München, Starnberg, 25. März 2021 - Den Daten-GAU verhindern am Beispiel von NetApp SaaS Backup für Microsoft 365; der Service wird in Deutschland von Fujitsu angeboten...

Zum Hintergrund: Wer Anwendungen aus einer Public Cloud nutzt, darf einen Faktor nicht übersehen: die Sicherung der Daten, die damit bearbeitet werden. Denn dafür ist der Nutzer von Software-as-a-Service-Angeboten zuständig und nicht der Cloud-Serviceprovider. SaaS-Backup-Lösungen sind somit bei der Nutzung von Cloud-Services wie Microsoft 365 unverzichtbar. Die Zahlen sprechen für sich: Rund 48 Prozent der Firmen (Prozent) beziehen mindestens die Hälfte ihrer Unternehmensanwendungen aus der Cloud. Dazu gehören Office-Pakete wie Microsoft 365 sowie CRM-Lösungen (Customer Relationship Management) und ERP-Software (Enterprise Resource Planning) von Anbietern wie SAP und Salesforce. Das ergab der "Cloud Monitor 2020", den die Unternehmensberatung KPMG in Zusammenarbeit mit der Marktforschungsfirma Bitkom Research erstellte. An die 40 Prozent der Unternehmen speichern mittlerweile geschäftskritische Daten in der Cloud, fast drei Viertel Kommunikationsdaten wie E-Mails.

Für Unternehmen bedeutet dies, dass sie auch Daten vor Verlust schützen müssen, die ihre Mitarbeiter mittels SaaS-Lösungen bearbeiten. Denn für digitale Geschäftsunterlagen und Kommunikationsmedien wie E-Mails gelten dieselben Aufbewahrungspflichten wie für Papierdokumente. Die Grundlage dafür bilden in Deutschland die Abgabenordnung (AO) in Verbindung mit den "Grundsätzen zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff" GoBD.

Danach müssen Firmen beispielsweise E-Mails mit Rechnungen und Buchungsbelegen zehn Jahre lange aufbewahren und jederzeit Behörden wie dem Finanzamt zur Verfügung stellen können. Bei Handels- und Geschäftsbriefen sind es sechs Jahre. Auch Compliance-Vorgaben wie PCI DSS für die Finanzsparte oder HIPAA für Unternehmen und Einrichtungen im Gesundheitswesen sehen vergleichbare Aufbewahrungspflichten vor. Das Health Insurance Portability and Accountability Act sieht beispielsweise eine sechsjährige Aufbewahrungspflicht von medizinischen Dokumenten vor, der Payment Card Industry Data Security Standard von einem Jahr.

SaaS bietet keinen Schutz vor Datenverlusten

• Die Herausforderung: Anbieter von Software-as-a-Service-Lösungen garantieren eine bestimmte Verfügbarkeit ihrer Dienste und stellen dafür Disaster-Recovery-Funktionen bereit. Sie bieten aber keinen Schutz vor dem Verlust vor Daten, beispielsweise durch das versehentliche Löschen oder Überschreiben von E-Mails und elektronischen Unterlagen durch einen User. Weitere Bedrohungen für Geschäftsinformationen, die mit SaaS-Lösungen bearbeitet werden, sind Cyber-Angriffe mit Verschlüsselungstrojanern (Ransomware) und Attacken durch Insider. Hinzu kommt, dass auch Systemverwalter Fehler machen können, die zu Datenverlusten führen. Microsoft rät daher Unternehmen die Microsoft 365 einsetzen, selbst oder mithilfe von Dienstleistern regelmäßig Backups der entsprechenden Daten zu erstellen. Das heißt, der Anwender ist selbst für die Sicherung seiner SaaS-Daten verantwortlich. Solche Sicherungen sollten in jedem Fall an separaten Ort vorgehalten werden, etwa im Unternehmensrechenzentrum und ergänzend dazu auf einer weiteren Cloud-Plattform.

Cloud für die Sicherung von SaaS-Daten nutzen

• Die Frage ist, wie sich solche Backups auf möglichst benutzerfreundliche und kostengünstige Weise erstellen lassen. Ein Lösungsansatz liegt ebenfalls in der Cloud. Unternehmen wie Fujitsu und sein Partner NetApp bieten Datensicherungsdienste für SaaS-Daten an, die Unternehmen ebenfalls als Software as a Service buchen können. Beispiel: NetApp SaaS Backup für Microsoft 365 - in Deutschland von Fujitsu angeboten.

Ein cloud-basierter Datensicherungsservice für SaaS-Daten hat mehrere Vorteile:

• So ist der Anbieter für den Betrieb des Dienstes zuständig. Das entlastet die IT-Abteilung des Nutzers von Aufgaben wie dem Einspielen von Patches und Upgrades. Eine weitere Entlastung ergibt sich, wenn ein Unternehmen auf die Unterstützung von IT-Dienstleistern wie Fujitsu zurückgreift, um das SaaS-Backup einzurichten und zu betreiben. Das ist vor allem dann wichtig, wenn als Datensicherungsziel Storage- und Backup-Ressourcen auf Cloud-Plattformen unterschiedlicher Anbieter eingebunden werden sollen, etwa Microsoft und Amazon Web Services.

• Für einen SaaS-Backup-Services spricht zudem die Skalierbarkeit. Steigt beispielsweise die Zahl der Mitarbeiter, die Microsoft Office 365 einsetzen, wächst der Datensicherungsdienst automatisch mit. Die IT-Abteilung muss keine weiteren Storage-Ressourcen im Unternehmens-Data-Center aufsetzen. Dieser Punkt ist vor allem für einen Großteil der Beschäftigten in Deutschland wichtig die im Homeoffice arbeiten. Der Zugriff auf Geschäftsanwendungen in der Cloud ist dort besonders wichtig.

Bewusstsein schärfen und Aufwand einschätzen

• Unternehmen, die eine Lösung für die Absicherung von SaaS-Daten einführen möchten, sollten nach den Erfahrungen von Fujitsu und NetApp mehrere Faktoren beachten. Zuerst empfiehlt es sich, Mitarbeitern, Fachbereichen und auch der Unternehmensführung klar zu machen, wie wichtig der Schutz von SaaS-Lösungen wie Salesforce und Microsoft 365 ist. Denn oft ist Nutzern gar nicht bewusst, dass ein SaaS-Provider nicht automatisch ein Backup von Daten vornimmt. Microsoft speichert beispielsweise gelöschte Nachrichten und Daten eines Exchange-Online-Kontos normalerweise 14 Tage lang, maximal jedoch 30 Tage. Wurden somit E-Mails versehentlich gelöscht, sind sie nach diesem Zeitraum nicht mehr zugänglich.

Auswahlkriterien für eine SaaS-Backup-Lösung

• Anschließend gilt es, eine passende Sicherungslösung für SaaS-Daten zu finden. Ein zentrales Kriterium ist, dass die Lösung alle geltenden rechtlichen, Compliance- und Datenschutzvorgaben berücksichtigt. In Deutschland sind das beispielsweise die Datenschutz-Grundverordnung und die GoBD und Abgabenordnung bei Geschäfts- und Steuerunterlagen. Hilfreich ist zudem, wenn ein Anbieter gemäß der ISO/IEC 27018:2019 zertifiziert ist, die den Schutz persönlicher Daten in der Cloud regelt.

Abb. 1: NetApp SaaS für MS 365 (Bildquelle: NetApp).

Eine SaaS-Backup-Lösung sollte dem Nutzer die Wahl lassen, in welchem Cloud-Rechenzentrum er die Daten speichern möchte. NetApp SaaS-Backup für Microsoft 365 unterstützt beispielsweise Amazon S3 und Microsoft Azure Blob Storage. Auf diesen Plattformen unterhält NetApp eigene Backup-Repositorys zur Sicherung von E-Mails, Daten und Dokumente von Nutzern auf den Cloud-Plattformen von Microsoft oder Amazon Web Services.

Sicherheitsfunktionen prüfen

• Eine zentrale Rolle spielt zudem der Schutz der gesicherten Daten. Eine starke Verschlüsselung der Daten auf dem Transport zum Datensicherungsziel und auf den Backup-Systemen im Cloud-Rechenzentrum ist daher Pflicht, etwa mit dem AES-Verschlüsselungsfahren und 256-Bit-Keys sowie einer TLS-Verschlüsselung (Transport Layer Security) bei der Übermittlung der Daten. Auch der Zugriff auf die Daten sollte mithilfe eines Identity-Managements und eines Zero-Trust-Konzepts geschützt werden. Der Administrator benötigt in diesem Fall neben seinen Log-in-Daten einen weiteren Faktor. Das kann eine PIN sein, die über eine App, eine SMS oder per Telefon bereitgestellt wird. Zero-Trust wiederum bedeutet, dass Mitarbeiter des Anbieters der SaaS-Backup-Lösung keinen Zugang zu den Daten haben, die Kunden in den Sicherheitsdateien ablegen.

Storage-Kosten inklusive

• Für IT-Fachleute spielen weitere Punkte eine wichtige Rolle, etwa ein geringer Aufwand beim Implementieren und dem Management der Lösung. Im Idealfall steht für die Administration ein konsistentes Management für alle Microsoft-365-Applikationen zur Verfügung, also etwa die Office-Suite, Sharepoint, OneDrive und Teams. Eine Benutzeroberfläche, die sich möglichst einfach bedienen lässt, ist im Übrigen natürlich auch für die End-User wichtig.

• Eine potenzielle Falltür sind bei SaaS-Backup-Lösungen die Kosten für den Speicherplatz auf der Cloud-Plattform. Idealerweise sind sie im Preis enthalten. Wenn nicht, hat das folgende Nachteile: Der Anwender muss die Storage-Kapazitäten separat buchen und bezahlen und er muss den Aufwand für die Implementierung und die Administration hinzurechnen.

• Komfortabler sind Modelle, bei denen der Speicherplatz im Preis enthalten ist. Fujitsu und NetApp setzen hier nach vorliegenden Informationen beispielsweise eine jährliche Gebühr pro Nutzer an. Diese umfasst neben der Bereitstellung des Backup-Dienstes ein umfassendes Serviceangebot und ein Backup-Volumen ohne Begrenzung. Daher sollten Unternehmen, die auf diese Lösung setzen, in jedem Fall auf der sicheren Seite sein, was ihre SaaS-Daten betrifft.

Querverweis:

• Unser Beitrag > Public Clouds und Datensicherung: Was Bildungseinrichtungen beachten sollten

• Unser Beitrag > Commvault startet Metallic Enterprise Backup "as a Service"-Lösung jetzt auch in Deutschland

• Unser Beitrag > Cohesity SiteContinuity Disaster Recovery minimiert App-Ausfallzeiten und Datenverluste