tiagozr - stock.adobe.com
Das sollten Sie über Datenresilienz-Garantien wissen
Datenresilienz-Garantien wie von Druva, Rubrik und AvePoint bieten Datengarantien von bis zu 10 Millionen Dollar, aber Experten warnen die Kunden, das Kleingedruckte zu lesen.
Die Anbieter von Datenmanagementlösungen wie Druva, AvePoint und Rubrik haben damit begonnen, Garantien anzubieten, die die Kosten für Daten, die nicht wiederhergestellt werden können, ausgleichen, obwohl Analysten den Kunden raten, ihre Sorgfaltspflicht zu erfüllen, wenn sie sich für eine dieser Lösungen entscheiden.
Die Kunden dieser Anbieter können oft eine Datenresilienz-Garantie als Teil eines größeren Cloud-Sicherheitsangebots wählen, wobei die Hersteller diese oft als Ransomware Recovery Warranty bezeichnen. Viele dieser Garantien decken Datenverluste ab, die auf Vorfälle wie Ransomware, Personalfehler oder Anwendungsfehler zurückzuführen sind, und sind oft kostenlos beim Kauf oder Abonnement eines Dienstes enthalten. Wenn ein Kunde einen Datenverlust im Sinne der Vereinbarung erleidet, leistet der Anbieter eine Auszahlung auf der Grundlage der Kosten für die Wiederherstellung des Vorfalls.
Die Garantien reichen von einer Million Dollar bei AvePoint bis zu 10 Millionen Dollar bei Druva. Infinidat und Rubrik bieten ebenfalls ähnliche Garantien an, und Dell plant, Anfang 2023 seine eigene Garantie einzuführen. Druva meldet eine zweistellige Zahl von Kunden, seit das Unternehmen die Vereinbarung im August angeboten hat.
Phil Goodwin, Research Vice President bei IDC, sagte, dass diese Garantien zu einem Unterscheidungsmerkmal bei Cyber-Recovery-Angeboten geworden sind.
„Cyber-Recovery und Cyber-Angriffe sind heute ein so großes Thema, dass IT-Organisationen nach allem suchen, was ihnen bei der Verteidigung gegen diese Art von Angriffen helfen kann“, so Goodwin. Darüber hinaus gibt es den Anwendern auch einen finanziellen Rettungsring, denn bei misslungenen Wiederherstellungen bleibt der Nutzer nicht nur mit Datenverlust, sondern auch mit finanziellem Schaden zurück.
Die Analysten mahnen jedoch auch zur Vorsicht, wenn es um solche Garantien geht: Damit die Kunden davon profitieren, müssen sie das Kleingedruckte beziehungsweise die Vertragsvereinbarungen genau lesen.
Was die Anbieter offerieren
Mehr als die Hälfte (58 Prozent) der befragten IT- und Cybersicherheitsexperten gaben an, dass Datenwiederherstellungstests Teil ihres Ransomware-Plans sind, so eine Untersuchung der Enterprise Strategy Group von TechTarget. Darüber hinaus sind fast neun von zehn Unternehmen besorgt, dass ihre Sicherungskopien durch Ransomware-Angriffe beschädigt werden könnten, wobei 43 Prozent angaben, dass sie sehr besorgt sind.
Data-Resiliency-Garantien sind eine weitere Möglichkeit, mit der Anbieter von Disaster Recovery und Backup auf diese Sorgen und Risiken reagieren.
Die Vereinbarung von AvePoint wurde Anfang 2022 als Teil des Ransomware Protection Toolkit eingeführt. Ein Kunde muss die Ransomware-Garantie von AvePoint als Teil eines Abonnements für den AvePoint Cloud-Backup-Service erwerben. Kunden zahlen einen Preis für die Garantie, aber der Anbieter lehnt es ab, den Betrag bekannt zu geben. Vertragsdetails zur Garantie sind unter diesem Link zu finden, generelle Informationen sind in dieser deutschen Broschüre nachzulesen. Der Hersteller macht unmissverständlich klar, dass die Vertragsbedingungen nicht verhandelbar sind.
Es gibt Dienste, die Kunden erwerben können, um einen Ransomware-Angriff zu verhindern, aber sie sollten auch Optionen wie Garantien in Betracht ziehen, wenn diese Dienste versagen. Das ist vor allem bei der Ransomware-Variante relevant, bei der die Verschlüsselung nicht plötzlich und mit einem großen Angriff erfolgt, sondern etwas, das Zeit braucht und erst nach einiger Zeit nach der Infiltration aktiv wird.
Um die Datenschutzgarantie von Rubrik in Anspruch nehmen zu können, müssen Kunden ein Abonnement für die Enterprise Edition von Rubrik, das Angebot des Unternehmens zur Beseitigung von Ransomware, erwerben oder Rubrik Cloud Vault, den vollständig verwalteten Cloud-Service des Unternehmens, in Anspruch nehmen. Kunden benötigen außerdem ein Abonnement für den Customer Experience Manager (CEM) von Rubrik. Der CEM bietet eine monatliche Überprüfung, um die korrekte Konfiguration und die Einhaltung der Best Practices im Bereich Sicherheit zu bestätigen, so das Unternehmen.
Die Enterprise Edition von Rubrik beginnt bei 250 TB für 250.000 US-Dollar. Rubrik Cloud Vault-Kunden beginnen mit denselben Mindestdatenanforderungen und benötigen Abonnements für die Enterprise Edition und den CEM-Service, um die Qualität zu erreichen. Die detaillierte Garantievereinbarung lässt sich hier nachlesen.
Für Druva ist die Garantie für diejenigen Kunden verfügbar, die die Security Posture and Observability Lizenz, ein SaaS-Angebot, erwerben. Bestehende Kunden sind berechtigt, wenn sie die Programmkriterien erfüllen.
Druva, gibt an, dass die Garantie des Unternehmens eine Möglichkeit sei, mit seinen größeren Konkurrenten zu konkurrieren. Sie bietet eine Deckung von bis zu 10 Millionen US-Dollar und deckt sowohl Cyberkriminalität als auch Risiken in den Bereichen Mensch, Anwendung, Betrieb und Umwelt ab. Auch die langfristige Datenaufbewahrung ist Teil der Vereinbarung. Darüber hinaus verspricht die Firma, dass die Daten nicht aus der Cloud abfließen, kompromittiert oder exfiltriert werden können. Die genauen Informationen zur Data-Resiliency-Vereinbarung von Druva sind hier abrufbar.
Im September 2022 stellte der Hersteller SentinelOne ebenso eine Ransomware Warranty vor. Abonnenten der Singularity Platform und des Managed Security Service Provider Agreement des Anbieters können die Garantie in Anspruch nehmen. Die abgedeckten Garantiesummen reichen von 1.000 bis zu einer Million US-Dollar. Auf seiner Webseite stellt das Unternehmen den gesamten Vertragsinhalt zur Verfügung.
Bereits im März 2021 stellte das Unternehmen Deep Instinct eine Ransomware-Garantie vor. Diese sollte im Falle eines Security-Vorfalles bis zu drei Millionen US-Dollar zahlen. Unterstützt wird die Offerte des Anbieters von der Munich Re Group. Obwohl Deep Instinct die Garantie auf seiner Webseite für Ransomware-Lösungen erwähnt, finden sich dort keine weiteren Details zu der Vereinbarung.
Die Firma SecuLution bietet ebenso eine Ransomware-Abwehrlösung mit Garantie an. Zwar lassen sich auf der Webseite einige Details dazu finden, der interessierte Anwender muss allerdings die genauen Vertragsinformationen und die Preise beim Anbieter anfragen.
Vorsicht bei der Unterzeichnung geboten
Marc Staimer, Präsident von Dragon Slayer Consulting, sagt, die Garantien seien ein Versuch, den Kunden ein gewisses Maß an Sicherheit zu geben. Wenn Kunden sich die Zeit nehmen, die Garantie zu prüfen, erfahren sie, unter welchen Umständen sie gilt und was der Anbieter tut, wenn sie versagt. Staimer fügt hinzu, dass die Auszahlungen wahrscheinlich nicht höher sein werden als der Betrag, den der Kunde für die gesamte Sicherheitsdienstleistung bezahlt, und dass für eine Auszahlung eine Dokumentation erforderlich ist, die zeigt, dass die Software oder das System die Garantiebedingungen nicht erfüllt hat.
„Gegen die Garantie ist nichts einzuwenden – sie erweckt den Eindruck, dass der Anbieter mehr Einfluss auf das Spiel und Vertrauen in das Produkt hat“, so Staimer. „Das ist eine gute Sache, aber man muss auch das Kleingedruckte lesen“.
So decken beispielsweise viele Garantien nicht den Datenverlust durch Phishing ab, eine Form des Betrugs, bei der sich der Angreifer in einer E-Mail oder einer anderen Kommunikationsform als eine andere Person ausgibt.
Es ist zudem darauf hinzuweisen, dass viele Garantien nicht für Datenverluste gelten, die durch von Dritten eingeführte Malware oder von Mitarbeitern durch eine Verletzung der Systemsicherheit verursacht wurden, und dass die Kunden Bedingungen und Voraussetzungen erfüllen müssen, um eine Auszahlung zu erhalten.
Gemäß der Vereinbarung von Rubrik sind Datenverluste aufgrund von Schadsoftware, die von Mitarbeitern des Kunden, Lieferanten und Auftragnehmern eingeschleust wurde, nicht abgedeckt. Die Vereinbarung von AvePoint verlangt, dass der Kunde Sicherheitsmaßnahmen einhält, um eine Auszahlung zu erhalten, wie zum Beispiel die Aufrechterhaltung aktueller Endpunktsicherheit, einschließlich Virenschutz, und die Implementierung von Sicherheitsmaßnahmen und von AvePoint genehmigten Best Practices.
IDC-Experte Goodwin fügt hinzu, es sei wichtig zu verstehen, dass eine Datenschutzgarantie eher eine Garantie als eine Cyberversicherung sei, die dazu beitrage, die finanziellen Risiken im Zusammenhang mit Online-Geschäften zu verringern. Er betont, dass beide Optionen eine gute Idee sind, und es sei wichtig, die Details zu verstehen, um mögliche Missverständnisse über die Abdeckung zu vermeiden.