Doppelt hält besser: Mit einem Backup auf der sicheren Seite

Ein Backup (deutsch Datensicherung) ist eine Kopie von Daten mit der Absicht, diese im Fall eines Datenverlusts wiederherstellen zu können.

Die vom BSI ausgerufene höchste IT-Bedrohungslage Rot sorgte Ende letzten Jahres in der Security-Szene für ein heilloses Durcheinander. Viele Administratoren und IT-Verantwortliche schoben Extraschichten am Wochenende, um den Folgen der Sicherheitslücke Log4Shell in den eigenen Systemen nachzugehen und den Schaden möglichst gering zu halten. Log4Shell gilt rückblickend als eine der größten Softwareschwachstellen, die es je gegeben hat. Die Schwachstelle in der Java Logging-Bibliothek Log4j ist deswegen so bristant, weil Java überall enthalten ist – in Amazons AWS, in der Google Cloud Platform sowie in der Apple iCloud, in Microsoft Azure, VMware, in Produkten von Atlassian, Cisco und Oracle sowie in Web-Diensten wie Wikipedia und Twitter. Angreifer konnten aus der Ferne Server attackieren, auf denen die entsprechende Log4j-Version betrieben wurde. Eine Authentifizierung war nicht nötig. Es war ein Leichtes, beliebigen Schadcode in das Log eines Programms zu schreiben. Dank des darin implementierten JNDIs interpretierte Log4j diesen von außen stammenden Code und lies ihn ausführen. Den Angreifern gelang es somit die vollständige Kontrolle über den Server sowie angeschlossene Geräte zu erhalten, sensitive Informationen zu stehlen oder zu manipulieren.

Der Fall zeigt, wie weit verbreitet und gleichzeitig verborgen Sicherheitslücken sein können. Obwohl Ende Dezember die IT-Branche alles dafür tat betroffene Systeme aus dem Verkehr zu ziehen und abzusichern, wird vermutet, dass es eine große Dunkelziffer von Systemen gibt, die unbemerkt kompromittiert wurden. Angreifer hatten lange genug Zeit die Schwachstelle unbemerkt auszunutzen, bevor die Lücke geschlossen wurde. Problematisch ist, dass in diesem Fall das Patchen der Schwachstelle Log4Shell nicht ausreicht. Viele vermeintlich sichere Systeme könnten bereits von Eindringlingen eingenommen sein, die zielgerichtete Angriffe mit Verschlüsselungstrojanern und Erpressungsversuchen vorbereiten.

Ist der Verschlüsselungstrojaner erst einmal ausgeführt, sind alle Daten weg.

Angreifer verschlüsseln immer häufiger die Daten von Institutionen in mehrstufigen Angriffen, um Lösegeld zu fordern. Im vergangenen Jahr beobachtete das Bundesamt für Sicherheit in der Informationstechnik einen Anstieg von kriminellen Erpressungsmethoden. Hierbei wurde vor allem auf die sogenannte Double Extorsion gesetzt, bei der neben der Verschlüsselung mit der Veröffentlichung von gestohlenen Daten gedroht wird.

Angriffe durch böswillige Hacker oder sonstige Informationssicherheitsvorfälle, wie Datenverlust durch Unachtsamkeit oder technischen Defekt, sind mittlerweile nicht mehr auszuschließen. Man kann sich trotzdem schützen, indem man sorgsam mit seinen Daten umgeht und diese frei nach dem Motto „Doppelt hält besser“ lieber ein Mal zu viel als ein Mal zu wenig sichert.

Die aktuellen Entwicklungen sollte jeder zum Anlass nehmen, sich seiner persönlichen Backup-Routine zu widmen. Nicht nur Privat, sondern auch im professionellen Umfeld, sind regelmäßige Datensicherungen leider noch nicht selbstverständlich. Dem Praxisreport des DsiN (Deutschland sicher im Netz e.V.) zufolge, führte 2020 ein Viertel der befragten KMUs keine oder nur unregelmäßige Backups durch. Auf dieses Missverhältnis macht der Welt-Backup-Tag am 31. März jährlich aufmerksam. Er soll daran erinnern, re­gel­mäßig für die Sicherheit der eigenen Daten zu sorgen. Definieren Sie Ihren eigenen Rhythmus – und denken Sie nicht nur am 31. März an die Sicherung Ihrer Daten.

Gegen was sollen die Daten geschützt werden?

Bevor mit einer willkürlichen Datensicherung begonnen wird, muss zunächst die Frage beantwortet werden, gegen welche Arten von Verlust die Daten geschützt werden sollen. Zwar trägt eine Spiegelung von Daten, zum Beispiel durch ein RAID-System, zur Verfügbarkeit von Daten und Systemen bei, doch handelt es sich dabei nicht um ein Backup im eigentlichen Sinne. Wer eine Festplattenspiegelung im Einsatz hat und eine Datei versehentlich löscht, der wird diese Datei auf beiden Festplatten löschen, da auf beiden Datenträgern zur gleichen Zeit die gleichen Operationen ausgeführt werden. Folglich kann die Verwendung eines RAID-Systems das Erstellen von Backups nicht ersetzen. Bedrohungen wie Feuer, Überflutungen, technisches Versagen, Diebstahl oder Verlust lassen zudem einige Anforderungen an Daten­sicher­ungen erkennen: Ein Backup sollte auf einem qualitativ hoch­wer­tigen Datenträger an mindestens einem weiteren, räumlich weit genug entfernten Standort gelagert werden, der vor Feuer, Wasser und Diebstahl sicher ist.

Wie schnell muss eine Wiederherstellung stattfinden?

Neben der Frage, vor welchen Bedrohungen ein Schutz bestehen soll, muss im Rahmen des Business Continuity Managements (BCM) auch geklärt werden, wie schnell das Backup wiederhergestellt werden muss und wie groß der Datenverlust maximal sein darf. Zwei Kennzahlen spielen hier eine wichtige Rolle: die maximal tolerierbare Ausfallzeit (MTA) und der maximal tolierbare Datenverlust (MTD). Zur Veranschaulichung beider Begriffe unterstützen uns zwei einfache Beispiele: Wird auf einem Server ein Dienst betrieben, der für die Steuerung einer Anlage benötigt wird, können bereits Dienst­unter­brechungen im Sekunden- oder Minutenbereich hohe Schäden verursachen. Die maximal tolerierbare Ausfallzeit ist also sehr gering. Hochverfügbarkeit, also die Fähigkeit eines Systems trotz eines Ausfalls einzelner Komponenten den Betrieb zu gewährleisten, muss durch adäquate Techniken wie re­dundante Dienst­aus­legung und Hot-Standbys gewährleistet werden.

Anders stellt sich die Situation im zweiten Beispiel dar: Angenommen wir sprechen vom zentralen E-Mail-Server eines Unternehmens, das Kundenanfragen per E-Mail erhält und verarbeitet. Im Falle eines Ausfalls würden unmittelbar hohe Kosten entstehen, da keine weiteren Kundenanfragen entgegen­ge­nom­men werden könnten. Die maximal tolerierbare Ausfallzeit würde also maximal im niedrigen Stundenbereich liegen. Ein möglicherweise entstehender Datenverlust würde allerdings zum Verlust der aktuell sich in Bearbeitung befindlichen Aufträge führen. Bereits der Verlust der Daten der letzten 24 Stunden wäre für das Unternehmen also sehr kostspielig. Backups müssten demnach in sehr kurzen Zeitabständen erfolgen, um den Frust auf Seiten der Kunden und die Verluste des Unternehmens im Rahmen zu halten. Der maximal tolerierbare Datenverlust wäre in diesem Beispiel also als gering einzuschätzen.

Wie sollen Datensicherungen rotiert, gespeichert und gelöscht werden?

Sind beide Anforderungen geklärt, stehen die meisten Admins unmittelbar vor der nächsten Hürde: Wie genau sollen Datensicherungen rotiert, also angelegt, gespeichert und nach Ablauf ihrer Gültigkeit wieder gelöscht werden? In der Praxis hat sich das sogenannte Generationenprinzip oder auch Großvater-Vater-Sohn-Prinzip bewährt. Hierbei werden mehrere Sicherungsgenerationen nach einem bestimmten Schema parallel vorgehalten, um eine möglichst weitreichende Sicherung in die Vergangenheit zu erreichen und gleichzeitig den Bedarf an Speicherplatz und damit die Kosten im Rahmen des Machbaren zu halten. Das Generationenprinzip lässt sich prinzipiell auf alle Arten von Backups anwenden.

Ein einfaches Beispiel für eine Datensicherung nach dem Generationenprinzip wäre wie folgt: Zunächst werden tägliche, als "Sohn" bezeichnete Sicherungen der Daten angelegt und – je nach ermitteltem MTD – mit einer bestimmten Aufbewahrungsfrist versehen. Am Ende jeder Woche wird ein weiteres Wochenbackup erstellt, das als "Vater" bezeichnet wird und mit einer abweichenden, in der Regel längeren Aufbewahrungsfrist versehen wird. Nach vier Wochen wird ein Monatsbackup – der "Großvater" – erstellt, der wiederum für eine bestimmte Zeit aufbewahrt wird.

Gerade die aktuell akute Bedrohung durch Verschlüsselungstrojaner macht die Vorteile des Ge­nerationen­prin­zips deutlich. Bleibt die Malware unentdeckt und schafft es, mehrere Backups der "Sohn-" oder sogar der "Vater"-Generation zu verschlüsseln, so bleibt trotzdem eine größere Chance, dass aus den Vorwochen noch ein integeres Backup übrig ist. Ohne Anwendung des Ge­nerationen­prin­zips wäre dies nur unter hohen Kosten möglich, da Tagesbackups für einen sehr langen Zeitraum aufbewahrt werden müssten.

Voraussetzung hierfür ist natürlich, dass Backups auf einen anderen Server als dem Befallenen übertragen wurden und dieser ausreichend vor einem sich im Netzwerk ausbreitenden Angreifer geschützt wurde. Grundlage hierfür ist ein ausgeklügeltes Netzwerkkonzept, das durch aus­reichen­de Segmentierung und Härtung der Systeme sicherstellt, dass sich Angreifer nicht un­ge­hindert im Unter­nehmens­netz­werk ausbreiten können. Backups sollten dabei ähnlich wie die Kronjuwelen nur für besonders privilegierte Benutzer erreichbar sein.

Welche Arten von Backups sind geeignet?

Je nachdem, wie häufig Daten sich ändern, können unterschiedliche Herangehensweisen für Datensicherungen gewählt werden. Unter einer Komplettsicherung versteht man eine Kopie aller zu sichernden Daten. Sie ist Ausgangspunkt für differenzielle oder inkrementelle Sicherungen, die zu einem späteren Zeitpunkt erfolgen. Bei der differenziellen Sicherung werden nur diejenigen Dateien gesichert, die sich seit der letzten Komplettsicherung verändert haben, was Speicherplatz spart. Noch platzsparender ist das inkrementelle Backup, bei dem nur die Daten gesichert werden, die sich seit dem letzten inkrementellen Backup verändert haben. Gerade in Zeiten von Virtualisierung kommt der Speicherabbildsicherung eine wachsende Rolle zu. Bei dieser Art des Backups wird der gesamte Datenträger, beispielsweise die Festplatte oder die Partition, gesichert, was auch eine sehr rasche Wiederherstellung ermöglicht.

Bestimmte Systeme haben spezielle Anforderungen an die Art und Weise, wie eine Sicherung durch­ge­führt werden kann. Um Inkonsistenzen bei Datenbanken zu vermeiden, kann es sein, dass diese vor einer Sicherung heruntergefahren werden muss. In diesem Fall spricht man von einem Cold Backup. Im Gegensatz hierzu kann bei einem Hot Backup eine Sicherung der Datenbank im laufenden Betrieb hergestellt werden. Dabei sollte jedoch technisch sichergestellt werden, dass die Konsistenz aller Daten im Speicherabbild sicher­ge­stellt wird, wenn eine Sicherung im laufenden Betrieb durchgeführt wird.

Ist das Backup verschlüsselt und funktionsfähig?

Die Speicherung von Backups in der Cloud erfreut sich immer größerer Beliebtheit. Leistungsfähigere Internetleitungen und günstige Preise für Cloud Speicher erlauben die Speicherung von Datensicherungen off-site (außerhalb des Standorts), wobei die Sicher­stellung der Vertraulichkeit der Daten besonders relevant wird. Grundsätzlich sollten Backups verschlüsselt werden, insbesondere wenn sie in der Cloud liegen. Dies beugt dem Daten­dieb­stahl von Backup-Datenträgern vor und ist ohnehin eine häufige re­gula­torische Anforderung.

Aller Aufwand für die Datensicherungen ist umsonst, wenn im Fall der Fälle die Wieder­her­stellung der Backups nicht funktioniert. Deshalb ist es wichtig nach der Erstellung einer Sicherung diese auf ihre Konsistenz hin zu überprüfen, wofür das Sicherungs­pro­tokoll wichtige Hinweise liefert. Schließlich bringen aber nur regelmäßige Wiederherstellungsversuche das Vertrauen in den Backup-­Prozess. Bei einem Wiederherstellungsversuch auf einem Testsystem kann man erkennen, ob alle Daten problemlos hergestellt werden, wie lange der Versuch dauert und ob es zu unvorhergesehenen Problemen kommt.

Haben Sie für den Ernstfall vorgesorgt?

Datensicherungen sind eine wesentliche Komponente eines Sicherheitskonzepts. Werden Daten durch Verschlüsselungstrojaner, einen technischen Defekt oder höhere Gewalt zerstört, kann dies schwerwiegende Folgen haben. Klären Sie, gegen welche Bedrohungen Sie Ihre Daten schützen müssen und wie schnell eine Wiederherstellung stattfinden muss. Wer ein Auge auf regelmäßige, verschlüsselte und wiederherstellbare Datensicherungen hat, ist für den Ernstfall gut gewappnet.