Datenverlust in modernen IT-Umgebungen

Seien Sie wachsam bei Container, DevOps & Co.

27.03.2020
Anzeige  Cloud, DevOps und Container haben die Software-Entwicklung, -Bereitstellung und -Nutzung vereinfacht. Dieser Komfort verführt dazu, Datensicherheit und Datenverfügbarkeit zu vernachlässigen. Das kann fatale Folgen haben.

Die Nutzung von Software as a Service (SaaS) hat in den vergangenen Jahren massiv zugenommen. Laut einer Umfrage des Analysten Crisp Research nutzen bereits 84 Prozent der Unternehmen Microsofts SaaS-Bürokomplettlösung Office 365 oder planen deren Einsatz. Im Bereich Customer Relationship Management (CRM) entfallen dem Marktforschungsunternehmen Gartner zufolge 75 Prozent aller Ausgaben auf Software-as-a-Service. Mit einem Marktanteil von rund 20 Prozent liegt Salesforce dabei an der Spitze.

Die Nutzung Cloud- oder Container-basierter Lösungen und der Einsatz agiler Methoden entbindet Unternehmen nicht von der Pflicht, Daten zu sichern und Backups anzulegen.
Die Nutzung Cloud- oder Container-basierter Lösungen und der Einsatz agiler Methoden entbindet Unternehmen nicht von der Pflicht, Daten zu sichern und Backups anzulegen.
Foto: vs148 - shutterstock.com

Der Siegeszug von SaaS ist nachvollziehbar, denn die Vorteile liegen auf der Hand: Statt hoher Investitionen in neue Software fällt nur noch eine monatliche Miete an, zusätzliche Lizenzen können einfach hinzugebucht und auch wieder abbestellt werden, neue Funktionen stehen sofort und nicht erst mit dem Kauf des nächsten Releases zur Verfügung. Die IT-Abteilung muss sich darüber hinaus keine Gedanken um Performance, Skalierung oder Verfügbarkeit machen, da die Lösungen einfach aus der Cloud bezogen werden.

SaaS-Lösungen und die Frage der Datensicherheit

Leider verführt dieser Komfort viele Unternehmen jedoch auch zu Sorglosigkeit. Im Vertrauen auf die Sicherheitsmechanismen der Anbieter wird die eigene Datensicherung vernachlässigt. Ein Viertel der Unternehmen glaubt beispielsweise, dass in Office 365 keine Backups mehr nötig sind, wie eine Untersuchung der Enterprise Service Group (ESG) ergab.

Tatsächlich sind die Cloud-Provider jedoch nur für die Verfügbarkeit der Services zuständig, die Absicherung gegen Datenverlust bleibt komplett in der Verantwortung des Kunden. Gelöschte Dateien werden beispielsweise nach einer gewissen Zeit automatisch aus dem Papierkorb der Anwendung entfernt und sind dann unwiederbringlich verloren. Das kann erhebliche negative Folgen haben, wenn etwa aus Versehen oder auch mit böswilliger Absicht auf diese Weise wichtige Informationen vernichtet werden. Darüber hinaus kann das Löschen von geschäftsrelevanten Daten gegen Gesetze und Vorschriften wie die GoBD, das Handelsgesetzbuch oder das Umsatzsteuergesetz, verstoßen.

Die Daten in der Cloud sind auch nicht vor Cyber-Angriffen, etwa durch Erpressungstrojaner geschützt. Verschlüsselt eine solche Ransomware lokal Dateien, die beispielsweise über die Microsoft-Lösung OneDrive mit der Office-365-Cloud synchronisiert werden, breitet sich der Schädling auch im Cloud-Speicher aus. Schließlich sind auch in Cloud-Umgebungen technische oder menschliche Fehler nicht ausgeschlossen.

So gingen bei Amazon Web Services (AWS) im September 2019 durch einen Stromausfall Kundendaten verloren, Ein Problem mit dem Domain Name Service (DNS) führte im Januar 2019 in Microsoft Azure zum Verlust von Datenbankeinträgen. Auch Datenverluste in Software-as-a-Service-Umgebungen sind kein Einzelfall. Rund 80 Prozent der Unternehmen haben beim Einsatz von SaaS bereits einmal Geschäftsdaten verloren, wie eine Umfrage durch den Hersteller EMC unter mehr als 1.000 Unternehmen ergab.

Agile Entwicklung ohne Datensicherung

Agile Entwicklungsmethoden wie Scrum und neue Betriebskonzepte wie DevOps haben die Geschwindigkeit, mit der Software entwickelt und bereitgestellt wird, stark beschleunigt. Die einfache Verfügbarkeit und Nutzbarkeit von Cloud-Technologien sowie die weitgehende Autonomie der Scrum- und DevOps-Teams bringt es mit sich, dass Fachabteilungen heute in vielen Unternehmen autark agieren, ohne die zentrale IT-Abteilung einzubeziehen, und ohne Datenschutz- und Datensicherheitskonzepte in ihre Entwicklung- und Betriebsumgebungen zu integrieren. Zahlreiche Datenverluste, etwa bei British Airways, Ticketmaster und Equifax haben ihre Ursache in dieser Vernachlässigung notwendiger Datenschutz- und Datensicherheitskonzepte.

Auch Container-Technologien wie Kubernetes und Docker können ohne geeignete Datensicherung zur Falle werden. Häufig sind es auch hier die Fachabteilungen, die an der zentralen IT vorbei Container-Orchestrierungslösungen wie Kubernetes und OpenShift einsetzen. Die einfache und schnelle Bereitstellung täuscht jedoch häufig darüber hinweg, dass die Verwendung solcher Systeme ohne Datenschutz- und Datensicherheitskonzepte geschäftsschädigend sein kann.

So sorgte beispielsweise ein Bug in Docker für Datenverluste, wenn Volumes entfernt wurden, ohne sie vorher ordnungsgemäß zu deaktivieren. Auch bei Updates und Neustart von Containern kann es zum Verlust von Daten kommen. Laut dem Sicherheitsspezialisten Kenna Security sind darüber hinaus 20 Prozent der beliebtesten 1.000 Docker Container auf Docker Hub falsch konfiguriert, was zu Sicherheitsproblemen und Datenverlusten führen kann.

Fazit

Die Nutzung Cloud- oder Container-basierter Lösungen und der Einsatz agiler Methoden entbindet Unternehmen nicht von der Pflicht, Daten zu sichern und Backups so aufzubewahren, dass geschäftsrelevante Informationen jederzeit schnell wiederhergestellt werden können. Herkömmliche Backup- und Recovery-Strategien und -Lösungen sind dafür jedoch nicht geeignet.

Wie eine umfassende Datensicherung in modernen IT-Umgebungen mit ihren hybriden verteilten Strukturen aussehen kann, erfahren Sie im COMPUTERWOCHE Webcast in Zusammenarbeit mit SVA.

Jetzt anmelden!