Fachartikel

Sicheres Backup für Microsoft 365

Auch wenn noch immer rund ein Viertel der Unternehmen die Daten in der Cloud für sicher und wiederherstellbar hält: Die Nutzung cloudbasierter SaaS-Anwendungen wie Microsoft 365 kommt ohne ein wirkungsvolles Backup und Recovery nicht aus. Denn nicht zuletzt das Prinzip der geteilten Verantwortung verlagert die Datenhoheit zum Nutzer. Worauf es bei einer durchdachten Sicherungsstrategie und den verschiedenen Anforderungen der einzelnen Anwendungen ankommt, verrät unser Fachartikel.
Die granulare Wiederherstellung über eine übersichtliche GUI sollten zu den Standards eines modernen Backuptools gehören.
Die Nutzung von SaaS-Lösungen hat mit der Verlagerung von Arbeit ins Home Office im letzten Jahr noch einmal rasant zugenommen, auch wenn der Trend vorher schon deutlich zu erkennen war. Allein Microsoft 365 (M365) wurde im Jahr 2020 laut Statista von über einer Million Unternehmen weltweit genutzt. Microsoft Teams hat rund 95 Millionen Nutzer im vergangenen Jahr hinzugewonnen. Mit dem Komfort cloudbasierter Software wie M365 kommt jedoch immer auch die Gefahr von Datenverlusten. Denn mit dem Wechsel zur Microsoft-Cloud haben tausende Unternehmen zuvor on-premises gespeicherte Geschäftsdaten dem Softwareunternehmen anvertraut – und wiegen sich oft in falscher Sicherheit.

Jedes vierte Unternehmen geht von der Prämisse aus: "Was in OneDrive oder auf SharePoint liegt, ist sicher und wiederherstellbar", so eine Studie zu Data Protection und Cloud Strategies der Enterprise Strategy Group von 2019. Und 23 Prozent der die Cloud nutzenden Unternehmen fehlen Sicherheitskonzepte für alle oder zumindest ausgewählte Cloudszenarien, so eine KPMG-Studie aus dem Jahr 2020. Die Zahlen zeigen: Unternehmen, die für den Geschäftsbetrieb relevante Anwendungen wie M365 ohne Backupkonzept nutzen, riskieren schlimmstenfalls einen Betriebsausfall und totalen Datenverlust.

Die geteilte Verantwortung zwischen Anbieter und Nutzer
Nicht allen IT-Experten ist ausreichend klar, wieviel Kontrolle sie über die Clouddaten haben, und wo die Verantwortlichkeiten liegen. Schuld daran ist nicht zuletzt die unscharfe Verwendung von Begriffen wie Verfügbarkeit, Redundanz und Wiederherstellbarkeit. Zentral für das Verständnis der Zusammenhänge und des Handlungsbedarfs in Sachen Datensicherheit ist das Prinzip der "geteilten Verantwortung". Microsoft verantwortet laut Service-Level-Agreement die Infrastruktur und stellt per Georedundanz die Verfügbarkeit und Nutzbarkeit der Plattform sicher.

Dies ist keinesfalls mit einem vollwertigen Backup zu verwechseln. Microsoft garantiert weder bestimmte Recovery Point Objectives noch die dauerhafte Wiederherstellbarkeit von Daten. Die Datenhoheit und Datenkontrolle obliegt nämlich dem Anwenderunternehmen. Es ist somit selbst für den Schutz und die Verwaltung der eigenen Daten verantwortlich und muss dafür sorgen, dass die Daten verfügbar, zugänglich, sicher und wiederherstellbar sind. Die Ablage in OneDrive reicht dafür nicht.
Fallstricke der M365-Datensicherheit
Im alltäglichen Bürobetrieb mit M365 kann die automatische Synchronisierung zwischen Cloud und Endgerät, die ja auch den Komfort der Cloudanwendung ausmacht, schnell zum Verhängnis werden. Die Automatisierung löst nämlich ein Überschreiben der Daten auf allen synchronisierten Geräten aus – fehlerhafte Daten, ein Löschen oder mit Malware infizierte Dateien können so in Windeseile verteilt werden. Der Papierkorb bietet für einen Zeitraum von 30 Tagen die Möglichkeit, aktiv gelöschte Daten zurückzuholen, Postfächer und Gruppen sind für 14 Tage abrufbar. Beschädigte Dateien repliziert Microsoft automatisch kurzfristig, um Redundanzen zu vermeiden. Mehr Wiederherstellbarkeit liefert Microsoft aber nicht.

Neben dem Löschen oder fehlerhaften Überschreiben gibt es aber noch andere Bedrohungen, die zu Datenverlust führen können. Lücken in den Aufbewahrungsrichtlinien etwa können entstehen, wenn das Datenmanagement die Datenhaltung nicht vollständig und konsequent regelt. Scheidet ein Mitarbeiter des Unternehmens aus und dieses Konto wird deaktiviert, löscht Microsoft automatisch nach 90 Tagen das inaktive Benutzerkonto und alle zugehörigen Daten. Nach dieser Frist kann das Unternehmen sie nicht wiederherstellen. Bezüglich rechtlicher Sanktionen und Compliance-Verstößen etwa gegen die DSGVO bietet Microsoft zwar ein sogenanntes Litigation-Hold-Feature, das aktuell verfügbare Daten dauerhaft einfriert und vor Löschung schützt, aber nur bis zu einem Datenvolumen von 100 GByte.

Die Wahl des Backup- und Recovery-Werkzeugs
Eine Backup- und Recovery-Tool muss auf verschiedene Anforderungen und Voraussetzungen bei den einzelnen Cloudanwendungen eingehen. Sie sollte dabei einfach zu konfigurieren sowie absolut verlässlich im Tagesgeschäft sein und gewährleisten, dass die IT-Verantwortlichen die Daten jederzeit sicher und wiederherstellbar speichern können. Vier Faktoren sind dabei besonders wichtig:

  • Die Daten müssen sich nach einer versehentlichen Löschung, im Fall eines Ransomware-Befalls, einer gezielten Cyberattacke oder auch nach interner Sabotage vollständig wiederherstellen lassen.
  • Das Werkzeug muss flexible Aufbewahrungsregeln und individuelle Archivierungszeiträume abbilden können.
  • Eine Suchfunktion für E-Discovery-Aufgaben muss auch Backupdaten einschließen.
  • Und schließlich sollten die gesicherten Daten auf lokalen Storage-Medien liegen, um IT-Verantwortlichen direkten Zugriff auf die gesicherten M365-Daten zu geben.
Seite 1: Fallstricke der M365-Datensicherheit
28.04.2021/ln/Sergei Serdyuk, Mitgründer und VP Product Management von NAKIVO

Nachrichten

Storage transformiert in die Cloud [5.05.2021]

HPE will seinen Storage-Geschäftsbereich stärker auf ein Cloudbetriebsmodell ausrichten. Bestandteil des neuen Portfolios ist eine Data-Services-Plattform für "Unified DataOps" – also einheitlichen Betrieb von Daten an jedem Ort aus der Cloud. Ebenso neu sind die cloudnativen Speichersysteme namens Alletra. [mehr]

Blick in alle Richtungen [5.05.2021]

D-Link stellt mit der DCS-6500LH eine Überwachungskamera vor, die sich per App steuern lässt. Das Gerät verfügt über eine Schwenk- und Neigefunktion für ein Blickfeld von 340 Grad horizontal sowie 90 Grad vertikal. Durch die automatische Bewegungs- und Geräuscherkennung erhalten Nutzer eine Push-Nachricht aufs Mobilgerät und sehen live, was vor der Kamera passiert. [mehr]

Tipps & Tools

Download der Woche: SterJo NetStalker [5.05.2021]

Es gibt zahlreiche Maßnahmen, um die Sicherheit für Internet-Rechner zu fördern. Grundsätzlich gilt gerade für professionelle Anwender, dass sie zunächst wissen sollten, was auf dem PC nach außen geöffnet ist. Das kostenfreie Tool "NetStalker" hilft dabei, genau diese Details zu sehen und zu analysieren. Neben der Überwachung der Programme, die auf das Internet zugreifen, können Sie diese Verbindungen bei Bedarf auch blockieren. [mehr]

BITKOM kritisiert IT-Sicherheitsgesetz 2.0 scharf [4.05.2021]

Das kürzlich verabschiedete IT-Sicherheitsgesetz 2.0 stößt beim IT-Branchenverband auf überwiegend negative Resonanz. Es nehme Kollateralschäden in Kauf, kritisiert die BITKOM unter anderem. So bemängelt der Verband die Ausweitung des Kreises jener Unternehmen, die besonders hohe IT-Sicherheitsanforderungen erfüllen müssen. [mehr]

Buchbesprechung

Computernetze und Internet of Things

von Patrick-Benjamin Bök, Andreas Noack, Marcel Müller

Anzeigen