Bei all der Nutzung von Clouds und den zweifellosen Vorteilen, die diese für sehr viele Szenarien bieten, ist es aber trotzdem wichtig die Hoheit über seine Daten zu behalten. Dies gilt sowohl für die Daten in den Clouds an sich, deren Verarbeitung und vor allem auch in der Betrachtung des gesamten Betriebs.
Einige werden sich wahrscheinlich darüber noch keine Gedanken gemacht haben, da erst mal das Go-Live des eigenen Tenant im Vordergrund stand und somit die Technik und das Doing selbst, um es so zu sagen erst mal zum Laufen zu bringen. Dieser Ansatz ist sehr oft zusehen und erst viel später und im schlechtesten Fall gar nicht, werden sich über die Datenhoheit und die notwendigen Richtlinien Gedanken gemacht. Dieser Beitrag wird nur das eine oder andere Fragment dieses Themas beleuchten können und möchte den Fokus schärfen, wie wichtig doch auch solche Themen gerade bei der Nutzung von Clouds sind. Dass diese Themen wichtig sind, zeigt sich darin, dass die Anbieter es ermöglich Compliance Regel aufzustellen und auch durchzusetzen, es Schnittstellen gibt, mit denen u.a. auf die Daten für verschiedene Zwecke zugegriffen werden kann oder es ein Schlüsselmanagement erlaubt die Daten entsprechend zu verschlüsseln. Dann gibt es noch Schnittstellen, mit denen sich Sicherheitsprodukte von Drittanbietern anbinden lassen. Die großen Hyperscaler würden solche Dinge nicht bereitstellen, wenn sie es nicht müssten und ein entsprechender Bedarf bzw. die Anforderungen dafür nicht vorhanden wären. Der Weg oder die Nutzung der Cloud ist nun mal ein großer Teil nicht unbedingt technischer Aufgaben, die es umzusetzen gilt. Grundsätzlich ist aber auch der reine On Premises nicht ohne Richtlinien und die Kontroller Daten möglich, nur eben anders. Trotzdem sind die Aufgaben für den Betrieb und somit der Betriebsverantwortung vorhanden und wahrzunehmen, insbesondere in der Cloud.
Das beginnt schon bevor überhaupt ein einziger Dienst bereitgestellt wird, mit der Absicherung des eigenen Tenants. Die Profiteure hinter der Ransomware benötigen neue Geschäftsfelder, wenn immer weniger Daten auf On Premises Shares liegen, die man verschlüsseln kann. Es ist nur logisch, dass das Aussperren aus dem eigenen Tenant und die Rückgabe der Rechte oder des Zugangs gegen Geld ein weiteres Betätigungsfeld von Cyberkriminellen wird und hier die Zahlen in Zukunft steigen werden. Daher ist es sehr wichtig, sich im Vorfeld Gedanken zu machen, wie man seinen eigenen Tenant hier passend schützt und auch die administrativen Zugänge so gestaltet, dass die Administratoren arbeiten können aber im Falle eines kompromittierten administrativen Zugangs nicht gleich der komplette Tenant in die Hände Dritter fällt. Daher gilt schon bei den Administratoren entsprechende Richtlinien zu hinterlegen und diese auch durchzusetzen, noch bevor überhaupt über die Bereitstellung von Diensten nachgedacht werden sollte. Es muss sichergestellt sein, dass man die Hoheit über den eigen Tenant nicht verliert. Die Mechanismen dafür werden von den Anbietern bereitgestellt, es gilt sie zu nutzen. An dieser Stelle sei auch noch mal im Besonderen auf die Multifaktor Authentifizierung hingewiesen, die auf jeden Fall zu nutzen ist. Auch wenn dies auf den ersten Blick lästig erscheint, ist die Absicherung von Zugängen, die quasi öffentlich erreichbar sind, ein Schlüsselelement zum Schutz vor Cyberangriffen.
Beginnt die Nutzung der Cloud, wie zum Beispiel von Office oder Microsoft 365 und somit von Teams, SharePoint, OneDrive & Co. macht alleine diese Kombination von den Nutzungsmöglichkeiten schon deutlich, wie komplex ein passendes Regelwerk für den Umgang von Daten, wie zum Beispiel Office Dokumenten ist. Es muss zum Beispiel festgelegt werden, wer welche Dokumente bearbeiten und teilen darf und vor allem mit wem diese geteilt werden dürfen. Analog gilt dies für Teams, es braucht Richtlinien, für dessen Nutzung, was zum Beispiel das Teilen und Einladen angeht. Aber auch so triviale Dinge, wie interne Nutzung von Gruppen, gibt es hier keine klaren Richtlinien, beginnt das Chaos. Es entsteht ein Wildwuchs und somit ein Chaos in der Kommunikation, was schlussendlich dazu führt, dass das neue Werkzeugt mehr Zeit verschlingt als es hilft. Natürlich schüttelt man solch ein Regelwerk für die Nutzung der Cloud nicht aus dem Ärmel. Hat man es von Anfang an im Blick gehabt, ist der Aufwand geringer, als es zu einem späteren Zeitpunkt umzusetzen. Aber um die Umsetzung selbst kommt man nicht herum, wenn es später nicht in einem IT-Super-GAU enden soll.
Jetzt hat man sie, die perfekte Umgebung in der Cloud, mit ausgefeilten Zugangskontrollen, Berechtigungskonzepten und nahezu perfekten Compliance Regeln, gibt es trotzdem noch Dinge, über die es nachzudenken gilt. Ein Thema ist hier die Datensicherung der Daten in der Cloud und vor allem, wo lege ich diese dann ab. Eine Option wäre im On Premises Rechenzentrum bei sich selbst. Erfüllt das eigene Rechenzentrum die notwendigen Bedingungen, vielleicht auch solche, die es für eine benötigte oder angestrebte Zertifizierung braucht, kann man dies in Betracht ziehen. Die nächste Frage ist dann, ist die zur Verfügung stehende Bandbreite und Speicherkapazität vorhanden oder skaliert die eigene Umgebung ebenso schnell, wie die Nutzung der Cloud mit den dort auftretenden Datenmengen?
Die Verwendung eines simplen NAS der üblichen Hersteller scheidet aus, dies genügt in keiner Form den Ansprüchen an ein Langzeitbackup von Daten aus Disk. Die Zeiträume, in denen der Hersteller ein System unterstützt, sind begrenzt und dann braucht es Migrationsszenarien von einem NAS auf das andere. Ein weiterer Punkt ist die Langzeitspeicherung von Daten auf Disk, um zum Beispiel BitRot Fehlern vorzubeugen. Daher macht es durchaus Sinn, eine Repository zu nutzen, welches für die Langzeitaufbewahrung von Daten auf Disk geeignet ist und gleichzeitig entsprechend skaliert. Scheidet das eigene Rechenzentrum On Premises aus, ist eine Colocation oder ein S(torage)aaS an einem entsprechenden Standort eine gute Option, um Daten aus der Cloud unter eigener Hoheit zu speichern bzw. einen vom Cloud-Anbieter unabhängigen Zugriff für den Fall der Fälle darauf zu haben. Noch ein Schritt weiter geht die Verwaltung der Schlüssel für die Datenzugriffe in der Cloud. Hier ist es ebenso vorstellbar diese Schlüssel selbst in einer Colocation oder auf ähnliche Weise entsprechend abgesichert bereitzustellen. Denn wer diese Schlüssel kontrolliert, kontrolliert letztendlich die Daten selbst. Ein solches Konzept ist aber im Rahmen dieses Beitrags nicht zu beschreiben und immer sehr individuell.
Als Fazit gilt festzuhalten, dass die Hoheit über die eigenen Daten insbesondere in den Clouds existentiell für jedes Unternehmen ist, wenn solche Dienste verwendet werden.