In der heutigen digitalen Landschaft, in der Cloud-basierte Dienste wie Microsoft 365 dominieren, ist die Cyber-Resilienz für Unternehmen zu einer obersten Priorität geworden. Unternehmen verlassen sich zunehmend auf SaaS-Plattformen (Software-as-a-Service) und gehen davon aus, dass alle ihre Daten sicher sind. Ohne die richtige Backup-Strategie sind sie jedoch möglicherweise anfällig für Datenverluste oder Cyberangriffe.
In diesem Beitrag möchte ich von einem Kunden berichten, der mir von einem realen Vorfall erzählt hat, der die Bedeutung der SaaS-Datenwiederherstellung und ihre entscheidende Rolle für die Aufrechterhaltung der Betriebskontinuität verdeutlicht.
Eine Krise bahnt sich an
Einer der Kunden unseres Partners, der aufgrund von Vertraulichkeitsvereinbarungen anonym bleiben möchte, war mit einem gewaltigen Cyberangriff konfrontiert, der seine Microsoft Azure AD (Entra ID) kompromittierte. Wie viele Unternehmen glaubten sie, dass ihre Daten in der Cloud unter dem Schutz von Microsoft sicher seien. Was sie jedoch nicht wussten, ist, dass die Dienste von Microsoft nicht vor Datenverlust oder -verletzungen gefeit sind und die Verantwortung für den Schutz der Daten letztlich beim Kunden liegt. Dies ist Teil des sogenannten Modells der gemeinsamen Verantwortung, bei dem Cloud-Anbieter für die Sicherheit der Infrastruktur zuständig sind, der Datenschutz jedoch in der Verantwortung des Kunden liegt. (Nachzulesen hier)
Als der Angriff erfolgte, wurde der Kunde auf dem falschen Fuß erwischt. Administratorkonten wurden kompromittiert, einige Benutzerkonten wurden böswillig gelöscht und es gab Versuche, sensible Daten aus SharePoint zu exfiltrieren. Der Krisenstab des Kunden leitete sofort eine Untersuchung ein, stieß jedoch schnell auf ein Hindernis: Azure AD speichert Protokolle nur 30 Tage lang, sodass eine eingehende forensische Analyse der Vorfälle nicht möglich war.
Der Verlauf der Wiederherstellung
Durch die Verwendung von Keepit Backup und Wiederherstellung für Microsoft Entra ID (ehemals Azure Active Directory) konnten wir schnell auf den Cyberangriff reagieren und dabei drei grundlegende Schritte durchführen:
- Herunterladen der Anmelde- und Prüfprotokolle der letzten 12 Monate von Entra ID für eine investigative Analyse unter Verwendung der unbegrenzten Speicher- und Aufbewahrungsfunktion von Keepit.
- Verfolgung, wann und welche Änderungen an den kompromittierten Konten vorgenommen wurden, mithilfe der Keepit-Funktion zur Vorschau der Entra ID-Metadaten.
- Wiederherstellung der betroffenen Benutzerkonten zusammen mit ihren Konfigurationen und Berechtigungen, ohne dass Konten von Grund auf neu erstellt werden müssen, mithilfe der leistungsstarken Wiederherstellungsfunktionen von Keepit für Entra ID.
Die Macht der Datenwiederherstellung
Hier kam Keepit ins Spiel. Durch die Nutzung der robusten Backup-Funktionen von Keepit konnten wir dem Kunden Zugriff auf Protokolle gewähren, die ein ganzes Jahr umfassten. Diese historischen Daten waren für die Untersuchung von entscheidender Bedeutung, da sie es dem Kunden ermöglichten, den Verstoß bis zu seinem Ursprung zurückzuverfolgen, das Ausmaß des Schadens zu bestimmen und zu verstehen, wann der Angriff stattgefunden hatte.
Die Datenwiederherstellung geht jedoch über den einfachen Zugriff auf Protokolle hinaus. Die kompromittierten Benutzerkonten mussten zusammen mit allen zugehörigen Einstellungen (Metadaten) wiederhergestellt werden – ohne die richtige Backup-Lösung wäre dies ein Albtraum gewesen. Die Fähigkeit von Keepit, nicht nur Benutzerkonten, sondern auch deren Konfigurationen, MFA-Einstellungen und Gruppenmitgliedschaften wiederherzustellen, stellte sicher, dass der Kunde schnell wiederherstellen konnte, ohne bei Null anfangen zu müssen. Hätte sich der Kunde auf eine Standard-Backup-Lösung verlassen, hätte der Prozess erheblich länger gedauert und das Recovery Time Objective (RTO) gefährdet.
Die Lektion: Datensicherung ist nicht verhandelbar
Diese Erfahrung unterstreicht eine wichtige Lektion: Eine umfassende SaaS-Datensicherungs- und Wiederherstellungsstrategie ist für die Cyber-Resilienz unerlässlich. Es geht nicht nur um die Wiederherstellung von Dateien, sondern auch um die Aufrechterhaltung der Geschäftskontinuität, selbst wenn das Unerwartete eintritt. Die Fähigkeit, sich schnell von einem Angriff zu erholen, kann den Unterschied zwischen einer kurzen Unterbrechung und einer längeren, geschäftsbedrohenden Ausfallzeit ausmachen.
Für Unternehmen, die wie unser Kunde zu 100 % in der Cloud arbeiten, ist die Sicherung von Identitätssystemen (wie Entra ID) ebenso wichtig wie die Sicherung von Dateien. Wenn Administratorkonten kompromittiert werden und es kein Backup gibt, besteht für Unternehmen die Gefahr, dass sie mehr als nur Daten verlieren – sie riskieren, die Kontrolle über ihre gesamte Cloud-Umgebung zu verlieren. Lesen Sie mehr dazu
Cyber-Resilienz beginnt mit der Wiederherstellung
Die Leichtigkeit und Geschwindigkeit, mit der wir den Betrieb des Kunden dank Keepit wiederherstellen konnten, bestätigte erneut die zentrale Rolle, die die Datenwiederherstellung für die Cyber-Resilienz spielt. Es geht nicht nur darum, sich auf Angriffe vorzubereiten, sondern auch darum, die richtigen Tools zur Verfügung zu haben, um sich von ihnen zu erholen. Dieser Kunde hat Keepit nun unter unserer Anleitung als Schlüsselkomponente in seine Cyber-Resilienz-Strategie aufgenommen. Sie haben verstanden, dass Backups nicht mehr nur eine nette Zugabe sind, sondern ein entscheidender Aspekt ihrer Geschäftskontinuitätsplanung.
In einer Welt, in der die Frage nicht lautet, ob ein Angriff stattfinden wird, sondern wann, ist die Fähigkeit zur schnellen Wiederherstellung von entscheidender Bedeutung. Mit Keepit konnten wir unserem Kunden dabei helfen, einen Vorfall, der zu einer Katastrophe hätte führen können, in einen beherrschbaren Vorfall zu verwandeln – und das alles dank einer gut umgesetzten SaaS-Datenwiederherstellungsstrategie.
Dieser Artikel ist der erste Teil einer zweiteiligen Serie, in der wir eine reale Kundengeschichte zum Thema Cyber-Resilienz vorstellen. Im zweiten Teil befassen wir uns damit, wie eine Cyber-Versicherung eine entscheidende Rolle dabei spielte, ein Unternehmen vor den finanziellen Auswirkungen eines Ransomware-Angriffs zu schützen.
Möchten Sie mehr über die Wiederherstellung von Ransomware erfahren? Sehen Sie sich das On-Demand-Webinar von Keepit an.
Sie haben Fragen? Ihr Ansprechpartner für D/A/CH
Do you have any questions? Your contact person for D/A/CH
Michael Heuer, Area VP Central Europe / DACH (LinkedIn)
Bild/Quelle: https://depositphotos.com/de/home.html