Laut der IDC-Studie Swiss IT 2020 setzen sich 90 Prozent der befragten Unternehmen derzeit mit der Digitalisierung auseinander. Nur 35 Prozent, also etwa jedem dritten Unternehmen in der Schweiz, gelang es bislang aber, die digitale Transformation in zumindest begrenztem Umfang oder gar umfassend umzusetzen. Neben fehlendem internem Know-how und unflexiblen Strukturen ist das Thema IT-Sicherheit eine der grossen Herausforderungen.
Eine weitere IDC-Studie (The Data-Forward Enterprise: How to Maximize Data Leverage for Better Business Outcomes) liefert einen guten Einblick zum aktuellen globalen Stand der digitalen Transformation. Die Marktforscher haben hierbei Unternehmen in Nordamerika, Westeuropa und im asiatisch-pazifischen Raum befragt. Demnach gaben 45,7 Prozent der Unternehmen an, dass sie aufgrund von Mängeln im Datenmanagement weniger als die Hälfte des potenziellen Werts ihrer Daten erschliessen können. Weniger als 33 Prozent verfügen über vollautomatisierte Verfahren für Datensicherheit, Management, Backup und Disaster Recovery (DR). Mehr als 80 Prozent der IT-Führungskräfte identifizierten die Zersiedelung von Daten als ein Problem, das angegangen werden muss. Über 60 Prozent der Befragten sehen das Management von Multi-Cloud- und Hybrid-Cloud-Umgebungen sowie Datensicherheit und Disaster Recovery als grosse oder extreme Herausforderungen. Nur 9,2 Prozent haben eine einheitliche, zentralisierte Datenmanagementplattform. Gleichzeitig haben Investitionen in Cloud Computing nach wie vor höchste Priorität.
Cyber-Resilienz stärken
Beim Thema Datenmanagement gilt es, das ganze Gebiet Datensicherung und Backup im Kontext der Cyber-Resilienz zu betrachten. Bestes Beispiel dafür sind die nicht nachlassenden Ransomware-Angriffe, verbunden mit schmerzhaften Betriebsunterbrechungen und vielstelligen Lösegeldzahlungen.
Obwohl Unternehmen vielerorts in Cybersicherheit investieren, gelingt es den versierten, hochgerüsteten Gegnern immer wieder, in fremde Netzwerke einzudringen. Mittels Ransomware verschlüsseln sie häufig Daten, die auf dem Primärspeicher vorgehalten werden. Die Datenwiederherstellung von Band oder Festplatte ist sehr zeitaufwendig und bringt den Geschäftsbetrieb zeitweise zum Erliegen, selbst wenn sie gelingt. Eine fehlerfreie Wiederherstellung mit herkömmlichen Mitteln ist aber nicht immer gewährleistet, was weitere Verzögerungen mit sich bringt. Ebenso können die Angreifer eine Verschlüsselung des Master Boot Record (MBR) oder im Betriebssystems vornehmen. Damit werden das Booten und grundlegende Systemoperationen nicht mehr ausführbar. In virtualisierten Umgebungen nehmen sie den Hosting-Datenspeicher der virtuellen Maschinen ins Visier, um geschäftskritische Dienste zu stören.
Es zeigt sich zunehmend, dass hinsichtlich der Resilienz noch Luft nach oben ist. Die Frage lautet längst nicht mehr, ob es zu einem Ransomware-Angriff kommt, sondern wann. Da sich Unternehmen auf ihre Verteidigungsmassnahmen nicht hundertprozentig verlassen können, ist hier eine alternative Strategie gefragt: einen Ransomware-Angriff unwirksam zu machen, selbst wenn der Gegner bereits den Verteidigungswall überwunden hat. Hier kommt das Backup ins Spiel als Gegenmassnahme.
Mittlerweile nehmen die cyberkriminellen Akteure jedoch ausgerechnet Backups ins Visier, um auch diese zu modifizieren oder zu löschen. Dies versetzt die Erpresser in die Lage, besonders hohe Lösegeldforderungen zu stellen. Backups im Sinne der Cyber-Resilienz-Strategie zum Schutz vor Ransomware einzubinden, setzt voraus, dass die Backups nicht ebenfalls kompromittiert wurden.
Unveränderbare Backups, schnelle Eingrenzung und Wiederherstellung
Damit im Ernstfall fehlerfreie, zuverlässige Backups zur Verfügung stehen, ist ein auf Unveränderlichkeit ausgerichtetes Dateisystem erforderlich. Dieses verhindert den unbefugten Zugriff oder die Löschung von Backups, damit die Daten im aktuellsten nicht kompromittierten Zustand wiederhergestellt werden können. In Kombination mit einer besonders schnellen Wiederherstellung können Unternehmen einen Ransomware-Angriff mit nur minimaler Unterbrechung des Geschäftsbetriebs ohne spürbare Folgen überstehen.
Anders als die auf Offenheit und optimale Verfügbarkeit für Client-Systeme ausgelegten Primärspeichersysteme sollte das Backup-System nicht so einfach zugänglich sein. Soll das Backup als entscheidender Rettungsanker dienen, müssen die Backup-Daten in einem unveränderbaren Format gespeichert sein. Einmal geschriebene Daten können dann von den Clients im Netzwerk oder generell nicht mehr geändert oder gelöscht werden. Nur so ist eine zuverlässige Wiederherstellung gewährleistet, wenn die Produktionssysteme kompromittiert werden. Dieser Ansatz geht weit über einfache Dateiberechtigungen, Ordner-ACLs oder Speicherprotokolle hinaus und macht die Unveränderlichkeit zum architektonischen Grundprinzip der Datenmanagementplattform.
Ebenso wichtig ist es, schnell den Umfang des Angriffs einzugrenzen, um gezielt nur die betroffenen Anwendungen und Daten wiederherzustellen, was viel Zeit spart. Bei Massenwiederherstellungen besteht zudem das Risiko, dass auch nicht kompromittierte Daten verloren gehen. Eine zeitgemässe Multi-Cloud-fähige Datenmanagementplattform unterstützt die Identifizierung des Schadenumfangs mittels intuitiver Datenvisualisierungen und der Möglichkeit, ein Rollback mit Granularität bis auf Dateiebene durchzuführen. Mittlerweile gibt es auch SaaS-Anwendungen, die im Falle eines Cyberangriffs die Snapshots davor und danach vergleichen. Dadurch wird sofort sichtbar, ob die Angreifer etwas manipuliert oder gelöscht haben. Die Ergebnisse dieser Analyse sind auf einer Managementkonsole abrufbar, so dass genau ersichtlich ist, welche Daten an welchen Speicherorten wiederherzustellen sind. Die proaktive Anwendung von maschinellem Lernen auf die Metadaten ermöglicht es zudem, die Benutzer bei ungewöhnlichen Aktivitäten zu warnen.
Unveränderbare Datenarchitektur
Eine auf unveränderbare Daten ausgelegte Architektur kombiniert ein unveränderbares Dateisystem mit einem Zero-Trust-Cluster-Design. Alle Datenoperationen erfolgen ausschliesslich über authentifizierte APIs. Dabei ist stets die Kontrolle gewährleistet, welche Anwendungen Informationen austauschen können, wie jeder Datenaustausch abgewickelt wird und wie die Daten über physische und logische Geräte angeordnet werden. Für die Unveränderbarkeit sind eine logische Schicht (Patch-Dateien, Patch-Blöcke) und eine physische Schicht (Stripes, Chunks) verantwortlich.
Sämtliche eingehenden Client-Daten landen in einer proprietären Sparse- oder Patch-Datei. Dieses Prinzip nutzt Append-only Files (AOFs). Hierbei können Daten nur dann in die Patch-Datei aufgenommen werden, wenn diese als offen markiert ist. Das Speichern aller Snapshot- und Journal-Daten erfolgt zwingend mit der Verwendung von Patch-Dateien in der zugrundeliegenden Verzeichnisstruktur. Das Dateisystem verweigert Schreibvorgänge auf API-Ebene, etwa wenn der Schreibversatzwert (Write Offset Value) nicht der Dateigrösse entspricht. Das Dateisystem hat die vollständige Kontrolle darüber, wie und wo Daten von Clients geschrieben werden.
Backup-Daten müssen stets unverändert bleiben, anderenfalls sind sie im Ernstfall unbrauchbar. Um dies auszuschliessen, generiert das Dateisystem für jeden Patch-Block innerhalb einer Patch-Datei Prüfsummen und schreibt diese in eine Fingerprint-Datei, die zusammen mit der Patch-Datei gespeichert wird. Vor einer Datentransformation erfolgt immer eine Fingerabdruckprüfung, damit die Originaldatei während der Leseoperationen intakt bleibt.
Um einem Ransomware-Angriff entgegenzuwirken, gilt es, die ursprünglichen, validierten Daten aus dem Backup wiederherzustellen. Die Plattform verifiziert routinemässig die Patch-Blöcke anhand ihrer Prüfsummen, um die Datenintegrität auf der Ebene der logischen Patch-Blöcke zu gewährleisten. Entscheidend ist dabei, dass die Patch-Dateien keinen externen Systemen oder Kundenadministratorkonten ausgesetzt sind. Das grundlegende Prinzip ist, exakt das wiederherzustellen, was ursprünglich gespeichert wurde. Herkömmliche Backup-Lösungen hingegen gewähren administrativen Zugriff auf das Dateisystem, insbesondere in Kombination mit Allzweckspeichern. Daraus ergibt sich ein weiteres Einfallstor für Leakware und Datenexfiltration. Beim gängigen Ansatz werden die Daten, die sich im Backup-Ordner oder -Volume befinden, wiederhergestellt, ohne diese zu überprüfen.
Die zweite Schicht einer auf Unveränderlichkeit ausgelegten Datenarchitektur ist die physische Schicht. Während die logische Schicht für die Datenintegrität auf Dateiebene zuständig ist, dient die physische Schicht zum Schreiben von Daten auf dem unveränderbaren Cluster. Dies ist entscheidend für die Datenintegrität und Datenstabilität. Hierzu dient eine logische Unterteilung der Patch-Dateien in Segmente fester Länge, sogenannte Stripes. Beim Schreiben von Stripes berechnet eine AOF eine Prüfsumme auf Stripe-Ebene, die sie in den einzelnen Stripe-Metadaten speichert. Es folgt eine Unterteilung der Stripes in physische Chunks, die auf physischen Platten innerhalb des Clusters gespeichert sind. Prozesse wie die Replikations- und Löschcodierung erfolgen auf der Chunk-Ebene. Beim Schreiben jedes Chunks berechnet das Dateisystem eine Chunk-Prüfsumme und speichert diese in den Stripe-Metadaten neben der Liste der Chunks.
Herkömmliche Ansätze zur Clustersicherheit basieren oft auf einem Full-Trust-Modell, bei dem alle Mitglieder des Clusters miteinander kommunizieren können. Es erfolgt keine gegenseitige Authentifizierungsprüfung. Möglich ist mitunter der Zugang auf Root-Ebene und das Lesen und Ändern von Daten, die im Dateisystem gespeichert sind. Im Falle von kompromittierten Backup-Daten gibt es keinen Pfad zur Wiederherstellung.
Jeder Cluster weist eine bestimmte Anzahl von Knoten auf, die miteinander kommunizieren müssen. Jeder Knoten, der Daten austauschen möchte, muss daher validiert werden. Gängige Backup-Lösungen verzichten jedoch weitgehend auf einen Schutz der Kommunikation zwischen den Knoten. Bei einem unveränderlichen Dateisystem erfolgt die gesamte Kommunikation innerhalb der Knoten und zwischen den Clustern sowie mit externen Anwendungen über das TLS-Protokoll mit zertifikatsbasierter gegenseitiger Authentifizierung.
Ein wesentlicher Bestandteil einer solchen Architektur ist zudem das API-first-Design. An sämtlichen Endpunkten, die für den Betrieb der Lösung zum Einsatz kommen, ist eine Authentifizierung erforderlich, entweder über Zugangsdaten oder sichere Token. Hierzu zählen Umgebungen, die Rollen-basierte Zugriffskontrolle (RBAC) oder Multi-Tenancy-Funktionen verwenden, um die verwalteten Rollen, Funktionen und Ressourcen logisch aufzuteilen. Die CLI (Command Line Interface), SDKs (Software Development Kits) und andere Tools mit den gleichen Sicherheitsanforderungen nutzen allesamt diese API.
Defense in Depth
Ein auf unveränderbare Backups und schnelle Wiederherstellung ausgerichtetes Datenmanagementsystem ist ein wesentlicher Eckpfeiler einer Defense-in-Depth-Strategie. Dies hat entscheidende Vorteile für das Disaster Recovery, wie das Praxisbeispiel des in St. Gallen ansässigen Kranken- und Unfallversicherers Adcubum zeigt. «Wir haben ein einziges Rechenzentrum und waren bei unserer bisherigen Backup-Lösung immer besorgt, wenn es um Disaster Recovery ging. Mit unserer neuen Multi-Cloud-Data-Control-Lösung können wir unsere Daten 30 Tage lang in der Cloud archivieren, zugunsten von mehr Sicherheit und Stabilität.», so Patrik Fürer, IT Product Services bei Adcubum.
Effektive Cyber-Resilienz erfordert neben einem soliden Backup- und Recovery-Plan auch die schnelle Bereitstellung von Patches und die Schulung des Sicherheitsbewusstseins im Unternehmen. Eine Kombination aus unveränderbaren Backups und Zero-Trust-Cluster-Design fügt sich hier optimal ein. Bei modernen Bedrohungsszenarien wie etwa Ransomware ist dadurch gewährleistet, dass die intakten Daten jederzeit zugänglich sind und die Geschäftskontinuität stets aufrechterhalten werden kann.
Der Autor
Achim Freyer ist Regional Director Central and Eastern Europe (CER & EEUR) bei
Rubrik. Im Herbst 2019 stiess er zu Rubrik und übernahm dort zunächst die Rolle des Regional Sales Manager Alpine. In dieser Zeit gelang es ihm, das Wachstum von Rubrik in Österreich und der Schweiz zu verstetigen. Vor seinem Wechsel zu Rubrik war Achim Freyer – unterbrochen von mehrjährigen Engagements bei Orange und Ranger – insgesamt zwölf Jahre bei Dell EMC als General Manager Schweiz tätig.
