Herausforderung Datensicherung

Nunmehr fragt sich fast jede Organisation, ob sie auf Ransomware-Angriffe vorbereitet ist. Ich habe im November 2022 auf die rechtzeitige Ransomware-Erkennung als eine der wichtigsten Notwendigkeiten für IT-Abteilungen hingewiesen. Die rege Aktivität von Herstellern und Anbietern spiegelt diese Wichtigkeit wider. Es ist davon auszugehen, dass trotz Perimeter-Sicherheit und User-Sensibilisierung die immer raffinierter komponierten Phishing-Mails bei einem bestimmten Anteil der Benutzer zu einem vom Angreifer vorgesehenen Verhalten führen – Öffnen der Nachricht und Klicken auf einen Link. Irren ist menschlich.

Daher muss es weitere Verteidigungslinien geben. Das mittels Phishing-Mail mit Ransomware infizierte Arbeitsplatzendgerät versucht, Daten zu verschlüsseln, und das nicht nur bei lokalen Dateien auf dem Gerät, sondern auf allen Ressourcen, auf die der Benutzer mit seinem Endgerät Datei-Zugriff hat. Insbesondere sind über das Netz erreichbare File-Systeme gefährdet. Hier kann eine wichtige Verteidigungslinie ansetzen, nämlich das primäre Speichersystem, das der Online-Vorhaltung der Dateien dient. Um Ransomware am typischen Verschlüsselungsversuch zu erkennen, muss der primäre Storage zur Erkennung einer auffälligen Verschlüsselung intelligent genug sein. Verschlüsselte Daten weisen eine hohe Entropie auf, d.h. ein hohes Maß an Zufälligkeit. Der primäre Speicher kann bei Erkennung einer ungewöhnlich hohen Entropie Alarm schlagen oder gar selbst aktiv werden, indem er bei erkanntem Ransomware-Verhalten den Zugriff auf Dateien blockiert.

Die Entropiemessung kann auch durch die Backup-Lösung erfolgen. Führende Hersteller von Datensicherungssoftware unterstützen bereits diese Funktion. Die Entropiemessung ist nicht die einzige Backup-Funktion, die gegen Ransomware eingesetzt werden kann. Dass überhaupt eine funktionierende Datensicherung nach den Regeln der Kunst dauerhaft durchgeführt wird, ist die Hauptgewähr für die Wiederherstellung der Datenintegrität. Die goldenen Regeln von Backup haben sich mit Ransomware kaum geändert. Erstens müssen die gesicherten Daten vor den Szenarien geschützt sein, die die Primärdaten korrumpieren können. Das bedeutet, dass dieselben Zugriffstypen, mit denen die Integrität der Primärdaten zerstört wird, am besten für die Backup-Daten nicht existieren. Haben die Benutzer mittels eines File-Access-Protokolls Zugriff auf die Primärdaten, darf dieser Zugriffstyp keinen Durchgriff auf die gesicherten Daten ermöglichen. Zweitens muss es verschiedene Kopien der gesicherten Daten geben, die nicht jederzeit miteinander synchronisiert sind. Dies dient dazu, auf ältere, intakte Kopien zurückzugreifen, wenn neuere Versionen korrumpiert sind. Drittens sind Offline-Kopien zu erwägen, zum Beispiel Kopien auf Bändern, die im Normalfall gar nicht im Online-Zugriff sind. Diese unvollständige Liste von Backup-Regeln könnte fortgesetzt werden.

Mit zunehmender Datenmenge wird die Datensicherung aufwändiger. Die steigende Datenmenge wird einerseits durch den allgemeinen Trend zu immer mehr Daten und andererseits dadurch verursacht, dass man immer mehr Datenkopien bereithalten will, die eine Wiederherstellung auf einen beliebigen Zeitpunkt in der Vergangenheit erlauben. Je dynamischer ein Datenbestand, desto voluminöser werden Logs, aus denen die Änderungen des Datenbestands hervorgehen.

Die steigende Menge der gesicherten Daten verursacht trotz Preisverfalls bei Speichermedien zunehmende Kosten. Die Kostensteigerung kann begrenzt werden, wenn man die Hauptanforderungen an Backup-Medien im Auge behält: Integrität, Verfügbarkeit und Kapazität. Es kommt in der Regel weniger darauf an, die höchste denkbare Geschwindigkeit bei der Wiederherstellung der Daten zu ermöglichen. Wenn andere Verteidigungslinien am Perimeter, durch die User-Sensibilisierung, auf dem Endgerät und auf dem Primärspeicher aufgebaut sind, bleiben Fälle der Wiederherstellung aus dem Backup selten. In diesen seltenen Fällen kommt es nicht auf die höchste denkbare Geschwindigkeit der Wiederherstellung an. Daher haben langsame Platten und Bänder als Backup-Medien keineswegs ausgedient.

Backup aus der Cloud ist ebenfalls eine denkbare Lösung, wenn sie auf den genannten Regeln der Kunst basiert. Technisch machen die Cloud-Betreiber beim Backup nichts gravierend anders als wir es von unseren eigenen Rechenzentren kennen. Auch in Clouds werden die uns bekannten Sicherungsverfahren und Backup-Medien genutzt. Einen Vorteil gibt es beim Cloud-Backup immer, nämlich die Standortredundanz, wenn die Primärdaten OnPrem und die Backup-Daten in der Cloud sind, oder umgekehrt. Ob man sich für die Nutzung der Cloud als eine der Backup-Stufen entscheidet, ist nicht zuletzt auch eine Kostenfrage.

Zusammengefasst ist die schlechte Nachricht, dass der Aufwand für Datensicherung steigt, und die gute Nachricht lautet: Mit Datensicherung kann ein sehr wirksames Mittel gegen die größten Risiken genutzt werden, die die Integrität und Verfügbarkeit unserer Daten schmerzhaft treffen können.