Cloud-Strategie: Drei Tipps für die Datensicherung in der Cloud

Foto: Who is Danny – shutterstock.com

Der Umfang der “Global DataSphere” wächst explosionsartig. Die Analysten von IDC sagen voraus, dass sich die weltweite Datenmenge bis zum Jahr 2026 verdoppeln wird, da die meisten Unternehmen ihre Abläufe digitalisiert haben und immer mehr strategische Arbeitslasten hinzufügen. So erzeugen sie immer mehr Daten. Da die Datenmenge, mit der Unternehmen umgehen müssen, exponentiell steigt, bietet der Wechsel in die Cloud auf der Grundlage einer durchdachten Strategie erhebliche Vorteile wie Skalierbarkeit, Flexibilität und kostengünstige Speicherung.

Das kann jedoch nicht ewig so gehen. Die Analysten von Gartner gehen davon aus, dass die weltweiten Ausgaben der Endnutzer für öffentliche Cloud-Dienste in diesem Jahr einen Rekordwert von 592 Milliarden Dollar (rund 555 Milliarden Euro) erreichen werden, was einem Anstieg von 21 Prozent gegenüber 2022 entspricht. Dieses rasante Wachstum und die Migration geben auf Unternehmensebene den Anlass zur Besorgnis, da schnelle Lift-and-Shift-Migrationen bedeuten, dass bewährte Praktiken der modernen Datensicherung nicht (mehr) befolgt werden. Laut der Cloud Security Alliance (CSA) geben 96 Prozent der Unternehmen an, dass sie sensible Cloud-Daten nur unzureichend schützen.

Jetzt kostenlos für den CSO-Newsletter anmelden

Hier sind drei Tipps für die Datensicherung in der Cloud:

1. Die eigenen Daten kennen

Der erste Schritt zur Lösung eines Problems besteht darin, zu wissen, womit man es zu tun hat. Daher müssen die Verantwortlichen der IT wissen, welcher Angestellte welche Daten an welchem Ort speichert. Außerdem müssen sie herausfinden, ob alle Mitarbeiter des Unternehmens die gleichen Konten verwenden. Um dies sicherzustellen, müssen die IT-Abteilungen oft den Detektiv spielen oder sich auf eine Entdeckungsreise durch das Unternehmen begeben. Oft ist es notwendig, die Finanzen zu prüfen und Rechnungen für Cloud-Kosten im gesamten Unternehmen zu sammeln.

Die Datenmenge in den meisten Unternehmen ist dabei enorm, unabhängig davon, ob diese Daten von lokalen Systemen migriert oder ursprünglich in der Cloud gespeichert wurden. Jedoch: In der virtuellen Garage namens Cloud können zwar endlose Kisten mit Daten gespeichert werden, aber alles wiederzufinden ist nur die halbe Miete. Um zu wissen, welche Daten unternehmenskritisch und sensibel sind, müssen sie klassifiziert werden. Automatisierte Datenklassifizierungsprogramme können beim Sortieren und Organisieren helfen, damit die Entscheider nicht blindlings versuchen, alles bis zum kleinsten Detail zu schützen. Erst wenn die Fachkräfte wissen, was die Firma wo in der Cloud gespeichert hat , können sie sich Gedanken darüber machen, wie diese Daten gesichert werden sollen.

Da die Einstiegshürde für Unternehmen, die Daten in die Cloud zu verlagern, relativ niedrig ist, haben die Teams den erforderlichen Sicherheits- und Netzwerkprozessen oft keine Priorität eingeräumt – wenn die Migration zu schnell erfolgte, kann dies leicht der Fall sein. Da es sich bei der Cloud aber um eine völlig andere Umgebung handelt als bei einem Rechenzentrum, die es auf ihre Weise zu schützen gilt, werden oft Dinge übersehen, wie neue Diensttypen, die es On-Premise nicht immer gibt. Viele davon müssen im Falle von Angriffen oder Ausfällen geschützt und wiederhergestellt werden können. Beispiele hierfür sind Code in Cloud-Speichern, Anwendungen, die andere Cloud-Dienste nutzen, sowie in der Cloud bereitgestellte APIs.

Lesetipp: Die 9 besten API-Tools

2. Die eigene Verantwortung kennen

Ein großes Problem ist häufig, dass Unternehmen nicht wissen, wofür sie in Bezug auf die IT-Sicherheit und die Datensicherung in der Cloud verantwortlich sind. Das Bewusstsein für das Modell der Geteilten Verantwortung, auf dem die Cloud-Sicherheit beruht, ist gering. Das bedeutet, dass viele Firmen davon ausgehen, dass der Anbieter der Cloud für bestimmte Sicherheitsmaßnahmen verantwortlich sei, obwohl dies in Wirklichkeit ihre Aufgabe ist. Es hängt zwar vom jeweiligen Cloud-Anbieter ab, aber in der Regel ist der Provider für die Sicherheit der Infrastruktur und der physischen Einrichtungen, in denen sie läuft, verantwortlich. Für die Sicherung von Anwendungen, Daten und den Zugriff auf die Umgebung steht jedoch der Kunde gerade.

In der Praxis bedeutet dies, dass Unternehmen sicherstellen müssen, dass sie über Backups aller kritischen und sensiblen Daten verfügen, die in der Cloud gespeichert sind. Am besten ist es, mehrere Backups an verschiedenen Orten zu haben, zum Beispiel eine Kopie vor Ort und eine Kopie in der Cloud, und Kopien der Daten auf verschiedenen Medien zu haben, wobei mindestens eine Kopie extern, offline und unveränderlich aufbewahrt werden muss.

Die andere zentrale Sicherheitsverantwortung, die beim Unternehmen liegt, ist die Kontrolle des Zugangs und der Berechtigungen. Wenn jeder Nutzer der Cloud einen Zugriff auf den Administrator-Zugang hat, wird jeder Verstoß verheerend sein. Das Gleiche gilt, wenn das Unternehmen ein einziges Konto für mehrere verschiedene Funktionen, wie Schutz und Bereitstellung, verwendet. Am besten ist es, wenn CISOs sicherstellen, dass im gesamten Unternehmen mehrere Konten verwendet werden und dass die Zugriffs- und Identitätsverwaltung für alle Konten und Abonnements richtig arbeitet. So können die Fachleute den Fehler im Falle eines Sicherheitsverstoßes leicht beheben. Auf Benutzerebene ist sicherzustellen, dass das sogenannte Prinzip der “geringsten Privilegien” in der gesamten Cloud-Umgebung befolgt wird, damit die Mitarbeiter nur Zugang zu den Ressourcen und Umgebungen haben, die sie benötigen.

Lesetipp: Die Cloud ist zu oft falsch konfiguriert

3. Das Projekt günstig halten

Aller Wahrscheinlichkeit nach wird die Umsetzung der beiden zuvor genannten Grundsätze für die meisten Unternehmen ein umfangreiches Projekt darstellen. Die gute Nachricht: Der anfängliche Kraftakt muss nicht noch einmal in demselben Umfang erforderlich sein, wenn das Projekt läuft. Um aber die Cloud-Umgebung langfristig gesund und kosteneffizient zu halten und zu gestalten, ist es wichtig, ein Sicherheitsbewusstsein für die Cloud unter der Belegschaft zu etablieren.

Außerdem muss sichergestellt werden, dass man über einen angemessenen Datenlebenszyklusprozess verfügt. Andernfalls wird die anfänglich gute Arbeit im Laufe der Zeit ineffektiv und teuer, da das Unternehmen für die Speicherung und den Schutz der falschen Daten auf die falsche Weise bezahlt. Die Daten müssen auf der richtigen Speicherplattform in der Cloud liegen und diese ändert sich im Laufe ihres Lebenszyklus. So können Daten zum Beispiel von Block-Ressourcen zu Objektspeichern oder zu Archivspeichern wechseln. Die damit verbundenen Kosten sind variabel. Kluge CISOs stellen daher sicher, dass ihre Daten nicht auf ineffiziente Weise gespeichert werden.

Dies ist ein kleiner Beitrag zur Vermeidung eines eventuellen Rechnungsschrecks für Cloud Computing und Speicherkosten. Zu den Kosten gehören aber nicht nur die einfachen Daten, sondern auch die API-Kosten, die Datenübertragung und vieles mehr. Aus diesem Grund empfiehlt sich als Strategie ein etabliertes Cloud-Wirtschaftsmodell, das die Unternehmen streng befolgen, um zu verhindern, dass sich die Kosten aufblähen. So stellen sie auch sicher, dass die Ausgaben den Erwartungen entsprechen. Um eine Analogie aus dem wirklichen Leben zu verwenden: Wenn man ein Licht brennen lässt, das man nicht mehr nutzt, werden die monatlichen Rechnungen höher ausfallen als erwartet.

Lesetipp: Diese Sicherheitsrisiken lauern bei der Cloud-Migration

Die Cloud erfordert Agilität

Da die Menge der gespeicherten Daten in Unternehmen in den nächsten fünf Jahren weiter steigt, wird die Cloud ein wichtiger Teil des Puzzles bei der Verwaltung dieser Daten sein. Unternehmen müssen über die reine Speicherung und den Schutz ihrer Daten hinausgehen und nach Möglichkeiten suchen, diese wirklich vorteilhaft für sich selbst und seine Kunden zu nutzen. Dies erfordert ein Umdenken für mehr Agilität, aber das bedeutet auch, dass sie sich auf unvorhersehbare Szenarien wie einen Ausfall vorbereiten müssen. Cloud Computing ist außerdem dynamisch und wird sich verändern, weswegen sich auch die besten Handgriffe ändern werden. Daher ist es an der Zeit, dass Unternehmen sich auf ihre Datensicherheit konzentrieren – sowohl in der Cloud als auch vor Ort, denn erst dann sind sie gegen alles gerüstet, was die Zukunft bringen könnte. (ms)