Roman Milert - Fotolia
SaaS-Backup: Verantwortung liegt beim Anwender
Viele Nutzer von SaaS denken, ihr Provider sei auch für den Backup der Cloud-Daten zuständig. Das ist falsch: Datensicherung bleibt eine Sache des Anwenders, ob On-Premises oder beim SaaS.
Viele IT-Spezialisten glauben irrtümlich, dass SaaS-Anbieter auch für das Backup ihrer SaaS-Daten zuständig sind. Doch diese Annahme ist falsch.
Bereits 2019 führte der IT-Security- und Backup-Anbieter Barracuda Networks eine Studie durch, an der 1001 IT-Spezialisten und Manager teilnahmen. Sie ergab, dass nur 16 Prozent der Unternehmen die Daten in ihren SaaS-Applikationen sichern. Insbesondere sagten beinahe 40 Prozent der Teilnehmer, die Microsoft 365 verwenden, dass sie keine SaaS-Backup-Lösung eines Drittunternehmens für ihre Daten haben.
„Weil sie einen Softwareservice nutzen, haben die Anwender ein falsches Sicherheitsgefühl. Sie glauben, dass Backup und Wiederherstellung ein Teil des Service sind, das ist aber falsch“, erklärt Christophe Bertrand, Senior Analyst beim Beratungsunternehmen Enterprise Storage Group (ESG). „Die Daten bleiben in der Verantwortlichkeit des Unternehmens, das den SaaS-Service nutzt. Die Tatsache, dass man einen Service nutzt, befreit aus der Compliance- und Zuständigkeitsperspektive nicht von der Verantwortung.“
SaaS aus der Public Cloud umfasst kein Backup
Andere Spezialisten bestätigen diese Wahrnehmung. Laut Wray Smith, Vice President of Technology Services beim Managed Service Provider Lewan Technology, verwenden wenige Anwender SaaS-Backup-Lösungen, weil sie nicht genau wissen, wer für ihre Daten zuständig ist.
„Es gibt das verbreitete Missverständnis, eine trügerische Hoffnung, dass man, wenn man irgendwas in der Cloud tut, das Backup als Servicebestandteil mitgeliefert bekommt“, sagt Smith. Sein Unternehmen verkauft Datenschutzprodukte von Barracuda, Commvault, Veeam Software und anderen.
Doch die Provider übernehmen nicht die Datensicherung, betont auch Priyank Ghedia, der bei Lewan Technology als Practise Manager Cybersecurity und Risikomanagement tätig ist. Verträge mit SaaS-Anbietern garantieren normalerweise die Verfügbarkeit und Zuverlässigkeit der Dienste des Anbieters, aber sie sind nicht für die Kundendaten verantwortlich.
„Das ist ein Detail, auf das kaum jemand achtet“, sagt Ghedia. „Beim erstmaligen Zusammentreffen mit Kunden zeigt sich oft, dass sie glauben, ihre Daten werden gesichert, wenn sie in der Cloud sind.“
Wenn Anwender Daten durch bösartige Aktivitäten oder zufällige Fehler verlieren, ist es nicht die Sache des Dienstleisters, mag er nun Salesforce, Office 365, Slack oder Box heißen, die Daten wiederherzustellen. SaaS-Provider sind nur für die Aktivitäten ihrer Software zuständig, nicht für die Daten, die sich dort befinden, erklärt Vinny Choinski, Senior Lab Analyst bei ESG.
„Die Serviceanbieter garantieren, dass die Applikation selbst und die sie unterstützende Infrastruktur laufen, aber nicht die Integrität der Daten, die sich dort befinden“, betont Choinski.
Office 365 hält gelöschte E-Mails für 93 Tage im Papierkorb, bevor sie dauerhaft gelöscht werden. Microsoft OneDrive und SharePoint halten gelöschte Dateien für zwei Wochen vor. Aber Anwender müssen ein Support-Ticket öffnen, um sie wiederherzustellen. Zusätzlich kann keiner von ihnen individuelle Dateien wiederherstellen – immer nur die gesamte Instanz.
SaaS-Backup-Angebote auf dem Markt
Heute haben viele Backup-Anbieter auch SaaS im Programm, oft in der Form eines Cloud-to-Cloud-Backup. Die Methode schützt Daten in SaaS-Apps wie Office 365 und Salesforce, indem sie Kopien in einer anderen Public Cloud herstellt, oft in AWS. Einige Hersteller speichern stattdessen Kopien von SaaS-Daten auf einem lokalen Diskspeicher.
Kunden betrachten allerdings ihre SaaS-Daten nicht immer als kritisch. Einige brauchen deshalb keinen SaaS-Backup.
Laut Greg Arnette, Technologie-Promotor für Datenschutz bei Barracuda, garantieren SaaS-Provider die Dienstverfügbarkeit für die Anwender. Doch das ist nicht dasselbe wie ein granulares Backup, der es erlaubt, auch individuelle E-Mails und Dateien wiederherzustellen, die aus Versehen gelöscht wurden.
„Die SaaS-Anbieter erstellen Sicherungskopien der Daten, aber auf Systemebene. Haben die Anbieter selbst daher irgendeinen Ausfall, können sie einen konsistenten Zustand wiederherstellen und die Systeme ihrer Kunden wieder zum Laufen bringen“, erklärt Armette. „Aber was SaaS-Anbieter weder wissen noch wissen können, ist, ob Veränderungen an den Daten durch jemanden, der in den SaaS-Dienst eingeloggt war, gültig sind oder nicht.“
Es gibt Backup-Lösungen, die SaaS-Backup in den Funktionsumfang integrieren und andere Produkte, die speziell dafür entwickelt wurden, Cloud-Daten zu sichern. Spanning, Backupify (inzwischen von Datto aufgekauft) und CloudAlly gehören zu den Herstellern, die von Anfang an Cloud-zu-Cloud-Backup angeboten haben.
Odaseva adressiert eine Marktlücke bei Salesforce-Diensten
Ein anderer spezialisierter Anbieter, Odaseva, hat zunächst eine Salesforce-Managementplattform entwickelt, die nun auch SaaS-Backup anbietet. Das Unternehmen startete 2012 mit dem Ziel, eine Lösung für das Salesforce-Datenmanagement für große Unternehmenskunden zu entwickeln. Ein Team von Salesforce-Veteranen entwickelte die Odaseva Data Management Cloud. Sie umfasst auch die Sicherung von Salesforce-Daten.
Vincent Delamarre, COO bei Odaseva, berichtet, sein Unternehmen habe ein verbreitetes Missverständnis bei Salesforce-Kunden aufgedeckt. Sie glaubten, der SaaS-Provider Salesforce sei auch für die Daten auf der Plattform verantwortlich.
„Ob auf einem SaaS oder On-Premises, die Daten und ihr Schutz bleiben in der Verantwortung des Kunden“, betont Delamarre.
Odavesas Software, die als Service angeboten wird, arbeitet mit einem Datenaufbereitungsprozess (Extract, Transform, Load, ETL). Die Lösung verwendet Daten aus Salesforce, verwaltet jeweils die Daten für einen spezifischen Anwendungszweck und sendet sie anschließend auf Salesforce zurück. Die unterstützten Anwendungszwecke sind Salesforce-Backup, KI-gestützte Verwaltung der Grenzwerte für API-Aufrufe, vorausschauendes Kapazitätsmanagement und Compliance.
Viele Backup-Tools am Markt gehen noch immer von einer klassischen On-Premises-Umgebung aus. Bertrand (ESG) meint, in Anbetracht der Salesforce-Erfahrung von Odaseva sei dessen Marktstrategie sinnvoll.
„Insgesamt muss sich der Datenschutz SaaS-basierter Umgebungen noch erheblich weiterentwickeln“, sagt Bertrand. „Doch inzwischen ist die Wiederherstellbarkeit immerhin fast so wie bei On-Premises-Daten.“