Mit <kes>+ lesen

Von Wolke zu Wolke : So bringen Unternehmen ihre SaaS-Daten vor Ransomware in Sicherheit

Viele Software-as-a-Service-(SaaS)-Anwendungen stellen nur rudimentäre Funktionen für Backup und Recovery zur Verfügung. Um die Sicherung von Daten – gerade auch zum Schutz vor Ransomware – müssen sich Unternehmen selbst kümmern. Eine attraktive Möglichkeit bieten dedizierte Backup-Plattformen aus der Cloud. Aber worauf kommt es dabei an?

Bedrohungen
Lesezeit 7 Min.

Von Alexander Gaiswinkler, Frankfurt/Main

Daten in Software-as-a-Service-(SaaS)-Anwendungen wie Salesforce, Microsoft 365 oder Google Workspace sind derselben Gefahr durch Ransomware ausgesetzt wie Daten in On-Premises-Applikationen. Wenn Unternehmen solche SaaS-Anwendungen nutzen und davon ausgehen, dass ihre Anbieter umfassende Vorkehrungen gegen diese Gefahr treffen, unterliegen sie einem ebenso fatalen wie weit verbreiteten Irrtum. Für Backup und Recovery der Daten sind nämlich nicht die SaaS-Anbieter verantwortlich, sondern die Anwenderunternehmen selbst. Bei Sicherheitsfragen folgen die Anbieter dem Modell der „Shared Responsibility“: Sie übernehmen die Verantwortung für den Schutz der Infrastruktur, übertragen jedoch die Verantwortung für den Schutz der darauf gespeicherten Daten an die Anwenderunternehmen – entsprechende Klauseln finden sich in jedem Nutzungsvertrag.

Die meisten SaaS-Anwendungen bringen deshalb auch nur sehr rudimentäre Möglichkeiten für die Aufbewahrung und Wiederherstellung von Daten mit. Dadurch entstehen riskante Lücken beim Schutz vor Ransomware: So sind die Zeitfenster für die Aufbewahrung von Daten meist äußerst knapp bemessen. Hat ein Angriff mit einem Verschlüsselungstrojaner außerhalb dieses Fensters erst einmal begonnen, haben Unternehmen kaum mehr die Möglichkeit, die betroffenen Daten in einen sauberen Zustand zurückzusetzen. Ein weiteres Manko: Die aufbewahrten Daten befinden sich bei SaaS-Anwendungen immer in der Primärumgebung. Dadurch existiert keine ausreichende Isolierung, um das Ausbreiten von Ransomware auf diese Daten zu verhindern.

In der Regel ist die Verwaltung gesicherter Daten für Administratoren zudem alles andere als einfach: Die Funktionen von SaaS-Anwendungen sind nicht gezielt für einen einfachen Zugriff auf gesicherte Informationen und eine schnelle Wiederherstellung ausgelegt. Administratoren haben es mit manuellen, komplexen und aufwendigen Prozessen zu tun und müssen sich beispielsweise bei den verschiedenen Anwendungen von Microsoft 365 mit jeweils unterschiedlichen Wiederherstellungsoptionen auseinandersetzen. Außerdem werden in SharePoint und OneDrive häufig mehrere Versionen derselben Datei gespeichert, was die Wiederherstellung zusätzlich verkompliziert.

Multi-Cloud-Szenarien erhöhen die Komplexität weiter: Viele Unternehmen haben ja inzwischen mehrere SaaS-Anwendungen von unterschiedlichen Anbietern im Einsatz. Jede davon bringt natürlich eine eigene Managementoberfläche mit, die mit ihrer Bezeichnungslogik den spezifischen Netzwerkkonstrukten folgt, die hinter der jeweiligen SaaS-Anwendung stehen.

Cloud-Backup

Wollen Unternehmen ihre SaaS-Daten umfassend gegen Ransomware absichern, führt kein Weg am Einsatz einer dedizierten Backup-Lösung vorbei. Der klassische Ansatz dafür wäre, eine solche Lösung selbst aufzubauen und zu betreiben. Wie bei On-Premises-Installationen üblich, fallen dabei aber beträchtliche Kosten und Aufwand für Hardware, Software und Wartung an. Eine weitere Herausforderung: Eine On-Premises-Lösung ist nicht immun gegen Ransomware, die bereits an einer anderen Stelle in die eigene IT-Landschaft eingedrungen ist. Wenn die Backup-Daten nicht vom Firmennetzwerk isoliert sind, kann sich die Ransomware auch darauf ausbreiten.

Eine attraktive Alternative sind dedizierte Backup-Plattformen in der Cloud: Mit ihnen können Unternehmen ihre SaaS-Daten direkt von einer Cloud in eine andere sichern – sie haben keine Ausgaben für Infrastruktur, vermeiden Egress-Kosten für die Übertragung der Daten in ihr eigenes Rechenzentrum und profitieren von weiteren cloudüblichen Vorteilen wie einer großen Flexibilität.

Bedienen kann eine solche Plattform grundsätzlich alle SaaS-Anwendungen, die eine Schnittstelle (öffentliche Cloud-API) für Backups zur Verfügung stellen. Solche APIs stehen unter anderem für Microsoft 365, Salesforce oder Google Workspace bereit. Sie ermöglichen es Anbietern von Cloud-Backup-Plattformen, Daten für Backup-Zwecke auf ihre Systeme zu kopieren, die Backup-Prozesse zu steuern und zu optimieren. Mithilfe der Microsoft Graph API lässt sich beispielsweise gewährleisten, dass immer nur Änderungsdaten an die Backup-Plattform übertragen werden und die Plattform dadurch die User-Experience von Microsoft 365 nicht negativ beeinflusst – man kann etwa auch dafür sorgen, dass Anfragen an Microsoft 365, die zur Wiederherstellung von Daten erforderlich sind, priorisiert behandelt werden.

Defizite auffangen

Um ihren Zweck zu erfüllen, muss eine Cloud-Plattform für Backup die angesprochenen Defizite der SaaS-Anwendungen durch entsprechende Funktionen auffangen: Sie sollte daher umfassende Konfigurationsmöglichkeiten für die Datenaufbewahrung anbieten und eine permanente automatische Datensicherung mit hoher Frequenz unterstützen. Zudem sind umfangreiche Recoveryoptionen einschließlich beispielsweise einer Postfach-, Einzeldatei- oder Massenwiederherstellung erforderlich. Die Wiederherstellungen sollten flexibel, granular und mit zeitlich unbegrenztem Rückgriff möglich sein. Dann können Unternehmen bei einem Ransomware-Angriff den Zustand der Daten, den sie unmittelbar vor der Attacke hatten, vollständig und schnell restaurieren.

Um bei Verwaltung und Speicherung der Backup-Daten größtmögliche Effizienz zu gewährleisten, sind weitere zentrale Features erforderlich: Die Plattform sollte es Administratoren ermöglichen, Backup-Services binnen weniger Minuten einzurichten und ihnen eine einzige zentrale Management-Oberfläche zur Verfügung stellen, die eine ganzheitliche Sicht über alle Sicherungen sämtlicher genutzter Clouds eröffnet. Damit sie steigende Workloads abdecken kann, muss die Plattform außerdem in der Lage sein, bei Bedarf zu skalieren. Eine quellbasierte Deduplizierung hält die Kosten für Speicherressourcen niedrig – denn dabei werden Redundanzen an der Quelle der Daten und damit vor ihrer Übertragung an das Backup-Ziel entfernt.

Backups und Ransomware

Ein absolut kritischer Erfolgsfaktor einer solchen Plattform ist natürlich auch ein umfassender Schutz der gesicherten Daten – allem voran muss man gewährleisten, dass die Backup-Daten nicht selbst zum Opfer von Ransomware werden. Eine wichtige Voraussetzung dafür ergibt sich bereits aus dem Modell der Cloud-Plattform selbst: Da Daten aus einer beziehungsweise mehreren Clouds in einer anderen Cloud gesichert werden, ist von Haus aus eine Isolierung der gesicherten Informationen gegenüber den Primärsystemen gegeben.

Für eine zusätzliche Sicherheitsschicht kann automatisches „Air-Gapping“ sorgen: Dabei bindet die Backup-Cloud die Daten aus den SaaS-Anwendungen immer nur in regelmäßigen Abständen ein. Nur während dieser Übertragung sind die beiden Systeme miteinander verbunden, ansonsten ist die Verbindung grundsätzlich gekappt. Damit sorgt das Air-Gapping für eine Abtrennung des Zielsystems vom Quellsystem – Schadsoftware hat es erheblich schwerer, sich von den Primär-Umgebungen auf die Backup-Umgebung auszubreiten.

Zugriffsschutz

Zudem brauchen Anwenderunternehmen die Gewissheit, dass keine unbefugten Personen ihre Daten ausspähen können – auch nicht der Anbieter der Cloud-Plattform selbst. Das lässt sich mit einer Sicherheitsarchitektur gewährleisten, die moderne Verschlüsselungsverfahren nutzt und eine umfassende Zugriffskontrolle ermöglicht. Zentrale Elemente einer solchen Sicherheitsarchitektur sind:

  • Durchgängige Verschlüsselung „in Flight“ und „at Rest“: Die Daten werden sowohl auf ihrem Übertragungsweg zur Backup-Plattform als auch im gespeicherten Zustand auf den Servern verschlüsselt. Diese Verschlüsselung erfolgt mit modernen Industriestandards wie Transport-Layer-Security (TLS) bei der Übertragung und AES-256-Encryption bei ruhenden Daten.
  • Trennung von Anwendungs- und Datenschicht: Dadurch kann niemand, der Zugang zur Anwendungsschicht hat, auf die Datenschicht zugreifen. Innerhalb der Datenschicht werden die Daten außerdem mithilfe einer speziellen Envelope-Encryption-Technik verschlüsselt: Dabei kodiert das System die Informationen mit einem Datenschlüssel, der wiederum selbst verschlüsselt ist und lediglich vom Anwenderunternehmen selbst ausgelesen werden kann.
  • Deduplizierung: Dient eigentlich vor allem dem Zweck, die Datenmenge zu reduzieren, eröffnet aber auch eine zusätzliche Sicherheitsschicht. Für die Deduplizierung werden Dateien in einzelne Blöcke unterteilt und diese Blöcke verschlüsselt in einem objektbasierten Storage-Repository gespeichert. Die Blockreferenzdaten und die Metadaten der Quelldateien werden in einer separaten objektbasierten Datenbank gespeichert. Die Rekonstruktion ist nur mit den Anmeldedaten der Anwenderunternehmen möglich.
  • Secure Login: Administratoren müssen bei jeder Anmeldung zusätzlich zu ihrem Passwort ein zeitlich limitiertes Einmalkennwort (One-Time-Password, OTP) eingeben, das an ihre registrierten E-Mail-Adressen gesendet wird. Indem das System die Identität der Administratoren durch eine Kombination von zwei verschiedenen Authentifizierungsschritten überprüft, stellt es sicher, dass nur autorisierte Zugriffe erfolgen.
  • Role-Based Access-Control (RBAC): Eine rollenbasierte Zugriffskontrolle ermöglicht es Unternehmen, die Zugriffe privilegierter Benutzer auf einen vordefinierten Satz von Rollen und Datenbeständen zu beschränken. Damit können sie sicherstellen, dass auch privilegierte Nutzer nur diejenigen Daten einsehen können, die sie zur Erledigung ihrer Aufgaben unbedingt benötigen – und verhindern, dass es in ihren Backup-Cloud-Instanzen zu unbefugten Änderungen kommt.

Ganzheitliche Sicherung

Mit geeigneten Cloud-Plattformen können Unternehmen ihre SaaS-Daten zuverlässig, effizient und sicher vor Ransomware schützen. Idealerweise beschränken sich die Services der Backup-Cloud aber nicht nur auf SaaS-Anwendungen, sondern decken zusätzlich Endgeräte und hybride Workloads ab. Dann können Unternehmen mit derselben Lösung auch Desktops, Tablets und/oder Smartphones von Mitarbeitern direkt in die Cloud sichern, ebenso wie virtuelle Maschinen, Datenbanken, File- und NAS-Systeme – und das unabhängig davon, ob diese in einem eigenen Rechenzentrum oder in öffentlichen, privaten oder hybriden Clouds laufen.

So können Unternehmen die Vorteile des Cloud-Backup beim Schutz vor Ransomware für sämtliche kritische Assets nutzen. Sie benötigen dann auch für die Sicherung von Endgeräten und hybriden Workloads keine eigene Infrastruktur und erhalten die Möglichkeit, die Komplexität bei Backup und Recovery weiter zu reduzieren – idealerweise stehen also alle Sicherungen über sämtliche Assets hinweg in einer zentralen Management-Konsole ganzheitlich und übersichtlich zur Verfügung. ■

Alexander Gaiswinkler ist Presales Manager für Data Protection Solutions bei Dell Technologies Deutschland

Diesen Beitrag teilen: