Hinzu kommt, dass Angreifer durch künstliche Intelligenz heute effektiver denn je sind, komplexe Attacken in großem Umfang auszuführen, die auf Backups zielen und diese kompromittieren. Für eine robuste Cyberresilienz müssen Unternehmen daher Datensicherheit, Datensicherung und eine Malware-freie Wiederherstellung der angegriffenen IT in einer Cyberrecovery verbinden.
Cyberresiliente Datensicherheit und Datensicherung basieren auf einer zuverlässigen und sauberen Wiederherstellung von Systemen, Applikationen und Daten in Kombination mit Tools zum Erkennen von Angriffen. Hierfür müssen operative IT und IT-Sicherheit effektiv zusammenarbeiten, um sowohl präventiv Sicherheitslücken aufzudecken sowie robuste Cyber-Recovery-Pläne zu erstellen und zu testen als auch im Ernstfall die Infrastruktur und die Daten aus einem Malware-freien, aktuellen Backup sicher wiederherzustellen.
Cyberresiliente Recovery
In der IT gibt es drei Arten, Daten wiederherzustellen: Operational, Desaster und Cyber Recovery. Alle machen Daten, Systeme und Anwendungen nach einem Zwischenfall wieder verfügbar, haben jedoch unterschiedliche Einsatzbereiche: Operational Recovery bezieht sich auf bestimmte Komponenten des Systems, Dateien, Applikationen oder virtuelle Maschinen nach einem kleineren Zwischenfall oder Ausfall. Sie umfasst das Wiederherstellen versehentlich gelöschter Dateien, die Recovery nach Abstürzen oder Softwarefehlern sowie das Reparieren beschädigter Daten. Desaster Recovery umfasst ganze Systeme und Infrastrukturen nach einem Großereignis wie einer Naturkatastrophe. Gegen Angriffe von Cyberkriminellen hilft nur eine Cyber Recovery. Denn ein Verschlüsseln von Daten oder die erfolgreiche Infiltration spionierender Hacker in das eigene Netz verlangt eine andere Antwort als ein Hardware-Ausfall oder ein logischer Datenverlust.
Herkömmliche Desaster-Recovery-Pläne haben Schwierigkeiten, den differenzierten Risiken und der Komplexität von Cyberangriffen wirksam zu begegnen. Das hat folgende Gründe:
- Art der Gefahren: Im Gegensatz zu Naturkatastrophen oder Hardwareausfällen handelt es sich etwa bei einer Ransomware-Attacke um vorsätzliche Angriffe. Cyberkriminelle nutzen Schwachstellen aus und haben es auf für das Unternehmen unverzichtbare oder für sie monetarisierbare Daten abgesehen. Dies erfordert einen sorgfältigeren, stärker auf Datensicherheit ausgerichteten und ein Risikomanagement einschließenden Ansatz der Datensicherung.
- Umfang und Schwerpunkt: Bei der Desaster Recovery geht es darum, Systeme und Daten wieder verfügbar zu machen und die Ausfallzeit zu minimieren. Bei der Cyber Recovery liegt ein weiterer Schwerpunkt darauf, den Angriff zu isolieren, die Präsenz der Hacker im Netz zu beseitigen und das von Malware und Manipulationen freie Wiedereinspielen der Daten vorzubereiten. Darüber hinaus verbessern forensische Analysen das Schließen von Schwachstellen und möglicherweise längere Sanierungsprozesse die Sicherheitslage.
- Methoden und Werkzeuge: Die Desaster Recovery basiert in der Regel auf leicht verfügbaren Backups in Kombination mit Replikation und etablierten Verfahren für ein schnelles Rollback des Systems. Für die Cyber Recovery sind darüber hinaus Tools und Fachkenntnisse in den Bereichen Malware-Analyse, Incident Response, unveränderliche/unlesbare Backups, eine Reinraumumgebung für sauber wiederhergestellte Daten, das Erkennen von Anomalien und sichere Datenextraktion erforderlich.
- Datenintegrität und Anfälligkeit: Desaster-Recovery-Pläne sind nicht in der Lage, die letzten noch sauberen Backup-Sätze effektiv zu identifizieren und wiederherzustellen. Außerdem müssen die IT-Verantwortlichen während des Angriffs ausgenutzte Sicherheitslücken bedenken und vor dem Einspielen des sauberen Backups patchen, was die Rekonstruktion noch komplexer macht.
Digitale Reinräume als Schauplatz für Cyber Recovery
Ein digitaler Reinraum – ein Cleanroom – bietet eine klinisch reine Umgebung für eine saubere Recovery der Daten nach einem Angriff und ein erschwingliches Testfeld, um die Prozesse für das Wiederherstellen der IT zu optimieren.
Im Fall einer Infektion von Backup-Datensätzen ermöglicht ein Cleanroom mit isolierter Recovery-Umgebung und Sandbox-Funktionen, integre und nicht manipulierte Daten aus nicht infizierten Backup-Quellen oder aus dem Snapshot eines bislang nicht angegriffenen Backups zu extrahieren. Ein solcher Reinraum spielt zudem eine entscheidende Rolle als Schauplatz für sichere, kostengünstige und flexible Tests sowie als isolierter und sauberer Ort, um ausgenutzte Schwachstellen zu analysieren, Daten wiederherzustellen und Systeme zu sanieren. Wenn die IT-Verantwortlichen einen solchen Reinraum erst on demand in der Cloud anlegen und er nicht im Vorhinein existiert, kann er durch Angriffe im Vorfeld nicht zu Schaden gekommen sein. Es entstehen keine laufenden Kosten für ihn.
Zudem bietet ein Cleanroom einen kontrollierten Raum für forensische Analysen, um die Ursache und den Verlauf eines Angriffs zu untersuchen und Folgeattacken zu verhindern. Die notwendigen Patches lassen sich ebenfalls hier testen.
KI-basiertes und automatisiertes Backup-Management
Für effektive Datensicherheit und -sicherung können Cyber-Recovery-Plattformen auf Basis künstlicher Intelligenz (KI) und Maschine Learning (ML) maßgeblich zur Resilienz des Backup-Betriebs und für optimierte Abläufe beitragen sowie beim Schutz der Informationen unterstützen.
Dank kontinuierlich gesammelter Leistungsdaten aus den Backup-Vorgängen, kann KI in Kombination mit Machine Learning ein Modell des typischen Verhaltens einzelner Backup-Prozesse entwickeln, um Anomalien zu identifizieren. Zugleich erkennt eine Plattform weitere Risiken, wie z. B. einen drohenden oder erfolgten Angriff auf Backup-Dateien.
Aufgrund der heutigen, komplexen Datenumgebungen sind ein effizientes und fehlerfreies Scheduling und Überwachen der zahlreichen Backup-Jobs kaum ohne einen automatisierten Prozess zu bewerkstelligen.
Cleanroom Home: Die Basis für Cyber Recovery ist ein grundlegendes Risikomanagement durch eine Plattform für cyberresiliente Datensicherheit und Datensicherung.
Cleanroom Recovery 5: Durchführen von Tests und Bestimmung eines optimalen sauberen RPO für die Wiederherstellung.
Cleanroom Recovery 8.2: Übersicht über getestete Recovery-Vorgänge in einem Cleanroom.
