Sergey Nivens - stock.adobe.com
EU Data Act: Einfacher Wechsel des Cloud-Providers möglich
Der EU Data Act soll flexiblere und sichere Datennutzung innerhalb Europas ermöglichen. Migrationen zwischen verschiedenen Clouds soll damit einfacher zu gestalten sein.
Die Europäische Kommission hat im Frühjahr 2022 einen Vorschlag für ein Datengesetz (Data Act) vorgelegt. Ziel ist es, mehr Daten in der EU nutzbar zu machen. Die Verordnung soll ein wesentlicher Bestandteil der europäischen Datenstrategie sein. Sie soll einen fairen Zugang zu Daten und deren Nutzung gewährleisten. So soll ein Standard festgelegt werden, der einen einfachen Wechsel zwischen Cloud-Anbietern gewährleistet und generell die Bedingungen festlegt, unter denen Verbraucher und Unternehmen transparenten Zugang zu ihren Daten erhalten. Für Verbraucher bedeutet dies, dass die derzeit unklare Rechtslage in Bezug auf Offenlegungs- und Weiterverwendungspflichten beseitigt wird und sie damit mehr Rechtssicherheit erhalten. Mit dem neuen Entwurf gibt es klare Vorgaben, wer unter welchen Bedingungen auf Daten zugreifen und diese auch weitergeben darf. Die Europäische Kommission hofft, dass davon Nutzer, Unternehmen und der öffentliche Sektor gleichermaßen profitieren. Auch der Datenaustausch zwischen verschiedenen Cloud-Diensten soll künftig vereinfacht werden. Cloud-Anbieter sollen verpflichtet werden, den Datenaustausch über offene Schnittstellen zu gewährleisten. Damit wird auch der Wechsel des Cloud-Anbieters vereinfacht. Dieser gestaltet sich jedoch oft schwierig, da der Effekt der Datengravitation einen einfachen und schnellen Umzug nicht zulässt, weil Daten, Anwendungen und Dienste wiederum andere Daten anziehen. Je größer eine Datenmenge ist, desto größer ist die Anziehungskraft, die andere Dienste, Anwendungen und Daten auf sie ausüben. Für die Cloud gilt daher: Je mehr Daten und Dienste Unternehmen von einem Cloud-Anbieter beziehen, desto höher ist die Datenlast und desto langwieriger wird der Migrationsprozess zu anderen Angeboten, da eine gewisse Trägheit der Daten besteht.
Was sollten Unternehmen beim Wechsel des Cloud-Anbieters beachten, wenn die rechtlichen Rahmenbedingungen klar sind?
Übersicht der Datenlage in der Cloud
Laut einer Analyse von Canalys haben weltweit mehr Unternehmen in Cloud-Dienste investiert als je zuvor. Im zweiten Quartal 2021 stieg das Investment auf 47 Milliarden US-Dollar und somit auf 36 Prozent. Die schnelle Implementierung verschiedener Cloud-Dienste, die aufgrund der Pandemie eine starke Beschleunigung erfahren hat, birgt aber Schattenseiten. Nach dem aktuellen „Vulnerability Lag Report“ von Veritas gab knapp die Hälfte der befragten IT-Experten aus Deutschland an, dass ihre Sicherheitsstrategie im Cloud-Bereich Lücken aufweist. Zudem sind sich Studienteilnehmer oft nicht sicher, welche Cloud-Lösungen bereits in ihrem Unternehmen implementiert wurden. Lediglich 66 Prozent der IT-Experten konnten die Anzahl der derzeit im Unternehmen genutzten Cloud-Dienste exakt angeben. Dabei herrscht auch bei der angesammelten Datenmenge Unklarheit, denn 30 Prozent der Informationen stellen Dark Data dar – mit unbekanntem Inhalt und Wert oder im schlimmsten Fall Risiko für das Unternehmen. Weitere 55 Prozent der gespeicherten Informationen sind ROT-Daten (Redundant, Obsolete, Trivial). Informationen, die nicht der IT-Governance unterliegen, stellen ein massives Sicherheitsrisiko für alle Unternehmen und Organisationen dar. Doch häufig können die IT-Sicherheitsexperten ihre Datenschutzlösungen aber nicht auf die Daten ausweiten, da sie nicht wissen, auf welchen Cloud-Diensten diese gespeichert und wie und ob diese Daten im Sinne einer professionellen Datenmanagement-Strategie wiederherstellbar sind. Dies macht Cloud-Umgebungen verwundbarer, wenn es zu einem Cyberangriff, etwa durch Ransomware, kommt.
Um einen nahtlosen Umzug zu einem alternativen Cloud-Provider zu gewährleisten, können die Channel-Partner von Herstellern wie Veritas einen Mehrwert schaffen, indem sie den Cloud-Mix identifizieren, Möglichkeiten aufzeigen Kosten zu senken und Ausfallzeiten während des Umzugs vermeiden. Und klar ist: Der richtige Partner für eine Cloud-übergreifende Datenmanagement-Strategie trägt dazu bei, die Migrationskosten für Kunden erheblich zu senken und gleichzeitig die Mobilität der Daten jederzeit und einfach zu ermöglichen. Dazu müssen sie in der Lage sein, den Cloud-Mix zu erfassen, Kundendaten zu analysieren und redundante oder veraltete Informationen zu löschen. So lässt sich das Gesamtvolumen reduzieren, das in die neue Cloud übertragen werden muss. Zudem müssen Überlegungen zur Nutzung eines Abstraktions-Layers für die Daten evaluiert werden.
Effizientes Speichern von Daten
Um die Datenmenge zu verringern und Speicherplatz zu sparen, nutzen viele Unternehmen für Backups Deduplizierung. Auch der Cloud Provider sollte dies unterstützen, sodass das Datenvolumen reduziert und die Bandbreite geschont wird. Aus Kostengründen sollten günstige, S3-basierte Speicher in die Deduplizierungsstrategie eingebunden werden können, um hohe Rechnungen für den Datensicherungsspeicher von vornherein zu vermeiden. Häufig werden Cloud-basierte Snapshot-Mechanismen übereilt eingesetzt, die zu äußerst hohen Rechnungen durch den Cloud Service Provider führen. Hier lassen sich Backup- und Recovery-Lösungen unabhängig vom Cloud Provider implementieren, womit eine Multi-Cloud-Strategie ermöglicht wird. An dieser Stelle sind unterschiedlich performante Speicher in Verbindung mit einer an die Charakteristik der Cloud angepasste Datenhaltungsstrategie besonders wichtig. Denn kritische Anwendungen sollten auch auf entsprechend leistungsfähigeren oder auch kosteneffizienten Speichern laufen. Geschäftsunkritische Daten für die Langzeitaufbewahrungen lassen sich ideal auf langsamere und günstigere Storage-Dienste beim Provider auslagern. Das gelingt, wenn das Backup-System Cloud-nativ entwickelt wurde und alle Vorteile der Cloud nutzt und gleichzeitig ein intelligentes Datenmanagement ermöglicht.
„Der richtige Partner für eine Cloud-übergreifende Datenmanagement-Strategie trägt dazu bei, die Migrationskosten für Kunden erheblich zu senken und gleichzeitig die Mobilität der Daten jederzeit und einfach zu ermöglichen.“
Patrick Englisch, Veritas
Zudem sollten Unternehmen bereits vor dem Wechsel darauf achten, ob der neue Anbieter alle Workloads unterstützt. Wichtige Module für Big Data können große Datenmengen schnell auswerten und mithilfe von Prognosemodellen Forecasts aus den Daten gewinnen. Außerdem sollte der Provider neben den üblichen Betriebssystemen, Applikationen und Workloads auch Open-Source-Plattformen im vordefinierten Standard bereitstellen. Insbesondere Technologien wie OpenStack und auf Container-basierte Umgebungen wie Kubernetes sollten im Standard berücksichtigt sein. Weiterhin ist es empfehlenswert, dass die Cloud-Anbieter eine hybride Anbindung und Kopplung der lokalen IT und der Cloud-Angebote gewährleisten. Ist das nicht der Fall, müssen Abstraktions-Layer hinzugezogen werden, die die Mobilität der Daten zuverlässig und transparent für die jeweilige Applikation gewährleisten. Damit werden kritische Daten und Anwendungen über die Grenzen des eigenen Rechenzentrums oder einer einzelnen Cloud hinweg hochverfügbar und können ausfallsicher arbeiten. Zu guter Letzt ist es von Vorteil, wenn die richtig gewählte Datenmanagement-Strategie eine heterogene (Multi-)Cloud-Konstellationen unterstützt, sodass Unternehmen ältere Anwendungen weiterhin nutzen können.
Schutz der Daten in der Cloud
Ist der Wechsel zu einem Cloud Provider vollzogen, ist das Unternehmen in der Regel für die Sicherheit der gespeicherten Daten, im Rahmen des Shared Responsibility Modells selbst verantwortlich. Das Prinzip legt fest, welche Sicherheitsverpflichtungen ein CSP beziehungsweise der Anwender über die gespeicherten Daten hat. Viele Unternehmen verlassen sich ausschließlich auf den Cloud Provider, wenn es um den Schutz ihrer Daten geht. Diese Annahme stimmt nur zum Teil und gefährdet Unternehmen und Arbeitsplätze, wenn sie nicht ausgeräumt wird. In den meisten Fällen stellen die Provider bei ihren Standarddiensten klar, dass die Firmen selbst die Verantwortung zum Schutz ihrer Daten tragen.
Es empfiehlt sich dementsprechend auch in der Cloud Datensicherungslösungen für Backups und Recovery zu nutzen. Zudem sollte der Anbieter eine einheitlichen Technologie-Stack für Ransomware-Resilienz bieten, der sowohl im eigenen Rechenzentrum als auch in der Cloud arbeitet und die Unveränderbarkeit für alle Workloads und Backup-Daten ermöglicht. Disaster-Recovery-Prozesse müssen sich auf Geschäftsprozesse-Ebene abbilden lassen und mit einem einzigen Maus-Klick komplexe Wiederherstellungsszenarien sicher und schnell gewährleisten. So lassen sich die Daten im Ernstfall schnell, zielgerichtet und im Sinne der Geschäftskritikalität wiederherstellen. Wichtig ist es außerdem, dass sich die kritischen Anwendungen und Daten priorisiert rekonstruieren lassen. Dadurch sind wichtige Dienste nach einem Ausfall schnell wieder verfügbar und die Business Continuity bleibt erhalten.
Wenn Daten bei einer hybriden Architektur der Infrastruktur auf verschiedenen Plattformen gespeichert werden, sollten Unternehmen einen Überblick über die Abhängigkeiten haben. Fällt eine Komponente aus, sind möglicherweise unmittelbare Gegenmaßnahmen notwendig. Unternehmen sollten daher die gesamte Infrastruktur, den Datenbestand, dass damit verbundene Risiko sowie den Zustand kontinuierlich überwachen und insbesondere kritische, mehrschichtige Business-Applikationen mit einem einzigen Klick wiederherstellen können. Dann steht einem reibungslosen Wechsel des Cloud-Providers nichts mehr im Weg.
Über den Autor: Patrick Englisch ist Director Technical Sales DACH bei Veritas Technologies und leitet alle Themen rund um den Technologievertrieb des Unternehmens im D-A-CH-Bereich. Er verfügt über mehr als 20 Jahre IT-Erfahrung und mehr als 12 Jahre Expertise im Solution Engineering und Vertrieb. Im Laufe seiner Tätigkeit hat er für namhafte Firmen zahlreiche Projekte geplant und durchgeführt.
