Datensicherheit und Datenrettung in der Cloud Kroll Ontrack Studie
Inhalt I. Definition des Begriffs Cloud und Anwendung 4 II. Risiken 6 III. Anspruchsvolle Wiederherstellung bei Datenverlust 7 IV. Wichtige Fragen, die Sie Ihrem Cloud-Anbieter vorab stellen sollten 8 V. Mythen der Cloud 10 Kundenreferenz 11 2
Cloud Computing ist der große Trend im Informationsmanagement. Jeder möchte in die Cloud, aber kaum einer denkt über die Risiken nach, die gerade im Fall eines Datenverlusts entstehen können. Daher hat Kroll Ontrack, Spezialist für Datenrettung und Information Management, auf den weltweit stattfindenden VMware-Foren eine Studie zum Thema Cloud und virtuelle Umgebungen durchgeführt. An der Studie, die zwischen April und Juni 2012 durchgeführt wurde, nahmen 367 IT-Spezialisten teil. 51 Prozent der Befragten sind bei Unternehmen angestellt, während 32 Prozent für Dienstleister arbeiten. Teilnehmende Länder Im folgenden Bericht erfahren Sie: 10% UK 19% IT 15% CH 15% DE 27% US 5% FI 3% DK 3% SE 2% NO 1% NL Was Cloud eigentlich ist und welche aktuellen Entwicklungen es bei der Anwendung gibt Welche Vor- und Nachteile die Cloud hat Warum Datenrettung in der Cloud und bei virtuellen Anwendungen sehr anspruchsvoll ist Welche Fragen Sie stellen sollten, bevor Ihr Unternehmen in die Cloud geht Welche Mythen rund um das Thema Cloud kursieren 3
I. Definition des Begriffs Cloud und Anwendung Im Allgemeinen unterscheidet man drei Arten von Cloud-Umgebungen: Public Cloud: Öffentliche Speicher- und Softwarelösungen, die von einem Drittanbieter gehostet werden und bei denen Hardware und Software außerhalb des Einflusses des Vertragspartners liegen. Private Cloud: Private Speicher- und Softwarelösungen, die intern gehostet werden. Wird auch als Enterprise Cloud bezeichnet. Hybrid (Public/Private) Cloud: Eine Mischung aus Public und Private Cloud. Die Vorteile der Cloud-Lösungen sind: Keine hohen Anfangsinvestitionen für Hardware Nur eingeschränkte IT-Schulungen bzw. wenige IT-Mitarbeiter zur Installation und Wartung nötig Gleichbleibende, prognostizierbare Lizenzgebühren für Software Die Möglichkeit, innerhalb weniger Minuten in Betrieb zu gehen Welchen Anteil haben Cloud-Lösungen an Ihrer Speicherumgebung? Keinen 16% Keinen, denken aber über Cloud nach 1% - 24% 22% 22% 25% - 49% 50% - 74% 75% - 100% 10% 15% 15% 4
Außerdem können Unternehmen aus verschiedenen Cloud-basierten Umgebungen wählen, unter anderem: Software as a Service (SaaS) der benutzerfreundlichste Cloud-Dienst, da er die volle Programm-Funktionalität über ein Web-basiertes Interface bietet. Beispielsweise gibt es komplette Office-Lösungen, auf die ganz einfach per Browser und Internetanschluss zugegriffen werden kann, wie z.b. Salesforce.com. Infrastructure as a Service (IaaS) der am weitesten verbreitete Cloud-Dienst (z.b. Amazon EC2, Rackspace und Google), da er Organisationen ermöglicht, nur das Nötigste an IT-Infrastruktur selbst vorzuhalten. Beispielsweise ermöglicht IaaS Anwendern den Zugriff auf externe, virtualisierte Rechner, ohne dass Hardwareoder Betriebskosten getragen werden müssen.»» Platform as a Service (PaaS) zielt auf die schnelle Anwendungsentwicklung und bringt die beiden zuvor erwähnten Dienste in Einklang. Man kann sich PaaS als Vermittler zwischen SaaS und IaaS vorstellen. Dieser Cloud-Dienst wird sich wohl schneller verbreiten als gedacht, da er eine größere SaaS-Funktionalität ermöglicht. Dieses Angebot könnte beispielsweise so aussehen, dass es eine Kombination aus Maschinen-, Speicher-, Betriebssystem-, Entwicklungs- und Webumgebung vereint. 5
II. Risiken Ähnlich wie bei Non-Cloud-Lösungen gab und gibt es bezüglich Cloud Computing viele Bedenken, darunter: Gefahr von Datenverlusten Probleme mit dem Datenschutz, da man bei Cloud Computing nur schwer herausfinden kann, an welchem Ort die Daten gespeichert sind Die Bedrohung eines Fremdzugriffs auf die gespeicherten Daten durch Hacker oder Viren Ungewolltes Offenlegen sensibler Daten gegenüber Providern, Administratoren oder anderen Cloud-Nutzern Während 62 Prozent der befragten Organisationen angeben, die Cloud zu nutzen, gibt nur ein Drittel der Befragten an, dass sie einen Datenrettungs-Plan mit Richtlinien zum Schutz ihrer Daten im Notfall ausgearbeitet haben. Ein Datenverlust kann jedoch immer auftreten, egal ob die Daten auf klassischen, virtualisierten oder Cloud-Speicherlösungen abgelegt sind. Auch Backup-Systeme sind nie zu 100 Prozent zuverlässig, außerdem kann es immer vorkommen, dass wichtige Daten beim letzten Backup nicht gesichert wurden. Denn die Datensicherung ist immer nur eine Momentaufnahme des Systems und spiegelt selten den allerneuesten Stand der Daten wieder. Eine weitere Herausforderung stellen Datenarchive dar. Hierbei kann es durchaus vorkommen, dass Daten nicht mehr zugänglich sind, weil das aktuelle Dateiformat oder das Betriebssystem inkompatibel mit dem Archivsystem ist. 49 Prozent der befragten Unternehmen gaben an, dass sie im letzten Jahr einen Datenverlust hatten. Nur 3 Prozent der befragten Unternehmen hatten bereits einen Datenverlust in der Cloud erlebt, bei klassischen Medien waren es 55 Prozent. Virtualisierte Speicherumgebungen lagen bei der Umfrage dazwischen, hier kam es in 26 Prozent der Fälle zu einem Verlust der gespeicherten Daten. Diesen Trend spiegelt auch eine kürzlich erfolgte Prognose der Marktforscher von Gartner 1 wieder: Bis Ende 2016 wollen über 50 Prozent der Global-1.000-Unternehmen sensible Kundendaten in der öffentlichen Cloud speichern. Ja, Cloud und Virtuelle Ja, Cloud 3% Ja, virtuelle Umgebungen 16% 26% 55% Ja, klassische Speichermedien Haben Sie schon einmal einen Datenverlust in der Cloud und/oder anderen Speichersystemen erlitten? 6 1 Gartner, Gartner Reveals Top Predictions for IT Organizations and Users for 2012 and Beyond (Dec. 1, 2011) http://www.gartner.com/it/page.jsp?id=1862714
Immer mehr Unternehmen nutzen die Cloud für geschäftskritische Funktionen und benötigen daher virtuelle Backup-Systeme. Und da Cloud-Anbieter nicht für beschädigte, gelöschte, zerstörte oder verlorene Dateien haftbar gemacht werden können, ist es heute wichtiger denn je, Validität und Zugänglichkeit der Daten zu überprüfen. Desweiteren ist es extrem wichtig, dass IT-Administratoren schon im Vorfeld einen Datenrettungsspezialisten in ihren Notfallplänen berücksichtigen und auch darauf achten, dass ihre Vertragspartner dasselbe tun. III. Anspruchsvolle Wiederherstellung bei Datenverlust Heutzutage verwalten Unternehmen riesige Mengen strukturierter und unstrukturierter Daten sowohl in Cloud-basierten als auch in virtuellen Umgebungen. Das erschwert die Datenwiederherstellung im Falle eines Datenverlustes. Denn die Daten befinden sich an verschiedenen Speicherorten und bewegen sich für schnelle Zugriffszeiten ständig zwischen Speicherschichten hin und her. Unternehmen laufen daher Gefahr, den Überblick über den augenblicklichen Aufenthaltsort der Daten zu verlieren. Cloud- Provider versuchen, die Speicherlösungen für den Endkunden möglichst komfortabel zu gestalten, schaffen dabei aber äußerst komplexe Szenarien für den Fall eines Datenverlustes. Generell vertrauten die meisten Befragten ihrem eigenen Unternehmen, dass dieses im Falle eines Datenverlustes erfolgreich Daten aus der Cloud wiederherstellen könnte. Doch Statistiken aus der Branche weisen darauf hin, dass dies zu optimistisch sein könnte. Ungefähr 68 Prozent der Angestellten im IT-Bereich berichten, dass die Datenverwaltung über physische, Cloud- und virtuelle Speicherumgebungen die komplexeste Aufgabe bei der Bewältigung eines Disaster-Falles ist. 2 Da IT-Abteilungen in Unternehmen jeder Größenordnung oft mit stark eingeschränkten Ressourcen auskommen müssen, haben sie meist nicht genug Mitarbeiter mit ausreichendem Fachwissen, um Daten ohne die Hilfe externer Dienstleister selbst wiederherzustellen. Wie hoch ist Ihr Vertrauen in die Fähigkeit Ihres Unternehmens, Daten im Falle eines Datenverlustes in der Cloud wiederherzustellen? 5% Überhaupt nicht 24% Nicht wirklich hoch 48% Relativ hoch 23% Sehr hoch 2 InformationWeek, U.S. SMBs Lag In Disaster Recovery Readiness (Jan. 19, 2011) http://www.informationweek.com/news/smb/security/229000933?pgno=2 7
IV. Wichtige Fragen, die Sie Ihrem Cloud-Anbieter vorab stellen sollten Um diese Risiken zu vermeiden und von den Vorzügen der Cloud-basierten Lösungen zu profitieren, benötigen Unternehmen eine Lösung für das Informationsmanagement sowie eine Strategie, die das Unternehmen auf Datenverwaltung und -wiederherstellung vorbereitet. Unternehmen, die die Cloud in Betracht ziehen, sollten ihrem Cloud- Anbieter eine Reihe technischer, sicherheitsrelevanter und rechtlicher Fragen stellen, bevor sie eine Entscheidung treffen. Technische Fragen Unterbrechungen bei der Stromversorgung und Spannungsspitzen können Datenverlust hervorrufen, Daten beschädigen und die Verfügbarkeit einschränken. Ist Ihr Cloud-Anbieter in technischer Hinsicht zuverlässig genug, um auf alle Eventualitäten zu reagieren? Welche Art der Datenspeicherung wird genutzt? Wird ein redundantes RAID eingesetzt? Welcher Hypervisor wird verwendet? Sind die Mitarbeiter/Datenzentren des Anbieters zertifiziert? Sind Backup-Systeme und -Protokolle eingerichtet? Entsprechen diese Systeme und Protokolle Ihrem eigenen firmeninternen Datensicherungs-Standard? Hat Ihr Cloud-Anbieter in seinem Business-Continuity- oder Disaster-Recovery- Plan einen Datenrettungsspezialisten angegeben? Im Falle eines Datenverlustes ist schnelle Reaktion gefragt. Dabei hilft es, wenn bereits Kontakt zu einem Datenrettungsunternehmen besteht. Welche Service Level Agreements und Vereinbarungen gelten für Datenwiederherstellung, Haftung bei Verlust, Nachbesserungen und Geschäftsergebnisse? Können Sie Daten zwischen verschiedenen Cloud-Diensten teilen? Wenn Sie einen Cloud-Vertrag kündigen, bekommen Sie Ihre Daten zurück? Wenn ja, in welchem Format? Wie können Sie sicher gehen, dass alle anderen Kopien vernichtet wurden? Fragen zur Datensicherheit Welche Maßnahmen ergreift der Provider zum Schutz Ihrer Daten? Werden Daten, die zum Löschen vorgemerkt sind, auch wirklich gelöscht? Wer bürgt dafür, dass alle Daten gelöscht wurden?»» Sind Sie immer noch der rechtmäßige Eigentümer Ihrer Daten, wenn diese sich in der Cloud befinden? 8
An wen wenden Sie sich im Falle von Datenverlust/ Datenkorruption als erstes? 4% Cloud-Dienst-Anbieter 13% Weiß nicht 14% Datenwiederherstellungsspezialist 23% Hardware-/Softwareanbieter (z.b. VMware/EMC) 46% Interne IT / Datenwiederherstellungsabteilung Rechtliche Fragen Sichert der Cloud-Anbieter die Daten in Übereinstimmung mit den Backup- Richtlinien Ihres Unternehmens? Bietet der Cloud-Provider Garantien, dass er sich an Datenschutzvereinbarungen hält? Werden Sie oder Ihr externer E-Discovery Spezialist im Falle rechtlicher Streitigkeiten oder Ermittlungen Zugriff auf die Daten erhalten, um sie entweder zu extrahieren oder die Informationen, die dort gespeichert sind, zu sichern? Wo genau sind Ihre Daten gespeichert? An welchem Ort befindet sich das Rechenzentrum? 9
V. Mythen der Cloud Die Wahrscheinlichkeit einer erfolgreichen Datenrettung aus Datenbanken, virtuellen Systemen und/oder der Cloud ist ähnlich groß (manchmal sogar größer) als bei physikalischen Festplatten. IT-Abteilungen von Unternehmen sind heute für eine immer stärker wachsende Datenmenge verantwortlich und viele Unternehmen steigen auf neue Datenbanken oder Cloud-basierte Lösungen um. Sie sollten deshalb frühzeitig Kontakt zu einem Datenrettungsspezialisten aufnehmen, der eigene Tools und Lösungen für die Datenwiederherstellung in diesen Umgebungen hat. Wenn Sie einen solchen Spezialisten auswählen, gehen Sie sicher, dass: Er Daten aus komplexen RAID-, SAN, virtuellen und Cloud-Umgebungen wiederherstellen kann. Er die Möglichkeit hat, Daten in beschädigten Dateien zu reparieren und wiederherzustellen, wie z.b. Server- und Desktop-basierter E-Mail-Verkehr, Datenbanken und Office-Anwendungen (Textverarbeitung, Präsentationen und Tabellen).»» Er für die Wiederherstellung verschlüsselter Daten eigens entwickelte Werkzeuge hat. Es ist von grundlegender Wichtigkeit, dass Ihr Datenretter auch verschlüsselte Daten retten und diese auch in verschlüsselter Form wieder zurückgeben kann. 10
Kundenreferenz Kroll Ontrack arbeitet bereits seit längerem mit der Bank of Manhattan zusammen, um ihr bei verschiedenen Datenrettungs-Aktionen zur Seite zu stehen. Eines der letzten Projekte war die Wiederherstellung eines komplexen Netapp-Speichernetzwerks, das mit verschiedenen Microsoft Server Versionen (2003 und 2008) läuft. Dabei profitierte die Bank in drei wichtigen Bereichen von der Expertise von Kroll Ontrack: Kurze Downtime Durch die Beauftragung von Kroll Ontrack konnten wichtige virtuelle Server bereits 30 Prozent früher wieder in Betrieb genommen werden als mit den bisherigen Wiederherstellungsmaßnahmen. Datenrettung vs. Backup Kroll Ontrack hat der Bank of Manhattan komplette Klone von wichtigen virtuellen Servern zur Verfügung gestellt, genau zum Zeitpunkt des Systemversagens, statt zum Zeitpunkt der letzten Sicherung. Dadurch konnte die Bank viele integrierte Server genau zum Zustand des Systemversagens wiederherstellen. 24h-Service Kroll Ontrack hat Teams in den verschiedensten Zeitzonen eingesetzt, um der Bank of Manhattan einen Rund um die Uhr-Service zu bieten. Dabei wurden stündlich, stellenweise sogar minütlich, Statusupdates gegeben und der vorraussichtliche Zeitpunkt der Projektfertigstellung angekündigt. Dies half der Bank of Manhattan dabei, die Wiederherstellung und Wiederinbetriebnahme der Server so effizient wie möglich zu planen und durchzuführen. Curtis Birkmann, Senior Vice President und Chief Information Officer, Bank of Manhattan kommentiert die Zusammenarbeit mit Kroll Ontrack deshalb sehr positiv: Zusammengefasst lässt sich sagen, dass ich Kroll Ontrack für das Wissen um komplexe Wiederherstellungslösungen danken möchte. Sie haben der Bank of Manhattan schnell und kompetent geholfen, waren professionell, haben die Datenrettung effizient durchgeführt und sind damit ein Partner für unsere Business Continuity Planung, wie wir ihn uns nur wünschen können. 11
Mehr Informationen im Internet oder über unsere kostenlose Hotline: 0800 10 12 13 14 www.krollontrack.de Copyright 2012 Kroll Ontrack Inc. Alle Rechte vorbehalten. Kroll Ontrack, Ontrack und andere hier erwähnte Marken- und Produktnamen von Kroll Ontrack sind Marken oder eingetragene Marken von Kroll Ontrack Inc. und/oder des Mutterunternehmens Kroll Inc. in den USA und/oder anderen Ländern. Alle anderen Marken und Produktnamen sind Warenzeichen oder eingetragene Warenzeichen ihrer jeweiligen Eigentümer.