Als Unternehmen anfingen, ihre Kernanwendungen auf Software-as-a-Service (SaaS) umzustellen, gingen sie mit der Datensicherung recht sorglos um. Die meisten verließen sich darauf, dass ihre Daten in den Papierkörben ihres SaaS-Anbieters sicher aufbewahrt werden. Heute haben sich die Ansichten geändert. Umfragen zeigen, dass SaaS- und Backup-Administratoren der Meinung sind, wichtige Programme, wie Microsoft-365 oder Salesforce, benötigen robuste Backups, um Daten gegen Cyberbedrohungen und versehentliches Löschen zu schützen.
Notwendigkeit wird nicht erkannt
Es folgen viele Unternehmer weiterhin dem Modell des Einrichtens und Vergessens. Ein großer Prozentsatz der Nutzer verlässt sich außerdem auf pragmatische Tools, die SaaS-Anbieter inzwischen in ihre Plattformen integriert haben, um ihre Daten zu sichern. Dabei lehnen viele davon robustere Backups als Möglichkeit nicht ab, doch sie gehen einfach davon aus, dass sie keinen weiteren Schutz benötigen.
Damit gehen diese Nutzer aber ein Risiko ein – und diese haben wahrscheinlich nie eine Situation erlebt, in der sie dringend eine Datensicherung benötigten. Ob es sich nun um einen Datenverlust, einen Ausfall der Benutzerverwaltung oder einen Automatisierungsfehler handelt, spielt keine Rolle. Diese Anwender lassen sich auf ein Glücksspiel ein, ohne ihre Chancen wirklich zu kennen. Das Ergebnis muss keine Katastrophe sein, aber die schädlichen Folgen könnten sie überraschen.
Das muss nicht sein: SaaS bietet unter dem Gesichtspunkt der Effizienz viele Vorteile und die Einstiegshürde ist niedrig. Unternehmen können die Vorteile von OpEx-Modellen nutzen, die es ihnen ermöglichen, nach Bedarf zu zahlen. SaaS-Anwendungen können auch nahtlos in bestehende Mechanismen integriert werden, wie in die Multi-Faktor-Authentifizierung für das Identitätsmanagement. Außerdem bieten SaaS-Provider oft Fachwissen bei der Entwicklung, Konfiguration, Optimierung und Verwaltung einer Lösung an, über welches das Rechenzentrum möglicherweise nicht verfügt.
Wenn man sich jedoch zu sehr auf die Anbieter verlässt, kann das Folgen haben. Zum einen haben Unternehmen nicht viel Kontrolle über die Bereitstellung des Dienstes oder die Infrastruktur, auf der dieser läuft. Das kann zwar auch als Vorteil angesehen werden, ist aber im Falle eines Zwischenfalles ein Nachteil. Man sollte sich darum die Möglichkeit einräumen lassen, die Eigenschaften eines auf diese Weise bereitgestellten Dienstes zu beeinflussen.
Häufige Missverständnisse
Das größte Missverständnis im Bereich der IT-Sicherheit und des Datenschutzes, auf das Unternehmen beim Wechsel zur Cloud stoßen, lautet, dass SaaS-Anbieter eben nicht alles tun, was man von ihnen erwartet. Das beste Beispiel dafür ist die Umstellung auf Microsoft-365, da viele Unternehmen vom Onprem-Austausch auf Sharepoint umgestiegen sind. Die Nutzer von Microsoft-365 gehen zu Recht davon aus, dass alle Ausfälle von Anwendungen, Netzwerkkontrollen, Betriebssystemen und physischen Netzwerken vom SaaS-Anbieter verwaltet werden.
Die meisten Ausfälle werden jedoch nicht von den SaaS-Anbietern selbst verursacht. Entweder sind es Hacker, die Schaden anrichten wollen, oder Mitarbeiter, die schlicht Fehler machen. Das bei weitem größte Problem ist sogar die versehentliche Löschung von Daten. Denn die Verantwortung für die Aufbewahrung der Daten liegt beim Unternehmen. Es ist wie beim Mieten eines Autos: SaaS-Anbieter sorgen dafür, dass der Wagen aufgetankt und fahrbereit ist, aber sobald der Kunde es fährt, ist er verantwortlich für alle Ereignisse.
Die Geschichte hat bewiesen, dass immer dann, wenn ein neues IT-Modell populär wird, die Menschen falsche Annahmen treffen, wie sich bestimmte Dinge entwickeln werden. Das ist jetzt bei der modernen Datensicherung der Fall. IT-Entscheider verstehen zwar die Vorteile der Verlagerung der Verantwortung für Bereitstellung, Upgrades und Kapazitätsverschiebungen, aber viele wissen nicht, dass die Verantwortung für die Sicherheit der Daten in der Regel beim Mieter verbleibt. Die Modelle der SaaS-Anbieter mit geteilter Verantwortung sprechen eine deutliche Sprache: Die Daten bleiben in der Verantwortung des Kunden. Das ist das Einzige, was in der Cloud einheitlich ist.
Aus diesem Grund sollten Unternehmer bei der Backup-Strategie für SaaS mehrere Aspekte berücksichtigen:
- Prävention betreiben: Es ist schwer, sich auf ein Problem vorzubereiten, von dem man nicht weiß, ob es eintreten kann und wie das geschehen könnte. Wenn jedoch die Daten stets gesichert werden, sind Firmen gut gerüstet, um diese Art von Zwischenfällen zu bewältigen. Wenn die Verantwortlichen ihre SaaS-Anwendung auf jeden Ernstfall vorbereiten, von dem sie zwar nicht wissen, ob er eintreten wird, aber wie, dann haben sie immer die Kontrolle über die Daten inne.
- Vom schlimmsten Fall ausgehen: Gleichgültig, ob es sich um eine Onpremises- oder eine Offpremises-Anwendung handelt: es kann immer etwas Schlimmes geschehen. Wahrscheinlich wird es sich nicht um einen Geräteausfall handeln – die Cloud ist aus Sicht der IT-Infrastruktur sehr widerstandsfähig – aber bei Daten können Fehler und Verluste entstehen.
- Einhaltung von Vorschriften im Hinterkopf behalten: Während die Aufsichtsbehörden oft verlangen, dass Unternehmen ihre Daten mehrere Jahre lang aufbewahren, werden SaaS-Backups oft für höchstens 120 Tage eingerichtet. Wenn Unternehmer das nicht von vornherein bedenken, finden sie es oft erst im Nachhinein heraus, wenn es zu spät ist: Was man nicht gesichert hat, lässt sich nur schwer wiederherstellen.
- Verantwortlichkeiten prüfen: Unternehmen sollten mit den Modellen der geteilten Verantwortung, die ihre SaaS-Anbieter vorgeben, bestens vertraut sein. Sie sollten wissen, wo sich die Daten befinden und in der Lage sein, E-Discovery-Situationen zu erleichtern.
- Ausstiegsstrategie planen: Der beste Zeitpunkt, um über die Kosten und Methoden der Ausstiegsstrategie zu verhandeln, ist vor der Integration einer SaaS-Sicherungslösung. Es kann vorkommen, dass der Anbieter die Daten als Geiseln zu einem Preis halten wird, den er zu diesem Zeitpunkt festlegt.
Fazit
In dem Maße, wie Unternehmen auf SaaS umsteigen, um kritische Funktionen auszuführen, schenken sie der Bedeutung einer modernen Datensicherung mehr Aufmerksamkeit als zuvor. Doch viele unterschätzen immer noch die Gefahren, denen ihre Daten ausgesetzt sind. Daten sind jedoch das Lebenselixier und wenn diese Organisationen sich ausschließlich auf SaaS-Backups verlassen, könnte es ein böses Erwachen zur Folge haben.
Von Dave Russell, Vice President of Enterprise Strategy bei Veeam
#Veeam
