Bild: zvg

Das Backup von wichtigen Daten ist ein zentraler Bestandteil jeder IT-Security-Strategie. Dell Technologies zeigt, was passiert, wenn diese Sicherungskopie bei einem Hackerangriff kompromittiert wird. Diese Punkte zeichnen ein erfolgreiches Cyber Recovery aus.

Nicht nur die Zahl der Hackerangriffe hat laut Dell zugenommen, sondern auch deren Qualität. Über das Darknet hätten Cyber-Kriminelle heute Zugriff auf ein breites Repertoire an Werkzeugen, das früher nur grossen Gruppen und Nationalstaaten zur Verfügung stand. Um diese modernen Bedrohungen zu bewältigen, reichten herkömmliche Disaster-Recovery- und Business-Continuity-Lösungen nicht mehr aus, denn die Angreifer verschlüsselten zusätzlich zu den Systemen und Daten immer häufiger auch die Backups. So befürchten laut dem Dell Technologies 2021 Global Data Protection Index 62 Prozent der befragten IT-Entscheider, dass ihre Massnahmen zur Datensicherung nicht ausreichen, um mit Malware wie einem Ransomware-Angriff fertigzuwerden. 67 Prozent seien sich nicht sicher, ob sie nach einer Cyber-Attacke oder einem anderen Datenverlust ihre geschäftskritischen Daten wiederherstellen können – was verheerende Folgen haben kann.

Zusätzlich zur Abwehr von Cyber-Angriffen benötigten Unternehmen, die ihre Cyber-Resilienz verbessern wollen, ein effektives Datenwiederherstellungskonzept. Drei Punkte seien dabei entscheidend: Isolation (Isolierung), Immutability (Unveränderlichkeit) und Intelligence (intelligente Analysen).

Die Isolierung der Daten erfolge bei einer modernen Lösung über einen sicheren digitalen Tresor, der logisch und physisch von den Produktions- und Backup-Netzwerken getrennt und damit für Angreifer absolut unzugänglich sei. Dieser Tresor stehe in einem separaten, abgeschlossenen Raum, zu dem nur ein ausgesuchter Personenkreis Zutritt habe. Er sei nicht an ein Netzwerk angeschlossen, sondern durch ein virtuelles Air Gap von allen anderen Systemen separiert. Damit im Rahmen der Replikation eine Datenübertragung erfolgen kann, öffne die Cyber-Recovery-Software über eine Policy den physischen Replikations-Port und übertrage die Daten vom Backup-Server zum Tresor. Sobald sämtliche Daten ihr Ziel erreicht hätten, werde die Verbindung wieder geschlossen.

Mit dem digitalen Tresor zu mehr Sicherheit

Ein solcher digitaler Tresor verfüge zudem über ein Dateisystem, das jegliche Veränderung der Daten ausschliesse. So seien diese nicht nur vor Bearbeitung oder Löschung geschützt, sondern gleichzeitig auch vor böswilligen Krypto-Verschlüsselungen, wie sie oft bei Ransomware-Angriffen eingesetzt würden. Der Tresor speichere also eine Art Goldkopie der Unternehmensdaten, sodass sich der vorherige Datenstand jederzeit wiederherstellen lasse. Mehr noch: Die Funktionsfähigkeit der automatisierten Wiederherstellungsroutinen sei sichergestellt. Dadurch sei es möglich, nicht nur die von der Malware blockierten Datensätze, sondern auch den konfigurierten Server zurückzuspielen und auf diese Weise innerhalb kürzester Zeit eine saubere und funktionierende Produktionsumgebung wiederherzustellen. Ohne diesen Cyber-Recovery-Ansatz würde ein Unternehmen laut Dell viel Zeit mit der Wiederherstellung der letzten Backups verbringen, ohne zu wissen, ob sie brauchbar sind.

Eine moderne Cyber-Recovery-Lösung nutze zudem maschinelles Lernen, um Daten auf ungewöhnliche Muster oder Aktivitäten hin zu untersuchen und so Indikatoren für Kompromittierungen oder Angriffe zu erkennen. Diese Analyse-Engine werte den vollständigen Inhalt von Dateien aus und beschränke sich nicht nur auf Metadaten oder Betriebssysteminformationen. Dadurch erhalte das System einen besseren Einblick, ob Daten auf unzulässige Weise beschädigt oder verändert wurden. Werden Anzeichen für eine Beschädigung gefunden, generiere das System automatisch eine Warnmeldung mit dem Angriffsvektor sowie der Liste der betroffenen Dateien und identifiziere die letzte gute Datenkopie zur Wiederherstellung. Somit könne der Geschäftsbetrieb mit minimaler oder sogar ganz ohne Unterbrechung fortgesetzt werden. Die Warnmeldung werde dabei über eine speziell gehärtete Firewall, eine sogenannte Datendiode, nach aussen übermittelt – potenzielle Angreifer hätten zu keinem Zeitpunkt Zugriff auf die Geräte innerhalb des Datentresors.

«Einen hundertprozentigen Schutz vor Cyber-Angriffen gibt es nicht: Deshalb müssen Unternehmen stets für den Worst Case gewappnet und somit in der Lage sein, im Falle eines erfolgreichen Angriffs schnellstmöglich zum normalen Geschäftsbetrieb zurückzukehren. Nur so können Ausfälle auf ein Minimum reduziert werden. Eine solche Resilienz lässt sich mit modernen Cyber-Recovery-Lösungen sicherstellen», sagt Frank Thonüs, General Manager, Dell Technologies Switzerland.