Back-up-Battle: Die Grossen sind oft zu satt und zu träge
Der Markt für Back-ups galt lange als wenig innovativ. Das hat sich geändert, Start-ups fordern die Grossen heraus. Das sei grossartig für den Wettbewerb, sagt Martin Andenmatten, Gründer und Managing Director von Glenfis. Unternehmen sollten trotzdem vorsichtig sein: Jedes Back-up-Konzept brauche auch eine Exit-Strategie.
Bei vielen Unternehmen sind die Themen Back-up und Archivierung eher unbeliebt. Warum ist das so?
Martin Andenmatten: Dies ist insbesondere bei vielen kleineren Unternehmen festzustellen. Wenn die Daten und Services aus der Cloud bezogen werden, dann gehen viele Organisationen davon aus, dass sich der Provider vollständig um diese Daten kümmert und dass diese auch immer und von überall in der Welt zur Verfügung stehen. Dass mag für Infrastruktur und Applikationen je nach Cloud-Modell auch zutreffen, aber die Verantwortung über die Sicherheit der Daten bleibt im Unternehmen. Zudem wirken sich Daten-Back-up und Archivierung auch auf die Speichernutzung und damit auf die Kosten direkt aus. Das Allozieren dieser Ressourcen bleiben so lange bestehen, wie die Archive und Back-ups gebraucht werden.
Nehmen Unternehmen das Thema zu wenig ernst? Ausfallsicherheit sollte doch weit oben auf der Prioritätenliste stehen.
Ja, wie gesagt, die Verantwortung bei den Daten ist und bleibt immer bei den Unternehmen und damit bei der Unternehmensführung. Ich glaube nicht, dass das Thema zu wenig ernst genommen wird. Die Cloud-Sourcing-Strategie ist oft zu wenig durchdacht. Die IT aus der Steckdose funktioniert eben nicht, wenn die Risiken und entsprechenden Vorkehrungen nicht im Vorfeld klar durchdacht sind. Zu dieser Fehleinschätzung in der Ausfallsicherheit tragen viele Cloud-Anbieter auch bei, indem den Kunden versprochen wird, über genügend Hardware-Redundanz zu verfügen, sodass ein Ausfall praktisch ausgeschlossen ist. Dass Daten auch aufgrund von Fehlmanipulationen, falschen Zugriffsrechten oder gar von Malware zerstört werden können, wird dabei oft übersehen.
Der Markt galt lange als wenig innovativ. Das hat sich geändert, Start-ups fordern die Grossen heraus. Empfinden Sie das auch so?
Das ist bestimmt so – und ich finde dies auch grossartig für den Wettbewerb. Gerade Start-ups können innovative Ideen mithilfe der im Markt verfügbaren Cloud-Services ergänzen, ohne die aufwändigen Basisinfrastrukturen aufbauen zu müssen. Die Grossen sind mit ihren etablierten Businessmodellen halt oft zu satt und damit zu träge. Hier tut kreative Disruption wirklich gut. Wir werden seitens Eurocloud Swiss unser Eventkonzept explizit auf diese Veränderung hin anpassen: "Start-up – die Cloud als Chance". Wir wollen ein Meet and Greet mit Start-ups organisieren und deren Best-Practice-Ansätze und Herausforderungen beim Aufbau ihrer innovativen Geschäftsideen mithilfe der Cloud vor einem interessierten Fachpublikum erkunden.
Back-ups sind heute nicht mehr an Infrastruktur gekoppelt und oft über mehrere Plattformen verteilt. Ist das eine gute Entwicklung?
Ein Grundprinzip in der Cloud ist deren dynamische Nutzung und deren Leichtigkeit zum Wechseln zwischen Providern. Es ist bei Weitem nicht so, dass man sich als Unternehmen über Jahre hinweg für einen Cloud-Provider entscheiden und damit verpflichten muss. Ein gutes Back-up-Konzept muss dies berücksichtigen. Es braucht On-Boarding und Exit-Strategien, welche die Back-ups und Archivdaten berücksichtigen. Wenn die Cloud-Infrastruktur ordentlich gemanagt und die Möglichkeiten der Cloud-Adaption auf Anwendungs- und Datenebene angewendet werden kann, kann sich die Verteilung auch lohnen. Vielfach geht die Übersicht über die gesamte Datenverteilung etwas verloren. Hierzu wäre ein einfaches, traditionelles Daten-Back-up-Konzept vielfach einfacher, indem die Daten in das eigene Firmennetzwerk gesichert und allenfalls eine Kopie davon in die Cloud ausgelagert wird. Das wirkt sich aber auf die Bandbreite und damit auf die Qualität der Services aus.
Wie können Unternehmen heute überhaupt noch den Überblick über all ihre Daten behalten?
Unternehmen müssen den Überblick über all ihre Daten sicherstellen. Wenn man die Daten als das Öl des Unternehmens und damit zu den wertvollen Assets zählt, dann wäre der Verlust der Übersicht über diese Assets fatal. Schon aus Sicht des Datenschutzes sind die Organisationen verpflichtet die Verarbeitung und Speicherung der Daten mit ihren Verarbeitern – sprich Cloud-Providern – zu dokumentieren. Das sollte nicht nur für personenbezogene Daten gelten, sondern für alle Geschäftsdaten. Wer diese Kontrolle verloren hat, kann auch nicht entsprechende Schutzmechanismen einrichten. Dies gilt für die operativen Daten für das Tagesgeschäft genauso wie für alle existierenden Back-ups und Archive. Das Risiko ist schlicht zu gross.
Worauf müssen Unternehmen beim Umgang mit ihrem Daten in der Cloud-Ära besonders achten?
Zur Cloud-Strategie gehört auch ein Konzept zur Datenklassifizierung. Die Sensibilität und Kritikalität der Daten gilt es im Vorfeld abzuklären und entsprechend zu klassifizieren. Die Cloud-Strategie muss vorsehen, welche Art von Daten mit welchen Cloud-Lösungen verarbeitet werden dürfen. Entsprechend Gleiches gilt es zu berücksichtigen, wenn ein dedizierter Cloud-Back-up-Anbieter für alle Daten genutzt werden soll. Ein weiterer Aspekt bei den Daten ist immer auch die Menge an zu verarbeitenden Daten, da sich dies direkt auf die Kosten und Performance der Cloud-Dienste auswirkt. Gerade auch bei der Nutzung des Internets der Dinge fallen sehr schnell riesige Datenmengen an, die verarbeitet und gesichert werden müssen. Ohne durchdachtes Konzept und geeignete Cloud-Lösungen können solche Anwendungen schnell aus dem Ruder laufen.
Hilft eine gute Strategie auch dabei, Compliance- und Governance-Anforderungen zu erfüllen? Und wenn ja, wie?
Ja. Ich gehe sogar davon aus, dass eine Cloud-Strategie diese Aspekte von Beginn an mitberücksichtigen muss. Die Reise in die Cloud ist kein Spaziergang. Wenn das technische Verständnis auch einigermassen vorhanden ist, so gibt es doch viele betriebswirtschaftliche, rechtliche und vor allem IT-organisatorische Fragestellungen zu lösen, wie mit der Cloud und der gewonnenen Dynamik umgegangen werden soll. Wo man sich auch auf diesem Weg heute bereits befindet, so reift bald einmal die Erkenntnis, dass Cloud keine stabile Destination ist, sondern laufend den sich verändernden Anforderungen und Potenzialen anpassen muss. Gerade hier stellen sich Compliance- und Governance-Fragen, wie die Nachvollziehbarkeit der Datenströme gewährleistet werden kann. Eine gute Cloud-Strategie gibt Antworten auf die Cloud-Architektur und die zu verwendenden Architekturprinzipien wie Transparenz, Datenschutz, Schnittstellen und Zugriffskonzept. Eine gute Strategie erkennt auch, dass es ein neues Target Operation Model, ein Cloud-Betriebsmodell braucht, bei dem neue Prozesse, Rollen und Skills aufgebaut werden müssen. Letztlich ebnet eine gute Cloud-Strategie auch den Weg für die Cloud Transformation, die sicherstellt, dass Daten und Applikationen nicht einfach per Drag-and-drop in die Cloud verschoben, sondern auf die Dynamik der Cloud adaptiert werden.
Was empfehlen Sie Unternehmen, die noch keinen Disaster-Recovery-Plan haben?
Wenn ein Unternehmen heute keinen Disaster-Recovery-Plan hat, dann mangelt es höchstwahrscheinlich auch an dem Vorhandensein des Informationssicherheits-Bewusstseins auf der Geschäftsführungsebene. Hier empfiehlt es sich, einen kompetenten Cloud-Security-Experten beizuziehen und die Situation gemeinsam mit den Verantwortlichen zu analysieren. Wichtig ist, dass aufgrund der Kritikalität der Daten eine passende Lösung gefunden wird, mit der das Unternehmen bereit ist zu leben. Gerade hier gilt es, die Verantwortlichen aus dem Traum der trügerischen Sicherheit in der Cloud wachzurütteln.