2024-1-5-oebm-der-osterreichische-baustoffmarkt - HOLCIM Der Grüne Zement
THEMA CYBER SECURITY Datensicherung Über Risiken und mögliche unerwünschte Nebenwirkungen Datensicherung gehört heute zu den absoluten Mindestanforderungen, wenn es um Datensicherheit geht. Seine Daten regelmäßig zu sichern, klingt auf den ersten Blick recht einfach, stellt sich im Ernstfall jedoch oft als problematisch heraus. Teil 1 Wir alle kennen die Berichte von Ransomware-Angriffen, nach denen verschlüsselte Daten durch Lösegeldzahlungen wieder freigekauft wurden. Nicht nur dass in solchen Fällen schon Sicherheitsprobleme zum Ransomware-Befall führten, offenbar war auch das Datensicherungskonzept mangelhaft, wenn einer Wiederherstellung offenbar nicht der Vorzug vor der Lösegeldzahlung gegeben wurde. WAS BEDEUTET DATENSICHE- RUNG? Backups werden erstellt, um im Falle eines Verlustes der Daten oder der zugrundeliegenden Systeme diese wiederherzustellen. Klar zu unterscheiden sind hier sämtliche Replikations- und Spiegelmechanismen (z.B. Festplattenspiegelungen, redundante Datenbanken, hochverfügbare Server an unterschiedlichen Standorten, etc.). Diese halten denselben Datenstand synchron. Dies erfüllt nicht die Anforderungen an eine Datensicherung und können im schlimmsten Fall dazu führen, dass dann die Daten zwar an mehreren Stellen vorrätig sind, sich aber z.B. korrupte Daten dann ebenfalls verteilen. In der Informationstechnologie kommt der Datensicherung weiters eine besondere Bedeutung zu: Sie ist in den meisten Fällen die „letzte Verteidigungslinie“. Für die meisten Systeme gibt es in Falle eines Ausfalles oder Datenverlustes noch einen „Plan-B“, nämlich die Datensicherung als letztes Rettungsseil. Bei der Datensicherung selbst gibt es daher kaum Spielraum für funktionale Probleme. RISIKEN BEIM THEMA DATEN- SICHERUNG In den letzten beiden Ausgaben haben wir uns mit der Bedeutung des IT- Autor Mag. Ing. Gottfried Schittenkopf I-SYSTEMS IT-Service GmbH Sellrainer Straße 3 6175 Kematen in Tirol office@iits.at www.i-systems.at Grundschutzes des Deutschen Bundesamtes für Informationssicherheit (kurz BSI)[1] beschäftigt, der dem Thema im Baustein „Konzepte und Vorgehensweisen“ (CON) ein eigenes Kapitel „CON.3-Datensicherungskonzept“ widmet [2]. Hier werden folgende Gefährdungen aufgelistet: Fehlende Datensicherung: Existiert generell oder von Teilen der Daten/Systeme keine Sicherung, so kann dies je nach Wichtigkeit der Da- Anforderung CON.3.A1 Erhebung der Einflussfaktoren der Datensicherung CON.3.A2 Festlegung der Verfahrensweise für die Datensicherung CON.3.A4 Erstellung von Datensicherungsplänen CON.3.A5 Regelmäßige Datensicherung CON.3.A12 Sichere Aufbewahrung der Speichermedien für die Datensicherungen CON.3.A14 Schutz von Datensicherungen CON.3.A15 Regelmäßiges Testen der Datensicherungen CON.3.A6 Entwicklung eines Datensicherungskonzepts CON.3.A7 Beschaffung eines geeigneten Datensicherungssystems CON.3.A9 Voraussetzungen für die Online-Datensicherung CON.3.A12 Geeignete Aufbewahrung der Backup-Datenträger CON.3.A13 Einsatz kryptografischer Verfahren bei der Datensicherung Typ Basis Basis Basis Basis Basis Basis Basis Standard Standard Standard Standard Erhöht Tabelle 1: Grundschutz-Anforderungen gemäß Baustein CON.3 – Datensicherungskonzept [3] 12 | 5 . 2024
THEMA CYBER SECURITY ten im Schadensfall schnell existenzbedrohend werden. Fehlende oder unzureichende Dokumentation bzw. Wiederherstellungstests: Wenn beim vorigen Punkt noch meist jeder zustimmend nickt, wird dieser Punkt schon öfter stiefmütterlich behandelt. Fakt ist jedoch, dass Backup unbedingt regelmäßig, oder gar automatisiert, getestet werden muss, damit eine fehlerfreie Rücksicherung sichergestellt ist. Ebenso muss exakt dokumentiert werden, was wie gesichert wird und wie es womit wiederhergestellt werden kann. Im Ernstfall darf es keine Verzögerungen durch mangelnde Dokumentationen geben, und eine Datensicherung ist schnell wertlos, wenn bei Bedarf eine Wiederherstellung nicht gelingt. Ungeeignete Aufbewahrung der Datenträger von Datensicherungen: Die Datenträger müssen gegen Diebstahl, Manipulation und Schäden durch äußere Einflüsse geschützt gelagert werden. Die Sicherungsdatenträger direkt beim Server zu lagern, ist leider immer noch ein weitverbreiteter Missstand, der sich im Falle von Einbruch oder Brand/ Wasserschaden schnell rächt, wenn dann Server und Sicherungen verloren sind. Missachtung gesetzlicher Vorschriften: Versäumnisse hier (z.B. bei Verstoß gegen Datenschutzgesetze) führen u.U. zu Strafen und Schadensersatzforderungen. Unsichere Anbieter für Online-Datensicherungen: Für Cloudspeicher gilt generell das gleiche wie zuvor zu Datenträgern erwähnt: Ein mangelnder Schutz vor Zugriffen kann hier zu Datenpannen führen. Ein leider ebenfalls bei Cloud- Speichern oft nicht ausreichend beachteter Aspekt sind die kurzfristigen Verfügbarkeiten bei einer Rücksicherung: Mehrere Terrabytes an Daten aus der Cloud herunterzuladen, kostet je nach Bandbreiten u.U. massiv Zeit, die im Ernstfall nicht verfügbar ist. Ungenügende Speicherkapazitäten/ Datensicherungsgeschwindigkeit: Heutzutage nimmt die Datenmenge stetig zu und Speicherplatz kostet Geld. Bei Datensicherungen werden jedoch nicht nur die aktuellen Daten wegkopiert, sondern es sollen ja auch zurückliegende Versionen / Datenstände erhalten bleiben. Zwar helfen Backupstrategien wie Incremental-Only (nach einer Vollsicherung werden nur mehr Änderungen gesichert) in Kombination mit Datendeduplizierung (ein Verfahren, bei dem wiederkehrende gleiche Datenblöcke nur einmal gespeichert werden), dennoch wird hier gerne mal der Platz mit der Zeit knapp. Im schlimmsten Fall wird das durch fehlende Überwachung übersehen und das Backup kann nicht mehr erfolgreich gesichert werden. Ansonsten wird auch oft durch Reduzierung der Aufbewahrungszeiträume eine anstehende Kapazitätserhöhung für Sicherungsdaten hinausgezögert, was wiederum auf Kosten der Datensicherheit geht. Entscheidend bei hohen Datenmengen ist auch die Geschwindigkeit einer Datensicherung: Wenn das z.B. nachts laufende tägliche Backup am Morgen noch läuft, kann es den Betrieb beeinträchtigen. Und falls ein tägliches Backup nicht bis zum nächsten geplanten Start fertig wird, sind Probleme vorprogrammiert. Unzureichendes Datensicherungskonzept: Ein Datensicherungskonzept muss zumindest dokumentieren, welche Systeme mit welchen Daten existieren und wie sie gesichert und wie eine Wiederherstellung möglich ist und was (Hardware, Software, Datenträger, Verschlüsselungskeys, Zugangsdaten, etc.) zur Wiederherstellung erforderlich ist. Es wäre nicht das erste Mal, dass der Passwort-Safe mit den benötigten Recovery- Keys oder Passwörtern am Datenträger liegt, der damit wiederhergestellt werden soll. Ransomware: Die Verschlüsselung von Daten durch Schadsoftware ist ein schönes Beispiel, wie wichtig eine funktionierende Datensicherung sein kann. Doch hier besteht das Risiko, dass durch mangelnde Trennung oder Absicherung der Sicherungsdatenstände auch Backups mitverschlüsselt werden und wertlos werden, was es zu verhindern gilt. Die bloße Kenntnis der Risiken liefert noch kein Datensicherungskonzept, hilft aber bei der Anforderungserstellung. Hierfür gibt es die passenden Anforderungskriterien, unterschieden nach Basis-, Standard- und erhöhten Anforderungen (siehe Tabelle 1). Anhand der Anforderungen des Grundschutzes sowie der ebenfalls vom BSI bereitgestellten Umsetzungshinweise [4] kann einerseits ein bestehendes Datensicherungskonzept evaluiert und ggf. verbessert werden, oder auch ein noch aufzubauendes System geplant und umgesetzt werden. Dies werden wir uns in Teil 2 dieses Artikels in der kommenden Ausgabe näher anschauen. y Quellen [1] Bundesamt für Sicherheit in der Informationstechnik; IT-Grundschutz- Kompendium, 2023 [2] Bundesamt für Sicherheit in der Informationstechnik; IT-Grundschutz- Kompendium, 2023, Konzepte und Vorgehensweisen CON.3 [3] Bundesamt für Sicherheit in der Informationstechnik; IT-Grundschutz- Kompendium, 2023, Konzepte und Vorgehensweisen CON.3 Seite 4 ff. Docs/Downloads/DE/BSI/Grundschutz/ Umsetzungshin weise/Umsetzungshinweise_2022/ [4] https://www.bsi.bund.de/Shared- Umsetzungshinweis_zum_Baustein_CON_3_Datensicherungskonzept. pdf?__blob=publicationFile&v=2#downl oad=1, abgerufen 09.05.2024 5 . 2024 | 13
- Seite 1 und 2: Der Österreichische Baustoffmarkt
- Seite 3 und 4: E D I T O R I A L Verkäufer und Be
- Seite 5 und 6: Bild:BS Tamsweg 23 Bild: Richard Vo
- Seite 7 und 8: AUFTAKT WASSERMANAGEMENT Tatsächli
- Seite 9 und 10: AUFTAKT FENSTER/TÜREN/TORE Saniere
- Seite 11: AUFTAKT FENSTER/TÜREN/TORE ACHTUNG
- Seite 15 und 16: Kocher zur aktuellen Wirtschaftssit
- Seite 17 und 18: AKTUELL INTERVIEW Gibt es große Un
- Seite 19 und 20: VERBÄNDE VBÖ-Webinar ESG Deep Div
- Seite 21 und 22: VERBÄNDE Vorstandswahl Österreich
- Seite 23 und 24: VERBÄNDE GDI 2050 Tempo für die B
- Seite 25 und 26: HANDEL Schilowsky Händler von Lös
- Seite 27 und 28: HANDEL Lagerhaus Weinviertel Ost Ge
- Seite 29 und 30: INDUSTRIE NEWS amaZone-Award 2024 B
- Seite 31 und 32: W E B G U I D E BAUSTOFFE RÖFIX AG
THEMA<br />
CYBER SECURITY<br />
Datensicherung<br />
Über Risiken und mögliche unerwünschte Nebenwirkungen<br />
Datensicherung gehört heute zu den absoluten Mindestanfor<strong>der</strong>ungen,<br />
wenn es um Datensicherheit geht. Seine Daten regelmäßig zu sichern, klingt<br />
auf den ersten Blick recht einfach, stellt sich im Ernstfall jedoch oft als<br />
problematisch heraus.<br />
Teil 1<br />
Wir alle kennen die Berichte von<br />
Ransomware-Angriffen, nach<br />
denen verschlüsselte Daten durch Lösegeldzahlungen<br />
wie<strong>der</strong> freigekauft wurden.<br />
Nicht nur dass in solchen Fällen<br />
schon Sicherheitsprobleme zum Ransomware-Befall<br />
führten, offenbar war<br />
auch das Datensicherungskonzept mangelhaft,<br />
wenn einer Wie<strong>der</strong>herstellung<br />
offenbar nicht <strong>der</strong> Vorzug vor <strong>der</strong> Lösegeldzahlung<br />
gegeben wurde.<br />
WAS BEDEUTET DATENSICHE-<br />
RUNG?<br />
Backups werden erstellt, um im Falle<br />
eines Verlustes <strong>der</strong> Daten o<strong>der</strong> <strong>der</strong><br />
zugrundeliegenden Systeme diese wie<strong>der</strong>herzustellen.<br />
Klar zu unterscheiden<br />
sind hier sämtliche Replikations- und<br />
Spiegelmechanismen (z.B. Festplattenspiegelungen,<br />
redundante Datenbanken,<br />
hochverfügbare Server an unterschiedlichen<br />
Standorten, etc.). Diese<br />
halten denselben Datenstand synchron.<br />
Dies erfüllt nicht die Anfor<strong>der</strong>ungen an<br />
eine Datensicherung und können im<br />
schlimmsten Fall dazu führen, dass dann<br />
die Daten zwar an mehreren Stellen vorrätig<br />
sind, sich aber z.B. korrupte Daten<br />
dann ebenfalls verteilen.<br />
In <strong>der</strong> Informationstechnologie<br />
kommt <strong>der</strong> Datensicherung weiters eine<br />
beson<strong>der</strong>e Bedeutung zu: Sie ist in den<br />
meisten Fällen die „letzte Verteidigungslinie“.<br />
Für die meisten Systeme gibt es<br />
in Falle eines Ausfalles o<strong>der</strong> Datenverlustes<br />
noch einen „Plan-B“, nämlich die<br />
Datensicherung als letztes Rettungsseil.<br />
Bei <strong>der</strong> Datensicherung selbst gibt es<br />
daher kaum Spielraum für funktionale<br />
Probleme.<br />
RISIKEN BEIM THEMA DATEN-<br />
SICHERUNG<br />
In den letzten beiden Ausgaben haben<br />
wir uns mit <strong>der</strong> Bedeutung des IT-<br />
Autor<br />
Mag. Ing. Gottfried Schittenkopf<br />
I-SYSTEMS IT-Service GmbH<br />
Sellrainer Straße 3<br />
6175 Kematen in Tirol<br />
office@iits.at<br />
www.i-systems.at<br />
Grundschutzes des Deutschen Bundesamtes<br />
für Informationssicherheit (kurz<br />
BSI)[1] beschäftigt, <strong>der</strong> dem Thema im<br />
Baustein „Konzepte und Vorgehensweisen“<br />
(CON) ein eigenes Kapitel<br />
„CON.3-Datensicherungskonzept“ widmet<br />
[2]. Hier werden folgende Gefährdungen<br />
aufgelistet:<br />
Fehlende Datensicherung:<br />
Existiert generell o<strong>der</strong> von Teilen <strong>der</strong><br />
Daten/Systeme keine Sicherung, so<br />
kann dies je nach Wichtigkeit <strong>der</strong> Da-<br />
Anfor<strong>der</strong>ung<br />
CON.3.A1 Erhebung <strong>der</strong> Einflussfaktoren <strong>der</strong> Datensicherung<br />
CON.3.A2 Festlegung <strong>der</strong> Verfahrensweise für die Datensicherung<br />
CON.3.A4 Erstellung von Datensicherungsplänen<br />
CON.3.A5 Regelmäßige Datensicherung<br />
CON.3.A12 Sichere Aufbewahrung <strong>der</strong> Speichermedien für die Datensicherungen<br />
CON.3.A14 Schutz von Datensicherungen<br />
CON.3.A15 Regelmäßiges Testen <strong>der</strong> Datensicherungen<br />
CON.3.A6 Entwicklung eines Datensicherungskonzepts<br />
CON.3.A7 Beschaffung eines geeigneten Datensicherungssystems<br />
CON.3.A9 Voraussetzungen für die Online-Datensicherung<br />
CON.3.A12 Geeignete Aufbewahrung <strong>der</strong> Backup-Datenträger<br />
CON.3.A13 Einsatz kryptografischer Verfahren bei <strong>der</strong> Datensicherung<br />
Typ<br />
Basis<br />
Basis<br />
Basis<br />
Basis<br />
Basis<br />
Basis<br />
Basis<br />
Standard<br />
Standard<br />
Standard<br />
Standard<br />
Erhöht<br />
Tabelle 1:<br />
Grundschutz-Anfor<strong>der</strong>ungen<br />
gemäß Baustein CON.3 –<br />
Datensicherungskonzept [3]<br />
12 | 5 . <strong>2024</strong>
Change language