InsightCyber Resilience in Zeiten von Pandemie und Ransomware - Moderne Datenschutzkonzepte

Markus Stumpf — 01. März 2022
Lesezeit: 3,20 Minuten

IT Sicherheit und Backup in Krankenhäusern als Teil kritischer Infrastruktur

Cyber-Angriffe sind vielseitiger Art und vor allem nicht offensichtlich. Ein Angreifer bewegt sich meist über Wochen und Monate im internen Netz des Opfers, um Informationen zu gewinnen und die internen Abläufe zu verstehen, um den wirklichen Angriff zu planen. Dabei werden immer öfter auch Back-up-Daten ins Visier genommen. So versuchen beispielsweise Ransomware-Angriffe, auch die Datensicherung zu verschlüsseln und damit unbrauchbar zu machen. Betroffen sind Unternehmen aller Art, Krankenhäuser inklusive. Was ein Datenschutzkonzept heute leisten muss, um die Sicherungsdaten zu schützen.

Ich glaube, wir werden angegriffen.“ So oder ähnlich lautet häufig die erste Reaktion auf Cyberattacken in Unternehmen. Sei es ein verdächtiges Datenaufkommen (Traffic) an der Firewall, auffällig viele Zugriffe von unbekannten IPs, meist vom anderen Ende der Welt, oder auffällige Veränderungen der Performance einzelner Systeme. Cyber-Angriffe sind vielseitiger Art und vor allem nicht offensichtlich. Ein Angreifer bewegt sich meist über Wochen und Monate im internen Netz des Opfers, um Informationen zu gewinnen und die internen Abläufe zu verstehen, um den wirklichen Angriff zu planen.

 

Bei Angriffen geht es häufig darum, durch Verschlüsselung von Daten Geld zu erpressen (Ransom). Dies ist mittlerweile eine Milliarden-Industrie. Die Motivation kann aber auch sein, dass der Angreifer aus ideologischen Gründen, nach Aufmerksamkeit suchend oder aufgrund persönlicher negativer Erfahrungen handelt. Ein weiterer Antrieb kann das Ausspionieren oder Schädigen von Wettbewerbern sein.

Das Backup – die letzte Verteidigungslinie

Betriebssysteme absichern, Firewalls, Antivirensoftware und das Beschaffen von spezialisierten Security Information and Event Management (SIEM) Lösungen als Verteidigungsstrategie sind seit langem im Fokus von IT-Verantwortlichen. Eine weitere IT-Applikation rückt in den letzten Jahren immer mehr ins Rampenlicht: die (meist zentralisierte) Datensicherung, im Fachjargon Backup oder Data Protection genannt.

Gründe hierfür sind:

  • Backups sind die letzte Verteidigungslinie, wenn Daten manipuliert oder verschlüsselt werden.
  • In der zentralen Datensicherung liegen alle relevanten Daten eines Unternehmens, oft in unverschlüsselten Formaten.
  • Gelingt es dem Angreifer, das Backup zu zerstören oder zu manipulieren, steigt die Zahlungsbereitschaft im Falle einer durch Ransomware verschlüsselten Umgebung deutlich.

Die zentrale Bedeutung der Datensicherung in der Abwehr von Ransomware-Attacken beschreibt das Bundesamt für Sicherheit in der Informationstechnik (BSI) in seinem Bericht „Ransomware Bedrohungslage, Prävention & Reaktion 2021“ mit den Worten: „Ein Backup ist die wichtigste Schutzmaßnahme, mit der im Falle eines Ransomware-Vorfalls die Verfügbarkeit der Daten gewährleistet werden kann.“

Patientendaten effektiv schützen

Im Falle eines Angriffs eine schnelle Antwort durch Schutz und Wiederherstellung der wichtigsten Unternehmensdaten und -anwendungen gewährleisten zu können, kann im Klinikumfeld über Leben und Tod entscheiden. Hier werden sensible Daten verarbeitet, deren Verlust oder Veröffentlichung sich besonders brisant oder Schad bringend auswirkt. Um dies zu verhindern, gibt es mehrere Design-Prinzipien und Funktionalitäten.

Einem modernen Datensicherungskonzept liegt die 3-2-1 Regel zugrunde: Drei unabhängige Kopien jeder Datei, auf zwei verschiedenen Medien. Eine dieser Kopien ist nicht zugreifbar beziehungsweise veränderbar.

Drei Kopien gewährleisten eine schnelle Verfügbarkeit und Wiederherstellung der Daten – im Idealfall sehr nah an den Produktionsdaten. Zusätzlich gibt es weitere Datenkopien auf logisch getrennten Systemen, die genutzt werden, falls die erste Backup-Kopie zerstört wurde.

Eine Offline-Kopie ist der letzte Rettungsanker, falls auch die Backup-Server erfolgreich angegriffen und zerstört wurden. Traditionell ist diese Kopie auf Bändern (Tapes) abgelegt, welche im Idealfall an einem sicheren Ort verwahrt wurden. Eine Wiederherstellung von diesen Bändern dauert länger, ist aber online nicht angreifbar.

3-2-1-Regel moderner Backup-Strategien
Beim 3-2-1-Datensicherungskonzept werden drei unabhängige Kopien jeder Datei auf zwei verschiedenen Medien gespeichert. Eine dieser Kopien ist nicht zugreifbar beziehungsweise veränderbar (offline).

Widerstandsfähige Backup-Infrastrukturen

Aufbauend auf diesem Design setzt das Konzept der Cyber Resilience. Hierunter versteht man, dass Datensicherungssysteme aktiv vor Cyber-Angriffen schützen und geschützt werden, indem sie widerstandsfähig (resilient) designed werden. Diese Resilienz wird über verschiedene Ansätze erreicht, vorrangig durch gehärtete, vorkonfigurierte und spezialisierte Backup-Server (Appliances) und das durchgängige Überwachen der Leistungsfähigkeit und Stabilität der Backup-Server. Bei Engpässen oder Fehlermeldungen werden Alarme generiert. Ein weiteres Sicherheitsmerkmal ist eine Teilung der Zuständigkeiten (Separation of duties). Hierunter versteht man, dass kein Benutzer administrative Berechtigungen auf Produktions- und Backup-Daten hat und nicht versehentlich oder beabsichtigt primäre Daten und die zugehörigen Backups zerstören kann.

Seit mehreren Jahren werden unveränderliche Speichersysteme (Immutable Storage) eingesetzt. Diese folgen dem Write Once Read Many (WORM) Ansatz: Daten können nur einmal geschrieben werden und sind dann permanent oder für eine bestimmte Zeit nicht mehr veränderbar und vor Löschung geschützt. Gerade für Patientendaten wie Röntgenbilder und andere Diagnosedaten werden spezielle Storage-Appliances oder Cloud-Services genutzt, die diese Funktionalität bieten.

 

All diese Vorkehrungen sorgen dafür, dass die Backup-Infrastruktur im Fall eines Cyber-Angriffs nicht in Mitleidenschaft gezogen wird – doch ist das in heutigen Zeiten genug? Nein, denn eine zuverlässige und performante Wiederherstellung kann nur gewährleistet werden, wenn sichergestellt ist, dass alle gesicherten Daten frei von Schadsoftware und Manipulationen sind und die Wiederherstellungen schnell und priorisiert nach der Wichtigkeit der betroffenen Systeme erfolgen kann.

Cyber Resilience durch Modern Data Protection

Moderne Data Protection Lösungen denken einen Schritt weiter und bieten Ansatzpunkte, die Qualität der Backup-Daten selbst zu prüfen, denn die zentrale Frage ist: Ist mein Backup vom Angriff betroffen oder ist es „sauber“? Denn nur dann kann ein Restore die richtige Antwort auf eine Cyber-Attacke sein.

 

Auffällige Bitmuster oder ein plötzlich stark abweichendes Backup-Volumen mit einer sich verschlechternden Deduplizierungs- oder Kompressionsrate kann auf verschlüsselte Produktionsdaten hinweisen. Die Indizierung und Analyse von Backup-Daten ist der neueste Trend, um diese zentral in einer Cloud auf bekannte schädliche Bitmuster, Dateiendungen oder andere Auffälligkeiten prüfen zu lassen und Events auszulösen.

 

All diese Maßnahmen sorgen in ihrer Gesamtheit für eine stabile und verlässliche Antwort auf Ransomware-Attacken, bieten jedoch wenig Schutz gegen Konfigurationsfehler, gezielte Manipulation oder Softwarebugs innerhalb der gesicherten Daten. Um die Fehlerfreiheit der Datensicherung kontinuierlich zu prüfen, müssen Backups regelmäßig wiederhergestellt werden. Nur diese Tests stellen sicher, dass die Backup-Strategie vollständig und die Backup-Daten valide sind.

Best Practice für einen Modern Data Protection Ansatz

Da dies bei vielen hundert bis tausenden Backup-Quellen nicht manuell durchführbar ist, muss dies automatisiert werden.

 

Ein Beispiel ist der kontinuierliche Restore virtueller Server in einer abgeschotteten Umgebung (Clean Room), um diese auf Fehlerfreiheit zu prüfen. Zusätzlich werden diese Backups mit Hilfe eines aktuellen Virenscanners auf Ransomware untersucht. Im Falle einer gefundenen Infektion wird ein Security Alarm ausgelöst und die gesamte Backup-Umgebung nach dieser Infektion analysiert. Administratoren wird eine einfache Visualisierung der Ausbreitung und eine Entscheidungshilfe zum Auffinden der besten „sauberen“ Backups zur Verfügung gestellt.

 

So werden schlafende Viren und Malware in Backups gefunden, auch wenn diese noch nicht ausgebrochen sind. Mit diesem Ansatz gewährleisten wir, dass Backups sauber laufen und ihre Verteidigung vor Ransomware aktiv ist.

Markus Stumpf

Markus ist Head of Data Protection Services bei der Empalis Consulting GmbH und hat über 20 Jahre Erfahrung mit IBM Spectrum Protect Produkten und generell mit Backup-Lösungen, Infrastruktur und Managed Services.

Vorliegender Artikel ist in der IT-Sicherheit Spezial Krankenhäuser am 28.02.2022 erschienen. 

Zur Ausgabe 1/2022