Die Datensicherung in Zeiten von DSGVO und Big-Data erfordern die richtigen Strategien und Tools. In den Vordergrund drängen zunehmend Aspekte wie Business-Continuity und Disaster-Recovery sowie hybride Cloud-Infrastrukturen. Wie sich das auf die Wahl der passenden Backup-/Recovery-Lösung auswirkt und was das mit Office 365 zu tun hat, erklärt Sebastian Moosreiner, Managing Director bei SEP, im Interview.
Der IT-Markt befindet sich im Wandel, was hat sich im Bereich Data-Protection sowie Backup/Recovery in den letzten Jahren verändert?
Sebastian Moosreiner, SEPMoosreiner: Virtualisierung ist immer weiter auf dem Vormarsch und weitere Virtualisierungs-Plattformen kommen dazu bzw. setzen sich durch. Die eingesetzten Hypervisor-Techniken müssen dabei von der Backup-Lösung unterstützt werden. Das gilt genauso für hyperkonvergente Storage-Lösungen, die sich mehr und mehr durchsetzen. Darüber hinaus erfordert das Thema Cloud mit seinen verschiedenen Ausprägungen – Public, Hybrid, Private – teils neue und spezielle Backup-Ansätze. Beispielsweise muss bei Office 365 das Backup berücksichtigt werden, was dem ein oder anderen erst auf den zweiten Blick klar wurde. Zudem wird die Verfügbarkeit von Services immer wichtiger, weil die Bereitschaft vieler Anwender, Systemausfälle zu akzeptieren, immer geringer wird. Stichwort: Always on.
Generell kann man sagen, dass Backups immer wichtiger werden, und das aus vielerlei Gründen. Dazu gehören die verstärkten Angriffe von außen (Viren, Hackerangriffe, Ransomware) genauso wie die zunehmenden Regularien wie beispielsweise die DSGVO und anderen Verordnungen und Gesetzen. In letzter Zeit erleben wir immer häufiger, dass das Backup der letzte Notnagel ist, um Unternehmen wieder ans Laufen zu bringen.
Was sind bei kleineren und mittelgroßen Unternehmen (KMUs) bei der Datensicherung die größten Herausforderungen?
Moosreiner: Diese Herausforderungen sind denen der großen Unternehmen ganz ähnlich. Wichtig in beiden Fällen ist die richtige Business-Continuity- und Backup-Recovery-Strategie. Daher sollten vor allem KMUs darauf achten, welche IT-Services für den Geschäftsbetrieb des Unternehmens nötig und wichtig sind. Das differiert und ist beispielsweise bei einem Unternehmen der Webserver, der rund um die Uhr abgesichert werden muss, bei einem anderen ist es die Produktionssteuerung, die einer besonderen Aufmerksamkeit bedarf. Deshalb gilt es die maximalen Ausfall- und Wiederanlaufzeiten gering zu halten. Diese lassen sich aber nur mit den passenden Lösungen garantieren, um so die vereinbarten Service-Level-Agreements (SLA) einzuhalten.
Zudem gilt auch für KMUs die DSGVO, so dass die rechtlich organisatorischen Maßnahmen getroffen werden müssen und die technische Sicherheit durch eine geeignete Backup Software realisiert werden muss.
Außerdem ist es speziell für kleinere Firmen sehr empfehlenswert, eine Backup-Lösung einzusetzen, die sich möglichst einfach und zentral verwalten lässt und die gängigen Betriebssysteme, Hypervisor, Applikationen und Datenbanken unterstützt.
Bei Cloud-Services ist kleineren Unternehmen oft nicht bewusst, dass häufig kein Backup zum Funktionsumfang gehört (z.B. Office 365). Wird ein Backup auf Cloud Speicher vorgenommen, ist zu befürchten, dass die Wiederherstellungszeiten zu einem zeitlich ausufernden Szenario führen. Zu erwähnen wäre auch, dass beim Backup in die Cloud auf jeden Fall auf »State of the Art«-Verschlüsselung zu achten ist.
Welche Auswirkungen hat aus Ihrer Sicht die DSGVO auf die Datensicherung aus?
Moosreiner: Die DSGVO ist in vielen Unternehmen und Organisationen noch nicht komplett oder gar nicht umgesetzt. So zeigen Studien, dass erst rund 50 Prozent aller Unternehmen die passenden DSGVO-Maßnahmen implementiert haben. Daher wird uns diese Thematik noch länger beschäftigen, und dies aus verschiedenen Gründen. Das hat in vielen Fällen mit den tiefgreifenden Veränderungen der IT-Infrastruktur zu tun, aber auch die Datenhaltung und -sicherung mit den richtigen Datensicherungskonzepten spielt hier eine wichtige Rolle.
Denn mithilfe der Datenschutzkonzepte durch technisch-organisatorische Strategien und deren Umsetzung muss sich sicherstellen und nachweisen lassen können, dass die DSGVO mittels einer Risikobewertung eingehalten wird. Diese ist vollumfänglich zu dokumentieren, wie auch die hieraus abgeleiteten Maßnahmen in Bezug auf die IT-Sicherheit. Darüber hinaus sind die von der IT ausgehenden, unternehmensgefährdenden Risiken durch Datenverlust oder Verletzungen des Datengeheimnisses zu bewerten und protokollieren.
Ist dies alles geschehen, kommt die technische Umsetzung ins Spiel. Das bedeutet, die eingesetzte Lösung muss dem aktuellen Stand der Technik und dem Datenschutzniveau entsprechen sowie den Risiken angemessen sein. Dazu sollte eine regelmäßige Soll-/Ist-Analyse mit Risikobewertung und einer entsprechenden Datenschutz-/Datensicherheits-Folgeabschätzung durchgeführt werden, um den Transparenz-, Dokumentations-, ADV- (Auftragsdatenverarbeitung) und Sicherheitsmanagementpflichten der DSGVO gerecht zu werden.
Wie ist im Kontext von DSGVO und Compliance die technische Sicherheit Ihrer SEP-Sesam-Lösung zu bewerten?
Moosreiner: Wir bringen eine Vielzahl technischer Funktionalitäten zur Unterstützung der rechtlichen Anforderungen mit, so dass im Zusammenspiel mit den rechtlich organisatorischen Maßnahmen eine juristisch konforme Lösung erzielt wird. Hierbei spielt unter anderem die Verschlüsselung eine wichtige Rolle, die zu den zentralen technischen Elementen zählt. So ist bei der SEP Si3-Deduplizierung und -Replikation eine Verschlüsselung möglich. Für das Recovery der Daten kann der Key in der Datenbank des Backup-Servers hinterlegt werden oder der Dateneigentümer muss eine Rücksicherung mit seinem persönlichen Key autorisieren.
Entscheidend hierbei ist, dass wir eine 4-Augen-Methode implementiert haben. Damit kann der Administrator nur gemeinsam mit dem Dateneigentümer die Daten zurücksichern. Zwar können damit die Daten entwendet werden, was aber faktisch nutzlos ist, da diese Daten ohne die richtigen Schlüssel unleserlich sind. Weitere technische Aspekte sind die standortübergreifende Datensicherung, die automatische Migration bzw. Kopie von Sicherungsdaten auf unterschiedlichen Sicherungsmedien, die gesetzeskonforme Sicherung aller Unternehmensdaten, die Netzwerksicherheit in Firewall-Umgebungen durch Einschränken der Kommunikation und des Datentransports auf wenige, dedizierte Ports. Darüber hinaus können geplante und automatische Restores auf Stand-by-Systeme zum Verifizieren der Backups ausgeführt werden. Dies ist auch für Audits verwendbar. Als letztes möchte ich auch noch auf die Möglichkeit der Disaster-Recovery-Tests im laufenden Betrieb inklusive Reporting verweisen, da dies keine Selbstverständlichkeit ist. Bei vielen anderen Lösungen geht dies mit einem hohen Aufwand, Offline-Gehen und zum Teil Wochenendarbeit einher.
Darüber hinaus unterstützen unsere Lösungen eine umfassende Business-Continuity-Strategie hinsichtlich der geschäftskritischen Daten. Hier liegt der Fokus auf Recovery-Point-Objectives (RPOs) und Recovery-Time-Objectives (RTOs), die essentiell für ein funktionierendes Disaster-Recovery-Szenario sind.
Die steigenden Anforderungen werden natürlich vom Markt erkannt, wo sehen Sie die Stärken Ihrer Backup-/Recovery-Lösungen?
Sebastian Moosreiner, SEPMoosreiner: Wir unterscheiden uns vom Mitbewerb vor allem in einem umfassenden Spektrum von unterstützten Systemen und einer hohen Vollständigkeit unserer Lösungen. Dabei folgen wir stets unserem Motto. Unser Motto lautet »We support the systems no one else can!«. Wir unterstützen auch weniger im Markt verbreitete bzw. neue Technologien und helfen so den Anwendern ihre teils sehr individuellen IT-Umgebungen konsistent abzusichern und auch schnell wiederherzustellen. Das führt zu konsistenten Backup- und Recovery-Systemen, was sich deutlich in unserer Supportmatrix widerspiegelt.
Durch unsere Zertifizierungen gewährleisten wir, dass die Sicherung und Wiederherstellung von virtuellen und physikalischen Umgebungen, Datenbanken und Anwendungen konsistent und gemäß den Vorgaben der Hersteller erfolgt. Damit gewährleisten wir, dass die Sicherung und Wiederherstellung von virtuellen und physikalischen Umgebungen, Datenbanken und Anwendungen gemäß den Herstellervorgaben erfolgt. Als Beispiel möchte ich hier die Sicherung von SAP-Umgebungen nennen. In diesem Fall ist es unumgänglich, eine von SAP zertifizierte Datensicherungslösung einzusetzen, um jederzeit den SAP-Support nutzen zu können. Damit gewährleisten wir, dass vor allem business-kritische Applikationen reibungslos funktionieren, gesichert und wiederhergestellt werden können.
Ein weiteres sehr wichtiges Argument bei den ganzen aktuellen Sicherheitsdiskussionen und der Gefahr von Sicherheitslücken in Software ist, dass SEP sesam zu hundert Prozent »Made in Germany« ist und das absolut ohne Backdoors.
Wie sieht Ihre Roadmap für Ihre Backup und Recovery Lösung aus?
Moosreiner: Wir entwickeln SEP Sesam konsequent weiter – technologisch führend und marktorientiert. Dazu gehören beispielsweise entsprechende Cloud-Lösungen, die DSGVO-konform sind. Unser Virtualisierungsportfolio wird weiter ausgebaut, unter anderem unter der Berücksichtigung der Anforderungen von Hosting-Providern. Wir stehen weiterhin für ein echtes Hybrid Backup – optimaler Schutz für virtuelle und physische Welten – On-Premise und in der Cloud. Dies geschieht auf der Basis einer sehr engen Zusammenarbeit mit Technologiepartnern und weiteren Zertifizierungen, was unseren Kunden und den Kunden unserer Service-Provider auch in Zukunft optimalen Investitionsschutz und höchste Datensicherheit gewährleistet. Zudem investieren wir mit stetig wachsender Intensität in Know-how und qualifizieren unsere Mitarbeiter und Partner weiter, um unser ohnehin schon hohes Consulting- und Support-Niveau, wie uns von diversen Studien bestätigt wurde, für die Anwender unserer Lösungen weiter zu verbessern.
Wie wird oder muss sich die Datensicherung künftig verändern?
Moosreiner: Themen wie IoT (Internet of Things), Industrie 4.0, KI (Künstliche Intelligenz) und Big-Data sind nicht nur Schlagworte. Wir spüren deren breite Realisierung immer stärker und den Einfluss auf die Datenhaltung sowie Datensicherheit.
Damit werden Backup- und Recovery-Lösungen nötig, die die Datensicherung granularer und damit besser handhabbar machen. Dies ist vor allem für eine möglichst schnelle und unkomplizierte Wiederherstellung der Daten dringend erforderlich. Nur so lassen sich SLAs auch in Zeiten von Big-Data garantieren, was für das eigene Geschäftsmodell überlebenswichtig sein kann.
Darüber hinaus drängen neue Hardware-Lösungen mit Software-Intelligenz auf den Markt, was ebenfalls bei der individuellen Backup-Strategie berücksichtigt werden sollte. Applikationen verändern sich und neue werden hinzukommen und dies mit hoher Geschwindigkeit. Administratoren benötigen die Freiheit diese neuen Technologien einzusetzen, deshalb sollten sie auf eine flexible Datensicherung setzen, die diese neuen Anforderungen abdecken kann.