Sichere Daten bei Microsoft Office 365 und Exchange Online:Unternehmen benötigen dringend eigenes Backup
24. Januar 2020Der wichtigste Grund, warum Office 365 durch eine Backup-/Recovery-Lösung eines Drittherstellers geschützt werden sollte, ist das uralte Konzept der 3-2-1-Regel für Sicherungen: Es sollten drei Kopien der zu sichernden Daten auf zwei verschiedenen Medien liegen, von denen eine Kopie „extern“ abgelegt sein sollte. Die Sicherungsfunktionalität von Office 365 hilft bei diesen Anforderungen nicht weiter, sie verstößt sogar förmlich gegen dieses grundlegende Datensicherungskonzept.
Mit Office 365 (O365) hat Microsoft ein sehr erfolgreiches „Software as a Service-Produkt“ im Unternehmensmarkt etabliert. Als aktuelle Zahlen werden von Microsoft 180 Millionen kommerzielle Nutzer für Office 365 genannt, dazu sollen noch weitere 34,8 Millionen Abonnenten im Consumer-Bereich kommen.
Eine elegante Lösung für Unternehmen mit einem relativ einfachen Abrechnungsmodell – mit diesen Argumenten punktet Microsofts Office 365 in vielen Einsatzbereichen. Ein Unternehmen muss sich dann nicht mehr selbst um den Betrieb der Kollaborations-Infrastruktur kümmern. Denn die Serversysteme, wie Exchange, Sharepoint sowie Onedrive, aber auch Lösungen wie Teams sind Bestandteil des professionellen SaaS-Angebots. Doch sieht man sich die Details zu O365 genauer an, zeigt sich sehr schnell, dass Microsoft in seinem Service Agreement für Office 365 empfiehlt, dass sich ein Unternehmen selbst um das Thema Backup und Restore der eigenen Daten kümmern sollte.
Da die Kommunikation per Mail im Geschäftsalltag derzeit wohl der wichtigste Kanal ist, soll am Beispiel von Exchange Online (ein Bestandteil von O365) gezeigt werden, warum eine Organisation sich selbst um die Sicherung und Wiederherstellung von Daten kümmern sollte.
Verantwortung über Daten in der Cloud
Der Umstieg in die Cloud für Teile der IT-Infrastruktur entledigt Unternehmen von Problemen, die sich bei der Verwaltung, der Absicherung und den Update-Prozeduren ergeben. Doch wenn ein Benutzer wichtige Daten gelöscht bzw. „verloren“ hat, ist nach wie vor das IT-Personal für die schnelle Wiederherstellung der Informationen zuständig.
Bei Exchange Online liegen die Daten – also die Mails oder die Kalendereinträge und Kontakte – in der Cloud. Microsoft verspricht zwar eine Hochverfügbarkeit von Exchange Online und den Benutzerdaten. Dazu werden die Informationen auf verschiedenen Systemen in der Microsoft-Cloud abgelegt. Doch das entbindet die Verantwortlichen im Anwenderunternehmen nicht vor der Verantwortung für die Daten. So müssen zum Beispiel sämtliche Vorgaben eingehalten werden, die die europäische Datenschutzgrundverordnung (DSGVO) oder die Vorgaben durch die Finanzbehörden mit sich bringen.
Mit der passenden Backup- und Wiederherstellungslösung lassen sich die Daten eines Unternehmens überall – sowohl in der Cloud als auch im eigenen Rechenzentrum – ohne zusätzliche Cloud-Gateways und mehrere Benutzeroberflächen sichern und zu jedem Zeitpunkt wiederherstellen.
Begrenzte Flexibilität bei der Aufbewahrung und Wiederherstellung von Daten
Daten sind aus unterschiedlichen Gründen aufbewahrungspflichtig – interne Anforderungen des Unternehmens, aber auch gesetzliche Vorgaben oder Compliance-Gründe sind dabei zu nennen. Exchange Online selbst bietet mehrere Optionen zur Datenspeicherung, ist jedoch in seiner Funktionalität, wie auch in seiner Flexibilität eingeschränkt. Dazu kommt noch, dass einige erweiterte Optionen sich nur umständlich ausführen lassen. In der Standardeinstellung ist vorgesehen, dass gelöschte Mailbox-Inhalte nicht länger als 30 Tage im sogenannten Papierkorb aufbewahrt werden.
Über diese grundlegenden Einstellungen hinaus ist es über Richtlinien zur Datensicherung möglich, Postfächer und ihre Daten so lange wie nötig aufzubewahren. Das erweist sich für juristische Zwecke, etwa im Kontext einer Aufbewahrung wegen Rechtsstreitigkeiten oder speziellen Aufbewahrungsrichtlinien, als sinnvoll und nötig. Die Aufbereitung dieser Daten kann allerdings zeitaufwändig und komplex sein.
Proaktive Reaktion, wenn Daten verloren gehen
Die Mitarbeiter in den Fachabteilungen eines Unternehmens verlassen sich auf den zuverlässigen Zugriff auf „ihre Daten“. Sollten Informationen verloren gehen, gelöscht werden oder infiziert sein, ist die schnelle Reaktion des IT-Teams gefragt. Deswegen sollten IT-Teams auch einen Notfallplan haben, um Mailbox-Daten von Exchange Online wieder in einen definierten Zustand zu versetzen und bei Bedarf einzelne Nachrichten oder auch ein ganzes Postfach wiederherzustellen.
Doch der in O365 integrierte Datenschutz sichert die Aufbewahrung von Daten nicht. Er verlangt sogar, dass Mitarbeiter ihr Verhalten ändern – das lässt sich kaum in einem Unternehmen durchsetzen. Daher ist eine zu O365 kompatible Backup- und Wiederherstellungslösung gefragt. Sie muss sicherstellen, dass diese Aufgaben erledigt werden und somit dabei auch die Recovery Time Objectives (RTOs) – also die Zeitvorgaben für die Wiederherstellung der Objekte – erfüllt werden.
Primäres Angriffsziel für Ransomware: Mails
Für die letzten zwei Jahren haben die Marktforscher von Gartner einen Anstieg der Ransomware-Angriffe um 700 Prozent gemeldet. Der Erfolg von Exchange Online macht diesen Dienst zu einem attraktiven Ziel für Ransomware-Angriffe, denn die meisten derartigen Angriffe laufen über die Mails.
Die Architektur von O365 bietet zwar Datenredundanz und Ausfallsicherheit, aber wenig Schutz vor Datenverlust, versehentlichem oder böswilligem Löschen, Löschen über die Aufbewahrungsfristen hinaus, Beschädigung, Verschlüsselung (Ransomware) und mehr. Daher fällt der Auswahl der richtigen Backup- und Wiederherstellungslösung eine sehr wichtige Rolle zu. (rhh; nach Unterlagen von Cohesity)
Lösungen für die Sicherung und Wiederherstellung von Office365-Daten gibt es bei Cohesity.