Backup und Security sind zwei verschiedene IT-Disziplinen. Doch zu Datensicherheit und Datenschutz können beide beitragen: sowohl zum Schutz von Informationen als auch zur Bedienung der Rechte von Kunden auf informationelle Selbstbestimmung im Sinn der DSGVO.

Ransomware bleibt eine der gefährlichsten Bedrohungen für die Hauptressource eines Unternehmens – die Information. Gerade im Jahr 2017 war die Erpressung von Lösegeld durch Verschlüsselung in aller Munde. Bei 17 Prozent der Befragten einer Arcserve-Studie vom März 2018 unter 600 Teilnehmern aus Amerika, Japan und Europa galt die Hauptsorge im Bereich Datensicherheit dem Risiko einer Ransomware-Attacke. Dies verwundert nicht angesichts der Tatsache, dass Unternehmen nach Prognosen bis zum Ende des Jahres 2018 alle 40 Sekunden, Ende 2019 schon alle 14 Sekunden von einem Ransomware-Angriff betroffen sein sollen.

Datensicherungen, Archivierungslösungen und Hochverfügbarkeitslösungen können diese Verschlüsselungsangriffe natürlich nicht verhindern: Unternehmen müssen sich durch Antiviren-Software, konsequente Verwaltung seitens der Administratoren, Patches und Updates sowie Mitarbeitersensibilisierung wappnen. Der IT-Security kommt es zu, Verschlüsselungsangriffe zu vermeiden.

Backup und Disaster Recovery spielen aber ebenfalls eine wichtige Rolle, da sich nicht jeder Angriff abwehren lässt. Korrekt implementierte, verwaltete und auf ihre Funktionsfähigkeit getestete Backup-Prozesse sorgen dafür, dass Informationen im Angriffsfall immer noch auf einer nicht verschlüsselten, aktuellen und funktionsfähigen Sicherung von Informationen und Systemen zur Verfügung stehen – und Erpressungsversuche damit ins Leere laufen.

Welche Kriterien muss aber eine Datensicherung mit sich bringen, um gegen Verschlüsselungsattacken zu schützen?

Entscheidend ist die Offline-Auslagerung zumindest einer Sicherungskopie, die außerhalb der Reichweite der Angreifer ist und damit auch beim erfolgreichen Angriff auf Systeme im Klartext verfügbar bleibt. Schon die Entnahme von Tape-Backups entzieht die Sicherung den Angriffen. Bänder haben aber Defizite bei der schnellen Wiederherstellung von Daten und dem exakten Aufrufen von Wiederherstellungspunkten. Wer einen möglichst aktuellen Datenstand nach einem Ransomware-Angriff wiederherstellen will, braucht andere Lösungen.

Punktgenaue Wiederherstellung

Um nach einem Zwischenfall Daten schnell wieder für ein System verfügbar zu machen, bieten Hochverfügbarkeitslösungen die Wiederherstellung von Systemzuständen, wobei sich Wiederherstellungspunkte von vor wenigen Minuten genau ansteuern lassen. Nach einer Verschlüsselungsattacke ermöglicht eine Hochverfügbarkeitssicherung deshalb zum Beispiel die Wiederherstellung des Informationsstatus des Zeitpunkts, unmittelbar bevor der Virus aktiv wurde. Die Rücküberspielung erfolgt dann punktgenau und schneller als bei einer Tape-Sicherung.

Wenn ein Administrator einen zweiten Replikations-Server einrichtet, der remote gesteuert und von einem anderen Account – am besten in einer anderen Domäne als der erste Replikations-Server – verwaltet wird, entzieht er diese zweite Sicherung mit einer gewissen Wahrscheinlichkeit der Reichweite eines Angreifers und macht Systeme und Anwendungen zugleich schnell wieder verfügbar. Einen zusätzlichen Schutz bieten übrigens auch Cloud-basierte Sicherungen. Die Cloud stellt weitere Hürden für die Angreifer dar.

Wer die 3-2-1-Regel befolgt, entzieht in der Regel zumindest eine Datensicherung der Reichweite eines Ransomware-Angreifers. Bild: Arcserve

Datensicherungen von Hochverfügbarkeitslösungen lassen sich nicht immer vom Rest der Unternehmens-IT abkoppeln, weil sie eine schnellere Wiederherstellung aktueller Daten ermöglichen sollen. Für mehr Sicherheit empfiehlt sich daher die Beachtung der 3-2-1-Regel. Sie besagt, dass ein Unternehmen drei Sicherungskopien anlegen soll. Davon sind zwei Kopien an unterschiedlichen Orten gesichert, von denen dann einer offline ist. Diese regelmäßig angelegte Kopie ist dann die Rückversicherung gegen Verschlüsselungsangriffe.

Wichtig ist, dass der IT-Verantwortliche Sicherungen regelmäßig auf ihre Verwertbarkeit überprüft. Denn oft kann man auf Daten nicht zurückgreifen, weil Backups oder Replikationen beschädigt sind. Automatisierte Recovery-Tests sorgen an dieser Stelle für ein hohes Maß an Sicherheit.

Auch beim Schutz von Anwenderdaten und der Einhaltung der Bestimmungen der DSGVO unterstützen Backup- und Archivierungslösungen. Sicherlich sind die Vorschriften der DSGVO so umfassend, dass diese Lösungen nicht allein die Konformität der Datenspeicherung mit diesen Vorgaben garantieren können. Sie helfen aber Unternehmen dabei, Daten unveränderlich zu sichern, auf Anfrage von EU-Bürgern nach ihnen zu suchen, sie zu löschen oder sie weiterzugeben.

E-Mail-Archivierung

Eine wichtige Rolle spielt dabei die E-Mail-Archivierung, da gerade in diesem Medium viele sensible Informationen gesammelt werden – und nicht selten nur hier. Ein zusätzlich eingerichteter Server für die Archivierung von E-Mails erhält per Journal-E-Mail-Weiterleitung alle ein- und ausgehenden E-Mails. Diese Weiterleitung sorgt für eine automatische, damit zeitgerechte, unveränderbare und immer vollständige Sicherung der Korrespondenz, ohne dass man einen zusätzlichen Client im System installieren muss. Ein solcher Server sollte dabei verschiedenste Plattformen wie Office 365, MS Exchange, Google Mail, Domino sowie On-Premise- und Cloud-Mail-Server bedienen.

Eine rollenbasierte Verwaltung sorgt dann für einen geregelten Zugriff auf die E-Mails – was den Einsatz eines Archivierungs-Servers auch im Rechenzentrum eines Cloud-Dienste-Anbieters ermöglicht. Hier hat ein Superadmin-Account dann zum Beispiel nur Kompetenzen für die Verwaltung der Systeminfrastruktur, ohne Zugang zu den persönlichen Daten zu haben, während ein Mitarbeiter-Account nur Zugriff auf die eigenen Mails hat.

Die Archivierung von Nachrichten mit Single Instance Storage (SIS) sorgt für eine effiziente Sicherung der Daten, weil eine E-Mail an mehrere Adressaten nur einmal abgespeichert wird. Zugleich fungiert eine solche Sicherung als Mailbox-Recovery-Lösung. Für Suche, Export und Weiterleitung einschlägiger E-Mails bei einer etwa unter Berufung auf das Recht auf Vergessenwerden und die DSGVO gewünschten Löschung der Daten liest sie aus dem Archiv-Server über eine filternde Schnittstelle Metadaten wie Absender, Empfänger, Betreff, Sende- und Empfangsdatum aus. Zudem ist eine Indexierung mit Volltextindex für das spätere Finden von Textinhalten in Nachricht oder Anhang möglich.

DSGVO-konforme Datenlöschung

In Bezug auf Datensicherheit unterstützt ein solcher Server die Einhaltung der DSGVO-Kriterien mehrfach: Sollte ein Kunde etwa durch Kündigung seines Vertrages mit einem Anbieter seine Einwilligung in die Datenerhebung zurückziehen, kann der Administrator umgehend die den Kunden betreffenden E-Mails identifizieren und löschen, so die DSGVO-Konformität unterstützen und damit helfen, Sanktionen zu vermeiden.

E-Mail-Archivierungstopologie im Überblick. Bild: Arcserve

Flexible Wiederherstellungsoptionen von Daten ermöglichen die Berücksichtigung berechtigter Interessen des Unternehmens. Ein Administrator kann – berechtigterweise – vom Löschen absehen, wenn zum Beispiel aus rechtlichen Gründen – wie etwa in einem laufenden Prozess – Anforderungen für Aufbewahrung und/oder Unveränderbarkeit von Daten bedienen muss. In diesem Fall darf ein Unternehmen laut DSGVO – auch bei eingefordertem Recht auf Vergessen – die Daten archivieren, aber nicht wiederherstellen.

Zudem lassen sich E-Mails auch nach Standort, Bereich oder Abteilung filtern. In einem Land der EU generierte E-Mails werden dann getrennt von einer in den USA generierten Mails je nach geltenden Datenschutzvorschriften archiviert und verwaltet.

Auch zur Erfüllung weiterer Kriterien der DSGVO kann E-Mail-Archivierung beitragen. Eine Verschlüsselung der Mails bei der Sicherung unterstützt bei richtiger Implementierung etwa die Forderung nach „Privacy by Design“. Ein Reporting aller Aktivitäten über Ort und Zeit der Sicherung sowie Retention Reports, die belegen, wie lange Kopien der Datensicherung aufbewahrt und wann sie zerstört werden, unterstützen die Unternehmen bei Erfüllung der Vorgaben der DSGVO zur Dokumentation der Einhaltung von Datenschutzbestimmungen. In keinem Fall dürfen die notwendige Hinzuziehung professioneller rechtlicher Beratung und die Bestellung eines internen oder externen Datenschutzbeauftragten unterbleiben.

Sven Haubold ist Territory Account Director bei Arcserve, www.arcserve.com