Keine einzelne Sicherheitsmaßnahme kann universell für jede Situation oder Gelegenheit erfolgreich sein. Um dieser fortlaufenden Herausforderung zu begegnen, setzen Betreiber von Datencentern auf das Prinzip von „Defense in Depth“. Dieser Ansatz baut auf mehreren Schichten von Sicherheitsmechanismen auf, die gemeinsam die Verantwortung tragen, die Systeme und Daten zu schützen. Innerhalb dieses Rahmens kommt der Bedeutung von Backups eine zentrale Rolle zu.
Dieser Artikel beschäftigt sich damit, wie Backup-Lösungen effektiv verwendet werden können.
Die letzte Verteidigungslinie
Stellen Sie sich in Gedanken vor: Ihre Daten sind durch Ransomware verschlüsselt worden oder ein Virus hat sich in Ihren Systemen verbreitet. Welche praktikablen Handlungsoptionen stehen Ihnen zur Verfügung? In einigen Fällen stellen Ransomware-Akteure nach Erhalt der Zahlung einen Entschlüsselungsschlüssel bereit. Doch häufig bleibt dies aus; sie nehmen das Lösegeld und hinterlassen die Organisation ohne Lösung.
Unabhängig von den Beweggründen der Virus-Ersteller besteht in der Regel keine Möglichkeit, den entstandenen Schaden rückgängig zu machen. Selbst falls ein Entschlüsselungsschlüssel beschafft oder ein Tool zur Virusentfernung gefunden wird, bleibt die Gewissheit fraglich, ob sämtliche Spuren restlos von den Systemen beseitigt wurden.
Wenn wir von „Defense in Depth“ sprechen, bildet das Backup die letzte Ebene. Gehen wir zunächst von der Annahme aus, dass kein System uneingeschränkt vor einem Hack geschützt ist. Selbst wenn Sie und Ihr Sicherheitsteam sämtliche möglichen Vorkehrungen treffen, besteht dennoch die Möglichkeit, Opfer eines Angriffs zu werden. Selbst unter Einsatz erstklassiger Tools besteht trotzdem die Gefahr, dass jemand es schafft diese zu umgehen.
Ursprünglich legte die Backup-Branche und ihre Befürworter den Fokus auf Offline- und Off-Site-Backups, um sich sowohl vor natürlichen als auch physischen Katastrophen zu schützen. Die Präsenz von Malware führte eine weitere wesentliche Begründung hinzu.
Durch das Offline-Bereitstellen von Daten wird verhindert, dass diese durch eine Eindringung ins System erreicht werden können. Indem Daten an entfernten Standorten aufbewahrt werden, werden zusätzliche Schranken gegenüber potenziell bösartigen Akteuren, beispielsweise internen Angreifern, etabliert.
Die zunehmende Verbreitung von Ransomware hat zu Innovationen in der Technologie der Backup-Speicherung geführt, darunter die Einführung der „Immutability“-Funktion. Durch diese Eigenschaft werden einmal geschriebene Daten für einen festgelegten Zeitraum vor jeglichen Veränderungen geschützt.
Dies ermöglicht Ihnen, eine aktive Verbindung zu den gesicherten Daten aufrechtzuerhalten, ohne sie für Malware anfällig zu machen. Dennoch ist es ratsam, diese Funktion als komfortable Möglichkeit zu betrachten. Das Prinzip „Kein System ist unknackbar“ behält nach wie vor seine Gültigkeit.
Strategien zur defensiven Nutzung von Backups
Die Einbindung von Backups in Ihre Sicherheitsstrategie erfordert keine weitreichenden Veränderungen. Bei jedem Sicherheitsvorfall, der Ihre Umgebung in einen nicht funktionsfähigen oder unsicheren Zustand versetzt, ist eine gründliche Bereinigung und nachfolgende Wiederherstellung erforderlich.
Prinzipiell verhält es sich dabei ähnlich wie nach einer Naturkatastrophe, die Ihre gesamte Ausrüstung zerstört hat. Allerdings müssen Sie, da keine Ersatzhardware zur Verfügung steht, den zusätzlichen Schritt der vollständigen Löschung Ihrer Systeme in Kauf nehmen.
Stellen Sie sicher, dass Sie das Konzept des „Löschens“ korrekt verstehen. Eine einfache Formatierung von Festplatten führt nicht zum Löschen. Entgegen langjährigen Annahmen löscht auch ein „vollständiges“ Formatieren nicht alle Daten auf einer Festplatte.
Es folgt den gleichen logischen Schritten wie eine Schnellformatierung und überprüft dann die Möglichkeit, jeden Sektor zu manipulieren. Verwenden Sie integrierte oder Software-Tools, um den Speicher aktiv auf den Wert Null zu setzen. Ein anhaltender Mythos besagt, dass mehrere Durchgänge erforderlich sind, um magnetische Speicher vollständig zu löschen. Diese Behauptung wurde nie nachgewiesen und selbst wenn sie zutreffen würde, würde sie analoge Ausrüstung erfordern.
Ihr Ziel besteht darin sicherzustellen, dass Rückstände von Malware, die möglicherweise zurückgeblieben sind, das System nicht erneut infizieren können. Ein einzelner Löschdurchgang auf den Wert Null wird dieses Ziel erreichen.
Die meisten modernen Hypervisoren schreiben beim Erstellen einer virtuellen Festplatte Nullen in den dicht bereitgestellten Speicher. Sie setzen in der Regel auch den Slack-Bereich im dünn bereitgestellten Speicher auf Null, während sie ihn hinzufügen. Dies gewährleistet jedoch nur den Schutz der virtuellen Maschine selbst.
Das Management-Betriebssystem kann nach wie vor verborgene Daten unabhängig vom Hypervisor auslesen. Daher könnten Sie die manuelle Nullsetzung für Speicher überspringen, der ausschließlich virtuelle Festplatten enthält, doch das birgt gewisse Risiken.
Das Durchführen einer Nullung auf jeder Festplatte in Ihrer Organisation bringt erhebliche zeitliche und personelle Aufwände mit sich. Allerdings kann moderne Malware, insbesondere Ransomware, sich weitläufig verbreiten. Das Übersehen einer einzigen Instanz könnte alle Anstrengungen zunichtemachen. Es ist von großer Bedeutung, diese Aspekte in Ihrer Wiederherstellungsplanung klar zu verdeutlichen.
Ihre Organisation könnte alternative Ansätze in Erwägung ziehen, wie beispielsweise das physische Zerstören jeder Festplatte und den Ersatz aller Festplatten durch neue. Dies würde zwar immer noch eine beträchtliche Arbeitsbelastung mit sich bringen, aber Zeit sparen und einen Teil des Aufwands reduzieren.
Um einen Schritt weiterzugehen, könnten Sie Rücksprache mit Ihrem Versicherungsanbieter halten. Möglicherweise betrachten sie eine Malware-Infektion als einen vollständigen Verlust und gestatten Ihnen, Ihre gesamte Ausrüstung zu ersetzen. Jedoch sollten Sie nicht voraussetzen, dass diese Deckung automatisch besteht.
Ihre Festplatten stellen nicht den einzigen Ort dar, an dem Angreifer verbleiben können. In den letzten Jahren wurden diverse Arten von UEFI-/Firmware-Malware entdeckt, und obwohl Ransomware-Angreifer sie bisher nicht routinemäßig einsetzen, experimentieren sie damit.
Wenn Sie feststellen, dass sich Angreifer dort eingenistet haben, bleibt der einzig sichere Weg, die Hardware auszutauschen. Wenn persistente Malware im UEFI vorhanden ist, führt das Nullen Ihrer Festplatte nicht zur Beseitigung, da der Angreifer nach wie vor Zugriff haben wird.
Sobald Sie verifizierbare, saubere Systeme besitzen, können Sie auf Ihre Backup-Medien zugreifen. Bevor Sie weitere Schritte unternehmen, erstellen Sie eine Kopie Ihres letzten verifizierten, guten Backups auf einem isolierten System.
Angesichts der bereits geleisteten Arbeit würde das Erstellen von mehr als einer Kopie nicht viel zusätzlichen Aufwand bedeuten. Diese Kopien dienen als zusätzliche Absicherung. Für die Wiederherstellung müssen Sie das Original online stellen, was dazu führen kann, dass es durch übersehene Malware gefährdet wird.
Sofern Sie nicht auf eine solche Situation stoßen, werden Sie ab diesem Zeitpunkt Ihre Prozedur für die Katastrophenwiederherstellung bis zur abschließenden Wiederherstellung durchführen. Für manche Organisationen könnten Größe oder zeitliche Beschränkungen ein derart sorgfältiges Verfahren unmöglich machen.
In solchen Fällen sollten Sie akkreditierte Sicherheitsexperten konsultieren, bevor Probleme auftreten, um bei der Gestaltung zu unterstützen. Nutzen Sie ihre Expertise, um Bedrohungsabwehrstrategien aufzubauen und Kriterien festzulegen, anhand derer Sie beurteilen können, ob Ihr System „ausreichend sauber“ ist, um in die Wiederherstellungsphase überzugehen.
Denken Sie sorgfältig über die potenziellen Risiken partieller Reinigungen nach, bevor Sie entscheiden, ob die Zeit- oder Aufwandsersparnis die möglichen Gefahren überwiegt. Falls das Konzept einer umfassenden Reinigung auf den ersten Blick abschreckend wirkt, stellen Sie sich vor, wie viel aufwendiger eine vollständige Reinigung nach einem erfolglosen Versuch einer teilweisen Reinigung sein könnte.
Um Ihre virtuelle Umgebung und alle dazugehörigen Daten bestmöglich abzusichern, setzen Sie auf Hornetsecurity VM Backup. Diese Lösung ermöglicht Ihnen ein sicheres Backup und eine Replikation Ihrer virtuellen Maschinen.
Für umfassende Anleitungen steht Ihnen unsere Backup Bible zur Verfügung (Vorerst nur auf Englisch verfügbar), ein unverzichtbares Nachschlagewerk mit allem, was Sie über Backup-Strategien und Notfallwiederherstellung wissen sollten.
Halten Sie sich über aktuelle Artikel und bewährte Methoden mit unserem Hornetsecurity-Blog auf dem Laufenden.
Zusammenfassung
Auch wenn Backups die Grundlage aller Sicherheitsmaßnahmen ist, der Schutz hängt immer von der gesamten Sicherheitsstrategie ab. Die im Artikel empfohlenen Techniken zur Erfassung, Übertragung und Speicherung von Backup-Daten tragen bereits erheblich zum Schutz vor Sicherheitsverletzungen bei.
Häufig gestellte Fragen
Was ist der Zweck von Backups in einer Organisation?
Backups dienen dem Zweck, Kopien von Daten zu erstellen, die im Falle des Verlusts der primären Daten abgerufen werden können. Datenverluste können durch Hardware- oder Softwarefehler, Datenkorruption oder menschliche Einflüsse, wie bösartige Angriffe (Malware oder Viren) oder unbeabsichtigtes Löschen von Daten, verursacht werden.
Wofür dienen Backups in Bezug auf Sicherheit?
Datenspeicherung bezieht sich darauf, Daten an einem sicheren Ort aufzubewahren, wo ein schneller und sicheren Zugriff gewährleistet wird. Datenbackup hingegen bezieht sich darauf, zusätzliche Kopien Ihrer Daten an verschiedenen physischen oder virtuellen Standorten zu speichern, getrennt von den Datendateien im Speicher.
Welche Rollen und Verantwortlichkeiten gibt es für Backup und Wiederherstellung?
Hier sind die drei Hauptrollen und Verantwortlichkeiten für Backup und Wiederherstellung:
- Konfiguration der Backup-Lösung auf den angeforderten Servern.
- Durchführung von Standard- und Test-Wiederherstellungen von angeforderten Dateien, Ordnern, Datenbanken und virtuellen Maschinen sowie Abschluss von Tests für die Katastrophenwiederherstellung.
- Grundkenntnisse in der Verwaltung von Windows- und Unix-Betriebssystemen ist Voraussetzung.
