Cyberresilienz: Wie Unternehmen Daten clever sichern können: Welche Backup-Lösung für Microsoft 365?
Bei der Abwehr von Cyberangriffen spielt die Datensicherung eine zentrale Rolle. Im Fall eines Angriffs müssen Unternehmen schnell reagieren können, indem sie ihre wichtigsten Daten und Anwendungen schützen und wiederherstellen. Unser Autor erklärt, wie Unternehmen ihre Daten in Microsoft-365-Produkten sichern können und worauf sie beim Kauf einer Backup-Lösung für den Dienst achten sollten.
Seit der Pandemie erlauben viele Unternehmen ihren Mitarbeitern, private PCs, Laptops und Smartphones für ihre Arbeit zu nutzen. Im Homeoffice oder bei Remote-Anforderungen stehen die Dienste von Microsoft mitunter an erster Stelle. Entsprechend sind die Nutzerzahlen von Microsoft-Office-Produkten seit 2019 sprunghaft angestiegen. So verzeichnet der Softwarekonzern nach eigenen Angaben im März 2022 mehr als 270 Millionen Menschen, die allein die Plattform Teams monatlich nutzen.
Gleichzeitig hat sich Microsoft 365 (M365) zu einem äußerst beliebten Angriffsziel entwickelt. 80 Prozent der ungezielten Angriffe zielen auf eines der Office-Produkte ab. Opfer eines Cyberangriffs zu werden, ist daher heute im Grunde unvermeidbar, und es reicht nicht mehr aus, Cybersicherheit nur mit dem Ziel zu betreiben, einen Angriff zu verhindern. Die Fragen, die sich jedes Unternehmen stellen sollte, lauten daher: Wie widerstandsfähig ist die jeweilige Lösung oder Dienstleistung? Was bedeutet das Backup für die Cyberresilienz des Unternehmens? Oder ganz einfach: Was passiert, wenn es doch zu einem Angriff kommt?
Warum ein externes Backup?
Es ist davon auszugehen, dass jedes Unternehmen in erster Linie daran interessiert ist, seine Daten und damit den Wert, den diese Daten darstellen, jederzeit zu kontrollieren und zu sichern. M365 ist ein Software-as-a-Service (SaaS)-Angebot, gleichzeitig liegen aber bestimmte Verantwortlichkeiten – darunter auch die Datensicherung – beim Kunden selbst. Damit werden die Daten ein Stück weit der Kontrolle des Kunden entzogen. Ein externes Backup hat den Vorteil, dass man die grundlegende Kontrolle zurückgewinnt – und dadurch nahezu nahtlos weiterarbeiten kann.
Zentral für jede Datensicherung ist die Erzeugung von Redundanzen und der Medienbruch, auch Airgap genannt. Ein modernes Datensicherungskonzept basiert auf der 3-2-1-Regel: Drei unabhängige Kopien jeder Datei – auf mindestens zwei verschiedenen Medien, zum Beispiel Festplatte und Cloud, oder zwei Festplatten an zwei verschiedenen Standorten – je nach Bedarf. Eine dieser Kopien muss so gelagert sein, dass nicht elektronisch auf die Daten zugegriffen werden kann. Dieser Ansatz gilt weltweit als Best Practice und wird von sicherheitsrelevanten Institutionen anerkannt – und nicht zuletzt von Cyberversicherern zunehmend eingefordert (siehe Abbildung 1).
Abbildung 1: Das 3-2-1-Modell für Datensicherung in Microsoft 365
Während sich die Daten in M365 bereits in einer Cloud befinden (SaaS-Ansatz von M365), sollte eine modernes Datensicherungskonzept Wert darauflegen, dass sowohl ein lokaler Speicher (Data Center) und/oder eine lokale beziehungsweise eine S3-fähige Cloud als Speicherorte zum Einsatz kommen, die jeweils unveränderbar (immutable) und verschlüsselt sind (siehe Abbildung 2).
Abbildung 1: Das 3-2-1-Modell für Datensicherung in Microsoft 365
Worauf achten beim Kauf einer Lösung?
Diese Frage betrifft die Wahl des Betriebsmodells sowie die Backup-Lösung dahinter. Das Microsoft-365-Backup kann in Eigenregie oder als Managed Service betrieben werden. Da sich viele Unternehmen für M365 entscheiden, um Infrastruktur und Administrationsressourcen zu entlasten, bietet sich für die Backup-Lösung ein Co-Managed-Service an. Folgende Dienstleistungen sollten dabei inkludiert sein:
- das Einrichten der Backup-Lösung
- Update und Überwachung
- das Bereitstellen und die Verwaltung des Backup-Storage
Sinnvoll ist es auch, an Patches zu denken oder den gesamten Betrieb an den Dienstleister auszulagern. Darüber hinaus sollte für Unternehmen der Standort der Rechenzentren und der Support entscheidend sein. Hier gibt es unterschiedliche Konzepte der Dienstleister, von gesichtslosen Hotlines bis hin zum 24/7-Support durch persönliche, englisch- oder auch direkt deutschsprachige Servicemitarbeiter. Für die eigentliche Backup-Lösung ist es zunächst entscheidend zu definieren, welche M365-Dienste gesichert werden sollen. Die
Empfehlung des Autors lautet hier: Exchange Online, SharePoint, OneDrive und Teams als Minimum der Datensicherung.
Die fortlaufende, revisionssichere Speicherung (Data Retention) sollte unbegrenzt sein. Neben wiederum Lage der Rechenzentren – am besten in Deutschland – sollten die Backups stets verschlüsselt und unveränderlich (immutable) sein. Einige Lösungen bieten auch ein „Self Service Restore“-Portal, das Unternehmen die Leistung unabhängiger überwachen lässt – sofern sie die Zeit haben, selbst Restore-Tests zu machen. Die Kostenstruktur der Datensicherung in M365 ist insofern vorteilhaft, als sich der Dienstleister an den Nutzern von M365 beziehungsweise an den zu speichernden Terabytes orientiert.
Saas oder On-Premises?
SaaS-Lösung in der Cloud oder On-Premises ist eine entscheidende Frage, die sich viele im Entscheidungsprozess um eine Lösung für ein Backup von M365 stellen. Angesichts der aktuellen technischen Trends und der großen Marktvielfalt bieten sich bewährte Lösungen der bereits eingesetzten Backup-Software an. Diese können meist über vorhandene Lizenzverträge bezogen werden und sind mehr oder weniger in die Backup-Lösung für andere Systeme integriert. Viele Hersteller bieten mehrere Arten von Backup-Lösungen für Microsoft 365 an, als Erweiterung zum bestehenden Produkt und meist On-Premises oder als SaaS-Angebot bei einem der großen Hyperscaler, zumeist Microsoft selbst. Problematisch ist es jedoch, wenn der Backup-Dienst auch in Azure gehostet wird, da dann jede Störung an der M365-Infrastruktur potenziell den Backup-Service beeinträchtigt.
Diesen Nachteil haben On-Premises-Lösungen nicht, da hier ein Medienbruch im Sinne der 3-2-1-Regel besser umsetzbar ist. So kann man die Daten zurück ins eigene Unternehmen holen und ist damit unabhängig vom Microsoft-Azure-Dienst. Sollte ein Ausfall länger anhalten, ist es möglich, vorübergehend wieder ganz auf On-Premises zu wechseln. Ein weiterer Unterschied besteht in den zusätzlichen Funktionen der auf M365 spezialisierten Anbieter, die ihre Lösungen rund um die Microsoft-365-Dienste entwickelt haben. Hier
finden sich zum Beispiel
- erweiterte Governance- und Analytics-Module;
- Module, um die Microsoft-365-Administration oder das Finden kritischer Daten zu erleichtern;
- Datenanalyse-Tools.
Backup & Restore für M 365: Was Sie beachten sollten
- Prüfen der Zuständigkeiten („Shared Responsibility Model“): Was übernimmt der Dienst, was müssen wir tun?
- Gibt es eine Exit-Strategie, On-Premises oder mit Cloud-Ansatz, wenn Azure gestört/nicht verfügbar ist?
- Sind hybride E-Mail-Anwendungen und Migration auf Office 365 Bestandteil der Exitstrategie?
- Wie werden Daten ausgeschiedener Mitarbeiter aufbewahrt?
- Harmonisierungen in der Datenstruktur in Teams sowie die Einhaltung von Aufbewahrungsrichtlinien: Wie wird ein Datenverlust vermieden?
- Wie wird mit Sicherheitsbedrohungen von intern und extern umgegangen?
Eine Backup-Lösung für Microsoft 365
Als größte Gefahr für die Unterbrechung von Geschäftsprozessen sehen IT-Entscheider das Risiko eines Cyberangriffs. Microsoft 365 ist ein Kerndienst, der innerhalb der Belegschaft sehr weit verbreitet ist und vom Praktikanten bis zum Geschäftsführer täglich genutzt wird. Durch hybride Arbeitsmodelle, „Modern Workplace“ und andere Konzepte des vernetzten Arbeitens gewinnen die Microsoft-365-Dienste weiterhin an Bedeutung. Trotzdem werden drei von vier M365-Abonnements noch nicht extern gesichert. Diese Lücke ist aufgrund der Attraktivität von Office-Programmen als Angriffsziel eine offene Flanke in der Cyberresilienz-Strategie vieler Unternehmen.
Auch bei Microsoft 365 liegt die Verantwortung für die Daten beim Kunden und damit bei den IT-Entscheidern. Das Sprichwort „Kein Backup – kein Mitleid“ gilt hier genauso wie für alle anderen IT-Infrastrukturen. Daher ist es unabdingbar, ein Backup-Konzept für diese Dienste zu entwickeln und umzusetzen.
Hat man bisher keine Datensicherung in M365 durchgeführt, so ist das keinesfalls hinderlich: Unternehmen können mit einzelnen Benutzern oder Diensten starten. Dank des „Incremental Forever“-Ansatzes, den die marktüblichen Backup-Lösungen in der Regel verfolgen, ist der Aufbau des Backup-Bestands bis hin zum täglichen Backup lückenlos möglich, wenn auch zunächst mit einer gewissen Systembelastung.
Markus Stumpf ist Head of Data Protection Services und Business Development Manager bei der Empalis Consulting GmbH.