Anomalieerkennung: Transparenz, Kontrolle und schnellere Reaktionen bei Backup-Daten

15. Mai 2025

Wir bei Keepit sind der Meinung, dass Backups nicht passiv sein sollten. Sie sollten Ihnen Bewusstsein und Einblicke verschaffen – nicht erst, nachdem etwas passiert ist, sondern während es passiert. Das ist der Gedanke hinter unserer neuesten Funktion: dem Anomalieerkennungs-Dashboard.

Die Anomalieerkennung hilft Ihnen, unerwartete Änderungen in Ihren Backup-Daten zu identifizieren, sodass Sie schnell reagieren können – egal, ob es sich um einen Fehler, eine Fehlkonfiguration, einen böswilligen Angriff oder etwas anderes handelt.

Was ist Anomalieerkennung überhaupt?

Die Anomalieerkennung überwacht Backup-Snapshots und benachrichtigt Sie, wenn sich Ihre Daten erheblich ändern – beispielsweise bei einem plötzlichen Volumenrückgang oder einer großen Anzahl hinzugefügter oder geänderter Dateien.

Angenommen, 30 % Ihrer Mandantendaten verschwinden zwischen zwei Snapshots, dann meldet das System dies. Sie sehen genau, wo und wann die Änderung aufgetreten ist, sodass Sie schnell reagieren und die Ursache untersuchen können.

Dies ist besonders nützlich bei:

• Cyberangriffen (z. B. Verschlüsselung oder Massenlöschung)
• Versehentliche oder unbefugte Datenlöschung
• Unerwartete Konfigurationsänderungen
• Plötzliches Datenwachstum oder Umstrukturierung

Die Funktion wurde entwickelt, um schwerwiegende Vorfälle zu verhindern oder zumindest deren Auswirkungen zu minimieren, indem sie Ihnen ein klares Signal gibt, dass etwas nicht stimmt.

Warum Anomalieerkennung für den Schutz von SaaS-Daten wichtig ist

Viele Kunden verwenden bereits Tools von Drittanbietern, um die Vorgänge in ihren Live-Umgebungen zu analysieren. Sie wünschen sich jedoch auch diese Einblicke für ihre Backups – denn Backups sind die letzte Verteidigungslinie.

Mit Anomalieerkennung wird Backup mehr als nur Speicherung. Es wird zu einer Quelle der Wahrheit und zu einem wichtigen Bestandteil Ihrer Sicherheitsstrategie. Diese Transparenz unterstützt eine schnellere Entscheidungsfindung und eine sicherere Wiederherstellung.

Das Anomalieerkennungs-Dashboard von Keepit

Ähnliche Funktionen gibt es zwar auch auf dem Markt, aber was den Ansatz von Keepit auszeichnet, ist der End-to-End-Flow. Die Anomalieerkennung ist direkt mit den in unsere Plattform integrierten Untersuchungs- und Wiederherstellungstools verbunden, sodass Sie vom Alarm bis zur Lösung alles über Ihr Dashboard erledigen können.

Backups sind mehr als nur Speicherplatz. Sie werden zu einer Quelle der Gewissheit und zu einem wichtigen Bestandteil Ihrer Sicherheitsstrategie.

Von der Erkennung bis zur Wiederherstellung: ein nahtloser Workflow

Die Anomalieerkennung ist direkt in die Vergleichs- und Wiederherstellungstools von Keepit integriert und bietet Ihnen einen kompletten Ablauf von der Warnmeldung bis zur Lösung. Wenn eine Anomalie gemeldet wird, können Sie:

• Den Snapshot mit seiner vorherigen Version vergleichen
• Einen Drilldown durchführen, um zu sehen, welche Ordner oder Benutzer betroffen sind
• Daten auf Ordner- oder Dateiebene wiederherstellen

Dieser integrierte Workflow unterstützt eine schnellere Reaktion auf Vorfälle und erleichtert die Validierung der Anomalie, die Identifizierung der Ursache und die Wiederherstellung nur der benötigten Daten. Alles geschieht auf derselben Plattform, ohne dass Sie zwischen Tools wechseln oder manuell Protokolle durchsuchen müssen.

So funktioniert die Anomalieerkennung

Das Dashboard zur Anomalieerkennung zeigt monatliche Trends und hebt alle in Ihren Backup-Snapshots erkannten Anomalien hervor.

Jede Anomalie umfasst:

• Datum der Erkennung
• Größenänderung in Gigabyte
• Prozentuale Änderung
• Anzahl der Elemente: Anzahl der hinzugefügten, geänderten oder entfernten Dateien

Anomalien werden in eine der folgenden drei Kategorien eingeteilt:

• Hinzugefügt
• Geändert
• Entfernt

Anhand dieser Kategorien können Sie schnell erkennen, ob es sich um eine normale Aktualisierung oder um etwas Kritischeres handelt. Eine „entfernte“ Anomalie kann beispielsweise auf Massenlöschungen hinweisen, während „geändert“ ein Zeichen für eine Verschlüsselung sein kann.

Sie können von jeder Anomalie zu einem Snapshot-Vergleich springen, wo Sie Folgendes tun können:

• Änderungen nach Größe oder Pfad filtern
• Bestimmte Ordner oder Benutzer aufschlüsseln
• Die genau betroffenen Dateien identifizieren
• Bei Bedarf Ordner oder einzelne Dateien wiederherstellen

So können Sie überprüfen, ob eine Änderung erwartet wurde – und wenn nicht, sofort Maßnahmen ergreifen.

Wie würde ein echter Vorfall bei der Anomalieerkennung aussehen?

Hier ist ein hypothetisches, aber realistisches Beispiel:

Angenommen, Sie erkennen eine Datenlöschung von 57 %, was 5,1 GB in einem Snapshot entspricht. Sie können diese Löschung zu einem bestimmten Benutzerkonto und Ordner (z. B. einem OneDrive-Dokumentverzeichnis) zurückverfolgen. Sie stellen fest, dass drei Ordner gelöscht wurden – entweder versehentlich oder im Rahmen eines verdächtigen Ereignisses.

Von dort aus können Sie die Daten mit einem Klick wiederherstellen – entweder auf Ordnerebene oder Datei für Datei. Nach der Wiederherstellung ist der Vorfall behoben und Ihre Daten sind wieder verfügbar und einsatzbereit.

Das ist der Ablauf: Erkennen → Untersuchen → Wiederherstellen.

Was tun, wenn eine Anomalie erkannt wird?

Wenn eine Anomalie gemeldet wird, müssen Sie diese zunächst mit dem integrierten Snapshot-Vergleichstool von Keepit untersuchen. Im Abschnitt „Anomalieübersicht“ können Sie auf das jeweilige Ereignis klicken und den Snapshot, in dem die Anomalie aufgetreten ist, mit dem vorherigen Snapshot vergleichen.

Dadurch können Sie:

• Betroffene Ordner und Dateien durchsuchen
• Genau sehen, was hinzugefügt, gelöscht oder geändert wurde
• Den Umfang und die Bedeutung der Änderung nachvollziehen

Wenn die Anomalie kritisch ist – z. B. bei umfangreichen Löschungen oder verdächtigen Änderungen – können Sie die relevanteste Backup-Version wiederherstellen. Ganz gleich, ob Sie einen ganzen Ordner oder nur einige Dateien wiederherstellen müssen, Sie können sofort handeln, und zwar alles über dieselbe Plattform.

Warnmeldungen, Integrationen und SIEM-Unterstützung

Wenn eine Anomalie erkannt wird, sendet Keepit automatisch eine E-Mail-Benachrichtigung an die Systemadministratoren. In Unternehmen, die SIEM- oder CIEM-Tools verwenden, werden Anomalien auch im Audit-Protokoll protokolliert, sodass Sie die Möglichkeit haben, Workflows mithilfe Ihrer bestehenden Sicherheitsinfrastruktur zu analysieren und auszulösen.

Zukünftige Versionen werden die Unterstützung für bestimmte Anomalietypen in Audit-Protokollen erweitern und so eine noch detailliertere Integration und Filterung ermöglichen.

Paketierung, Veröffentlichungsdatum und Verfügbarkeit

Die Anomalieerkennung wird in den Paketen „Enterprise Unlimited“ und „Governance Plus“ enthalten sein. Die Funktion wird in der Version 10.5 verfügbar sein, deren Veröffentlichung für den 11. Mai 2025 geplant ist.

Für die meisten berechtigten Kunden wird die Anomalieerkennung automatisch aktiviert. Wenn Sie ein benutzerdefiniertes Paket haben oder sich bezüglich Ihrer Konfiguration nicht sicher sind, hilft Ihnen unser Customer Success Team gerne weiter.

Erste Schritte

Sobald die Funktion aktiviert ist, finden Sie die Anomalieerkennung in der Dropdown-Liste „Überwachung“ Ihres Keepit-Dashboards. Dort können Sie Anomalien untersuchen, Snapshots vergleichen und alle Daten wiederherstellen, die von unerwarteten Änderungen betroffen sind.

Die Anomalieerkennung bietet Ihnen Echtzeit-Transparenz in Ihrer Backup-Umgebung – so reagieren Sie nicht nur auf Probleme, sondern sind ihnen immer einen Schritt voraus.

Quelle: Keepit-Blog

---

Bild/Quelle: https://depositphotos.com/de/home.html