Warum Immutability allein nicht hilft...
Kolumne Doc Storage:
An erster Stelle der Absicherung einer offenen Systemumgebung sollte, nein, muss die Zugriffssicherung stehen. Kriminelle Akteure von außerhalb, aber auch eigene Mitarbeiter mit entsprechenden Absichten dürfen nicht in die lokale Infrastruktur eindringen können, egal auf welchem Wege. Der schlimmste Fall ist, wenn sich die DV-Mitarbeiter auf eine funktionierende Sicherung verlassen, diese aber im Ernstfall nicht verwenden können.
Hierfür sollte unter anderem eine Zwei-Faktor-Anmeldung, also die Abfrage zusätzlicher Codes außerhalb des Netzwerkes (z.B. Mobiltelefone), verwendet werden. Oder noch besser eine Zero-Trust-Infrastruktur. Dies erschwert das unerlaubte Eindringen erheblich. Die höchste Stufe der Sicherheit stellt in Kombination mit der Zugriffssicherheit nach heutigem Stand der Technik die Unveränderbarkeit der gespeicherten Daten dar (Immutability). Die so abgelegten Informationen können erst nach einer bestimmten Ablauffrist geändert oder gelöscht werden, was eine zuverlässige Verfügbarkeit auch im Falle eines erfolgreichen Angriffs sicherstellt.
Unveränderbarkeit (Immutability)
Die Möglichkeit der Wiederherstellung von Daten aus unveränderlichen Speichern ist für den Wiederanlauf nach einem kriminellen Angriff durch Ransomware oder andere Schad-Software von mehr als entscheidender Bedeutung. Bei der Auswahl der Backup-Software sollte aber nicht nur auf die entsprechende Speicherung der eigentlichen Backup-Daten geachtet werden, sondern auch auf die unveränderliche Ablage der ebenso zur Wiederherstellung notwendigen Metadaten, also zugehörige Datenbanken und Einstellungen.
Werden diese unbrauchbar gemacht, verzögert sich der Prozess der Wiederherstellung um ein Vielfaches, da sowohl die Backup-Server neu aufgesetzt und dann die Backup-Dateien nochmals komplett durchsucht und indiziert werden müssen. Bietet dies die Backup-Software der Wahl nicht an, ist zumindest auf die Möglichkeit zu achten, die Konfigurationsdaten und die Datenbankindizes nach jeder Veränderung in einen entsprechend geschützten Bereich zu kopieren, um sie im Ernstfall schnell wieder zurückholen zu können.
Unterschiedliche Backup-Speicher
Dieser Punkt sollte normalerweise nicht mehr diskutiert werden müssen. Ein Ziel für ein Backup zu haben ist gut und schön, egal ob Platte oder Band. Es kann lokal oder an einem entfernten Ort stehen, auch gut. Aber was tun, wenn der Hersteller eine fehlerhafte Firmware liefert, die das Gerät (hoffentlich nur eine Zeit lang) unbrauchbar macht? Was tun, wenn das Gerät selbst über ein Betriebssystem verfügt, welches für sich nicht vernünftig abgesichert ist und das ein Eindringling entweder als root oder Administrator übernehmen kann? Dann sind die auf dem System gespeicherten Daten den Kriminellen ebenso hilflos ausgeliefert wie das System selbst.
Die einzige Maßnahme zum Schutz gegen diese Methoden ist die Nutzung mindestens zweier voneinander unabhängiger Zielspeicher, möglichst auch von zwei unterschiedlichen Herstellern. Oder eben das Kopieren von Backup-Daten in eine von einem Drittanbieter betriebene Cloud, hier natürlich wieder entsprechend verschlüsselt und unveränderlich.
Geographische Auslagerung
Nach Möglichkeit sollten Backups natürlich nicht am selben Ort erstellt und gelagert werden wie die Produktionsdaten. Die Speicherung und Absicherung der Daten ist eine Schlüsselkomponente jeglicher Datenverarbeitung, und es gibt neben den bereits genannten auch ganz banale Risiken, die bei der Entwicklung von Rechenzentren zu berücksichtigen sind. Die häufigsten sind (natürlich) menschliche Fehler, Hardware-Fehler oder kriminelle Zugriffe. Was allerdings tun im Falle von Feuer, Stromausfall oder Naturkatastrophen, die das gesamte Rechenzentrum lahmlegen können?
Die Ablage von Sicherungen an einem entsprechend entfernten Ort verbessert die die Chancen erheblich, Daten zu retten, wiederherzustellen und sie auch im Falle eines schwerwiegenden Vorfalls wieder schnell online stellen zu können. Und natürlich sollte es für den schlimmsten aller Fälle auch eine entsprechende Zielumgebung für die Wiederherstellung geben, die eben nicht durch entsprechende Katastrophen im selben Landstrich betroffen sein kann. Nur so ist sichergestellt, dass ein Wiederanlauf der Produktion möglichst zeitnah geschehen kann. Und sage mir niemand »hier passiert sowas nicht«. Stromausfälle drohen überall, selbst wenn man über zwei Zuführungen durch zwei Versorger verfügt. Stürme nehmen weltweit zu, und mitten in Frankreich ist erst neulich ein komplettes Rechenzentrum abgebrannt.
Schnelle Wiederherstellung
Auch wenn es viele überraschen wird: Das Ziel einer Backup-Infrastruktur ist nicht ein möglichst schnelles Backup. Alle Sicherungen, egal ob nun auf Band oder auf Platte, sind nur beim allerersten Mal tatsächlich zeitraubend. Alle folgenden Kopien laufen (meistens) inkrementell oder zumindest differentiell und somit wesentlich kürzer. Nein, worum es im Ende nur und ausschließlich geht, ist eine möglichst kurze Wiederherstellungszeit. Alle anderen genannten Maßnahmen schützen die Daten, solange sie ruhen, aber irgendwann wollen oder müssen diese wiederhergestellt werden. Hierfür verfügen viele heutige Backup-Systeme über eine Instant-Recovery-Funktion, also die Fähigkeit, eine virtuelle Maschine oder eine Anwendung direkt auf dem betroffenen Rechner zu kopieren. Eine solche Funktion sichert eine schnelle Wiederaufnahme des Betriebes. Und auch wenn es die meisten nicht mehr hören können: zu einer schnellen Wiederherstellung gehört nicht nur ein entsprechendes System aus Hard- und Software, sondern ebenso eine Mannschaft, die auch unter höchstem körperlichen und mentalen Stress in der Lage ist, diese Umgebung fehlerfrei zu bedienen. Also – üben, üben, üben.
In diesem Zusammenhang sei auch noch einmal darauf hingewiesen, dass immer komplexere Software-Umgebungen diese Wiederherstellung nicht gerade einfacher machen. Daher sollte schon bei der Anschaffung darauf geachtet werden, dass die Umgebung möglichst simpel zu bedienen ist.
Sichere Wiederherstellung
Nach einem vollständigen Angriff durch Ransomware weder der Zugriff auf Produktions- noch auf ungeschützte Backup-Daten möglich. Selbst wenn es eine durch Immutability geschützte Backup-Umgebung geben sollte, und selbst wenn die Einstellungen und Metadaten entsprechend geschützt sind – wohin sichert man zurück? In eine noch infizierte Produktionsumgebung, in der nicht sichergestellt ist, dass die kriminelle Schad-Software nicht auch alle nachrückenden Daten unbrauchbar macht?
Absolut unumgänglich ist also das Vorhalten von Zielspeichern für die Wiederherstellung außerhalb der Produktionsumgebung, beispielsweise wie oben beschrieben an einem geographisch getrennten Ort, und vor allem in ein logisch völlig unabhängiges Netzwerk. Teil der Wiederherstellungs-Strategie muss es also sein, nach dem vollständigen Rückspielen der letzten als brauchbar erwiesenen Kopie aller Daten alle Zugangsmöglichkeiten zum Netz zu ändern, die logischen Einstellungen des Netzes anzupassen und dieses dann wieder für die Mitarbeiter und die Außenwelt erreichbar zu machen.
Allumfassender Schutz- & Recovery-Plan ein Muss
Ransomware ist bei weitem nicht die einzige Bedrohung für die Daten in einem Rechenzentrum. Wie wir in den letzten Jahren immer wieder miterleben mussten, sind Naturkatastrophen und andere externe Probleme genauso real. Die Vorbereitung auf einen Angriff durch Ransomware oder andere kriminelle Machenschaften und der ständig wiederkehrende Test dieser Schutzumgebung sichert sehr gut gegen diesen Fall ab.
Die Entwicklung eines allumfassenden Schutz- und Wiederherstellungsplans ist nicht nur so etwas wie eine lohnende Übung, sondern muss zwingend von jedem Betreiber durchgeführt werden. Nach dessen Implementierung müssen ebenso zwingend regelmäßig, in möglichst kurzen Abständen, Penetrations-, Rückfall- und Wiederherstellungsübungen durchgeführt werden. Nur diese sichern zuverlässig, dass die Daten, die Netze und nicht zuletzt das Personal im Ernstfall noch zu gebrauchen sind. Die Absicherung der Daten durch Immutability allein ist ebenso nutzlos wie alle anderen angewandten Techniken, wenn diese nicht zuverlässig im Ernstfall von allen Kollegen im Rechenzentrum bedient werden können.
Und ganz zum Schluss – eine K-Fall-Übung oder ein Penetrationstest ist keine(r), wenn die betroffenen Kollegen vorher darüber informiert werden und sich in aller Ruhe vorbereiten können. Ach ja – und komme mir niemand mit »wer soll denn das alles bezahlen?« Diese Frage stellt niemand mehr, der einmal von entsprechenden Subjekten heimgesucht und dank mangelnder Infrastruktur zur Zahlung abstruser Summen gezwungen wurde!
Also hört auf zu jammern und macht es wieder richtig!
Gruß
Doc Storage
PS: Ihr wolltet Open-Systems, jetzt lebt damit… ;)
- Doc Storage: Hilft Immutable-Backup/-Storage gegen Ransomware?
- Ransom-Abwehr: Offsite-Backup & Air-Gap sind Pflicht
- Doc Storage: Die fünf populärsten Backup-Methoden im Überblick
- Doc Storage: Backups sind für Disaster-Recovery nutzlos
- Doc Storage: Backup-Monitoring von grundlegender Bedeutung
- Doc Storage: Datensicherheit per KI: Kümmern Sie sich lieber selbst