Cloud-Storage: Schatten-IT muss nicht sein
Ehe die Mitarbeiter zur Schatten-IT greifen, um Dokumente mit Kollegen auszutauschen oder Daten im Web zu sichern, sollten Unternehmen besser versuchen, geeignete professionelle Services zu finden. Dabei muss es nicht immer ein Angebot der Großen sein.
Von Ariane Rüdiger
25 Prozent der von IDC im Dezember 2013 befragten Anwender nutzten Online-Dokumentenspeicher, um Material mit Kollegen zu teilen (Bild: IDC)Immer wieder ist davon die Rede, dass an der IT-Zentrale vorbei beschaffte IT-Services aus der Cloud die Sicherheit von Unternehmen gefährden. Dies betrifft häufig Online-Storage. So nutzen nach einer Untersuchung von IDC vom Dezember 2013 rund 25 Prozent der Befragten Online-Sharing-Lösungen wie Dropbox an der IT-Abteilung vorbei. Doch Unternehmen sollten nicht tatenlos zusehen, wie ihre Sicherheitsstrategien ausgehöhlt werden. Denn es gibt mittlerweile eine ganze Reihe professioneller Alternativen.
Die Cloud-Storage-Angebote der Großen der Branche wie Amazon, Google, Microsoft, HP oder EMC haben das Manko, dass ihre Mutterfirmen in den USA dem »Patriot Act« unterliegen. Trotz aller Beteuerungen, die deutschen Tochterunternehmen wären vollständig unabhängig, bleiben Zweifel. »Microsoft streitet derzeit mit der US-Regierung darüber, ob Daten, die in einem irischen Rechenzentrum und damit in der europäischen Rechtssphäre außerhalb der USA liegen, trotzdem von dem Unternehmen herausgegeben werden müssen«, weiß Rechtsanwalt Dr. Jens Bücking, der sich auf Themen rund um Datensicherung und Compliance spezialisiert hat. Zu den kleineren Anbietern, die man aus demselben Grund nur mit Vorbehalt empfehlen kann, gehören Acronis, Carbonite und viele andere.
International agierende Anwender kennen die Probleme
Rechtsanwalt Dr. Jens Bücking: »Microsoft streitet mit der US-Regierung über die Herausgabe von Daten, die in einem irischen Rechenzentrum gespeichert sind« (Bild: Ariane Rüdiger)Unternehmen müssen aber geschäftswichtige Daten nun einmal jederzeit kontrollieren und bereitstellen können – und dürfen viele, insbesondere persönliche Daten, nicht herausgeben, wollen sie in Rechts- oder Steuerverfahren eine nachteilige Position vermeiden oder gar das Recht brechen. Daher gilt: Für Firmen, die ohnehin Präsenzen auf aller Welt betreiben und Daten an verschiedenen Orten lagern, wird auch die Nutzung von Amazon S3 oder anderen international ausgerichteten Services wenig neue Probleme hinzufügen. Dasselbe gilt natürlich auch für Anbieter wie Acronis oder Norton, die sich in ihrem Anwendungsfeld Online-Backup lange bewährt haben.
Doch auch wer seinen geschäftlichen Schwerpunkt in erster Linie hierzulande hat, und lieber auf lokal ansässige Dienstleister zurückgreifen möchte, kann inzwischen aus einer ganzen Reihe von Storage-Services auswählen, die den Anforderungen von Fiskus und Justiz auf jeden Fall genügen sollten. Beispiele für Cloud-Storage-Anbieter mit europäischem Hintergrund sind etwa Dunkel, Hornetdrive, das holländische Unternehmen mindtime, IDGuard, Profitbricks, oder professionelle Varianten von Strato HiDrive, um nur einige zu nennen.
Auf Online-Backup haben sich etwa Dogado oder Giga International (Safarea) spezialisiert. Manche Anbieter von Cloud-Storage, etwa Pironet, haben gleichzeitig Snapshot-Funktionen im Programm, so dass sie sich als Backup- und einfache Storage-Umgebung eignen.
Was bei der Auswahl zu beachten ist
Bei der Auswahl des passenden Angebots spielt der Preis eine wichtige Rolle. Da jeder Anbieter andere Preismodelle implementiert hat, ist hier ein wenig Rechnerei nicht zu vermeiden, um das günstigste Angebot zu finden. Verfügbar sind in der Regel Flat-Fees und Volumen-Modelle. Die günstigsten Flat-Fees beginnen schon im einstelligen Euro-Bereich.
Weitere wichtige Themen bei der Servcie-Auswahl: Werden die Daten verschlüsselt übertragen? Wenn ja: Wer hat Schlüssel, und wer verwaltet sie? Wie ist im Falle einer Insolvenz die Datenrückgabe geregelt? Wer hilft bei Problemen, und ist dies im Preis inkludiert? Bedeutend ist unter Umständen auch die Aufbewahrungsdauer: Wird ein steuerrechtskonformer Datenspeicher gesucht, müssen die Daten online zehn Jahre und länger beim Provider liegen bleiben. Sollen dagegen nur Files für den kurzfristigen gemeinsamen Zugriff vorgehalten werden, etwa für den Datenaustausch in Teams, ist dieses Thema irrelevant.
Zertifizierungen der Rechenzentren beachten
Zudem sollte man unbedingt auf die Zertifizierungen der Rechenzentren achten, auf denen der Speicherservice läuft. Denn der professionellste Speicherservice nutzt nichts, wenn die Sicherheitsvorkehrungen im Rechenzentrum unprofessionell gemanagt werden. Und die Verantwortung für die Sicherheit der Speicherung bleibt trotz Online-Storage beim Anwender.
Die entsprechenden ISO-Normen sind 27001, 9001 und 20000 für die organisatorische Sicherheit sowie ISO 15408 für die informationstechnische Sicherheit. Dazu können an internationalen Zertifizierungen die Tier-Einordnung des Uptime-Instituts und ANSI/TIA 942 kommen. Auch die Zertifizierungen des eco-Verbandes haben positiven Aussagewert. Schließlich muss die Anbindung genügend Bandbreite aufweisen, um die Daten mit möglichst wenig Verzögerung zu transportieren.
Wer sich die Mühe macht, den etwas unübersichtlichen Markt gründlich zu durchforsten, wird am Ende also sicher das richtige Angebot finden und damit dem Risiko der Schatten-IT zumindest auf dem Gebiet Storage entgegentreten können.
- speicherguide.de-Kommentar über Schatten-IT in der Cloud
- speicherguide.de-Blog über die Folgen ungeschützter Daten in kostenlosen US-Clouds
- Dropbox-Alternativen für Unternehmen
- Bitkom-Studie: Consumer nutzt Cloud-Storage intensiv
- Die Meinung von Doc. tec. Storage, ob sich KMUs mit Amazon S3, Dropbox & Co befassen sollen
- Mehr Infos über die Cloud, Cloud-Computing und Cloud-Storage im speicherguide.de-Schwerpunkt