Während vor einigen Jahren noch technische Ausfälle das höchste Risiko für die Datensicherung waren, zeigen die Cyberangriffe der letzten Jahre eine deutliche Verschiebung der Gefahr zur Manipulation und Löschung der Datensicherung durch Dritte.
Damit ist klar, dass auch die Absicherung der Datensicherung dieser Entwicklung folgen muss. Während es früher mehr oder minder nur wichtig war, dass die Daten des Unternehmens durch eine angemessene Datensicherung „in Sicherheit gebracht wurden“, gilt es heute, diese Datensicherung vor Manipulationen zu schützen.
In unseren Beratungen sprechen wir von der Lebensversicherung für die Daten, wenn von der Datensicherung die Rede ist. Und genauso, wie die Police der Lebensversicherung nicht unachtsam auf dem Schreibtisch rumliegen sollte, sollte eben auch die Datensicherung nicht „irgendwie“ erfolgen.
Eigentlich würden wir sagen „so weit so klar“, warum schreiben wir also diesen Beitrag?
Man darf nicht aufhören das Thema zu wiederholen, denn es scheint immer noch nicht bei allen IT-Abteilungen und IT-Dienstleistern angekommen zu sein. So wurde vor wenigen Tagen ein Fall veröffentlicht, der wohl in seinem Ausmaß kaum zu überbieten ist!
Der finnische IT-Dienstleister Tietoevry, der uns zwar bisher unbekannt war, aber wohl mit seinen 24.000 Mitarbeitern die IT von Kunden aus über 90 Ländern managed, betreibt unter anderem auch mindestens ein Rechenzentrum in Schweden für seine Kunden.
Dieses Rechenzentrum wurde nun Opfer einer Cyberattacke und die Kundenserver wurden verschlüsselt. Allerdings wurden zudem auch viele (alle?) Datensicherungen verschlüsselt, denn dem Bericht nach sind die Daten vieler Kunden nicht wiederherstellbar.
Wie genau die Angreifer dies bewerkstelligt haben? Auch dies wird so schnell nicht nachvollzogen werden können, denn auch die Protokolle, die darüber Aufschluss geben könnten, wurden verschlüsselt.
Für den IT-Dienstleister und die betroffenen Kunden der Super-GAU!
Was hätte anders laufen können? Wie sollte eine gute Datensicherung aufgebaut sein?
Was speziell im Rechenzentrum schiefgelaufen ist, werden wir ggf. nie erfahren, aber nachfolgend ein paar wichtige Punkte, die jeder, der sich mit der Datensicherung beschäftigt, beachten sollte!
Hoffentlich haben Sie von der 3-2-1-Regel gehört. Im Kern bedeutet die Regel:
- 3 Datenstände: Der aktive Datenstand, mit dem gearbeitet wird und zwei Sicherungsstände.
- 2 Backups: Die Speicherung sollte auf 2 verschiedenen Medien erfolgen.
- 1 Offsite: Ein Speichermedium sollte dabei die eigenen Räume verlassen, denn auch Elementarschäden sind zu berücksichtigen!
Das Offsite-Backup kann mit externen Speichermedien („Bänder“, „Wechseldatenträger“) realisiert werden. Allerdings ist dabei gerade in kleineren Umgebungen zu beachten, dass der Medienwechsel und die sichere Verwahrung dieser Medien einen manuellen Aufwand erzeugt. Die Vergangenheit hat gezeigt, dass dieser manuelle Prozess oft nach einiger Zeit zum Erliegen kommt. Daher bietet sich ggf. eher eine Datensicherung in einem Rechenzentrum („in der Cloud“) an. Wenn allerdings der aktive Datenstand ebenfalls im Rechenzentrum liegt, sollte die Datensicherung in ein anderes Rechenzentrum (besser sogar bei einem anderen Anbieter) erfolgen.
Denn auch wenn es unserer Meinung nach nicht zu einem solchen Super-GAU wie oben hätte kommen dürfen, auch klar ist: Kein System ist sicher! Hätten die betroffenen Unternehmen eine ausgelagerte und vor Zugriffen geschützte Datensicherung bei einem anderen Anbieter gehabt, so wären die Daten jetzt wahrscheinlich nicht für immer verloren!
Perfekt wäre es, wenn das Backup so gestaltet wird, dass der Backup-Server die Daten beim Produktivsystem abholt und das Produktivsystem keinen Zugriff auf das Backup nehmen kann. Dieses Prinzip ist bei einer Cloud-Datensicherung in den seltensten Fällen anzutreffen. Wichtig ist, dass die Datensicherung im Rechenzentrum unveränderbar erfolgt. Unternehmen sollten sich dies von Ihrem Hersteller oder Dienstleister bestätigen lassen.
Das Ergebnis der Datensicherung sollte aktiv überwacht werden. Allerdings kann es auch passieren, dass mit einem positiven Ergebnis nichts gesichert wurde, weshalb auch der Inhalt der Datensicherung zumindest von Zeit zu Zeit getestet werden sollte. Dies kann manuell nach Absprache oder automatisiert durch den Dienstleister erfolgen.
Betreibt die gleiche IT die eigene Infrastruktur und die Server für die Datensicherung, so muss gewährleistet sein, dass die Administration beider Bereiche strikt voneinander getrennt bleibt! Die administrativen Zugänge der Infrastruktur dürfen keinen Zugriff auf die Backupserver haben und umgekehrt.
Fazit: Fehler passieren und kein System ist sicher. Es gibt aber ein paar Basisregeln, die jedes Unternehmen beherzigen sollte, damit zumindest für den größten anzunehmenden Unfall vorgesorgt ist und die Daten wiederhergestellt werden können.
Beitrag und Meinung, geschrieben von René Floitgraf
Quelle: Golem.de – IT-Dienstleister kann Kundendaten nicht wiederherstellen
