Datenschutz problematisch
Auch wenn Cloud-Backup auf zunehmendes Interesse stößt, haben doch viele Unternehmen Bedenken, ihre Daten aus der Hand zu geben. Fälle wie der jüngste Datenverlust bei Amazon oder die Diskussion um den "Regulation of Investigatory Powers Act" (RIPA), der es britischen Behörden ermöglicht, auf alle in Großbritannien gehosteten Daten zuzugreifen, stärken nicht gerade das Vertrauen in eine Online-Datensicherung.
Dazu kommen Gesetze und Regeln, die die Nutzung von Online-Backup-Diensten juristisch schwierig machen, wie etwa das Bundesdatenschutzgesetz (BDSG) oder die "Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen" (GDPdU). Die Datenverarbeitung erfüllt beispielsweise nur dann die Anforderungen einer Auftragsdatenverarbeitung nach Paragraf 11 BDSG, wenn die Daten in der EU oder zumindest im Europäischen Wirtschaftsraum (EWR) bleiben. Dem Auftraggeber muss bekannt sein, in welchen Staaten die Server betrieben werden. Eine Auslagerung personenbezogener Daten beispielsweise auf billigen Amazon-S3-Speicher dürfte damit datenschutzrechtlich höchst problematisch sein. "Entscheidend für ein Pro oder Contra sind bei Online-Backup die Sicherheitsbedenken, einem Dritten wichtige Unternehmensdaten anzuvertrauen", sagt Dr. Marc M. Batschkus, Marketing & Business Development bei Archiware.
So finden Sie den richtigen Cloud-Backup-Anbieter
Bei der Wahl des Cloud-Backup-Anbieters, mit dem Sie zusammenarbeiten wollen, sollten Sie auf folgende Kriterien achten:
- Lage der Rechenzentren: Bleiben die Daten in Deutschland, sind Sie rechtlich auf der sicheren Seite; verlassen personenbezogene Daten die EU, sind juristische Probleme programmiert.
- Verschlüsselung: Sowohl die Datenübertragung als auch das Backup selbst sollten verschlüsselt sein; der Master Key für die Backup-Verschlüsselung sollte beim Kunden liegen.
- Datenüberprüfung: Der Hoster sollte das Backup auf Konsistenz überprüfen und Sie im Fehlerfall über Probleme informieren.
- Offline-Datenlieferung: Für das erste Backup und für ein Recovery - oder bei Kündigung des Vertrages - sollte es möglich sein, Daten per Festplatte zu liefern beziehungsweise zurückzuerhalten.
- Reaktionsschnelligkeit: Im Recovery-Fall sollten die Daten innerhalb eines Arbeitstages auf Festplatten per Kurier an Sie oder den Kunden gesandt werden.
- Provisionierung: Als Reseller sollten Sie über die gesamte Laufzeit des Vertrages an den Umsätzen beteiligt sein und nicht nur eine Einmalprovision erhalten.
- Administration: Eine mandantenfähige Verwaltungskonsole erleichtert das Management mehrerer Kunden-Accounts erheblich.
Der Reseller sollte deshalb besonders darauf achten, wo die Server und Speicherysteme des Providers stehen. Am besten und am wenigsten problematisch ist es sicherlich, wenn sich alle Rechenzentren des Anbieters in Deutschland befinden. Dies ist beispielsweise bei GDS und der gehosteten Variante von ONBackup der Fall. Auch Trend Micro wird nach eigenen Angaben die Daten ab September 2011 in deutschen Rechenzentren hosten. Mozy will "aus Sicherheitsgründen" nicht verraten, wo sich die Rechenzentren befinden, betont aber, dass diese in der Europäischen Union lokalisiert seien. BullGuard beantwortet die Frage nach der Lage der Rechenzentren nicht.
Selbst wenn die Server in Deutschland oder einem anderen Land der EU stehen, sind die Daten nicht sicher - wenn die Rechenzentren nämlich durch einen US-Konzern betrieben werden. Erst vor kurzem hat beispielsweise Microsoft eingeräumt, dass es auf Anforderung Daten seiner europäischen Kunden an US-Sicherheitsbehörden ausliefern würde. Die Betroffenen werden unter Umständen über den Datendiebstahl nicht einmal in Kenntnis gesetzt - ein klarer Verstoß gegen deutsches und europäisches Recht. Nach Ansicht von Microsoft sind alle US-Firmen durch den Patriot Act zu diesem Vorgehen verpflichtet.
Genauso wichtig wie der Standort von Rechenzentrum und Betreiberzentrale ist die Sicherheit bei der Übertragung und Speicherung. Eine verschlüsselte SSL-Verbindung für den Transfer ist ebenso Pflicht wie eine Verschlüsselung des Backups - möglichst auf Client-Seite und mit einem Master Key, der lokal beim Kunden bleibt. Das bieten zum Beispiel GDS, ONBackup und Mozy. Batschkus bleibt selbst dann skeptisch: "Auch mit Verschlüsselung bleibt das Risiko, denn wo verschlüsselt wird, kann auch entschlüsselt werden." (haf)