Abonnieren Sie unseren NEWSLETTER

Global Security Mag: Können Sie sich kurz für unsere Leser vorstellen?

Michael Heuer: Ich bin Michael Heuer, vom dänischen SaaS Data Backup Hersteller Keepit. Wir kümmern uns um Backup und Restore, heutzutage fällt das alles auch unter den Namen Data Protection.

In meiner Position liegt der Fokus aktuell auf dem Geschäftsaufbau im DACH-Raum. Keepit ist ein Scale-Up, wir haben heute ungefähr 4500 Kunden, ein paar Millionen User, 350 Mitarbeiter und haben lange Zeit rein aus Dänemark heraus gearbeitet. Die USA und Deutschland sind die ersten Märkte, in denen wir Mitarbeiter direkt platziert haben. Gerade bauen wir das Partnergeschäft auf, suchen weitere Kunden. Wir haben mittlerweile eine ganze Reihe von großen Kunden im DACH-Raum, etwa 400, und es werden natürlich immer mehr.

GSM: Wie geht Keepit auf seine Kunden zu?

MH: Viele Kunden waren sich nicht dessen bewusst, dass sie etwas tun müssen. Somit haben wir über die letzten Jahre viel Aufklärungsarbeit geleistet. Interessanterweise haben auch viele große Firmen, auch DAX-Konzerne keine Sicherung, und auch dort fängt man jetzt an, darüber nachzudenken. Wir sehen also unisono, dass das Bewusstsein dafür steigt, sich beim Backup auch den SaaS-Applikationen zu widmen. Jede Firme hat im Endeffekt mehrere hundert SaaS-Apps. Man verlässt sich blind darauf, dass der entsprechende Hersteller die Daten sichert. Das ist ein bisschen blauäugig. Wenn man in der Vergangenheit Software eingesetzt hat, dann hat man sich Gedanken über ein Backup- und Data-Recovery-Konzept gemacht und darüber, welche Hardware man beschafft. Es war klar, dass man sich um all diese Sachen kümmern muss. Jetzt, mit SaaS, wird das alles vergessen. Dass man viele Dinge vergessen kann, ist ja auch ein Vorteil von SaaS, aber die Daten liegen immer noch in der Verantwortung des Endkunden.

GSM: Was meinen Sie genau damit?

MH: Es gib einen schönen Begriff von Microsoft: „Shared responsibility“. Microsoft sagt: wir sind zuständig für Systeme, für die Plattform, für den Betrieb der Systeme. Der User ist aber verantwortlich für die Rechtevergabe und für seine Daten. Allerdings wird das meist nicht so direkt kommuniziert, sondern findet sich irgendwo in den Lizenzbestimmungen wieder.

Viele haben sich dieses Problem also in der Vergangenheit nicht angeschaut und fahren solange damit gut, bis etwas passiert, bis also Firmen aufgrund von Cyberattacken oder aufgrund von anderen Problemen Daten verlieren.

Momentan wird das Ganze wichtiger, Stichwort NIS2. Man kann sicherlich sagen, dass Microsoft 365 oder Salesforce oder Microsoft Azure AD zu den geschäftskritischen Applikationen gehören. Wenn das so bewertet wird, muss ich im Rahmen von NIS2 für entsprechende Maßnahmen sorgen. Dazu zählt auch das Thema Business Continuity Management. Eine der Key-Maßnahmen für ein funktionierendes BCM ist ganz klar ein Backup. Und da kommen wir im Spiel.

GSM: Was sind die Neuheiten in Ihren Lösungen, welche Lösungen stellen Sie dieses Jahr auf der it-sa vor?

MH: Es gibt keine direkten Neuheiten, eher das Thema ist neu. Die meisten Firmen, die SaaS einsetzen, gehen davon aus, dass sie gar kein Backup brauchen. Die Idee ist: wenn ich einen Cloud-Dienst einsetze, sind Themen wie das der Datensicherung nicht mehr relevant. Sie sind es aber. Diese Daten können zerstört oder verschlüsselt werden, sei es durch Fehlbedienung von Usern, sei es durch falsche Einspielung von Daten, sei es durch eine Cyberattacke. Das passiert auch nach wie vor bei Cloud-Applikationen, die von einem SaaS-Anbieter angeboten werden. Wir sind spezialisiert auf genau dieses Thema. Heute sind nur 5-15% der User von Office 365 weltweit durch ein Backup geschützt. Bei Microsoft Azure AD sind es wahrscheinlich weniger als 1%. Die meisten Leute wiegen sich in die vermeintliche Sicherheit, dass die eigenen Daten nie verloren gehen, wenn ich einen Cloud-Dienst habe. Das tun sie auch üblicherweise nicht im Betrieb, sondern eher davor oder danach, wenn entsprechende Dinge passieren.

Da es hunderte von Applikationen gibt, von denen die meisten durchaus ein Interface oder APIs haben, um Daten auszulesen oder einzuspielen, arbeiten wir momentan auch an einem neuen Ansatz. Dabei geht es um eine Erweiterung unserer Plattform. Ziel ist es, die Plattform ohne große Programmierkenntnisse, also No Code/Low Code, zu ergänzen, um zu ermöglichen, dass auch andere SaaS-Apps angebunden werden können, die ich verwende. Es gibt die großen Workloads, sprich die Microsoft-Workloads, die wir machen. Da haben wir das umfangsreichste Portfolio und das sind Dinge, die wir sehr explizit programmiert haben. Auf der anderen Seite gibt es viele Applikation, für die es gar keine Backup-Möglichkeiten gibt. Dort werden wir in naher Zukunft eine Möglichkeit bereitstellen, sich über einen sehr leichten Weg einen eigenen Konnektor zu bauen, um Daten auszulesen und zu sichern. Das wird nicht so filigran sein wie bei den Microsoft-Applikationen, aber es ermöglicht zumindest überhaupt eine Sicherung. Damit hätte man eine Möglichkeit, in Zukunft jegliche Art von SaaS-Applikation zu backuppen.

Die Idee ist, dass irgendwann so etwas wie ein App-Store entsteht oder eine Workload Score, und man diese Konnektoren abgreifen kann.
Die ganz ferne Vision davon ist: ich nehme eine API-Dokumentation, lade sie hoch, das System lernt selbständig, welche APIs es braucht, und letztendlich kann dann ohne großartige Programmierkenntnisse alles quasi einfach „zusammengeklickt werden. Dabei soll auch Machine Learning und AI eingesetzt werden. Das ist aber eine mittelfristige Vision, noch stehen wir am Anfang.

GSM: Welche Rolle spielt Compliance?

MH: Compliance ist fast immer einer der Treiber, weswegen wir mit hinzugezogen werden, weil die meisten Firmen feststellen, dass sie unter KRITIS oder unter NIS2 fallen. Das heißt, sie brauchen ein Backup. Da kommt für uns der Business Case her.
Backup ist oft ein ungeliebtes Thema, nach dem Motto, wo kriege ich das Budget her? Wenn es aber durch KRITIS oder NISII notwendig wird, wird Budget zur Verfügung gestellt. Ein anderer Aspekt beim Thema Compliance: wir sind der einzige rein europäische Anbieter. Wir gehen noch einen Schritt weiter und haben einen eigenen Tech Stack und unseren eigenen Storage. Wir benutzen keinen amerikanischen Hyperscaler, weder Amazon Web Services, noch Azure. Das macht uns sehr unangreifbar für Ransomware-Attacken, weil wir auf diesen Plattformen gar nicht sind. Das genügt auch vielen Sicherheitsanforderungen. Viele, die das Thema Sicherheit wirklich ernst nehmen, sagen: wenn ich schon ein Backup von Microsoft 365 oder von Azure AD mache, warum soll ich das auf einer Azure Storage Plattform machen? Ich will ja völlig unabhängig sein. Und wir sind der einzige echt unabhängige Anbieter vom Tech Stack her.

Besonders ist auch: wir haben ein eigenes Filesystem, welches bestimmte Blockchain-Technologien benutzt. Zum Beispiel gibt es bei uns keinen Löschbefehl. Das klingt zunächst merkwürdig aber wir markieren gewissermaßen die Daten nur als gelöscht. Das hat folgenden Vorteil: Selbst im unwahrscheinlichsten Fall, dass wir attackiert werden und jemand ganz tief vordringt, könnte der Angreifer immer noch nicht unsere Daten bzw. die Daten unserer Kunden löschen, weil der Löschbefehl im Betriebssystem gar nicht existiert. Dadurch sind die Daten sicher. Durch die Blockchain-Technologien, die wir benutzen, können wir auch sehr sicher darstellen, dass die Daten nicht manipuliert sind und haben auf der anderen Seite auch einen sehr schnellen Weg, die Daten zu restoren. Das liegt daran, dass wir eine Art Baumsystem benutzen, den Merkle-Tree. Der liegt dem ganzen Filesystem zugrunde. Damit habe ich den Vorteil der Unverwundbarkeit, also Immutability und auf der anderen Seite die Möglichkeit, sehr unbegrenzt Daten zu speichern und sehr schnell wieder auf sie zuzugreifen. Wir unterscheiden nicht zwischen Hot Storage und Cold Storage.
Last but not least: Das Paket gibt es für 1 Preis pro User pro Jahr und es gibt keine zusätzlichen Kosten. Das ist unlimitierter Storage, unlimitiert im Sinne der Aufbewahrungszeit.

GSM: Was ist Ihre wichtigste Botschaft für unsere Leser und CISOs?

MH: NIS2 nicht verschlafen! Nehmt das Thema SaaS Data Backup ernst. Viele wichtige Daten sind heutzutage im SaaS-System enthalten. Die Meisten sind sich trotzdem nicht dessen bewusst, dass sie hier selbst um ein Backup kümmern müssen.