Back-up
Die dunkle Seite der Macht
Die Zahl der Hackerangriffe steigt laufend. Wem die Skills fehlen, um diese selbst auszuführen, kann Attacken im Darknet in Auftrag geben.
Unterschiedliche Schutzklassen vom einzelnen Rack bis hin zum Sicherheits- und Hochverfügbarkeitsraum machen es möglich, dass Unternehmen ihre IT-Landschaft e Sicherheitsanforderungen ausbauen. Allerdings ergeben sich durch den dezentralen Ausbau mit Edge-Rechenzentren neue Anforderungen an die IT-Sicherheit.
Zentrale Sicherheits-Perimeter gibtes nicht mehr. Eine der Herausforderungen bei dem Aufbau von Edge-Infrastrukturen liegt darin, dass der Schutz eines zentralen Rechenzentrums über einen Perimeter-Ansatz nicht mehr funktioniert. Unternehmen betreiben mit Edge Computing eine hohe Zahl an verteilten IT-Systemen, wodurch sich die Angriffsfläche erweitert. Für den Security-Planer wird praktisch jedes Endgerät zu einem möglichen Sicherheitsrisiko, das es zu minimieren gilt. Unternehmen benötigen daher ein Konzept für die physische Sicherheit, das individuell den Aufstellungsort und den Nutzungszweck berücksichtigt. Zudem sollte es den schnellen und sicheren Aufbau einer IT-Infrastruktur auch standortübergreifend unterstützen.
Die passende Schutzklasse auswählen
Bei der Realisierung des Sicherheitskonzeptes sollten CIOs zunächst die Anforderungen an die IT-Leistung und den benötigten IT-Security-Level analysieren. Insbesondere wenn personenbezogene Daten verarbeitet werden, ist ein hoher Schutz des Rechenzentrums notwendig. Generell ist zu empfehlen, die Schutzklasse am tatsächlichen Sicherheitsbedarf auszurichten. Steht die Lösung beispielsweise in einer staubigen Produktionshalle, sollte diese mit Schutzarten bis IP55 gegen die Umweltbedingungen wie Staub, gegen vollständigen Berührungsschutz und gegen Strahlwasser gesichert sein. In einer normalen Büroumgebung wäre für ein IT-Rack die Schutzart IP20 ausreichend. Um den Schutz der IT-Komponenten auf Rack-Ebene weiter zu erhöhen, gibt es beispielsweise Sicherheits-Safes. Diese bieten eine zusätzliche Schutzhülle um ein Server-Rack herum und schützen die IT-Komponenten vor äußeren Einflüssen wie Feuer, Rauchgasen, Wasser, Staub und unbefugtem Zugriff.
Laut einer aktuellen Studie von KPMG wurden in den letzten zwei Jahren 40 Prozent der deutschen Unternehmen Opfer von Hackerangriffen. Ganze 28 Prozent davon konnten diese Angriffe abwehren, dennoch hat über ein Drittel Schäden davongetragen. Grund dafür ist, dass immer noch ein Großteil der deutschen Unternehmen – vor allem der Mittelstand – im sicherheitstechnischen Mittelalter feststeckt. Das ist ein Problem, da es nicht nur durch die beinahe allgegenwärtige Vernetzung jede Menge Einfallstore gibt. Auch das Darknet erhöht das Risikopotenzial.
Einen großen Hacker du suchst?
Im Darknet bekommt man legale Waren oder Services ebenso wie illegale. Zu letzterer Kategorie zählen Hackerdienste. Gestaffelt ab 250 US-Dollar (umgerechnet in Bitcoin) lassen sich Hackerservices mit einer definierten Leistungsbeschreibung buchen. Der Auftraggeber kann entscheiden, in welchem Umfang und mit welchem Ziel er einen Auftrag erteilt.
Nun lässt sich bei Nichterfüllung des Auftrags der Betrag nicht einfach auf offiziellem Wege zurückfordern. Zwar ist das Darknet zu einem gewissen Teil immer noch ein rechtsfreier Raum, allerdings ist es in Sachen Sicherheitsmechanismen dem normalen Internet weit voraus. Im Darknet werden Geschäfte nämlich über Treuhandservices, wie zum Beispiel Escrow abgewickelt. Der Verkäufer bekommt erst dann sein Geld, wenn der Käufer mit der erhaltenen Ware zufrieden ist. Die Bewertungen der jeweiligen Verkäufer sind im Gegensatz zu manchem gängigen Internet-Marktplatz „echt“, da der Käufer anonym ist und in der Regel von niemandem im Gegenzug wegen einer schlechten Bewertung behelligt werden kann. Während man auf unbekannten Darknet-Webseiten mit relativ hoher Wahrscheinlichkeit sein Geld verlieren wird, wiegt man sich auf den dortigen Marktplätzen in Sicherheit.
Es ist dann nur ein Klick auf die jeweilige Leistungsbeschreibung bei einem entsprechenden Anbieter für Hackerangriffe nötig, danach werden die Bitcoins an den jeweiligen Treuhandservice überwiesen und schon waltet der Hacker seines Amtes. IT- oder Programmierkenntnisse benötigt der Kunde nicht, um Schadware in großem Umfang zu verbreiten, das erledigt der Dienstleister aus dem Darknet für ihn.
Dass diese Services tatsächlich in Anspruch genommen werden, zeigt der Fall Mirai. Vergangenes Jahr wurde Mirai, einer der größten weltweiten Botnetze (Name für eine hohe Anzahl kompromittierter Computer, die ein Angreifer remote kontrollieren kann) als Service für gezielte Angriffe auf Unternehmensnetze auf Marktplätzen im Darknet angeboten. Bezahlt wurde nach Zeit und Bandbreite des Angriffs, das Ziel konnte wie üblich der Käufer bestimmen.
Im Wesentlichen werden aktuell sogenannte „Multi Vector Attacken“ mit Bandbreiten bis zu circa 370 Gigabit pro Sekunde (GbpS) und auch schon höher eingesetzt. Multi Vector Attacken benutzen gleichzeitig verschiedene Angriffstechniken. Die Angriffsziele sind in der Regel Banken, der Gesundheitssektor, Energieversorger, Flughäfen, der öffentliche Nahverkehr und ganze Länder, wie zum Beispiel Kambodscha im November 2018.
Ein Notfallplan muss her
Das Problem ist jedoch, dass die Führungsetagen bis dato nur eine geringe Sensibilität für sicherheitsrelevante Maßnahmen entwickelt haben. Zum anderen ist die Erkenntnis, dass alles mit allem vernetzt ist, bisher noch nicht überall angekommen.
Selbst einfache Maßnahmen, die keinen zusätzlichen Einsatz von weiterer Sicherheitssoftware erfordern, werden nur in Einzelfällen ergriffen. Beispiele hierfür sind Netzwerksegmentierung, kontinuierliche Updates, Schwachstellenanalyse, Security-Bewertung und ein IT-Notfallplan. Zur Erstellung eines Notfallplanes und einer Security-Bewertung gibt es mittlerweile ausreichend externe Unterstützung. Trotz eindeutiger gesetzlicher Regeln scheuen sich einige Unternehmen davor, diese in Anspruch zu nehmen.
Mit dem Back-up verhält es sich ganz ähnlich. Vor 35 Jahren dienten Datensicherungen lediglich dem Zweck, um bei einem Hardwaredefekt eine Festplatte zu reparieren und die Daten wiederherzustellen. Im Laufe der Zeit erweiterten sich die Anforderungen dahingehend, dass einzelne Files oder Dateien nach einer Datenlöschung oder nach einer versehentlichen Veränderung wiederhergestellt werden mussten. Hinzu kam die Forderung nach einem hierarchischen Datenmanagement, kurzfristiger Verfügbarkeit und Geschwindigkeit für das jeweilige Back-up-Zeitfenster. Heutzutage ist das Back-up die Lebensversicherung für jedes Unternehmen – einerseits wegen gesetzlicher Anforderungen und andererseits für das Desaster Recovery.
Ich bin hier, um Sie zu retten
Als Unternehmen bezahlt man am Ende des Tages den Preis für seine Nachlässigkeit. Deshalb sollte man sich nicht allein damit zufriedengeben, mittels eines Back-ups Daten wiederherstellen zu können. Vielmehr sollten Back-up und Restore in ein ganzheitliches Sicherheitskonzept einbezogen werden. Wenn im Falle eines Hackerangriffs Tage oder möglicherweise sogar Wochen benötigt werden, um die Daten wiederherzustellen, dann ist etwas nicht richtig gelaufen. Im Hinblick auf diese Themen lassen sich Kosten in beträchtlichem Umfang vermeiden und einsparen. Für diesen Zweck muss aber klar sein, welche der Daten oberste Priorität genießen und welche davon lediglich ein einfaches Back-up benötigen.
Besonders wichtige Daten sollten nicht unbedingt in der Cloud liegen, wenn man darauf im Notfall keinen Zugriff mehr hat. Dies sollte beispielsweise in einem ISMS (Information Security Management System), das Regeln und Methoden in einem Unternehmen definiert, festgelegt werden.
Michael Babylon ist Geschäftsführer und Thomas Rettig ist Director Customer Services bei MTI Technology
Lesen Sie mehr zum Thema
