scip Monthly Security Summary Ausgabe September 2024

Über Resilienz

landscape dolomites sea reflection sky blue

Editorial

September 2024: Standhaft bleiben

Unser Titelbild verrät es schon ein bisschen: Der Herbst steht vor der Tür. Mir persönlich bekommt diese Jahreszeit sehr gut. Ich mag es sehr, wenn sich draussen das Farbspektakel verändert, die Natur sich von ihrer prächtigen Seite zeigt, es zwar etwas kühler wird – aber dennoch sonnig und gemütlich bleibt. Es scheint so, als würde sich die Natur auf die kommende Winterzeit vorbereiten, ihr eigenes Schutzschild aufziehen und sich auf den anbahnenden Wetterumbruch einstellen.

Wir können viel von der Natur und diesem Prozess lernen – vor allem, wenn es um das Thema Standhaftigkeit geht. In dieser Ausgabe des Newsletters fokussieren wir uns nämlich auf das Thema Resilienz. Unser Blue Team gibt uns Einblicke in Backup-Systeme und erklärt, wieso diese für den Schutz sensibler Daten und die Einhaltung gesetzlicher Vorschriften unerlässlich sind. Dabei erläutert das Blue Team spezifisch, wie man ein Backup-System entwirft, gleichzeitig datenschutzrelevante Aspekte berücksichtigt und wie unser scip-interner Ansatz dabei aussieht. Damit es für Unternehmen auch weiterhin sonnig und gemütlich bleibt, müssen auch wir uns auf äussere Bedingungen anpassen, unsere Schutzschilder aufziehen und auf Veränderungen reagieren können. Wie beeinflussen neue Technologien nicht nur unsere Innovationskraft, sondern begünstigen auch Gefahren im digitalen Raum? Wie werden digitale Entwicklungen vorangebracht und gleichzeitig gegen Angriffe gewappnet? Sie sehen: Resilienz in Zeiten der digitalen Transformation ist unerlässlich. So wie sich die Natur auf die kommende Winterzeit vorbereitet, so sollten auch wir uns hinterfragen, ob wir genügend standhaft sind, wenn sich äussere Faktoren verändern. Denn der Winter ist ja gut und recht: Aber am schönsten ist es doch, wenn es im Frühling wieder zu blühen beginnt. In diesem Sinne: Viel Spass beim Lesen unserer etwas angepassten Version des monatlichen Newsletters!

Serena Bolt, Business Analystin

News

Das ist bei uns passiert

Vortrag zu Cybersecurity und KI an Inside IT-Event

Am 29. August 2024 findet in Zürich der Inside IT-Event mit dem Titel Was bedeutet der KI-Boom für IT-Security konkret? statt. An diesem wird Marc Ruef eine Keynote halten und aufzeigen, welchen Einfluss Künstliche Intelligenz auf die Zukunft von Cybersecurity haben wird. Dabei wird er sowohl auf Angriffsmöglichkeiten als auch Gegenmassnahmen eingehen. Tickets können online gekauft werden.

Gespräch im KI-Podcast "Prompt Zero" von Blick

Der Podcast Prompt Zero des Blick setzt sich mit aktuellen Geschehnissen im Bereich der Künstlichen Intelligenz auseinander. In der jüngsten Folge ist Marc Ruef zu Gast, der sich mit den Journalisten Thomas Benkö und Tobias Bolzern zu gesellschaftlichen Aspekten, Cybercrime und Cyberwar unterhält. Die Folge kann auf YouTube und Spotify gehört werden.

KI als Arbeitskraft der Zukunft? Podiumsdiskussion

Wird KI die Arbeitskraft der Zukunft sein? Diese Frage klären Marisa Tschopp und weitere Gäste am kommenden Donnerstag, 12. September im NZZ-Foyer im Rahmen einer Podiumsdiskussion. Die Teilnehmenden werden einen Einblick in die Frage erhalten, ob KI die Lösung für den aktuellen Fachkräftemangel sein kann, und wie Unternehmen Künstliche Intelligenz in den bestehenden Prozessen eingliedern können. Marisa, die die Beziehung zwischen Mensch und Maschine erforscht, wird vor allem KI aus einer psychologischen Perspektive betrachten und ethische Hintergründe zu den aktuellen Entwicklungen erläutern.

Fachartikel

Aktuelle Erkenntnisse

Backup-Systeme sind für den Schutz sensibler Daten und die Einhaltung gesetzlicher Vorschriften unerlässlich. Der Entwurf und die Implementierung dieser Systeme sind aufgrund ihrer Interaktion mit Anlagen unterschiedlicher Klassifizierung von entscheidender Bedeutung. Wichtige Entscheidungen – wie die Festlegung von Richtlinien, die Klassifizierung von Systemen und Backup-Strategien – können sich erheblich auf die Sicherheit, Leistung und Zuverlässigkeit des Systems insgesamt auswirken. Aufgrund unserer umfangreichen Erfahrung in verschiedenen IT-Sicherheitsfunktionen besteht unsere Aufgabe darin, Ihre Infrastruktur zu analysieren und sie mit den besten Praktiken zu vergleichen, wobei wir sowohl die technische als auch die Governance-Perspektive berücksichtigen. Mit der Hilfe von Experten, Richtlinien und Konfigurationen können wir Lösungswege schnell verstehen, Schwachstellen identifizieren und praktische und effektive Abhilfemassnahmen vorschlagen.

Backup-System

Ein Backup-System ist ein umfassendes Framework zur Erstellung, Speicherung und Verwaltung von Kopien kritischer Daten und Systeme, um deren Verfügbarkeit und Integrität im Falle eines Datenverlusts, einer Beschädigung oder eines Systemausfalls sicherzustellen. Dieses System umfasst in der Regel Prozesse für die regelmässige Duplizierung von Daten aus dem Primärspeicher an einen sicheren Sekundärspeicherort – sei es vor Ort, in der Cloud oder beides. Effektive Sicherungssysteme sind für die Aufrechterhaltung der Geschäftskontinuität unerlässlich, da sie es Unternehmen ermöglichen, den Betrieb schnell und mit minimalem Datenverlust wiederherzustellen.

Zu den wichtigsten Komponenten eines Sicherungssystems gehören Zeitplanung, Datenverschlüsselung, sichere Speicherlösungen und regelmässige Tests, um die Zuverlässigkeit und Vollständigkeit der Sicherungen zu überprüfen.

Es ist auch wichtig zu betonen, wie wichtig ordnungsgemässe, wiederherstellbare Backups sind, insbesondere im Zusammenhang mit Ransomware-Angriffen, bei denen sie als “Lebensversicherung” für ein Unternehmen fungieren können. Der Schutz vor Ransomware durch Backups kann besondere Vorkehrungen erfordern, z. B. die Sicherstellung, dass die Backups selbst nicht durch Malware verschlüsselt werden und dass vorhandene Malware nicht aus den Backups wiederhergestellt wird. Diese zusätzlichen Massnahmen tragen dazu bei, dass Backups ein wirksamer Schutz gegen Ransomware und andere Bedrohungen bleiben.

Entwerfen eines Backup-Systems

Bei der Konzeption eines effektiven Backup-Systems ist die Abstimmung mit den Strategien des Business Continuity Management (BCM) entscheidend. Zwei Parameter, Recovery Time Objective (RTO) und Recovery Point Objective (RPO), sind der Schlüssel, um sicherzustellen, dass Backup-Lösungen die Anforderungen des Unternehmens an die Ausfallsicherheit erfüllen.

RTO definiert die maximal akzeptable Ausfallzeit nach einer Unterbrechung und beantwortet die Frage: “Wie schnell müssen wir den Betrieb wiederherstellen?” Eine kürzere RTO erfordert schnellere Wiederherstellungslösungen, z. B. Hochgeschwindigkeits-Netzwerkverbindungen und schnelle Failover-Mechanismen. Das RPO definiert den maximal zulässigen Datenverlust, gemessen in Zeit, und befasst sich mit der Frage: “Wie viele Daten können wir uns leisten zu verlieren?” Ein strengeres RPO erfordert häufigere Backups oder Datenreplikation in Echtzeit, um den potenziellen Datenverlust zu minimieren.

Bei der Entwicklung von Systemen für effektive RTO- und RPO-Zeiten sind mehrere Aspekte zu berücksichtigen:

  • Datenverschlüsselung: Die Verschlüsselung von Backups ist für die Sicherheit von entscheidender Bedeutung, kann aber den Wiederherstellungsprozess verlangsamen, was sich sowohl auf RTO als auch RPO auswirkt. Unternehmen sollten ein Gleichgewicht zwischen den Sicherheitsanforderungen und der Wiederherstellungsgeschwindigkeit herstellen, möglicherweise unter Verwendung optimierter Verschlüsselungsalgorithmen.
  • Überwachung und Alarmierung: Die schnelle Erkennung von Störungen ist entscheidend. Eine wirksame Überwachung und sofortige Warnmechanismen tragen dazu bei, Ausfallzeiten zu minimieren, da die RTO-Uhr beginnt, sobald ein Problem auftritt, und nicht erst, wenn der Wiederherstellungsprozess beginnt.
  • Physischer Zugriff auf Backups: Bei Offline-Backups kann der physische Zugriff die Wiederherstellung verzögern. Der Standort der Backups, die Zugriffsprotokolle und die Transportlogistik sollten so geplant werden, dass die Auswirkungen auf die RTO minimiert werden.
  • Transaktionsbasierte Systeme: Hochfrequente Transaktionsumgebungen machen das Erreichen eines niedrigen RPO zur Herausforderung. Es können verschiedene Technologien eingesetzt werden, die jeweils ihre eigenen Konsequenzen haben, die es zu berücksichtigen gilt.
  • Wiederherstellungsreihenfolge: Die Reihenfolge der Systemwiederherstellung wirkt sich auf die gesamte Wiederherstellungszeit aus. Eine ordnungsgemässe Planung stellt sicher, dass kritische Systeme und die zugrunde liegende Infrastruktur nach Priorität geordnet werden, um sowohl RTO als auch RPO zu optimieren.

RTO und RPO müssen aufeinander abgestimmt sein, um eine effektive Wiederherstellungsstrategie zu gewährleisten. Wenn ein Unternehmen beispielsweise ein kurzes RTO (z. B. 15 Minuten) benötigt, sollte es ein ähnlich kurzes RPO haben, um sicherzustellen, dass aktuelle Daten schnell wiederhergestellt werden. Wenn das RTO 15 Minuten, das RPO aber 24 Stunden beträgt, kann das Unternehmen den Betrieb zwar schnell wiederherstellen, aber mit Daten, die bis zu 24 Stunden alt sind, was zu Datenverlust und betrieblichen Inkonsistenzen führen kann. Diese Fehlanpassung führt zu einer ineffektiven Wiederherstellungsstrategie, bei der Ressourcen falsch zugewiesen werden und in eine schnelle Systemwiederherstellung investiert wird, ohne sicherzustellen, dass die wiederhergestellten Daten aktuell sind.

Eine genaue Datenklassifizierung ist für die Definition von Recovery Time Objective (RTO) und Recovery Point Objective (RPO) unerlässlich und ermöglicht es Unternehmen, ihre Infrastruktur auf der Grundlage unterschiedlicher Wiederherstellungsanforderungen zu segmentieren. Diese Segmentierung wirkt sich direkt auf Infrastrukturkomponenten wie Netzwerkverbindungen, Speicherkapazität und Zugriffsgeschwindigkeit aus. Ein kürzeres RTO kann beispielsweise schnellere Netzwerkverbindungen und schnellere Speicherlösungen erfordern, während ein strengeres RPO die Speicheranforderungen aufgrund der Notwendigkeit häufigerer Backups erhöhen kann.

In komplexen Systemen wie vernetzten Transaktionsumgebungen – z. B. solchen, die Message Queuing (MQ) für den Datenaustausch verwenden – ist eine gute Definition von RTO und RPO sogar noch wichtiger. Diese Systeme beruhen auf einer kontinuierlichen Datenverarbeitung in Echtzeit, bei der jede Ausfallzeit oder jeder Datenverlust sich auf mehrere Plattformen auswirken kann. Genaue RTO- und RPO-Werte stellen sicher, dass jede Komponente innerhalb des erforderlichen Zeitrahmens wiederhergestellt werden kann und die Integrität und Kontinuität des gesamten Transaktionsworkflows gewahrt bleibt.

“Bei der Business Continuity geht es nicht nur um die Aufrechterhaltung des Betriebs, sondern auch darum, dass die Datenintegrität und -sicherheit während und nach einer Unterbrechung erhalten bleibt.”

Technische Konsequenzen der Vorschriften

Backup-Systeme sind nicht nur eine technische Notwendigkeit, sondern auch ein kritischer Bestandteil der Einhaltung von Vorschriften. Vorschriften wie DSGVO, PCI-Dss und NIST SP 800-53 stellen spezifische Anforderungen, die Unternehmen bei der Verwaltung von Sicherungsdaten einhalten müssen. Das Verständnis und die Umsetzung dieser Anforderungen ist für die Einhaltung der Vorschriften und den Schutz sensibler Daten unerlässlich. Abhängig von der Art der Daten, die sie verwalten, und den Rechtsordnungen, in denen sie tätig sind, müssen Unternehmen mehrere Compliance-Verpflichtungen erfüllen. Nachfolgend die wichtigsten:

  • Datenschutz und Verschlüsselung:
    • Stellen Sie sicher, dass personenbezogene Daten und Karteninhaberdaten in Backups sowohl bei der Übertragung als auch im Ruhezustand verschlüsselt sind. (DSGVO, PCI-Dss, NIST SP 800-53)
    • Sicherstellung der Integrität und Vertraulichkeit von Daten durch Implementierung kryptographischer Schutzmassnahmen und kontinuierliche Überwachung auf unbefugten Zugriff oder Änderungen. (NIST SP 800-53)
    • Anwendung von Kontrollen für grenzüberschreitende Übertragungen von Sicherungsdaten, wie Standardvertragsklauseln (SCC) oder genehmigte Mechanismen. (DSGVO)
  • Zugriffskontrolle:
    • Durchsetzung strenger Zugangskontrollen, einschliesslich Multi-Faktor-Authentifizierung, die nur befugtem Personal den Zugriff auf Sicherungskopien nach dem “Need-to-know”-Prinzip ermöglichen. (DSGVO, PCI-Dss, NIST SP 800-53)
  • Datenaufbewahrung und -löschung:
    • Implementieren Sie Richtlinien zur Datenaufbewahrung, die sicherstellen, dass Daten nicht länger als nötig aufbewahrt werden und dass unnötige oder veraltete Daten aus den Sicherungen gelöscht werden. (DSGVO, PCI-Dss)
    • Bieten Sie die Möglichkeit, personenbezogene Daten auf Anfrage aus Sicherungskopien zu löschen, und unterstützen Sie das Recht auf Löschung, ohne die Datenintegrität zu beeinträchtigen. (DSGVO)
  • Reaktion auf Vorfälle und Auditing:
    • Entwickeln Sie robuste Verfahren zur Reaktion auf Vorfälle, einschliesslich der schnellen Wiederherstellung von Daten aus Backups, um Ausfallzeiten und Datenverluste zu minimieren. (PCI-Dss, NIST SP 800-53)
    • Führen Sie detaillierte Prüfprotokolle für alle Aktionen im Zusammenhang mit Sicherungsdaten, einschliesslich Zugriff, Änderungen und Löschungen, mit sicherer Speicherung der Protokolle zur Überprüfung. (DSGVO, PCI-Dss, NIST SP 800-53)

Aus den Vorschriften ergeben sich technische Implikationen für die Verwaltung von Datensicherungssystemen, z. B. im Zusammenhang mit PCI-Dss-Zonen, WORM-Systemen und Offline-Bandsicherungen:

  • Einhaltung von PCI-Dss-Zonen:
    Daten innerhalb von PCI-Dss-Zonen müssen zu jeder Zeit verschlüsselt bleiben, auch während der Sicherung. Um diese Anforderung zu erfüllen, installieren Unternehmen normalerweise einen dedizierten Backup-Knoten innerhalb der PCI-Dss-Zone. Dieser Knoten verschlüsselt die Daten, bevor sie auf Speicherserver oder Bänder übertragen werden, so dass sichergestellt ist, dass sensible Informationen die Zone niemals unverschlüsselt verlassen. Die Wiederherstellung der Daten in der entsprechenden Zone setzt voraus, dass die zugrunde liegende Infrastruktur (Switches, Router, Firewalls, IAM usw.) korrekt funktioniert, bevor die Wiederherstellung beginnen kann. Die Verwaltung solcher Systeme innerhalb der PCI-Dss-Zone, einschliesslich des entsprechenden kryptografischen Materials, kann andere Verfahren erfordern, darunter stärkere Authentifizierungsmethoden und das 4-Augen-Prinzip. Ausserdem kann die Aktualisierung dieser Systeme eine Herausforderung darstellen
  • WORM-Systeme und die Einhaltung der DSGVO:
    WORM-Systeme, die Daten in einem unveränderlichen Format speichern, stellen erhebliche Herausforderungen für die Einhaltung der DSGVO dar, insbesondere im Hinblick auf das Recht auf Löschung (Artikel 17) und das Recht auf Berichtigung (Artikel 16). Da WORM-Systeme verhindern, dass Daten geändert oder gelöscht werden können, müssen Unternehmen sorgfältig planen und spezifische Mechanismen implementieren, um diese GDPR-Anforderungen zu erfüllen, wie z. B. die Verwendung zusätzlicher Verschlüsselungsebenen oder die Implementierung eines Verfahrens zur logischen Löschung oder Maskierung von Daten.
  • Offline-Bandsicherungsmanagement:
    Offline-Bandsicherungen erhöhen die Komplexität zusätzlich, da sie den Datenzugriff verzögern und Löschvorgänge erschweren können. Dies macht es schwierig, Aufforderungen zur Löschung oder Änderung von Daten gemäss der Datenschutz-Grundverordnung zeitnah nachzukommen. Um dieses Problem zu lösen, sollten Unternehmen detaillierte Verfahren für die Verwaltung von Offline-Bändern einrichten, um sicherzustellen, dass alle auf diesen Medien gespeicherten Daten in einer Weise abgerufen und gelöscht werden können, die die Einhaltung der DSGVO unterstützt.

Unser Ansatz

Bei der scip AG führen wir eine umfassende Überprüfung der Governance, der operativen Prozesse und der technischen Infrastruktur von Backup-Lösungen durch. Unsere Expertise im Reverse Engineering ganzer Systeme mit Fokus auf Sicherheitskomponenten und deren Zusammenspiel ermöglicht es uns, Abweichungen von Designvorgaben oder etablierten Sicherheitsstandards zu identifizieren. Dazu gehört auch die Einhaltung von Frameworks wie CIS und branchenspezifischen Mandaten wie PCI-Dss. Auf der Grundlage unserer Erkenntnisse geben wir umsetzbare Empfehlungen zur Anpassung der Systeme an das vorgesehene Design oder die geltenden Standards.

Methodik der Überprüfung: NIST CSF-orientiert

Unser Überprüfungsprozess orientiert sich am NIST Cybersecurity Framework (CSF) und deckt die folgenden Bereiche ab:

Governance

  • Überprüfung der Backup-Richtlinie: Sicherstellen, dass eine umfassende Backup-Richtlinie mit den Governance- und Risikomanagement-Rahmenwerken übereinstimmt.
  • Integration des Risikomanagements: Bestätigen Sie, dass Backup-Risiken als Teil der allgemeinen Risikobewertung des Unternehmens dokumentiert und gemildert werden.
  • Einhaltung gesetzlicher Vorschriften: Überprüfen Sie, ob Backups die rechtlichen und regulatorischen Anforderungen an Datenschutz und Compliance erfüllen.

Identifizieren

  • Backup-Abdeckung: Stellen Sie sicher, dass alle kritischen Daten und Systeme im Sicherungsumfang enthalten sind.
  • Einhaltung von Vorschriften: Bestätigen Sie, dass die Backup-Prozesse den relevanten gesetzlichen und industriellen Standards entsprechen.
  • Dokumentation: Überprüfen Sie, ob eine umfassende Dokumentation der Backup-Verfahren und -Richtlinien vorhanden und auf dem neuesten Stand ist.

Schützen

  • Authentifizierung und Autorisierung: Stellen Sie sicher, dass sichere Zugangskontrollmechanismen für Sicherungssysteme vorhanden sind.
  • Verschlüsselung: Bestätigen Sie, dass die Daten während der Speicherung (im Ruhezustand) und während der Übertragung (im Transit) verschlüsselt werden.
  • Sicherheit von Betriebssystem und Konfiguration: Überprüfen Sie die Einstellungen des Betriebssystems und die Backup-Konfigurationen, um sicherzustellen, dass die besten Sicherheitsverfahren eingehalten werden.
  • Unveränderliche Speicherung: Überprüfen Sie, ob die Backups in einem unveränderlichen oder pseudo-veränderlichen Zustand gespeichert werden, um Manipulationen zu verhindern.

Erkennen

  • Überwachung: Implementieren Sie eine kontinuierliche Überwachung der Sicherungsvorgänge, um die Systemleistung zu verfolgen und Anomalien zu erkennen.

Reagieren

  • Alarmierung: Einrichtung von Warnmechanismen für Backup-Ausfälle oder Sicherheitsvorfälle, um schnelle und effektive Reaktionen zu ermöglichen.

Wiederherstellen

  • Sicherungshäufigkeit: Stellen Sie sicher, dass Backups in Intervallen durchgeführt werden, die einen Datenverlust ausreichend verhindern.
  • Wiederherstellungstests: Regelmässiges Testen der Wiederherstellungsprozesse, um eine schnelle und genaue Datenwiederherstellung zu gewährleisten.
  • Einfaches Management: Beurteilen Sie die Einfachheit der Verwaltung von Sicherungsvorgängen, einschliesslich Wiederherstellungsprozessen und Verwaltungsaufgaben.

Jüngste Erfahrungen

In den letzten drei Jahren haben wir für Kunden aus dem Banken-, Versicherungs- und Industriesektor detaillierte Bewertungen der wichtigsten Backup-Lösungen durchgeführt. Einige der untersuchten Lösungen sind:

Schlussfolgerung

Zusammenfassend lässt sich sagen, dass der Entwurf und die Implementierung eines Backup-Systems, das sowohl den Sicherheitsstandards als auch den Anforderungen an die Geschäftskontinuität entspricht, für den Schutz der kritischen Daten eines Unternehmens unerlässlich ist. Indem sie sich auf wichtige Governance-Parameter wie RTO und RPO konzentrieren und einen strukturierten Überprüfungsprozess wie das NIST CSF befolgen, können Unternehmen sicherstellen, dass ihre Backup-Systeme sowohl widerstandsfähig als auch effizient sind. Wie unsere jüngsten Kundenerfahrungen zeigen, schützt eine gut durchdachte Backup-Strategie nicht nur vor Datenverlusten, sondern gewährleistet auch eine schnelle Wiederherstellung und Kontinuität des Betriebs, selbst in komplexen Transaktionsumgebungen. Weitere Einblicke in Best Practices und die neuesten Trends in der IT-Sicherheit finden Sie in unseren Publikationen auf scip.ch.

Sind Sie bereit?

Unsere Spezialisten kontaktieren Sie gern!

Über den smSS

Das scip Monthly Security Summary erscheint monatlich und ist kostenlos.

  • Anmeldung: smss-subscribe@scip.ch
  • Abmeldung: smss-unsubscribe@scip.ch

Informationen zum Datenschutz.

Eine Haftung für die Richtigkeit der Veröffentlichungen kann trotz sorgfältiger Prüfung durch die Redaktion des Herausgebers, den Redaktoren und Autoren nicht übernommen werden. Die geltenden gesetzlichen und postalischen Bestimmungen bei Erwerb, Errichtung und Inbetriebnahme von elektronischen Geräten sowie Sende- und Empfangseinrichtungen sind zu beachten.

Über scip AG

Wir überzeugen durch unsere Leistungen. Die scip AG wurde im Jahr 2002 gegründet. Innovation, Nachhaltigkeit, Transparenz und Freude am Themengebiet sind unsere treibenden Faktoren. Dank der vollständigen Eigenfinanzierung sehen wir uns in der sehr komfortablen Lage, vollumfänglich herstellerunabhängig und neutral agieren zu können und setzen dies auch gewissenhaft um. Durch die Fokussierung auf den Bereich Information Security und die stetige Weiterbildung vermögen unsere Mitarbeiter mit hochspezialisiertem Expertenwissen aufzuwarten.

Immer auf dem neuesten Stand

Abonnieren Sie unser monatliches Magazin