Schutz der Geschäftskontinuität durch Planung der Wiederherstellung

Von Edwin Weijdema, Global Technologist, Veeam

"Probleme mit der Cybersicherheit" sind Probleme, die die IT-Abteilung betreffen – so lautet eine der größten Fehleinschätzungen, die sich hartnäckig hält. Jede Cyberverletzung, ob durch Ransomware oder einen anderen Angriffstyp verursacht, ist jedoch ein übergreifendes Problem der Geschäftskontinuität. In den Augen vieler Experten gibt es zwei Arten von Unternehmen: diejenigen, die gehackt wurden, und diejenigen, die nicht wissen, dass sie gehackt wurden. Da absolute Sicherheit und die Unversehrtheit von Daten nie komplett garantiert werden kann, müssen Unternehmen der Unvermeidbarkeit von Ransomware-Angriffen ins Gesicht sehen, vorausschauen und proaktiv für eine Wiederherstellungsstrategie sorgen. Die IT-Abteilung ist zwar ein wesentlicher Bestandteil dieses Prozesses, aber ein Business-Continuity-Plan umfasst auch andere Elemente als die Wiederherstellung von Daten und Anwendungen. Diese können ebenfalls ausschlaggebend dafür sein, ob eine Strategie erfolgreich sein wird oder nicht.

Eine Strategie der Geschäftskontinuität
Wenn es um den Erfolg oder Misserfolg der Cybersicherheit geht, dürfen wir die Technologie nicht als Endpunkt betrachten, sondern müssen sie im Zusammenhang mit einer umfassenderen Strategie für die Geschäftskontinuität sehen. Vor und nach dem Einsatz von Antiviren- und Firewall-Lösungen zur Erkennung und Abwehr von Angriffen oder von Sicherungs- und Recovery-Lösungen zur Wiederherstellung von Daten müssen viele Dinge geschehen. Erstens muss eine klare Strategie festgelegt werden, wie das Unternehmen im Falle eines Cyberangriffs reagieren wird. Dazu gehört, dass die Entscheidungsfähigkeit der Führungskräfte rigoros getestet wird, um sicherzustellen, dass sie darauf vorbereitet sind, das Unternehmen durch ein solches Ereignis zu führen. Das Durchspielen von Worst-Case-Szenarien und die Erstellung eines Best-Practice-Playbooks für die Reaktion, Kommunikation und das weitere Vorgehen nach einem Cybersecurity-Ereignis kann für das Unternehmen von großem Nutzen sein.

Angesichts der Tatsache, dass der Veeam Data Protection Trends Report 2022 zeigt, dass mehr als drei von vier Unternehmen in den letzten 12 Monaten Opfer von Ransomware-Angriffen wurden, ist es erstaunlich, dass Cyberverletzungen immer noch überraschend kommen oder Unternehmen unvorbereitet treffen. Auch wenn dies für ein einzelnes Unternehmen kein alltägliches Szenario ist, passieren diese Zwischenfälle jeden Tag. Bevor man also selbst davon betroffen ist, sollten eine Strategie mit klaren Regeln, Rollen und Verantwortlichkeiten entwickelt werden. Dabei sollte man niemals Lösegeld-Forderungen nachkommen. Dies sollte als Option von Vornherein ausgeschlossen werden. Es muss klar festgelegt sein, welche Schritte zur Behebung und Wiederherstellung unternommen werden. Welche Anwendungen müssen zuerst wieder online gebracht werden? Welche Daten sind am wichtigsten und müssen zuerst wiederhergestellt werden? Welche Informationen benötigt man, bevor man sich an die einzelnen Interessengruppen wenden kann - Mitarbeiter, Kunden, Partner, Aktionäre, Medien. Wer sind die wichtigsten Personen im Unternehmen, die über die Sicherheitsverletzung informiert werden müssen, und wissen diese, welche Rolle sie spielen müssen? Gibt es ein offizielles Dokument, in dem die Schritte zur Wiederherstellung dargelegt sind und das die Kontaktdaten der Personen enthält, die an dem Prozess beteiligt sind? Geschäftskontinuität ist eine geschäftliche Herausforderung, keine technologische Herausforderung.

Technik zum Schutz des Unternehmens nutzen
Technologie ist keine Insel und darf nicht als alleiniger Schutz für ein Unternehmen vor Ransomware betrachtet werden. Es ist jedoch wichtig, dass die eigene Technologiestrategie richtig umgesetzt wird. Das fängt bei den eigenen Mitarbeitern an und damit, dass jedem im Unternehmen die Best-Practice-Richtlinien an die Hand gegeben werden, um potenzielle Angriffe zu erkennen und eine tadellose digitale Hygiene umzusetzen. Ein Test der Mitarbeiter, um zu sehen, wie sie auf Phishing-Links und -E-Mails reagieren, ist ein guter Weg, um die Botschaft zu vermitteln, dass Cyberangriffe oft durch die Hintertür ins Unternehmen eingeschleust werden und nicht immer unglaubliche technologische Kunststücke sein müssen. In dieser Phase geht es darum, sicherzustellen, dass die erste Verteidigungslinie so solide wie möglich ist.

Wenn alles andere versagt, erfordert der moderne Ransomware-Schutz eine integrierte Sicherheitsarchitektur von den Endpunkten bis zum Netzwerk und der Cloud, um Angriffe zu erkennen, zu korrelieren und zu beheben. Die Aussage „vom Backup wiederherstellen" vereinfacht den Prozess zu sehr und führt zu Annahmen über Backup- und Wiederherstellungsmöglichkeiten, die sich oft als falsch erweisen und zu Datenverlusten führen. Um den schlimmsten Fall zu vermeiden, ist ein Plan mit verifizierten, getesteten und sicheren Backups, die schnell wiederhergestellt werden können, der Schlüssel zum Umgang mit Ransomware-Angriffen. Die Backup-Infrastruktur ist Teil des allgemeinen Cybersicherheitsplans und kann die letzte Option sein, um den Geschäftsbetrieb wieder aufzunehmen beziehungsweise aufrechtzuerhalten. Überprüfte und getestete Backups sind der erste Schritt zu einer erfolgreichen Wiederherstellung. Unternehmen sollten dafür die 3-2-1-1-0 Regel befolgen, die empfiehlt, dass mindestens drei Kopien wichtiger Daten auf mindestens zwei verschiedenen Datenträgern vorhanden sein sollten, wobei mindestens eine dieser Kopien außerhalb des Standorts aufbewahrt werden sollte, und eine Kopie offline, „air gapped" gespeichert oder unveränderlich sein sollte, ohne unvollständige Sicherungen oder Fehler.

Die Investition in eine robuste Sicherungs- und Wiederherstellungsstrategie ist eine entscheidende Komponente einer modernen Datenschutzstrategie. Unternehmen müssen sicherstellen, dass sie über die technischen Möglichkeiten verfügen, um Ransomware-Angriffe zu erkennen, zu entschärfen und zu beheben. Die Verantwortung liegt jedoch nicht nur bei der Technik. Die Geschäftskontinuität liegt in der Verantwortung des gesamten Unternehmens und seines Führungsteams. Da Cyberangriffe eine erhebliche Bedrohung für die Geschäftskontinuität darstellen, müssen sich Unternehmen akribisch auf solche bösartigen Vorfälle vorbereiten. Dazu gehören ein detaillierter Aktionsplan, klare Rollen und Zuständigkeiten sowie die erforderlichen Tools, um Ransomware-Angriffe zu verhindern, aber auch, um mit ihnen fertig zu werden, wenn sie unvermeidlich sind.

Bild: iStock