Schutz für die IT in Unternehmen – Teil II – Datensicherung

Gastbeitrag der Consato GmbH, Forchheim:

Der zweite Teil beschäftigt sich damit, wie eine angemessene Datensicherung aussehen muss, damit im Schadensfall die Daten wiederhergestellt werden können.

Locky und ähnliche Krypto-Trojaner bedrohen die IT in Unternehmen. Kommt es zu einem Befall, dann werden alle für den Trojaner erreichbaren Dokumente verschlüsselt. Die Schadprogramme nutzen keine neuen Sicherheitslücken, sondern verbreiten sich über bekannte Schwachstellen. Die schlechte Nachricht ist, dass es für PCs mit Internetzugang keinen hundertprozentigen Schutz gibt. Die gute Nachricht dagegen ist, dass mit überschaubarem Aufwand die Gefahr auf ein Minimum reduziert werden kann.

Da der Befall mit einem Krypto-Trojaner nie ganz ausgeschlossen werden kann, liegt das erste Augenmerk auf der Frage, wie man nach einem Befall wieder an die Daten kommt.

Teil 2: Die Datensicherung als Rettungsanker bei Krypto-Trojanern

Eine regelmäßige und vollständige Datensicherung ist ein Muss für jedes Unternehmen. Schließlich sind die Daten nicht nur durch Krypto-Trojaner bedroht, sondern auch durch Festplattenausfälle, Überspannungsschäden und vieles mehr.

Datensicherung, eine Übersicht

Umfang: Alle Computer mit geschäftskritischen Daten werden gesichert.

Werden etwa Briefe, Tabellen etc. lokal auf dem Arbeitsplatz abgelegt, dann wird auch dieser gesichert … Oder … Die Daten werden auf einen Server verschoben.

Schattenkopien (s.u.) auf allen Server-Partitionen sind aktiviert.

  • Kein regulärer Benutzer hat die Rechte eines Domänen-Administrators, Server-Administrators oder Sicherungs-Administrators.
  • Es erfolgt eine tägliche Sicherung aller Server-Daten auf ein externes Medium.
  • Sind die Server virtualisiert, dann wird zum Zweck der Datensicherung die gesamte virtuelle Maschine gesichert (etwa über Veeam Backup).
  • Wenn auf ein externes Laufwerk gesichert wird (USB Platte, NAS etc.), dann darf kein Benutzer schreibenden Zugriff auf diese Sicherung haben.
  • Kann man auf die Datensicherung von den Servern aus zugreifen (etwa über einen Laufwerksbuchstaben), dann werden diese Medien regelmäßig gewechselt oder es wird eine regelmäßige Kopie der Sicherung angefertigt.
  • Diese Sicherungskopie ist im normalen Betrieb nicht an den Server angeschlossen.
  • Der Wechsel bzw. die Erstellung einer weiteren Kopie erfolgt spätestens nach einer Woche.
  • Das Protokoll der Sicherung wird per Mail an den Systembetreuer gesendet und dort täglich geprüft.
  • Das Ausbleiben des täglichen Protokolls wird bemerkt.
  • Die Rücksicherung wird regelmäßig (mindestens 1 x pro Jahr) getestet.

Schattenkopien

Schattenkopien sind eine besonders einfache Möglichkeit, um eine laufende, kleine Datensicherung sicherzustellen. Jeder Windows Server bietet diese Funktion. Dabei werden zu einem festgelegten Zeitpunkt Kopien von allen Daten des Servers angelegt und können über den Datei-Explorer wieder hergestellt werden. Der Platzbedarf ist im Vergleich zu den Originaldaten minimal. Ideal ist eine Konfiguration, bei der zweimal täglich Schattenkopien erstellt werden (z.B. 12:00 Uhr und 18:00 Uhr).

Wichtig:

Schattenkopien sind dennoch kein Ersatz für eine echte Datensicherung. Schattenkopien sind sehr platzsparend, benötigen aber dennoch Plattenplatz. Im Idealfall sind die Server-Platten nur bis zu 60% mit Daten belegt.

Krypto-Trojaner versuchen in der Regel Schattenkopien zu löschen. Das gelingt ihnen nicht, wenn kein Benutzer beim normalen Arbeiten administrative Rechte für den Server hat (Server-Administrator, Domänen-Administrator oder Sicherungs-Administrator)

Tägliche Sicherung des Servers auf externe Medien

Eine Datensicherung sichert täglich alle Daten der Server auf externe Medien. Am wirtschaftlichsten sind dabei Backup-Server, NAS Geräte oder USB-Festplatten. Am sichersten sind Bänder und Ähnliches.

Wichtig:

Es wird täglich eine vollständige Sicherung des Datenbestandes durchgeführt; diese darf inkrementell sein. Idealerweise wird eine Sicherung gewählt, mit der eine sogenannte „Bare Metal Recovery“ möglich ist. Das bedeutet, dass das Server-Betriebssystem mitsamt seiner Daten wiederherstellbar ist (die Rücksicherung von Domänen Controllern, Exchange Servern etc. ist sehr aufwändig, wenn nur die Daten gesichert wurden).

Wenn Server virtualisiert sind

Sind die Server virtualisiert (Hyper-V, Vmware etc.), dann wird täglich die gesamte virtuelle Maschine gesichert. Produkte wie Veeam Backup ermöglichen inkrementelle Sicherungen von gesamten Systemen. Die Wiederherstellung solcher Sicherungen ist denkbar einfach.

Sicherung auf Backup-Server, NAS Geräte und USB-Festplatten

In Unternehmen kommen zur Sicherung verstärkt Backup-Server und NAS Geräte, aber auch USB-Festplatten zum Einsatz. Sie bieten ein hohes Datenvolumen und kurze Sicherungszeiten zu niedrigen Kosten. Da sie aber in der Regel dauerhaft mit den Servern verbunden sind, besteht die Gefahr, dass diese Sicherung ebenfalls durch einen Krypto-Trojaner verschlüsselt wird.

Wichtig:

  • Kein regulärer Benutzer hat von seinem PC aus Schreibzugriff auf die Sicherungsdaten.
  • Ist die Sicherung über einen Laufwerksbuchstaben von den Servern aus erreichbar, dann wird von der Sicherung eine regelmäßige Kopie erstellt und danach vom Server getrennt.
  • Erfolgt die primäre Sicherung auf ein Plattensystem (Backup-Server, NAS etc.), dann sind die Platten mindestens mit einem RAID1 gegen Ausfall gesichert.

Einzelne USB Festplatten sind daher wegen ihrer mangelnden Redundanz eher nicht für die primäre Sicherung geeignet

Kontrolle der Sicherung

Sicherungen sind der letzte Anker, der Unternehmen vor einem Datenverlust schützt. Ob eine Sicherung aber tatsächlich funktioniert hat, stellt sich erst dann heraus, wenn sie benötigt wird. Eine regelmäßige Prüfung der Datensicherung ist wichtig ebenso die tägliche Prüfung der Ergebnisse der Sicherungsläufe.

Wichtig:

  • Jeder Sicherungslauf protokolliert seine Tätigkeit und eventuelle Fehler.
  • Dieses Protokoll wird per Mail an den Systembetreuer geschickt und täglich kontrolliert.
  • Die Kontrolle ist so organisiert, dass der Systembetreuer auch das Fehlen des täglichen Protokolls registriert.

In regelmäßigen Abständen – mindestens einmal jährlich – wird eine testweise Rücksicherung der Systeme und Daten durchgeführt

Meine Kollegen und ich stehen Ihnen bei Fragen gerne zur Verfügung.

Robert Sappert-Ernst
r.sappert@consato.de