Brand bei OVHcloud - Cloud - Datenschutz - DSGVO

Brand bei OVHcloud

Daten in der Cloud müssen auch gesichert werden!

Der schwere Brand bei Europas größtem Cloud-Anbieter OVHcloud in der vergangenen Woche führt anschaulich vor Augen, welche Folgen es für Unternehmen haben kann, wenn IT-Sicherheit kein angemessener Stellenwert eingeräumt wird.

Aufgrund des Brandes mussten sämtliche Server heruntergefahren werden. Die Folge: Laut Medienberichten waren mehr als 3 Millionen Websites zumindest zeitweise nicht erreichbar. Darunter auch solche kleinerer staatlicher Einrichtungen verschiedener Länder. Und: Einige Kunden haben Daten komplett verloren.

In vielen Unternehmen setzt sich erst langsam die Erkenntnis durch, dass IT-Sicherheit nicht optional ist. Dennoch beschäftigen sich etliche noch viel zu oberflächlich mit dem Thema und in vielen Fällen verlässt man sich einfach auf „die Cloud“.

Wozu das führen kann, sieht man am Beispiel des verheerenden Brands bei OVHcloud. Laut Presseberichten haben etliche Kunden Daten endgültig verloren, weil sie für kein bzw. kein ausreichendes Back-up gesorgt hatten.

Keine Back-ups bei den Kunden

Zwar hätten die Kunden von OVHcloud die entsprechende Leistung dazukaufen können, dies haben – offenbar aus Kostengründen – jedoch nicht alle getan. Kunden, die auch nicht anderweitig für Back-ups gesorgt hatten, dürften nun mit leeren Händen dastehen. Je nach Unternehmenszweck kann dies für den Einzelnen in einer existenzgefährdenden Situation enden. Unternehmen sind daher gut beraten, ihr Back-up- und Restore-Konzept umfassend zu überprüfen und insbesondere Daten in der Cloud mit dabei zu berücksichtigen.

Doch nicht nur das Back-up-Konzept sollte überzeugen – auch durch regelmäßige Tests und Übungen müssen Unternehmen sich versichern, dass die konkrete Umsetzung funktioniert, Verantwortlichkeiten geklärt sind, im Notfall an alles gedacht ist und die Wiederanlaufzeiten eingehalten werden. Potentiell muss dabei auch der im Notfall notwendige kurzfristige Wechsel auf einen anderen Cloud-Anbieter mit einkalkuliert werden.

Cloud- und Rechenzentrums-Dienstleister sorgfältig auswählen

Für viele Unternehmen entsteht der Eindruck: Wer seine Daten in der Cloud bei einem externen Rechenzentrum speichert, bucht ein „Full-Service-Paket“ und muss sich um seine Daten keine Gedanken mehr machen. Das ist ggf. im Einzelfall je Anwendung zu prüfen! Inwieweit und wie oft  sichert der Anbieter die Daten? Wie einfach ist die Wiederherstellbarkeit im Fehlerfall?

Keinesfalls nachlässig sollte dementsprechend bei der Auswahl des Rechenzentrums-Dienstleisters vorgegangen werden. Einschlägige Zertifizierungen wie die ISO 27001 können als Indiz herangezogen werden, dass es sich um einen seriösen Anbieter handelt, der sich der Informationssicherheit verschrieben hat. Nicht immer sollte man nur den billigsten Anbieter in Betracht ziehen. Nicht vergessen werden darf der Abschluss eines Auftragsverarbeitungsvertrags, sofern personenbezogene Daten im Rechenzentrum gespeichert oder verarbeitet werden. Bzgl. der garantierten Sicherheitsmaßnahmen sollten Unternehmen diese stets kritisch prüfen und hinterfragen, ob diese durch den Anbieter tatsächlich realisiert werden oder nur auf Papier existieren und ob ggf. Anpassungen in der eigenen Organisation erforderlich sind. Im Zweifelsfall lässt sich dies durch ein sog. Lieferantenaudit oder Dienstleisteraudit oder auch durch den Datenschutzbeauftragten vor Ort prüfen!

Sind auch Sie sich nicht ganz sicher, was Sie bei einem externen Rechenzentrum beachten müssen? Dann Kontaktieren Sie uns. Wir beraten Sie zu den Fallstricken und helfen Ihnen, mit individuellen Lösungen das optimale Konzept zu finden!

 

This post is also available in: Englisch