Cloud Outsourcing

Es brennt – Wie gut geschützt sind Ihre Daten?

Der Brand in Europas größtem Rechenzentrum OVH in Straßburg am 10. März 2021 hat uns allen vor Augen geführt, dass auch die Cloud ihre Verfügbarkeitsgrenzen hat.

Naturkatastrophen, Brände oder menschliches Versagen sind nie vollständig zu verhindern, aber es ist möglich rechtzeitig geeignete Maßnahmen zu treffen die einen kompletten Datenverlust wie ihn einige Kunden des Anbieters des französischen Cloud-Anbieter OVH erlitten haben, verhindern können. Zunächst ein kurzer Rückblick aus aktuellem Anlass.

Was ist bekannt über den Vorfall am 10.03.2021 beim Cloud Anbieter OVH?

Laut Angaben des Unternehmens zerstörte der Brand eines der vier Datenzentren völlig und ein anderes teilweise.
Daten von 12000 bis 16000 Kunden seien betroffen (plus die von deren Kunden).
Am Morgen des Brandes gingen zeitweise 3,6 Millionen Webseiten von 464.000 Domain-Namen vom Netz (nach Angaben des britischen Datensammlers Netcraft).
Auf seiner Webseite rät OHV seinen Kunden dazu den Disaster Recovery Plan zu aktivieren.

Was für Auswirkungen kann ein kompletter Datenverlust für ein Unternehmen haben?

Im Falle eines unwiederbringlichen Datenverlustes (kein Backup vorhanden) oder einer Beeinträchtigung der Verfügbarkeit besteht aus datenschutzrechtlicher Sicht akuter Handlungsbedarf.
Meldung einer Datenschutzverletzung bei der Behörde und ggf. den betroffenen Personen ist notwendig.
Es entsteht ein unvorhersehbarer Image Schaden und daraus ggf. Umsatzverluste und Ressourcenbindung im Trouble-Shooting.
Je nachdem welche Daten betroffen sind kann es zu einem starken Wissens- und Dokumentationsverlust im Unternehmen kommen, was wiederum rechtliche und monetäre Konsequenzen nach sich ziehen kann.

Unser Anliegen ist es unsere Kunden zu informieren und Lösungsvorschläge aufzuzeigen, wie Sie das Thema Datensicherheit generell und im speziellen beim Outsourcing zu einem Cloud Provider angehen können.

Aus unserer Sicht als Risikomanagement-Experten ist die wichtigste Regel:

Verstehe das Unternehmen und seine Risikoakzeptanz

Unsere Empfehlung

Wir empfehlen jedem Unternehmen sich intensiv mit diesem Thema auseinanderzusetzen, denn die Auswirkungen können schmerzhaft sein und ein am einen Ende gespartes Investment im Bereich der Informationssicherheit kann am anderen Ende teuer werden. Es lohnt sich also, einige Punkte rechtzeitig näher zu betrachten.

Wie können Sie für sich die Frage nach einem wirkungsvoll implementierten Risikomanagement-System beantworten? Haben Sie eines im Unternehmen etabliert? Ist bekannt welche Informationen und IT-Systeme im Falle ihres Vertraulichkeits-, Integritäts- oder Verfügbarkeitsverlustes den größten Schaden für das Unternehmen nach sich ziehen könnten? Wie viel Schaden kann das Unternehmen verkraften?

Sollten Sie auf diese Fragen noch keine oder nur unzureichende Antworten haben, empfehlen wir Ihnen dringend, diese Themen im Rahmen einer Business Impact Analyse (BIA) zu bearbeiten. Damit schaffen Sie die Basis für eine auf Ihre Unternehmensbedürfnisse abgestimmte Backup- und Restore-Strategie und können sich im weiteren Schritt um das Design der technischen und organisatorischen Maßnahmen kümmern.

Unabhängig davon empfiehlt es sich, IMMER ein Daten Backup an einem anderen Ort zu haben als nur auf einem Cloud-Server. Ein anderer Ort bedeutet auch, dass die Daten nicht im Raum/Haus nebenan liegen, sondern eine geografische Trennung zwischen den genutzten Servern besteht. Dies sollte zumindest für die kritischsten Daten des Unternehmens gelten.

Mit der Risikomanagement Software CRISAM® sind die relevanten Fragen zu den Risikoeinschätzungen bereits im System hinterlegt. Der Vorteil ist, dass man mit CRISAM® ein integriertes Risikomanagement System hat, dass verschiedene Disziplinen und Methoden miteinander vereint und Sie sich gegen den Stand der Technik prüfen können. Das erleichtert den Nutzern, die Steuerung des Prozesses und vor allem auch die Auswertung und Zusammenführung von Risiken.

Benötigen Sie Beratung oder haben Fragen zu diesem Thema? Wir sind gerne für Sie da!

Quellen:

OHVcloud
Heise
FAZ
Dataprotect

Über den Autor

Markus Müller hat in den letzten 15 Jahren international und praktisch in allen Branchen Risiko- und Compliance Management Projekte erfolgreich aufgebaut. Angefangen als Consultant und heute Geschäftsführer von einem der führenden Software-Hersteller (CALPANA business consulting GmbH) für Integrated Risk Management Lösungen (CRISAM®) kennt Markus Müller jede Problematik, die bei der Einführung eines ISMS auf die Organisation zukommen kann.

Bleiben wir in Kontakt!