Von unserem Gastautor Dave Russell, VP, Unternehmensstrategie bei Veeam

[datensicherheit.de, 01.08.2022] Die Reaktion der Unternehmen auf die „Corona“-Pandemie wurde zu einer enormen Bewährungsprobe für die Technologie – mit Organisationen, die gezwungen waren, unverzüglich in digitale Projekte zu investieren, die normalerweise über mehrere Jahre hinweg gestreckt worden wären. Diese Erhöhung der Technologiebudgets ist jedoch eher ein langfristiger Trend als eine kurzfristige Lösung. Unternehmen sind derzeit dabei, widerstandsfähigere IT-Ökosysteme und Online-Marktplätze aufzubauen. Außerdem werden ihre Geschäftsmodelle agiler und besser gegen digitale Störungen abgesichert sein.

Der Veeam Data Protection Trends Report 2022 zeigt derweil, dass Unternehmen mit einem Notstand in der Datensicherung konfrontiert sind. Die Zahl derer, denen es nicht gelingt, ihre Daten zuverlässig zu schützen, steigt. Dies erklärt zwar in gewisser Weise, warum die Budgets für die Datensicherung stärker steigen als die allgemeinen IT-Ausgaben, aber reichen sie aus, um die Geschäftskontinuität vollständig zu schützen?

IT-Ausgaben steigen und Plattformvielfalt nimmt zu

Laut unserer Studie erwarten IT-Führungskräfte, dass ihr Budget für Datenschutz im Durchschnitt um etwa 6 Prozent steigen wird. Die jüngste globale IT-Ausgabenprognose der Analysten von Gartner schätzt das allgemeine Ausgabenwachstum im Jahr 2022 im Vergleich zu 2021 mit 5 Prozent ein – unter Berücksichtigung der hohen Erwartungen des digitalen Marktes an den Wohlstand. Daraus können mindestens zwei Schlüsse gezogen werden: Erstens reitet das Wachstum im Bereich des Datenschutzes weiterhin auf der Welle der Massendigitalisierung und der Cloud-Beschleunigung. Wenn das eine steigt, muss das andere mitziehen. Zweitens haben die Unternehmen hier Nachholbedarf. Zwar fühlen sich 6 Prozent gegenüber 5 Prozent nicht wie ein signifikanter Anstieg an, doch entspricht jedes Prozent in Wirklichkeit Milliarden von Euro.

Dave Russell, VP, Unternehmensstrategie bei Veeam, Bild: Veeam

Viele fragen sich nun, warum die Budgets für die Datensicherung stärker steigen als die allgemeinen IT-Ausgaben. Darauf gibt es zwei Antworten: Die erste lautet, dass die Unternehmen nicht alle Daten schützen können, die sie schützen müssen. Unseren Untersuchungen zufolge haben 86 Prozent der Unternehmen in der EMEA-Region eine „Schutzlücke“ zu überwinden zwischen der Menge der Daten, die sie sich bei einem Ausfall leisten können zu verlieren und der Häufigkeit der Datensicherung. Die zweite Antwort ist komplizierter, da sie die Frage nach der Ursache einschließt und lautet: Es gibt eigentlich keinen Grund, warum es für Unternehmen heutzutage schwieriger ist, ihre Daten zu schützen, als jemals zuvor.

Es gibt mehrere Gründe für dieses Phänomen. Ein wichtiger davon ist, dass sich die Plattformen, auf denen Unternehmen ihre Daten speichern, verändern, was bedeutet, dass sich auch die notwendigen Datensicherungslösungen, Protokolle und erforderlichen Fähigkeiten anpassen. Was die Plattformvielfalt betrifft, so nähern wir uns in rasantem Tempo einer neuen Normalität für die moderne IT mit einer 50-zu-50-Aufteilung zwischen Servern vor Ort und Servern, die in der Cloud gehostet werden. Bei näherer Betrachtung zeigt sich, dass im Rechenzentrum sowohl physische als auch virtuelle Plattformen erwartet werden, während in der Cloud eine gesunde Mischung aus hyper-skalierten und von Managed Service Providern (MSP) aufgesetzten Infrastrukturen zu finden ist. Die beiden wichtigsten Erkenntnisse aus diesen Trends sind, dass das Rechenzentrum weder tot noch sterbend ist. Es gibt immer noch genauso viele gute Gründe, eine Workload vor Ort auszuführen wie in der Cloud. Darüber hinaus müssen Datensicherungsstrategien physische, virtuelle und mehrere in der Cloud gespeicherte Optionen sowie die immer beliebter werdenden Kubernetes-Umgebungen mitberücksichtigen.

Datensicherung trifft auf SaaS

Eine der Triebkräfte für die beschleunigte Nutzung von Cloud-Diensten ist der Trend, dass Unternehmen die Anwendungen als Service nutzen. Die anhaltende Explosion von Software as a Service (SaaS) verändert die Dynamik, mit der Unternehmen ihre Daten schützen. Eine dieser Nuancen ist die Gefahr, dass IT-Administratoren davon ausgehen, dass SaaS-Anwendungen mit nativen Sicherungs- und Wiederherstellungslösungen ausgestattet sind, die den Standards einer modernen Datensicherungsstrategie entsprechen. Ein gutes Beispiel dafür, dass sich eine solche Annahme als kostspielig erweisen kann, ist der Einsatz von Microsoft Office 365. Während die integrierten Datensicherungsfunktionen vielen Unternehmen eine gewisse Sicherheit geben können, sodass die meisten Office 365-Daten gesichert und geschützt sind, ist die einzige Möglichkeit, sich wirklich sicher zu fühlen, die Backup-Lösung eines Drittanbieters. Der Schutz von SaaS-Daten über die integrierten Sicherungs- und Wiederherstellungsfunktionen hinaus ist unerlässlich, da 48 Prozent der Unternehmen in der EMEA-Region versehentliches Löschen, Überschreiben von Daten oder Datenbeschädigung als Hauptursache für IT-Ausfälle angeben.

Die zweite Auswirkung, die der Übergang zu SaaS auf die Datensicherung hat, ist die schiere Zunahme der zu schützenden Daten. Die Datenmengen nehmen ständig zu und die rasante Cloud-Ausweitung fördert diesen Trend. Dies erklärt zum Teil, warum die Zahl der Unternehmen, die in den letzten 12 Monaten eine Schutzlücke in ihrer Datensicherung festgestellt haben, um 14 Prozent gestiegen ist. Damit sich die Lücke nicht vergrößert, benötigen Unternehmen skalierbare Datensicherungslösungen, die mit den steigenden Datenmengen und Anwendungen Schritt halten können. Die Antwort darauf sind Cloud-basierte Backup- und Datensicherungslösungen und wirklich: Zwei Drittel der Unternehmen in der EMEA-Region nutzen derzeit Cloud-Dienste als Teil ihrer Datensicherungsstrategie und diese Zahl wird in den nächsten 12 Monaten steigen. Darüber hinaus wird die Fähigkeit, in der Cloud gehostete Workloads zu schützen, seitens IT-Leitung und Unternehmensführung als wichtigstes Kaufkriterium für den Schutz von Unternehmensdaten im Jahr 2022 angesehen. Zusammenfassend lässt sich sagen, dass Unternehmen immer mehr die Cloud nutzen und verstehen, dass Cloud-Daten gesichert werden müssen. Ebenso planen sie, Cloud-basierte Datensicherungsmaßnahmen wie Backup as a Service (BaaS) und Disaster Recovery as a Service (DRaaS) einzusetzen, um Daten zu schützen.

Um auf die zentrale Frage zurückzukommen: Steigen die Budgets für Datensicherung angemessen? Die diplomatische Antwort lautet, dass es derzeit einen großen Nachholbedarf gibt und die Zunahme tatsächlich hilft, denn: Der exponentielle Anstieg des Datenvolumens bedeutet, dass es mehr Daten zu schützen gibt, während die zunehmende Plattformvielfalt anzeigt, dass die Datensicherungsstrategien immer komplexer werden. Es ist davon auszugehen, dass die Budgets für die Datensicherung weiterhin schneller steigen werden als die allgemeinen IT-Ausgaben, da die Unternehmen allmählich versuchen, die Lücke zwischen den Daten, deren Verlust sie sich leisten können und den Daten, die sie angemessen schützen müssen, zu schließen. Natürlich sind höhere Ausgaben nicht die einzige Lösung. Moderne Backup-Lösungen, die Cloud-basiertes Backup und Cloud-basierte Wiederherstellung bieten, verbessern die Wirtschaftlichkeit des Datenschutzes im großen Maßstab – das heißt auch, dass Unternehmen mehr Daten für weniger Geld sichern können. Daher sollten sie am besten mit einem fachkundigen Partner zusammenarbeiten, um eine moderne Datensicherungsstrategie zu entwickeln, die eine Business Continuity-Lösung im Rahmen eines angemessenen Budgets bietet.

[datensicherheit.de, 05.07.2018] Etwa drei Viertel (73 Prozent) der Unternehmen mit bis zu 249 Mitarbeitern nutzen mindestens eine über die Cloud bereitgestellte Software-as-a-Service-Anwendung. Gerade von  diesen Anwendungen versprechen sich die Unternehmen neben einer Kostenreduktion mehr Effizienz und Flexibilität für ihre Mitarbeiter. Allerdings beklagt die Mehrheit (66 Prozent) Probleme bei der Verwaltung ihrer zunehmend heterogener werdenden IT-Infrastruktur. Zudem verlassen sich bei der Verwaltung der IT-Sicherheit 14 Prozent auf nicht-spezialisierte Mitarbeiter. Diese Ergebnisse gehen aus einer aktuellen Kaspersky-Studie zur Cloud-Nutzung im Mittelstand hervor [1].

Die Kaspersky-Studie zeigt: Die Hälfte (50 Prozent) der KMU (bis zu 49 Mitarbeiter) und 40 Prozent der Unternehmen bis 249 Mitarbeiter setzen auf Mitarbeiter, die regelmäßig außerhalb des Büros arbeiten und Zugriff auf Daten und Anwendungen über die Cloud benötigen. Zu den beliebtesten Anwendungen als Software-as-a-Service zählen E-Mail-, Speicheranwendungen, Collaboration- sowie Finanz- und Buchhaltungs-Services. Dabei speichern bis zu 58 Prozent der kleinen Unternehmen Kundendaten in der Public-Cloud.

Verantwortlichkeiten für die Sicherheitin der Cloud

Oftmals ist in kleinen Unternehmen nicht eindeutig geregelt, wer überhaupt die Verantwortung für die Assets in der Cloud trägt. Fast zwei Drittel (64 Prozent) der Unternehmen mit bis zu 49 Mitarbeitern sind davon überzeugt, dass beispielsweise Anbieter von Cloud-Dienstleitungen für die Sicherheit verantwortlich sind, die Hälfte (56 Prozent) der Unternehmen bis 249 Mitarbeitern sieht das ebenfalls so. Ein weiteres Problem ist, dass interne IT-Mitarbeiter nicht immer über ausreichende Fachkenntnisse verfügen und Unternehmen hinsichtlich des IT-Sicherheitsmanagements auf Mitarbeiter setzen, die keine Spezialisten sind.

„Um die Vorteile von Cloud Computing unabhängig von ihrem Wachstum zu nutzen, müssen Unternehmen die vorhandenen Cloud-Plattformen und -Services effektiv verwalten“, so Maxim Frolov, Vice President Global Sales bei Kaspersky Lab. „Die Unternehmen müssen erkennen, wer für die Cybersicherheit in immer komplexer werdenden IT-Infrastrukturen verantwortlich ist. Egal ob von internen Mitarbeitern oder vertrauenswürdigen Partnern verwaltet, Cybersicherheit darf nicht unberücksichtigt bleiben. Alle Unternehmen sollten daher eine dedizierte Haltung einnehmen, bei der die Sicherheit von Cloud-Plattformen, sensiblen Daten und Geschäftsprozessen kontrolliert werden kann.“

Hohe Kosten bei Cloud-Sicherheitsvorfällen

Mit Blick auf die finanziellen Konsequenzen eines Sicherheitsvorfalles sollten mitteständische Unternehmen auch die IT-Sicherheit der Cloud im Blick haben. Denn die durchschnittlichen Kosten eines Sicherheitsvorfalles in einem Mittelstandsunternehmen belaufen sich auf 120.000 US-Dollar und zwei von drei der kostenintensivsten Sicherheitsvorfälle betrifft die Cloud [2].

Kaspersky Lab bietet nach eigenen Angaben ein Portfolio von Lösungen [3], die speziell für Unternehmen jeder Größe entwickelt wurden. Dabei gibt es Sicherheitslösungen, die aus der Cloud bereitgestellt und verwaltet werden können, sowie spezielle Produkte zum Schutz von Cloud-Anwendungen selbst.

[1] Für den Report „Growing businesses safely: cloud adoption vs security concerns” wurden von Februar bis März 2018 3.041 Mitarbeiter in der IT in kleinen und mittelständischen Unternehmen in 29 Ländern (darunter auch in Deutschland) von Kaspersky Lab befragt. Mehr unter: https://www.kaspersky.com/blog/breach-responsibility/
[2] https://www.kaspersky.de/about/press-releases/2018_costly-cloud-breaches
[3] https://www.kaspersky.de/small-to-medium-business-security

Weitere Informationen zum Thema:

datensicherheit.de, 29.06.2018
Cloud: Security und Performance in Fokus

datensicherheit.de, 26.02.2018
DSGVO macht Cloud-Lösungen für den Mittelstand weniger attraktiv

datensicherheit.de, 16.03.2017
BSI-Warnung: Tausende Clouds in Deutschland für Cyber-Attacken anfällig

[datensicherheit.de, 27.07.2011] ByteAction bietet sein Archivierungssystem „BytStorMail“ in Form einer SaaS-Lösung („Software-as-a-Service“) an. Damit könnten insbesondere Rechenzentrumsbetreiber, Systemhäuser und Provider in Deutschland ihren Kunden eine Lösung bereitstellen, die alle ein- und ausgehenden E-Mails Compliance-gerecht auf virtuellen oder dedizierten Servern mit Storage und regelmäßigen Backups archiviere:
„BytStorMail“ soll für jedes E-Mail-System geeignet sein und für mehr Flexibilität sowie eine Schonung der unternehmensinternen Ressourcen sorgen. Falls erforderlich bzw. gewünscht, könnten Unternehmen ihre Domain auch im „ByteAction“-Rechenzentrum hosten. Innerhalb weniger Stunden lasse sich das Archivierungssystem in die vorhandene Umgebung integrieren.
Einmal implementiert, soll „BytStorMail“ für eine korrekte Ablage aller E-Mails nach gesetzlichen Richtlinien (GDPdU) in Bezug auf Aufbewahrungsfristen, Lesbarkeit etc. sorgen. Bevor die elektronische Post den jeweiligen Empfänger erreicht, versieht „BytStorMail“ jede E-Mail inklusive deren Anhang mit einem Zeitstempel sowie einer
Prüfsumme und speichert sie ab. Bei Bedarf ließen sich diese archivierten Nachrichten innerhalb kurzer Zeit suchen und wiederherstellen. Im Hinblick auf sensible Vorgänge sorge das sogenannte Vier-Augen-Prinzip für mehr Sicherheit, indem es die Zugriffsrechte auf mehrere Personen verteile.
Hervorgehoben wird auch die Rechtssicherheit, die der Serverstandort Deutschland bietet – ByteAction betreibe nachweislich alle virtuellen bzw. dedizierten Server ausschließlich in Rechenzentren innerhalb Deutschlands. Für größtmögliche Sicherheit verfügten diese Server über ausreichend Kapazitäten, und es werde zudem ein regelmäßiges Backup durchgeführt.

Weitere Informationen zum Thema:

ByteAction
BytStorMail / Software as a Service (SaaS)