Auslagern der IT in die Cloud - geschützt vor Katastrophen?

Datenschutz und Datensicherheit sind angesichts der gestiegenen Bedeutung von Daten für nahezu alle Branchen immer wichtiger. Gleichzeitig ist der – möglichst ununterbrochene – Zugriff auf diese Daten wichtig. Denn was nützen die besten Daten, wenn sie nicht als Grundlage für Analysen und Entscheidungen zur Verfügung stehen. Inzwischen werden viele geschäftsrelevante Daten daher in die Cloud verlagert. Doch sind sie dort auch ausreichend vor Katastrophen geschützt?

Die unterschiedlichen Cloud-Typen

Um diese Frage zu beantworten, gilt es zuerst einmal zwischen den unterschiedlichen Cloud-Services zu unterscheiden. Denn Cloud ist nicht gleich Cloud. Je nachdem wer die Services anbietet und an wen sich das Angebot richtet, unterscheidet man zwischen einer Public Cloud, einer Private Cloud und einer Hybrid Cloud.

Folgende Definitionen der unterschiedlichen Cloud-Typen sollen Ihnen in Ihrem Unternehmen helfen, sich je nach Bedarf für die passende Form zu entscheiden. Ebenso ist es wichtig, dass Sie sich mit Hilfe einer Risikoanalyse darüber im Klaren werden, welche Ihrer Geschäftsprozesse unabdingbar sind, um Ihr Geschäft am Laufen zu halten und somit unbedingt geschützt werden müssen.

Die Public Cloud

In der Public Cloud (auch öffentliche Cloud genannt) sind Angebote von Providern über das Internet für jedermann zugänglich. Das können Dienste sein, mit denen sich einfach nur Rechenleistung und Speicherplatz nutzen lassen oder – im Rahmen einer Infrastruktur als Service (IaaS) – auch beides zusammen. In dem Fall kümmert sich der Kunde um die erforderliche Software. Dazu gehören aber auch Angebote, bei denen die Erledigung bestimmter Aufgaben im Vordergrund stehen – sogenannte Produktivitäts-Software wie Microsoft Office 365, E-Mail, File-Transfer und ähnliches. Hier übernimmt der Cloud-Anbieter die Bereitstellung von Hard- und Software, der Kunde muss sich lediglich um die Daten kümmern. Allerdings liegen die in der Regel in großen Rechenzentren, zusammen mit den Daten vieler Tausend anderer Kunden.

Die Private Cloud

Viele Unternehmen bevorzugen daher eine Private Cloud, die ausschließlich ihren eigenen Mitarbeitern zugänglich ist. Dabei gibt es zwei Varianten. Entweder die IT-Dienste werden weiterhin selbst betrieben oder von einem vertrauenswürdigen Anbieter. In beiden Fällen profitieren Endnutzer im Unternehmen von den cloud-typischen Vorteilen wie einfacher und flexibler Skalierbarkeit, installations- und wartungsfreien IT-Anwendungen und dem Zugriff über den Webbrowser.

Beim Betrieb der dafür erforderlichen Infrastruktur in Eigenregie im eigenen Rechenzentrum werden diese Vorteile aber häufig nicht oder nur teilweise und mit hohen Kosten erreicht. Der Grund liegt auf der Hand: Für nur einen Abnehmer eine schnell erweiterbare Infrastruktur vorzuhalten, zu warten und zu betreiben ist aufwändiger, als wenn sich dieser Aufgabe ein Spezialist annimmt, der sich zwar darauf konzentriert, die IT-Umgebung abzuschotten (also „privat“ zu halten), aber gleichzeitig davon profitiert, dass gewisse Ressourcen allen zur Verfügung gestellt werden können. Das fängt bei Kühlung, Notstromversorgung und doppelt redundanter Internetanbindung über unterschiedliche Provider an, geht weiter über die physische Absicherung des Rechenzentrums durch Zäune und Einlasskontrollen, bis hin zur Nutzung mehrerer Rechenzentren, um bei Ausfällen an einem Standort den Betrieb aufrechterhalten zu können.

Die Hybrid Cloud

Als Hybrid Cloud werden unterschiedliche Mischformen dieser beiden Ansätze bezeichnet. Dabei laufen bestimmte Services bei Public-Cloud-Anbietern. Anwendungen bei denen besonderer Wert auf den Datenschutz oder die Sicherheit der Daten gelegt wird, werden dagegen weiterhin im eigenen Unternehmen oder in einer Private Cloud bei einem vertrauenswürdigen, zertifizierten und lokalen Cloud-Anbieter verarbeitet. Nicht ganz einfach ist dabei jedoch die Trennung der Geschäftsprozesse in solche, in denen Datenschutz eine wichtige Rolle spielt und in solche, bei denen er eine untergeordnete Rolle einnimmt. Das setzt eine saubere und konsequente Klassifizierung der im Unternehmen gespeicherten und verarbeiteten Daten voraus. Um die besonders geschäftskritischen Prozesse zu definieren, ist die zu Beginn erwähnte Risikoanalyse der richtige Einstieg.

Sicherheitsniveau in der Cloud: Der Cloud-Typ ist entscheidend

Die Sicherheit im Katastrophenfall hängt entscheidend davon ab, welcher Cloud-Typ genutzt wird. Bei einem Public-Cloud-Provider ist oft unklar, welche Maßnahmen der Provider ergreift und welche der Kunde treffen muss. Die Umgebungen sind sehr dynamisch. Das hat Vorteile, führt aber dazu, dass Fehlkonfigurationen – die dann komplett in der Verantwortung der Nutzer liegen – die häufigste Ursache für Sicherheitsvorfälle sind. Außerdem lässt sich der Standort der Daten nur bedingt einschränken. Oft wird von sogenannten „Verfügbarkeitsregionen“ gesprochen. Auch da lauern Fallstricke für die Anwender – wenn sie zum Beispiel Ressourcen aus zwei Rechenzentren nutzen, die aber in der Verfügbarkeitsregion liegen, steht der genutzte Service bei einem Ausfall dennoch nicht zur Verfügung.

Im Sinne der Business Continuity: Was spricht für die Zusammenarbeit mit einem Cloud-Anbieter?

Es gibt diverse Vorteile bei der Zusammenarbeit mit einem Cloud-Anbieter – insbesondere, wenn es nicht nur um Infrastruktur, sondern um Anwendungen geht. Wichtig ist dafür, dass der Cloud-Provider für Sie den Betrieb von Firewalls und Web-Application-Firewalls sowie den Schutz vor DDoS-Attacken übernimmt. Außerdem sollte er sich um Betriebssystem-Updates, Security-Updates und Firmware-Aktualisierungen kümmern. Aber auch die Betriebssicherheit, also Loadbalancing, Skalierung der Plattformen, System- und Plattformoptimierung sowie regelmäßige Lasttests und Rücksicherungstests sollten Teil seiner Arbeit sein.

Auf dieser Grundlage lassen sich dann umfassende Konzepte für Ihr Business Continuity Management anbieten. In einem – wie auch immer gearteten Katastrophenfall – sorgen Disaster-Recovery-Lösungen dann für minimale Ausfallzeiten und die Möglichkeit, den Normalbetrieb schnellstmöglich wieder aufzunehmen.

Auch für Georedundanz-Lösungen eignet sich die Cloud. Dann müssen nicht Sie das Notfallrechenzentrum an ausreichend weit entfernten Standorten selbst betreiben, sondern können diese Aufgabe in die Hände des Cloud-Providers legen.

Ein besonderes Plus ist, wenn der Cloud-Provider Ihnen nicht nur in Bezug auf Ihre Daten bei der Krisenbewältigung hilft, sondern zum Beispiel auch Notfallbüros und Krisenstabräume anbietet, die Sie nutzen können, falls Ihnen der Zugang zu Ihren eigenen Räumen nach einer Katastrophe verwehrt ist.

Schütz das Auslagern der IT in die Cloud nun vor Katastrophen?

Die Antwort auf die eingangs gestellte Frage, ob das Auslagern der IT in die Cloud (pauschal) vor Katastrophen schützt, lautet leider nein – zumindest wenn Sie Ihre IT kurz entschlossen in irgendeine Cloud auslagern. Bei der Auslagerung in eine vertrauenswürdige Private Cloud eines Anbieters, der auf Ihre Bedürfnisse eingeht, lässt sich ein Katastrophenfall zwar auch nicht hundertprozentig ausschließen, Sie haben da aber die Gewissheit, dass Sie der Katastrophenfall nicht unvorbereitet trifft. „Gefahr erkannt, Gefahr gebannt“, lautet eine alte Volksweisheit. Und die gilt auch hier.

Fazit: Auf die richtige Wahl kommt es an

Sie sind also gut beraten, wenn Sie entsprechende Umsicht bei der Auswahl des richtigen Cloud-Partners walten lassen und Informationen einholen, welchen Wert Ihr künftiger Cloud-Dienstleister auf den Sicherheitsaspekt legt und wie er Sie im Katastrophenfall tatsächlich unterstützen kann. Wichtige Kriterien sind Firmensitz und Rechenzentrumsstandort. Ebenso wichtig ist, welche Maßnahmen für hohe Ausfallsicherheit getroffen werden und welche Zertifizierungen der Cloud Partner vorweisen kann, damit Sie beim Datenschutz und der Verfügbarkeit Ihrer Anwendung und Ihrer Daten auf der sicheren Seite sind. Scheuen Sie sich also nicht, sich beraten zu lassen und kritisch nachzufragen!