Dirk Hoffmann Die „Warnstufe Rot“ hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) Ende 2021 im Bereich IT-Sicherheit ausgerufen. Daran dürfte sich auch 2022 wenig ändern, denn die Zahl und Qualität der Cyber-Attacken nimmt zu.
Das zeigt sich beispielsweise bei Attacken mit Ransomware, bei denen Angreifer Daten auf Servern und Client-Systemen verschlüsseln. Das IT-Sicherheitsunternehmen Trend Micro, hat allein im ersten Halbjahr 2021 weltweit rund 7,3 Millionen solcher Angriffe registriert. Betroffen waren alle Branchen: Finanzunternehmen, der öffentliche Sektor, Handel und Industrie sowie das Gesundheitswesen.
Für Unternehmen und öffentliche Einrichtungen können solche Cyber-Angriffe schwerwiegende Folgen haben. Denn wenn eine Produktionsstraße „steht“ oder Beschäftigte längere Zeit keinen Zugriff auf Geschäftsdaten haben, summieren sich die Kosten schnell auf 100.000 Euro pro Stunde.
Backup und Disaster Recovery reichen nicht aus
Die Warnrufe bleiben nicht ungehört. Überall werden Gegenmaßnahmen getroffen: etwa die Absicherung des Netzwerkes mit hochspezialisierten Firewalls oder intensive Mitarbeitersensibilisierungsprogramme, welche das Risiko von geglückten Phishing-Attacken minimieren. Solche vorbeugenden Methoden gehören mittlerweile zum obligatorischen Arsenal jeder Organisation.
Und falls doch Angreifende durchkommen, setzen die meisten auf Backups als weitere Vorkehrung zur Vermeidung von Datenverlusten. Doch aus einer Sicherung Geschäftsdaten oder virtualisierte Server wiederherzustellen, funktioniert nicht in jedem Fall. Ein Grund dafür ist, dass Cyber-Kriminelle neben den Produktionsdaten auch Backups unbrauchbar machen. Hinzu kommt außerdem, dass ein Großteil der Anwendenden nur unregelmäßig prüft, ob der Restore-Vorgang tatsächlich funktioniert.
Auch Sicherungen auf Tapes, die offline an einem sicheren Ort aufbewahrt werden, sind kein Allheilmittel. Denn es kann Tage dauern, um größere Datenbestände mithilfe von Tape Libraries wiederherzustellen. Der Grund sind die geringen Datentransferraten. Bei der neuesten Version der Linear-Tape-Open-Spezifikation LTO 9 liegt sie beispielsweise bei 400 Megabyte pro Sekunde (nicht komprimiert). Die Wiederherstellung von mehreren Terabyte nimmt daher viel Zeit in Anspruch.
Neuer Ansatz: Cyber-Resilienz durch Data Protection
Daher ist ein neuer Ansatz erforderlich. Es gilt, mithilfe von adäquaten Lösungen die Cyber-Resilienz von Organisationen sicherzustellen. Resilienz bezeichnet dabei die Fähigkeit, Risiken durch Cyber-Angriffe und Datenverluste zu erkennen, Vorkehrungen dagegen zu treffen und geschäftskritische Daten schnellstmöglich wiederherzustellen.
Eine zentrale Rolle spielen dabei Data-Protection-Lösungen wie beispielsweise der PowerProtect Data Manager aus dem Hause Dell. Solche Lösungen sind für das Management der Backups zuständig und definieren etwa, wo und wie lange welche Daten gesichert werden. Hinzu kommt eine hoch skalierbare Appliance als Backup-Zielsystem. Solche Systeme sollten in der Lage sein, alle Arten von Daten zu sichern, etwa CIFS- und NFS-Dateien sowie Fibre-Channel-VTL (Virtual Tape Libraries). Außerdem muss das Backup-Zielsystem in der Lage sein, Daten in kurzer Zeit wiederherzustellen, Stichwort „Instant Restore“.
„Air Gaps“ einbauen und Check von Sicherungsdaten
Zu einem ausgereiften Data-Protection-Ansatz gehören zudem Maßnahmen, die ein Kompromittieren der Backup-Daten verhindern. Dies lässt sich mithilfe von „Air Gaps“ und „Cyber Recovery Vaults“ erreichen. Air Gaps trennen die Daten, die in einem gesicherten Bereich (Vault) auf dem System abgelegt werden, physisch vom Produktionsnetzwerk. Nur bei einem Sicherungslauf ist die Netzwerkverbindung zur Appliance aktiv. Ergänzend dazu lassen sich die unternehmenskritischen Backup-Informationen vor Manipulation und Löschen schützen, also „unveränderbar“ machen. Das alles erfolgt automatisch mithilfe von Regelwerken (Policies).
Um zu vermeiden, dass trotz aller Vorsichtsmaßnahmen ein fehlerhaftes oder kompromittiertes Backup gespeichert wird, bietet es sich an, die Sicherungsdateien auf verdächtige Vorkommnisse hin zu untersuchen. Solche Cyber-Recovery-Lösungen prüfen beispielsweise, ob Unbefugte ihre Hand im Spiel hatten, wenn Dateien in großem Stil gelöscht oder geändert wurden. Wichtig ist, dass eine solche Lösung die Backup-Daten im Detail untersucht. Ein solcher Tiefenscan gibt Aufschluss darüber, ob eine Backup-Version fehlerfrei ist. Dadurch ist es einfacher, eine „saubere“ Version der Backup-Daten zu finden und für einen Restore-Vorgang zu nutzen.
Absicherung von beiden Seiten
Fortschrittliche Cyber-Recovery-Lösungen tragen dazu bei, die IT-Umgebung der Anwendenden innerhalb kurzer Zeit wiederzustellen und den Schaden zu begrenzen. Im Idealfall kommt es erst gar nicht zu einem solchen Vorfall. Daher ist es besser, Cyber-Angriffen und Datenverlusten einen Riegel vorzuschieben und die Cyber-Resilienz einer Organisation auf eine solide Basis zu stellen.