World Backup Day – IT und Sicherheitsteams müssen besser zusammenarbeiten, sonst scheitern wir

Es ist wie im Film „täglich grüßt das Murmeltier“. Jeden 31. März spielt die Musik und werden wir am World Backup Day an das Versprechen erinnert: “I solemnly swear to backup my important documents and precious memories.” Ein edles Ziel, dem jede Firma und jeder User sofort zustimmt.

Aber schon in den Wochen davor und gewiss einige Tage nach dem World Backup Day werden wir aus den Medien erfahren, dass Firmen gehackt und ihre Daten von Ransomware gekapert wurden. Das große Versprechen, die Daten aus dem Backup wiederherstellen und damit resistent sein gegen jeglichen Erpressungsversuch, wird dann wieder gebrochen.

Die Zahlen sprechen eine klare Sprache, der jüngste Branchenbericht der ENISA zum Sektor Transportation liefert die Fakten. Im vergangenen Jahr war Ransomware mit 38% aller erfassten Attacken die dominierende Gefahr, mit Datenlöschung 30 % und Malware 17 % auf den Plätzen zwei und drei. Der jüngste Ransomware Fall bei Ferrari hat dies nochmal bestätigt. Der Bericht betont aber deutlich, dass sich wegen des Ukraine Krieges staatengestützte Akteure und Hacktivisten gezielte Attacken gegen den Transportsektor in Europa ausgeführt haben. Ein klarer Beleg, dass sich die Motivation hin zu „Betrieb stören“ oder „zerstören“ verlagert. Firmen sollten nicht nur auf Ransomware allein schauen. Und es muss nicht immer ein feindlicher Akt sein, der den Sinn von Backups und dem Disaster Recovery Prozess verdeutlicht. Als Anfang Februar bei Bauarbeiten ein Bagger wichtige Glasfasern am Flughafen Frankfurt kappte, wurde der Betrieb wunderbar auf redundante Systeme und Leitungen umgeschifft. Als man aber versuchte, wieder in den Normalbetrieb zurückzuschalten, wackelte das Primärsystem und musste für mehrere Stunden abgeschaltet werden. Mehrere Tausend Flüge fielen aus und der Ruf der Lufthansa litt.

Zusammenarbeit entscheidend

Warum tun sich Firmen mit dieser Aufgabe so schwer? Ein Grund ist die Komplexität ihrer Umgebungen und die wachsende Abhängigkeit von Software und Daten, die immer stärker verteilt sind. Diesem Wildwuchs versucht man, mit einem Wildwuchs alter Backup- und Disaster-Recovery-Lösungen in den Griff zu kriegen. Die Folge: Manche Applikationen werden übersehen, fallen durchs Raster und das Sicherheitsnetz. Prozesse müssen im Ernstfall manuell durchgespielt werden von Menschen, die hochgestresst sind. Fehler passieren, die am Ende die Wiederherstellungszeit in die Länge ziehen. Hier sollten Firmen ansetzen und modernisieren, indem sie den Wildwuchs mit einer zentralen Data Security und Management-Plattform ersetzen.

Neben der technischen Antwort sollten Firmen unbedingt dafür sorgen, dass ihre Sicherheitsteams enger mit den Infrastrukturteams zusammenarbeiten, die am Ende für die Wiederherstellung der Daten zuständig sind. Denn beide Teams müssen an einem Strang ziehen, um bei einem erfolgreichen Angriff die Folgen der Attacke einzudämmen und zugleich den Kernbetrieb aufrechtzuhalten. Und sie müssen sich eng abstimmen, um Systeme sauber und gehärtet wiederherzustellen, damit sie nicht in der nächsten Sekunde von der gleichen Attacke kompromittiert werden.

Auf diese vier Dinge sollten sich beide Teams verständigen:

1. IT-Infrastruktur- und Sicherheits-Teams sollten die gleichen Ziele für Cyber-Resilience bekommen

Die Ziele für Cyber-Resilienz sollten objektiv und messbar definiert sein und idealerweise von einer kombinierten CISO / CIO-Rolle verwaltet werden. Die Cyber-Resiliency-Ziele sollten aggressive RPO und RTO umfassen, die ihrerseits klare, spezifische Ziele für das Gesamtziele festlegen.

Die IT- und Sicherheits-Teams müssen in der Lage sein, kritische Dienste und Daten auch während eines Cyber-Vorfalls wie eines Ransomware-Angriffs wiederherzustellen und den Kernbetrieb aufrecherhalten können. Die RPO und RTO liefern beiden Teams klare Indikatoren, welche Kontrollen und KPIs nötig sind, um das gewünschte Sicherheitsniveau  zu erreichen.

2. Gemeinsame Planung ausgerichtet an den Zielen

Sobald sich beide Teamsauf die gemeinsamen Ziele geeinigt haben, können sie eine faktenbasierte Diskussion darüber führen, wie sie die Investitionen in Abwehrmaßnahmen, Kontrollen und Technologien ausbalancieren müssen, welche die Folgen erfolgreicher Attacken eindämmen können.

Beide Teams können so die richtigen Prioritäten definieren, um ihre Cyber-Resilienz effizient zu stärken.

3. Umfassendes Verständnis der Angriffsfläche

Beide Teams müssen das gleiche Verständnis der potenziellen Angriffsfläche haben. Dazu müssen beide Teams genau wissen, welche Daten das Unternehmen speichert und wo sich alle Systeme und Umgebungen befinden (Cloud, Public Cloud und On-Premises). Beide Teams sollten auch das gleiche Verständnis für den Reifegrad ihrer Organisation in Bezug auf die Sichtbarkeit von Daten haben. Dadurch können sie das potenzielle Risiko von Cyberangriffen und Datenverlust besser verstehen.

4. Koordination zwischen ITOps / SecOps mit Incident Response

Schließlich müssen sowohl die IT- als auch die Sicherheits-Teams ihre Zusammenarbeit aktiv verbessern, um sich im Ernstfall reibungsloser, schneller und besser abzustimmen. Um dies zu erreichen, müssen beide Teams in den Incident-Response-Prozess eingebunden sein. Damit beide Teams die Qualität ihrer Interaktion bewerten und potenzielle Probleme identifizieren können, sollten sie miteinander regelmäßige Übungen und Simulationen durchführen.

Autor: Mark Molyneux, EMEA CTO, Cohesity