Franziska Hild
Ein guter Schutz vor Cyberattacken ist wichtig – dessen sind sich Unternehmen bewusst. Doch was tun, wenn es trotz der besten Vorsichtsmaßnahmen zu einem erfolgreichen Angriff und Datendiebstahl kommt? Dann sollten Firmen in der Lage sein, ihre Daten – und damit ihre Geschäftsfähigkeit – schnell wiederherzustellen. Dazu benötigen Unternehmen ein hohes Maß an Datenresilienz. Wie Firmen dies erreichen können, lesen Sie im Artikel.
13. März 2024
|
Lesedauer: ca. 4 Min.
Wer Schäden vermeiden will, sollte sich schon vor dem Sturm gut vorbereiten. Das gilt auch für Cyberattacken: Datenresilienz kann entscheidend dazu beitragen, den Datenverlust zu begrenzen und schnell wieder geschäftsfähig zu werden. Bild: © JSirlin/stock.adobe.com
Cyberkriminalität zählt heute zu den größten Risiken für Unternehmen weltweit. Allein in der deutschen Wirtschaft entstand im vergangenen Jahr durch Cyberattacken ein Schaden von 148 Milliarden Euro, so die Studie „Wirtschaftsschutz 2023“ im Auftrag des Digitalverbands Bitkom. Im Vorjahr betrug der Gesamtschaden noch 128 Milliarden Euro. Entsprechend gaben in der Studie acht von zehn befragten Unternehmen (82 Prozent) an, mit mehr Cyberangriffen auf ihre Organisation zu rechnen.
Das aktuelle Allianz Risk Barometer stuft Cybervorfälle sogar auf Platz eins der weltweit größten Risiken für Firmen in 2024 ein – noch vor Betriebsunterbrechungen und Naturkatastrophen. Am besorgniserregendsten unter den digitalen Bedrohungen bewerten die befragten Experten dabei Datenpannen.
Zu einem ähnlichen Ergebnis kommt eine IBM-Studie: Demnach geht es bei einem guten Drittel (32 Prozent) der Cybervorfälle um Datendiebstahl und Datenlecks. Dies zeige den Fokus der Angreifer auf Datendiebstahl statt auf Datenverschlüsselung für erpresserische Zwecke. Darauf sollten Unternehmen reagieren und einen Notfallplan zur Hand haben, falls es zu einem erfolgreichen Cyberangriff kommt.
Doch wie kann es gelingen, im Fall von Datendiebstahl oder -verlust weniger verwundbar zu sein? Das Stichwort lautet Datenresilienz.
Datenresilienz beschreibt die Widerstandskraft gegenüber Datenverlust sowie die Fähigkeit, IT-Betrieb und Geschäftsfähigkeit nach einer Datenpanne aufrechtzuerhalten – sei es nach einem Angriff, einem technischen Ausfall oder sonstigen Zwischenfällen. Im Unterschied zu vorbeugenden Security-Maßnahmen geht es bei Datenresilienz also um einen Notfallplan für die sichere und schnelle Wiederherstellung von Daten und unternehmenskritischen Prozessen – also um die sogenannte Recovery-Fähigkeit.
Im „NIST Cybersecurity Framework“ bildet Recovery bzw. die Wiederherstellung daher auch die letzte der fünf Security-Phasen – nach Identifizieren, Schützen, Erkennen und Reagieren (engl. Identify, Protect, Detect, React, Recovery).
Um als Unternehmen ein hohes Maß an Datenresilienz zu erreichen, braucht es eine entsprechende, widerstandsfähige IT-Architektur. Diese zeichnet sich durch folgende sechs Grundbausteine aus:
1. Berechtigungen: Dies umfasst unter anderem die Datenklassifizierung sensibler Dateien, Identitätsmanagement, Multi-Faktor-Authentifizierung und rollenbasierte Zugriffssteuerung.
2. Verschlüsselung: Dazu gehören zum Beispiel die Datenverschlüsselung während der Speicherung, die Verschlüsselung des gesamten Speicherinhalts, die „In App“-Verschlüsselung, Verschlüsselung kritischer Daten mit spezieller Datensicherheitssoftware sowie das Schlüsselmanagement zur sicheren Verwaltung von Encryption Keys.
3. Air Gap: Damit ist eine vollständige physische oder logische Trennung zwischen verschiedenen Datenressourcen gemeint, etwa zwischen kritischen und nicht isolierten Systemen und Backups. Eine solche Trennung lässt sich zum Beispiel durch Snapshots, Backups auf Band oder weitere, unabhängige Kopien an einem dritten Standort oder in der Cloud erreichen.
4. Immutable Snapshots: Dies bezeichnet die regelmäßige Erstellung unveränderbarer Kopien von Daten und Systemen auf Primärspeichersystemen. Dadurch ist es möglich nach einem erfolgreichen Angriff Daten wesentlich schneller wiederherzustellen. In der Regel werden Snapshots automatisiert nach einem festen Zeitplan und bei verdächtigen Aktivitäten erstellt. Das Scannen der Snapshots auf Malware und Testen der Wiederherstellungsfähigkeit garantiert eine saubere funktionsfähige Kopie für den Fall einer notwendigen Rücksicherung.
5. Drei+ Kopien: Resiliente Datensicherung setzt eine Datensicherungsstrategie voraus. Bei wichtigen Daten sollte stets das 3-2-1-Prinzip angewandt werden: d.h. es sollte mindestens drei Kopien geben, die auf zwei unterschiedlichen Medien und einem externen Backup gespeichert sind. Ergänzt werden sollte dies mit einer Routineprüfung der Integrität und Verfügbarkeit der Kopien, automatisierten Backups sowie der Definition klarer Wiederherstellungsverfahren für den Ernstfall.
6. Automatisierung: Darunter versteht man im Kontext von Resilienz, die automatisierte, ständige policy-basierte Wiederherstellung von Backups in gesicherten Umgebungen, sogenannten „Cleanrooms“. Dort werden virtuelle Maschinen nicht nur auf Wiederherstellfähigkeit geprüft, sondern auch auf Malware gescannt und KI-gestützt auf Anomalien untersucht. Dies stellt eine schnelle Wiederherstellfähigkeit ebenso sicher wie eine Compliance Dokumentation.
Zur Umsetzung einer datenresilienten IT-Umgebung bieten verschiedene Hersteller passende Lösungen an. Einer davon ist IBM: Das Unternehmen hat Speicherlösungen wie IBM Storage FlashSystem und IBM Storage Defender im Portfolio, die laut IBM maßgeblich zur Datenresilienz beitragen.
IBM FlashSystem etwa nutzt Flash-Speichertechnologie statt herkömmlicher Festplatten. Dadurch sind Daten schneller abrufbar, was zu einer beschleunigten Datenverarbeitung führt – so IBM. Somit sei die Lösung ideal für datenintensive Workloads geeignet. Durch integrierte, KI-gestützte Sicherheits- und Automatisierungsfunktionen könne die Lösung Anomalien und potenzielle Bedrohungen schnell entdecken sowie die Datenwiederherstellung nach einem Angriff erheblich beschleunigen.
Wie der Hersteller betont, sind Unternehmen mit IBM zudem in der Lage, Snapshots vom Primärspeicher sowie Backups im Sekundärspeicher in einem Cleanroom – der kontinuierlich auf Anomalien und Malware testet – zu überwachen und die Wiederherstellung zu garantieren.
Dafür arbeitet IBM eng mit seinem Partner für Cleanroom-Lösungen Predatar zusammen: So nutzt Predatar die sogenannte Shannon-Entropie: Eine mathematische Gleichung, mit der sich zufälliges oder ungewöhnliches Verhalten in Daten erkennen lässt. Bei Feststellung solcher Anomalien wird automatisch die letzte unversehrte Datenkopie wiederhergestellt, sei es aus den Snapshots oder dem letzten unversehrten Backup.
Wie Predatar hervorhebt, geht der mehrstufige Prozess über herkömmliche Scan-Methoden weit hinaus: Dieser nutze verschiedene Tools und Techniken. Dazu gehörten unter anderem Dateisignatur-Scans, maschinelles Lernen zur Erkennung von Verschlüsselung, In-Memory-Analysen zur Aufdeckung von dateiloser Malware, Verhaltensanalysen zur Bekämpfung von Skripten, Injektionen und Ransomware, Endpoint Detection and Response zur Erkennung und Entfernung bekannter Malware-Varianten, sowie die Überwachung von unveränderbarem Primär- und Sekundärspeicher. Darüber hinaus biete die Lösung von Predatar ständiges Monitoring, automatisierte Prozesse rund um Testing und Validierung – inklusive KI-gestützter “Signal”-Erkennung – sowie schnelle Recovery-Möglichkeiten.
Sie möchten Ihr Unternehmen auf den Ernstfall vorbereiten und Datenresilienz erreichen? In der hybriden Veranstaltung “NIST 2.0 – Cyber Resilienz schließt die Recovery Lücke” von CANCOM erfahren Sie, wie Sie die Lösungen von IBM und Predatar dazu nutzen können! Die Veranstaltung ist On Demand verfügbar – hier geht es zur Anmeldung.
Weitere Informationen zum NIST 2.0-Framework und dem Thema Datenresilienz erhalten Sie außerdem im Online-Seminar “Hacked?! Recovery mit CANCOM Resilienz Lösungen – schnell, sauber & vollständig”. Hier können Sie sich zur Veranstaltung, die On-Demand verfügbar ist, registrieren.
Darüber hinaus beraten Sie die Experten von CANCOM gerne zu den CANCOM-Leistungen für eine höhere Datenresilienz – darunter der CANCOM Rapid Response Service oder der Cyber Resilience Workshop.