Cloud Governance und ECM – wo sollen Archivdaten gespeichert werden?

Seit mehr als 20 Jahren ist die elektronische Archivierung fester Bestandteil der IT-Landschaft eines Unternehmens. War früher der Inhouse-Betrieb der Archivsysteme noch die Regel, so muss sich heute jede Organisation die Frage stellen, ob die Aufbewahrung und Archivierung der digitalen Daten noch wirtschaftlich und sicher vom eigenen Personal auf interner Hardware betrieben werden kann. Cloudangebote versprechen günstige und sichere Speicherlösungen. In diesem Beitrag wollen wir die Optionen näher betrachten.

Clouddienste verändern den ECM-Markt

Die Cloudanbieter haben den IT-Markt stark verändert. War früher der Markt für Archivierung von Softwareanbietern für DMS- und Archivlösungen (ECM = Enterprise Content Management) geprägt, so hat der Anwender heute mehrere Optionen:

• Die ECM-Anbieter vertreiben weiterhin ihre Software, die das Unternehmen in seiner Infrastruktur betreiben kann oder durch einen externen Partner in einem Data Center betreut wird. Zudem benötigte das Anwenderunternehmen Hardware- und Speicherlösungen, welche die Anforderungen an eine rechtskonforme Archivierung erfüllen.
• Ausgewählte ECM Anbieter bieten Cloudlösungen an und betreiben ein «Software-as-a-Service» Modell.
• Die globalen Cloudanbieter Amazon, Microsoft und Google, als auch nationale Cloudprovider, bieten Cloud-Datenspeicher und Archivlösungen an. Hierbei werden zum Teil neue Standards für die Datenspeicherung eingesetzt, wie der AWS «S3» Speicherstandard. Die Cloud-Datenspeicherdienste gibt es in verschiedenen Varianten z. B. den AWS S3 Speicher für die Aufbewahrung von digitalen Daten für den schnellen Zugriff oder den Dienst «AWS Glacier» als Langzeitarchivierungslösung. Seit Kurzem wird sogar die Funktionen der Löschfristenverwaltung zur Verfügung gestellt (als «S3 Object Lock» bzw. in der deutschen Übersetzung «S3 Objektsperre»).

Eine wichtige Aufgabe des Datenmanagements ist die Aufbewahrung und Löschung der Daten anhand eines definierten Lebenszyklus. Typischerweise definieren Gesetze und Branchennormen die Vorgaben für die Dauer der Aufbewahrung und den Löschzeitpunkt. Daten werden erstellt und aktiv im Unternehmen genutzt. Zu einem definierten Zeitpunkt, zum Beispiel dem Geschäftsjahresende, beginnt dann die gesetzliche Aufbewahrungsfrist. Nach Ablauf dieser Frist müssen die Daten gelöscht werden. Bei der Einführung von ECM-Systemen und Clouddatenspeicherdiensten müssen zwingend folgende Fragen geklärt werden:

• Wie erfolgt die Verwaltung der Aufbewahrungsfristen?
• Wie werden im Archiv die Datenobjekte geschützt und wie wird der Nachweis der Integrität (Unversehrtheit) erbracht? Ein Schreibschutz alleine reicht für die rechtskonforme Archivierung nicht.
• Wie können die Daten in den Phasen Aufbewahrung und Archivierung so gespeichert werden, dass sowohl Zugriffszeiten, Sicherheit und Kosten akzeptabel sind?

Im Teil 1 des Beitrags sind wir auf die Herausforderungen der Cloud Governance eingegangen. Jedes Unternehmen muss für sich entscheiden, welche Daten in welchen Systemen gespeichert werden und wie sich ECM Systeme und Cloudservices optimal kombinieren lassen, um Sicherheit und Wirtschaftlichkeit zu gewährleisten.

Folgende Abbildung gibt einen Überblick über Optionen:

Daten in ECM Systemen:

Beim Betrieb eines DMS/Archivs sind folgende Optionen möglich:

• DMS und Archiv werden Inhouse betrieben.
• DMS und Archiv werden in einem Hybrid-Cloudmodell betrieben. Ein Teil der Systeme wird im Unternehmen betrieben und mit Cloud-Datenspeichern kombiniert.
• DMS und Archiv werden komplett aus der Cloud bezogen.

Für die Daten aus Fachapplikationen ergeben sich folgende Optionen:

• Die Cloud wird als Datenspeicher für aktuelle Daten genutzt, auf die ein häufiger Zugriff erfolgt.
• Die Cloud wird auch als Archivlösung für Daten eingesetzt, auf die nur selten Zugriff benötigt wird.

Bei Daten in Filesystemen und der internen/externen Zusammenarbeit sind folgende Modelle möglich:

• Cloud als Dateiablage für Personen und Gruppen.
• Cloud für die interne/externe Zusammenarbeit.
• Cloud für die Auslagerung von grossen Datenmengen (z. B. Videodaten)

Für die Ausfallsicherheit und Backup sind verschiedene Dienste verfügbar:

• Clouddienste, um Daten redundant zu speichern und die Ausfallsicherheit zu erhöhen.
• Cloud als Backupdienst (Anmerkung: Archivierung Backup haben NICHTS miteinander zu tun, wir verweisen gerne auf den Praktikerleitfaden S.83.

Fazit

Die Cloudanbieter haben in den beiden letzten Jahren ihre Funktionen für die Aufbewahrung und Archivierung ständig erweitert und setzen mit Ihren Innovationen die traditionellen Hersteller von Archivsoftware unter Druck.

Allerdings ist das Lifecycle-Management bei reinen Cloud Angeboten in der Regel nur rudimentär vorhanden bzw. muss selbst aufgesetzt werden. Hier sind allerdings auch die traditionellen ECM-Anwendungen nicht immer sattelfest.

Die ECM Hersteller sind gefordert entweder eigene Dienste anzubieten oder Schnittstellen zu den Clouddiensten zu etablieren.Die meisten Anbieter bauen Lösungen, wobei hybride Lösungen die Komplexität der Datenhaltung erhöhen und nicht für jede Organisation in Frage kommen.

Die Sicherheit wird mit der Nutzung von Daten in der Cloud zu einem wichtigen Thema. Diesem muss bei der Evaluation einer Archivlösung unbedingt das nötige Gewicht verliehen werden.

Schlussendlich muss aber der Kunde die passende Kombination von On-Prem Datenhaltung und Cloudspeichern definieren. Dazu ist es unabdingbar, eine Auslegeordnung der Datenhaltung durchzuführen und sich zu überlegen, welche Daten WO gespeichert werden sollen und wie darauf zugegriffen werden kann. Das KRM unterstützt sie beim Aufbau solcher Informationsarchitekturen und visualisiert ihre Datenhaltung. (SOLL -IST).