Eigene Datenspeicherung oder externes Rechenzentrum: welche Lösung bietet die größte Datensicherheit?

Externe Rechenzentren, die Housing oder Colocation Leistungen anbieten, haben oft ein hohe Verfügbarkeitsklasse und bieten weitgehenden physischen Schutz. Ob sie besser sind, als ein eigenes Rechenzentrum, hängt also davon ab, welche Ausstattung in das eigene Rechenzentrum investiert werden kann.

Viele ältere Unternehmensrechenzentren können mit den neueren externen Rechenzentren nicht mithalten. Ihre Technik könnte erneuert werden, aber wenn Einschränkungen beim Gebäude vorliegen, läßt sich dieses oft nicht wirtschaftlich sinnvoll ertüchtigen. Zudem lassen sich externe Kapazitäten leichter erweitern, während ein eigenes Rechenzentrum mit einer festgelegten Kapazität geplant und ausgerüstet werden muss. Wird diese dann nicht benötigt, so leidet die Energieeffizienz unter der mangelnden Auslastung, was zu höheren Kosten führt.

Dennoch benötigen einige Unternehmen auch heute noch eigene Rechenzentren, sei es, weil sie die notwendigen Anforderungen an den Datenschutz sonst nicht erfüllen können, oder weil ein eigenes Rechenzentrum ab einer gewissen Größe doch wirtschaftlicher ist. Für kleine, eigene Rechenzentren bieten sich Fertigbau-Module an, in denen Platz für wenige Racks ist. Größere Rechenzentren können heute ebenfalls modular gebaut werden, aufgrund der baulichen Wünsche und Herausforderungen werden sie aber oft noch individuell geplant.

Insgesamt lässt sich daher sagen: es kommt darauf an; auf die Größe, den Einsatzzweck und die erforderliche Wirtschaftlichkeit. Hinzu kommt die IT-Strategie: soll demnächst alles in die Cloud? Dann ist ein eigenes Rechenzentrum schnell zu groß oder gar überflüssig. Steht die Digitalisierung an? Dann werden die benötigten IT Kapazitäten eher zunehmen.

Da ich erst kürzlich eines der hochmodernsten Rechenzentren Europas besuchen durfte (in Biere bei Magdeburg), sage ich ganz klar, dass eine Speicherung sensibler Daten in ein externes Rechenzentrum die größte Sicherheit bietet. Wenn Ihr Unternehmen aus eigener Kraft diese Sicherheit erreichen will -  zuzüglich der nötigen Zertifizierungen -  ist eine entsprechende Investition nötig. Zur Sicherheit zählen neben der physikalisch/technischen Sicherheit auch der Zutrittsschutz.

100%-ige Sicherheit gibt es nicht. Wir sprechen hier aber über eine Verfügbarkeit von 99,xx % wobei dann die Neunen nach dem Komma den eigentlichen Unterschied ausmachen.

Redundanzen zu schaffen bietet auch im eigenen Rechenzentrum eine zusätzliche Sicherheit. Örtliche Trennung von Spiegel-Servern bis hin zu einer zeitversetzten Datenspiegelung: das sind alles Maßnahmen die man in Betracht ziehen kann. Aufwand-Nutzen gilt es abzuwägen. Ich empfehle, ein Worst-Case Szenario aufzustellen und die Konsequenzen zu diskutieren.

Externe Rechenzentren-Betreiber handeln nicht immer nach EU-Recht. Dies ist bei der Provider-Auswahl mit zu beachten.

Na ja. Das ist keine technische Alternative - eher eine Strategie-Frage: Entscheidend ist die Formulierung von Security Requirements! Und dann die Überprüfung der Umsetzung.

Das Rechenzentrum ist besser gewappnet gegen cyberangriffe, und ihre daten sind besser geschützt durch bessere security und Infrastruktur. Daneben wird die Datensicherung immer auf aktuellem Stand gehalten. 

Die Frage ist sehr allgemein gehalten, daher hier eine erste allgemeine Antwort aus Datenschutzsich aus unserer Praxisrrfahrung heraus.

Bei einem Konzept für die durchgängige Datenhaltung ist die interne Datenspeicherung sicherlich die bevorzugte Variante, da jede Schnittstelle rein sachlich als potentielle Sicherheitslücke zu werten ist. Ein solches Konzept benötigt jede verantwortliche Stelle seit Inkrafttreten der EU Datenschutz-Grundverordnung im Mai 2016 sowieso zwingend, um die neu vorgeschriebene Datenschutz-Folgenabschätzung vornehmen zu können. Bestandteil dieses Konzepts sollten dabei auch die Klassifizierung der Datenarten sowie die Kompetenzen der zuständigen technischen und organisatorischen Administration sein. Vorausgesetzt bei der internen Variante ist natürlich eine entsprechend angemessene Infrastruktur inkl. fachkundigem Personal mit ausreichendem Zeitbudget. Eine ausgelagerte IT-Abteilung kann hier bereits zum Fallstrick werden, da sie ggf. als externe Instanz zu behandeln ist.

Die Datenspeicherung in einem externen RZ erfordert ein sehr solides Datensicherheitskonzept (Genaue Definition des Daten-Gegenstands hinsichtlich Schutzbedarf, Datenvolumen, Migration, Zugriffsrechte, Datenübertragung, erforderliche und nicht erwünschte Redundanzen, Synchronisationsverhalten, Datensicherung, Datensicherheitsmaßnahmen von Authentifizierung bis sicherer fristgerechter Löschung von Altdaten und Vernichtung alter Datenträger) und eine schriftliche Vereinbarung zur Datenverarbeitung im Auftrag (Deutschland/EU) bzw. weitere Regelungen, sofern das RZ außerhalb der EU liegt und kein von der EU anerkanntes Datenschutzniveau besitzt, ist dann aber ebenfalls machbar, sofern keine branchen-/bereichsspezifischen Beschränkungen für den Datenumgang existieren (z.B. Geheimschutz).

In jedem Fall besteht aktuell also akuter Handlungsbedarf für alle Verantwortlichen, unabhängig davon ob Privatwirtschaft oder öffentliche Hand. Wir empfehlen, das Thema als Projekt gezielt anzugehen, denn inzwischen stellt der Datenbestand vielfach das Kernvermögen des Unternehmens dar.

Vergegenwärtigt  man sich die Bedeutung der Snowden-Revelations, kommt man zu dem Schluss, dass ein hausinterne Datenspeicherung immer die beste Lösung ist. Einschränkend gilt, das die unternehmensweite ITK dabei professionell und unter Berücksichtigung der BSI-Grundschutz [1] geplant bzw. realisiert wird.

Zertifizierte Rechenzentren aus Deutschland kann man ggf. auch nutzten. Hier würde ich jedoch nur aus eigener Hand beschaffte und im Hause konfigurierte Server- bzw. Speichertechnik verwenden.

[1] https://www.bsi.bund.de/DE/Themen/ITGrundschutz/itgrundschutz_node.html
 

Das kommt auf die genaue Ausprägung der Absicherung Ihrer eigenen Datenhaltung versus die genaue Ausprägung der durchgeführten und wirksamen Sicherheitsmaßnahmen des jeweiligen (natürlich mit mehr Sicherheitsbudget operierenden) externen Rechenzentrums an.

Denken Sie daran bei Abwicklung Ihrer Geschäftsprozesse unter erforderlicher Vernetzung mit dem externen Rechenzentrum müssen Sie den Risiken des Datenaustauschs durch eine sicherzustellende Transport-Absicherung begegnen (Vertraulichkeit sicherstellen! - Sie sollten bei einer Internetverbindungslösung mindestens ein https-Protokoll fahren unter Prüfung, dass dabei auch tatsächlich sichere kryptographische Verfahren angewendet werden). Ebenso müssen Sie dem Risiko einer Verfälschung (Datenintegrität sicherstellen!) durch Vorkehrungen Rechnung tragen. Vor dem Risiko untragbarer Reaktions- und Latenzzeiten, eines Ausfalls oder einer verminderten Leistung seitens des  Dienstleisters - Ihr "Provider" - müssen Sie sich mit klar geregelten Verfahren bzw. Leistungsmerkmalen in Ihrem Dienstleistungsvertrag gegenüber Ihrem Provider schützen (Verfügbarkeit sicherstellen!).
Ferner sollten Sie auch die Möglichkeit eines sauber geregelten Wieder-Insourcings (also der Wiedereinverleibung ins Unternehmen) bei der Vertragsgestaltung mit Ihrem Provider absichern. Denn je mehr Freiheiten und Dienstleistungsumfang Sie Ihrem Provider überlassen umso mehr steigt auch Ihre Abhängigkeit und die Versuchung Ihres Providers den Preis nach und nach anzuziehen.        

Die Datensicherheit ist nicht abhängig vom Standort, es muss ein vernünftiges Gesamtkonzept bestehen. Wenn das nichts taugt, dann ist es egal, ob die Daten extern oder intern abgespeichert werden.

Wir machen das eigentlich immer ganz einfach.

- Vernünftige Sicherung inhouse, und dann regelmäßig offsite Sicherungen

Wichtig ist aber, das man sich genau so viel Gedanken zum Wiederherstellen gemacht hat. Und das auch des Öfteren (ohne Notfalldruck) testet.