079: Datensicherung und (Immutable) Backups

00:00:06: Hallo und herzlich willkommen zu einer weiteren Folge von Blue Screen Wissen.

00:00:10: Wie in der letzten Folge von Blue Screen Wissen angekündigt,

00:00:13: möchte ich heute mal über das Thema Backups sprechen,

00:00:17: denn das hat natürlich dann auch eine relativ große Relevanz,

00:00:20: wenn man Opfer eines Vorfalls geworden ist, wenn man Opfer von einer Ransomware

00:00:26: zum Beispiel geworden ist oder aber wenn irgendwo Daten aus Versehen gelöscht worden sind,

00:00:31: es gebrannt hat und so weiter und so fort,

00:00:33: da ist natürlich dann ein Backup sehr gut, wenn man es denn hat.

00:00:38: Jetzt gibt es viele Unternehmen, die schon immer irgendwo auf ein Storage-Medium

00:00:44: sichern, sei es jetzt mit Festplatten drin oder auf Bänder und das Ganze steht

00:00:49: halt im gleichen Raum wie meine eigentlichen Produktivsysteme.

00:00:52: Das große Problem dabei ist, und ich habe gerade schon im Fall eines Brandes

00:00:56: gesagt, wenn es brennt, dann ist natürlich auch mein Backup kaputt.

00:01:00: Das heißt, man sollte schon zusehen, dass man seine Backups eben nicht ausschließlich

00:01:05: in dem Raum auch betreibt und vorhält, wo auch meine Produktivsysteme stehen.

00:01:10: Es empfiehlt sich, und es gehört mittlerweile auch zum guten Ton,

00:01:13: das Ganze in einen zweiten Brandabschnitt irgendwo im Unternehmen zu platzieren.

00:01:17: Das kann jetzt eben in eigenen Räumlichkeiten sein, so dass das Ganze eben bei

00:01:22: einem Brand nicht mit betroffen ist davon oder aber man lagert seine Backup-Daten

00:01:27: eben dann irgendwo anders hinaus. aus.

00:01:29: Eine Variante des woanders hin aus Lagerns könnte sein, dass man die Daten zum

00:01:33: Beispiel in ein externes Rechenzentrum gibt oder aber, dass man die Daten in die Cloud sichert.

00:01:38: Die großen Backup-Anbieter haben eigentlich alle mittlerweile Möglichkeiten,

00:01:43: sodass man eben sagen kann, ich möchte meine Backups auch zum Beispiel in der

00:01:46: Microsoft Cloud auf Azure sichern oder in einem S3-Bucket oder eben wie gesagt

00:01:51: auch in einem Rechenzentrum, in einem externen Rechenzentrum wie bei der Pegasus.

00:01:55: Damit habe ich zumindest schon mal dem Ganzen Genüge getan, dass eben meine Daten außer Haus sind.

00:02:01: Zusätzlich kann man natürlich auch beides tun.

00:02:04: Also ich kann sowohl einen eigenen Brandabschnitt in den zweiten im eigenen

00:02:08: Unternehmen nutzen oder ich lagere nach außen aus.

00:02:11: Was dann aber immer noch ein großes Thema ist, ist natürlich die Situation,

00:02:16: dass Angreifer, die es in ihr Unternehmen reinschaffen, natürlich versuchen

00:02:20: werden, die Backups auch kaputt zu machen, die Backups zu verschlüsseln.

00:02:24: Das heißt, ein Backup sollte idealerweise nicht live und online erreichbar sein,

00:02:29: damit die Angreifer da eben nicht drauf zugreifen können.

00:02:33: Eine Variante wäre also, dass man Backups wirklich offline lagert.

00:02:37: Das funktioniert natürlich idealerweise mit irgendwelchen Tapes,

00:02:40: aber aufgrund der Datenmengen ist es halt heutzutage einfach auch ein ziemliches

00:02:44: Problem geworden, solche Sachen noch zu...

00:02:46: Mit den klassischen Methoden wirklich vernünftig zu sichern.

00:02:49: Daher gibt es mittlerweile auch seit einiger Zeit die Möglichkeit,

00:02:53: auf sogenanntes Immutable Storage zu sichern.

00:02:55: Ein Immutable Storage, also ein unkaputtbares, ein unverwundbares Storage-System.

00:03:01: Ist in den meisten Fällen ein ganz normales Serversystem mit vielen Festplatten drin.

00:03:06: Darauf läuft ein besonders gehärtetes Linux-Betriebssystem und das Ganze verhält

00:03:11: sich wie ein Worm-Medium. Also WARM als Abkürzung für Write Once, Read Many.

00:03:16: Ich kann dort immer nur reinschreiben, eben von einem bestimmten Ziel aus.

00:03:21: Ich kann es so oft lesen, wie ich möchte, aber ich kann es nicht mehr verändern.

00:03:24: Ich kann es nicht mehr kaputt machen, ich kann es auch nicht löschen und damit

00:03:27: halt auch nicht verschlüsseln.

00:03:28: Diese Methodik der Immutable Backups erlaubt uns dann tatsächlich auch,

00:03:34: dass das Backup-System online sein kann.

00:03:36: Viele Kunden gehen halt auch her und sagen, na dann nehme ich aber diesen Backup-Server

00:03:41: nicht in meine Domäneninfrastruktur auf, weil sollte da ein Konto kompromittiert

00:03:45: sein, hätte der Angreifer hier wieder recht gute Möglichkeiten,

00:03:48: eben vielleicht zumindest den Backup-Server noch irgendwo kaputt zu machen.

00:03:53: Manche gehen eben her und benutzen ein Konto, eine Anmeldung auf diesen Servern,

00:03:57: die halt nichts mit dem eigentlichen Verzeichnisdienst zu tun haben.

00:04:00: Ansonsten, wie gesagt, es ist auch Linux. Man kann das mit Windows-Servern bauen oder mit Linux.

00:04:04: Bietet sich definitiv als gute Variante an, damit man eben die Backups hat.

00:04:08: Von der Anzahl der Backups, die man aufhebt, da muss man ein bisschen eine Gratwanderung machen.

00:04:14: Auf der einen Seite möchte man natürlich möglichst lange zurückgehen können,

00:04:19: sofern es denn Sinn macht.

00:04:20: Auf der anderen Seite sind wir aber auch auch durch verschiedene rechtliche

00:04:24: Regularien dazu angehalten, dass wir Datensparsamkeit betreiben.

00:04:28: Ein Backup über zehn Jahre aufzuheben, macht wahrscheinlich relativ wenig Sinn

00:04:33: und würde dann sich auch mit verschiedenen geltenden Rechtsprechungen stoßen.

00:04:37: Wenn man wirklich was für einen langen Zeitraum aufbewahren möchte,

00:04:40: dafür würde sich dann eher eine Art Dokumentenarchiv anbieten.

00:04:44: Aber da geht es ja dann eher um die Daten, die dort drin gespeichert sind und

00:04:47: nicht um meine IT-Systeme.

00:04:49: Also ich möchte ja als IT-Verantwortlicher auch in der Lage sein,

00:04:52: nicht nur einzelne Dateien wiederherzustellen oder Ordner, sondern ganze Systeme,

00:04:57: wie mal einen Server, der mir gerade vielleicht kaputt gegangen ist,

00:05:00: damit ich eben aus dem Backup meinen Server möglichst schnell wieder erhalte.

00:05:04: Was man dabei auch noch berücksichtigen muss, ist dann, wenn man Datensicherung betreibt,

00:05:09: eben ob das System denn überhaupt in der Lage ist, mit der Art von Sicherung

00:05:14: nachher dann auch meine Daten und meine Systeme wiederherzustellen,

00:05:18: wie ich es gerne hätte, oder ob da nicht vielleicht eine andere Strategie notwendig sein kann.

00:05:23: Häufig ist es so, dass gerade eben Line-of-Business-Anwendungen,

00:05:27: die ihre Daten nicht nur auf einem Datenbanksystem speichern,

00:05:31: sondern zusätzlich vielleicht auch noch Dateien irgendwo in einem Filesystem ablegen,

00:05:35: ja dieses Wiederherstellungsdatum, diesen Wiederherstellungszeitpunkt halt über

00:05:40: alle Systeme, die dort involviert sind, zeitgleich parallel wieder benötigen.

00:05:45: Wenn ich nur die Datenbank wiederherstelle, habe ich unter Umständen Dateien

00:05:48: in meinem Filesystem liegen, die halt tot sind, weil sie keinen Verweis mehr

00:05:51: haben in meiner Applikation.

00:05:53: Andersrum, wenn ich den Fileserver wiederherstelle, aber nicht den Datenbankserver

00:05:57: zum gleichen Zeitpunkt, kann ich unter Umständen an der Situation ankommen,

00:06:02: dass ich zwar die Daten in meiner Software sehe,

00:06:04: der Datensatz ist da, aber das Dokument, was dazugehört, ist vielleicht nicht

00:06:09: mehr vorhanden oder liegt jetzt in einer anderen Struktur.

00:06:11: Insofern hätte ich damit auch einfach einen Bruch in meiner Informationskette.

00:06:15: Also solche Sachen, die sollte man sich dann definitiv auch nochmal im Detail

00:06:19: anschauen, wenn man sich damit beschäftigt, Backups von seinen Systemen zu haben.

00:06:24: Eine weitere Besonderheit im Bereich des Restores ist dann noch der Restore

00:06:30: von Active Directory Systemen, also dem Microsoft Verzeichnisdienst.

00:06:34: Hier ist es so, dass manche Backup-Lösungen nicht das so wiederherstellen können,

00:06:39: dass der Domänen-Controller danach mit den anderen Domänen-Controllern in meiner

00:06:43: Umgebung widerspricht.

00:06:44: Liegt daran, dass das Active Directory eine interne Seriennummer führt für jeden

00:06:49: einzelnen Domänen-Controller und wenn ich jetzt einen Domänen-Controller aus

00:06:52: dem Backup von letzter Woche wiederherstelle, dann hat der,

00:06:55: eben weil er es nicht anders wissen kann, eine andere Seriennummer als das,

00:06:59: was mein Verzeichnisdienst aber mittlerweile erwartet für dieses eine System.

00:07:04: Da sollte man also auf jeden Fall auch ein Augenmerk drauf haben, dass man ein Backup hat.

00:07:08: Was eben auch in der Lage ist, eine sogenannte autoritive Wiederherstellung

00:07:12: von Domänen-Controllern zu gewährleisten.

00:07:15: Die meisten Anbieter und Hersteller von Backups, die können das,

00:07:19: aber halt leider eben nicht alle.

00:07:21: Insofern sollte man da mal auch ein Augenmerk drauf haben, ob man denn da auch

00:07:25: in der Lage ist, nachher die Daten

00:07:27: wiederherzustellen und auch sein System wieder an den Start zu kriegen.

00:07:30: Ja, zusätzlich, wenn man schon über den Restore-Gedanken mal spricht,

00:07:35: sollte man auch tatsächlich regelmäßig mal testen, ob das Ganze denn überhaupt noch funktioniert.

00:07:40: Ich hatte vor einiger Zeit den Fall, dass ein Unternehmen zwar Datensicherungen

00:07:45: hatte und auch geglaubt hat,

00:07:46: dass diese Backups im Fall des Falles wirklich funktionieren,

00:07:49: stellte sich aber hinterher heraus, die haben fünf Jahre lang im Prinzip Sachen

00:07:53: gesichert, die sich gar nicht mehr wiederherstellen lassen.

00:07:56: Das heißt, dieses Backup war im Prinzip dann nichts mehr wert.

00:07:59: Also sollte man auf jeden Fall sich im Rahmen seiner wiederkehrenden Tätigkeiten

00:08:03: im IT-Bereich auch da mal einen Eintrag in den Kalender machen,

00:08:07: dass man halt sagt, okay, ich versuche jetzt mal einzelne Dateien wiederherzustellen,

00:08:12: ich versuche aber auch in eine Sandbox zum Beispiel mal ein komplettes System

00:08:15: wiederherzustellen, um dann zu gucken, würde das denn auch alles wirklich funktionieren.

00:08:20: Und es gehört einfach in den Bereich von Notfallübungen mit dazu,

00:08:24: dass man wirklich auch mal ausprobiert, ob die eigenen Methodiken,

00:08:27: die man hat, auch dann im Fall der Fälle wirklich funktionieren.

00:08:30: Dann funktioniert. Natürlich ganz wichtig, auch die Dokumentation.

00:08:35: Selbstverständlich sollte man das, was man sichert, dokumentieren.

00:08:39: Man sollte auch Benachrichtigungen einschalten für die Backup-Jobs,

00:08:43: egal ob die jetzt erfolgreich waren oder ob es einen Fehler gegeben hat.

00:08:46: Das ist ein Thema, da muss man wirklich dranbleiben und zwar jeden Tag.

00:08:50: Und wenn es ein Problem im Backup gibt, muss man sich dann auch entsprechend

00:08:53: darum kümmern, damit eben die Backups dann wieder sauber funktionieren.

00:08:57: Viele Kunden, die mit dieser ganzen Situation einfach aufgrund ihrer Personaldecke

00:09:02: und Dichte gar nicht so richtig hinterherkommen, nutzen die Möglichkeit.

00:09:06: Das Ganze auch auszulagern.

00:09:08: So etwas kann man beispielsweise an uns auslagern, wenn Sie sagen,

00:09:11: ich möchte die Backups bei der Pegasus haben oder ich möchte,

00:09:13: dass die Pegasus sich um mein eigenes Backup-System kümmert.

00:09:16: Dann können wir auch für Sie auf der einen Seite einen monatlich wiederkehrenden

00:09:21: Wiederherstellungstask einrichten, wo wir dann für Sie ausprobieren,

00:09:24: ob es denn noch funktionieren würde. Und wir können auch über unser Ticketsystem

00:09:28: die Benachrichtigungen von Ihrem Backup-System auswerten.

00:09:31: Wenn alles gut war, dann wird das Ticket automatisch geschlossen.

00:09:34: Wenn es ein Problem gegeben hat, bleibt das Ticket offen und jemand aus dem

00:09:38: zuständigen Team kümmert sich darum, dass eben das Backup wieder ans Laufen kommt.

00:09:42: Also auch das sind alles Möglichkeiten, die man als Kunde nutzen kann,

00:09:46: damit man dann eben, wenn dann der Fall eintritt, dass man Daten aus seiner

00:09:50: Datensicherung wiederhaben möchte, eben nicht dasteht und feststellen muss,

00:09:54: dass hier seit fünf oder sechs oder x Jahren halt einfach diese ganzen Backups

00:09:57: nicht richtig funktioniert haben und wir jetzt auf einmal natürlich dann blank dastehen.

00:10:01: Eine Frage, die recht häufig tatsächlich auch kommt, wenn es darum geht,

00:10:06: Backup als Prävention vor Ransomware zu nutzen,

00:10:09: ist dann natürlich die Frage, wie kann ich denn sicher gehen,

00:10:12: dass in den Backups nicht auch schon Schadcode drinsteckt, den ein Angreifer

00:10:17: mir vielleicht vor einem halben Jahr oder noch länger schon eingeschleust hat

00:10:20: in mein Unternehmen. Da...

00:10:23: Ist die Antwort eigentlich immer die gleiche. Wir können es nicht ausschließen, dass das so ist.

00:10:27: Wenn der Verdacht besteht, dass hier wirklich Schadcode drinsteckt,

00:10:31: dann wäre eine Methode, dass man hergeht und das System oder die Systeme in

00:10:36: eine sogenannte Sandbox eben wiederherstellt und dann forensisch an diese ganzen

00:10:40: Informationen rangeht und versucht rauszufinden, eben mit verschiedenen Methodiken.

00:10:46: Ob denn dort vielleicht schon Schadcode drin ist.

00:10:49: Oder aber man geht her und sagt, ich will es nicht selber tun,

00:10:52: Ich brauche aber ganz wichtige Daten ganz schnell und es muss definitiv safe sein.

00:10:57: Die Daten müssen gewaschen sein, bevor ich die wieder in Betrieb nehme.

00:11:01: Dann gibt es dafür natürlich auch entsprechend Forensik-Dienstleister,

00:11:04: die das Ganze für einen übernehmen können. Und ja, wenn Sie dem Podcast oder

00:11:09: wenn ihr dem Podcast schon länger folgt, dann habt ihr das mit Sicherheit auch schon mal gehört.

00:11:12: Die Wiederherstellung nach einem Vorfall, die Wiederanlaufphase,

00:11:16: die kann sich halt hinziehen.

00:11:18: Insofern umso wichtiger, dass man sich heute schon damit beschäftigt,

00:11:22: wen rufe ich denn an, wenn es tatsächlich soweit ist, wenn dieser Fall eintritt.

00:11:26: Und deswegen auch vielleicht nochmal eben im Rückblick auf die Folge,

00:11:30: wo ich über Notfallmanagement und Planung gesprochen habe, heute damit beschäftigen.

00:11:34: Wen kann ich denn im Zweifelsfall kontaktieren? Wen kann ich anrufen?

00:11:38: Wer hilft mir denn dann weiter, wenn es wirklich soweit ist,

00:11:41: damit man dann eben im Fall der Situation auch wirklich vorbereitet ist und

00:11:45: nicht erst anfängt, dann zu recherchieren oder Verträge abzuschließen,

00:11:48: weil das verzögert natürlich den ganzen Wiederanlaufprozess schon ganz immens.

00:11:53: Ja, und das war es tatsächlich für die heutige Folge wieder.

00:11:55: Ich hoffe, ihr konntet gute Informationen für euch mitnehmen.

00:11:58: Ich würde mich sehr freuen, wenn ihr auf der Plattform, wo ihr mich jetzt gerade

00:12:02: seht oder auch hört, mal bewerten würdet.

00:12:05: Bewertet gerne unseren Podcast, teilt das Ganze gerne auch in eurem Netzwerk,

00:12:09: lasst mir gerne auch mal einen Kommentar da. Ihr habt auch die Möglichkeit,

00:12:12: über unseren Dienst Speakpipe unten in den Shownotes mir eine Sprachnachricht zukommen zu lassen.

00:12:16: Und darüber freue ich mich natürlich dann auch immer ganz besonders.

00:12:20: Und ansonsten bleibt mir noch zu sagen, bis zum nächsten Mal.

00:12:23: Ich hoffe, wir hören uns wieder und bleibt gesund, genießt den Sommer und bis bald. Ciao, euer Alex.

00:12:29: Music.