:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/63/72/6372be7ef046411435e68c6203994823/0114113443.jpeg "Threat Intelligence Feeds sind ein wichtiges Tool für Unternehmen, zum Schutz vor DDoS-Angriffen. (Bild: Framestock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fc/97/fc9738083cd07dfe9c89c949eb0c40aa/0114113294.jpeg "Microsoft Teams wird in vielen Unternehmen als Kommunikationsplattform genutzt. Immer öfter greifen Hacker gezielt Teams an. Unternehmen müssen reagieren und sich besser schützen! (Bild: Kiattisak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9a/c7/9ac7c7e8a3b32a83049dfc945e67b476/0113571100.jpeg "Der Angriff auf Wale mit einer solchen eisernen Harpune ist brutal und sehr blutig; ein Phishing-Angriff mithilfe von Ki ist hinterhältig und gnadenlos - nur nicht so blutig. (Bild: frei lizenziert: FotoArt-Treu)")
:quality(80)/p7i.vogel.de/wcms/88/a4/88a4cea0faefd5e74cc9bd5a9fb4ca87/0114037795.jpeg "Wird künstliche Intelligenz zum treuen Partner bei der Verteidigung von Unternehmensnetzen und sensiblen Daten oder zum unbezwingbaren Feind, der alles überrollt? (Bild: sdecoret - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/59/6c/596c4be93de433a4c8df15a6e71a07e1/0113377765.jpeg "Der Lepide Active Directory Auditor hilft auch aktiv dabei, Ransomware-Angriffe schnell zu erkennen und damit schnell reagieren zu können. (Bild: Lepide)")
:quality(80)/p7i.vogel.de/wcms/16/5f/165f68c6fa324facb4015349f0aabf97/0114113075.jpeg "Um mit KI-basierten Bedrohungen mithalten zu können, kommen Unternehmen nicht umhin, KI-basierte Abwehrmaßnahmen zu nutzen. (Bild: soupstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/93/4a/934ad835e86c1eea66869d7d9a59f1f1/0113980249.jpeg ""Integrierte Sicherheit gegen wachsende Cyberbedrohungen", ein Interview von Oliver Schonschek, Insider Research, mit Frank Kuypers von Intel Corporation. (Bild: Vogel IT-Medien / Intel / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/70/2b/702b40d609cda50da0f641861d9c416f/0113940625.jpeg "Im Security-Insider Deep Dive stellt Sicherheitsspezialist Trend Micro seine Lösung Cloud One Conformity bis ins Detail vor. (Bild: VIT)")
:quality(80)/p7i.vogel.de/wcms/ea/09/ea098195a5d78217dbe8e7be250c803f/0113981663.jpeg "Wie die Geschäftsentwicklung von Cequence unterstreicht, wird Anwendungssicherheit für Unternehmen ein zunehmend wichtiger Faktor. (Bild: The Walker Group)")
:quality(80)/p7i.vogel.de/wcms/13/56/1356472468aa93a42551824e15bc86d1/0114006798.jpeg "Mit dem richtigen Löschkonzept schaffen es auch KMU, personenbezogene Daten strukturiert und sicher zu löschen. (Bild: Mego-studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/e8/56e81a2cc5d033e060c48271040ce400/0114030088.jpeg "Angriffe auf die kritische Infrastruktur werden weiter zunehmen und Phishing wird ein wichtiger Angriffsvektor sein. Eine Phishing-sichere MFA kann helfen Risiken zu minimieren. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/29/21/2921b37e9174454514f87109f30498da/0113796994.jpeg "Sicherheitsverantwortliche müssen in hybriden IT-Landschaften oft verschiedene Multi-Faktor-Authentifizierungen in einem System vereinen. (Bild: ArtemisDiana - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/e4/67e44f84835d9f919003ad8dbf03d436/0114086650.jpeg "Mitarbeitende und Unternehmen in Deutschland nehmen ihre Verantwortung bei der IT-Sicherheit nicht im geforderten Ausmaß ernst. (Bild: NicoElNino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/8f/678f3451fbd3cc9e468de0e35f73ee4d/0112115118.jpeg "Unter Desktop-as-a-Service versteht man virtuelle Desktops als Service eines Cloud-Anbieters. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/65/23/6523a9c3297be435577880eaf0ee43e4/0112115110.jpeg "Der Digital Operational Resilience Act (DORA) ist eine am 16.01.2023 in Kraft getretene EU-Verordnung über die digitale operative Resilienz im Finanzsektor. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/09/9d/099d49006288e13bbb864fed5bf6c5be/0113940732.jpeg "Maltego ist ein Data-Mining-Tool mit visueller Graphendarstellung. Das interaktive Werkzeug wird auch von Sicherheitsanalysten und Behörden zur Informationssuche und -darstellung eingesetzt. (Bild: Maltego Technologies)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Design for Recovery Die Datensicherung braucht einen Paradigmenwechsel
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/63/db/63dbd1915b7af/2023-fastlta-logo-square-positive.jpeg "2023-fastlta-logo-square-positive (FAST LTA GmbH)"){kind=logo}
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/117800/117805/65.png "VIT_Logo_RGB_Full.png ()")
Die Anzahl der Cyber-Angriffe auf Unternehmen wächst stetig und erfordert einen anderen Umgang mit der Bedrohungslage. Das bedeutet neben ausgereiften Sicherheitskonzepten auch die Abkehr von klassischen Backup-Strategien. Stattdessen sollte die IT das Thema Datensicherung voll auf Recovery ausrichten.
Die Bedrohungslage bei Cyberattacken hat sich in den letzten Jahren massiv verschärft; das BSI bewertet die Lage als „so hoch wie nie“. Kein Wunder also, dass in den meisten IT-Trends-Vorhersagen für das Jahr 2023 das Thema Security an vorderer Stelle steht.
:quality(80)/p7i.vogel.de/wcms/54/78/54780e8ebe0fefba82e3c57c8e27d8c0/0110251928.jpeg "Im Podcast steckt diesmal die geballte Expertise zweier Chefredakteure für Security und Storage. (Bild: Vogel IT-Medien)")
Security-Insider Podcast – Folge 71
So machen Sie beim Backup keine Fehler!
In der Praxis zeigt sich immer wieder, dass Unternehmen viel Zeit benötigen, um nach einem Ransomware-Angriff wieder arbeitsfähig zu werden. „Bis zu vier Wochen braucht es, um die wichtigsten Prozesse herzustellen. Aber es dauert bis zu einem Jahr, bis alles wieder normal läuft. Das ist für viele schockierend, und sie wollen es nicht wahrhaben“, erklärte beispielsweise Wolfgang Straßer, Security-Experte für Forensik und Risikomanagement und Geschäftsführer der @-yet GmbH auf dem Maschinenbau-Gipfel 2022.
Fast jedes zweite Unternehmen hat keine Notfallpläne
Ein Grund für die Schwierigkeiten sind oft nicht vorhandene und nicht gut eingeübte Notfall- und Recovery-Pläne, die eigentlich jedes Unternehmen in der Schublade haben sollte. Doch bei weitem noch nicht alle Unternehmen sind entsprechend vorbereitet; nur 54 Prozent haben ausreichende Notfallpläne, fand der Branchenverband Bitkom letzten Herbst in einer Umfrage unter mehr als tausend Unternehmen heraus.
Sind die Unternehmenssysteme verschlüsselt worden, herrscht erst einmal Panik. Gerade dann ist es allerdings besonders wichtig, kontrolliert und schnell zu reagieren. Mit jeder Stunde wird der Schaden höher, insbesondere, wenn nicht schnellstmöglich Kunden und Partner verständigt werden, damit diese sich wiederum schützen können. Ein guter Plan, der Zuständigkeiten und Meldewege im Unternehmen, aber auch hin zu Sicherheitsbehörden, Kunden und Partnern definiert, ist deshalb entscheidend. Besonders wichtig: Die Notfallpläne müssen außerhalb der IT-Infrastruktur schriftlich aufbewahrt werden!
Datenklassifikation als Grundlage einer effizienten Backup-Strategie
Hinzu kommt, dass die Backup-Strategie bei sehr vielen Organisationen nicht ausreichend erprobt ist. Eine Veeam-Studie aus dem Jahr 2021 unter 3.000 IT-Entscheidern aus Unternehmen mit mehr als 1.000 Mitarbeitenden zeigte, dass in Deutschland ganze 54 Prozent der Backup-Wiederherstellungen fehlschlagen.
Die angespannte Sicherheitslage erfordert einen deutlichen Wandel im Bereich Datensicherung. Weil die Notwendigkeit einer Daten-Recovery heute als wahrscheinlich angenommen werden muss, reicht das traditionelle Sicherheitskopie-Backup nicht mehr aus. Für die „Genesung“ kompromittierter Systeme innerhalb einer möglichst kurzen Zeitspanne braucht es schlicht andere Voraussetzungen. Dazu gehört, dass Unternehmen, Behörden und Organisationen ihre Daten kennen und klassifizieren. Unterschiedliche Datenklassen erfordern individuell angepasste Sicherungskonzepte, die den jeweiligen Recovery-Constraints folgen.
Genaues Abwägen der Speicherklassen notwendig
Konkret bedeutet das also: Die Strategie zur Datensicherung muss sich an der Wiederherstellung orientieren – und nicht an der Sicherung. Dabei definieren die Datenklassen, welche Art der Wiederherstellung jeweils notwendig ist. Die Sicherungsstrategie folgt dann unter Berücksichtigung der bestehenden Rahmenbedingungen. Obwohl eine sofortige Verfügbarkeit mit höchster Performance aller Daten sicher wünschenswert ist, setzt das zur Verfügung stehende Budget in den allermeisten Fällen enge Grenzen.
Dabei gilt es auch, sich darüber Gedanken zu machen, welche Daten sich aus der klassischen Datensicherung herauslösen lassen, indem sie frühzeitig und regelmäßig in ein Archiv verdrängt werden. Das sind zum Beispiel E-Mail-Anhänge oder Aufzeichnungen, die sich nicht mehr ändern. Sie sollten möglichst frühzeitig schon nach wenigen Tagen ins Archiv wandern.
Am Anfang der Datenklassen stehen die Daten, die nach einem erfolgten Angriff auf jeden Fall und so schnell wie möglich wieder verfügbar sein müssen. Die maximale Ausfallzeit, die sich ein Unternehmen, eine Behörde oder Einrichtung leisten kann, wird als RTO – Recovery Time Objective – bezeichnet. Diese Daten erfordern höchste Performance bei der Wiederherstellung – oder sollten sogar schon während der Wiederherstellung wieder zur Verfügung stehen. Backup-Software bietet dazu oft die Möglichkeit, virtuelle Maschinen vom Recovery-Medium zu starten. So kann ein operativer Betrieb bereits sichergestellt werden, während die Wiederherstellung noch läuft.
Der Wiederherstellungspunkt RPO im Fokus
In der Praxis hat es sich bewährt, für besonders schützenswerte Daten in sich geschlossene Dateninseln zu bilden. Das Konzept der Recovery Point Objective (RPO) definiert, wie lang die Abstände zwischen zwei komplett gesicherten Datensätzen sein dürfen – oder in der Folge, wie viele Daten in der Zwischenzeit verloren gehen dürfen. Je nach Datenklasse und Anforderung kann diese Zeit von einigen Minuten bis zu mehreren Tagen oder Wochen betragen, was eine besonders flexible Speichertechnologie erforderlich macht.
Hier sind insbesondere sogenannter „Immutable Storage“ (unveränderbarer Speicher) oder sogar „Multi-Immutable Storage“ geeignet. Denn die unterschiedlichen Datenklassen und damit verbundenen Speichertechnologien erfordern verschiedene Schutzmechanismen. Klar ist: Backup-Daten müssen besonders geschützt werden, da über 90 Prozent der Angriffe inzwischen zunächst auf Backups abzielen.
Für kurzlebige Daten (RTO-Bereich) haben sich automatische, regelmäßige Snapshots als Sicherungsmaßnahme bewährt. Diese werden vom Speichersystem eigenständig erzeugt und können von außen nicht manipuliert oder gelöscht werden. Diese „Continuous Snapshots“ erlauben es, zu früheren Versionen einer Sicherung zurückzugehen. Langlebigere Sicherungsdaten (RPO-Bereich) werden je nach Datenklassifizierung zusätzlich abgesichert. Von Geo-Redundanz über Air-Gap bis hin zu echter WORM-Versiegelung für Archive stehen hier mehrere Technologien zur Verfügung. Auch die Daten, die auf Objektspeicher kopiert oder verdrängt werden, können inzwischen besonders geschützt werden: Beim Object Locking sind diese Daten für einen bestimmten Zeitraum nur lesend verfügbar.
Jedem Objekt wird in diesem Konzept eine Mindestaufbewahrungsdauer zugewiesen, und es wird mit einem Zeitstempel für eine Woche, einen Monat oder ein Jahr versehen. Im System ist fest verankert, dass das Objekt nicht verändert und erst nach Ablauf des Zeitstempels gelöscht werden kann. Die Mechanismen, um eine Veränderung auszulösen, müssen so gut abgesichert sein, dass kein Angreifer dazu in der Lage ist.
Vom klassischen 3-2-1-Backup zum 3-2-1-1-0-Recovery
Es gilt, das seit Jahrzehnten bewährte 3-2-1-Prinzip, mit dem Datenverlust vorgebeugt wird, jetzt um zwei wichtige Parameter zum Schutz vor den Folgen einer Cyber-Attacke zu erweitern. Weiterhin sind mindestens drei Datenkopien auf mindestens zwei Medien oder Formaten nötig, mindestens eine davon in einem separaten Speichersystem. Hinzu kommt nun mindestens eine Kopie, die durch ein sogenanntes Air-Gap vollständig offline ist und auf die potenzielle Angreifer keinen Zugriff erlangen können. Dafür eignen sich Datenträger, die sich sicher außerhalb der IT lagern lassen, beispielsweise in einem Safe.
Doch auch hier sollte aus Recovery-Sicht gedacht werden: So haben sich Magnetbänder zwar als günstiges Backup-Medium etabliert; zu Recovery-Zwecken sind sie jedoch nur bedingt geeignet, da sie nur stark eingeschränkten Zugriff auf die Daten bieten. Besser passen dafür beispielsweise die Silent Bricks von FAST LTA, die in transportablen Speicher-Containern Flash- oder Festplattenspeicher mit hoher Redundanz verbaut haben. Der wahlfreie Zugriff auf jeden Datensatz ist so sofort nach dem erneuten Einstecken in die zugehörigen Controller verfügbar.
Vor allem die Anforderung an ein garantiert fehlerfreies Recovery müssen erfüllt sein: Dafür werden Worst-Case-Szenarien durchgespielt, Notfallpläne erstellt, getestet und verbessert sowie Systeme und Prozesse optimiert. Am Ende sollten Recovery-Pläne für die einzelnen Datenklassen stehen, die jeder Belastung standhalten.
Die Autorin: Daniela Hoffmann lebt und arbeitet als freie Fachjournalistin in Berlin. Seit 2000 befasst sich die Journalistin, die an der F.U. Berlin Germanistik und Informatik studiert hat, mit IT-Trendthemen. Sie schreibt für Publikationen wie die „Produktion“, „automotiveIT“, „IT-Director“ und „IT-Mittelstand“.
(ID:49491612)
:quality(80)/images.vogel.de/vogelonline/bdb/1945500/1945541/original.jpg "Ransomware ist nach wie vor das alles überschattende Sicherheitsproblem der IT. Um dieser Gefahr adäquat begegnen zu können, müssen nicht nur Schutzmaßnahmen, sondern auch Datenwiederherstellungslösungen auf Cyberattacken und deren Folgen zugeschnitten sein. (gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1945900/1945954/original.jpg "Mit der Version 6 von „Backup for Microsoft 365“ will Veeam den Administrationsaufwand senken. (WSF)")