Illustration Absmeier foto freepik ki

Datensicherung überdenken nach Cyberangriffen von Salt Typhoon. Stärkung der Resilienz in einer SaaS-gesteuerten Geschäftswelt.

Die chinesische, mutmaßlich staatlich unterstützte Hacking-Kampagne mit dem Namen Salt Typhoon hat vor einem halben Jahr mit einem massiven Cyberangriff auf die globale Telekommunikation Aufsehen erregt. Seitdem sorgt sie weiterhin für Schlagzeilen – und die Branche ist nach wie vor im Visier. Als einer der größten Spionageangriffe in der digitalen Geschichte zielt Salt Typhoon vor allem auf Schwachstellen in der Netzwerkinfrastruktur von Telekommunikationsanbietern, um dauerhaften Zugriff zu erhalten. Die Vorgehensweise der Hacker ermöglichte bereits eine langfristige Überwachung der Kommunikation und die Exfiltration hochsensibler Daten.

So hat die Gruppe bei einem Anbieter GRE-Tunnel (Generic Routing Encapsulation) eingerichtet, um Netzwerkverkehr abzugreifen. Ein hochrangiger Cyberexperte des FBI stellte fest, dass Salt Typhoon »in großem Umfang« in Telekommunikationsnetzwerken zugange ist, teils »schlafend«, also auf der Lauer liegend. Allein in den USA seien neun Betreiber betroffen und Dutzende weitere weltweit. Die Aktivitäten beschränken sich aber nicht nur auf diese Branche. So wurde zuletzt bekannt, dass Salt Typhoon mindestens ein Netzwerk der US-Nationalgarde gehackt und von März bis Dezember 2024 erheblich kompromittiert hatte.

Für HYCU, Experte für Cloud-basierte Cyberresilienz, sind die jüngsten Enthüllungen eine deutliche Erinnerung an die sich entwickelnde und ausgeklügelte Natur von Cyberbedrohungen. Während die Angreifer sich darauf konzentrierten, Kommunikation abzufangen und sensible Daten zu entwenden, werfen ihre Handlungen ein Schlaglicht auf ein umfassenderes, dringenderes Problem: die Unzulänglichkeit traditioneller Datensicherungsmethoden beim Schutz kritischer Infrastrukturen.

Dringender Aufruf zum Handeln – Lieferkette im Visier

Diese Vorfälle sind daher ein dringender Aufruf an Unternehmen und staatliche Institutionen, ihren Ansatz zur Cyberresilienz mit Backup und Wiederherstellung zu überdenken. Jetzt gilt es, die Lehren aus diesen Angriffen zu ziehen und zu untersuchen, wie sich die wachsenden Schwachstellen in einer hypervernetzten, SaaS-abhängigen Welt beheben lassen. Diese Art von Advanced Persistent Threat (APT) profitiert von schwachen Erkennungssystemen, unzureichend geschützten Datenspeichern und unzulänglichen Wiederherstellungsmechanismen. Cyberangriffe und Datenlecks dieser Größenordnung bei Telekommunikationsunternehmen gefährden Millionen von Kunden und die nationale Sicherheit.

Durch die Kompromittierung eines einzelnen Anbieters in der Lieferkette können Angreifer Tausende von nachgelagerten Unternehmen erreichen. Hochkarätige Vorfälle wie die Salt-Typhoon-Sicherheitsverletzung, der Snowflake-Angriff oder Massenlöschungen in Public-Cloud-Umgebungen veranschaulichen, wie massiv dieses Risiko inzwischen ist. Ein einziger Vorfall bedroht nicht nur ein Unternehmen – er kann sich auf ganze Branchen ausweiten und jeden Kunden betreffen, der für seine Einnahmen, Compliance und sein Vertrauen auf den kompromittierten Dienst angewiesen ist.

Die Rolle der Wiederherstellung und das Shared-Responsibility-Modell

Cloud-Plattformen bieten einen enormen Mehrwert, aber die Komplexität der heutigen IT-Infrastruktur bedeutet, dass Unternehmen oft auf Hunderte von SaaS-Anwendungen angewiesen sind – jede davon ein potenzieller Einstiegspunkt für Angreifer. Selbst bekannte Lösungen wie LastPass oder Typeform haben sich als anfällig erwiesen. Dies unterstreicht, wie wichtig es ist, nicht nur die eigenen Daten zu sichern, sondern auch zu wissen, wie sich diese im Falle eines unerwarteten Ereignisses schnell wiederherstellen lassen.

Die schnelle Einführung von SaaS-Plattformen hat die Arbeitsweise von Unternehmen verändert, die von Skalierbarkeit, Flexibilität und geringeren Infrastrukturkosten profitieren. Die Angriffe von Salt Typhoon unterstreichen jedoch, wie viele andere auch, dass Kunden ihre Verantwortung verstehen müssen.

Während Cloud- und SaaS-Anbieter hart daran arbeiten, die Verfügbarkeit und Sicherheit der Infrastruktur zu gewährleisten, liegt der Schutz der eigentlichen Daten immer noch in der Verantwortung der Cloud-Kunden. Es ist ein weit verbreitetes Missverständnis: Viele Unternehmen gehen davon aus, dass ihre SaaS-Daten automatisch gesichert und wiederherstellbar sind. In Wirklichkeit liegt es nicht in der Verantwortung des Cloud-Anbieters, einen kritischen Datensatz wiederherzustellen, wenn jemand aus dem eigenen Team versehentlich etwas löscht, sondern in der Verantwortung des Cloud-Kunden.

Obwohl Provider nach einem Angriff oder einer Sicherheitsverletzung ihre eigenen Vorgänge wiederherstellen, ist es für Cloud-Kunden am besten, immer eine sichere, externe Kopie ihrer Daten aufzubewahren. Auf diese Weise müssen sie im Falle eines Problems nicht darauf warten, dass jemand anderes ihre Daten wiederherstellt.

Telekommunikationsanbieter und ISPs benötigen eine neue Perspektive auf die Datensicherung

Für Telekommunikationsanbieter und ISPs sind Daten mehr als nur ein Vermögenswert – sie sind das Herzstück des Betriebs. Die Angriffe von Salt Typhoon unterstreichen die Bedeutung einer mehrschichtigen Datenschutzstrategie, die Folgendes umfasst:

Regelmäßige, unveränderliche Backups:
Es gilt zu verhindern, dass Angreifer Backup-Dateien manipulieren oder verschlüsseln können.
Automatisierte Wiederherstellungstests:
Administratoren müssen sicherstellen, dass Backups nicht nur vollständig sind, sondern auch in einem realen Szenario wiederhergestellt werden können.
Umfassende Abdeckung:
Unternehmen müssen Daten in hybriden Multi-Cloud-Umgebungen, einschließlich SaaS-Anwendungen, schützen, um Lücken in ihrer Strategie zu schließen.

Proaktive Schritte für eine widerstandsfähige Datensicherung

Um Daten während eines Angriffs auf die Lieferkette sicher und zugänglich zu halten, sind diese proaktiven Schritte zu empfehlen:

Übersicht über den gesamten Datenbestand erstellen:
Unternehmen sollten alle cloudbasierten Dienste und Anwendungen außerhalb des Rechenzentrums identifizieren und sicherstellen, dass sie für jeden einzelnen davon über zuverlässige Sicherungs- und Wiederherstellungspläne verfügen.
Schutz von IAM-Konfigurationen:
Angreifer nutzen häufig privilegierte Konten aus. Indem Unternehmen ihre Identitäts- und Zugriffsverwaltungseinstellungen (Identity and Access Management, IAM) von einem sicheren Zeitpunkt aus sichern und wiederherstellen, können sie unbefugten Zugriff schnell blockieren.
Durchführung unabhängiger, externer Backups:
Unternehmen sollten Backups an einem Ort speichern, den nur sie kontrollieren. Wenn sie die 3-2-1-Regel (drei Kopien, zwei Medientypen, ein externer Speicherort) befolgen, stellen sie sicher, dass sie immer einen sicheren Plan B haben.
Nutzung unveränderbarer Backups:
Administratoren müssen sicherstellen, dass ihre Backups WORM-fähig sind und außerhalb des Unternehmens gespeichert werden. So sind sie vor Ransomware und anderen Bedrohungen geschützt und ihre Wiederherstellung bleibt intakt.
Erstellung und Testen von Incident-Response-Plänen:
Unternehmen benötigen eine klare, dokumentierte Strategie für den Umgang mit Verstößen durch Dritte. Hier gilt es, interne Teams, Anbieter und Aufsichtsbehörden einzubeziehen und regelmäßige Tests durchzuführen, damit jeder seine Rolle kennt, wenn es darauf ankommt.

Aufbau einer sichereren digitalen Zukunft

Für HYCU steht fest: Unternehmen müssen ihre Daten sichern, unabhängig davon, wo sie sich befinden. Hierbei geht es auch darum, die Compliance zu vereinfachen, also gesetzliche Anforderungen mit minimalem Aufwand zu erfüllen. Ausfallzeiten und Datenverluste gilt es zu minimieren, um die Betriebskontinuität zu gewährleisten, auch bei einem Vorfall. Ebenso entscheidend sind sichere SaaS-Anwendungen. Dies bedeutet, Daten zu sichern, die auf SaaS-Plattformen gespeichert sind, ohne sich ausschließlich auf native Wiederherstellungsoptionen zu verlassen.

Salt Typhoon mag ein Weckruf sein, aber es ist auch eine Gelegenheit, die Abwehrkräfte zu stärken und Unternehmen gegen aufkommende Bedrohungen zukunftssicher zu machen. Die Angriffe haben Schwachstellen im Telekommunikations- und ISP-Sektor und bei staatlichen Institutionen aufgedeckt, aber die daraus gezogenen Lehren gehen weit über einzelne Branchen und Sektoren hinaus. Datensicherung muss für alle oberste Priorität haben.

290 Artikel zu „SaaS Backup“

News | IT-Security | Services

Auch SaaS-Lösungen benötigen Backups

12. November 2023

Für viele Unternehmen sind Software-as-a-Service-Lösungen inzwischen geschäftskritisch. Deshalb sollten sie auch das gleiche Schutzniveau genießen, wie Nicht-SaaS-Dienste. In der Realität ignorieren viele Unternehmen jedoch die Gefahr, dass die Daten auf ihrer vertrauten Cloud-Plattform bedroht sein könnten. Um diese Dienste entsprechend abzusichern, sollten Unternehmen benutzerfreundliche Sicherungslösungen für SaaS-Dienste einsetzen. Viele SaaS-Lösungen sind nicht ausreichend abgesichert.…