Diese zwei Faktoren erschweren die SaaS Data Protection
Malware und Multi-Cloud-Plattformen rücken Backup und Recovery für SaaS-Daten in den Fokus. Wir erklären, welche Herausforderungen dies birgt und wie man einen Anbieter wählt.
Die Popularität von SaaS-Optionen nimmt rasant zu. Software as a Service ist in der Regel einfacher zu implementieren und meist kostengünstiger als Alternativen am lokalen Standort oder die Verwaltung der eigenen Software in einer Cloud. SaaS-Datenschutz ist jedoch nicht hundertprozentig sicher und Daten können nach wie vor anfällig sein.
Lange Zeit herrschte der allgemeine Eindruck, dass die in der Cloud erstellten SaaS-Daten von Natur aus besser geschützt waren, weil sie auch dort gespeichert wurden. „Es gibt eine große Diskrepanz, wenn es um SaaS-Backup und -Wiederherstellung geht“, sagt Christophe Bertrand, Analyst der Enterprise Strategy Group. „Eine große Anzahl von Benutzern glaubt, dass sie kein Backup benötigen, wie bei lokalen Workloads oder dass der Anbieter über Tools verfügt, die für diesen Zweck ausreichen. Die große Diskrepanz in der Wahrnehmung schafft auch ein hohes Maß an Nichteinhaltungsrisiken“, betont er.
Der Gartner-Analyst Nik Simpson nennt SaaS-Backup und -Wiederherstellung ein nicht erkanntes Problem, das oft von Geschäftseinheiten verursacht wird, die SaaS-Anwendungen auswählen. „Sie denken nicht über dieses Wiederherstellungsproblem nach – oder zumindest nicht, bis sie Daten verloren haben“, erklärt er.
SaaS-Datenschutz ist erst seit kurzem als ein Muss für Unternehmen jeder Größe anerkannt, obwohl es einige Anbieter gibt, die dies seit Jahren anbieten, sagt Steven Hill, Analyst bei 451 Research. Die meisten Lizenzvereinbarungen besagen jedoch ausdrücklich, dass ein SaaS-Anbieter nicht für die Data Protection verantwortlich ist.
Ransomware-Schutz hängt von einem Mix aus lokaler und Cloud-Infrastruktur ab
In puncto Ausfallsicherheit übertreffen die meisten Public-Cloud-Plattformen bei weitem die Möglichkeiten einer der größten IT-Umgebungen. Aber für SaaS oder jede andere gemeinsam genutzte Datenumgebung ist die häufigste Herausforderung der Schutz vor versehentlichem Löschen oder bösartigen Aktivitäten wie Ransomware.
Ransomware ist eine ernsthafte Bedrohung, und es gibt wenig, das Unternehmen tun können, als zu bezahlen, wenn ihr Datenschutz nicht der Aufgabe gewachsen ist, meint Hill. Und es gibt keine Garantie, dass Sie Daten zurückbekommen, auch wenn Sie bezahlen. Diese gemeinsamen Gefahren verstärken die Notwendigkeit für das uralte Modell, „mehrere Sicherungskopien Ihrer Daten an verschiedenen Orten, sei es in der Cloud oder vor Ort, zu haben“, sagt er.
Leider gibt es laut Hill keine wirklichen Innovationen von SaaS-Unternehmen, die diese Herausforderungen bewältigen können. „Die jüngste Innovation im Bereich SaaS-Backup liegt darin, dass sie tatsächlich zu einem wichtigen Bestandteil für Anbieter von Datensicherheit wird“, sagte er. Backup ist das älteste Modell für den Datenschutz, und „es gibt kaum etwas Besseres, als eine zweite Kopie Ihrer wichtigen Geschäftsdaten an einem anderen Ort aufzubewahren“.
Die Cloud verändert das Modell ein wenig, fügt er hinzu. Denn im Falle von SaaS ist die Cloud sowohl Quelle als auch potenzielles Ziel für Backup-Daten. Es stellt sich oft die Frage, ob Sie dieselbe Cloud sowohl für Primär- als auch für Sicherungskopien von SaaS-Daten verwenden sollten.
„Die Ausfallsicherheit von Daten ist in der Cloud wirklich recht gut, so dass es auf eine höhere Verfügbarkeit oder branchenspezifische Compliance-Richtlinien ankommt“, erläutert Hill. Die eigentliche Innovation erfolgt nachträglich, wobei sich die Branche darauf konzentriert, langfristiges unstrukturiertes Datenlebenszyklusmanagement und -Governance zu vereinfachen und einen kontinuierlichen Mehrwert aus Backup-Daten durch Analysen zu schaffen.
Doug Hazelman, Vice President of Technical Marketing bei MSP360, einem Managed Backup- und Recovery-Anbieter, der früher als CloudBerry Lab bekannt war, sagt, dass die Anbieter nun darauf abzielen, Backup und Recovery über eine Mischung aus lokaler und Cloud-Infrastruktur bereitzustellen. Er fügt hinzu, dass Backup-Anbieter von ihren eigenen Cloud-Speicherplattformen zu Public Cloud Storage wechseln und die Möglichkeit bieten, virtuelle Cloud-Instanzen wiederherzustellen. „Das ermöglicht es ihnen, die Ausfallzeiten zu reduzieren, wenn die lokale Hardware nicht bereit ist oder beschädigt wurde“, sagt er.
Multi-Cloud-Komplexität benötigt Vereinfachung
Ein weiterer Trend, der den SaaS-Datenschutz erschwert, ist die Zunahme von Multi-Cloud-Plattformen. Hill führt an, dass die Umfrage 451 Research's Voice of The Enterprise Q1 2019 zeigte, dass die Einführung von Multi-Cloud-Lösungen weitaus häufiger ist, als die meisten Menschen vermuten, wobei 72 Prozent der befragten Unternehmen angaben, dass sie zwei oder mehr Cloud-Plattformen nutzen. „Das kann die Dinge für Multi-Cloud-Kunden komplizierter machen, daher sollte es bei der Wahl eines SaaS-Datenschutzanbieters eine Rolle spielen“, sagt er. „Multi-Cloud-Umgebungen werden zur Norm, und die Herausforderung ist für SaaS so ziemlich die gleiche wie für jede andere Cloud-Produktionsumgebung“, meint Hill.
Mit anderen Worten, nicht alle Cloud-Plattformen sind gleich. Kunden sollten von ihren SaaS-Datenschutzanbietern erwarten, dass sie dazu beitragen, die Komplexität der Data Protection zu minimieren, die sich über mehrere Cloud-Umgebungen erstreckt. Vieles hängt von der Art und dem Bedarf an diesen Daten ab – zum Beispiel unstrukturierte Daten wie Dokumente und Medien, halbstrukturierte Daten wie E-Mails oder proprietäre Daten aus SaaS-Umgebungen, in denen die Anwendungsumgebung nur auf der Public Cloud-Plattform dieses Anbieters läuft.
Auf der Suche nach Antworten
Laut Hill ist der größte Teil des heutigen SaaS-Datenwachstums unstrukturierte Daten in Form von Mediadaten und anderen dateibasierten Inhalten. Hill sagt, dass er und seine Kollegen glauben, dass die nächste Herausforderung für die IT-Industrie darin besteht, ein besseres Modell für die Identifizierung, Verwaltung und Automatisierung der Verwaltung unstrukturierter Daten zu entwickeln. Neben einem massiv skalierbaren Modell zur Datenhaltung bieten die flexiblen Metadatenfunktionen von Objektspeicher ein Modell für die granulare Datenverwaltung. Das ist etwas, das den Herausforderungen von E-Discovery, personenbezogener, informationsbasierter Privatsphäre und zukünftigen Deep-Learning-Initiativen besser gerecht werden könnte, fügt er hinzu.
„Aus Sicht des Disaster Recoverys sollte sich ein Unternehmen zunächst mit allen branchenspezifischen Compliance-Problemen befassen, die den Datenschutz bestimmen“, rät Hill. Dann kommt es darauf an, einen Anbieter zu finden, der den jeweiligen Mix aus SaaS-Anwendungen und Enterprise File Synchronisations- und Sharing-Plattformen in der Cloud am besten abdeckt. „Aus der Sicht der Business Continuity geht es oft genauso sehr um Verfügbarkeit wie um Schutz. Ein aktuelles Backup, das an mehr als einem Ort existiert, bietet also sowohl Datenschutz als auch bessere Chancen auf weitere Verfügbarkeit“, erklärt er.
Bei der Suche nach dem besten Backup-Ansatz sagt Bertrand von der Enterprise Strategy Group, dass es konkurrierende Topologien gibt. Dazu gehören Backups in die Cloud als Erweiterung der lokalen Infrastruktur oder Backups von Daten und Anwendungen in der Cloud, die sich auf die gleiche Cloud, eine andere Cloud oder sogar wieder auf lokale Standorte beziehen können. „Im Falle von SaaS ist ein Backup in einer anderen Cloud oder vor Ort unerlässlich“, stellte er fest.
Best Practices bei der Auswahl eines SaaS-Anbieters
Auf jeden Fall sollten sich die Best Practices für den SaaS-Datenschutz an den Service Levels orientieren, typischerweise an den RTOs und RPOs, erklärt Bertrand. Diese Entscheidungen werden auch durch Aspekte der betrieblichen Effizienz und der Kosten beeinflusst.
Kunden sollten von ihren SaaS-Datenschutz-Anbietern erwarten, dass sie dazu beitragen, die Komplexität der Data Protection zu minimieren, die sich über mehrere Cloud-Umgebungen erstreckt.
„In einigen Fällen beginnen Unternehmen damit, ihre lokale Lösung um eine Cloud-Destination zu erweitern. In anderen Fällen werden sie zu einem Serviceansatz mit Anbietern von Backup-as-a-Service oder Disaster-Recovery-as-a-Service wechseln“, fasst er zusammen.
451 Research's Hill riet, einen SaaS-Anbieter zu finden, der Folgendes tun kann:
Bieten umfassenden Schutz vor Ransomware und anderen Formen der versehentlichen oder bösartigen Beschädigung und Löschung von Daten
Integration in bestehende Sicherheits- und Datenschutzsysteme, Richtlinien und Anforderungen
Bereitstellung konsistenter Funktionen für mehrere lokale und Cloud-Plattformen und Zugriffsdaten in Abwesenheit der primären SaaS-Plattform
Selbstbedienungsfunktionen zur Datenwiederherstellung anbieten und
unterstützen E-Discovery sowie zukünftige Datenidentifikation, Governance und Lifecycle-Automatisierung
Die Zertifizierung der Service Organization Control 2 oder SOC 2 sollte ein wichtiger Bestandteil jeder SaaS- oder Cloud-basierten Backup-Plattform sein, so Doug Barbin, Principal und Cybersecurity Leader von Schellman & Company, einem weltweit unabhängigen Security and Privacy Compliance Assessor. „Wenn ein Unternehmen seine Verpflichtungen in Bezug auf Sicherheit und Verfügbarkeit nicht einhalten kann, ist das ein großes Problem“, sagt er. Tatsächlich, fügte Barbin hinzu, haben umfassendere Anbieter die Zertifizierung der International Organization for Standardization 27001, die Validierung der Payment Card Industry und einen dokumentierten Prozess für den Umgang mit der DSGVO und anderen Datenschutzbestimmungen.
Letztendlich geht es beim SaaS-Datenschutz darum, geschäftskritische Anwendungen und Prozesse so zu unterstützen, dass die Compliance gefördert wird und im Idealfall eine weitere Datenwiederverwendung ermöglicht wird, betont Bertrand von der Enterprise Strategy Group. Simpson rät zudem, dass Unternehmen im Voraus überlegen sollten, welche Daten sie in SaaS-Anwendungen einfügen und was passieren würde, wenn sie den Zugriff auf diese Daten verlieren. „Es ist die gleiche Frage, die Sie stellen, wenn Sie Apps in das Rechenzentrum stellen, die Sie selbst kontrollieren“, sagte er. „Wenn Sie diese nicht zufriedenstellend beantworten können, dann sollten Sie die SaaS-App nicht nutzen.“
