Online-Marketing-Blog Heroshot

Cloud-basierte Storage-Lösungen: 
Erfolgsfaktoren, Risiken, Handlungsempfehlungen

Schlauen Sie sich auf

Cloud-basierte Storage-Lösungen: 
Erfolgsfaktoren, Risiken, Handlungsempfehlungen Cloud-basierte Storage-Lösungen: 
Erfolgsfaktoren, Risiken, Handlungsempfehlungen - Mobile
16.02.2016

Cloud-basierte Storage-Lösungen: 
Erfolgsfaktoren, Risiken, Handlungsempfehlungen

Ausgangssituation

In Unternehmen werden Daten und Informationen nicht mehr nur on-premise, d. h. auf selbst betriebenen und selbst administrierten Servern gespeichert, sondern zunehmend auch in der Cloud, also auf nicht selbst bereitgestellten Servern anderer Unternehmen. Ein Beispiel einer bekannten Cloud-basierten Enterprise-Storage-Lösung ist Dropbox Business. Durch die Nutzung von Cloud-basierten Storage-Lösungen ergeben sich für Unternehmen jedoch neue Herausforderungen, z. B. beim Datenschutz, der Infrastruktur oder der Administration. In diesem Blogartikel werden Erfolgsfaktoren und Risiken bei der Nutzung von Cloud-basierten Storage-Lösungen bzw. bei der Speicherung von Unternehmensinformationen in der Cloud identifiziert. Ergänzend sollen Handlungsempfehlungen gegeben werden, um eine in jeder Hinsicht reibungslose Nutzung von Cloud-basierten Storage-Lösungen sicherzustellen.

Erfolgsfaktoren im Überblick

Die Berücksichtigung der folgenden Erfolgsfaktoren ermöglicht eine effizientere und effektivere Nutzung von Cloud-basierten Storage-Lösungen:

Erfolgsfaktor 1 - Strategie: Der Umgang mit Daten und Informationen in einem Unternehmen ist immer in einem übergeordneten Ordnungsrahmen bestehend aus mehreren Aufgaben (A) zu sehen (vgl. Abbildung 1). Für eine erfolgreiche und nachhaltige Nutzung von Cloud-basierten Storage-Lösungen zur Ablage von Daten und Informationen müssen alle Aufgaben diskutiert und geregelt werden. Beantwortet werden müssen v. a. die folgenden Fragen:

  • A1: Welche Daten/Informationen werden in der Cloud gespeichert? Warum?
  • A2: Wer darf den Cloud-basierten Storage nutzen? Wer nicht?
  • A3: Wer verwaltet wie den Zugriff auf Daten/Informationen?
  • A4: Wer darf den Zugriff auf Daten/Informationen wem freigeben?
  • A5: Wie wird die Daten-/Informationsversorgung 
bei Ausführung von Prozessen sichergestellt?
  • A6: Erfüllt die Speicherung von Daten/Information in der Cloud 
alle gesetzlichen Vorgaben (z. B. zur Langzeitarchivierung)?

datenmanagement-und-informationsmanagement.jpg

Abbildung 1: Aufgaben im Daten- und Informationsmanagement.

Erfolgsfaktor 2 – Operative Steuerung: Die Definition einer übergeordneten Strategie ist nur der erste Schritt. Denn die im Rahmen der Strategiefindung definierten Vorgaben müssen operativ umgesetzt und durchgesetzt werden. Andernfalls kann die Nutzung Cloud-basierter Storage-Lösungen – trotz sinnvoller strategischer Überlegungen – sehr schnell außer Kontrolle geraten.

Erfolgsfaktor 3 - Infrastruktur: Die Nutzung Cloud-basierter Storage-Lösungen setzt extrem leistungsstarke Infrastrukturkomponenten (Verkabelung, Router, Switches, USV, Netzwerkmanagementsoftware) voraus – und zwar sowohl was das unternehmensinterne Netzwerk anbelangt, als auch was die Anbindung an externe Netze anbelangt. Dabei gilt: Nur weil, die Infrastruktur heute leistungsstark ist, heißt dies nicht, dass dies auch morgen noch der Fall ist. Der Umfang an Daten und Informationen wird in Unternehmen immer weiter ansteigen. Schon vor Einführung einer Cloud-basierten Storage-Lösung und auch danach muss immer wieder systematisch geprüft werden, ob die vorhandene Netzwerkinfrastruktur skaliert, ob diese also angepasst bzw. ausgebaut werden kann bzw. muss.

Risiken

Mit der Nutzung Cloud-basierter Storage-Lösungen sind verschiedene Risiken verknüpft:

R1 – Konnektivität: Kommt es zu Ausfällen der Netzwerkinfrastruktur, z. B. durch einen Stromausfall (der zum Ausfall interner Netzwerkkomponenten führt), sind auch Cloud-basierte Storage-Lösungen offline. Problematisch sind aber nicht nur lokale Stromausfälle, sondern v. a. auch Ausfälle regionaler, nationaler und globaler Netzwerkinfrastruktur. Großflächige Ausfälle des Internets kommen immer wieder vor und werden zunehmen. Kommt es zu längeren Konnektivitätsproblemen in geschäftskritischen Phasen, z. B. der Vorweihnachtszeit, können die Auswirkungen dramatisch sein – insbesondere auch aufgrund des Risikos R2.

cloud-storage-risiken-im-ueberblick.jpg

Abbildung 2: Risiken im Überblick.

R2 – Support: Der Support vieler Anbieter von Cloud-basierten Storage-Lösungen erfolgt nur per E-Mail, Chat-basiertem Live-Support oder Telefon. Erschwerend kommen ggf. Sprachschwierigkeiten hinzu – wenn Support nur auf Englisch angeboten wird. Gerade bei Problemen ist aber ein persönlicher, zumindest telefonischer Kontakt mit einem bekannten, immer gleichen Ansprechpartner sinnvoll. Fehlen persönliche Kontaktmöglichkeiten bzw. gibt es keinen persönlichen Ansprechpartner, ist dies ein erhebliches Risiko. Beispiel Dropbox: Zwar werden auf der Website Support-Möglichkeiten angesprochen (E-Mail, Live-Chat, Telefon) – allerdings fehlen genaue Angaben. In verschiedenen Dropbox-Foren wird der Dropbox-Support als problematisch geschildert. So ist zu lesen, dass die durchschnittliche Bearbeitung eines Support-Tickets zwischen 1 und 3 Werktagen dauert. Das kann insbesondere in geschäftskritischen Phasen problematisch werden oder auch bei großflächigen Problemen, wenn der Support die Anfragen sehr vieler Kunden gleichzeitig erhält und bearbeiten muss.

R3 – Sicherheit: Die Sicherheit von in Cloud-Speichern abgelegten Daten bzw. Informationen ist ein natürliches Risiko. Cloud-basierte Storage-Lösungen sind schon heute und werden auch zukünftig häufiges Ziel von externen Hackerangriffen und auch von internen Angriffen und Manipulationsversuchen sein. Eine Gefährdung besteht an drei Stellen: 1. bei der Übertragung in den Cloud-Speicher (~ Data in Transit), 2. im Cloud-Speicher selbst (~ Data in Rest) und 3. bei den Account-Daten (Benutzernamen und Passwörter). Im Herbst 2014 wurden beispielsweise von Angreifern Benutzernamen und Passwörter von über 7 Millionen Dropbox-Accounts gestohlen (damals über Dropbox-Apps von Drittanbietern).

R4 – Dienstleister: Auch Daten bzw. Informationen in der Cloud können aufgrund technischer Probleme oder Fehler beim genutzten Dienstleister verloren gehen bzw. beschädigt werden. Da der Cloud-Speicher bzw. die dahinter stehende Infrastruktur nicht selbst betrieben wird, ist man bei der Wiederherstellung von verlorengegangenen oder beschädigten Daten bzw. Informationen in jedem Fall IMMER auf die Kompetenz des Dienstleisters angewiesen.

R5 – File-Sharing: Ein großer Vorteil von Cloud-basierten Storage-Lösungen – die einfache Freigabe von Daten bzw. Informationen für andere Nutzer – ist zugleich ein großes Risiko. Cloud-Speicher und ihr Inhalt können auf sehr einfache Weise bewusst kompromittiert werden. Der Angriff erfolgt in diesem Fall nicht von extern, sondern durch eigene Mitarbeiter, die bewusst oder unbewusst Daten und Informationen für andere, unter Umstände beliebige externe Personen freigeben (die nicht mal einen Account für die Storage-Lösung benötigen). Ein in diesem Zusammenhang nicht zu unterschätzendes Problem ist die zunehmende Zahl von Drittanbietern-Apps, die eine Zugriffsberechtigung auf den Cloud-Speicher verlangen. Insbesondere ohne Erlaubnis oder Wissen der IT-Abteilung heruntergeladene und installierte Apps stellen ein gravierendes Sicherheitsrisiko dar.

R6 – Nutzermanagement: Insbesondere wenn viele Nutzer eine Cloud-basierte Storage-Lösung nutzen wird die Verwaltung der Nutzer zu einem Risiko. Das Risiko den Überblick zu verlieren steigt umso weniger die Freischaltung von Nutzern und die Zuordnung von Freigaben nicht systematisch geplant, dokumentiert und durchgeführt wird, beispielsweise auf Basis einer Anbindung an vorhandene Rollen- und Berechtigungskonzepte wie z. B. LDAP. Problematisch sind insbesondere auch Bring-Your-Own-Device-Regelungen, die dazu führen das geschäftliche und private Aspekte vermischt werden – sehr gefährlich gerade bei Cloud-Storage-Lösungen.

R7 – Safe Harbor: Der ordnungspolitische Rahmen für die Nutzung von Cloud-basierten Diensten ist äußerst dynamisch. Das in Europa bis Herbst 2015 gültige Safe Harbor Abkommen wurde vom Europäischen Gerichtshof für unwirksam erklärt. Aktuell wird bereits an einer neuen EU-Rahmenverordnung zum Thema Datenschutz und Auftragsdatenverarbeitung gearbeitet. Diese Rahmenverordnung tritt nicht vor 2017 in Kraft. Die Auswirkungen zukünftiger gesetzlichen Anforderungen sind allerdings noch nicht absehbar. Im Worst Case kann die Nutzung US-amerikanischer Cloud-Services für europäische Unternehmen illegal sein.

Handlungsempfehlungen

9 Handlungsempfehlungen für die Nutzung Cloud-basierter Storage-Lösungen:

H1 – Zentrale Administration: Die Nutzung von Cloud-basierten Speicher-Lösungen muss systematisch und zentral (!) gesteuert werden – und zwar von Anfang an! Wird dies nicht getan, entsteht sehr schnell eine nicht mehr beherrschbare und nicht mehr kontrollierbare Umgebung mit vielfältigen Angriffspunkten sowohl für externe Angreifer als auch für interne Mitarbeiter.

H2 – Zwei-Schritt-Verifikation: Viele Cloud-Storage-Anbieter (auch Dropbox) bieten eine zweistufige Authentifizierung, die auf jeden Fall genutzt werden sollte. Erhält ein Nutzer erstmalig Zugriff auf einen Cloud-Storage, z. B. einen Team-Ordner in der Dropbox, muss der Nutzer nicht nur Benutzernamen und Kennwort angeben, sondern auch einen zusätzlichen Sicherheitscode bzw. Schlüssel (der dem Nutzer im Normalfall per SMS an das eigene Mobiltelefon gesendet wird). Die Zwei-Schritt-Verifikation ist auch erforderlich, wenn neue Endgeräte (PCs, Smartphones, Tablets) mit einem bestehenden Konto verknüpft werden. Beispiel Dropbox: Administratoren können für jedes Team-Mitglied individuell festlegen, ob die zweistufige Verifikation genutzt wird. Dies ist für ALLE Nutzer zu empfehlen, v. a. für Mitarbeiter im Außendienst.

H3 – Monitoring von Freigaben: Es ist wichtig, regelmäßig und systematisch von Nutzern innerhalb und außerhalb erteilte Freigaben für Dateien bzw. Informationen zu kontrollieren. Zu beobachtende Ereignisse sind v. a. das Erstellen freigegebener Ordner, das Erstellen von Freigabelinks sowie Änderungen der Berechtigungen für freigegebene Ordner und Links. Beispiel Dropbox: Der Administrator eines Dropbox Business-Teams kann nachverfolgen, wie Daten innerhalb und außerhalb Ihres Unternehmens freigegeben werden. Dropbox protokolliert alle internen und externen Freigabeaktivitäten (der Ordner „Public“ sollte aber für alle Dropbox-Nutzer deaktiviert werden, da Dropbox nicht protokolliert, was in diesem Ordner passiert).

H4 – Governance: Jeder Governance-Ansatz für die Nutzung Cloud-basierter Storage-Lösungen muss zwei Dinge regeln: 1. Welche Daten bzw. Informationen dürfen in dem Cloud-basierten Storage abgelegt werden und welche nicht? 2. Mit welchen (mobilen) Apps darf auf den Cloud-basierten Storage zugegriffen werden? Frage 1 lässt sich über so genannte Storage Zones abbilden. Regeln definieren, welche Daten bzw. Informationen wo abgelegt werden dürfen bzw. müssen. Die konzeptionelle Basis zur Beantwortung von Frage 2 ist ein Enterprise Mobility Management (EMM), über das festgelegt wird, welche mobilen Apps für den Zugriff auf den Cloud-basierten Storage autorisiert sind. EMM ist wichtiger als Storage Zones!

H5 – Trennung von privaten und geschäftlichen Lösungen: Die Nutzung von Cloud-basierten Storage-Lösungen ist im Privatleben vieler Menschen etabliert. Daher muss strikt zwischen privat genutzten und geschäftlichen Cloud-Speichern unterschieden werden. Gerade die Vermischung von privaten und geschäftlichen Storage-Lösungen birgt großes Gefährdungspotenzial. Das Problem: Privat-Accounts entziehen sich dem Einflussbereich des Unternehmens und können auch zu rechtlichen Komplikationen führen. Im Idealfall ist die gleichzeitige Nutzung von privaten und geschäftlichen Cloud-Speichern auf einem Endgerät (PC, Smartphone, Tablet) verboten.

H6 – Verschlüsselung: Um ein Mitlesen zu übertragender Daten (~ Data in Transit) zu verhindern sind alle Datenübertragungen zu verschlüsseln (bei Dropbox wird der Datenaustausch standardmäßig über SSL verschlüsselt). Und: Amerikanische Cloud-Anbieter wie Dropbox können durch den Patriot Act von US-Behörden dazu gezwungen werden, Daten auch von europäischen Kunden herauszugeben. Daher müssen auch alle in externen Cloud-Speichern abgelegten Daten (~ Data at Rest) konsequent verschlüsselt werden; dazu gibt es Lösungen (z. B. Boxcyrptor). Beispiel Dropbox: Hier werden gespeicherte Dateien zwar mit dem 256-Bit Advanced Encryption Standard (AES) verschlüsselt. Obwohl die Daten per AES verschlüsselt werden, haben Dropbox-Mitarbeiter und Kooperationspartner aber Zugriff auf die Daten.

H7 – Disaster Recovery: Für ALLE Daten bzw. Informationen in der Cloud muss eine Backup- bzw. Wiederherstellungsstrategie existieren. Das Ziel: Nach einem Vorfall müssen ALLE Daten bzw. Informationen vollständig und korrekt wiederhergestellt werden können. Jede Lösung für das Disaster Recovery alle Prozesse einbeziehen, die notwendig sind, um Daten und Informationen komplett wiederherzustellen (Backup, Wiederherstellung, Inbetriebnahme, Prüfung auf Korrektheit/Konsistenz etc.). Dies beinhaltet auch Mitarbeiter-Backups! Es muss mindestens zwei Mitarbeiter geben, die genau wissen, wie eine Wiederherstellung von Daten bzw. Informationen erfolgt. Auch der Anbieter des Cloud-Speichers sollte ausreichende Informationen und Richtlinien geben sowie Ansprechpartner nennen, die bei einem Worst-Case-Szenario helfen, Probleme zu beseitigen. Zu beachten ist: Sollte es bei einem Anbieter eines Cloud-Speichers zu größeren Problemen kommen, sind vermutlich viele oder sogar sehr viele Kunden betroffen. Dies kann dazu führen, dass sich die Beseitigung der Probleme verzögert.

H8 – Backups: Regelmäßige Backups auf der Seite des Anbieters des Cloud-Speichers sind unabdingbar. In der Regel sollte eine Sicherungskopie mindestens einmal pro Tag erstellt werden. Es gibt jedoch Anbieter, die mehrere tägliche Backups durchführen. Die Backup-Strategie des Anbieters sollte im Idealfall auf der Produktwebsite formal dokumentiert und detailliert beschrieben werden. Als zusätzliche Sicherheitsmaßnahme ist es empfehlenswert, eigene Sicherungskopien in vordefinierten Zeitintervallen zu erstellen. Zu diesem Zweck bieten Cloud-basierte Storage-Lösungen oft entsprechende Export-Funktionen an.

H9 – Dienstleister-Management: Ziel sollte sein, nicht zu viele parallele Cloud-Speicher einzusetzen. Jeder Anbieter sollte genau evaluiert werden. Vor allem: Ist der Dienstleister zertifiziert? Die Sicherheitsvorkehrungen eines Dienstleisters sollten beispielsweise der ISO-27001-Zertifizierung entsprechen. Auch der Vertrag und die in diesem dokumentierten Leistungsmerkmale sollten genau geprüft und bewertet werden. Dropbox Business beispielsweise ist ISO 27001- und ISO 27018-zertifiziert. ISO 27001 ist die weltweit wichtigste Norm für Informationssicherheit. ISO 27018 ist ein neu entstehender Standard für Datenschutz und Informationssicherheit, der sich speziell an Serviceanbieter wie Dropbox richtet, die in der Cloud arbeiten und im Auftrag ihrer Kunden vertrauliche Daten verarbeiten.