Der definitive Leitfaden zum Datenschutz

Datenschutz ist der Prozess des Schutzes von Daten vor Verlust, Beschädigung oder Unterbrechung von Diensten durch den Einsatz von Backups und einer datenresistenten Architektur. Von Backups über die Wiederherstellung bis hin zur Wiederverwendung von Daten deckt sie alle Technologien und Techniken ab, die ein Unternehmen verwenden kann, um Daten sicher und hochverfügbar für seine Produkte, Services und Operationen zu halten.

In diesem Leitfaden werden wir uns mit den verschiedenen Technologien und Techniken befassen, die einem Systemadministrator zur Sicherheit von Daten zur Verfügung stehen.

Während der Begriff Datenschutz oft synonym mit Datensicherheit und Datenschutz (Privatsphäre) verwendet wird, gibt es feine Unterschiede zwischen den drei Begriffen:

• Datenschutz wird oft als Oberbegriff verwendet, der Datensicherheit und Datenschutz (Privatsphäre) umfasst. In der Branche bezieht sie sich jedoch oft speziell auf die Verhinderung von Datenverlust oder -beschädigung durch Ausfallsicherheit, Redundanz und Wiederherstellung.
• Datensicherheit ist spezifischer und bezieht sich auf die Verhinderung von unbefugtem Zugriff, Manipulation oder Beschädigung von Daten durch interne und externe Parteien durch Firewalls, Verschlüsselung und andere Technologien.
• Datenschutz (Privatsphäre) konzentriert sich auf die Kontrolle des Zugriffs auf Daten, um die Offenlegung sensibler Daten und Informationen zu verhindern. Dazu gehören Sicherheitsschulungen, Authentifizierungsstrategien und die Einhaltung von Informationssicherheits-Vorschriften wie der DSGVO.

Sie sollten in alle drei investieren, wenn Sie sicherstellen möchten, dass die Daten Ihres Unternehmens vollständig geschützt sind. In diesem Leitfaden konzentrieren wir uns in erster Linie auf den Datenschutz, auch wenn zwischen den drei Bereichen natürlich einige Überschneidungen bestehen.

Der Gedanke hinter der Datensicherheit im Serverraum oder Rechenzentrum zielte lange auf Redundanz ab. Sie können es sich nicht leisten, Ihre Daten zu verlieren oder zu riskieren, dass diese beschädigt oder beeinträchtigt werden. Daher sollten Sie immer über ein Backup verfügen.

In der Praxis ist das bloße Erstellen von Daten-Backups natürlich das absolute Minimum. Datenschutz ist tatsächlich Übung im Verwalten Ihrer Wiederherstellungspunkte (RPOs, Recovery Point Objectives) und Wiederherstellungszeiten (RTOs, Recovery Time Objectives) für die kritischsten Services in Ihrem Betriebs-Technologie-Stack. Mit anderen Worten: Es geht darum, wie schnell Sie Ihre Daten sichern und wiederherstellen können, um die Unterbrechung kritischer Geschäftsvorgänge zu verhindern.

Was genau sind also RTO und RPO?

• RTO: Die maximale Zeitdauer, für die Ihr Unternehmen den Zugriff auf die Daten verlieren darf, auf denen Ihre Apps und Ihr Betrieb basieren. Der RTO-Wert bestimmt, wie schnell Ihr System wiederhergestellt sein muss. 

• RPO: Bezieht sich auf die maximale Menge an Daten, die Sie verlieren können. Verwenden Sie diesen Wert, um die Häufigkeit Ihrer Backups festzulegen.

RTO und RPO sind die KPIs (Key Performance Indicators), auf die Sie achten müssen, wenn Sie Ihre Disaster-Recovery-Strategie entwickeln.

Erfahren Sie, warum Wiederherstellung mit Ransomware das neue Backup ist

Backup und Wiederherstellung werden auch als Backup und Disaster Recovery bezeichnet und beziehen sich auf die Praxis, Ihre Daten zu sichern, damit Sie im Falle eines Disasters Geschäftsservices und -vorgänge wiederherstellen können. Katastrophen können alles von Naturkatastrophen und Ausfällen bis hin zu menschlichen Fehlern und Cyberangriffen umfassen. 

Datenbackup-Planung

Abhängig von den Technologien und Ressourcen, die Ihrem Unternehmen zur Verfügung stehen, müssen Sie möglicherweise eine oder mehrere dieser Backup-Techniken als Teil einer größeren Disaster Recovery-Strategie für Rechenzentren anwenden:

• Vollständige Image-Sicherung: Sie sichern die vollständige Abbildung Ihrer Daten, um einen Restore-Point zu schaffen, auf dem Sie sofort ansetzen können. Da Sie ein vollständiges Backup durchführen, dauert das Speichern bei dieser Technik am längsten.
• Differenzial-Backup: Sichert alle Änderungen seit der letzten vollständigen Bildsicherung. Für die Wiederherstellung sind nur zwei Dateien erforderlich: die letzte vollständige Image-Sicherung, gefolgt von der neuesten Differenzialsicherung. 
• Inkrementelles Backup: Sie sichern die Änderungen seit dem letzten vollständigen Image-Wiederherstellungspunkt schrittweise. Nach einer festgelegten Anzahl inkrementeller Backups schließt der Zyklus mit einem vollständigen Image-Backup ab. Die Wiederherstellung beginnt mit dem letzten vollständigen Image-Backup, gefolgt von inkrementellen Backups zum Ziel-RPO . 
• Echtzeit-Backup: Diese Methode wird auch „kontinuierliches Backup“ genannt und beinhaltet das sofortige Kopieren jeder Änderung an Ihren Daten auf getrennte Storage-Geräte. Sie bietet das granularste und umfassendste Backup.
• Sofortige Wiederherstellung: Eine kontinuierlich aktualisierte Backup-VM wird für eine Produktions-VM gepflegt. Wenn die Produktions-VM ausfällt, übernimmt sofort das Backup. Das Ergebnis: RTO und RPO von null.

Erfahren Sie mehr über mehrstufige Backups und Datenbunker für langfristige, hochverfügbare Backup-Lösungen

Disaster Recovery für Rechenzentren

Die Implementierung eines soliden Backup-Plans ist nur ein Teil der Datenschutzgleichung. Der zweite Teil besteht darin, Ihre RTOs zu treffen. Mit anderen Worten: Wie können Sie Ihre Geschäftssysteme nach einer Katastrophe wieder in Betrieb nehmen? Ein typischer Disaster Recovery-Plan umfasst:

• Disaster Recovery-Team: Benennen Sie eine Gruppe von direkt verantwortlichen Personen (DRIs) für die Umsetzung des Disaster Recovery-Plans.
• Risikoanalyse: Es lohnt sich, vorbereitet und sich bewusst zu sein, was in Ihrem Unternehmen schiefgehen könnte. Identifizieren Sie Risiken und Maßnahmenpläne im Falle ungeplanter Ausfallzeiten oder einer Katastrophe.
• Compliance: Nur weil Sie Opfer eines Angriffs sind, bedeutet dies nicht, dass Sie von den Vorschriften zur Daten-Compliance Abstand nehmen. Ein Compliance-Beauftragter kann sicherstellen, dass Ihr Unternehmen die Aufbewahrungs- und Löschungsrichtlinien befolgt und keine sensiblen Daten, die zuvor aus Compliance-Gründen gelöscht wurden, sichert.
• Analyse der geschäftlichen Auswirkungen: Nach einer Katastrophe benötigen Sie jemanden, der die potenziellen Auswirkungen auf Unternehmensservices einschätzt. Es kann möglich sein, die kritischsten Services früher wieder in Betrieb zu nehmen. Die Identifizierung und Dokumentation, welche Systeme, Anwendungen, Daten und Assets für die Geschäftskontinuität am wichtigsten sind, kann Ihrem Disaster Recovery-Team dabei helfen, die effizientesten Schritte zu ergreifen, die für die Wiederherstellung erforderlich sind.
• Datenbackup: Je nachdem, welche Backup-Strategien und -Technologien Sie verwenden, können Sie den Geschäftsbetrieb wieder aufnehmen, indem Sie zum neuesten Backup zurückkehren. RTOs und RPOs variieren je nach Backup und betroffenen Services. 

Es geht um einen kontinuierlichen Datenschutz

In einer zunehmend digitalen Welt erwarten Kunden, dass Unternehmen ihre Services rund um die Uhr ohne Ausfallzeiten oder Unterbrechungen bereitstellen können. Kontinuierlicher Datenschutz (CDP), auch als kontinuierliches Backup bezeichnet, ist die Praxis, den kontinuierlichen Datenstrom zu sichern, der zur Unterstützung moderner Geschäftsabläufe erforderlich ist. Dadurch können Unternehmen ein System zu jedem früheren Zeitpunkt wiederherstellen. Das Ziel von CDP besteht letztlich darin, RTOs und RPOs im Falle einer Katastrophe zu minimieren. Durch den Einsatz kontinuierlicher Echtzeit-Backups und die Implementierung einer soliden Disaster Recovery-Strategie ist es möglich, die Geschäftskontinuität über CDP aufrechtzuerhalten.

Bisher haben wir die Dinge behandelt, die Sie im Allgemeinen tun können, um Ihre Daten zu schützen und die Geschäftskontinuität im Falle einer Katastrophe aufrechtzuerhalten. Aber es gibt eine Art von Katastrophe, die immer weiter wächst und die es wert ist, von separat angegangen zu werden: Ransomware.

Cyberkriminelle waren schon immer eine Bedrohung. Aber während die Hacktivisten aus der Vergangenheit durch politische, kulturelle und religiöse Überzeugungen motiviert waren, sind die Cyberkriminellen von heute größtenteils durch finanzielle Gewinne motiviert. Ransomware, bei der ein Hacker Sie durch Verschlüsselung von Ihren Daten aussperrt, bis Sie ein Lösegeld zahlen, ist jetzt eine Millionen-Dollar-Branche. Und in einer Welt, in der Ausfallzeiten direkt zu Umsatzeinbußen führen, war es nie verlockender, einfach das Lösegeld zu zahlen.

In den folgenden Abschnitten behandeln wir die Dinge, die Sie tun können, um einen Ransomware-Angriff abzumildern.

Verhinderung eines Ransomware-Angriffs

Die beste Möglichkeit, Ransomware zu bekämpfen, besteht darin, zu verhindern, dass sie überhaupt auftritt. Es geht darum, systemweite Transparenz zu erhalten, eine gute Datenhygiene zu praktizieren und einen Plan zu haben, um mit einer Bedrohung umzugehen, sobald Sie sie erkannt haben.

• Protokollierung und Überwachung: Mit Protokollierungs- und Systemüberwachungstools können Sie Ihre Systeme aus der Vogelperspektive betrachten und besser verstehen, wie Ihre IT-Infrastruktur aussieht, wenn alles reibungslos läuft. Schnelle Echtzeitanalysen können Ihnen dabei helfen, Anomalien (z. B. einen Anstieg des Datenverkehrs von einer verdächtigen IP-Adresse) und andere Aktivitäten zu erkennen, die Sie auf einen potenziellen Angriff hinweisen können.
• Datenhygiene: Wenn Hacker Malware einsetzen, suchen sie nach Sicherheitsschwachstellen wie ungepatchten Betriebssystemen, schlecht gesicherten Tools von Drittanbietern und unordentlichem Datenmanagement. Datenhygiene bedeutet die Implementierung guter Patch-Management-, Systemkonfigurations- und Datensanitisierungspraktiken. Diese Dinge machen Ihr Unternehmen nicht nur reibungsloser, sondern verringern auch die Angriffsfläche eines potenziellen Hacks erheblich.
• Betriebssicherheit: Menschen sind eine oft übersehene Schwachstelle im Hinblick auf Cybersicherheit. Die Implementierung von Multi-Faktor-Authentifizierung, administrativen Kontrollen und Daten-Tiering kann sicherstellen, dass Daten nur den autorisierten Personen zur Verfügung stehen, die sie benötigen. Sicherheitsbewusstseinsschulungen, die die Techniken von Hackern und Phishing-Angriffen behandeln, können Ihrem Unternehmen dabei helfen, echte Versuche in der Wildnis zu erkennen.

Was während eines Ransomware-Angriffs zu tun ist 

Cyberangriffe sind im echten Leben nicht so offensichtlich wie für die Protagonisten von Filmen. Der Angriff selbst kann nur 30 bis 40 Minuten dauern, wenn sie auf Ihre Dateien zugreifen und sich seitlich durch Ihre Netzwerke bewegen, Dateien verschlüsseln und Backups löschen. Andererseits kann ein Angreifer noch lange nach dem Zugriff in Ihrem Netzwerk lauern und Ihre Reaktionen auf Anomalien überwachen, während er einen tatsächlichen Angriff plant. In jedem Fall ist der Angriff, wenn Sie eine Lösegeldnotiz für Ihre Daten erhalten, bereits abgeschlossen.

Die einzige Möglichkeit, einen Ransomware-Angriff zu erkennen, während er noch stattfindet, besteht darin, auf Phishing-Versuche mit Folie aufmerksam zu machen (durch Schulung Ihrer Mitarbeiter) oder verdächtige Aktivitäten in Ihrem Netzwerk über SEIMs und Protokolle zu erkennen. Vorausgesetzt, Sie haben diese proaktiven Schritte unternommen und über die erforderlichen Tools verfügen, zahlt es sich aus, einen CIR-Plan (Cyber Incident Response) zu haben, um mit der anormalen Aktivität umzugehen, wenn Sie sie entdecken. Dokumentieren Sie alles und benachrichtigen Sie das zuständige IT-Personal, um betroffene Systeme zu isolieren und Schäden zu mindern. Sie benötigen diese Aufzeichnungen, um die Compliance-Anforderungen zu erfüllen und die Strafverfolgungsbehörden bei Untersuchungen zu unterstützen, falls sich diese Aktivität als echter Ransomware-Angriff erweist. Wir behandeln die Einzelheiten zur Erstellung eines CIR-Plans später in diesem Artikel.

Disaster Recovery nach Ransomware-Angriffen

So wurden Ihre Dateien verschlüsselt und Sie haben gerade eine Ransomware-Notiz erhalten. Welche Möglichkeiten haben Sie?

Eine Möglichkeit besteht darin, einfach das Lösegeld zu zahlen, aber dies könnte Ihr Unternehmen dem Risiko aussetzen, weitere Erpressungen zu erleiden.

Eine bessere Option, sofern Sie die in den vorherigen Abschnitten beschriebenen proaktiven Schritte zur Bekämpfung von Ransomware befolgt haben, ist das Bereinigen, Wiederherstellen und Reagieren:

• Bereinigen Sie Ihre Systeme von den Schwachstellen, die es den Angreifern ermöglicht haben, auf Ihre Daten zuzugreifen. Beeinträchtigte Hardware und Software sollten sofort isoliert und vom Netzwerk getrennt werden. Ein System- und Netzwerkaudit sollte durchgeführt werden, um sicherzustellen, dass keine Hintertüren oder andere Malware verbleiben. Es ist wichtig, Ihre Systeme zu bereinigen, bevor Sie Daten aus Ihren Backups wiederherstellen und live gehen.
• Stellen Sie Daten wieder her, indem Sie Ihren Backup- und Wiederherstellungsplan nutzen. Hoffentlich verfügen Sie über einige Snapshots und eine Disaster-Recovery-Infrastruktur, die es Ihnen ermöglichen, Dinge direkt vor dem Cyber-Vorfall abzuholen. Ihr Verteidigungsteam sollte eine forensische Analyse Ihrer Backup-Daten in einer sanitisierten virtuellen Umgebung durchführen, um sicherzustellen, dass die Angreifer nichts hinter sich gelassen haben. Sie suchen nach einem ungehinderten Wiederherstellungspunkt, an den Sie Ihre Systeme zurückrollen können. 
• Reagieren Sie angemessen auf den Angriff, indem Sie Maßnahmen ergreifen, um Aufzeichnungen zu überprüfen, Systeme zu prüfen und die Art des Angriffs zu dokumentieren. Um die Vorschriften einzuhalten, müssen Sie Kunden möglicherweise über eine Datenschutzverletzung informieren, und Sie möchten, dass Ihre Protokolle zeigen, dass Ihr Unternehmen alles getan hat, um auf den Angriff zu reagieren. Informationen, die aus dem Angriff gewonnen werden, können genutzt werden, um Strafverfolgungsbehörden dabei zu helfen, die Täter aufzuspüren und Ihre eigenen Systeme vor zukünftigen Angriffen zu schützen.

Mehr erfahren: Hackerleitfaden zur Bekämpfung und Wiederherstellung von Ransomware

Ein Reaktionsplan für Cyber-Vorfälle ist ein formelles Dokument, das die Einzelheiten beschreibt, die das Personal im Falle eines Cyberangriffs befolgen sollte. Es ist auch eine Anforderung des PCI DSS (Payment Card Industry Data Security Standard). Die Reaktionspläne auf Cybervorfälle bestehen in der Regel aus sechs verschiedenen Phasen: 

1. Vorbereitung

In dieser Phase werden die Schritte, Rollen und Verfahren beschrieben, die im Falle eines Cybervorfalls befolgt werden sollten. Bereiten Sie ein Team von Einzelpersonen mit klar definierten Rollen und Verantwortlichkeiten für die Reaktion auf einen Cybervorfall vor. Sie umfasst auch das Testen dieser Rollen und Verfahren über Mitarbeiterschulungen mit Drill-Szenarien wie falschen Datenschutzverletzungen. 

2. Identifizierung

Diese Phase umfasst die Erkennung und forensische Analyse von anomalen Cyberereignissen, um festzustellen, ob ein Verstoß stattgefunden hat und wie schwer der Vorfall ist. 

• Welche Daten wurden offengelegt? 
• Wie wurde sie entdeckt? 
• Wer hat den Vorfall entdeckt?
• Wen betrifft es?

Der Umfang und die Schwere des Vorfalls müssen dokumentiert und analysiert werden, bevor er effektiv behoben werden kann. System- und Netzwerkprotokolle können der Schlüssel sein, um sofort auf eine Sicherheitsverletzung zu reagieren und die kritischen Details eines Sicherheitsvorfalls zu ermitteln, nachdem er aufgetreten ist.

Mehr erfahren: Sie sind von Ransomware getroffen worden. Was jetzt?

3. Eindämmung

Im Falle eines Cybervorfalls legt die Eindämmungsphase Maßnahmen fest, die ergriffen werden, um weitere Schäden zu verhindern und Risiken zu mindern. Eindämmung umfasst in der Regel Schritte zum Trennen und Deaktivieren betroffener Geräte vom Internet.

4. Eradikation

Sobald eine Bedrohung eingedämmt wurde, kann sie von einem Sicherheitsexperten analysiert werden, um die Ursache des Vorfalls zu ermitteln und alle Bedrohungen zu beseitigen. Malware-Entfernung, Sicherheitspatches und andere Maßnahmen sollten in der Auslöschungsphase beschrieben werden. 

5. Wiederherstellung

Die Wiederherstellungsphase umfasst Schritte und Verfahren zur Wiederherstellung der betroffenen Systeme und Geräte wieder in die Produktion. Redundante Backups, Snapshots und ein Disaster-Recovery-Plan können implementiert werden, um geschäftskritische Services im Falle eines Verstoßes wiederherzustellen. Sie sollten auch eine inszenierte Wiederherstellungsumgebung haben, die Ihnen eine „vorgefertigte“ Möglichkeit bietet, direkt nach einem Ereignis wieder online zu gehen. 

6. Gelernte Erkenntnisse

Cybersicherheit ist ein kontinuierlicher Prozess. Es ist wichtig, aus einem Cyber-Vorfall gewonnene Informationen und gewonnene Erkenntnisse zu sammeln und sie auf die Verbesserung von Sicherheitsprotokollen und den Vorfallreaktionsplan selbst anzuwenden.
 

Erhalten Sie einen detaillierten 6-Point-Plan für die „Während“ einer Datenschutzverletzung

In diesem Leitfaden haben wir uns die verschiedenen Tools, Strategien und Technologien angesehen, die zum Schutz Ihrer Daten und zur Aufrechterhaltung der Geschäftskontinuität im Falle einer Katastrophe verfügbar sind. Letztendlich sind Ihre Daten nur so sicher wie die Infrastruktur, mit der Sie sie verwalten. 

Aus diesem Grund wurden Pure Storage ®-Produkte von Grund auf unter Berücksichtigung des modernen Datenschutzes entwickelt. Beispiele für moderne Datenschutzlösungen, die von Pure entwickelt wurden, sind:

• FlashBlade ® Rapid Restore: Bietet eine Datenwiederherstellungs-Performance von 270TB/h für Produktions- und Test-/Entwicklungsumgebungen. 
• ActiveDR™: ActiveDR ist in Purity integriert und bietet Ihnen eine RPO von nahezu null über eine robuste asynchrone Replikation, die sowohl neue Schreibvorgänge als auch die zugehörigen Snapshots und Schutzpläne abdeckt. RPO  
• Purity ActiveCluster ™: Synchrone Replikation für RPO-Null trifft auf transparentes Failover für RTO-Null in diesem echten bidirektionalen active-active-Metro-Stretch-Cluster . 
• SafeMode ™-Snapshots: SafeMode-Snapshots sind eine Ransomware-Schutzlösung, die in FlashArray ™ und FlashBlade integriert ist. Die Snapshots sind unveränderlich, sodass Ihr Team im Falle eines Ransomware-Angriffs Daten wiederherstellen kann.

Moderne Datenbedrohungen erfordern moderne Datenschutzlösungen. Die Speicherung Ihrer Daten mit Pure Storage ist der beste Weg, um Performance, Zuverlässigkeit und Sicherheit für Ihr Unternehmen sicherzustellen.