Datensicherheit mit Backups und Replikation

bei

 / 19. April. 2021

Im Zuge der Corona-Pandemie stehen viele Unternehmen vor der Herausforderung, dass sich zahlreiche Mitarbeiter im Homeoffice befinden. Neben der Frage, wie sich diese in das Unternehmensnetzwerk einbinden lassen, spielt auch die Datensicherung eine zentrale Rolle.

Natürlich fallen auch im Homeoffice viele Daten an oder ein Rechner geht mal kaputt. Damit steigen in den Unternehmen auch die Anforderungen und Kosten für Backup und Recovery, also die Sicherung und Wiederherstellung dieser Daten.

Backup und Replikation werden fälschlicherweise oft synonym verwendet. Beim Backup werden zu festgelegten Zeitpunkten Kopien von Daten erstellt und aufbewahrt für den Fall, dass das Original verloren geht oder zu Schaden kommt. Replikation hingegen fertigt sofortige Kopien von Dateien nahezu in Echtzeit an und stellt sie dann im Rechenzentrum oder in der Cloud bereit.

Zuverlässige Schutz gegen Ransomware

Ransomware ist eine Schadsoftware für Hacker-Angriffe, bei denen die Datenspeicher des angegriffenen Unternehmens verschlüsselt werden, um Lösegeld zu erpressen. Hackergruppen agieren heutzutage wie kleine Unternehmen. Bei den meisten Angriffen ist damit zu rechnen, dass sich der Angreifer früher oder später persönlich auf dem angegriffenen System einloggt, um tief in das Unternehmensnetzwerk einzudringen. Die Angreifer wissen: Wenn sie nicht an die Backups kommen und sie verschlüsseln oder löschen können, dann ist die Zahlungsbereitschaft des angegriffenen Unternehmens eher gering.

Daraus folgt: Backups müssen besonders geschützt werden. Oder anders gesagt: Es geht darum, Backups vor dem Administrator schützen. Denn was der Administrator kann, etwa Backups löschen, dass kann ein versierter Angreifer früher oder später auch. Die Lösung besteht darin, die Daten im Cloudspeicher so schützen, dass nicht mal das Unternehmen selbst sie ändern kann. Neudeutsch heißt das Immutability, also Unveränderlichkeit.

Amazon AWS etwa bietet für seine S3-Speicher ein Object Lock mit Zeitstempel an. Das lässt sich dann so konfigurieren, dass die Daten beispielsweise 30 Tage lang unveränderbar bleiben. Die Daten in der Cloud sind somit sicher. Bleibt die Frage, wie sich das lokale primäre Backup schützen lässt, das On-Premises im Unternehmensnetzwerk liegt? Die Lösung heißt Linux. Denn Linux-Dateisysteme, wie ext4, unterstützen ein „immutable flag“, das Dateien unveränderlich macht. Wenn dazu noch SSH abschaltet ist und grundsätzlich keine Root-Zugriffe erlaubt sind, dann lässt sich so mit Standard-Hardware ein guter Schutz gewährleisten.

Kontinuierlicher Schutz der Daten

Snapshots im VMware-Umfeld belasten die Systeme sehr stark. Lösungen, wie Veeam Backup & Replication v11, beherrschen eine Funktion namens Continuous Data Protection (CDP): Dabei geht es um eine Replikation von virtuellen Maschinen, die Recovery-Punkte im Sekundenbereich ermöglicht. Dabei entstehen keine Snapshots, sondern der Datenverkehr wird abgezweigt und gespiegelt.

Wichtige Kennzahlen bei einer Backup-Lösung sind Recovery Time Objective (RTO) und Recovery Point Objective (RPO). Bei RTO geht es darum, wie schnell sich Daten wieder bereitstellen lassen. Es bezieht sich auf die Ausfallzeit und stellt dar, wie lange die Wiederherstellung nach dem Vorfall dauert, bis der normale Betrieb für die Benutzer wieder verfügbar ist. RPO bedeutet, wie viel Datenverlust entsteht, wenn etwas wiederhergestellt wird. Ein Backup um Mitternacht führt um drei Uhr nachmittags zu 15 Stunden Datenverlust. Das Ziel besteht darin, bei beiden Werten möglichst nahe an null zu kommen. CDP ermöglicht dies und bietet sich somit vor allem für die kritischsten Anwendungen. Moderne Lösungen schlagen mehrere Fliegen mit einer Klappe: Backup, VM-basierte Replikation, Storage Snapshots und Continuous Data Protection.

Backup-Archive in der Cloud

Ein weiteres Stichwort heißt „Archive to Cloud“, also Backups in die Cloud auslagern. Doch eine langfristige Aufbewahrung in der Cloud kostet normalerweise richtig viel Geld. Das muss nicht sein, wenn man den richtigen Speicher auswählt. Sehr günstigsten Speicherplatz, um Backups langfristig aufzubewahren, bietet etwa AWS S3 Glacier Deep Archive. Er kostet nur einen Bruchteil des herkömmlichen S3-Speichers. Stand März 2021 belaufen sich die Kosten auf 0,00099 Dollar pro Gigabyte und Monat gegenüber 0,021 Dollar für S3. Dafür dauert die Bereitstellung von Daten wesentlich länger als bei den teuren Varianten, was bei Backup-Archiven zu verschmerzen ist. Microsoft bietet Ähnliches unter dem Namen Azure Archive Cold Storage.

Nach wie vor gültig ist die 3-2-1-Regel. Das bedeutet, Unternehmen sollen über drei Kopien der Daten verfügen, auf zwei unterschiedlichen Medien, wobei eine Kopie in einem externen Standort lagert. Im Kontext zu Ransomware lohnt es sich zudem, die 3-2-1-Backup-Regel um eine 1 und eine 0 zu erweitern und hier kommen die „immutable flags“ wieder ins Spiel: Eine dieser Kopien sollte nämlich „immutable“ sein, also unveränderlich oder besonders widerstandsfähig, und somit vor Ransomware oder Insider-Angriffen sicher – das ist die 1. Dies kann beispielsweise durch die Nutzung der S3 Object-Lock Funktionalität von Cloud-Providern geschehen, oder aber durch ein Backup, das mit aktivierter Insider Protection über Cloud Connect zum Service Provider hin ausgelagert wird. Natürlich stellt auch das althergebrachte „Tape“ einen guten Schutz dar, sofern die Bänder regelmäßig ausgelagert und aktualisiert werden. Dazu kommen sollten regelmäßige Tests, ob sich die Daten auch wiederherstellen lassen – das bringt die 0 aufs Tablett. Sie steht sprichwörtlich für „Null- Fehler“ bei der Wiederherstellung. Das lässt sich erreichen durch kontinuierlich ausgeführte und automatisierte Wiederherstellungstests und Antiviren-Scans der Backups. Letzteres kann sehr einfach durchgeführt werden, wenn eine entsprechende Funktion in der jeweiligen Sicherheitslösung bereits integriert ist.

Arbeiten mit Backups

Die Bedeutung von Backups zum Zweck der Datensicherung hat sich als wichtige Aufgabe in den Unternehmen etabliert. Doch das ist nur eine Seite der Medaille. Die Backups sollten nicht nur Backups in Form von toten Daten sein, mit denen man nichts mehr anfangen kann, sondern Unternehmen haben die Möglichkeit, mit den gesicherten Daten zu arbeiten. Backups lassen sich etwa in einer Sandbox starten, um Migrationen zu testen, Patches auszuprobieren oder Mitarbeiter zu schulen. Eine gute Idee könnte auch sein, Backups mit Virenscannern zu untersuchen. Im Zuge der Backup-Strategie müssen sich die Unternehmen überlegen, welche Daten am wichtigsten sind und welche Wiederherstellungsart dazu passt. Hinzu kommt die allgegenwärtige Gefahr durch Ransomware-Attacken und der neuen Masche der Doppelten Erpressung. Dabei werden Daten nicht nur verschlüsselt, sondern zuvor einige wichtige gestohlen und mit der Veröffentlichung gedroht, sollte das Lösegeld nicht bezahlt werden. Einerseits hilft eine Mikro-Segmentierung des Netzwerks enorm, um sich über die IT-Architektur effektiv gegen Ransomware zu schützen, andererseits sind gute Backup- und Wiederherstellungsfunktionen ebenso unverzichtbar. Liegt ein gut gepflegtes Backup vor, können verschlüsselte Systeme sofort wiederhergestellt werden, um den Schaden durch Verschlüsselung abzuwenden, und gestohlene Daten sind wenigstens nicht ausschließlich in der Hand der Hacker. So holen sich Unternehmen die Möglichkeit zurück, tätig zu werden, statt nur Opfer der Attacke zu sein.

Backups als Service

Viele Unternehmen haben den Charme der Idee erkannt, Backups an einen Service Provider auszulagern. Das geht so weit, dass manche Service Provider dem Kunden eine Blackbox hinstellen. Der Kunde hat damit nichts mehr am Hut, der Service Provider kümmert sich um alles. Das ist insbesondere für kleine und mittlere Unternehmen interessant, bei denen IT vielleicht nicht zur Kernkompetenz zählt, oder die entsprechenden Geldmittel und Fachkräfte für selbstverwaltete Lösungen schlicht fehlen. Das Angebot der Service Provider nennt sich dann Backup-as-a-Service (BaaS) und Disaster-Recovery-as-a-Service (DRaaS). Hier gilt es natürlich genau auszuwählen, welcher Service Provider diese sehr wichtige Aufgabe übernehmen darf, denn es handelt sich immerhin um wichtige Vermögenswerte des Unternehmens, die nun in dessen Obhut übergehen. Zuverlässigkeit spielt im Bereich der Datensicherung und des Datenmanagements stets eine sehr hohe Rolle.

 

Über den Autor / die Autorin:


Andreas Dumont arbeitet seit dem Jahr 2000 als Fachzeitschriftenredakteur und war seitdem in mehreren Verlagen angestellt. 2019 hat er sich als freier Journalist und Autor selbstständig gemacht.