Mobile-Menu

Vom Backup-Produkt zur Backup-Lösung Schutzziele für die IT-Sicherheit praktisch erklärt

Von Karim Mandouri*

Anbieter zum Thema

In der IT wird allzu häufig von Lösungen gesprochen. Dabei werden Lösungen immer noch mit der reinen Implementierung bestimmter Produkte verwechselt. Im Fall der Datensicherung ist es nicht zuletzt entscheidend, sich mit den Schutzzielen auseinanderzusetzen.

Im Fall der Datensicherung ist es entscheidend, sich mit den Schutzzielen auseinanderzusetzen.
Im Fall der Datensicherung ist es entscheidend, sich mit den Schutzzielen auseinanderzusetzen.
(Bild: gemeinfrei / Pixabay )

Was bedeutet eine Lösung im Kern? Eine Lösung bietet die Möglichkeit, ein Problem zu überwinden. Eine Lösung steht also immer im Bezug zu einer oder mehreren Herausforderungen. Was bedeutet das im Zusammenhang mit dem Thema Backup?

Zunächst gilt es zu verstehen, dass die meisten Herausforderungen nicht nur technisch, sondern auch organisatorisch begründet sind. Um eine Backup-Lösung erfolgreich einzuführen und zu nutzen, müssen sowohl technische als auch organisatorische Herausforderungen berücksichtigt werden.

Stellen Sie sich vor, Ihre wichtigste Anwendung steht für zwei Tage nicht zur Verfügung. Was würde dies für Sie bedeuten? Welche Personen müssen im Notfall zur Verfügung stehen? Wie ist der Ablauf bis zur Wiederherstellung? Funktionieren die Wiederherstellungen technisch?

Das Hauptziel einer Backup-Lösung ist es, Dienste (Dateidienst, Applikationen et cetera) möglichst bald nach einem Ausfall, einem Löschvorgang oder einer Veränderung wieder starten zu können. Damit eine Wiederherstellung der Daten zeitnah möglich ist, muss klar sein, welche technischen und organisatorischen Maßnahmen zu ergreifen sind und dass die Lösung auch in der Praxis funktioniert. Hierbei kommen die IT-Schutzziele ins Spiel. Wer sich mit dem Thema IT-Sicherheit auseinandersetzt, stößt auf die folgenden Schutzziele: Vertraulichkeit, Integrität, Verfügbarkeit, Zuverlässigkeit, Verbindlichkeit.

Diese müssen erfüllt sein, damit eine Lösung den IT-Sicherheitsstandards entspricht.

Die Begriffe erscheinen zunächst sehr theoretisch und allgemein. Daher werfen wir im Folgenden einen Blick auf diese Begriffe, um zu klären, was damit in der Praxis gemeint ist und wie sie im Kontext der Datensicherung zu verstehen sind.

Vertraulichkeit

Hier ist der Schutz vor unbefugtem Zugriff gemeint. Eine Trennung der Segmente (Produktion und Backup) ist sinnvoll, da Sie so genau steuern können, wer Zugriff auf das jeweils andere Netzwerk erhält. Es gibt verschiedene Möglichkeiten, das Produktions- von dem Backup-Netz zu trennen. So lassen sich, wenn man eine virtuelle Umgebung betreibt, die Netze durch virtuelle Netzwerke trennen (VLANs).

Eine andere Möglichkeit: Der Speicher, auf den das Backup-Tool schreibt, wird außerhalb einer Management-Domain betrieben. Damit vermeiden Sie, dass sich jemand am Speicher mit infizierten Domänenzugangsdaten authentifiziert und gegebenenfalls alle vorhandenen Sicherungen löscht.

Generell empfiehlt es sich zusätzlich, alle Sicherungen zu verschlüsseln, die außerhalb des Unternehmens gelagert werden. So stellen Sie sicher, dass die Daten ohne den zugehörigen Schlüssel nicht lesbar sind.

Ein weiteres Thema sind physische Zugänge zur Hardware, die gegebenenfalls durch Social Engineering übergangen werden und die IT-Infrastruktur physisch angreifbar machen. Die wirksamste Gegenmaßnahme ist hier, die eigenen Mitarbeiter regelmäßig zu schulen und die Backup-Infrastruktur physikalisch unzugänglich zu machen.

Integrität

Integrität bezeichnet die Sicherstellung der Korrektheit, Manipulationssicherheit und Glaubwürdigkeit der Sicherung. Der Begriff drückt aus, dass die Sicherung nicht verändert oder manipuliert wird. Um das zu gewährleisten, ist die Dokumentation des Sicherungsprozesses unabdingbar.

Für die Integrität ist es wichtig, Vorgänge lückenlos zu protokollieren. Das gilt für die Zuverlässigkeit bei der Sicherung und die Auditierung der Backup-Server. Es muss erkenntlich sein, dass keine Manipulationen an dem Vorgang, Reporting oder Monitoring der Systeme stattgefunden hat.

Eine Möglichkeit wäre, regelmäßige Reports und Prozessdokumentationen zu erstellen, die auf ein WORM-Medium geschrieben werden, also nicht nachträglich geändert werden können. Dies muss nicht immer eine kostspielige Hardware-WORM-Funktion sein, es gibt Software-WORM-Alternativen.

Verfügbarkeit und Zuverlässigkeit

Die Verfügbarkeit ist ein Thema, das häufig vernachlässigt wird. Verfügbarkeit bedeutet, dass Daten, Informationen, Systeme, Ressourcen et cetera wie vorgesehen genutzt werden können. Dazu zählt nicht nur, dass man sich Gedanken macht, in welcher Zeit ein ausgefallener Dienst wieder zur Verfügung stehen soll und wie viel Datenverlust die Organisation verkraften kann.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zu Data-Storage und -Management

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

Die Frage ist: Stehen zum Zeitpunkt des Ausfalls die Ansprechpartner zur Verfügung? Das betrifft nicht nur eigenen Mitarbeiter, sondern auch externe, technische Ansprechpartner, die im Notfall benötigt werden.

Es ist sinnvoll und notwendig, einen Notfallplan zu erstellen, in dem die Wiederherstellungszeiten, die Meldeketten und der Prozess für verschiedene Ausfallszenarien festgehalten sind. Dieser Notfallplan muss regelmäßig „geprobt“ und aktualisiert werden.

Die Anforderungen an die Verfügbarkeit entstehen vor allem durch organisatorische Vorgaben und sollten vorab mit den Fachabteilungen geklärt werden. Wenn die organisatorischen Abhängigkeiten nicht geklärt werden, kann es passieren, dass durch zu lange Sicherungszeiträume das Bestehen des Unternehmens gefährdet wird. Das passiert, wenn eine kritische Hauptanwendung ausfällt, ohne die zum Beispiel eine Produktionsstraße nicht betrieben werden kann und die Produktion zum Stillstand kommt.

Außerdem muss die Zuverlässigkeit der Sicherung und vor allem der Wiederherstellung gegeben sein. Erst wenn eine Wiederherstellung erfolgreich durchgeführt werden kann, ist die Lösung sinnvoll nutzbar.

Regelmäßige Wiederherstellungstests sorgen dafür, dass sich die Zuverlässigkeit deutlich verbessert. Ein grüner Haken beim Backup heißt nicht unbedingt, dass die Wiederherstellung reibungslos funktioniert, zum Beispiel wenn die Hardware nach der Sicherung beschädigt wird, oder eine Korruption der Speicherziele vorliegt (bit rot/silent data corruption).

Richten Sie sich also feste Termine ein, an denen Sie Ihre Sicherungen testen und Ihr Konzept auf die Probe stellen. Ein Vorteil dabei ist, dass mögliche Probleme bei der Wiederherstellung schon vor einem Notfall auffallen. Im Ernstfall sparen Sie dann wertvolle Zeit!

Verbindlichkeit

Verbindlichkeit bedeutet so viel wie „Nichtabstreitbarkeit“ und hat das Ziel, dass der Versand und Empfang von Daten und Informationen nicht in Abrede gestellt werden.

Im Hinblick auf das Backup ist gemeint, dass die Lösung nicht anfechtbar sein soll. Daher ist es wichtig, dass das Backup-Tool zuverlässig arbeitet und dass die Protokollierung plausibel ist. Ebenso sollten die ausgeführten Tätigkeiten zweifelsfrei bestimmten Personen zuzuordnen sein. Diesen Punkt erfüllen Sie mit einer lückenlosen Auditierung und zuverlässigen Job-Logs.

Versendete E-Mails und Warnhinweise sollten nachweislich versendet und empfangen worden sein, sodass nicht abgestritten werden kann, dass ein Warnhinweis verschickt oder empfangen wurde.

All diese Punkte sollten in einem Backup-Konzept dokumentiert werden, welches in regelmäßigen Abständen auf Aktualität geprüft wird.

Fazit

Mit diesen Erläuterungen und Denkanstößen sollten Sie die folgenden Fragen klar beantworten und mögliche Lücken schließen können, damit Ihre IT-Sicherheit gewährleistet ist: Was müssen Sie tun, wenn die Infrastruktur morgen früh plötzlich nicht mehr zur Verfügung steht? Welche der genannten Herausforderungen treffen auf Sie zu, und wie bewältigen Sie diese? Entspricht Ihre Backup-Lösung den IT-Schutzzielen? In jedem Fall empfiehlt es sich, die Backup-Lösung in regelmäßigen Abständen genauer unter die Lupe zu nehmen und zu prüfen, ob sie den IT-Schutzzielen entspricht.

Karim Mandouri, Solution Architect bei NovaStor.
Karim Mandouri, Solution Architect bei NovaStor.
(Bild: NovaStor )

*Der Autor: Karim Mandouri, Solution Architect bei NovaStor.

Das Storage-Kompendium zum Thema – kostenfreier Download

Die Anforderungen an die Datensicherung sind so hoch wie nie, und die Anzahl der Fälle, in denen ein Disaster Recovery notwendig ist, nimmt rasant zu. Was also gilt es beim Backup zu beachten?

Backup & Disaster Recovery – Strategien und Lösungen

Storage-Kompendium „Backup & Disaster Recovery“
(Bild: Storage-Insider)

Die Hauptthemen des Kompendiums sind:

  • Storage Class Memory (SCM)
  • Backup- und DR-Strategien/-Lösungen
  • As-a-Service-Modelle
  • Disaster Recovery
  • Datenmanagement
  • Hochverfügbarkeit von Daten (HA)
  • Business Continuity (BC)
  • Data Governance

(ID:48380657)