Der Bereich „Cyber Protection" ist in den meisten Unternehmen durchaus ein Thema – wer würde heute noch ein Netz ohne Firewalls und Virenscanner betreiben? Der Bereich „Immutable Backup"1 jedoch wird erstaunlicherweise immer noch häufig ignoriert. Versicherungen gegen Cyberattacken fordern hier aber inzwischen von ihren Kunden Konzepte und rücken das Thema damit mehr und mehr in den Vordergrund. Das Erstellen von Wiederanlaufplänen ist je nach Komplexität der Infrastruktur schwierig und der Prozess aufwändig und dynamisch. Im Backup-Bereich lässt sich jedoch durch einige wenige – hier kurz angerissene – Maßnahmen die Sicherheit deutlich erhöhen.
Die Gefahr nimmt zu …
Cyberattacken haben laut BKA im Jahr 2022 allein in Deutschland einen wirtschaftlichen Schaden von 203 Milliarden Euro verursacht (siehe BKA - Listenseite für Pressemitteilungen 2023 - Veröffentlichung Bundeslagebild: über 130.000 Fälle von Cybercrime in 2022). Es muss daher im Interesse jedes IT-Verantwortlichen liegen, seine Infrastruktur auf die Resilienz gegen derartige Angriffe zu überprüfen oder überprüfen zu lassen und entsprechende Gegenmaßnahmen zu ergreifen.
Ein paar Daten und Fakten …
- Im Jahr 2022 waren laut dem Experten für Sicherheitssoftware, Sophos 67 % der deutschen Unternehmen von Ransomware-Angriffen betroffen – davon 93 % zumindest partiell erfolgreich.
- Immer mehr Cyberattacken versuchen auch, die Backupsysteme anzugreifen (laut dem Hersteller der Backupsoftware Veeam 95 % im Jahr 2022).
- Im Jahr 2023 wurden etwa 1.1 Milliarden Dollar Lösegeld gezahlt.
- Ein bekannter Textilhersteller und ein Fahrradhersteller mussten im Jahr 2023 nach Ransomware-Angriffen Insolvenz anmelden.
Warum ist das Thema Recovery so wichtig
Die Angriffsszenarien sind so vielfältig und so dynamisch, dass die Abwehr niemals 100 % Schutz bieten kann. Umso wichtiger ist es, dass man sich zumindest zu 100 % auf das Backup verlassen kann.
Der Schutz gegen Cyberattacken besteht aus zwei großen Bereichen:
- Abwehr der Attacke (Cyber Protection)
- Abwehr und Erkennung von Angriffen
- Regelmäßige Schulung der Mitarbeiter
- Recovery nach einem erfolgreichen Angriff
- Backup/Restore
- Koordinierter Wiederanlauf
Dieser Artikel beschreibt eine Möglichkeit zur Erstellung von „Immutable Backups". Jeder Hersteller von Backup-Software oder -Hardware hat hier inzwischen eine Lösung im Angebot. Die Backupkonzepte der meisten Firmen stammen jedoch aus einer Zeit, in der Cyberattacken eher selten waren. Sie wurden entwickelt, um einige klar definierte Ausfallszenarien (z. B. logische Fehler in der Datenbank, versehentliches Löschen von Daten oder Hardwareausfälle) abzudecken – ein mutwilliger Angriff auf die kompletten Datenbestände gehörte in der Regel nicht dazu.
An welcher Stelle schütze ich meine Daten
Eine Backupinfrastruktur besteht aus einer Vielzahl an Komponenten, die alle mehr oder weniger angreifbar sind. Die Schutzmechanismen sollten möglichst nah an den Daten – also am Backup Target – greifen. Hier geht es grundsätzlich darum, es einem Angreifer unmöglich zu machen, die gesicherten Daten zu verändern oder zu löschen. Hier müssen wieder zwei Möglichkeiten unterschieden werden – Backup2Disk und Backup2Tape.
Die schon vor vielen Jahren totgesagten Tapelibraries feiern unter dem „Immutability"-Aspekt durchaus ein Comeback – ein Tape, das im Tresor liegt, gilt gegen Angriffe von außen als „Immutable Backup". Moderne Backuptechnologien wie z. B. „block based backup" (z. B. notwendig für Exchange Backups on Premise oder VMWare Snapshots) sind mit tape-basierten Backuplösungen nicht möglich. Außerdem kann ein Angreifer nach einem erfolgreichen Angriff auf die Backupsoftware und mit genügend Zeit durchaus die nicht ausgelagerten Bänder löschen. Da Snapshotbackups des kompletten Servers nicht möglich sind, muss die Wiederherstellung grundsätzlich mehrstufig erfolgen (VM aufbauen, OS installieren (oder recovern), Applikation/Datenbank vom Tape zurückspielen. Dieser Prozess ist komplex sowie zeitaufwändig und daher für eine große Anzahl von parallelen Restores nicht praktikabel.
Backup2Disk Appliances bieten hier Vorteile – allerdings entfällt die Möglichkeit der Auslagerung und die Absicherung gegen Angreifer muss auf anderem Wege hergestellt werden.
Backup2Disk – aber sicher
Die Dell EMC Cyber Recovery Lösung bietet einen umfassenden Schutz2 – ist allerdings für kleine und mittelständische Unternehmen in den meisten Fällen überdimensioniert. Aufgrund der hohen Kosten pro gesichertem GB empfiehlt Dell, nur den wirklich unternehmenskritischen Teil der Daten mit dieser Technik abzusichern. Nur welche Daten sind wirklich unternehmenskritisch und lassen sie sich ohne großen Aufwand von den weniger wichtigen Daten trennen und separat sichern? Es bietet sich daher an, auf dem Kernstück dieser Lösung – die Data Domain – eine einfachere und kostengünstigere Lösung zum Schutz gegen Ransomware aufzubauen.
Natürlich gibt es eine Reihe von Backup2Disk Appliances oder Storagehersteller wie NetApp, die mehr oder weniger gute Sicherungen gegen unbefugtes Löschen anbieten – in diesem Blog wird jedoch ausschließlich die Dell EMC Data Domain (DD) Appliance betrachtet, die in den Dell EMC Backup Lösungen wie z. B. Networker das bevorzugte und am besten integrierte Ziel für Backup2Disk Sicherungen darstellt. Inzwischen haben auch andere Hersteller von Backupsoftware wie Veeam, Netbackup oder Commvault ihre Unterstützung für Data Domain-Systeme ausgebaut.
DDs werden in zwei Varianten angeboten – als Hardware Appliance oder als virtuelle Edition. Beide bieten nahezu gleiche Features. Unter dem „Immutable Backup"-Aspekt ist allerdings die Hardwarevariante zu bevorzugen, da sonst die Virtualisierungsschicht (z. B. VMWare) eine zusätzliche Angriffsmöglichkeit bietet.
Neben diversen Features, die man von einer modernen Backup2Disk Appliance erwartet, wurde in die Data Domains vor einigen Jahren die Funktion „Retention Lock" integriert. Diese Funktion macht die Data Domain zu einem „immutable Storage"3, indem sie zuverlässig verhindert, dass einmal gesicherte Daten vor Ablauf ihrer Aufbewahrungsfrist (Retention) verändert oder gelöscht werden. Hierzu erhalten die Daten beim Backup ein zusätzliches Attribut4, das von den durch die Backupapplikation verwalteten Aufbewahrungsfristen abweichen kann. Die Backupapplikation speichert dieses Attribut in ihrer Datenbank und muss sicherstellen, dass keine dem gesetzten Lock widersprechende Aktionen auf den gesicherten Daten durchgeführt werden. Dies ist jedoch nur für die Konsistenz der Backupsoftware notwendig - Dieses Attribut wird innerhalb der DataDomain verwaltet und lässt sich von außen nicht mehr (auch nicht durch die Applikation, die es gesetzt hat) verändern oder entfernen.
Eine vollständige Integration der Data Domain mit all ihren Features in die Backup-Software ist aktuell nur für Dell EMC Backup Produkte Networker und PPDM5 realisiert. Für Veeam, Netbackup und Commvault existiert in den neuesten Versionen zumindest eine Integration von Retention Lock – die meisten anderen Produkte (wie z. B. das Dell eigene Produkt Avamar) können allerdings ebenfalls von der Sicherheit durch Retention Lock profitieren. Hier wird dann innerhalb der DD die Retention Lock Zeit definiert – zusätzlich verwaltet die Backupsoftware wie gewohnt die Backups und löscht nach Ablauf der Retention Zeit. Durch die doppelte Verwaltung der Backups ist dieser Ansatz allerdings komplexer.
Retention Lock existiert in zwei Versionen: Retention Lock Governance und Retention Lock Compliance. Im Compliance Mode ist ein nachträgliches Verändern oder Löschen von Daten komplett ausgeschlossen – im Governance Mode mit administrativen Rechten auf der Data Domain möglich. Will man sich also gegen interne Angriffe zur Wehr setzen oder gibt es gesetzlich Anforderungen bezüglich der Absicherung von Backups, so ist der Compliance Mode zu bevorzugen. In den meisten Fällen wird jedoch Retention Lock Governance ausreichen.
Fazit
Der wichtigste Aspekt, nämlich die Unveränderbarkeit der gesicherten Daten, ist durch Aktivieren des Retention-Lock-Features gewährleistet. Die bewährten Backup-Konzepte müssen hierfür nicht oder nur geringfügig angepasst werden. Dadurch, dass vier der großen Hersteller von Backupsoftware (Veritas, Dell, Veeam und Commvault) DD Retention Lock unterstützen, ist die Integration in eine bestehende Umgebung meist ohne großen Aufwand möglich. Darauf aufbauend sind noch weitere Aktionen sinnvoll wie z. B.:
- Check der kompletten Infrastruktur auf ihre Recovery-Fähigkeit nach einem Angriff
- Check der Backupumgebung auf Sicherheitslücken
- Analyse der gesicherten Daten als zusätzliche Methode für die Erkennung von Angriffen
Dieser Artikel stellt nur einen „High-Level" Einstieg in das Thema dar. In den nächsten Wochen werden wir noch einen tiefergehenden Workshop anbieten, bei dem wir dann gerne auch auf Ihre Fragen eingehen werden. Sollten Sie jetzt schon Interesse an dem Thema haben, können Sie uns natürlich auch direkt kontaktieren.
Seminarempfehlung
LINUX SERVERHÄRTUNG UND SECURITY TESTING SEC-UX-01
Zum SeminarQuellen
[1] Unter „immutable Backup“ versteht man eine Datensicherung, die so geschützt ist, dass sie vor Ablauf ihrer Aufbewahrungsfrist weder gelöscht noch überschrieben oder verändert werden kann.
[2] Auszug aus dem Dell EMC Cyber Recovery Datenblatt: Dell Technologies is an early and committed member of the Sheltered Harbor initiative. The Dell PowerProtect Cyber Recovery for Sheltered Harbor solution meets all technical product requirements for participants implementing the Sheltered Harbor standard.
[3] Storage System, das in der Lage ist, die Anforderungen an ein „immutable Backup“ zu erfüllen
[4] Die DataDomain und damit auch ihr Filesystem basiert auf Linux und verwendet die atime für die Verwaltung der Aufbewahrungszeit
[5] Power Protect Data Manager. Von Dell EMC speziell für virtualisierte Infrastrukturen (private und public Cloud) entwickelte Backupsoftware