Sicheres Backup für Microsoft 365
Auch wenn noch immer rund ein Viertel der Unternehmen die Daten in der Cloud für sicher und wiederherstellbar hält: Die Nutzung cloudbasierter SaaS-Anwendungen wie Microsoft 365 kommt ohne ein wirkungsvolles Backup und Recovery nicht aus. Denn nicht zuletzt das Prinzip der geteilten Verantwortung verlagert die Datenhoheit zum Nutzer. Worauf es bei einer durchdachten Sicherungsstrategie und den verschiedenen Anforderungen der einzelnen Anwendungen ankommt, verrät unser Fachartikel.
Die Nutzung von SaaS-Lösungen hat mit der Verlagerung von Arbeit ins Home Office im letzten Jahr noch einmal rasant zugenommen, auch wenn der Trend vorher schon deutlich zu erkennen war. Allein Microsoft 365 (M365) wurde im Jahr 2020 laut Statista von über einer Million Unternehmen weltweit genutzt. Microsoft Teams hat rund 95 Millionen Nutzer im vergangenen Jahr hinzugewonnen. Mit dem Komfort cloudbasierter Software wie M365 kommt jedoch immer auch die Gefahr von Datenverlusten. Denn mit dem Wechsel zur Microsoft-Cloud haben tausende Unternehmen zuvor on-premises gespeicherte Geschäftsdaten dem Softwareunternehmen anvertraut – und wiegen sich oft in falscher Sicherheit.
Jedes vierte Unternehmen geht von der Prämisse aus: "Was in OneDrive oder auf SharePoint liegt, ist sicher und wiederherstellbar", so eine Studie zu Data Protection und Cloud Strategies der Enterprise Strategy Group von 2019. Und 23 Prozent der die Cloud nutzenden Unternehmen fehlen Sicherheitskonzepte für alle oder zumindest ausgewählte Cloudszenarien, so eine KPMG-Studie aus dem Jahr 2020. Die Zahlen zeigen: Unternehmen, die für den Geschäftsbetrieb relevante Anwendungen wie M365 ohne Backupkonzept nutzen, riskieren schlimmstenfalls einen Betriebsausfall und totalen Datenverlust.
Die geteilte Verantwortung zwischen Anbieter und Nutzer
Nicht allen IT-Experten ist ausreichend klar, wieviel Kontrolle sie über die Clouddaten haben, und wo die Verantwortlichkeiten liegen. Schuld daran ist nicht zuletzt die unscharfe Verwendung von Begriffen wie Verfügbarkeit, Redundanz und Wiederherstellbarkeit. Zentral für das Verständnis der Zusammenhänge und des Handlungsbedarfs in Sachen Datensicherheit ist das Prinzip der "geteilten Verantwortung". Microsoft verantwortet laut Service-Level-Agreement die Infrastruktur und stellt per Georedundanz die Verfügbarkeit und Nutzbarkeit der Plattform sicher.
Dies ist keinesfalls mit einem vollwertigen Backup zu verwechseln. Microsoft garantiert weder bestimmte Recovery Point Objectives noch die dauerhafte Wiederherstellbarkeit von Daten. Die Datenhoheit und Datenkontrolle obliegt nämlich dem Anwenderunternehmen. Es ist somit selbst für den Schutz und die Verwaltung der eigenen Daten verantwortlich und muss dafür sorgen, dass die Daten verfügbar, zugänglich, sicher und wiederherstellbar sind. Die Ablage in OneDrive reicht dafür nicht.
Fallstricke der M365-Datensicherheit
Im alltäglichen Bürobetrieb mit M365 kann die automatische Synchronisierung zwischen Cloud und Endgerät, die ja auch den Komfort der Cloudanwendung ausmacht, schnell zum Verhängnis werden. Die Automatisierung löst nämlich ein Überschreiben der Daten auf allen synchronisierten Geräten aus – fehlerhafte Daten, ein Löschen oder mit Malware infizierte Dateien können so in Windeseile verteilt werden. Der Papierkorb bietet für einen Zeitraum von 30 Tagen die Möglichkeit, aktiv gelöschte Daten zurückzuholen, Postfächer und Gruppen sind für 14 Tage abrufbar. Beschädigte Dateien repliziert Microsoft automatisch kurzfristig, um Redundanzen zu vermeiden. Mehr Wiederherstellbarkeit liefert Microsoft aber nicht.
Neben dem Löschen oder fehlerhaften Überschreiben gibt es aber noch andere Bedrohungen, die zu Datenverlust führen können. Lücken in den Aufbewahrungsrichtlinien etwa können entstehen, wenn das Datenmanagement die Datenhaltung nicht vollständig und konsequent regelt. Scheidet ein Mitarbeiter des Unternehmens aus und dieses Konto wird deaktiviert, löscht Microsoft automatisch nach 90 Tagen das inaktive Benutzerkonto und alle zugehörigen Daten. Nach dieser Frist kann das Unternehmen sie nicht wiederherstellen. Bezüglich rechtlicher Sanktionen und Compliance-Verstößen etwa gegen die DSGVO bietet Microsoft zwar ein sogenanntes Litigation-Hold-Feature, das aktuell verfügbare Daten dauerhaft einfriert und vor Löschung schützt, aber nur bis zu einem Datenvolumen von 100 GByte.
Die Wahl des Backup- und Recovery-Werkzeugs
Eine Backup- und Recovery-Tool muss auf verschiedene Anforderungen und Voraussetzungen bei den einzelnen Cloudanwendungen eingehen. Sie sollte dabei einfach zu konfigurieren sowie absolut verlässlich im Tagesgeschäft sein und gewährleisten, dass die IT-Verantwortlichen die Daten jederzeit sicher und wiederherstellbar speichern können. Vier Faktoren sind dabei besonders wichtig:
Die Daten müssen sich nach einer versehentlichen Löschung, im Fall eines Ransomware-Befalls, einer gezielten Cyberattacke oder auch nach interner Sabotage vollständig wiederherstellen lassen.
Das Werkzeug muss flexible Aufbewahrungsregeln und individuelle Archivierungszeiträume abbilden können.
Eine Suchfunktion für E-Discovery-Aufgaben muss auch Backupdaten einschließen.
Und schließlich sollten die gesicherten Daten auf lokalen Storage-Medien liegen, um IT-Verantwortlichen direkten Zugriff auf die gesicherten M365-Daten zu geben.
Backupeffizienz und granulare Wiederherstellung
Ein Unternehmen, das große Mengen kritischer Daten verwaltet, benötigt Backups täglich oder sogar im Stundentakt. Vollständige Sicherungen würden hier sehr viel Zeit, Bandbreite und Speicherplatz benötigen. Inkrementelle Backups sind deshalb auch für die M365-Anwendungen unerlässlich. Nach einem initialen vollständigen Backup werden inkrementell nur die Daten kopiert, die sich seit der letzten Sicherung geändert haben. So erhöht sich die Backupgeschwindigkeit deutlich, während der Speicherplatz und lokales Netzwerk geschont werden.
Flexible Point-in-Time-Wiederherstellung bedeutet, dass sich Objekte eines gewünschten Zeitpunkts wiederherstellen lassen, ohne dabei ein Full-Scale-Recovery initiieren zu müssen. Dies ist am ursprünglichen oder auch an einen neu zu bestimmenden Speicherort möglich. Die Backupsoftware sollte also eine ausreichende Menge an Recovery Points erstellen können. Es ist zudem zu beachten, dass je nach gesetzlichen Anforderungen verschiedene Zeiträume für die Datenhaltung vorgeschrieben sind.
Erweiterte Suche und Ressourcenschonung
Häufig unterschätzen IT-Verantwortliche, dass es einige Zeit beanspruchen kann, die verlorenen Objekte im Backup wiederzufinden. Schnelligkeit und Effizienz ist aber besonders wichtig, wenn der Geschäftsbetrieb ins Stocken gerät, weil unverzichtbare Daten wiederhergestellt werden müssen. Eine gutes Backupwerkzeug sollte es ermöglichen, nach einzelnen E-Mails und OneDrive-Dateien sowie SharePoint-Bibliotheken und Listen zu suchen und diese auch wieder herzustellen.
Die manuelle Durchführung von Backups kostet Zeit. Eine Automatisierung nach Sicherungsplan gewährleistet die Durchführung von Backups. Der Überblick auf die vergangenen, die aktuellen und die zukünftigen Sicherungen hilft dabei, Überschneidungen und Netzwerküberlastungen zu vermeiden. Das Backup-Retention-Schema, etwa nach dem Großvater-Vater-Sohn-Prinzip, lässt die Recovery-Punkte täglich, wöchentlich, monatlich und jährlich rotieren.
Kosten lassen sich mit einer flexiblen Lösung im Auge behalten, die je nach Geschäftsanforderungen und Datenvolumen skaliert und auf Basis sich mit der Zeit verändernden Hard- und Softwaregrundlagen anpassen lässt. Eine umfassende Backupsoftware schützt nicht nur die M365-Daten, sondern die gesamten physischen, virtuellen und Cloudinfrastrukturen.
Klassifizierungs-, Backup- und Recovery-Prozesse
Wie gehen IT-Verantwortliche vor, um für die mittel- und langfristige Wiederherstellbarkeit der Daten zu sorgen? Drei Prozesse sind wichtig: Datenklassifizierung, Backup und Recovery.
Damit das Backup und Recovery die relevanten Daten erfasst, sorgt die Klassifizierung der Daten für eine geordnete Datenstruktur und effektives Datenmanagement. Zum einen muss definiert werden, welche Daten für den Betriebsablauf unverzichtbar sind. Zum anderen kann eine Richtlinie dabei helfen, die Daten nach den vier Kategorien öffentlich, intern, vertraulich, sowie geschützt zu unterschieden. Diese Klassifizierung erleichtert den Compliance- und DSGVO-konformen Umgang und die Autorisierungen für den Datenzugriff.
Die 3-2-1-Regel gilt als die Faustformel für Backups schlechthin. Die Kombination aus physischen Backups vor Ort und (Multi)Cloud-Backupwerkzeugen von Drittanbietern ist sinnvoll. Unterschiede in den Lösungen finden sich vor allem in der Geschwindigkeit der Wiederherstellung, in der Speicherkapazität und im Preis.
Die Art der Sicherung und der zu sichernden Datenklassen bestimmen Recovery Time Objective (RTO) und Recovery Point Objective (RPO) von der einzelnen Datei bis zur ganzen Bibliothek. Je schneller die lückenlose Wiederherstellung, umso geringer die Folgekosten von Datenverlusten, desto sicherer die Business Continuity.
Backup & Recovery für OneDrive, Exchange und SharePoint
In OneDrive, Exchange und SharePoint liegen die meisten zu sichernden M365-Daten. Jede Anwendung hat ihre eigenen Anforderungen:
OneDrive ist der individuelle Cloudspeicher für jeden M365-Nutzer, der in Microsofts Cloudpaket enthalten ist. Dateien und Ordner werden per Duplikat gesichert, Anwendungen oder das Betriebssystem jedoch nicht. Der Ausfall einer ganzen Festplatte lässt sich nicht auffangen. Die meisten Verluste entstehen durch fehlerbehaftetes Nutzerverhalten, die Synchronisierung zwischen Cloud und Festplatte überträgt dieses in beide Richtungen. Ein Backup sollte deshalb die gesamte Dateistruktur übernehmen.
Exchange ist die Groupware- und Mailserversoftware für die Ablage und Verwaltung von E-Mails, Kalender und Aufgaben, die sowohl über die Cloud als auch on-premises nutzbar ist. Vor allem für die Exchange-Daten ausgeschiedener Mitarbeiter ist ein Backup unerlässlich, denn Microsoft behält diese nur für 30 Tage.
SharePoint dient als Content-Management-System und als Dateiverwaltung für die team- und unternehmensweite Zusammenarbeit. Über Microsoft Teams geteilte Daten werden über das SharePoint-Backup gesichert, Konversationen hingegen über die Exchange-Sicherung. Entsprechend wichtig ist eine feingranulare Sicherung und Wiederherstellbarkeit der Daten, abhängig etwa von Rollen und Rechten von Mitarbeitern, etwa von einzelnen Terminen, ganzen Postfächern oder SharePoint-Seiten.
Fazit
Um ein ausführliches Testen von Sicherheits- und Wiederherstellungsszenarien kommen IT-Verantwortliche nicht herum. Eine Software, die mit einer überall zugänglichen Benutzeroberfläche die Verwaltung der Backup- und Recovery-Prozesse einfach und flexibel ermöglicht, hilft, sie im Alltag zu integrieren und im Ernstfall schnell reagieren zu können. Eine rollenbasierte Zugriffskontrolle erhöht dabei die Sicherheit und steuert, wer auf die Backups zugreifen darf und welche Aktionen durchführen kann.
Autor: Sergei Serdyuk, Mitgründer und VP Product Management von NAKIVO