Ein Leitfaden von Oliver Kustermann, CIO der mentIQ
In der heutigen Zeit ist es eine der wichtigsten Aufgaben in der IT, sich vor Cyberkriminellen zu schützen. Der Schutz kann an mehreren Stellen erfolgen, indem man seine Netzwerke sicherer gestaltet und primäre Systeme mit Schutzmechanismen ausstattet. Allerdings kann man damit einen Angriff und die Verschlüsselung von Daten nicht zu 100% verhindern. Letztlich bleibt nur das Backup als letzte Instanz für die Wiederherstellung und das Umgehen von Lösegeldforderungen, wobei man, selbst wenn man darauf eingeht, nie sicher sein kann, ob man seine Daten wirklich wiederbekommt oder sich sogar strafbar macht.
Wir bei mentIQ beschäftigen uns damit, wie Backups erstellt werden können, die für Hacker absolut unantastbar sind und im Ernstfall schnell wiederhergestellt werden können. Bei „schneller Wiederherstellung“ ist zu beachten, dass man zunächst keinen Zugriff auf seine Systeme mehr hat, da ein Cyberangriff in Deutschland meldepflichtig ist. Solange das Bundeskriminalamt den Vorfall untersucht, hat außer den Beamten niemand Zugang zu den produktiven Systemen. Auch produktive und primäre Backupsysteme können betroffen sein. Das bedeutet, dass man möglicherweise mehrere Tage warten muss, bevor man überhaupt mit den ersten Schritten zur Wiederherstellung der Daten beginnen kann!
Um diesen Umstand zu vermeiden und frühzeitig wiederherstellungsfähig zu sein, ist ein Ansatz die Einrichtung eines Cyber Vaults. Was verstehen wir darunter? Ein netzwerktechnisch getrenntes System, das nur in kurzen Intervallen eine Verbindung zur Produktion herstellt, um einen Datenabgleich der wichtigsten Systeme zu erstellen. Anschließend wird die Verbindung getrennt - dieses Verfahren nennt man auch Vault mit Air-Gap.
Der Vault sollte auch eine Standby-Version der Backup-Applikation und etwas Infrastruktur, den sogenannten Clean Room, enthalten, um im Falle eines Cyberangriffs oder auch für Übungszwecke die wichtigsten Systeme wiederherstellen zu können. Sollte es also zum Cyber Angriff mit Verschlüsselung der produktiven Daten kommen, kann bereits im Clean Room mit der Wiederherstellung begonnen werden und die Daten von Schadsoftware bereinigen, während das Bundeskriminalamt noch mit der Tatbestandsaufnahme beschäftigt ist.
Das mag alles sehr kompliziert und aufwendig klingen, aber mit der hier beschriebenen konkreten Lösung lässt sich dies mit geringem Aufwand einrichten. Im Falle eines Tests oder im Ernstfall ist man in 15 Minuten bereit, mit der Wiederherstellung der ersten Maschinen im Clean Room zu beginnen. Magie? Nein, Realität! Mit diesen drei Elementen lässt sich das bewerkstelligen:
PowerProtect Data Manager Appliance DM5500
PowerProtect Data Domain als Vault Storage
PowerProtect Cyber Recovery im Vault Network
Wie sieht die Konfiguration aus?
Die DM5500 Integrated Apppliance (Backupsoftware Power Protect Data Manager und Storage in einer Einheit) befindet sich in der primären Infrastruktur und sichert täglich die Produktionsumgebung.
Features wie Retention Lock sorgen dafür, dass die Backupdaten für die Zeit der Aufbewahrungsfristen unveränderlich sind. Nur mit physikalischem Zugang zur Appliance könnte ein Hacker den Daten zu Leibe rücken – aber typischerweise geschehen Ransomware Angriffe aus der Ferne.
Für die Einrichtung eines Vaults wird eine zusätzlich DataDomain Appliance in einem separaten Netzwerk benötigt. Dieses Vault-Netzwerk hat nur eine einzige Punkt-zu-Punkt-Verbindung von der DM5500 zum DataDomain Vault Storage. Ansonsten sind diese Netzwerke völlig getrennt.
Im Vault befindet sich die Cyber Recovery Software, die den Datentransport der letzten Sicherungen und das Air-Gap kontrolliert. Auch hier werden die Daten durch das Retention Lock Feature geschützt, so dass die Backup-Daten nie verändert werden können. Eine zusätzliche Sicherheitsmaßnahme auch wenn die Wahrscheinlichkeit dafür nicht sehr hoch ist.
Im Falle einer Cyber Wiederherstellung, sei es ein Test oder ein akuter Vorfall, stellt die Cyber Recovery Software die Backup-Infrastruktur automatisch wieder her und ist innerhalb von 15 Minuten bereit, um mit den Restores der produktiven Daten im Vault zu beginnen.
In diesem Szenario wird durch den Cyber-Recovery Server die Funktion "Sandbox Application" ausgelöst, wobei das Air-Gap fest verschlossen und aus dem letzten Konfigurationsbackup der produktiven Backup-Software eine 1:1-Kopie im Vault erstellt wird. Dabei wird die Konfiguration so angepasst, dass die Backup-Software die DataDomain im Vault so sieht, als wären die Daten dort ursprünglich geschrieben worden. Der gesamte Vorgang dauert etwa 15 Minuten.
Nach diesen 15 Minuten kann mit der Backup-Software im Vault, in diesem Fall PowerProtect Data Manager, mit der Wiederherstellung begonnen werden. PowerProtect Data Manager bietet für diesen Fall auch sogenannte Restore-Pläne, die bereits in der produktiven Umgebung vorbereitet werden können und dann im Vault zur Ausführung zur Verfügung stehen.
Man muss also nur noch seinen Restore-Plan ausführen und hat dank Technologien wie Instant Access innerhalb weniger Minuten Zugriff auf ein Abbild der Produktionsumgebung im Vault.
Da es sich bei den Softwareprodukten um moderne Applikationen mit REST APIs handelt, können alle diese Schritte auch automatisiert werden – sowohl das Erstellen der Sandbox-Applikation, Durchführen der Restores und auch das Cleanup lässt sich damit realisieren, damit man bei einem erfolgreichen Test wieder zum Ausgangspunkt zurückkehrt und bereit für einen neuen Test ist!
Genauso lässt sich der Automatismus in einem Cyber Fall anwenden und man muss nicht erst in Handbüchern lesen, wie die Vorgehensweise ist, sondern startet einfach sein Ablaufskript.
Oliver Kustermann, CIO der mentIQ