmen anbietet, kann der Anbieter seine Infrastruktur optimal anpassen. Dabei kann der Dienstanbieter beispielsweise Rabatte nutzen, die sonst nur Großunternehmen erhalten, er kann auf internationale Infrastrukturen zurückgreifen oder beispielsweise das physikalische Rechenzentrum an europäischen oder internationalen Standorten betreiben, die wesentlich billiger sind als Deutschland.

Das Resultat sind verlockende Preisstrukturen für die Kunden und ein interessantes Geschäft für den Anbieter. Backup to the Cloud ist einer der Marketing-Begriffe, die solche Services versprechen und es gibt derzeit wohl kaum einen anderen derart starken Wachstumsmarkt innerhalb der IT wie der der unabhängigen RZ- und Cloud-Dienstleistungsanbieter.

Doch wo viel Licht ist, ist auch immer ein bisschen Schatten. Unternehmen müssen sich im Klaren darüber sein, welche Sicherheitsmaßnahmen wirtschaftlich und betrieblich sinnvoll sind, welche gesetzlichen Regeln unbedingt eingehalten werden müssen und wie genau diese vom Cloud-Anbieter erfüllt werden.

Das Thema Backup hat – ob mit oder ohne Cloud – immer den Gedanken der Verfügbarkeit von Informationen im Sinn, ersetzt aber noch lange kein komplettes Desaster-Recovery-Konzept. Was nützen die Daten in der Cloud, wenn sie ohne entsprechendes Netzwerk im DR-Fall nicht angemessen abrufbar sind? Unternehmen sollten daher alle Anforderungen im Vorfeld realitätsnah prüfen. Oft kommen dabei ganz neue oder andere Anforderungen als ursprünglich gedacht heraus, die anschließend mit dem Cloud-Dienstanbieter detailliert abgeklärt werden müssen.

Wenn ein Unternehmen beispielsweise auf ein Backup oder die Datenarchivierung in der Cloud vertraut, dauert die Übertragung der Daten aufgrund der eingeschränkten Leitungskapazität am einen oder anderen Ende oftmals sehr lange. Hat ein Unternehmen aber generell sehr viele Daten zu sichern, ist daher ein ständiger und vollständiger Datenaustausch für das Backup in die Cloud für den laufenden Betrieb nicht sinnvoll. Noch markanter wird dieses Szenario im Katastrophenfall, wenn also die Daten und Services im lokalen Rechenzentrum aufgrund von Schäden wiederhergestellt werden müssen. Kaum ein Unternehmen kann es sich heute leisten, für Stunden oder Tage nicht produktiv zu sein, nur weil der Recovery-Prozess schlicht nicht schneller realisierbar ist.

Hier gibt es Strategien und Lösungen, die Unternehmen helfen, auch mit großen Datenmengen ein sinnvolles Backup und Recovery in die Cloud zu realisieren. Beispielsweise Komprimierung, Deduplizierung und ähnliche Verfahren sind Möglichkeiten, nach einer initialen Datensicherung nur noch das Delta physikalisch zu bewegen und zu sichern. Darüber hinaus sollten sich Unternehmen fragen, ob wirklich alle Daten und Server in die Cloud gehören. Nicht immer ist es sinnvoll, relativ unwichtige Daten durch aufwändige Desaster-Recovery-Prozesse zu schleusen.

Rechtssicherheit für Datensicherung in der Cloud

Cloud umschreibt – wie der Name schon sagt – den Ansatz, abstrahierte IT-Infrastrukturen (zum Beispiel Rechenkapazität, Datenspeicher, Netzwerkkapazitäten oder auch fertige Software) dynamisch an den Bedarf angepasst über ein Netzwerk zur Verfügung zu stellen. Aus Nutzersicht scheint die verfügbar gemachte abstrahierte IT-Infrastruktur fern und undurchsichtig, wie in einer „Wolke“ verhüllt. Damit ist eines der grundlegenden Probleme der Datensicherung in der Cloud schon beschrieben, denn wo genau liegen die Daten, die unter Umständen sensibel oder gar vertraulich sind? Wenn beispielsweise personenbezogene Daten Dritter in der Cloud gesichert werden, müssen sich deutsche Unternehmen vorab und regelmäßig nachvollziehbar vor Ort davon überzeugen, dass die Vorgaben des Bundesdatenschutzgesetzes eingehalten werden. Da jedoch einige namhafte Cloud-Anbieter die Datenbestände ihrer Kunden weitergeben müssen, drohen den Unternehmen hohe Bußgelder oder vielleicht noch geschäftsschädlichere Skandale. Cloud-Betreiber beispielsweise mit Sitz in den USA unterliegen dem US-Recht und demnach dem Patriot Act. Unternehmen mit Sitz in den USA sind gezwungen, auch Daten an amerikanische Behörden auszuliefern, die sich auf Servern in fremdem Hoheitsbereich befinden. Damit verstößt ein deutsches Unternehmen gegen deutsches Datenschutzrecht, selbst wenn der Cloud-Server auf deutschem Boden steht. Es gilt also nicht nur, die technischen Details detailliert mit einem Cloud-Anbieter zu klären, sondern auch die rechtlichen Anforderungen.

Service Level Agreements

Ein weiteres sensibles Feld, das Unternehmen für die Nutzung von Cloud-Diensten genau unter die Lupe nehmen müssen, sind die garantierten Service-Level. Nur sehr wenige der Anbieter garantieren bestimmte Performance-Level. Dies kann zu einem „Stau“ beim Backup führen oder noch viel schlimmer eine langsame Datenübertragung im Falle einer Wiederherstellung von Datensätzen bedeuten. Genau definiert sollten auch Szenarien für einen Anbieterwechsel sein. Wenn ein Unternehmen sein Backup in der Cloud einem anderen Anbieter anvertrauen möchte, muss ein schneller „Umzug“ der Daten ermöglich werden, dies sollte im Vorfeld einmal exemplarisch kalkuliert werden. Darüber hinaus muss der Cloud-Anbieter Sicherheit geben, dass alle ehemals bei ihm gespeicherten Daten unwiderruflich gelöscht oder vernichtet sind – eine physikalische Löschung, indem man die entsprechenden Datenträger austauscht oder vernichtet, wiederspricht dem Prinzip der Cloud, wo man im Grunde nicht genau weiß, wo welche Daten gespeichert sind.

Ein weiterer interessanter Aspekt ist die wirtschaftliche Gesundheit des Cloud-Anbieters. Viele kleine Dienstleister werden von größeren übernommen, und wer garantiert dann noch die Einhaltung aller Abmachungen?

 Fazit

Backup in die Cloud ist sicherlich ein Datensicherungsszenario, das mittel- und langfristig Bestand haben wird und auch wirtschaftlich für viele Unternehmen Sinn ergibt. Entscheidend ist die Strategie und welche Infrastruktur wiederhergestellt werden muss. Mithilfe von leistungsfähigen Systemen, beispielsweise von FalconStor für die Datenkomprimierung, Verschlüsselung oder die Datendeduplizierung, können Unternehmen wirtschaftlich und technisch sinnvoll ein Backup in die Cloud einrichten. Wichtig ist aber, die Bedürfnisse bereits im Vorfeld genau zu beschreiben und gegebenenfalls mit Fachleuten abzusprechen. Technik ersetzt nämlich nicht wirklich Gehirnschmalz.

Autor: Markus Smieja ist seit 2006 bei FalconStor und als Technical Director EMEA für sämtliche EMEA-Vertriebsgebiete für die Bereiche PreSales und Professional Service verantwortlich. Nach einer Ausbildung zum Energieelektroniker begann er seine Karriere als Kundendiensttechniker bei DataCard und wechselte dann als Technical Account Manager zu StorageTek. Bevor er nach der Übernahme von StorageTek durch SUN zu FalconStor ging, verantwortete er dort bereits unter anderem alle StorageTek- und FalconStor-Bestandskunden und die Neukundenaquise der damaligen Partnerschaft.

Dieser Beitrag erschien erstmals im e-commerce Magazin 07/2014