2024-1-5-oebm-der-osterreichische-baustoffmarkt - HOLCIM Der Grüne Zement

THEMA
CYBER SECURITY
ten im Schadensfall schnell existenzbedrohend
werden.
Fehlende oder unzureichende Dokumentation
bzw. Wiederherstellungstests:
Wenn beim vorigen Punkt noch meist
jeder zustimmend nickt, wird dieser
Punkt schon öfter stiefmütterlich behandelt.
Fakt ist jedoch, dass Backup
unbedingt regelmäßig, oder gar automatisiert,
getestet werden muss, damit eine
fehlerfreie Rücksicherung sichergestellt
ist. Ebenso muss exakt dokumentiert
werden, was wie gesichert wird und wie
es womit wiederhergestellt werden kann.
Im Ernstfall darf es keine Verzögerungen
durch mangelnde Dokumentationen geben,
und eine Datensicherung ist schnell
wertlos, wenn bei Bedarf eine Wiederherstellung
nicht gelingt.
Ungeeignete Aufbewahrung der Datenträger
von Datensicherungen:
Die Datenträger müssen gegen Diebstahl,
Manipulation und Schäden durch
äußere Einflüsse geschützt gelagert werden.
Die Sicherungsdatenträger direkt
beim Server zu lagern, ist leider immer
noch ein weitverbreiteter Missstand, der
sich im Falle von Einbruch oder Brand/
Wasserschaden schnell rächt, wenn dann
Server und Sicherungen verloren sind.
Missachtung gesetzlicher Vorschriften:
Versäumnisse hier (z.B. bei Verstoß
gegen Datenschutzgesetze) führen u.U.
zu Strafen und Schadensersatzforderungen.
Unsichere Anbieter für Online-Datensicherungen:
Für Cloudspeicher gilt generell das
gleiche wie zuvor zu Datenträgern erwähnt:
Ein mangelnder Schutz vor
Zugriffen kann hier zu Datenpannen
führen. Ein leider ebenfalls bei Cloud-
Speichern oft nicht ausreichend beachteter
Aspekt sind die kurzfristigen Verfügbarkeiten
bei einer Rücksicherung:
Mehrere Terrabytes an Daten aus der
Cloud herunterzuladen, kostet je nach
Bandbreiten u.U. massiv Zeit, die im
Ernstfall nicht verfügbar ist.
Ungenügende Speicherkapazitäten/
Datensicherungsgeschwindigkeit:
Heutzutage nimmt die Datenmenge
stetig zu und Speicherplatz kostet
Geld. Bei Datensicherungen werden
jedoch nicht nur die aktuellen Daten
wegkopiert, sondern es sollen ja auch
zurückliegende Versionen / Datenstände
erhalten bleiben. Zwar helfen Backupstrategien
wie Incremental-Only
(nach einer Vollsicherung werden nur
mehr Änderungen gesichert) in Kombination
mit Datendeduplizierung (ein
Verfahren, bei dem wiederkehrende
gleiche Datenblöcke nur einmal gespeichert
werden), dennoch wird hier gerne
mal der Platz mit der Zeit knapp. Im
schlimmsten Fall wird das durch fehlende
Überwachung übersehen und das
Backup kann nicht mehr erfolgreich gesichert
werden. Ansonsten wird auch oft
durch Reduzierung der Aufbewahrungszeiträume
eine anstehende Kapazitätserhöhung
für Sicherungsdaten hinausgezögert,
was wiederum auf Kosten der
Datensicherheit geht. Entscheidend bei
hohen Datenmengen ist auch die Geschwindigkeit
einer Datensicherung:
Wenn das z.B. nachts laufende tägliche
Backup am Morgen noch läuft, kann es
den Betrieb beeinträchtigen. Und falls
ein tägliches Backup nicht bis zum nächsten
geplanten Start fertig wird, sind
Probleme vorprogrammiert.
Unzureichendes Datensicherungskonzept:
Ein Datensicherungskonzept muss zumindest
dokumentieren, welche Systeme
mit welchen Daten existieren und
wie sie gesichert und wie eine Wiederherstellung
möglich ist und was (Hardware,
Software, Datenträger, Verschlüsselungskeys,
Zugangsdaten, etc.) zur
Wiederherstellung erforderlich ist. Es
wäre nicht das erste Mal, dass der Passwort-Safe
mit den benötigten Recovery-
Keys oder Passwörtern am Datenträger
liegt, der damit wiederhergestellt werden
soll.
Ransomware:
Die Verschlüsselung von Daten durch
Schadsoftware ist ein schönes Beispiel,
wie wichtig eine funktionierende Datensicherung
sein kann. Doch hier besteht
das Risiko, dass durch mangelnde Trennung
oder Absicherung der Sicherungsdatenstände
auch Backups mitverschlüsselt
werden und wertlos werden, was es
zu verhindern gilt.
Die bloße Kenntnis der Risiken liefert
noch kein Datensicherungskonzept,
hilft aber bei der Anforderungserstellung.
Hierfür gibt es die passenden Anforderungskriterien,
unterschieden nach
Basis-, Standard- und erhöhten Anforderungen
(siehe Tabelle 1). Anhand
der Anforderungen des Grundschutzes
sowie der ebenfalls vom BSI bereitgestellten
Umsetzungshinweise [4] kann
einerseits ein bestehendes Datensicherungskonzept
evaluiert und ggf. verbessert
werden, oder auch ein noch aufzubauendes
System geplant und umgesetzt
werden.
Dies werden wir uns in Teil 2 dieses
Artikels in der kommenden Ausgabe näher
anschauen.
y
Quellen
[1] Bundesamt für Sicherheit in der
Informationstechnik; IT-Grundschutz-
Kompendium, 2023
[2] Bundesamt für Sicherheit in der
Informationstechnik; IT-Grundschutz-
Kompendium, 2023, Konzepte und
Vorgehensweisen CON.3
[3] Bundesamt für Sicherheit in der
Informationstechnik; IT-Grundschutz-
Kompendium, 2023, Konzepte und
Vorgehensweisen CON.3 Seite 4 ff.
Docs/Downloads/DE/BSI/Grundschutz/
Umsetzungshin
weise/Umsetzungshinweise_2022/
[4] https://www.bsi.bund.de/Shared-
Umsetzungshinweis_zum_Baustein_CON_3_Datensicherungskonzept.
pdf?__blob=publicationFile&v=2#downl
oad=1, abgerufen 09.05.2024
5 . 2024 | 13