Und tatsächlich verfügen die Cloud-Anbieter über technische Möglichkeiten, von denen die IT-Abteilung eines durchschnittlichen Wirtschaftsunternehmens nur träumen kann: zahlreiche, weltweit verteilte und meist einschlägig zertifizierte Rechenzentren mit leistungsstarker Infrastruktur und optimaler Netzanbindung, dazu ein Heer von Spezialisten zur Wartung und Weiterentwicklung von Hard- und Software. Ist es da überhaupt noch nötig, eine eigene Backup- und Wiederherstellungsstrategie zu verfolgen?
Die weite Verbreitung von Clouddiensten macht sie gleichzeitig zu einem lohnenden Angriffsziel für Cyber-Kriminelle. Zwar sind die Hürden hoch, die es zu überwinden gilt, doch Fälle wie der „Microsoft-Cloud-GAU“ im vergangenen Sommer zeigen, dass es nicht völlig unmöglich ist. Wesentlich häufiger noch ist der Weg über die Hintertür: eine erfolgreiche Phishing-Attacke gibt Angreifern Zugriff auf die begehrten Daten, die dann verschlüsselt werden können. Die Cloud-Backups werden ausgehebelt, indem die automatische Dokumenten-Versionierung missbraucht wird: Es kann immer nur eine begrenzte Zahl von Versionen einer Datei vorgehalten werden – wird diese überschritten, wird die älteste gelöscht. Es muss also nur die verschlüsselte Datei oft genug gespeichert werden, um das Backup unbrauchbar zu machen. Dann heißt es: Wohl dem, der noch eine weitere Backup-Ebene eingezogen hat.
Eine der am häufigsten eingesetzten Cloud-Lösung ist zweifellos Microsoft 365 (M365). Hervorgegangen aus dem bekannten Office-Paket (Word, Excel, PowerPoint, …) und kontinuierlich weiterentwickelt hat M365 eine beträchtliche Marktdurchdringung. Einen zusätzlichen Boost hat der von der Corona-Pandemie initiierte Trend zum Home-Office gebracht – Stichwort „MS Teams“. So überrascht es nicht, wenn geschätzte 80 % der ungezielten Angriffe in diese Richtung gehen. Man tut also gut daran, sich auf den Ernstfall vorzubereiten und ein externes Backup anzulegen, verbunden mit einem Plan zur Datenwiederherstellung. Hier klafft eine Lücke in der Cyber-Resilienz-Strategie vieler Unternehmen.
Heutige Backupkonzepte basieren in der Regel auf der „3-2-1“-Regel: Drei unabhängige Kopien jeder Datei auf mindestens zwei verschiedenen Medien (Airgap) – zum Beispiel Cloud(s) und Data Center. Auf eine dieser Kopien darf nicht elektronisch zugegriffen werden können. Für M365 heißt das, dass ein Backup in der Cloud eines anderen Anbieters (etwa AWS) und ein weiteres lokal im Data Center angelegt werden sollte – beide immutable (unveränderlich) und verschlüsselt. Diese Herangehensweise gilt als Best Practice und wird nicht zuletzt auch von Cyberversicherungen gefordert.
Bei der Planung und Umsetzung einer Backup-Strategie steht man zunächst vor der Entscheidung, ob sie in Eigenregie erfolgen oder als Managed- oder Co-Managed-Service eingekauft soll. Da für viele Unternehmen einer der Gründe für den Wechsel in die Cloud die Entlastung der eigenen IT ist, gibt es in der Praxis eine Tendenz zu letzterem.
Bei der Auswahl eines externen Dienstleisters sollten verschiedene Aspekte bedacht werden:
- Wer übernimmt die Erst-Einrichtung des Backups?
- Wer stellt den Backup-Speicherplatz bereit und verwaltet ihn?
- Wer ist für den laufenden Betrieb zuständig (Überwachung und Aufspielen von Updates/Patches)?
- Wie sind Art und Umfang des technischen Supports durch den Dienstleister?
- Soll die Lösung On Premise oder als Software as a Service (Saas) betrieben werden? Letzteres ist im Sinne der 3-2-1-Regel schwieriger umzusetzen.
Tipp: Oft ist schon eine zugekaufte Backup-Lösung im Einsatz, die ggf. kostengünstig erweitert werden kann.
Für die Einrichtung des Backups sind Vorüberlegungen zu machen:
- Welchen Umfang soll die Sicherung haben, bzw. welche Dienste sollen abgedeckt werden? Empfehlung: mindestens Exchange Online, SharePoint/OneDrive und Teams
- Ist die Datenhaltung (Data Retention) geklärt? Wie weit in die Vergangenheit soll/darf das Backup reichen?
- Datenschutz-Gesetzgebung: Findet ein Datentransfer in ein unsicheres Drittland statt? Kann ein rechtssicherer Vertrag zur Auftragsdatenverarbeitung geschlossen werden?
- gesetzliche Aufbewahrungsfristen: Auch im Backup dürfen Daten nicht endlos verbleiben.
Bedenken sollte man unbedingt auch, wie die Daten im Fall der Fälle aus dem Backup wiederhergestellt werden können. So sollte es einen Notfallplan geben, aus dem für alle Beteiligten hervorgeht, wer für was zuständig ist – was macht der Dienstleister, was man selbst?
Und es sollte ein Vorfallreaktionsplan (Incident Response Plan, IRP) erstellt und eingeführt werden, damit alle Mitarbeitenden wissen, wie sie eine Sicherheitsverletzung erkennen können und wie sie sich in diesem Fall verhalten müssen.
Fazit
Auch in der Cloud sind Daten nicht uneingeschränkt geschützt – auch der sicherste Tresor nützt nichts, wenn ein Einbrecher den Schlüssel hat. Deshalb ist man gut beraten, mit einer durchdachten Backup-Strategie vorzusorgen.