5 Lehren aus dem OVH-Brand
Vor einem Monat hat der Brand im OVH-Rechenzentrum in Straßburg eine ganze Branche aufgescheucht: die Cloud- und Hosting-Provider, die sofort den Brandschutz in den eigenen Rechenzentren kritisch hinterfragt haben und ihre Kunden, die wissen wollen, ob sich auch ihre Daten und Anwendungen über Nacht in Rauch auflösen können.
Es ist immer eine gute Idee, aus den Katastrophen anderer zu lernen und rechtzeitig dafür zu sorgen, dass einem selbst ähnliche Folgen erspart bleiben. Nachdem auch wir unsere eigenen Schutzmaßnahmen analysiert und zahlreiche Gespräche mit Kunden geführt haben, sind das unsere fünf wichtigsten Lehren aus dem OVH-Brand:
1 – Datenverlust ist keine Frage des Standortes
Natürlich gibt es IT-Verantwortliche, die in dem massenhaften Datenverlust bei OVH eine Bestätigung ihrer Vorbehalte gegenüber der Cloud sehen. Doch wer jetzt seine Daten zurück in das eigene Rechenzentrum holt, das wahrscheinlich brandschutztechnisch deutlich schlechter dasteht als die modernen Rechenzentren der meisten Provider, ist längst noch nicht auf der sicheren Seite. Ausfälle und Datenverlust durch menschliche Fehler, defekte Hardware, Unfälle und andere Katastrophen können überall passieren. Entscheidend sind die Auswirkungen auf den Betrieb und den Datenbestand. Bestenfalls führt der Eigenbetrieb dazu, dass sich Unternehmen ihrer Verantwortung für entsprechende Sicherheitsmaßnahmen stärker bewusst sind und diese auch wahrnehmen. Schlimmstenfalls wägen sie sich in falscher Sicherheit.
2 – Auch in der Cloud ist zuerst der Kunde für seine Daten verantwortlich
Leider meinen immer noch erschreckend viele Kunden, dass sie zusammen mit ihren Daten auch jegliche Verantwortung für deren Schutz an den Cloud Provider abgeben. Das ist ein Trugschluss. In der Cloud gilt das Prinzip der “shared responsibility”. Dienstleister und Kunde teilen sich die Verantwortung, mit unterschiedlichen Schwerpunkten.
Wer Cloud Dienste anbietet, ist für die gesamte Infrastruktur verantwortlich, einschließlich aller Netzwerkkomponenten und der Software, mit der Cloud-Ressourcen überhaupt erst bereitgestellt werden können. Darüber hinaus kann der Kunde von seinem Provider erwarten (bzw. bei der Providerwahl darauf achten), dass die Sicherheitsstandards im Rechenzentrum dem aktuellen Stand der Technik entsprechen und die zugesicherte Verfügbarkeit der Daten und Dienste gewährleistet werden kann.
Zumindest bei Infrastruktur-Services aus der Cloud hört die Verantwortung des Dienstleisters spätestens beim Betriebssystem auf. Es liegt in der Verantwortung des Kunden, für den Schutz von Anwendungen und Daten zu sorgen. Wer blind darauf vertraut, dass der Cloud-Provider selbst alle Kundendaten sichert und bei Bedarf sofort wiederherstellen kann, handelt fahrlässig. Die Verantwortung zu haben, bedeutet nicht, auch alles selbst machen zu müssen. Individuelle Backup-Pläne, Hochverfügbarkeitslösungen und Managed Services für Systeme und Sicherheit kann man mieten. Entsprechende Vereinbarungen zu schließen oder selbst geeignete Maßnahmen zu ergreifen, ist und bleibt aber Pflicht des Kunden.
3 – Die Backup-Regeln gelten auch für Cloud und Hosting
Für Daten im eigenen Rechenzentrum gilt seit geraumer Zeit die 3-2-1-Regel für die Datensicherung, nämlich alle wichtigen Daten 3 mal zu speichern, auf 2 verschiedenen Medien und davon mindestens 1 mal an einem anderen Ort. Für letzteres haben sich inzwischen Cloud-Speicher als praktische und preiswerte Lösung durchgesetzt. Doch kaum sind die Primärdaten in der Cloud, geraten die guten alten Backup-Pläne in Vergessenheit. Dabei ist die Cloud kein magischer Ort, an dem nichts verloren gehen kann, sondern auch nur ein sehr irdisches Rechenzentrum. Auch wenn die Cloud per definitionem redundant ausgelegt ist, schützt das im Ernstfall nicht vor Datenverlust, wie der Fall OVH zeigt. Ob dedizierter Server oder Cloud-Ressourcen, Backups sollten regelmäßig in einem anderen Brandabschnitt oder besser noch in einem anderen Rechenzentrum gespeichert werden. Denn vor Totalverlust schützt nur Georedundanz. Und wenn der Provider diesen Service nicht anbietet, sollte sich der Kunde selbst darum kümmern.
4 – Backups sind noch kein Disaster-Recovery-Plan
Georedundante Datenspeicherung mit externen Backups sind der letzte Rettungsanker, wenn das Rechenzentrum durch Brand, Wasser oder andere Katastrophen unbrauchbar wird. Vorausgesetzt, das Restore der Backups wurde regelmäßig getestet und funktioniert auch noch, wenn die Primärsysteme nicht mehr verfügbar sind. Nicht das Backup, sondern das Restore schützt vor Datenverlust!
Doch wie lange dauert das Restore? Wann sind unternehmenskritische Systeme wieder betriebsbereit, wenn die Server zerstört und das Rechenzentrum für Tage oder Wochen unbrauchbar ist? Backups allein sind noch kein Disaster-Recovery-Plan. Und dieser beginnt mit der Frage: Welche Ausfallzeit kann mein Unternehmen maximal verkraften? Die Antwort ist das Recovery Time Objective (RTO) und das sollte am besten für jede einzelne Applikation bestimmt werden. Je kleiner das RTO desto wahrscheinlicher der Bedarf für einen hochverfügbaren Betrieb in zwei Rechenzentren mit synchronisierten Daten an beiden Standorten. Damit kann auch ein längerer Ausfall eines ganzen Rechenzentrums problemlos ausgehalten werden. Das BSI hat dafür den Begriff der “Betriebsredundanz” geprägt, weil für eine synchrone Datenspiegelung die Latenzen nicht zu hoch und deshalb die Standorte nicht zu weit auseinander liegen dürfen.
Eine Alternative dazu ist die asynchrone Replikation der Daten in ein zweites Rechenzentrum bzw. zu einem zweiten Cloud-Provider, wo die Systeme im Notfall wiederhergestellt werden können. Es gibt mittlerweile gute Disaster-Recovery-Lösungen, die so ein Failover je nach Komplexität der Anwendungen und der verfügbaren Infrastruktur innerhalb weniger Minuten schaffen. Ein weiterer Vorteil ist der im Vergleich zum Backup geringere Datenverlust (RPO).
5 – Eine Versicherung schützt nicht vor Datenverlust
Es gibt einen wachsenden Markt für IT-Versicherungen, mit denen sich Unternehmen gegen alle möglichen Risiken, die zum Verlust ihrer Daten und IT-Infrastruktur führen, absichern können. Allerdings ersetzen die meisten Policen nur Sachschäden und vielleicht noch den Personalaufwand, um beschädigte oder verlorene Daten wiederherzustellen. Doch ohne ein brauchbares Backup lassen sich Daten auch mit der besten Versicherung nicht wiederherstellen. Von den Schadensersatzforderungen der Kunden und den Vermögensschäden, die so ein Datenverlust mit sich bringen kann, ganz zu schweigen. Dafür gibt es zwar auch schon Versicherungspolicen, aber nur zusammen mit einem umfangreichen IT-Sicherheitskonzept und wenn alle vertraglich vereinbarten Sorgfaltspflichten eingehalten werden.
Wir empfehlen, besser gleich in eine hochverfügbare Hosting-Lösung bzw. ein geo-redundantes Backup- und Disaster-Recovery-Konzept zu investieren.