Erholung nach dem Desaster
Quelle: Swisscom

Fallbeispiel

Erholung nach dem Desaster

Jedes Unternehmen, das bereits einmal Daten verloren hat, weiss, dass die Erfahrung schmerzhaft sein kann. Mit moderner Technologie lässt sich der Schaden aber beheben und im besten Fall sogar verhindern.

Artikel erschienen in Swiss IT Magazine 2017/10

     

Ein durchdachtes Backup-Konzept schliesst immer auch ein Restore-Konzept mit ein, also die Möglichkeit, die Daten im Notfall auch wieder herstellen zu können. Tritt erst einmal ein Schadensfall ein, dann besteht die Dringlichkeit, die kompromittierten Daten schnellstmöglich wiederherzustellen, um den weiteren Betrieb des Unternehmens garantieren zu können. In einer Zeit, in der immer mehr geschäftliche Prozesse digital abgebildet werden und dadurch eine wachsende Datenmenge produzieren, wirkt sich jede Minute, in der diese Daten nicht für die weitere Verarbeitung zur Verfügung stehen, negativ auf den Geschäftsgang aus. Nicht umsonst wird in diesem Zusammenhang von Disaster Recovery gesprochen, wortwörtlich also von der Erholung von einem Desaster.

Jüngste Vorfälle wie die weltweite Verbreitung der Ransomware Wannacry und verschiedene Datenlecks, bei denen die persönlichen Daten von Millionen von Nutzern in falsche Hände geraten sind, haben gezeigt, dass kaum ein Unternehmen davor gefeit ist, Ziel digitaler Attacken zu werden. Gefährdet sind aus­serdem nicht nur die Daten des Unternehmens selbst, sondern meistens auch die dessen Kunden, was auch rechtliche Implikationen nach sich zieht.


Je nach Grösse und Beschaffenheit der betroffenen Organisation kann eine solche Situation letztlich auch existenzbedrohend sein. Aus diesem Grund setzen die Anbieter von Backup- und Recovery-Lösungen alles daran, die Daten ihrer Kunden bestmöglich zu schützen, im Optimalfall sogar einen Schaden zu verhindern.

Was niemand gerne zugibt

Donat Kaeser, verantwortlicher Product Manager für Storage, Backup & Archiv Services bei Swisscom und sein Kollege Henrik Aicher, Lead System Engineer Classic Storage, Product Owner Enterprise File Service & Unified Storage, wissen aus erster Hand, dass Unternehmensdaten immer wieder kompromittiert werden, und dies in zunehmendem Masse. Swisscom betreibt in der Schweiz mehrere grosse Rechenzentren, auf denen "mehrere Petabyte" Daten von Kunden lagern, wie Kaeser erklärt. Er und Henrik Aicher sind verantwortlich für die Lösung Enterprise File Service, die auf Unternehmen mit mindestens 500 Usern ausgelegt ist und auf der IT-Infrastruktur von Netapp basiert. Sie ist modular und besteht unter anderem aus einem File Server und einer Backup-Lösung mit integriertem Virenscanner. Neu gibt es auch eine Funktion, um Angriffe durch Ransomware zu erkennen, eine Lösung, die zusammen mit dem Software-Unternehmen Cleondris entwickelt wurde und auf Snapguard basiert. Von zentraler Bedeutung ist hierbei das Restore-Konzept, das im Schadensfall eine möglichst nahtlose und umfassende Wiederherstellung der Daten erlauben soll.
Laut Kaeser könne man heute Ausfälle der Hardware in einem Rechenzentrum als Risikofaktor für den Datenverlust ausschliessen, weil sämtliche Hardware-Komponenten und Netzwerke mehrfach redundant vorhanden sind. Die weitaus grösste Bedrohung stellt Schadsoftware in Form von Viren und Trojaner dar. Diese gelangen von aussen in die Unternehmen, greifen von da aus auf die Daten im Rechenzentrum zu und löschen oder verschlüsseln diese mit dem Ziel, möglichst hohen Schaden anzurichten oder die Betroffenen zu erpressen. Allein die von Swisscom im gesamten Konzern eingesetzte Antiviren-Lösung blockiert jeden Monat über 5000 Schadprogramme. Zudem werden im selben Zeitraum über 3500 Phishing-Seiten entdeckt und blockiert.


Donat Kaeser macht keinen Hehl daraus, dass die Recovery-Mechanismen immer wieder zum Einsatz kommen. Wie jedes Grossunternehmen wird auch Swisscom laufend attackiert. Gezielte oder schwerere Angriffe, die besondere Abwehrmassnahmen erfordern, geschehen jedoch selten. Swisscom spricht von einer Handvoll pro Monat. Kaeser gibt zu bedenken: "Angriffe passieren. Wir werden es nie schaffen, alle Eventualitäten abzudecken. Aus diesem Grund ist ein nachhaltiges Backup- und Restore-Konzept die wichtigste Voraussetzung, um die Unternehmensdaten zu schützen." Swisscom setzt deshalb auf regelmässige Snapshots, also Momentaufnahmen der Systeme der Kunden. "Wir empfehlen all unseren Kunden, alle vier Stunden einen Snapshot zu machen. Das heisst, dass sechsmal täglich ein Snapshot gemacht wird und das fünfmal die Woche", erklärt Kaeser. Der letzte Snapshot wird am Abend oder in der Nacht angefertigt und in ein zweites Rechenzentrum repliziert.

Irgendwann passiert es

Was sich trivial anhört, hat einen ernsten Hintergrund. "Wir hatten bereits viermal einen Befall mit Ransomware auf unseren File-Servern", sagt Kaeser offen. "Das Problem mit solchen Attacken ist, dass sie schleichend geschehen und sich dann womöglich über mehrere Stunden hinziehen." Dank der Snapshots kann man dann zwar auf eine intakte Kopie der Daten zurückgreifen, die vor dem Befall erstellt wurde, nur gehen bei dieser Methode im schlimmsten Fall mehrere Stunden Arbeit verloren. Dies kann im betroffenen Unternehmen bereits einen beträchtlichen Schaden anrichten. Swisscom setzt deshalb auf eine Technologie, um die Daten zu identifizieren, die von der Attacke verschont geblieben sind. "Trotz eines Befalls mit Ransomware sind nicht alle Änderungen, die auf einem File-Server geschehen, per se schlecht. Wir schauen also, welche Änderungen seit dem Zeitpunkt des Befalls gut waren und belassen diese, während wir die schlechten Änderungen mit einer intakten Kopie der Daten überschreiben. Das System nennt sich Differential Restore", so Kaeser.
Der Schaden kann mit solchen Lösungen zwar minimiert werden, dennoch wird immer ein Teil der Änderungen, welche die Mitarbeiter eines Unternehmens während eines Befalls gemacht haben, verloren gehen. Eine Datenwiederherstellung ist darum immer auch ein Eingriff in das Datensubstrat einer Firma. Aktuelle Bestrebungen gehen deshalb dahin zu vermeiden, dass ein solches Szenario eintritt. Ein Ansatz ist, das typische Verhalten gängiger Schadprogramme zu identifizieren. "Wir können heute abnorme Vorgänge auf einem File-Server erkennen", sagt Donat Kaeser. "Wenn zum Beispiel ein Nutzer plötzlich versucht, Dateiendungen abzuändern oder im grossem Stil Dateien zu löschen, dann versteht das System aufgrund vordefinierter Regeln, dass es sich wahrscheinlich um einen Angriff handelt und kann den Nutzer daran hindern oder gar komplett blockieren." Hierfür sind eine gute Kommunikation und der Austausch mit dem Kunden äusserst wichtig, um die Verhaltensrichtlinien des Systems so zu definieren, dass dieses erkennen kann, wann sich welcher Nutzer nicht gemäss den vorgesehenen Mustern verhält.

Was tun, wenn es brennt

Wie Henrik Aicher ausführt, kann die Infrastruktur eines Kunden über verschiedenste Parameter sehr granular im System von Swisscom abgebildet werden. Das ist entscheidend, denn nur so ist man in der Lage zu erkennen, an welcher Stelle ein Angriff seinen Lauf nimmt, und kann dementsprechend reagieren. Meistens ist es ein Endnutzer, der den Befall mit Ransomware initiiert, indem er zum Beispiel einen verseuchten Anhang in einer E-Mail anklickt. Abhängig davon, welche Rechte der Nutzer auf dem System des Kunden hat, kann sich die Schadsoftware mehr oder weniger ausbreiten. "Problematisch sind User mit weitreichenden Administratorenrechten, die Zugriff auf grosse Teile der Datenstruktur haben", sagt Aicher. "Ist ein solcher Endnutzer die Quelle des Befalls, kann dieser schnell auf sehr viele Daten übergreifen. Wir sehen dann, wie bei einzelnen Usern die Aktivität auf dem File-Server plötzlich rasant hochschnellt. Wir hatten schon den Fall, dass ein User befallen war und sich dann von seinem Notebook entfernt hat und dieses während Stunden weiterlief. Entscheidend ist, einen Befall mit Schadsoftware schnellstmöglich zu erkennen. Manchmal wird dieser vom Kunden bemerkt, weil Daten fehlen, in der Regel sind es aber unsere Systeme, die Alarm schlagen."
Im Rechenzentrum von Swisscom wird, sobald ein System ungewöhn­liche Vorgänge meldet, sofort ein Notfall-Snapshot ausgelöst. Wenn eine Attacke nicht rechtzeitig gestoppt werden kann und deshalb Daten wiederhergestellt werden müssen, wird versucht, den Schaden so gering zu halten wie möglich. Die Endnutzer des betroffenen Unternehmens merken im laufenden Betrieb allerdings nicht viel davon. Sie können während der Datenwiederherstellung zwar auf gewisse Dateien nicht mehr zugreifen, sind aber ansonsten in der Lage, normal weiterzuarbeiten, weil die Dienste weiterhin betrieben werden. "Viele Mitarbeiter bemerken eine Attacke erst, wenn sie im Nachhinein vom Administratoren davon in Kenntnis gesetzt werden mit der Bitte, allfällige Datenverluste zu melden, damit die betroffenen Dateien wiederhergestellt werden können", erklärt Henrik Aicher.


Die im letzten Jahr publik gewordenen Cyberattacken haben aber auch ihr Gutes. "Das Bewusstsein für die Bedrohungslage ist gestiegen. Wir merken, dass Unternehmen heute mehr Wert legen auf Security", sagt Kaeser. "Wenn wir heute zu einem Kunden gehen, sprechen wir nicht mehr mit den Storage-Verantwortlichen, sondern immer öfter mit den Sicherheitsverantwortlichen." Kopfzerbrechen bereitet Swisscom höchstens die nächste Generation von Attacken. "Gefährlich sind neue Bedrohungen, die zeitgesteuert sind und einzelne Dateien über einen längeren Zeitraum kompromittieren. Dabei werden nicht nur Dateiendungen manipuliert oder ganze Files verschlüsselt, sondern die Schadsoftware macht sich am Inhalt zu schaffen und infiziert zum Beispiel ein Bild in einem Word-Dokument mit Schadcode", so Aicher. Solche neuen Bedrohungen sind schwer zu erkennen und erfordern wieder neue Gegenmassnahmen. Das Katz-und-Maus-Spiel geht also weiter. (luc)


Artikel kommentieren
Kommentare werden vor der Freischaltung durch die Redaktion geprüft.

Anti-Spam-Frage: Wieviele Zwerge traf Schneewittchen im Wald?
GOLD SPONSOREN
SPONSOREN & PARTNER