Sichere Backups implementieren
Alle in diesem Artikel dargestellten Informationen und Beispiele sind lediglich Implementierungsempfehlungen zur Gewährleistung sicherer Backups gemäß den Richtlinien von Stoïk.
Es ist wichtig zu beachten, dass dieser Artikel und die zitierten Anleitungen nicht vertraglich bindend sind.
Jedes Unternehmen ist im Falle eines Cyberangriffs schwerwiegenden Folgen ausgesetzt, wie dem Verlust von Geschäftsdaten und der Verfügbarkeit, was die Geschäftskontinuität beeinträchtigt. Wenn solche Situationen auftreten, wird die Wiederherstellung des Informationssystems zu einer großen Herausforderung für die Wiederaufnahme der Geschäftstätigkeit. Der Erfolg dieser Wiederherstellung hängt hauptsächlich von der Qualität und Häufigkeit der auf dem Informationssystem durchgeführten Backups ab.
Sichere Backups implementieren
Sichere Backups implementieren
Sichere Backups implementieren
Sichere Backups implementieren
Sichere Backups implementieren
Unter welchen Bedingungen kann man die Stoïk-Cyberversicherung in Anspruch nehmen?
Die Stoïk-Cyberversicherung stellt während des individuell gestalteten Underwriting-Prozesses strenge Anforderungen an Backup-Richtlinien, die durch die Tätigkeit, den Umsatz oder die Risikoexposition des Unternehmens definiert werden. Wir verlangen, dass mindestens ein wöchentliches Backup
offline gespeichert
oder auf einem unveränderbaren Speicher Gerät
⇒ mit einer Mindestaufbewahrungsfrist von zwei Wochen.
Wenn Backups nicht offline oder unveränderbar sein können, ist eine andere, weniger empfohlene Option möglich: "sicheres Backup". Das Backup bleibt physisch verbunden, muss jedoch die folgenden Anforderungen erfüllen:
Backup-System außerhalb der AD-Domäne
Backup-System durch eine Firewall vom restlichen Netzwerk getrennt
Löschen/Ändern von Backups ist nur über eine durch MFA gesicherte Weboberfläche möglich.
Mit anderen Worten: Selbst mit einem Administratorkonto in Ihrem Netzwerk sollten Sie Backups nicht löschen können. Bei Ransomware-Vorfällen kompromittieren Angreifer höchstwahrscheinlich Active-Directory-Domain-Administrator-Konten und Ihre Cloud-Administrationskonten. Deshalb ist es essenziell, dass Backups selbst bei solchen Rechten nicht gelöscht werden können.
Arten von Backups
Offline-Backups
Externe Festplatten, USB-Sticks, vom Netzwerk getrennte NAS, Magnetbänder (LTO, DLT)
Höchstes Sicherheitsniveau gegen einen Angreifer, der das IS kompromittiert hat, da Backups über das Netzwerk nicht zugänglich sind.
✅
Unveränderbare Online-Backups (Cloud)
Cloud-Dienste mit Unveränderbarkeitsfunktionen (AWS S3 Object Lock, Azure Blob Storage mit WORM-Sperre)
Obwohl Backups online zugänglich sind, verhindern Unveränderbarkeitsfunktionen unautorisierte Änderungen und bieten einen robusten Schutz.
✅
Online-Backups (On-Premise oder Rechenzentrum)
Remote-Backup-Server mit streng kontrolliertem und eingeschränktem Netzwerkzugang
Weniger sicher als Offline-Backups, bietet aber einen angemessenen Schutz gegen Angriffe, wenn der Netzwerkzugang vom Unternehmen isoliert ist. Z. B.: Spezifisches VLAN, getrennt von Active Directory, Zugriff auf die Umgebung beschränkt auf einen Administrator mit MFA)
✅ / ⛔
Nicht-unveränderbare Online-Backups (Cloud)
Cloud-Dienste wie Dropbox, Google Drive, Microsoft OneDrive ohne WORM-Sperre
Obwohl einfach zu verwenden, sind Backups online zugänglich und potenziell angreifbar.
⛔
Lokale Backups
Interne oder angeschlossene Festplatten, inkrementelles Backup auf lokalem Server, RAID-Spiegelung
Am wenigsten sichere Lösung gegen einen Angreifer, der das IS kompromittiert hat, da Backups lokal gespeichert und leicht kompromittierbar sind.
⛔
Gesichert*: Dieser Begriff bezieht sich auf die Absicherung von Backups im Falle eines standardmäßigen Ransomware-Angriffs, der darauf abzielt, alle Daten des Unternehmens zu löschen.
Beispiele für Offline-Backup-Lösungen
Magnetbänder (LTO, DLT)
Zwischen mindestens zwei Bändern rotieren, sodass immer ein Band vom Informationssystem getrennt ist.
Vom Netzwerk getrennte NAS
Periodisch ein NAS mit dem Netzwerk verbinden, um das Backup durchzuführen, und es dann trennen. Zwischen mehreren NAS-Geräten wechseln, damit jedes Gerät die neuesten Änderungen erfasst. Wenn NAS-Geräte nicht für Backups verwendet werden, vom Netzwerk trennen.
Externe Festplatten oder USB-Sticks
Das externe Gerät periodisch an den Backup-Server anschließen, das Backup durchführen und es dann trennen. Zwischen mehreren Geräten wechseln, damit jedes Gerät die neuesten Änderungen erfasst. Wenn die Geräte nicht für Backups verwendet werden, trennen und an einem sicheren Ort aufbewahren.
Beispiele für unveränderbare Backups
Beispiele für unveränderbare Backup-Lösungen/-Dienste mit Cloud-Hosting
Acronis Cyber Protect Cloud
Cloud Storage Version >= 4.7.1 Agent-Version >= 21.12 Unveränderbarkeit wird vor diesen Versionen nicht unterstützt.
Beispiele für unveränderbare Backup-Lösungen/-Dienste mit lokaler Bereitstellung
Veeam Linux Hardened Repository
Veeam Version >= 11 Unveränderbarkeit wird vor Version 11 nicht unterstützt. Sicherheits-Hardening muss rund um den Speicher-Server durchgeführt werden (siehe Dokumentation).
Synology
Beispiel für nicht gesicherte Backups im Falle einer Kompromittierung
Dropbox
Gelöschte Dateien werden in den Papierkorb verschoben, wo sie wiederhergestellt werden können, aber diese Wiederherstellungspunkte können ebenfalls gelöscht werden.
Sharepoint
Onedrive
Google Drive
Unveränderbares NAS
Die Unveränderbarkeit des NAS wird durch eine Software-Schicht bereitgestellt, die auf dem Betriebssystem installiert ist: die Zerstörung der Festplatten durch das System oder des Systems selbst bleibt möglich.
Ausgelagertes Rechenzentrum mit permanenter Netzwerkverbindung
Diese Art der Auslagerung ähnelt einem lokalen Dateiserver: Im Falle eines Ransomware-Angriffs wird die Datenvernichtung auch innerhalb des Rechenzentrums über die eingerichtete Netzwerkverbindung durchgeführt.
Nicht-unveränderbarer Cloud-Speicher
Wenn der Zugriff auf das Administratorenkonto in der Cloud kompromittiert wird, kann der Angreifer einfach den Speicher und die Backups löschen.
Zuletzt aktualisiert
War das hilfreich?