Serverparks sind eine sichere Sache. Der Zugang ist versperrt, die Rechner sind gut klimatisiert, rund um die Uhr werden sie von Administratoren liebevoll betreut, ständig laufen Diagnose-Programme und rotieren die Backup-Maschinen, um schlimme Crashs zu verhindern. Zudem ist der Speicherplatz auf solchen Servern in den vergangenen Monaten ziemlich günstig geworden. Da bietet es sich an, die eigenen, wertvollen Daten in einem solchen professionellen Rechenzentrum abzulegen. Das kann sowohl für die ideell wertvolle private Fotosammlung interessant sein, als auch für existenziell wichtige Daten eines Unternehmens. Der Markt ist riesig und weitgehend unerschlossen, sodass regelmäßig neue Angebote für Online-Backups erscheinen. Der Haken an der Sache: Die zu sichernden Daten müssen auf den Server übertragen werden. Einfache DSL-Leitungen erweisen sich hier als Nadelöhr. Mögen Downloads auch noch so schnell funktionieren, in die umgekehrte Richtung sind Standard-ADSL-Anschlüsse deutlich langsamer. Nur selten werden Upstreams von einem Megabit pro Sekunde erreicht. Pro Tag lassen sich damit höchstens zehn Gigabyte auf einen Server schieben. Sind die Daten einmal komplett übertragen, ist die tägliche Aktualisierung des Online-Backups dann allerdings kein großes Problem mehr, meint Andreas Buschmann von Software-Anbieter Novastor:
"Da spielt die Software jetzt eine ganz wichtige Rolle mit entsprechenden Kompressionsverfahren. Da gibt es Verfahren, die beispielsweise bis auf Bit-Ebene hinunter vergleichen, was sich an den Dateien geändert hat und auch nur das übertragen. Also ein Beispiel: Ich habe eine große Word-Datei, korrigiere einen Buchstaben, dann würde auch nur dieser eine Buchstabe übertragen, was natürlich die Datenmenge wesentlich reduziert."
Im Fall eines Datenverlusts ist das Wiederherstellen meist kein großes Problem: Downloads sind deutlich schneller als Uploads, manche Anbieter verschicken die gesicherten Daten auf Wunsch auch auf CD oder DVD. Genauso wichtig wie die physikalische Sicherheit der Daten auf den Servern des Anbieters ist der Zugriffsschutz. Immerhin werden unter Umständen sensible Unternehmensdaten über das Internet verschickt. Rechtsanwalt Jens Eckhardt:
"Gerade eben aus der Sicht des Datenschutzes gibt es Pflichten die Daten zu schützen. Und das führt auch dazu, dass der Online-Storage-Anbieter, den man sich sucht, die Daten wohl nicht unverschlüsselt übertragen kann. Er muss irgendeine Verschlüsselungslösung, eine SSL-Verschlüsselung, einen VPN-Tunnel, irgendeine Lösung derart anbieten. Darauf sollte der Kunde dann auch stets achten. Auch wenn der Anbieter dazu rechtlich verpflichtet sein könnte, es ist mit Sicherheit sein Eigeninteresse, dass nicht vielleicht die Daten des besten Kunden auch für die Konkurrenz lesbar sind."
Dabei gilt es nicht nur, den Weg über die Leitung zwischen Unternehmen und Backup-Dienstleister zu verschlüsseln. Auch auf dem Server selbst müssen die Daten vor dem Zugriff Dritter geschützt sein. In diesem Punkt unterscheiden sich die Anbieter deutlich. So haben in manchen Fällen die Administratoren des Backup-Servers Zugriff auf die Daten. Mancher Anbieter lagert gar die Schlüssel für die Daten aller Kunden in einer über das Internet zugänglichen Datenbank. Auch wenn der Zugriff darauf geschützt ist: Sicherer ist es allemal, wenn allein der Kunde im Besitz des Schlüssels ist. Welcher Anbieter wie verfährt, lässt sich oft nicht auf den ersten Blick erkennen. Dirk Fox, Fachmann für Datensicherheit vom Verband der deutschen Internetwirtschaft eco:
"Das ist sicher ein ganz zentrales Problem. Sie müssen heute dem Anbieter in der Regel glauben. Es gibt in meinen Augen auch noch zu wenige Bestrebungen, genau diese Backup-Mechanismen extern zertifizieren und belegen zu lassen. Es gibt einen einzigen ersten Ansatz, das ist das Datenschutz-Zertifikat des Unabhängigen Landeszentrums für Datenschutz in Kiel, aber auch da gibt es bis heute noch keinen Anbieter, der Online-Backup-Systeme oder generell Backup-Systematiken, auch Backup-Software dort mit einem Zertifikat versehen gelassen hat."
Vielleicht ist also mangelndes Vertrauen der Grund dafür, dass Unternehmen in Deutschland bisher zurückhaltend sind, was die Lagerung ihrer Datensicherungen bei externen Anbietern angeht. Eine Rolle dürfte aber auch spielen, dass es in erster Linie Kosten verursacht, Backups zu erstellen. Branchenvertreter argumentieren dagegen so: Man solle Backup-Dienstleister wie eine Versicherung gegen Datenverlust verstehen, die erst im Ernstfall ihren wahren Nutzen offenbart. Die große Kunst ist es dabei, sich weder unter- noch überzuversichern und das rechte Maß zwischen Kosten und Nutzen zu finden.
"Da spielt die Software jetzt eine ganz wichtige Rolle mit entsprechenden Kompressionsverfahren. Da gibt es Verfahren, die beispielsweise bis auf Bit-Ebene hinunter vergleichen, was sich an den Dateien geändert hat und auch nur das übertragen. Also ein Beispiel: Ich habe eine große Word-Datei, korrigiere einen Buchstaben, dann würde auch nur dieser eine Buchstabe übertragen, was natürlich die Datenmenge wesentlich reduziert."
Im Fall eines Datenverlusts ist das Wiederherstellen meist kein großes Problem: Downloads sind deutlich schneller als Uploads, manche Anbieter verschicken die gesicherten Daten auf Wunsch auch auf CD oder DVD. Genauso wichtig wie die physikalische Sicherheit der Daten auf den Servern des Anbieters ist der Zugriffsschutz. Immerhin werden unter Umständen sensible Unternehmensdaten über das Internet verschickt. Rechtsanwalt Jens Eckhardt:
"Gerade eben aus der Sicht des Datenschutzes gibt es Pflichten die Daten zu schützen. Und das führt auch dazu, dass der Online-Storage-Anbieter, den man sich sucht, die Daten wohl nicht unverschlüsselt übertragen kann. Er muss irgendeine Verschlüsselungslösung, eine SSL-Verschlüsselung, einen VPN-Tunnel, irgendeine Lösung derart anbieten. Darauf sollte der Kunde dann auch stets achten. Auch wenn der Anbieter dazu rechtlich verpflichtet sein könnte, es ist mit Sicherheit sein Eigeninteresse, dass nicht vielleicht die Daten des besten Kunden auch für die Konkurrenz lesbar sind."
Dabei gilt es nicht nur, den Weg über die Leitung zwischen Unternehmen und Backup-Dienstleister zu verschlüsseln. Auch auf dem Server selbst müssen die Daten vor dem Zugriff Dritter geschützt sein. In diesem Punkt unterscheiden sich die Anbieter deutlich. So haben in manchen Fällen die Administratoren des Backup-Servers Zugriff auf die Daten. Mancher Anbieter lagert gar die Schlüssel für die Daten aller Kunden in einer über das Internet zugänglichen Datenbank. Auch wenn der Zugriff darauf geschützt ist: Sicherer ist es allemal, wenn allein der Kunde im Besitz des Schlüssels ist. Welcher Anbieter wie verfährt, lässt sich oft nicht auf den ersten Blick erkennen. Dirk Fox, Fachmann für Datensicherheit vom Verband der deutschen Internetwirtschaft eco:
"Das ist sicher ein ganz zentrales Problem. Sie müssen heute dem Anbieter in der Regel glauben. Es gibt in meinen Augen auch noch zu wenige Bestrebungen, genau diese Backup-Mechanismen extern zertifizieren und belegen zu lassen. Es gibt einen einzigen ersten Ansatz, das ist das Datenschutz-Zertifikat des Unabhängigen Landeszentrums für Datenschutz in Kiel, aber auch da gibt es bis heute noch keinen Anbieter, der Online-Backup-Systeme oder generell Backup-Systematiken, auch Backup-Software dort mit einem Zertifikat versehen gelassen hat."
Vielleicht ist also mangelndes Vertrauen der Grund dafür, dass Unternehmen in Deutschland bisher zurückhaltend sind, was die Lagerung ihrer Datensicherungen bei externen Anbietern angeht. Eine Rolle dürfte aber auch spielen, dass es in erster Linie Kosten verursacht, Backups zu erstellen. Branchenvertreter argumentieren dagegen so: Man solle Backup-Dienstleister wie eine Versicherung gegen Datenverlust verstehen, die erst im Ernstfall ihren wahren Nutzen offenbart. Die große Kunst ist es dabei, sich weder unter- noch überzuversichern und das rechte Maß zwischen Kosten und Nutzen zu finden.