Daten archivieren on Premises oder in der Cloud?

Wie als Unternehmen Daten archivieren?

Jedes Unternehmen steht früher oder später vor der Frage, wie es Daten archiviert. Denn, klar: Wer Daten verarbeitet (und wer tut das nicht?), muss eine Lösung dafür finden, wo und wie sie aufbewahrt werden sollen. Immerhin gibt es ganz unterschiedliche Möglichkeiten. Zwei davon sind: auf dem eigenen Betriebsgelände oder in der Cloud.

Fakt ist: Beide Methoden zur Archivierung elektronischer Daten sind heute in fast jedem Unternehmen im Einsatz. Es zählt also weniger die Frage, wo die Daten liegen, als vielmehr, ob Sie im Katastrophenfall möglichst schnell weiterarbeiten können.
Um das sicherzustellen, gibt es hilfreiche Kriterien. Wer sie beachtet, kommt der optimalen Vorgehensweise bei der Datenarchivierung einen großen Schritt näher.

Datensicherung in der Cloud vs. On Premises

Vorteile der Datenarchivierung in der Cloud

Zunächst gibt es ein paar ganz praktische Gründe, die für eine Datenspeicherung in der Cloud sprechen. Wird das Back-up außerhalb des Unternehmens aufbewahrt, fällt das Risiko weg, dass die Datensicherung durch Vorkommnisse auf dem Firmengelände beschädigt oder zerstört werden könnte. Bei Speicherung in der Cloud braucht es zur Datensicherung keine eigene Hardware – schon mal keine Datenträger, die kaputt gehen könnten.

Auch ein Vorteil: Der Speicher in der Cloud lässt sich einfach erweitern. Ärgerlich, wenn Daten nicht mehr gespeichert werden können, da die Speicherkapazität erschöpft ist.

Im Falle einer erforderlichen Datenrücksicherung sind die Daten in der Cloud in der Regel ständig verfügbar. Auf dem Unternehmensgelände hingegen können Datensicherungen etwa in einem Nebengebäude eingeschlossen sein. Was, wenn im Ernstfall die Kollegin mit dem Schlüssel nicht erreichbar ist?

Ein Punkt, der immer wichtiger wird, sind die verfügbaren Fachkräfte. Bei eigener Datensicherung ist eine intensive Betreuung des Sicherungsvorgangs durch Administratoren erforderlich. Gute Fachkräfte sind rar – und schwer zu ersetzen, wenn sie das Unternehmen verlassen.

Für die Cloud gilt: Ist die Archivierung einmal eingerichtet, entfällt der Aufwand für betriebseigenen IT-Fachkräfte. Außerdem gelten in der Cloud (natürlich abhängig von den vertraglichen Vereinbarungen) normalerweise sehr hohe Sicherheitsstandards, die viele bei der Datenarchivierung on Premises kaum in vergleichbarer Form leisten können.

Hinzu kommt: Datensicherung in der Cloud kann sehr einfach eingekauft werden. Oft reichen wenige Minuten für eine Vertragserweiterung. Je nach aktueller Marktlage ist es nicht immer leicht, Prozessoren und physische Speicherkapazität für die Datensicherung auf dem Betriebsgelände einzukaufen, wenn Knappheit an Computerchips herrscht. Sind sie vorrätig, braucht es Zeit, bis sie beschafft, eingebaut und bereit sind – ganz anders als bei der Cloud.

Risiken der Datenarchivierung in der Cloud

Allerdings hat die Datenspeicherung in der Cloud nicht nur Vorteile, sie ist auch mit Risiken verbunden, die teilweise erheblich sind. Das größte Risiko ist ein typisch deutsches. Bei der Datenübertragung in die Cloud braucht es, logisch, eine Internetverbindung. Und in Sachen Bandbreite zählt hier nicht die Download, sondern der Upload. Da ist die Datenrate in den meisten Fällen erheblich niedriger als beim Download. Das deutsche Internet ist in vielen Regionen deutlich schwächer als in den Nachbarländern. So kann es passieren, dass wegen fehlender Bandbreite bei einer Komplettsicherung Tage oder gar Wochen vergehen, bis alle Daten in der Cloud angelangt sind. Ab einer gewissen Datenmenge wird man kaum eine Wahl haben, als zumindest für die erste Datensicherung die Daten auf physischen Datenträgern zum Rechenzentrum zu bringen.

Eine Herausforderung bei der Cloudnutzung sind die Bestimmungen der Datenschutzgrundverordnung (DSGVO), dass das Rechenzentrum in der Europäischen Union liegen muss. Alternativ können Sie natürlich eine sichere Verschlüsselung wählen, hier müssen aber die Prozesse sicher sein. Viele Verantwortliche ereilt ein ungutes Gefühl, wenn das wichtigste Firmenvermögen, also die Daten, anderswo liegt. Sind sie dort wirklich sicher vor unbefugten Zugriffen?

Eine echte Kontrolle über den Dienstleister ist nicht ohne weiteres möglich. Sicher, ein Rechenzentrum kann man auditieren. Ob man dabei aber verlässlich erfährt, wo die eigenen Daten liegen, gehört ins Reich der Spekulation. Die Aussage „Auf diesem Server liegen Ihre Daten“ halte ich in den meisten Fällen eher für ein Gerücht als für eine Tatsache.


Datenarchivierung und Datenschutz

Es ist eine der zentralen Anforderungen der technischen und organisatorischen Maßnahmen der DSGVO, dass personenbezogene Daten, die verarbeitet werden dürfen, verfügbar sein müssen. Das betrifft auch die Datensicherungen. Außerdem muss bei einem physikalischen oder technischen Zwischenfall gewährleistet sein, dass eine rasche Wiederherstellung der personenbezogenen Daten möglich ist.

Diese beiden grundlegenden technischen und organisatorischen Maßnahmen laut Artikel 32 der DSGVO erfordern also eine strukturierte Datensicherung, bei der es im Grunde genommen keine Rolle spielt, ob sie On Premises oder in der Cloud erfolgt. Als Betreiber müssen Sie gewährleisten (und in der Folge auch prüfen), dass diese Daten verfügbar und wiedereinspielbar sind. Dafür ist ein verlässliches Business Continuity Management (BCM) zwingend erforderlich.

Cloud vs. On Premises?

13 Tipps für eine DSGVO-konforme Datenarchivierung

1. Stellen Sie fest, ob die Systemverantwortlichen alle Daten und Programme klassifiziert haben: Welche Daten sind unerlässlich, auf welche Daten kann eine gewisse Zeit verzichtet werden, bei welchen Daten kann ein längerer Ausfall toleriert werden?
   
   
2. Gibt es eine Übersicht, welche Daten tatsächlich kritisch sind?
   
   
3. Gibt es gesetzliche Vorschriften oder Anforderungen aus der Compliance, die eine Auslagerung von Daten in die Cloud verbieten?
   
   
4. Gibt es verlässliche Aussagen darüber, ob und wie ein erforderliches Recovery durchgeführt werden kann?
   
   
5. Wenn die Datensicherung in der Cloud erfolgt, stellen Sie die Gründe für die Speicherung in der Cloud zusammen.
   
   
6. Klären Sie, ob es eine Sammlung der Gründe gegen Datensicherung in der Cloud gibt.
   
   
7. Stellen Sie sicher, dass das Unternehmen die Gründe für und gegen eine Datensicherung in der Cloud gegeneinander abgewogen und entsprechende Rückschlüsse gezogen hat.
   
   
8. Klären Sie, ob es eine Dokumentation der Risiken bei Datensicherung in der Cloud gibt.
   
   
9. Klären Sie, ob es eine Dokumentation der Risiken bei Datensicherung auf dem Betriebsgelände gibt.
   
   
10. Klären Sie, wie mit den Risiken der Datensicherung in der Cloud umgegangen wird.
    
    
11. Klären Sie, wie mit den Risiken der Datensicherung on Premises umgegangen wird.
    
    
12. Erstellen Sie eine Übersicht, welche Daten wo und wie abgesichert sind und wie ein Recovery durchgeführt werden kann.
    
    
13. Prüfen Sie all diese Punkte in einer Richtlinie regelmäßig auf Anwendbarkeit, Vollständigkeit und Aktualität und passen Sie sie bei Bedarf an.

Und die Kernfrage: Wird mit einer strukturierten Risikoanalyse abgewogen, welche Form der Datensicherung das geringere Risiko darstellt?