30.11.2017 Drei Fragen an ...

Cloud als Archivmedium der Zukunft

Von: Berthold Wesseler

Die Experten Andreas Ahmann, Geschäftsführer der Ceyoniq Technology GmbH und Friedhelm Schnittker, Vice President bei Alos Solution erklären im Interview worauf es bei der Archivierung in der Cloud ankommt.

  • Archivmedium Cloud

    Mobile Lösungen für den Zugriff auf Dokumente mithilfe von Cloud-Services.

  • Andreas Ahmann, Geschäftsführer der Ceyoniq Technology GmbH

    Andreas Ahmann:„Es gibt große internationale Anbieter – aber auch die vielen kleineren lokalen Anbieter müssen nicht zwingend schlechter oder teurer sein. Oft ist die räumliche Nähe zum Rechenzentrum auch ein Vorteil, wenn es z.B. darum geht, auch direkt beim Anbieter eine Beratungsleistung einzukaufen.“

  • Friedhelm Schnittker, Vice President bei Alos Solution

    Friedhelm Schnittker: „Der Anbieter muss sich dazu verpflichten, dass sein Service mit der neuen Datenschutz-Grundverordnung konform ist. Datenverschlüsselung und ein sicherer Zugriffsmechanismus sind hier dringend erforderlich.“

Die Cloud skaliert flexibel, sie lässt sich dynamisch erweitern (oder auch schrumpfen) und sie integriert mithilfe nativer Cloud-Applikationen und Schnittstellen vorhandene Infrastrukturen – verbindet also Menschen, Prozesse und Systeme. Der simple Gedanke dahinter ist, dass die IT bieten muss, was sich Mitarbeiter im Unternehmen wünschen: mobile Lösungen für den Zugriff auf sämtliche Dokumente – allerorten und mithilfe von Cloud-Services, die einfach und sicher nutzbar sind.

Die Anbieter verschweigen gerne, dass die Datenarchivierung in der Cloud auch Risiken birgt. Was ist mit der Garantie für die Einhaltung von Aufbewahrungsfristen, beispielsweise für die Daten aus der Finanzbuchhaltung? Was ist mit sensiblen Daten, etwa von Bankverbindungen von Kunden oder Lohndaten der Mitarbeiter? Sie müssten entsprechend redundant gesichert bzw. vor unberechtigter Einsichtnahme geschützt werden. Dieser Schutz von Daten ist aber nicht ohne Weiteres gegeben. Dementsprechend sollte der IT-Chef die nötige Vorsicht walten lassen – zumal er den Zugriff auf die Daten immer gewährleisten muss – selbst bei Insolvenz des Dienstleisters. Deshalb erklären zwei Experten in IT-MITTELSTAND, worauf bei der Archivierung in der Cloud ankommt.

ITM: Worauf muss der IT-Chef achten, wenn er Archivierung und/oder Dokumenten-Management an einen Dienstleister übergibt bzw. in die Cloud verlagert?

Andreas Ahmann: Üblicherweise befinden sich in einem Dokumenten-Management- und Archivsystem unternehmenskritische Informationen, die zudem vermutlich auch datenschutzrechtlich relevant sind. Es muss also sichergestellt sein, dass man diese Informationen überhaupt übergeben darf – ggf. muss eine Auftragsdatenverarbeitungsvereinbarung geschlossen werden – oder ob die Art der Informationen eine Speicherung z.B. außerhalb des Heimatlands erlaubt.
Das Rechenzentrum selbst sollte ISO-27001-zertifiziert sein, um die notwendigen Nachweise liefern zu können, die beim Umgang mit sensiblen Kundendaten verlangt werden. Rein technisch sollte es zudem über Georedundanz verfügen, um auch im Katastrophenfall die Kundeninformationen schützen zu können.
Es gibt große internationale Anbieter – aber auch die vielen kleineren lokalen Anbieter müssen nicht zwingend schlechter oder teurer sein. Oft ist die räumliche Nähe zum Rechenzentrum ein Vorteil, wenn es z.B. darum geht, sich auch direkt beim Anbieter eine Beratungsleistung einzukaufen.
Bezüglich der SLAs bieten die Dienstleister gegen entsprechende Bezahlung hohe Verfügbarkeiten an. Die Frage ist aber, ob es wirklich 99,99 Prozent sein müssen. Häufig sinken die Preise deutlich, wenn man auch mit einer hohen Verfügbarkeit während der Bürozeiten und abgestimmten großzügigen Wartungsfenstern am Wochenende auskommt. Speziell bei Archivierung ist es auch nicht schlimm, wenn man sonntagnachts mal für vier Stunden nicht zugreifen kann. IT-Chefs sollten also immer schauen, was sie wirklich benötigen, und nicht einfach nur den Haken setzen, weil er gerade da ist.

Friedhelm Schnittker: Wir sprechen über hochsensible Daten, die besonderen Vorschriften unterliegen. Entscheidend ist, dass der Dienstleister das Wissen hat, welche rechtlichen Vorschriften zu beachten sind und wie sein Unternehmen diese Vorgaben für die Kunden umsetzen muss.
Dies ist mit der neuen Datenschutz-Grundverordnung ein Zwang! Hierzu gibt es keine Alternative. Es gibt beispielsweise Vorschriften für den öffentlichen Dienst, die selbst den Verantwortlichen in den Behörden weitgehend unbekannt sind. Deshalb haben wir im Rahmen eines Projekts die Bundesdatenschutzbeauftragte um eine Stellungnahme gebeten, die wir unseren Kunden gern zur Verfügung stellen.
Im konkreten Fall ging es darum, dass eine Behörde ihre Dokumente im Ausland speichern wollte. Das ist ausschließlich mit strengen Vorgaben innerhalb des EU-Auslands möglich. Es muss beispielsweise zu jeder Zeit sichergestellt sein, dass der Datenschutzbeauftragte der Bundesregierung auf diese Daten zugreifen kann.

ITM: Wann ist es sinnvoll oder notwendig, als „letzte Instanz“ ein Backup der elektronischen Dokumente im Hause vorzuhalten?

Schnittker: Dies ist meines Erachtens nicht sinnvoll. Allerdings ist jedes Unternehmen dazu verpflichtet, beispielsweise bei Steuerprüfungen zeitnah auf die Informationen zuzugreifen. Daher müssen sich die IT-Chefs vertraglich absichern. Es muss gewährleistet sein, dass der Dienstleister die gesicherten Daten extern an einem gesicherten Ort aufbewahrt und man als Unternehmen auch bei Ausfall des Dienstleisters, wie z.B. durch eine Insolvenz, Zugriff auf diese Daten hat.

Ahmann: Vertrauen Sie dem Dienstleister? Falls nicht, sollten Sie nicht in die Cloud gehen! Auch On-Premise können wichtige Daten verloren gehen. Genau deshalb machen Firmen Backups, doch Backups sind teuer. Das bringt uns zu der Frage, warum Unternehmen in die Cloud gehen wollen, anstatt das Dokumenten-Management- bzw. Archivsystem selbst im eigenen Keller zu hosten.
Die Antwort kann ja nur lauten: weil es günstiger ist und weil die Daten dort besser aufgehoben sind, da der Dienstleister sich darauf spezialisiert hat, diese zu verwalten. Er kann dies also in der Regel besser als Unternehmen mit ihrer eigenen IT. Wer das anders sieht, sollte den Schritt in die Cloud überdenken. Ansonsten sollte man darauf vertrauen, dass der Dienstleister Backups besser beherrscht als man selbst, weil es ebenfalls ein Teil seines Kerngeschäfts ist.

ITM: Wie lässt sich angesichts der notwendigen Sicherheitsvorkehrungen der Umgang mit den ausgelagerten Dokumenten so einfach und performant gestalten, dass ein reibungsloser Geschäftsbetrieb und eine hohe Akzeptanz gewährleistet sind?

Schnittker: Das Wissen und die Kompetenz eines Dienstleisters sind entscheidend. Der Anbieter muss sich dazu verpflichten, dass sein Service mit der Datenschutz-Grundverordnung konform ist. Datenverschlüsselung und ein sicherer Zugriffsmechanismus sind erforderlich. Das bedeutet konkret: IT-Chefs benötigen erstens ein „Virtuelles Privates Netzwerk“ (VPN) für den Datentransport. Zweitens müssen alle Daten verschlüsselt sein. Drittens müssen in sehr vielen Fällen die Mitarbeiter mit qualifizierten Signaturen ausgestattet werden.
Für die Arbeit mit Daten und Dokumenten empfehlen wir einen Zugriffsmechanismus, der prüft und sicherstellt, dass tatsächlich die Person am Bildschirm sitzt, die sich im System angemeldet hat. Dafür prüfen wir die Identität über den Handballen – das  „palm reading“. Bei dieser Methode ist die Sicherheit höher als bei den gängigen ID-Karten. Und sie ist auch eindeutiger als biometrische Ansätze wie Fingerprint und Irislesen.
Von einem Cloud-Dienstleister erwarte ich, dass dieses Unternehmen über die Kompetenz verfügt, alle gebotenen Sicherheitsvorgaben zu erfüllen und gleichzeitig einen hochperfomanten Service sicherzustellen.

Ahmann: Welchen Schutzbedarf haben die Daten? Ist damit zu rechnen, dass Wirtschaftsspionage gegen das Unternehmen betrieben wird? Wer diese Frage mit „Ja“ beantwortet, sollte darüber nachdenken, ob er die Funktionen tatsächlich benötigt, die nur eine unverschlüsselte Applikation mit Datenbank liefern kann, also z.B. Indices für Suchen, Like-Suche, Volltext etc. Lupenreiner Storage kann nämlich problemlos verschlüsselt abgelegt werden, ohne dass eine funktionale Einschränkung in Kauf genommen werden muss.
Für „normale“ Daten und Anwendungen empfehlen wir Sicherungsmaßnahmen wie regelmäßige Penetrationstests inklusive „Ethical Hacking“. Zusätzlich sollte man sich beim Dienstleister über dessen Sicherheitsvorschriften informieren. Die Frage ist also: Was ist notwendig? Und das hängt von den gespeicherten Daten und der gewünschten Funktionalität ab.

 

Bildquelle: Thinkstock/iStock, Ceyoniq Technology GmbH, Alos Solution

©2017 Alle Rechte bei MEDIENHAUS Verlag GmbH