Bei der Sicherheit Cloud-Anbietern genauer auf die Finger schauen
Regeln für sichere Cloud-Services
Den Datenrettungsspezialisten von Kroll Ontrack erreichen nach eigenem Bekunden in letzter Zeit verstärkt Anfragen wegen Datenverlusten in virtualisierten oder Cloud-basierenden Infrastrukturen. Auch die aktuellen Sicherheitsvorfälle bei großen Cloud-Anbietern zeigten danach, dass Unternehmen nicht davon ausgehen können, dass ihre Daten in einer Cloud hundertprozentig sicher sind.
Kroll Ontrack empfiehlt daher, unter anderem die Service Level Agreements vorab nicht nur auf die garantierte Verfügbarkeit, sondern auch hinsichtlich der Desaster-Recovery-Maßnahmen genau zu prüfen.
„Es tut uns leid, aber zuletzt waren alle unsere Anstrengungen ihre Datenträger manuell wiederherzustellen, erfolglos. Die Hardware hat dermaßen versagt, dass wir die Daten auch mit forensischen Methoden nicht mehr wiederherstellen konnten.“ Mit diesen Worten entschuldigte sich laut Kroll Ontrack ein großer Cloud-Anbieter vor Kurzem bei einem seiner Kunden für einen massiven Datenverlust. Dieser Vorfall zeige, wie wichtig es sei, Datenrettung als integralen Bestandteil in die Desaster-Recovery-Strategie aufzunehmen, auch wenn Unternehmen Daten in die Cloud auslagern. Denn vor menschlichen und technischen Fehlern sei auch die ausgereifteste Infrastruktur nicht gefeit.
Wer Daten in die Cloud auslagert, gibt Unternehmenswissen physisch aus seinen Händen. Kunden sollten deshalb darauf achten, welche Prozesse und Garantien ihr Cloud Provider neben den Standard-Service-Level-Agreements für den Desaster-Recovery-Fall anbietet:
* Ist die Datenwiederherstellung beziehungsweise Rettung Teil der Desaster Recovery Strategie?
* Bestehen vertragliche Vereinbarungen (zum Beispiel über Reaktionszeiten, Datenschutz, etc.) mit renommierten Datenrettungsunternehmen für den Ernstfall?
* Werden die Notfallprozesse regelmäßig überprüft und gestestet?
* Wer haftet im Ernstfall für den Datenverlust?
Die Data-Recovery-Strategie ist aber nur eines von mehreren Kriterien, nach denen Unternehmen ihre Cloud-Dienstleister prüfen sollten. Auch folgende Fragen sollten bei der Auswahl unbedingt beachtet werden:
* Werden die Daten vor allem bei der Übertragung in die Cloud verschlüsselt und später verschlüsselt gespeichert? Sind die Zugriffsrechte transparent geregelt?
* Werden nicht mehr benötigte Daten durch Eraser- oder Degausser-Technik sicher gelöscht? Wer zertifiziert, dass die Datenlöschung erfolgt ist?
* Welche Backup-Lösung setzt der Anbieter ein und welche Wiederherstellungszeiten sind garantiert?
* Werden Daten auf hochverfügbaren Festplatten gespeichert? Werden die Daten regelmäßig defragmentiert? Werden die verschiedenen Typen von Daten und Anwendungen ordnungsgemäß verwaltet?
* Stehen genug Mitarbeiter zur Verfügung, sind diese gut geschult, laufen die Prozesse nach ITIL-Standards?
* Kann der Dienstleister belegen, dass seine technische Zuverlässigkeit den Anforderungen des Kunden entspricht?
* Hält der Cloud-Anbieter die Daten in Einklang mit den unternehmensinternen und gesetzlichen Richtlinien zur Dokumentenaufbewahrung vor?
* Kann der Anbieter bei gerichtlichen Anfragen dem Unternehmen schnellen Zugriff auf die für diese Anfrage relevanten Daten geben? Wie weit können im Verdachtsfall Computer-Forensiker eventuell unautorisierten Zugriff auf Daten rekonstruieren?
* Für welche Art von Datenverlust oder Schäden durch nicht möglichen Datenzugriff kommt der Provider auf? Wasser- und Brandschutz sollten eigentlich Standard sein. Welche maximale Schadenssumme ist abgedeckt?
„Drum prüfe, wer sich bindet – diesen Spruch sollten Kunden auf der Suche nach einem Cloud-Anbieter ganz besonders beherzigen, schließlich vertrauen sie diesem nichts weniger an, als Teile ihres intellektuellen Kapitals“, erläutert Peter Böhret, Managing Direktor bei Kroll Ontrack. „Wir arbeiten eng mit vielen Service-Providern zusammen und können auch im Ernstfall Daten aus virtuellen oder Cloud-Infrastrukturen schnell und effizient retten. Dennoch sollte das immer erst die Ultima Ratio sein.“
Lesen Sie mehr zum Thema
