Ist die Geschäftskontinuität nicht Teil der Sicherheit? - Geschäftskontinuität und Sicherheit in Einklang bringen

Ist die Geschäftskontinuität nicht Teil der Sicherheit?

Geschäftskontinuität und Sicherheit in Einklang bringen

Andrea Covello
Andrea Covello
Rocco Gagliardi
Rocco Gagliardi
am 16. September 2024
Lesezeit: 12 Minuten

Keypoints

Gewährleistung von Datenschutz und Compliance durch eine umfassende Überprüfung von Backup-Systemen

  • Wir zeigen die Bedeutung von Backup-Systemen für den Schutz von Daten und die Einhaltung von Vorschriften auf
  • Dabei sind wichtige Überlegungen für Systemdesign und -implementierung unerlässlich
  • Wir gehen auf die Rolle von RTO und RPO bei der Definition der Systemleistung näher ein
  • Erläutern ein strukturierter Ansatz unter Verwendung des NIST Cybersecurity Framework (CSF)
  • Und geben Einblicke in die jüngsten Kundenerfahrungen in verschiedenen Branchen

Backup-Systeme sind für den Schutz sensibler Daten und die Einhaltung gesetzlicher Vorschriften unerlässlich. Der Entwurf und die Implementierung dieser Systeme sind aufgrund ihrer Interaktion mit Anlagen unterschiedlicher Klassifizierung von entscheidender Bedeutung. Wichtige Entscheidungen – wie die Festlegung von Richtlinien, die Klassifizierung von Systemen und Backup-Strategien – können sich erheblich auf die Sicherheit, Leistung und Zuverlässigkeit des Systems insgesamt auswirken. Aufgrund unserer umfangreichen Erfahrung in verschiedenen IT-Sicherheitsfunktionen besteht unsere Aufgabe darin, Ihre Infrastruktur zu analysieren und sie mit den besten Praktiken zu vergleichen, wobei wir sowohl die technische als auch die Governance-Perspektive berücksichtigen. Mit der Hilfe von Experten, Richtlinien und Konfigurationen können wir Lösungswege schnell verstehen, Schwachstellen identifizieren und praktische und effektive Abhilfemassnahmen vorschlagen.

Backup-System

Ein Backup-System ist ein umfassendes Framework zur Erstellung, Speicherung und Verwaltung von Kopien kritischer Daten und Systeme, um deren Verfügbarkeit und Integrität im Falle eines Datenverlusts, einer Beschädigung oder eines Systemausfalls sicherzustellen. Dieses System umfasst in der Regel Prozesse für die regelmässige Duplizierung von Daten aus dem Primärspeicher an einen sicheren Sekundärspeicherort – sei es vor Ort, in der Cloud oder beides. Effektive Sicherungssysteme sind für die Aufrechterhaltung der Geschäftskontinuität unerlässlich, da sie es Unternehmen ermöglichen, den Betrieb schnell und mit minimalem Datenverlust wiederherzustellen.

Zu den wichtigsten Komponenten eines Sicherungssystems gehören Zeitplanung, Datenverschlüsselung, sichere Speicherlösungen und regelmässige Tests, um die Zuverlässigkeit und Vollständigkeit der Sicherungen zu überprüfen.

Es ist auch wichtig zu betonen, wie wichtig ordnungsgemässe, wiederherstellbare Backups sind, insbesondere im Zusammenhang mit Ransomware-Angriffen, bei denen sie als “Lebensversicherung” für ein Unternehmen fungieren können. Der Schutz vor Ransomware durch Backups kann besondere Vorkehrungen erfordern, z. B. die Sicherstellung, dass die Backups selbst nicht durch Malware verschlüsselt werden und dass vorhandene Malware nicht aus den Backups wiederhergestellt wird. Diese zusätzlichen Massnahmen tragen dazu bei, dass Backups ein wirksamer Schutz gegen Ransomware und andere Bedrohungen bleiben.

Entwerfen eines Backup-Systems

Bei der Konzeption eines effektiven Backup-Systems ist die Abstimmung mit den Strategien des Business Continuity Management (BCM) entscheidend. Zwei Parameter, Recovery Time Objective (RTO) und Recovery Point Objective (RPO), sind der Schlüssel, um sicherzustellen, dass Backup-Lösungen die Anforderungen des Unternehmens an die Ausfallsicherheit erfüllen.

RTO definiert die maximal akzeptable Ausfallzeit nach einer Unterbrechung und beantwortet die Frage: “Wie schnell müssen wir den Betrieb wiederherstellen?” Eine kürzere RTO erfordert schnellere Wiederherstellungslösungen, z. B. Hochgeschwindigkeits-Netzwerkverbindungen und schnelle Failover-Mechanismen. Das RPO definiert den maximal zulässigen Datenverlust, gemessen in Zeit, und befasst sich mit der Frage: “Wie viele Daten können wir uns leisten zu verlieren?” Ein strengeres RPO erfordert häufigere Backups oder Datenreplikation in Echtzeit, um den potenziellen Datenverlust zu minimieren.

Bei der Entwicklung von Systemen für effektive RTO- und RPO-Zeiten sind mehrere Aspekte zu berücksichtigen:

RTO und RPO müssen aufeinander abgestimmt sein, um eine effektive Wiederherstellungsstrategie zu gewährleisten. Wenn ein Unternehmen beispielsweise ein kurzes RTO (z. B. 15 Minuten) benötigt, sollte es ein ähnlich kurzes RPO haben, um sicherzustellen, dass aktuelle Daten schnell wiederhergestellt werden. Wenn das RTO 15 Minuten, das RPO aber 24 Stunden beträgt, kann das Unternehmen den Betrieb zwar schnell wiederherstellen, aber mit Daten, die bis zu 24 Stunden alt sind, was zu Datenverlust und betrieblichen Inkonsistenzen führen kann. Diese Fehlanpassung führt zu einer ineffektiven Wiederherstellungsstrategie, bei der Ressourcen falsch zugewiesen werden und in eine schnelle Systemwiederherstellung investiert wird, ohne sicherzustellen, dass die wiederhergestellten Daten aktuell sind.

Eine genaue Datenklassifizierung ist für die Definition von Recovery Time Objective (RTO) und Recovery Point Objective (RPO) unerlässlich und ermöglicht es Unternehmen, ihre Infrastruktur auf der Grundlage unterschiedlicher Wiederherstellungsanforderungen zu segmentieren. Diese Segmentierung wirkt sich direkt auf Infrastrukturkomponenten wie Netzwerkverbindungen, Speicherkapazität und Zugriffsgeschwindigkeit aus. Ein kürzeres RTO kann beispielsweise schnellere Netzwerkverbindungen und schnellere Speicherlösungen erfordern, während ein strengeres RPO die Speicheranforderungen aufgrund der Notwendigkeit häufigerer Backups erhöhen kann.

In komplexen Systemen wie vernetzten Transaktionsumgebungen – z. B. solchen, die Message Queuing (MQ) für den Datenaustausch verwenden – ist eine gute Definition von RTO und RPO sogar noch wichtiger. Diese Systeme beruhen auf einer kontinuierlichen Datenverarbeitung in Echtzeit, bei der jede Ausfallzeit oder jeder Datenverlust sich auf mehrere Plattformen auswirken kann. Genaue RTO- und RPO-Werte stellen sicher, dass jede Komponente innerhalb des erforderlichen Zeitrahmens wiederhergestellt werden kann und die Integrität und Kontinuität des gesamten Transaktionsworkflows gewahrt bleibt.

“Bei der Business Continuity geht es nicht nur um die Aufrechterhaltung des Betriebs, sondern auch darum, dass die Datenintegrität und -sicherheit während und nach einer Unterbrechung erhalten bleibt.”

Technische Konsequenzen der Vorschriften

Backup-Systeme sind nicht nur eine technische Notwendigkeit, sondern auch ein kritischer Bestandteil der Einhaltung von Vorschriften. Vorschriften wie DSGVO, PCI-Dss und NIST SP 800-53 stellen spezifische Anforderungen, die Unternehmen bei der Verwaltung von Sicherungsdaten einhalten müssen. Das Verständnis und die Umsetzung dieser Anforderungen ist für die Einhaltung der Vorschriften und den Schutz sensibler Daten unerlässlich. Abhängig von der Art der Daten, die sie verwalten, und den Rechtsordnungen, in denen sie tätig sind, müssen Unternehmen mehrere Compliance-Verpflichtungen erfüllen. Nachfolgend die wichtigsten:

Aus den Vorschriften ergeben sich technische Implikationen für die Verwaltung von Datensicherungssystemen, z. B. im Zusammenhang mit PCI-Dss-Zonen, WORM-Systemen und Offline-Bandsicherungen:

Unser Ansatz

Bei der scip AG führen wir eine umfassende Überprüfung der Governance, der operativen Prozesse und der technischen Infrastruktur von Backup-Lösungen durch. Unsere Expertise im Reverse Engineering ganzer Systeme mit Fokus auf Sicherheitskomponenten und deren Zusammenspiel ermöglicht es uns, Abweichungen von Designvorgaben oder etablierten Sicherheitsstandards zu identifizieren. Dazu gehört auch die Einhaltung von Frameworks wie CIS und branchenspezifischen Mandaten wie PCI-Dss. Auf der Grundlage unserer Erkenntnisse geben wir umsetzbare Empfehlungen zur Anpassung der Systeme an das vorgesehene Design oder die geltenden Standards.

Methodik der Überprüfung: NIST CSF-orientiert

Unser Überprüfungsprozess orientiert sich am NIST Cybersecurity Framework (CSF) und deckt die folgenden Bereiche ab:

Governance

Identifizieren

Schützen

Erkennen

Reagieren

Wiederherstellen

Jüngste Erfahrungen

In den letzten drei Jahren haben wir für Kunden aus dem Banken-, Versicherungs- und Industriesektor detaillierte Bewertungen der wichtigsten Backup-Lösungen durchgeführt. Einige der untersuchten Lösungen sind:

Schlussfolgerung

Zusammenfassend lässt sich sagen, dass der Entwurf und die Implementierung eines Backup-Systems, das sowohl den Sicherheitsstandards als auch den Anforderungen an die Geschäftskontinuität entspricht, für den Schutz der kritischen Daten eines Unternehmens unerlässlich ist. Indem sie sich auf wichtige Governance-Parameter wie RTO und RPO konzentrieren und einen strukturierten Überprüfungsprozess wie das NIST CSF befolgen, können Unternehmen sicherstellen, dass ihre Backup-Systeme sowohl widerstandsfähig als auch effizient sind. Wie unsere jüngsten Kundenerfahrungen zeigen, schützt eine gut durchdachte Backup-Strategie nicht nur vor Datenverlusten, sondern gewährleistet auch eine schnelle Wiederherstellung und Kontinuität des Betriebs, selbst in komplexen Transaktionsumgebungen. Weitere Einblicke in Best Practices und die neuesten Trends in der IT-Sicherheit finden Sie in unseren Publikationen auf scip.ch.

Über die Autoren

Andrea Covello

Andrea Covello ist seit den 1990er Jahren im Bereich der Informationssicherheit tätig. Seine Schwerpunkte liegen traditionell im Engineering, wobei er als Spezialist im Bereich Windows-Sicherheit, Firewalling und Virtualisierung gilt.

Rocco Gagliardi

Rocco Gagliardi ist seit den 1980er Jahren im Bereich der Informationstechnologie tätig. In den 1990er Jahren hat er sich ganz der Informationssicherheit verschrieben. Die Schwerpunkte seiner Arbeit liegen im Bereich Security Frameworks, Routing, Firewalling und Log Management.

Links

Sie wollen die Sicherheit Ihrer Firewall prüfen?

Unsere Spezialisten kontaktieren Sie gern!

×
Verbessern des Datenverständnisses

Verbessern des Datenverständnisses

Rocco Gagliardi

Übergang zu OpenSearch

Übergang zu OpenSearch

Rocco Gagliardi

Graylog v5

Graylog v5

Rocco Gagliardi

auditd

auditd

Rocco Gagliardi

Sie wollen mehr?

Weitere Artikel im Archiv

Sie brauchen Unterstützung bei einem solchen Projekt?

Unsere Spezialisten kontaktieren Sie gern!

Sie wollen mehr?

Weitere Artikel im Archiv