Keine Lösung von der Stange
Techniken für eine Cyber-Recovery-Strategie
Cyber Recovery ist ein wichtiger Teil der Business Continuity und dürfte wohl die einzig wirksame Versicherung für Unternehmen sein, um sich vor den Auswirkungen einer Ransomware-Attacke zu erholen. Cyber Recovery beschreibt spezielle Schutzkonzepte gegen Cyberangriffe auf Backup-Systeme, ist jedoch kein Standardprodukt, das man einfach installieren kann. Es ist Teil einer umfassenden Strategie, die mehr als nur die IT-Abteilung im Unternehmen einbezieht.
Cyber Recovery ist ein Teil der Business-Continuity-Strategie, die je nach Unternehmensgröße und Komplexität der Infrastruktur einen nicht unerheblichen Aufwand bedeutet. Diese Strategie besteht im Wesentlichen aus sechs Phasen: Planung, Teamdefinition, Informationsaufbereitung, Technikauswahl und Implementierung und vor allem Tests.
Planung: Die Planung der Cyber Recovery setzt voraus, dass die Unternehmen neben der Wichtigkeitsbewertung unterschiedlicher Abteilungen genau wissen, welche Systeme welche Priorität haben. In einer komplexen Umgebung ist bei einem Recovery-Fall nicht davon auszugehen, dass sich alle Systeme gleichzeitig wiederherstellen lassen.
Eine Priorisierung und die Abhängigkeiten der Systeme voneinander sind entscheidend, um im Notfall den Geschäftsbetrieb schrittweise wieder anzufahren – die kritischen Systeme zuerst, im Anschluss folgen alle anderen.
Cyber-Recovery-Team: Die beste Planung hilft nichts, wenn im Notfall die eine Hand nicht weiß, was die andere tut. Daher ist es wichtig, ein Team und dedizierte Verantwortlichkeiten zu definieren. Nur so lassen sich komplex aufgebaute oder verteilte Rechenzentren mit den Daten der Cyber-Recovery-Backups schnell wieder hochfahren.
Informationen zur Infrastruktur: Entscheidend für Cyber Recovery ist das Wissen über die Infrastruktur. Welche Server, welche Datenbanken, welche Applikationen sind für das Unternehmen besonders wichtig, und vor allem: wer ist der Spezialist für diese Systeme? Sind externe Dienstleister hinzuzuziehen, weil diese bestimmte Systeme betreiben? Dazu gehören Managed-Service-Provider (MSPs) und Cloud-Anbieter ebenso wie interne Spezialisten, die beispielsweise das Industrial Internet of Things (IIoT) für die Produktion im Unternehmen beherrschen.
Technikauswahl implementieren und testen: Die passende Technik für Cyber Recovery müssen Verantwortliche individuell für die IT-Struktur des Unternehmens auswählen. Ist die passende Technik implementiert, kommt ein besonders wichtiger Teil des Cyber-Recovery-Plans: das Testen. Ohne Tests können Unternehmen nicht sichergestellen, dass die eingesetzte Technik und das Team auch tatsächlich in der Lage sind, in einem Notfall die Daten und Applikationen in geplanter Zeit wiederherzustellen. Im Zweifel hat man viel Budget und Ressourcen investiert, und schlussendlich scheitert die Umsetzung an einer Kleinigkeit, die man ohne vorherige Tests leicht übersieht.
Mittel zur Realisierung
Cyber Recovery ist dann wichtig, wenn die Security-Systeme einen Ransomware-Angriff nicht abwehren oder vereiteln konnten. Gemeinhin haben die meisten Unternehmen eine gute und funktionierende Backup-Strategie, die unter normalen Umständen, beispielsweise bei einem Hardwarefehler oder beim unbeabsichtigten Löschen von Daten sehr gut hilft, die Informationen wiederherzustellen. Moderne Ransomware ist jedoch Tage und Wochen vor der eigentlichen Verschlüsselungsattacke im Firmennetz und hat dort auch die Backups im Visier. Es ist also das primäre Ziel, die Backups vor einer Verschlüsselung zu schützen.
Eine wirksame Methode ist das Klassifizieren der Backups in den passiven Datenschutz für klassisches Disaster Recovery und den aktiven Datenschutz für Cyber Recovery. Für Disaster Recovery sieht das 3-2-1-Backup-Prinzip vor, drei Kopien der Daten auf zwei unterschiedlichen Medienformaten zu speichern sowie eine Kopie extern. Die ersten beiden Kopien dienen dem schnellen Recovery, da sich diese von im Netzwerk befindlichen Speichern sehr schnell wiederherstellen lassen. Die dritte externe Kopie schützt Daten vor einer größeren Katastrophe beispielsweise einem kapitalen Brand. Jedoch befinden sich alle Kopien aktiv im Netzwerk und sind für die Ransomware erreichbar.
Erst wenn man diesem Prinzip eine weitere eins hinzufügt (3-2-1-1), die für eine zusätzliche für Ransomware unerreichbare Kopie der Daten steht, ist man auch gegen Verschlüsselung der Backups geschützt. Ab hier findet die aktive Datensicherung für Cyber Recovery statt. Dafür existieren Lösungen wie beispielsweise mit Tape, Disk oder über die Cloud.
- Techniken für eine Cyber-Recovery-Strategie
- Drei Lösungsvarianten
Lesen Sie mehr zum Thema
