In der Nacht vom 10. März 2021 gingen die Daten vieler Websites im wahrsten Sinne des Wortes in Flammen auf. Zwei Rechenzentren des Cloud Dienstleisters OVH gingen im französischen Straßburg in Flammen auf. Ich nehme dieses Ereignis auf, um kurz darüber zu berichten was passiert ist und um danach Handlungsempfehlungen und Strategien zu formulieren, um sich vor solchen Ereignissen zu schützen.

Was ist passiert?

OVHCloud ist einer der größten europäischen Cloud Provider und bietet unter anderem virtualisierte Cloud Server, Miethardware in seinem Rechenzentrum sowie klassisches Webhosting mit vielen dazugehörigen Dienstleistungen an. OVH betreibt diese Services an mehreren Standorten, unter anderem in vier Hallen in Straßburg, die zu Rechenzentren umgebaut wurden. In zwei dieser Hallen brach ein Feuer aus, wobei eine Halle vollständig und die zweite Halle teilweise vom Feuer zerstört wurde.

Die Folgen dieser Brandkatastrophe sind fatal: mehrere Millionen Websites waren nicht mehr verfügbar und tausende Kunden, die ihre dort gehosteten Daten vollständig verloren haben - sofern sie die Daten nicht selbst in anderen Rechenzentren gesichert haben.

Soweit die grobe Zusammenfassung der Ereignisse. Doch was kann man aus dieser Katastrophe mitnehmen?

Zunächst einmal das Offensichtliche: Nur weil Daten oder Dienste in die Cloud verlagert sind, sind sie nicht unzerstörbar. Am Ende des Tages laufen die Dienste trotzdem auf Computern in Rechenzentren, die wie jeder andere Ort von Umweltbedingungen beeinflusst werden. Erdbeben, Überflutungen oder eben auch Feuerkatastrophen können grundsätzlich an jedem Ort auftreten. Cloud Provider treffen möglichst viele Maßnahmen, um die Auswirkungen solcher katastrophalen Ereignisse möglichst zu minimieren und haben dafür entsprechende Protokolle definiert, wie im Falle eines Falles gehandelt werden muss. Das lässt sich übrigens auch am Beispiel OVHCloud gut beobachten, denn der Status wurde laufend sowohl auf Twitter als auch auf der Unternehmensseite offen kommuniziert.

Was kann man aus diesem Ereignis lernen?

Aus dem Ereignis lassen sich einige Handlungsfempfehlungen und Erkenntnisse ableiten. Zunächst einmal ist es wichtig, sich darüber bewusst zu sein, dass Daten in der Cloud nicht unzerstörbar sind. Entsprechend müssen Maßnahmen ergriffen werden um einem möglichen Datenverlust oder einem längeren Serviceausfall entgegenzuwirken.

1. Informationen über den Cloudanbieter einholen

Bei der Auswahl eines Cloudanbieter sollte man frühzeitig in Erfahrung bringen, wie der Cloudanbieter strukturiert ist. Transparenz ist hier die allerhöchste Priorität. Wer so tut als wären das Betriebsgeheimnisse, hat den Kunden nicht im Fokus. Als Kunde will ich wissen, wie meine Daten verwaltet und verteilt werden. Ich habe hier zwei für mich gute Beispiele abseits der großen Cloudanbieter ausgewählt, die ihre Services und Infrastruktur transparent dokumentieren:

2. Backup Strategie

Eigene Backups sind alternativlos - auch in der Cloud! Backups müssen aber gut geplant und geografisch verteilt werden. Werden die Daten nur innerhalb des selben Rechenzentrums gesichert, entspricht das dem Kopieren von einer Festplatte auf die andere. Das ist nicht ausreichend und schützt nur vor einem Hardwaredefekt aber nicht vor einer Katastrophe wie der obigen. Backups sollten also auf jeden Fall in einem anderem Rechenzentrum abgelegt werden.

3. Netzwerkanbindung

Es empfiehlt sich, die Netzwerkanbindung des Internetproviders zu prüfen. Wie schnell und wie redundant sind die einzelnen Standorte an größere Verteilerknoten und Backbones angebunden?

4. Risikobewertung und Audits

Ein Audit bedeutet die Prüfung der eigenen Services auf mögliche Schäden bei einem Ausfall. Hier muss jeder Service erfasst werden und die Kosten/Auswirkungen bei einem Ausfall ermittelt werden. Es muss nicht gleich eine wissenschaftliche Arbeit daraus gemacht werden. Aber ein einfaches Hinterfragen: Was würde es für mein Tagesgeschäft bedeuten, wenn dieser Dienst nicht verfügbar ist? Für eine Stunde, für einen Arbeitstag, für eine Woche.

Interessanterweise hilft gerade in diesem Punkt die oft so kritisierte DSGVO wesentlich weiter! Denn gerade dort werden diese Fragen gestellt und zeigen, dass die grundlegende Idee dahinter schon sehr gut ist. Man kann die DSGVO durchaus auch dazu verwenden, um sich einen Wettbewerbsvorteil zu verschaffen - nämlich gegenüber Unternehmen die diese wichtige Arbeit nicht gemacht haben!

Fazit

Daten und Services können sehr sicher und hoch verfügbar in der Cloud betrieben werden - für den Großteil der Unternehmen wohl überhaupt nur dort, weil man die notwendige Infrastruktur nur in den seltesten Fällen selbst hat.

Daraus ergeben sich vier Grundregeln, die man berücksichtigen sollte wenn man seine Daten und Services sicher in die Cloud verlagern will:

  • Hardware Redundanz
  • Netzwerk Redundanz
  • Location Redundanz
  • Prozesse zur Störungsbewältigung

Entsprechend darf man die Cloud und ihre Anbieter nicht als eine "Black Box" betrachten! Eine eigene Strategie und Risikoanalyse, was Daten- und Betriebssicherheit betrifft, sowie absolute Transparenz bei den Cloudanbietern ist eine Grundvoraussetzung für einen erfolgreichen Betrieb der eigenen Services! Wenn man diese - im Grunde einfachen - Grundregeln einhält gibt es nichts, was dem Skalieren von erfolgreichen Ideen in der Cloud im Wege steht!

Ergänzendes zum Nachlesen

Für all jene die jetzt Lust bekommen haben sich mit dem Thema zu beschäftigen kann ich noch ein paar weitere Artikel empfehlen.