2024-1-5-oebm-der-osterreichische-baustoffmarkt - HOLCIM Der Grüne Zement
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
THEMA<br />
CYBER SECURITY<br />
ten im Schadensfall schnell existenzbedrohend<br />
werden.<br />
Fehlende o<strong>der</strong> unzureichende Dokumentation<br />
bzw. Wie<strong>der</strong>herstellungstests:<br />
Wenn beim vorigen Punkt noch meist<br />
je<strong>der</strong> zustimmend nickt, wird dieser<br />
Punkt schon öfter stiefmütterlich behandelt.<br />
Fakt ist jedoch, dass Backup<br />
unbedingt regelmäßig, o<strong>der</strong> gar automatisiert,<br />
getestet werden muss, damit eine<br />
fehlerfreie Rücksicherung sichergestellt<br />
ist. Ebenso muss exakt dokumentiert<br />
werden, was wie gesichert wird und wie<br />
es womit wie<strong>der</strong>hergestellt werden kann.<br />
Im Ernstfall darf es keine Verzögerungen<br />
durch mangelnde Dokumentationen geben,<br />
und eine Datensicherung ist schnell<br />
wertlos, wenn bei Bedarf eine Wie<strong>der</strong>herstellung<br />
nicht gelingt.<br />
Ungeeignete Aufbewahrung <strong>der</strong> Datenträger<br />
von Datensicherungen:<br />
Die Datenträger müssen gegen Diebstahl,<br />
Manipulation und Schäden durch<br />
äußere Einflüsse geschützt gelagert werden.<br />
Die Sicherungsdatenträger direkt<br />
beim Server zu lagern, ist lei<strong>der</strong> immer<br />
noch ein weitverbreiteter Missstand, <strong>der</strong><br />
sich im Falle von Einbruch o<strong>der</strong> Brand/<br />
Wasserschaden schnell rächt, wenn dann<br />
Server und Sicherungen verloren sind.<br />
Missachtung gesetzlicher Vorschriften:<br />
Versäumnisse hier (z.B. bei Verstoß<br />
gegen Datenschutzgesetze) führen u.U.<br />
zu Strafen und Schadensersatzfor<strong>der</strong>ungen.<br />
Unsichere Anbieter für Online-Datensicherungen:<br />
Für Cloudspeicher gilt generell das<br />
gleiche wie zuvor zu Datenträgern erwähnt:<br />
Ein mangeln<strong>der</strong> Schutz vor<br />
Zugriffen kann hier zu Datenpannen<br />
führen. Ein lei<strong>der</strong> ebenfalls bei Cloud-<br />
Speichern oft nicht ausreichend beachteter<br />
Aspekt sind die kurzfristigen Verfügbarkeiten<br />
bei einer Rücksicherung:<br />
Mehrere Terrabytes an Daten aus <strong>der</strong><br />
Cloud herunterzuladen, kostet je nach<br />
Bandbreiten u.U. massiv Zeit, die im<br />
Ernstfall nicht verfügbar ist.<br />
Ungenügende Speicherkapazitäten/<br />
Datensicherungsgeschwindigkeit:<br />
Heutzutage nimmt die Datenmenge<br />
stetig zu und Speicherplatz kostet<br />
Geld. Bei Datensicherungen werden<br />
jedoch nicht nur die aktuellen Daten<br />
wegkopiert, son<strong>der</strong>n es sollen ja auch<br />
zurückliegende Versionen / Datenstände<br />
erhalten bleiben. Zwar helfen Backupstrategien<br />
wie Incremental-Only<br />
(nach einer Vollsicherung werden nur<br />
mehr Än<strong>der</strong>ungen gesichert) in Kombination<br />
mit Datendeduplizierung (ein<br />
Verfahren, bei dem wie<strong>der</strong>kehrende<br />
gleiche Datenblöcke nur einmal gespeichert<br />
werden), dennoch wird hier gerne<br />
mal <strong>der</strong> Platz mit <strong>der</strong> Zeit knapp. Im<br />
schlimmsten Fall wird das durch fehlende<br />
Überwachung übersehen und das<br />
Backup kann nicht mehr erfolgreich gesichert<br />
werden. Ansonsten wird auch oft<br />
durch Reduzierung <strong>der</strong> Aufbewahrungszeiträume<br />
eine anstehende Kapazitätserhöhung<br />
für Sicherungsdaten hinausgezögert,<br />
was wie<strong>der</strong>um auf Kosten <strong>der</strong><br />
Datensicherheit geht. Entscheidend bei<br />
hohen Datenmengen ist auch die Geschwindigkeit<br />
einer Datensicherung:<br />
Wenn das z.B. nachts laufende tägliche<br />
Backup am Morgen noch läuft, kann es<br />
den Betrieb beeinträchtigen. Und falls<br />
ein tägliches Backup nicht bis zum nächsten<br />
geplanten Start fertig wird, sind<br />
Probleme vorprogrammiert.<br />
Unzureichendes Datensicherungskonzept:<br />
Ein Datensicherungskonzept muss zumindest<br />
dokumentieren, welche Systeme<br />
mit welchen Daten existieren und<br />
wie sie gesichert und wie eine Wie<strong>der</strong>herstellung<br />
möglich ist und was (Hardware,<br />
Software, Datenträger, Verschlüsselungskeys,<br />
Zugangsdaten, etc.) zur<br />
Wie<strong>der</strong>herstellung erfor<strong>der</strong>lich ist. Es<br />
wäre nicht das erste Mal, dass <strong>der</strong> Passwort-Safe<br />
mit den benötigten Recovery-<br />
Keys o<strong>der</strong> Passwörtern am Datenträger<br />
liegt, <strong>der</strong> damit wie<strong>der</strong>hergestellt werden<br />
soll.<br />
Ransomware:<br />
Die Verschlüsselung von Daten durch<br />
Schadsoftware ist ein schönes Beispiel,<br />
wie wichtig eine funktionierende Datensicherung<br />
sein kann. Doch hier besteht<br />
das Risiko, dass durch mangelnde Trennung<br />
o<strong>der</strong> Absicherung <strong>der</strong> Sicherungsdatenstände<br />
auch Backups mitverschlüsselt<br />
werden und wertlos werden, was es<br />
zu verhin<strong>der</strong>n gilt.<br />
Die bloße Kenntnis <strong>der</strong> Risiken liefert<br />
noch kein Datensicherungskonzept,<br />
hilft aber bei <strong>der</strong> Anfor<strong>der</strong>ungserstellung.<br />
Hierfür gibt es die passenden Anfor<strong>der</strong>ungskriterien,<br />
unterschieden nach<br />
Basis-, Standard- und erhöhten Anfor<strong>der</strong>ungen<br />
(siehe Tabelle 1). Anhand<br />
<strong>der</strong> Anfor<strong>der</strong>ungen des Grundschutzes<br />
sowie <strong>der</strong> ebenfalls vom BSI bereitgestellten<br />
Umsetzungshinweise [4] kann<br />
einerseits ein bestehendes Datensicherungskonzept<br />
evaluiert und ggf. verbessert<br />
werden, o<strong>der</strong> auch ein noch aufzubauendes<br />
System geplant und umgesetzt<br />
werden.<br />
Dies werden wir uns in Teil 2 dieses<br />
Artikels in <strong>der</strong> kommenden Ausgabe näher<br />
anschauen.<br />
y<br />
Quellen<br />
[1] Bundesamt für Sicherheit in <strong>der</strong><br />
Informationstechnik; IT-Grundschutz-<br />
Kompendium, 2023<br />
[2] Bundesamt für Sicherheit in <strong>der</strong><br />
Informationstechnik; IT-Grundschutz-<br />
Kompendium, 2023, Konzepte und<br />
Vorgehensweisen CON.3<br />
[3] Bundesamt für Sicherheit in <strong>der</strong><br />
Informationstechnik; IT-Grundschutz-<br />
Kompendium, 2023, Konzepte und<br />
Vorgehensweisen CON.3 Seite 4 ff.<br />
Docs/Downloads/DE/BSI/Grundschutz/<br />
Umsetzungshin<br />
weise/Umsetzungshinweise_2022/<br />
[4] https://www.bsi.bund.de/Shared-<br />
Umsetzungshinweis_zum_Baustein_CON_3_Datensicherungskonzept.<br />
pdf?__blob=publicationFile&v=2#downl<br />
oad=1, abgerufen 09.05.<strong>2024</strong><br />
5 . <strong>2024</strong> | 13