World Backup Day 2023: Recovery entscheidend
Nie war der World Backup Day aktueller: Cyberangriffe stellen eine anderen Art von Bedrohung dar. Sicherungsstrategien von gestern, sind in der Tat von gestern. Zur Zukunft des Backups haben wir Stimmen und Empfehlungen von Experten von verschiedenen Herstellern und Anbietern zusammengetragen.
Der World-Backup-Day erinnert jährlich daran, Daten proaktiv vor Katastrophen, Ransomware und anderen Störungen zu schützen. Die Zahl der Cyberangriffe steigt, die Lage der IT-Sicherheit in Deutschland ist nach Einschätzung des BSI weiterhin angespannt. Gerade im digitalen Zeitalter, in dem Unternehmen ihre Daten fast ausschließlich digital speichern, kann das zu einem Risiko führen. Nur, wenn die Verfügbarkeit der Daten zu jeder Zeit sichergestellt ist, ist ein reibungsloser Betriebsablauf garantiert.
»Für Unternehmen kann ein totaler Datenverlust, beispielsweise durch einen Cyberangriff, bei dem mittels Ransomware die gesamte IT lahmgelegt wird, oder einen Brand im Server-Raum, eine Bedrohung der Existenz bedeuten«, sagt Kornelius Brunner, CPO bei FTAPI Software. »Laut einer aktuellen Studie des Branchenverbands Bitkom fürchten 45 Prozent der befragten Unternehmen, dass Cyberattacken und der damit einhergehende Verlust kritischer Daten ihre geschäftliche Existenz bedrohen. Im Vorjahr waren es lediglich neun Prozent.« Diese Zahl verdeutliche einmal mehr, wie stark sich die Bedrohungslage für Unternehmen zuspitze.
Die Datensicherung ist allerdings nur der Anfang: »Auf die schnelle Wiederherstellung kommt es an«, gibt Johannes Streibich, Regional Director CEMEA bei Zerto, zu bedenken. »Sobald man eine Strategie zur Datensicherung entwickelt hat, muss man sich auch Gedanken über die Wiederherstellung dieser Daten und der betroffenen Applikationen im Falle von Störungen, Ausfällen oder Cyberangriffen machen. Besonders bei Ransomware-Angriffen ist die Geschwindigkeit der Wiederherstellung entscheidend: Wie schnell kann man den IT-Betrieb wieder in einen ähnlichen Zustand wie vor der Attacke zurückversetzen und weiterführen, ohne dabei kritische Daten zu verlieren oder Lösegeld zu zahlen? Widerstandsfähige Unternehmen testen diese K-Fälle regelmäßig, um sicherzustellen, dass im Ernstfall dann auch alle wichtigen Schritte korrekt durchgeführt werden, sodass Ausfallzeiten und Datenverluste im Sekunden- oder Minutenbereich bleiben.«
»Die Bemühungen in Sachen Data-Protection haben sich immer darauf konzentriert, Daten schnell über ein Backup zu verschieben, während Wiederherstellungen als sekundäre, aber notwendige Aufgabe angesehen wurden«, ergänzt George Axberg, VP Data Protection bei VAST Data. »Instant-Recovery ist nichts Neues die sofortige Wiederherstellung von zehn bis zwanzig virtuellen Maschinen (VMs) wird seit Jahren unterstützt. Aber angesichts der massiven Zunahme bzw. Ausbreitung von Daten in den letzten Jahren stellt sich die Frage: Wie können Organisationen Tausende von VMs, unstrukturierten Dateisystemen und Datenbanken mit mehr als 20 TByte sofort wiederherstellen?«
Organisationen müssen heute nicht nur auf Backup und Wiederherstellung, sondern auch auf sofortigen Zugriff und umgehende Wiederaufnahme des Betriebs vorbereitet sein. Um sich in der heutigen datenintensiven, KI-gesteuerten Welt anzupassen, benötigen die geschäftskritischen Anwendungen eines Unternehmens die richtige Infrastruktur und Wiederherstellungsfunktionen, um sofortigen Zugriff auf ihre Daten zu ermöglichen und den für das Unternehmen erforderlichen IT-Betrieb wiederherzustellen.
Allerdings sei es wenig sinnvoll auf Backup als alleinige Strategie gegen Ransomware und Cyberkriminelle zu setzen: »In 70 Prozent der Ransomware-Fälle werden die Daten neuerdings gestohlen und nicht verschlüsselt«, meint Sergej Epp, Chief Security Officer (CSO) bei Palo Alto Networks. »So haben die Cyberkriminelle viel mehr Spielraum, auf die Unternehmen mehr Druck auszuüben, zum Beispiel über zusätzliche Benachrichtigung der Betroffenen des Datenleak. Man spricht hier von Double-Extortion. Dennoch können wir nicht auf das Backup verzichten, denn in der aktuellen geopolitischen Lage ist die Gefahr von sogenannter Wiper-Malware und weiteren Sabotage-Taktiken allgegenwärtig.«
Absolute Software: Data-Protection, Resiliency und Persistenz
Durch den Schlagwort-Dschungel am World Backup Day: Torsten George, VP bei Absolute Software beleuchtet den Zusammenhang von Data-Protection, Cyber-Resilienz und Persistenz:
»Viele Sicherheitsexperten verstehen, dass es nicht mehr darum geht, `ob´, sondern `wann´ ein Unternehmen von einer Datenschutzverletzung betroffen ist. Das bedeutet, dass es ebenso wichtig ist, eine Strategie zu entwickeln, um die Auswirkungen zu reduzieren, anstatt sich in erster Linie darauf zu konzentrieren, Bedrohungsakteure aus dem Netzwerk fernzuhalten. Im Gegenzug haben viele Organisationen damit begonnen, eine neue Strategie zur Bewältigung der heutigen zunehmenden Cyber-Bedrohungen zu übernehmen, die als Cyber-Resilienz bezeichnet wird.
Laut MITRE und dem National Institute of Standards and Technology (NIST) ist Cyber-Resilienz (oder Cyber-Resilienz) »die Fähigkeit, widrige Bedingungen, Belastungen, Angriffe oder Beeinträchtigungen von Cyber-Ressourcen vorherzusehen, ihnen standzuhalten, sich davon zu erholen und sich an sie anzupassen.« Die Notwendigkeit der Cyber-Resilienz ergibt sich aus der wachsenden Erkenntnis, dass traditionelle Sicherheitsmaßnahmen nicht mehr ausreichen, um Systeme, Daten und das Netzwerk vor Kompromittierungen zu schützen. Das Ziel der Cyber-Resilienz besteht darin, sicherzustellen, dass ein negatives Cyber-Ereignis (absichtlich oder unbeabsichtigt, das heißt aufgrund fehlgeschlagener Software-Updates) die Vertraulichkeit, Integrität und Verfügbarkeit des Geschäftsbetriebs einer Organisation nicht negativ beeinflusst.
Cybersicherheit wendet Technologien, Prozesse und Maßnahmen an, die darauf ausgelegt sind, Systeme (z. B. Server, Endpunkte), Netzwerke und Daten vor Cyberangriffen zu schützen. Im Gegensatz dazu konzentriert sich die Cyber-Resilienz auf detektive und reaktive Kontrollen in der IT-Umgebung eines Unternehmens, um Lücken zu bewerten und Verbesserungen der gesamten Sicherheitslage voranzutreiben. Die meisten Cyber-Resilienz-Initiativen nutzen oder verbessern eine Vielzahl von Cybersicherheitsmaßnahmen. Beide sind am effektivsten, wenn sie gemeinsam angewendet werden.
Wenn es um Cyber-Resilienz geht, glauben leider viele Organisationen, dass Datensicherung ihre primäre Option ist, um diesen Ansatz zu etablieren.
Cyber-Resilienz-Strategien umfassen jedoch, sind aber nicht beschränkt auf die folgenden Best-Practices.
Erstens: Pflegen Sie eine vertrauenswürdige Verbindung mit Endpoints, um unsichere Verhaltensweisen oder Bedingungen zu erkennen, die sensible Daten gefährden könnten. Dazu gehört eine granulare Transparenz und Kontrolle über Endgerätehardware, Betriebssysteme, Anwendungen und Daten, die auf dem Gerät gesammelt werden. Diese ständig aktive Konnektivität kann im Falle eines Ransomware-Angriffs beim Reimaging des Betriebssystems helfen.
Zweitens: Überwachen und reparieren Sie Fehlkonfigurationen (automatisch, wenn möglich), da Unternehmen nicht davon ausgehen können, dass der Zustand ihrer IT-Kontrollen oder -Sicherheit im Laufe der Zeit stabil bleibt.
Drittens: Überwachen Sie den Status der Netzwerkkonnektivität, den Sicherheitsstatus und potenzielle Bedrohungen, um eine akzeptable Nutzung durch dynamische Webfilterung zu erzwingen.
Und schließlich: Setzen Sie dynamische, kontextbezogene Netzwerkzugriffsrichtlinien durch, um Personen, Geräten oder Anwendungen Zugriff zu gewähren. Dies beinhaltet die Analyse des Gerätezustands, des Anwendungszustands, der Netzwerkverbindungssicherheit sowie der Benutzeraktivität, um anschließend vordefinierte Richtlinien am Endpunkt durchzusetzen, anstatt über einen zentralen Proxy.«
Bitdefender: Backups sind bevorzugte Angriffsziele für Ransomware
»Professionelle erpresserische Hacker betreiben einen hohen Aufwand, um ihre Opfer an der Wiederherstellung der verschlüsselten Daten zu hindern«, erklärt Martin Zugec, Technical Solutions Director bei Bitdefender. »Dies geschieht etwa, indem sie Shadow-Volume-Copys routinemäßig angreifen. Alternativ infizieren sie Backups: Beim Einspielen einer solchen Sicherung stellen die IT-Administratoren dann auch den Zugang der Hacker auf zuvor angegriffene Systeme wieder her.
IT-Sicherheitsverantwortliche müssen daher komplexe Angriffe frühzeitig erkennen, um Hacker abzuwehren, bevor sie auf das Backup zugreifen. Eine Extended Detection and Response (XDR) wird über das verdächtige Entfernen einer Shadow-Volume-Copy benachrichtigt, korreliert dann die vorherigen sowie die nachfolgenden Aktionen und visualisiert den Gesamtablauf der Attacke.
Darüber hinaus kommt es auf eine tiefgehende und gestaffelte IT-Sicherheit zum Schutz der Backups an. Eine geringstmögliche Angriffsfläche und automatisierte Kontrollen mit dem Ziel, die meisten Sicherheitsereignisse im Vorfeld zu blocken, sind wichtige Bausteine, um die Wiederherstellbarkeit der Daten zu gewährleisten. Besondere Verfahren zum Schutz gegen Ransomware erkennen den Versuch, Dateien zu randomisieren also durch Codierung dem berechtigten Zugriff zu entziehen , stellen diese dann automatisch aus einem Backup wieder her und alarmieren die Endpoint Detection and Response (EDR). Eine ebenso wichtige Rolle spielt ein Identity Access Management (IAM): Die IT-Administratoren sollten sich klarmachen, dass bereits ein einziges gekapertes Nutzerkonto sämtliche Backups kompromittieren kann, gleichgültig wo sie sich befinden: Ob in der Cloud oder On Premises auf beliebigen Datenträgern. Das ist ohne Zweifel auch im Sinne der klassischen und immer noch wichtigen 3-2-1-Regel, die aber eine Cyberabwehr für Backups nicht ersetzt.«
Bitkom: Nur die Hälfte sichert ihre Smartphone-Daten
Der World Backup Day soll ein Bewusstsein für Datensicherung schaffen. Das Thema ist für alle Nutzerinnen und Nutzer digitaler Endgeräte relevant. Denn ob Taschendiebstahl oder ein Verlust durch Unachtsamkeit: Wenn das eigene Smartphone plötzlich weg oder kaputt ist, dann gilt dies auch für sämtliche Fotos, Videos und Kontakte, die darauf gespeichert sind. Doch nur die Hälfte der Nutzerinnen und Nutzer eines Smartphones in Deutschland macht Sicherungskopien von ihren Daten (51 Prozent). Das ist das Ergebnis einer repräsentativen Bitkom-Befragung unter 1.004 Personen in Deutschland ab 16 Jahren, darunter 780 Nutzerinnen und Nutzer eines Smartphones. Demnach nutzen 30 Prozent die automatische Back-up- bzw. Datensicherungsfunktion ihres Geräts. sieben Prozent sichern ihre Daten nicht automatisch, sondern auf Eigeninitiative. 14 Prozent gehen besonders auf Nummer sicher und nutzen beide Möglichkeiten parallel.
»Die meisten Menschen haben wichtige Informationen und wertvolle Erinnerungen auf ihren Smartphones gespeichert. Jeder und jede sollte regelmäßig Backups durchführen, um diese dauerhaft zu sichern«, rät Dr. Sebastian Klöß, Leiter Consumer Technology beim Digitalverband Bitkom. »13 Prozent derjenigen, die ihre Daten sichern, nutzen dazu ein kostenpflichtiges Angebot über eine Cloud die überwiegende Mehrheit setzt auf kostenlose Angebote (70 Prozent). 33 Prozent speichern die Daten auf externen Geräten wie einem Laptop, einem PC oder einer Festplatte.«
Tipps zur Datensicherung:
- Durch regelmäßige Sicherungskopien, auch Backups genannt, bleiben persönliche Daten auch dann erhalten, wenn das Gerät defekt ist oder verloren geht. Die gesicherten Daten lassen sich anschließend auf einem neuen Gerät problemlos wiederherstellen.
- Die meisten Smartphones bieten eine automatische Backup-Funktion an. Bei Apple funktioniert das über iCoud, bei Android über Google Drive.
- Beim automatischen Backup von Apple und Android werden neben Fotos und Dateien zum Beispiel auch Kontakte, Kalender, Lesezeichen, Notizen und Geräteeinstellungen gesichert.
- Das Backup der Daten kann auch als Synchronisation mit einem Laptop oder PC, mit Hilfe einer externen Festplatte oder in einem anderen Cloud-Speicher erfolgen.
- Kostenlose Cloud-Speicher sind in der Größe beschränkt, bieten oftmals aber ausreichend Platz für den Standardgebrauch. Größere Speicher sind kostenpflichtig.
Wichtig: Das Cloud-Konto mit einem sicheren Passwort schützen. Optional können auch weitere Sicherheitsmerkmale wie die Zwei-Faktor-Authentifizierung aktiviert werden, um die Sicherheit zusätzlich zu erhöhen.
Hinweis zur Methodik: Grundlage der Angaben zur Nutzung von Smartphones und Mobilfunk ist eine Befragung, die Bitkom Research im Auftrag des Digitalverband Bitkom durchgeführt hat. Dabei wurden 1.004 Menschen in Deutschland ab 16 Jahren telefonisch befragt. Die Umfrage ist repräsentativ. Die Frage lautete: »Machen Sie Sicherungskopien von Ihren Smartphone Daten?«; »Wie sichern Sie Ihre Daten?«
Cohesity: IT und Sicherheitsteams müssen besser zusammenarbeiten
Mark Molyneux, EMEA CTO bei Cohesity, fordert eine bessere Zusammenarbeit. IT und Sicherheitsteams würden sonst scheitern:
»Es ist wie im Film `täglich grüßt das Murmeltier´. Jeden 31. März spielt die Musik und werden wir am World Backup Day an das Versprechen erinnert: `I solemnly swear to backup my important documents and precious memories.´ Ein edles Ziel, dem jede Firma und jeder User sofort zustimmen.
Aber schon in den Wochen davor und gewiss einige Tage nach dem World Backup Day werden wir aus den Medien erfahren, dass Firmen gehackt und ihre Daten von Ransomware gekapert wurden. Das große Versprechen, die Daten aus dem Backup wiederzuherstellen und damit resistent gegen jeglichen Erpressungsversuch zu sein, wird dann wieder gebrochen.
Die Zahlen sprechen eine klare Sprache, wie der jüngste Branchenbericht der ENISA zum Transport-Sektor zeigt. Im vergangenen Jahr war Ransomware mit 38 Prozent aller erfassten Attacken die dominierende Gefahr, Datenlöschung (30 %) und Malware (17 %) folgten auf den Plätzen zwei und drei. Der Bericht betont dabei, dass wegen des Ukraine Krieges staatengestützte Akteure und Hacker gezielte Attacken gegen den Transportsektor in Europa ausgeführt haben. Ein klarer Beleg, dass sich die Motivation hin zu »Betrieb stören« oder »zerstören« verlagert. Firmen sollten zudem nicht nur auf Ransomware allein schauen. Denn es muss nicht immer ein feindlicher Akt sein, der den Sinn von Backups und Disaster Recovery Prozessen verdeutlicht. Als Anfang Februar bei Bauarbeiten ein Bagger wichtige Glasfasern am Flughafen Frankfurt kappte, wurde der Betrieb wunderbar auf redundante Systeme und Leitungen umgeschifft. Als man aber versuchte, wieder in den Normalbetrieb zurückzuschalten, wackelte das Primärsystem und musste für mehrere Stunden abgeschaltet werden. Mehrere Tausend Flüge fielen aus und der Ruf der Lufthansa litt.
Zusammenarbeit entscheidend
Warum tun sich Firmen mit dieser Aufgabe seit Jahren so schwer? Ein Grund ist die zunehmende Komplexität ihrer Umgebungen und die wachsende Abhängigkeit von Software und Daten, die immer stärker verteilt sind. Diesem Wildwuchs versucht man, mit einem Wildwuchs alter Backup- und Disaster-Recovery-Lösungen in den Griff zu kriegen. Die Folge: Manche Applikationen werden übersehen, fallen durchs Raster und das Sicherheitsnetz. Prozesse müssen im Ernstfall manuell durchgespielt werden von Menschen, die hochgestresst sind. Fehler passieren, die am Ende die Wiederherstellungszeit in die Länge ziehen. Hier sollten Firmen ansetzen und modernisieren, indem sie den Wildwuchs mit einer zentralen Data-Security- und Management-Plattform ersetzen.
Neben der technischen Antwort sollten Firmen außerdem unbedingt dafür sorgen, dass ihre Sicherheitsteams enger mit den Infrastrukturteams zusammenarbeiten, die am Ende für die Wiederherstellung der Daten zuständig sind. Denn beide Teams müssen an einem Strang ziehen, um bei einem erfolgreichen Angriff die Folgen der Attacke einzudämmen und zugleich den Kernbetrieb aufrechtzuhalten. Und sie müssen sich eng abstimmen, um Systeme sauber und gehärtet wiederherzustellen, damit sie nicht in der nächsten Sekunde erneut von der gleichen Attacke kompromittiert werden.
Auf diese vier Grundsätze sollten sich beide Teams verständigen:
1. IT-Infrastruktur- und Sicherheits-Teams sollten die gleichen Ziele für Cyber-Resilienz bekommen
Die Ziele für Cyber-Resilienz sollten objektiv und messbar definiert sein und idealerweise von einer kombinierten CISO / CIO-Rolle verwaltet werden. Die Cyber-Resilienz-Ziele sollten ambitionierte Werte für RPO (Recovery Point Objective die maximale Datenmenge, deren Verlust das Unternehmen tolerieren kann) und RTO (Recovery Time Objective maximale Zeitspanne, die die Wiederherstellung des normalen Betriebs nach einem Ausfall oder Datenverlust dauern darf) umfassen.
Die IT- und Sicherheits-Teams müssen in der Lage sein, kritische Dienste und Daten auch während eines Cyber-Vorfalls wie eines Ransomware-Angriffs wiederherzustellen und den Kernbetrieb aufrechterhalten zu können. Die RPO und RTO liefern beiden Teams klare Indikatoren, welche Kontrollen und KPIs nötig sind, um das gewünschte Sicherheitsniveau zu erreichen.
2. Gemeinsame Planung ausgerichtet an den Zielen
Sobald sich beide Teams auf die gemeinsamen Ziele geeinigt haben, können sie eine faktenbasierte Diskussion dazu führen, wie sie die Investitionen in Abwehrmaßnahmen, Kontrollen und Technologien ausbalancieren müssen, um die Folgen erfolgreicher Attacken maximal eindämmen zu können. Beide Teams können so die richtigen Prioritäten definieren, um ihre Cyber-Resilienz effizient zu stärken.
3. Umfassendes Verständnis der Angriffsfläche
Beide Teams müssen das gleiche Verständnis der potenziellen Angriffsfläche haben. Dazu müssen beide Teams genau wissen, welche Daten das Unternehmen speichert und wo sich alle Systeme und Umgebungen befinden (Cloud, Public-Cloud und On-Premises). Beide Teams sollten auch das gleiche Verständnis für den Reifegrad ihrer Organisation in Bezug auf die Sichtbarkeit von Daten haben. Dadurch können sie das potenzielle Risiko von Cyberangriffen und Datenverlust besser verstehen.
4. Koordination zwischen ITOps/SecOps mit Incident Response
Schließlich müssen sowohl die IT- als auch die Sicherheits-Teams ihre Zusammenarbeit aktiv verbessern, um sich im Ernstfall reibungsloser, schneller und besser abzustimmen. Um dies zu erreichen, müssen beide Teams in den Incident-Response-Prozess eingebunden sein. Damit beide Teams die Qualität ihrer Interaktion bewerten und potenzielle Probleme identifizieren können, sollten sie miteinander regelmäßige Übungen und Simulationen durchführen.
Forenova: Backups bedürfen Cybersicherheitsschutz
Eine Studie von ForeNova und Cyber Security Insiders im Herbst 2022 verdeutlicht eine gefährliche Lage: »87 Prozent der Teilnehmer nannten das Sichern und Wiederherstellen von Daten als die effektivste Maßnahme gegen Angriffe«, erklärt Paul Smit, Director Professional Services bei Forenova. »Das ist ein verzerrter Blick auf die Realität. Denn Unternehmen brauchen viel Zeit, um geblockte Systeme im Ernstfall wieder hochzufahren oder verschlüsselte Daten zu entschlüsseln und wieder einzupflegen. Schon während des reparaturbedingten Systemausfalls entstehen enorme Umsatzeinbußen und ein unvermeidlicher Vertrauensverlust. Doch IT-Zuständige können ein Backup auch aus weiteren Gründen nicht als Hauptrettungsanker sehen. Professionelle Angreifer mit erpresserischen Absichten lokalisieren mittlerweile vor dem Versenden des Erpresserschreibens die Sicherungen, verschlüsseln oder löschen sie. Ein reiner Backup genügt daher nicht: Die IT sollte die 3-2-1-Regel beachten, wobei eine separate Kopie keinen Anschluss an das Unternehmensnetz hat. Zudem müssen Anwender Backups auf ihre Funktion überprüfen. Häufig sind diese im Ernstfall wertlos, weil die IT sie nicht einspielen kann. Lösegelderpresser der zweiten Generation drohen zudem mit dem Offenlegen von Daten und dagegen hilft kein Backup.
Wer Backups als Hauptschauplatz der Abwehr oder letztes Auffangnetz gegen komplexe Angriffe sieht, gibt den professionellen Angreifern zu viel Raum. Komplexe, mehrstufige Angriffe mit einer zeitlich ausgedehnten Kill Chain erfordern ein umfassendes und kontinuierliches Monitoring des Cybergeschehens. IT-Administratoren sollten sowohl die Datenströme im Netzverkehr als auch das Verhalten von Nutzern und Endpunkten kontinuierlich erfassen, um Angriffe frühzeitig zu erkennen und die IT-Infrastruktur zu schützen. Nur wer bereits die ersten Indizien von Attacken erkennt, wird rechtzeitig Endpunkte und damit auch den Backup-Server schützen und blocken können. Nach dem Angriff folgt die forensische Analyse des Datenverkehrs, um Einfallstore für erneute Angriffe zu schließen. Das sind anspruchsvolle Aufgaben, mit denen die meisten IT-Teams gerade in kleinen und mittelständischen Unternehmen überfordert sind. Auch der Schutz eines Backups erfordert mittlerweile die Expertise externer Sicherheitsexperten in einem SOC im Rahmen eines Managed-Detection-and-Response-Dienstes.«
Rubrik: Drei Gründe, warum Legacy-Backups versagen
98 Prozent der Führungskräfte in IT und Cybersicherheit geben an, dass sie im letzten Jahr mit mindestens einem Angriff konfrontiert waren. Der World Backup Day am 31. März 2023 sollte deshalb ein Anlass sein, die Aktualität der Backup-Systeme zu hinterfragen. Legacy-Technologie ist ein Risiko für die Cybersicherheit. Das gilt umso mehr, wenn es sich um Backup-Technologien handelt, die ein Sicherheitsnetz für den Ernstfall darstellen sollte. Drei Gründe dafür, dass Legacy-Backups im Ernstfall versagen werden, erklärt Michael Pietsch, Regional Vice President (RVP) und General Manager Germany bei Rubrik Germany:
Grund 1: Legacy-Backups sind für Cyberangriffe anfällig
Ein Legacy-Backup nutzt offene Speicherprotokolle, die Unternehmensdaten dem Zugriff und der Manipulation durch Cyberkriminelle aussetzen können. Ohne angemessene Authentifizierung und Zugangskontrollen können Cyber-Angreifer Schwachstellen ausnutzen. Damit erhalten sie unbefugten Zugang zu sensiblen Daten und gefährden die Sicherheit des Unternehmens.
Grund 2: Unternehmen fehlt die Datensichtbarkeit
Legacy-Backups bieten keinen Einblick in die gefährdeten Daten oder die von einem Angriff betroffenen Daten. Ohne diese Informationen tappt das Incident-Response-Team nach einem Vorfall im Dunkeln, während Cyberkriminelle weiterhin Schaden anrichten können. Die Unfähigkeit, die eigenen Daten effektiv zu überwachen, bringt Unternehmen in eine verwundbare Position. Es fällt ihnen schwerer, Risiken einzuschätzen und Bedrohungen zu beseitigen.
Grund 3: Das Backup unterstützt keine Simulationen und Recovery-Tests
Legacy-Backups erlauben es nicht, die Recovery von Daten sowie Systemen zu simulieren und zu testen. Dies kann im Falle eines Cyberangriffs katastrophale Folgen haben, wenn das Backup funktionieren muss. Ebenfalls befähigen sie Organisationen nicht dazu, schnell Daten von einem bestimmten Zeitpunkt wiederherzustellen. Das würde dazu beitragen, dass die Daten nach der Recovery frei von Schad-Software sind. Dadurch kann eine Organisation die Folgen eines Vorfalls monatelang spüren sowie Geld und Kundenvertrauen verspielen.
Moderne Backups unterstützen die drei Säulen der Datensicherheit
Im heutigen Wettbewerb können es sich Unternehmen nicht leisten, an der Cyber Recovery zu sparen. Im Ernstfall zählt jede Sekunde. Unternehmen müssen in der Lage sein, Cyberangriffe zu erkennen, darauf zu reagieren und schnell zu beheben. Moderne Backup-Systeme sind Plattformen für Cybersicherheit. Eine moderne Backup-Architektur sollte einerseits das Zero-Trust-Konzept unterstützen. Andererseits sollte es auf den drei Säulen der Datensicherheit Data-Resilience, Data-Observability und Data-Remediation aufbauen.
Daten-Resilience: Daten sollten in Backups liegen, die nach dem Schreiben unveränderlich, verschlüsselt und durch ein Air-Gap getrennt sind. Der Zugriff sollte eine Multi-Faktor-Authentifizierung voraussetzen.
Data-Observability: Moderne Backups sollten Risiken überwachen und die Bedrohungserkennung unterstützen. Dazu tragen Funktionen wie Ransomware-Erkennung, die Markierung sensibler Daten und maschinelles Lernen im Threat Hunting bei. Unternehmen erhalten dadurch Hinweise, wenn Anomalien, Verschlüsselungen sowie nicht legitimierte Löschungen und Änderungen auftreten.
Data-Remediation: Egal, ob es sich um eine einzelne Datei, Anwendungsdaten oder eine großangelegte Recovery für eine gesamte Organisation geht: Regelmäßige Tests und Simulationen von Cyber-Recovery-Plänen sollten zu den Standardfunktionen zählen. Dadurch erfahren Unternehmen, ob diese auch funktionieren, wenn es darauf ankommt.
Unternehmen dürfen nicht warten, bis sie ein Legacy-Backup im Stich lässt. Der World Backup Day ist eine Erinnerung daran, die eigenem Backup-Strategien und -Systeme regelmäßig zu hinterfragen. Nach einem Angriff kann das den Unterschied machen, wie schlimm und wie langwierig die Folgen werden.
Solarwinds: Backups sind wertlos die Wiederherstellung ist unbezahlbar
2011 wurde der World Backup Day von einer Gruppe Reddit-User ins Leben gerufen, die keine Lust mehr hatten, ständig auf Reddit-Threads zu antworten wie »Ich habe meine Datenbank gelöscht und habe kein Backup, bitte helft mir!«. Neben der Datensicherung steht der Tag auch im Zeichen der Datenhygiene als Maßnahme für einen besseren Schutz der Daten bei der Speicherung, Nutzung und Übertragung. Im Grunde geht es um alles, was das Risiko von Datenverlusten reduziert, und die Wahrscheinlichkeit einer erfolgreichen Wiederherstellung erhöht.
Die Datenwiederherstellung ist dabei das eigentliche Ziel. Der Gedanke »Ich brauche ein Backup!« ist naheliegend. Noch wichtiger ist jedoch ein Plan zur Datenwiederherstellung. Datenbankadministratoren wissen: Backups alleine sind wertlos, aber die Wiederherstellung ist unbezahlbar. Es ist ein Fehler, einen Datensicherungsplan zu erstellen, wenn man noch keinen Plan für die Wiederherstellung hat. Den Datenwiederherstellungsplan wiederum kann man erst erstellen, wenn man sich zuvor mit einigen Grundkonzepten vertraut gemacht hat.
Wo genau die Pain-Points liegen, erklärt nachfolgend Thomas LaRock, Head Geek bei SolarWinds, und gibt vier konkrete Handlungsempfehlungen, worauf es bei der Datensicherung ankommt:
- Einen Überblick über die Geschäftsanforderungen verschaffen
Die Grundlage für einen guten Wiederherstellungsplan ist ein solides Verständnis der geschäftlichen Anforderungen. Man sollte die Bedeutung einiger geläufiger Akronyme kennen, etwa SLA (Service Level Agreement), RTO (Recovery Time Objective) und RPO (Recovery Point Objective). RTO bezeichnet die maximale Zeit, die die Wiederherstellung in Anspruch nehmen darf, und RPO ist der Zeitpunkt in der Vergangenheit, zu dem das System wiederhergestellt wird. Mithilfe dieser beiden Faktoren wird das SLA festgelegt. Man könnte beispielsweise die Anforderung haben, eine Datenbank auf den Zeitpunkt von vor 15 Minuten zurückzusetzen (RPO), wobei die vollständige Wiederherstellung zehn Minuten dauern darf (RTO). Wenn das Datenvolumen so hoch ist, dass die Wiederherstellung auf den gestrigen Tag eine Stunde dauern kann, aber das Unternehmen sich ein SLA von 15 Minuten wünscht, passen Erwartungen und Realität eindeutig nicht zusammen. - Die 3-2-1-1-Strategie
Für Backups gilt die folgende zentrale Strategie: Mindestens drei Kopien in mindestens zwei verschiedenen Formaten, von denen eines unveränderlich ist und das andere an einem externen Ort aufbewahrt wird. Für einen privaten Laptop mag das etwas übertrieben erscheinen, aber in einer Unternehmensumgebung ist es unverzichtbar. Für Unternehmen sind regelmäßige Sicherungen absolut entscheidend, denn sie verarbeiten häufig vertrauliche Daten und müssen bei einem Datenverlust oder ?diebstahl mit ernsthaften Konsequenzen rechnen. Es geht nach wie vor darum, das Datenverlustrisiko zu minimieren und die Wahrscheinlichkeit einer erfolgreichen Wiederherstellung zu erhöhen. Ein jährliches Backup ist beispielsweise längst nicht so hilfreich wie häufigere Sicherungen. Zudem ist es deutlich sinnvoller, das Backup auf einem externen Laufwerk oder in der Cloud zu speichern als auf derselben Festplatte wie die zugrundeliegenden Daten. - HA != DR
Zwei weitere Akronyme, die man kennen sollte, sind HA (High Availability) und DR (Disaster Recovery bzw. Notfallwiederherstellung). Man hört immer wieder solche Sachen wie: »Sobald wir uns um High-Availability gekümmert haben, brauchen wir den Disaster-Recovery-Kram nicht mehr.« Diese Denkweise ist nicht nur falsch, sondern auch gefährlich, denn HA und DR sind zwei grundlegend verschiedene Dinge. Es liegt nahe, zu denken, man könne mit technischen Methoden wie der Datenreplikation auch zu Wiederherstellungszwec