Back-up und Wiederherstellung
Die Strategie für den Plan B
Eine wachsende Anzahl von Ransomware-Vorfällen macht deutlich, wie wichtig der Schutz von Daten ist. Dabei spielt auch die Planung der Wiederherstellung eine zentrale Rolle. Denn um Geschäftsprozesse aufrechtzuerhalten, braucht es eine klare Strategie für das gesamte Unternehmen.
Probleme mit der Cybersicherheit sind Probleme, die die IT-Abteilung betreffen – so lautet eine der größten Fehleinschätzungen, die sich hartnäckig hält. Jede Cyberverletzung – ob durch Ransomware oder einen anderen Angriffstyp verursacht – ist meist ein übergreifendes Problem der Geschäftskontinuität. Dabei unterscheidet man zwischen zwei Arten von Unternehmen: diejenigen, die gehackt wurden, und diejenigen, die nicht wissen, dass sie gehackt wurden. Da absolute Sicherheit und die Unversehrtheit von Daten nie komplett garantiert werden können, müssen Unternehmen der Unvermeidbarkeit von Ransomware-Angriffen ins Gesicht sehen, vorausschauen und proaktiv für eine Wiederherstellungsstrategie sorgen. Die IT-Abteilung ist zwar ein wesentlicher Bestandteil dieses Prozesses, aber ein Business-Continuity-Plan umfasst auch andere Elemente als die Wiederherstellung von Daten und Anwendungen. Diese können ebenfalls ausschlaggebend dafür sein, ob eine Strategie erfolgreich sein wird oder nicht.
Strategie und Technologie gehen Hand in Hand
Wenn es um den Erfolg oder Misserfolg der Cybersicherheit geht, darf die Technologie nicht als Endpunkt betrachtet werden, sondern muss im Zusammenhang mit einer umfassenderen Strategie für die Geschäftskontinuität stehen. Vor und nach dem Einsatz von Antiviren- und Firewall-Lösungen zur Erkennung und Abwehr von Angriffen oder von Sicherungs- und Recovery-Lösungen zur Wiederherstellung von Daten sind mehrere Schritte zu gehen. Erstens muss eine klare Strategie festgelegt werden, wie das Unternehmen im Falle eines Cyberangriffs reagieren wird. Damit geht einher, dass die Entscheidungsfähigkeit der Führungskräfte rigoros getestet wird, um sicherzustellen, dass sie darauf vorbereitet sind, das Unternehmen durch ein solches Ereignis zu führen. Das Durchspielen von Worst-Case-Szenarien und die Erstellung eines Best-Practice-Leitfadens für die Reaktion, die Kommunikation und das weitere Vorgehen nach einem Cybersecurity-Ereignis kann für das Unternehmen von großem Nutzen sein.
Angesichts der Tatsache, dass mittlerweile immer öfter Unternehmen Ransomware zum Opfer fallen, braucht es ein stärkeres Bewusstsein für die Vorbereitung und die Vermeidung eines Vorfalls. Auch wenn dies für ein einzelnes Unternehmen kein alltägliches Szenario ist, passieren Zwischenfälle konstant. Deshalb sollte bereits im Vorfeld eine Strategie mit klaren Regeln, Rollen und Verantwortlichkeiten entwickelt werden. Dabei ist ein wichtiger Leitsatz, niemals Lösegeld-Forderungen nachzukommen. Dies sollte als Option von Vornherein ausgeschlossen werden. Es muss klar festgelegt sein, welche Schritte zur Behebung und Wiederherstellung unternommen werden. Welche Anwendungen müssen zuerst wieder online gebracht werden? Welche Daten sind am wichtigsten und müssen zuerst wiederhergestellt werden? Welche Informationen werden benötigt, bevor einzelne Interessengruppen informiert werden – wie etwa Mitarbeiter, Kunden, Partner, Aktionäre und Medien? Wer sind die wichtigsten Personen im Unternehmen, die über die Sicherheitsverletzung informiert werden müssen, und wissen diese, welche Rolle sie spielen müssen? Gibt es ein offizielles Dokument, in dem die Schritte zur Wiederherstellung dargelegt sind und die Kontaktdaten der Personen enthält, die an dem Prozess beteiligt sind? Geschäftskontinuität ist ebenso eine geschäftliche wie eine technologische Herausforderung.
Erweiterung bewährter Back-up-Regeln
Technologie ist keine Insel und darf nicht als alleiniger Schutz für ein Unternehmen vor Ransomware betrachtet werden. Es ist jedoch wichtig, dass die eigene Technologiestrategie angemessen umgesetzt wird. Das fängt bei den eigenen Mitarbeitern an und damit, dass jedem im Unternehmen die Best-Practice-Richtlinien an die Hand gegeben werden, um potenzielle Angriffe zu erkennen und eine sichere digitale Hygiene umzusetzen. Ein Test der Mitarbeiter, um zu sehen, wie sie auf Phishing-Links und -E-Mails reagieren, ist ein verlässlicher Weg, um die Botschaft zu vermitteln, dass Cyberangriffe oft durch die Hintertür ins Unternehmen eingeschleust werden und nicht immer unglaubliche technologische Kunststücke sein müssen. In dieser Phase ist sicherzustellen, dass die erste Verteidigungslinie so solide wie möglich ist.
Versagt alles andere, erfordert der Ransomware-Schutz eine integrierte Sicherheitsarchitektur von den Endpunkten bis zum Netzwerk und der Cloud, um Angriffe zu erkennen, zu korrelieren und zu beheben. Daten vom Back-up wiederherstellen zu wollen, vereinfacht den Prozess zu sehr. Als Folge führt eine falsche Wahrnehmung von Backup- und Wiederherstellungsmöglichkeiten zu Datenverlusten. Um den schlimmsten Fall zu vermeiden, ist ein Plan mit verifizierten, getesteten und sicheren Back-ups, die schnell wiederhergestellt werden können, der Schlüssel zum Umgang mit Ransomware-Angriffen. Die Back-up-Infrastruktur ist Teil des allgemeinen Cybersicherheitsplans und kann die letzte Option sein, um den Geschäftsbetrieb wieder aufzunehmen beziehungsweise aufrechtzuerhalten. Überprüfte und getestete Back-ups sind der erste Schritt zu einer erfolgreichen Wiederherstellung. Unternehmen befolgen hierfür meistens die 3-2-1-Regel. Diese empfiehlt, dass mindestens drei Kopien wichtiger Daten auf mindestens zwei verschiedenen Datenträgern vorhanden sein sollten, wobei mindestens eine dieser Kopien außerhalb des Standorts aufbewahrt wird. Doch gibt es auch eine Weiterentwicklung dieses Standards mit der 3-2-1-1-0-Regel. Diese empfiehlt eine zusätzliche Offline-Kopie, die unveränderlich und „air gapped“ gespeichert werden sollte – also logisch und physisch vom anderen System getrennt. Zuletzt sollte auch regelmäßig geprüft werden, dass es keine Fehler im Back-up gibt.
Die Investition in eine robuste Sicherungs- und Wiederherstellungsstrategie ist eine entscheidende Komponente in der Datenschutzstrategie. Unternehmen müssen sicherstellen, dass sie über die technischen Möglichkeiten verfügen, um Ransomware-Angriffe zu erkennen, zu entschärfen und zu beheben. Die Verantwortung liegt jedoch nicht nur bei der Technik. Die Geschäftskontinuität liegt in der Verantwortung des gesamten Unternehmens und seines Führungsteams. Da Cyberangriffe eine erhebliche Bedrohung für die Geschäftskontinuität darstellen, müssen sich Unternehmen akribisch auf solche bösartigen Vorfälle vorbereiten. Dazu gehören ein detaillierter Aktionsplan, klare Rollen und Zuständigkeiten sowie die erforderlichen Tools, um Ransomware-Angriffe zu verhindern, aber auch, um mit ihnen fertig zu werden, wenn sie unvermeidlich sind.
Edwin Weijdema, Global Technologist, Veeam
Lesen Sie mehr zum Thema
