Getty Images/iStockphoto
Sicherheitsbedrohungen erfordern Data Protection für Backups
Bedrohungen für SaaS-Apps und Ransomware-Attacken zwingen IT-Abteilungen von Firmen und Anbietern strenge Richtlinien und Verfahren zum Schutz von Backup-Daten einzurichten.
SaaS-Backup-Anbieter werben oft damit, dass sie einfache und intuitive Möglichkeiten zur Verwaltung von Datensicherungen bieten und den einst mühsamen Prozess des Austauschs von Platten und Bändern in ein paar Klicks in einer Webkonsole verwandeln. Aber dieselben SaaS-Produkte haben auch neue Angriffsflächen für Cyberangriffe, unbeabsichtigte menschliche Fehler und sogar höhere Gewalt geschaffen.
Backup-Experten und -Anbieter stellen seit Jahren fest, dass Anbieter von Backup as a Service (BaaS) in den meisten Fällen nicht für verlorene oder gestohlene Daten haften. Sie stehen auch vor der Herausforderung, eine schnelle Produktentwicklung mit der Datensicherheit in Einklang zu bringen.
Cyberkriminelle suchen nach Sicherheitsschwachstellen von BaaS-Anbietern, da Kundendaten nicht nur für das anvisierte Unternehmen, sondern auch für den Anbieter wichtig sind und ein Verlust dieser auch dessen Ruf aufs Spiel setzt.
Somit wird jeder BaaS-Anbieter zu einem lukrativen Angriffsziel und Hacker werden Service-Provider ins Visier nehmen, die Teil der Lieferkette für eine Firma sind. Allein schon aus diesem Grund müssen Backup-Systeme als Komponente der Sicherheitsstrategie angesehen werden.
Zerstören und Zugreifen
Zu den jüngsten Angriffen auf Backup-Dienste gehören die Datenverletzungen bei Rubrik, einem Anbieter von Cybersicherheits- und Backup-Diensten, und bei Western Digital, dem Betreiber des Dienstes My Cloud für die Sicherung von Kundendaten einschließlich Fotos und Videos.
Rubrik führte die Sicherheitsverletzung auf eine bekannte Zero-Day-Schwachstelle in der GoAnywhere Managed File Transfer Software von Fortra, einem anderen Cybersicherheitsunternehmen, zurück. Diese Schwachstelle betraf nicht nur Rubrik, sondern auch andere Unternehmen wie die Hatch Bank, Procter and Gamble und Saks Fifth Avenue.
Eine kriminelle Gruppe, die sich auf russische Verbindungen stützt, erklärte sich für die Angriffe auf die Fortra-Schwachstelle verantwortlich und drohte damit, Informationen aus diesen Hacks auf einer Website für Datenlecks zu veröffentlichen.
Western Digital behauptet unterdessen, einen Netzwerksicherheitsvorfall erlitten zu haben, der dazu führte, dass Angreifer Daten aus den Systemen des Unternehmens erbeutet haben. Obwohl My Cloud und andere Western-Digital-Dienste nach 11 Tagen wieder zur Verfügung standen, muss das Unternehmen noch bestätigen, welche Daten auf welche Weise entwendet wurden.
Selbst wenn die SaaS-Backup-Daten eines Unternehmens sicher in einem Rechenzentrum gespeichert sind, besteht immer noch die Möglichkeit, dass sie durch eine Naturkatastrophe verloren gehen.
OVHCloud, ein europäischer Anbieter von Cloud- und Datenspeichern, musste mit ansehen, wie sich die Daten von mehr als 100 seiner Kunden in Rauch auflösten, als eines seiner Rechenzentren in Straßburg, Frankreich, vor einigen Jahren in Brand geriet. Jetzt sieht sich das Unternehmen mit Klagen von Kunden konfrontiert, da die örtlichen Feuerwehren unter anderem auf fehlende Brandschutzsysteme vor Ort hinwiesen.
Aus Erfahrungen lernen
Michael Mestrovich, Vice President und CISO bei Rubrik, der die Sicherheitslücke in einem Blogbeitrag bekannt gab, erklärte, dass die betroffenen Daten keine Kundendaten oder Daten, die unter dem Schutz von Rubik-Produkten stehen, sind. Stattdessen ermöglichte die Schwachstelle Angreifern den Zugriff auf Informationen in einer nicht produktiven IT-Testumgebung.
Nach dem Angriff führte Rubrik eine forensische Analyse durch, um mögliche Eintrittspunkte für Hacker aufzuspüren, einschließlich einer Überprüfung von Daten-Snapshots und einer Prüfung durch eine dritte Partei, sagte Mestrovich.
Als ehemaliger CISO der CIA und des US-Außenministeriums sagte Mestrovich, dass Rubrik sich seiner Bedeutung in den Technologie-Stacks der Kunden bewusst ist, einschließlich der Tatsache, dass es als letzte Verteidigungslinie vor einem Angriff dienen kann. Aber der anhaltende Druck auf die Anbieter, neue Produkte auf den Markt zu bringen, sowie menschliches Versagen auf Seiten des Kunden oder des Anbieters lassen immer noch einige Sicherheitslücken offen.
„Wir sitzen im selben Boot wie jedes Unternehmen oder jede öffentliche Einrichtung“, so Mestrovich. „Es gibt viel mehr Dinge, die man schützen muss, als man Zeit oder Geld hat, um dies zu tun. Die Möglichkeit für jeden, Rechte oder Privilegien in einer anderen Umgebung zu haben, ist stark eingeschränkt.“
Nach einem Angriff ins Geschäftsleben zurückkehren
Das öffentliche Eingeständnis des Sicherheitsverstoßes und die Behebung des Problems sind eine Geste des guten Willens gegenüber den Kunden von Rubrik. Der Lösungsanbieter ist sich bewusst, dass wie er auch jeder andere BaaS-Anbieter ein Ziel für Hacker ist.
Bei der Auswahl von Backup-SaaS-Diensten sollten Firmen unbedingt darauf achten, welche Dienste ein Backup-SaaS-Anbieter innerhalb seines eigenen Stacks verwendet. Kunden sollten sich nach Verschlüsselungsstandards, der Trennung von Netzwerk-Multi-Tenancy und Infrastruktur-Patching-Zyklen erkundigen und mit einem BaaS-Anbieter zusammenarbeiten, der Standards verwendet, die mit ihren eigenen übereinstimmen.
Der Anbieter sollte in der Lage sein, dieses Maß an Transparenz zu bieten, damit der Kunde weiß, wie seine Daten gehandhabt werden und Anwender müssen diese Fragen stellen. Gerade in Sachen Security sollten Unternehmen keine Kompromisse eingehen. Der Dienstleister sollte die internen Sicherheitsanforderungen seiner Kunden erfüllen.
Clevere Angreifer sind sich bewusst, dass Backups ein entscheidender Teil des Wiederherstellungsprozesses eines Unternehmens sind, so dass die Zerstörung oder Entfernung dieser Dateien ein wichtiger Teil der Erpressung ist. Damit wird die Möglichkeit einer Wiederherstellung verhindert und eine Lösegeldforderung ist meist der nächste Schritt.
Bei der Auswahl von SaaS-Backup-Optionen sollten Kunden vor allem auf die Unveränderbarkeit von Snapshots achten, um Änderungen an Unternehmensdaten zu verhindern, falls Daten gestohlen werden oder auf eine wichtige Steuerungsebene zugegriffen wird.
Die Strategie hängt auch davon ab, wie ein bestimmter Backup-Anbieter seine Sicherheit handhabt und Backups durchführt. Dropbox ist ein beliebter Dateispeicherdienst, der vor einigen Jahren seine Betriebsumgebung von AWS auf eine firmeneigene Umgebung umgestellt hat. Derartige Änderungen können sich auf frühere Annahmen zur Sicherheit und Datensouveränität auswirken, so dass die Kunden sich über Änderungen in den Servicevereinbarungen informieren müssen.
IT-Teams sollten auch weiterhin die Bedeutung der Multifaktor-Authentifizierung oder der Genehmigung durch mehrere Benutzer implementieren und betonen, da dieser Prozess eine weitere Kontrolle gegen Missbrauch darstellt. Sowohl Kunden als auch Anbieter können nicht davon ausgehen, dass selbst ihre stabilsten Praktiken sie immun machen, da die Anzahl der Personen, die auf der Suche nach einem Ransomware-Zahltag sind, Zeit haben, auf ihre Gelegenheit zu lauern. Es gibt zahlreiche Kriminelle, die es auf diese Software-Anbieter abgesehen haben und dediziert nach Schwachstellen suchen.
Selbst der sicherste Code ist immer noch anfällig für menschliche Fehler durch Social-Engineering-Kampagnen oder Fehlkonfigurationen, so dass eine Kombination aus Schulung und strengen Tests wichtig ist, um funktionierende Backups zu gewährleisten. Das heißt, dass nicht nur Schulungen zum Thema Phishing oder E-Mail-Sicherheit, sondern auch zu Social
Darüber hinaus optimiert es die Backup-Sicherheit, wenn man sich über die besten Praktiken der Sicherheitshygiene auf dem Laufenden hält. Angriffe, die sich auf die Unternehmenssicherheit auswirken, führen zu kompromittierten Backups und könnten die Möglichkeit von Ransomware mit sich bringen. Backups und Data Protection spielen eine besondere Rolle im Sicherheitskonzept. Beides muss miteinander verzahnt werden, um die Sicherheit von Daten und Geschäftsprozessen zu erhöhen.