Alle 14 Tage aktuelle News aus der IT-Szene >
Der World Backup Day jährt sich heute zum zwölften Mal. it&t business hat Branchenkenner um ihre Statements zum Thema Datensicherung gebeten.
„Für viele Unternehmen ist es immer noch schwierig, Daten aus Sicherungskopien wiederherzustellen, egal ob es sich um einen versehentlichen Datenverlust oder einen ausgewachsenen Ransomware-Angriff handelt. Bei Angreifern beliebte Sicherungsstrategien sind ein breiter Zugriff auf die Backup-Software, mit dem Netzwerk verbundene Backup-Systeme, Fernzugriff auf Backup-Systeme, unregelmäßige und ungeprüfte Backups. Eine bei Angreifern weniger beliebte Strategie beinhaltet eine komplette Systemsicherung, den Backup-Manager nicht auf Windows laufen zu lassen, die Installation von Anti-Malware-Software auf dem Backup-Server, ein automatisierter Backup-Dienst, Trennen der Backup-Systeme von der Unternehmensdomäne, Multi-Faktor-Authentifizierung (MFA) und eine rollenbasierte Zugriffskontrolle (RBAC), Backup-Replikation, Backup in der Cloud speichern, Backup-Daten verschlüsseln, Anwenden des 3-2-1-Prinzips – drei Sicherungskopien auf zwei verschiedenen Medien, von denen eines offline ist.“
Erpresserische Hacker betreiben einen hohen Aufwand, um ihre Opfer an der Wiederherstellung der verschlüsselten Daten zu hindern, etwa durch das infizieren von Backups: Beim Einspielen einer solchen Sicherung stellen die IT-Administratoren dann auch den Zugang der Hacker auf zuvor angegriffene Systeme wieder her. IT-Sicherheitsverantwortliche müssen daher komplexe Angriffe mittels Extended Detection and Response (XDR) frühzeitig erkennen, um Hacker abzuwehren, bevor sie auf das Backup zugreifen. Darüber hinaus kommt es auf eine geringstmögliche Angriffsfläche und automatisierte Kontrollen an. Ziel ist es, die meisten Sicherheitsereignisse im Vorfeld zu blocken. Verfahren zum Schutz gegen Ransomware erkennen den Versuch, Dateien zu verschlüsseln, stellen diese automatisch aus einem Backup wieder her und alarmieren die Endpoint Detection and Response (EDR). Eine ebenso wichtige Rolle spielt ein Identity Access Management (IAM): Die IT-Administratoren sollten sich klarmachen, dass bereits ein einziges gekapertes Nutzerkonto sämtliche Backups kompromittieren kann.
Bei einer Studie von ForeNova und Cyber Security Insiders im Herbst 2022 nannten 87 Prozent der Teilnehmer das Sichern und Wiederherstellen von Daten als die effektivste Maßnahme gegen Angriffe. Das ist ein verzerrter Blick auf die Realität. Denn Unternehmen brauchen viel Zeit, um geblockte Systeme im Ernstfall wieder hochzufahren oder verschlüsselte Daten zu entschlüsseln und wieder einzupflegen. Schon während des reparaturbedingten Systemausfalls entstehen enorme Umsatzeinbußen und ein unvermeidlicher Vertrauensverlust. Doch IT-Zuständige können ein Backup auch aus weiteren Gründen nicht als Hauptrettungsanker sehen. Professionelle Angreifer mit erpresserischen Absichten lokalisieren mittlerweile vor dem Versenden des Erpresserschreibens die Sicherungen, verschlüsseln oder löschen sie. Backup genügt daher nicht: Die IT sollte die 3-2-1-Regel beachten, wobei eine separate Kopie keinen Anschluss an das Unternehmensnetz hat. Zudem müssen Anwender Backups auf ihre Funktion überprüfen. Häufig sind diese im Ernstfall wertlos, weil die IT sie nicht einspielen kann. Lösegelderpresser der zweiten Generation drohen zudem mit dem Offenlegen von Daten – und dagegen hilft kein Backup.
Um sich gegen die vielfältigen Bedrohungen zu schützen, denen Unternehmen und Behörden tagtäglich ausgesetzt sind, bedarf es einer mehrschichtigen Strategie, die zwei wichtige Aspekte hat. Zum einen gilt es, die wichtigsten Unternehmens-Assets zu identifizieren: geistiges Eigentum, Anmeldeinformationen, Kundendaten. Zum anderen sollten regelmäßige – und getestete – Backups ein zentraler Bestandteil der Sicherheitsarchitektur sein. Saubere Backups sind der Schlüssel zur Wiederherstellung, wenn man Opfer einer Ransomware-Infektion wird. Je schneller die Sicherheitsverantwortlichen eine Infektion bemerken, desto weniger Daten gehen seit dem letzten verwendbaren Backup verloren. Sie sind aber immer nur das „letzte Auffangnetz“, wenn bereits alle anderen Mechanismen ausgehebelt wurden. Der Glaube, man sei mit der Pflege von Backups nicht erpressbar, ist zu kurz gedacht. Aufgrund des Fachkräftemangel sollten Betriebe ein externes oder internes Security Operations Center (kurz SOC) in Betracht ziehen: Diese Sicherheitsleitstelle lässt sich im Eigenbetrieb oder als ausgelagerte Dienstleistung nutzen und verbindet das Wissen der IT-Sicherheitsexperten mit Prozessen und Technologien.
Wer noch auf Backup als alleinige Strategie gegen Ransomware und Cyberkriminelle setzt, ist nicht up-to-date. In 70 Prozent der Ransomware-Fälle werden die Daten neuerdings gestohlen und nicht verschlüsselt. So haben die Cyber-Kriminelle viel mehr Spielraum, auf die Unternehmen Druck auszuüben, zum Beispiel über zusätzliche Benachrichtigung der Betroffenen des Datenleaks. Man spricht hier von Double Extortion. Dennoch können wir nicht auf das Backup verzichten, denn in der aktuellen geopolitischen Lage ist die Gefahr von sogenannter Wiper-Malware und weiteren Sabotage-Taktiken allgegenwärtig.
Viele Sicherheitsexperten haben damit begonnen, eine neue Strategie zur Bewältigung zunehmender Cyber-Bedrohungen zu übernehmen, die als „Cyber-Resilienz“ bezeichnet wird. Diese meint die Fähigkeit, widrige Bedingungen, Belastungen, Angriffe oder Beeinträchtigungen von Cyber-Ressourcen vorherzusehen, ihnen standzuhalten, sich davon zu erholen und sich an sie anzupassen. Cyber-Resilienz konzentriert sich auf detektive und reaktive Kontrollen, um Lücken zu bewerten und Verbesserungen der gesamten Sicherheitslage voranzutreiben.
Dazu gibt es folgende Best Practices: Pflegen Sie eine vertrauenswürdige Verbindung mit Endpoints, um unsichere Verhaltensweisen oder Bedingungen zu erkennen. Überwachen und reparieren Sie Fehlkonfigurationen. Überwachen Sie den Status der Netzwerkkonnektivität, den Sicherheitsstatus und potenzielle Bedrohungen, um eine akzeptable Nutzung durch dynamische Webfilterung zu erzwingen.
Und schließlich: Setzen Sie dynamische, kontextbezogene Netzwerkzugriffsrichtlinien durch, um Personen, Geräten oder Anwendungen Zugriff zu gewähren. Dies beinhaltet die Analyse des Gerätezustands, des Anwendungszustands, der Netzwerkverbindungssicherheit sowie der Benutzeraktivität, um anschließend vordefinierte Richtlinien am Endpunkt durchzusetzen, anstatt über einen zentralen Proxy.
Der World-Backup-Day erinnert uns jährlich daran, dass wir Daten und Anwendungen proaktiv vor Katastrophen, Ransomware und anderen Störungen schützen müssen. Mit modernen Softwarelösungen ist das heute leichter denn je. Die Sicherung von Daten ist aber nur der Anfang: Sobald man eine Strategie zur Datensicherung entwickelt hat, muss man sich auch Gedanken über die Wiederherstellung dieser Daten und der betroffenen Applikationen im Falle von Störungen, Ausfällen oder Cyberangriffen machen. Besonders bei Ransomware-Angriffen ist die Geschwindigkeit der Wiederherstellung entscheidend: Wie schnell kann man den IT-Betrieb wieder in einen ähnlichen Zustand wie vor der Attacke zurückversetzen und weiterführen, ohne dabei kritische Daten zu verlieren oder Lösegeld zu zahlen? Widerstandsfähige Unternehmen testen diese K-Fälle regelmäßig, um sicherzustellen, dass im Ernstfall dann auch alle wichtigen Schritte korrekt durchgeführt werden, sodass Ausfallzeiten und Datenverluste im Sekunden- oder Minutenbereich bleiben.
Datensicherungen sind oft ein mühsamer Prozess, der häufig aufgeschoben oder vergessen wird, bis es zu spät ist. Der World Backup Day soll daran erinnern, wie wichtig regelmäßige Backups sind. Im Zweifelsfall machen sie den Unterschied, ob wertvollen Informationen gut gesichert sind oder ob sie alle verloren sind. Gerade nachdem Ransomware und Cyberangriffe immer häufiger werden, ist eine robuste Backup-Strategie für Datenbanken absolut unverzichtbar. Unternehmen und Datenbankverantwortliche haben am World Backup Day die Gelegenheit, die eigene Backup-Strategie kritisch zu überdenken und sicherzustellen, dass sie Best Practices umsetzen.
Fragt man beliebige IT-Experten, werden diese zustimmen: Bezahlt werden sie dafür, für Leistung zu sorgen, aber die Wiederherstellung sorgt dafür, dass sie ihren Job behalten. Nehmen wir uns also am 31. März ein paar Minuten Zeit und erstellen für unsere Daten Sicherungen. Denn man weiß nie, wann man sie brauchen wird.
In den letzten Jahren ist die Zahl der Cyberangriffe enorm gestiegen, insbesondere Ransomware-Attacken haben für Schlagzeilen gesorgt. Wenn Kriminelle Daten und Systeme verschlüsseln, droht der Geschäftsstillstand – verbunden mit hohen Verlusten. In puncto Security-Bewusstsein, ist positiv zu vermerken, dass sich die Unternehmen der wachsenden Bedrohungen bewusst sind. Gleichzeitig gibt es noch viel Raum für Verbesserungen. Eine Kopie der Daten zu erstellen, ist in der Regel der einfachste Teil. Viel komplexer und zeitaufwändiger ist es, ein effektives Programm zu entwickeln, das alle anderen Aspekte der Datenkontinuität berücksichtigt.
Grundlage einer soliden Backup-Strategie ist eine 360-Grad-Sicht auf alle zu schützenden Systeme. Nur wer weiß, welche Daten überhaupt im Unternehmen vorhanden sind, kann diese auch sichern. Im zweiten Schritt wird ein genauer Wiederherstellungsplan benötigt, der festlegt, welche geschäftskritischen Daten und Systeme zuerst wiederhergestellt werden müssen und welche zu einem späteren Zeitpunkt. Darüber hinaus ist es wichtig, ein strategisches Risikoprogramm zu entwickeln und Szenarien zu identifizieren, die am wahrscheinlichsten eintreten und die größten Auswirkungen auf das Unternehmen haben. Auf dieser Grundlage können dann Business-Continuity- und Notfallpläne erstellt und sichergestellt werden, dass die notwendige Infrastruktur vorhanden ist, um diesen Risiken zu begegnen. Mithilfe einer Test- und Auditstrategie kann auch überprüft werden, ob die Backup-Strategie im Falle eines Datenverlustes funktioniert.
Eine moderne Datensicherungsstrategie muss, Workloads in jeder IT-Umgebung zu schützen. Moderne IT-Infrastrukturen sind hochgradig virtualisiert und meist in der Cloud gehostet. Dennoch verlassen sich viele Unternehmen immer noch auf alte Backup-Lösungen, die für den Schutz physischer Server vor Ort entwickelt wurden. Dies liegt zum Teil daran, dass viele Legacy-Lösungen an einen bestimmten Anbieter gebunden sind, was die Migration der Daten auf eine andere Lösung erschwert. Ein weiterer wichtiger Faktor bei der Datensicherung ist die Zuverlässigkeit, das heißt die Vollständigkeit des Backups und die Wiederherstellbarkeit von Daten oder Workloads im Katastrophenfall. Wenn eine Firma eine Legacy-Backup-Lösung verwendet, die nicht für eine Hybrid-Cloud-Strategie konzipiert wurde, leidet natürlich die Zuverlässigkeit. Die Wiederherstellung ist ein ebenso kritischer Punkt, der oft nicht genügend beachtet wird. Dies liegt an der Art und Weise, wie die IT-Infrastruktur gestaltet ist. Eine für die Datensicherung konzipierte Architektur kann vielleicht alle Daten und Arbeitslasten innerhalb von 24 Stunden duplizieren, aber wenn es um die Wiederherstellung geht, schafft sie möglicherweise nur fünf Prozent in der gleichen Zeit. Es ist wie bei einer Autobahn, die in eine Richtung vierspurig verläuft, in die andere Richtung jedoch nur einspurig. Unternehmen müssen ihre IT-Infrastruktur auf die Wiederherstellung ausrichten, um Downtime bei Ausfällen oder Ransomware-Angriffen zu reduzieren und sicherzustellen, dass sie ihre Backups optimal nutzen.
Mit der zunehmenden Verbreitung von Ransomware betrachten Organisationen Backups aus einer neuen Perspektive – wie können sie Daten aus mehreren Anwendungen oder Systemen parallel wiederherstellen? Ältere Lösungen sind nicht in der Lage, diese Anforderungen zu erfüllen. Diese basieren auf Spinning-Disk-Architekturen: HDDs eignen sich gut für Backups (lange sequenzielle Schreibvorgänge), haben aber Probleme mit Wiederherstellungen (zufällige Lesevorgänge). Wenn Sie versuchen, mehrere Datensätze parallel wiederherzustellen, wird diese Leistung zu einem erheblichen Engpass. Die Wiederherstellung von 100 TB von einer einzigen Festplatte würde mehr als 14 Tage in Anspruch nehmen! Statt herkömmlicher HDD-Systeme bieten sich All-Flash-Systeme an. Flash eliminiert den Leseleistungsengpass von HDDs. Darüber hinaus eröffnet All-Flash neue Möglichkeiten: Insbesondere bei der Wiederherstellung nach einem Angriff muss ein Administrator zunächst einen Speicherort identifizieren, an dem er die Daten wiederherstellen kann. In den meisten Situationen können sie nicht auf das Produktions-Array zurückkehren, da dieses System für forensische Analysen gesperrt ist. Stattdessen müssen sie einen neuen Standort finden, der die Kapazitäts- und Leistungsanforderungen ihrer Produktionsanwendungen unterstützen kann. Während ein Administrator Produktions-Workloads und Backups während des normalen Betriebs nicht auf derselben Plattform ausführen möchte, schafft das Wissen, dass dies in kritischen Zeiten möglich ist, ein Maß an Vertrauen und Sicherheit, das mit herkömmlichen Lösungen nicht möglich ist.