Wenn die Backup-Software selbst zum Trojaner wird

Illustration: Geralt Absmeier

 

Zu den aktuellen Bedrohungen für die Datensicherheit und -verfügbarkeit gehört längst auch Ransomware. Eine gute Backup-Software gilt dabei als Schutzwall, als letzte Verteidigungslinie für die Daten. Dabei wird leicht übersehen, dass die Backup-Software selbst zu einem Einfallstor für den Missbrauch der Daten werden kann: Aus dem Schutzwall gegen Ransomware wird dann auf einmal ein Trojaner.

Nehmen wir als Beispiel dieses Szenario: Ein Staat nutzt eine Backup-Software als Werkzeug und Tarnung, um auf Daten zugreifen zu können – eine staatlich unterstützte Industriespionage. Attraktive Features, ein gutes Marketing und ein guter Preis sorgen dafür, dass die Software in der ganzen Welt verbreitet wird. Die Tarnung ist ideal: Schließlich wird die Software legal verkauft, Malware-Schutzprogramme werden sie also nicht als schädlich melden.
Die Möglichkeiten zur Manipulation sind nahezu unbegrenzt, da die Backup-Software sowohl Zugriff auf die Original- als auch auf die Backup-Daten hat und auf allen Systemen gezielt Befehle ausführen kann. Sie reichen von einer subtilen Sabotage durch gezielte Änderung einzelner Datensätze oder Programme über das Ausspähen von Daten für Industrie- oder Staats-Spionage bis zum kompletten Verlust aller Original- und Backup-Daten – und damit zum Stillstand der gesamten Infrastruktur.

 

Was macht die Backup-Software zu einem idealen Trojaner?

Natürlich ist das gezeigte Beispiel ein extremes Szenario, aber es macht klar: Die eigene Backup-Software muss sorgfältig ausgewählt werden. Was dabei alles zu beachten ist, zeigt die Checkliste am Ende des Artikels. Aber zunächst zur Backup-Software selbst: Wieso kann sie überhaupt zum Trojaner werden?

  1. Die primäre Aufgabe einer Backup-Software ist es, durch Erstellung von Kopien die Daten des Unternehmens zu schützen. Sie hat damit per Definition Zugriff auf alle Daten des Unternehmens. Sie läuft privilegiert auf allen Systemen mit relevanten und kritischen Daten, um den uneingeschränkten Zugriff sicherzustellen.
  2. Es ist der Administrator selbst, der im Rahmen der Installation die Verteilung der Agenten und die Privilegierung der Anwendung vornimmt – und der Software somit volle Kontrolle übergibt.
  3. Um ihre Aufgaben zu erfüllen, kann die Backup-Software auf allen Systemen Befehle und Skripte ausführen. Auch dies im privilegierten Modus.
  4. Es gibt üblicherweise ein zentrales Management, an dem alle Daten zusammenlaufen und alle Komponenten zentral gesteuert werden können. Dort laufen alle wichtigen und interessanten Daten und Metadaten zusammen:
    • eine Liste aller Server im Netz, mit Netzwerkkonfiguration, Betriebssystem, Patchständen und Anwendungen
    • ein Katalog aller gesicherten Daten
    • eine Kopie aller Daten mit Versionsständen, Aufbewahrungszeiten und der Möglichkeit eines verdeckten Zugriffs auf die Datenkopien

Was noch hinzukommt, ist die direkte Verbindung: Üblicherweise kommuniziert Software heute mit dem Hersteller. Updates werden vom Lizenzserver übermittelt, Diagnoseinformationen oder Marketingdaten fließen direkt an ihn zurück. Meist wird diese Kommunikation nicht offengelegt. Es wäre ein Leichtes, hier unbemerkt zusätzliche Informationen oder Kommandos einzubauen. Das Mitloggen der Informationen schützt den Anwender kaum, denn die zusätzlichen Informationen oder Kommandos werden unter Umständen nicht permanent übertragen – oder sie sind verschlüsselt. Es genügt schließlich, wenn die Schadfunktionen bei Bedarf verdeckt aktiviert werden können.

Aber es gibt auch eine gute Nachricht: Gegen diesen Missbrauch der Backup-Software kann man sich schützen. Der erste Schritt ist, sich des Problems bewusst zu werden und eine kurze Gefährdungsanalyse zu machen. Kriterien dabei sind beispielweise:

  • Wie sehen mögliche Angriffsszenarien auf die Infrastruktur aus?
  • Welche Folgen hätte ein Stillstand oder eine Sabotage der Infrastruktur?
  • Wie wichtig sind die Daten für das Unternehmen und wer könnte an ihnen Interesse haben – Stichwort Industriespionage?
  • Was würde ein Verlust der Daten für das Unternehmen bedeuten?

 

Backup-Software – aber sicher

Natürlich ist zuverlässige Datensicherung ein Muss für alle Organisationen. Denn im Ernstfall ist das Backup die letzte Verteidigungslinie. Mit der richtigen Software und dem passenden Konzept wird die Datensicherung ein wirklicher Schutzwall gegen Ransomware – ohne gleichzeitig mögliches Einfallstor für Trojaner zu sein.

Die folgende Checkliste kann helfen, bei der Auswahl, Installation und Konfiguration der Backup-Software für maximale Sicherheit zu sorgen.

  • Ist der Hersteller vertrauenswürdig?
    • Hat das Unternehmen seinen Sitz in Deutschland oder der EU?
    • Besteht die Möglichkeit, dass ein fremder Staat Einfluss auf den Hersteller hat?
    • Könnte es Interesse an staatlich unterstützter Industriespionage geben?
  • Unterstellt sich der Hersteller klar deutschem oder EU-Recht?
  • Welche Rechte sichert sich der Hersteller zu?
    • Prüfung der AGBs in Bezug auf Datenzugriffe
    • Mit welchen Mitteln und von welchem Standort erhält der Support Zugriff auf das System?
  • Legt der Hersteller die Kommunikation zwischen der Backup-Software und seinen Servern offen?
  • Ist der Zugriff auf die Backups zusätzlich vor Ransomware geschützt – sind die Medien physikalisch von der Infrastruktur getrennt, durch das sogenannte »Air-Gap«?
  • Kann die Software, mit vollem Herstellersupport, in einer isolierten Umgebung ohne Kommunikation nach außen betrieben werden?

 

Mit einer Backup-Software allein ist es aber nicht getan, zumal veraltete Backup-Produkte große Risiken für die Geschäftskontinuität bergen. Für die Datensicherung und -verfügbarkeit ist vielmehr eine Komplettlösung gefragt: von der Erst-Beratung, der Erstellung eines passgenauen Backup-Konzepts, der Software-Implementierung, der regelmäßigen Überprüfung der Funktionalitäten bis hin zum Support. Die passende Backup-Strategie ist der entscheidende Aufschlag für erfolgreiche Datensicherung. Denn dass die Risiken für Datensicherheit steigen, ist kein Szenario, sondern Realität. Die beinahe täglichen Meldungen über Cyberbedrohungen machen deutlich, dass Unternehmen das Know-how von Experten brauchen, um geschäftskritische Daten professionell zu sichern. Bei begrenzten internen Ressourcen können Backup-Spezialisten hier wichtige Unterstützung leisten. Aber es ist sorgfältig zu prüfen, ob das eigene Backup-Konzept den umfangreichen Anforderungen auch standhält. Schließlich soll der Schutzwall nicht zur Angriffsfläche werden.

Carina Ernst, Marketing Manager, NovaStor GmbH

 

369 Artikel zu „Backup Tipps“

Drei Tipps für maximale Freiheit bei der Auswahl von Hardware für Backup und Recovery

Bei den meisten Unternehmen, egal ob groß oder klein, ist die Infrastruktur zur Datenspeicherung kein homogenes Gebilde. Die Vielfalt und der Umfang von Applikationen, File-Sharing-Lösungen, Speicher-Arrays und Appliances kann ausufernd, bisweilen überwältigend sein. Selbst Unternehmen, die Datenschutzsysteme von einem Anbieter nutzen, finden sich in einer Welt wieder, die nicht alle Hersteller integriert oder nur eine…

Tipps für die richtige Backup-Strategie

Viele Unternehmen wissen aus eigener leidvoller Erfahrung: Datenverluste sind besonders kritisch und geschäftsschädigend. Eine Sicherung der Daten durch eine zuverlässige Backup-Methode ist daher unabdingbar. Bei der Wahl der richtigen Strategie gibt es jedoch viel zu beachten. Um Unternehmen bei der Entscheidung zu unterstützen, hat Herbert Bild, Senior Solutions Marketing Manager EMEA bei NetApp einige Tipps…

Datensicherungs-Tipps: Drei Wege für ein intelligenteres Datenbackup

Die Anforderungen an die Datensicherung steigen von Jahr zu Jahr. Laut IDC wächst die gespeicherte Datenmenge bis zum Jahr 2020 auf 44 Zettabyte an [1]. Der World Backup Day war ein guter Anlass, um sich mit dem Thema Backup zu beschäftigen. Denn ein intelligentes Datenbackup sorgt nicht nur dafür, dass Daten jederzeit verfügbar bleiben und…

Unveränderbare Backups – Effektive Strategie gegen immer raffiniertere Ransomware

Allein die Erwähnung von Ransomware reicht aus, um dem erfahrensten IT-Profi Schauer über den Rücken zu jagen. Ransomware-Angriffe nehmen in einem noch nie dagewesenen Ausmaß zu, ebenso wie der Grad ihrer Ausgereiftheit. Dazu gehören der Einsatz von Methoden zum Diebstahl von Zugangsdaten und mehrstufige Angriffe, die von einem einzigen anfänglichen Exploit an zu weitreichenden Störungen…

4 Tipps für die Kostenoptimierung von auf Amazon EC2 laufenden Cloud-Lösungen

Durch die starken ökonomischen Verwerfungen im Zuge der Corona-Pandemie steigt der Druck auf die IT-Abteilungen, eine bessere Kosteneffizienz zu erreichen. Diese sogenannte Cost Governance erstreckt sich auch auf Cloud-Lösungen. Doch wie senken Unternehmen die Kosten ihrer Cloud-Lösungen? Der folgende Beitrag gibt einige Tipps dazu am Beispiel von Amazon EC2.   McKinsey empfiehlt Unternehmen in seinen…

CDP als Zukunft des Backups: Von periodisch zu kontinuierlich

Traditionelle Backup-Technologien stoßen an ihre Grenzen. Neue Backup-Ansätze wie CDP helfen dabei Verfügbarkeit zu jeder Zeit zu gewährleisten.   Backup ist seit gut 35 Jahren ein wesentlicher Bestandteil der IT-Infrastruktur. Doch während sich die Datenmenge selbst und die gesamte IT-Landschaft dramatisch verändert haben, ist die Backup-Technologie im Wesentlichen gleichgeblieben. In den weniger ausgelasteten Zeiten werden…

Tipps für sichere Passwörter: Jeder dritte Onliner nutzt dasselbe Passwort für mehrere Dienste

Wenn es um Passwörter geht, setzen viele Internetnutzer eher auf Bequemlichkeit als auf Sicherheit. Mehr als jeder dritte Onliner (36 Prozent) in Deutschland nutzt für mehrere Online-Dienste das gleiche Passwort. Das ist das Ergebnis einer repräsentativen Umfrage im Auftrag des Digitalverbands Bitkom unter mehr als 1.000 Internetnutzern in Deutschland. »Ein einziges Passwort für mehrere Online-Dienste…

Fünf Tipps zur Implementierung von Field-Service-Management-Lösungen in KMU

Field-Service-Management-Lösungen bieten für Unternehmen viele Vorteile – von erhöhter Produktivität bis hin zu mehr Effizienz. Die Implementierung solcher Lösungen ist allerdings auch mit Herausforderungen an Management und Belegschaft verbunden. Vor allem mittelständische Unternehmen mit begrenzten Ressourcen scheuen häufig die nötigen Investitionen. Dabei überwiegen mittelfristig die Vorteile solcher Lösungen. Bereits nach durchschnittlich neun Monaten haben sich…

9 Tipps für die Erstellung eines Servicekatalogs

Die Aufgaben der IT-Abteilung werden immer zahlreicher und komplexer. Da können selbst erfahrene Administratoren den Überblick verlieren. Dabei ist eine genaue Kenntnis der eigenen Services und Leistungen unabdingbar, um Engpässe schnell erkennen und Probleme rasch beheben zu können. Ein Servicekatalog beschreibt alle wichtigen Leistungen der IT mit der notwendigen Informationstiefe. Ein gut gepflegter Servicekatalog erlaubt…

Der optimale Weg zu einer hybriden IT-Infrastruktur – Tipps zum effizienten Fahrplan

Die erfolgreichen Unternehmen von heute nutzen das Potenzial ihrer Daten als Wettbewerbsfaktor und als Quelle wertvoller Erkenntnisse über ihre Kunden. Sie wissen auch, dass nicht alle Daten auf gleiche Weise erstellt werden. Um die modernsten IT-Umgebungen aufzubauen und den größtmöglichen Nutzen zu erzielen, wird immer häufiger erkannt, dass Datentypen unterschiedliche Anforderungen an Zugriff, Speicherung und…

4 Grundlagentipps für ein erfolgreiches Cloud-Management

IT-Verantwortliche müssen sich heutzutage mit den verschiedensten Herausforderungen auseinandersetzen, die eine Migration in die Cloud mit sich bringen. Obwohl sich die Cloud-Nutzung in den letzten Jahren stark verbreitet hat, haben einige Unternehmen trotzdem das Gefühl, noch nicht das volle Potenzial der Cloud ausgeschöpft zu haben. Die Gründe hierfür lassen sich allerdings leicht identifizieren und die…

Fünf Tipps für sichere Cloud-Nutzung

Ab in die Cloud? Aber sicher! Die Cloud-Technologie hat in den vergangenen Jahren nicht nur den IT-Markt, sondern auch die Geschäfts- und Arbeitswelt stark verändert. Im Zuge der Digitalisierung und Vernetzung von Geschäftsprozessen hat die Datensicherheit außerdem eine neue Bedeutung erlangt. Diese Relevanz hat auch der Gesetzgeber erkannt und ergänzend zu bestehenden branchenspezifischen Vorgaben mit…

RPO, RTO und Backup verstehen – Kennzahlen und Kriterien von Datensicherung

Da Unternehmen vermehrt auf geschäftskritische IT-Dienste angewiesen sind, sind Infrastruktur und Anwendungen nach Meinung von Rubrik zu wichtigen strategischen Imperativen geworden. Der junge Anbieter von Cloud Data Management fordert mehr Aufklärung.   »Ausfallzeiten und Datenverluste können enorme geschäftliche und finanzielle Auswirkungen haben, die mit einer effektiven Datensicherungsstrategie zwingend minimiert werden müssen«, erklärt Roland Stritt, Director…

Europäische Unternehmen ignorieren beim Daten-Backup die Cloud

Daten, Daten, Daten! Nur wohin damit, wenn es um deren Schutz geht? Die Cloud scheint bei europäischen Unternehmen kein adäquate Backup-Lösung zu sein. Sie vertrauen in der Mehrheit immer noch ganz traditionell auf Plattformanbieter wie Microsoft, um ihre Daten zu schützen. So offenbart es eine aktuelle Studie von Barracuda Networks, die die Antworten von 432…

Sicherheitstipps gegen Datenverlust und Identitätsdiebstahl

Jeder zweite Internetnutzer ist nach einer jüngsten Umfrage des Branchenverbandes Bitkom inzwischen von Cyberkriminalität betroffen: »Datendiebstahl, Identitätsklau, Beleidigung oder Betrug: Kriminelle finden zunehmend Opfer im Internet. Jeder zweite Internetnutzer (50 Prozent) war im vergangenen Jahr Opfer von Cyberkriminalität. Am häufigsten klagen Onliner über die illegale Verwendung ihrer persönlichen Daten oder die Weitergabe ihrer Daten an…

Infrastruktur für das Datenmanagement modernisieren –Tipps zum Umstieg beim Lebenszyklusende

Jedes Unternehmen, das eine eigene Dateninfrastruktur betreibt, muss sich mit dem Ende von Produktlebenszyklen auseinandersetzen. So sind Systeme für Backup-, Wiederherstellungs- und Archivierungsprozesse, die seit vielen Jahren ihren Dienst verrichten, irgendwann veraltet. Wie der Übergang in eine neue Infrastruktur gestaltet werden kann, erklärt Rubrik.   »End of Life« oder kurz EOL ist sowohl ein objektiver…

Jedes Backup ist besser als gar keins

Jedes Jahr am 31. März ist »World Backup Day«: Dieser Tag wurde von einer nach eigenen Angaben unabhängigen Kampagne erkoren, um auf die Wichtigkeit regelmäßiger Datensicherungen hinzuweisen. Unter Windows 10 funktioniert das Backup ganz einfach über die Systemsteuerung. Dort kann man ein Systemabbild erstellen, das im Falle eines Problems den PC wieder auf den Stand…

Tipps zur Ransomware-Prävention – Online-Erpressern in 2018 nicht auf den Leim gehen

Datenschutz und Cybersicherheit sind beileibe kein neues Thema. Mit »Security and Privacy in Computer Systems« erschien bereits 1967 die erste Abhandlung zum Thema. Cybersicherheit und Privatsphäre wurden also seit Beginn der vernetzten Computer diskutiert. Seither hat sich das Thema dramatisch verschärft, und entwickelt sich weiter rasant – aus verschiedenen Gründen. So wurde beispielsweise im Jahr…