Zero Trust fürs Backup : Besserer Schutz gegen Ransomware mit Zero-Trust-Data-Resilience

Basierend auf dem „Zero Trust Maturity Model“ (ZTMM, [2]) der US-amerikanischen Cybersecurity and Infrastructure Security Agency (CISA) haben Veeam und Numberline Security dessen Grundsätze für ZTDR [3] auf das Backup und die Wiederherstellung von Unternehmensdaten erweitert. Das ZTDR-Framework ist ein praktischer Leitfaden für IT- und Sicherheits-Teams zur Verbesserung des Datenschutzes, zur Verringerung von Sicherheitsrisiken und zur Erhöhung der Cyber-Resilienz.

Die Grundprinzipien des Zero Trust (ZT) sind den meisten Sicherheitsverantwortlichen inzwischen zur Genüge bekannt. Das Modell folgt dem „Assume Breach“- Konzept, das davon ausgeht, dass die unternehmenseigene IT-Infrastruktur bereits kompromittiert ist, und segmentiert den Zugang zu den kritischsten Datenbeständen, um die Angriffsfläche sowie den Schadensradius zu minimieren. Jeder Benutzer, jedes Gerät und jede Anwendung bekommt lediglich den Zugriff mit den geringsten notwendigen Rechten (Least-Privilege-Principle). Und jeglicher Zugriffsversuch – von innen wie von außen – muss zuerst explizit authentifiziert und autorisiert werden.

Diese Strategie erfordert eine kontinuierliche Überwachung und Analyse der Vorgänge im Netzwerk, einen hohen Grad an Automatisierung und Orchestrierung sowie ein sorgfältiges Datenmanagement über den gesamten Datenlebenszyklus hinweg.

ZT-Erweiterungen

ZTDR fügt dem Zero-Trust-Modell noch drei weitere Grundsätze hinzu, um speziell auf Backup-Anwendungsfälle einzugehen:

• Zunächst wird das Prinzip Segmentierung auf die klare Trennung von Backup-Software und Backup-Speicher ausgedehnt, um den Zugriff mit minimalen Rechten (Least-Privilege-Access) zu erzwingen und die Angriffsfläche zu begrenzen.
• Zweitens empfiehlt sich in der Backup-Infrastruktur das Einrichten mehrerer Datenresilienz-Zonen oder Sicherheitsdomänen: Diese ermöglichen nicht nur eine mehrschichtige Verteidigung, sondern vor allem auch das Einhalten der „3-2-1“-Backup-Regel, die besagt, dass es drei Kopien der zu sichernden Daten geben soll, die auf zwei verschiedenen Medien gespeichert sind, wobei eine Kopie extern aufbewahrt wird.
• Und drittens sollte mindestens einer der Backup-Speicher ein unveränderlicher Speicher (Immutable Storage) sein, um zu verhindern, dass gesicherte Daten geändert oder gelöscht werden können. Dieses Speicherziel lässt sich durch das Zero-Access-Prinzip noch zusätzlich absichern, was bedeutet: Es wird keinerlei Root- und keinerlei Betriebssystem-Zugriff gewährt, um sowohl vor externen Angreifern als auch vor Zugriffen kompromittierter Administratoren* zu schützen, die möglicherweise die Unveränderlichkeitseinstellungen deaktivieren könnten.

Segmentierung von Backup-Software und Backup-Speicher

Die Trennung von Backup-Software und -Speicher ist bei einer ZTDR-Architektur entscheidend: Backup-Infrastrukturen haben von Natur aus eine große Angriffsfläche, da sie den Lese- und Schreibzugriff auf Produktionssysteme für alle Unternehmensanwendungen und Datenquellen sowohl in lokalen als auch in hybriden Cloud-Umgebungen erfordern.

Um dieses Risiko zu mindern, erfordert ZTDR eine Unterteilung der Backup-Infrastruktur in mehrere Resilienz-Zonen – zum Beispiel Backup-Software, primärer und sekundärer Backup-Speicher –, jeweils unter Anwendung des Least-Privilege-Prinzips, um die Angriffsfläche weiter zu minimieren (vgl. Abb. 2). Die Kommunikation zwischen diesen Segmenten sollte nur über sichere Kommunikationsprotokolle erfolgen – etwa Amazon-Simple-Storage-Service-(S3)-Serverzugriffe über HTTPS.

Die Rolle unveränderlicher Speicher

Eine weitere Schlüsselkomponente von ZTDR ist „Immutable Storage“, also die Nutzung unveränderlicher Speicher, die gewährleistet, dass sich gesicherte Daten selbst im Falle eines erfolgreichen Ransomware-Angriffs nicht verändern oder löschen lassen.

Eine derartige Sicherheit der Daten wird durch ein gehärtetes, unveränderliches Speicherziel erreicht, das auf den sogenannten Compliance-Modus eingestellt ist und keinerlei Zugriff auf das Betriebssystem oder den Root-Account erlaubt. Hierzu bieten sich herstellerspezifische Lösungen oder Industriestandards wie S3 an.

S3 bietet dabei den vertrauenswürdigsten Standard für Immutability, Security, Identity- und Access-Management (IAM) sowie ein sicheres Kommunikationsprotokoll. Ursprünglich hatte Amazon den S3-Speicherdienst vor 17 Jahren als cloudbasierte Technologie eingeführt. Heute bieten viele Hersteller dank der S3-API [4] auch S3-kompatible Objektspeicher an, die Nutzer vor Ort installieren können. S3-fähige Objektspeichertechnologie kann Daten als Objekte in virtuellen Containern speichern, den sogenannten Buckets.

S3 Object Lock

Die S3-Object-Lock-Technologie ist eine zusätzliche Funktion für S3-kompatible Objektspeicherlösungen, die Datenmanipulationen zuverlässig verhindert. Objekte werden dabei nach dem Write-Once-Read-Many-(WORM)-Modell gespeichert: Dieses erlaubt lediglich einen authentifizierten Lesezugriff, verbietet jedoch Änderungen an Daten oder das Löschen von Daten.

An dieser Stelle würden also auch Verschlüsselungsversuche durch einen Ransomware-Angriff fehlschlagen: Selbst wenn ein Angreifer sich Zugang zu einem S3-Bucket verschaffen sollte, macht die Sperre alle Manipulationsversuche wirkungslos. Und auch Mitarbeiter, die zum Lesen der Daten berechtigt sind, können diese nicht verändern, was Insider-Bedrohungen und versehentlichem Überschreiben der gespeicherten Daten vorbeugt.

Die Erhaltung des Zustands von Objekten in S3- Buckets wird als Objektaufbewahrung bezeichnet. Sie lässt sich auf zwei Arten erreichen: durch Festlegen eines Aufbewahrungszeitraums oder durch Setzen einer rechtlichen Sperre. Im ersten Fall läuft die Sperre automatisch nach einem bestimmten Zeitraum ab – im zweiten Fall muss man sie manuell deaktivieren. Daneben gibt es in diesen Speichern üblicherweise zwei Aufbewahrungsmodi – den etwas flexibleren Governance-Modus und den „wasserdichten“ Compliance-Modus, bei dem niemand mehr die Object-Lock-Einstellungen ändern kann, nicht einmal der Root-User.

Alternativlose Mehrstufigkeit

Alternative Architekturen wie eine monolithische Speicher-Appliance erfüllen die ZTDR-Anforderungen hingegen nicht, da hier keine Trennung von Backup-Software und Backup-Speicher vorliegt. Diese Architektur bietet auch keine echte Unveränderlichkeit, da ein erfolgreicher Eindringling letztlich vollen Zugriff auf Backup-Software und -Speicher erhält – und so gesicherte Daten manipulieren, löschen oder unzugänglich machen kann. Mit anderen Worten: Der Radius eines Angriffs würde das gesamte Sicherungs- und Wiederherstellungssystem umfassen.

Auch die Bereitstellung einer monolithischen virtuellen Appliance in einer Cloud-Instanz reicht nicht ohne Weiteres aus, um Unveränderlichkeit in einem Hybrid Cloud-Szenario zu gewährleisten. Denn im Falle eines Angriffs, bei dem Zugangsdaten zum Betriebssystem, der Instanz oder einzelnen Accounts kompromittiert werden, wäre die gesamte virtuelle Appliance anfällig. Die Sicherheitslücke ergibt sich hierbei aus der Datensicherung auf dem proprietären Speicher der cloudbasierten Appliance. Diese Schwachstelle ließe sich allerdings durch eine direkte Sicherung der Daten in einen unveränderlichen Cloud-Objektspeicher außerhalb der Instanz beheben.

Tipps zur ZTDR-Einrichtung

Unveränderliche Backups sind für eine sichere Datenwiederherstellung im Angriffsfall unerlässlich. Abgesehen von Immutable Storage mit S3-Object-Lock-Funktion sollten Unternehmen, die eine ZTDR-Architektur einrichten, unbedingt darauf achten, dass die gewählte Speicherlösung anpassbare Aufbewahrungsfristen bietet. So können sie Compliance-Anforderungen gerecht werden und sicherstellen, dass Backups während des gewählten Zeitraums nicht gelöscht werden können. Zudem sollte die Lösung einen automatischen Dateischutz umfassen, damit Backups innerhalb des gewählten Aufbewahrungszeitraums für befugte Nutzer zugänglich bleiben.

Veeam empfiehlt außerdem eine Erweiterung der „3-2-1“-Backup-Regel auf „3-2-1-1-0“:

• mindestens drei Datenkopien einschließlich der Produktivdaten
• zwei verschiedene Sicherungsmedien – dies minimiert das Risiko, dass beide Kopien von der gleichen Sicherheitslücke betroffen sind
• eine extern gespeicherte Backup-Kopie, um vor physischen Zwischenfällen zu schützen (z. B. Feuer oder Überschwemmung)
• mindestens eine Sicherungskopie mit „Air-Gap“ oder auf einem unveränderlichen Speicher, um manipulationssichere Daten zu garantieren
• null Fehler bei den Backups: regelmäßige Tests sollen hierzu sicherstellen, dass sich Daten aus den Backups immer fehlerfrei wiederherstellen lassen

Best Practices für ZTDR-Backups

Unternehmen sollten zudem eine ganze Reihe von Best Practices zum Schutz ihrer Daten-Backups vor Ransomware beachten – ganz wichtig: ein solider Disaster-Recovery-Plan! Ein solcher formeller Notfallplan legt fest, mit welchen proaktiven Maßnahmen und Schritten auf unerwartete Ereignisse wie Feuer, Cyberangriff e oder Stromausfälle zu reagieren ist. Damit ein solcher Plan auch effektiv ist, muss er klarstellen

• was genau die wichtigsten zu schützenden Unternehmensdaten sind,
• mit welchen konkreten Backup-Strategien und -Technologien diese Daten zu sichern sind und
• wie unbefugte Zugriff e verhindert werden.

Der Plan sollte außerdem strenge Sicherheitsprotokolle für Backups durchsetzen, um die Integrität und Vertraulichkeit der gespeicherten Daten zu gewährleisten. Dabei ist darauf zu achten, dass die gewählte Datenschutzstrategie und die jeweiligen Aufbewahrungszeiten für die Backups allen relevanten gesetzlichen Richtlinien wie der EU Datenschutzgrundverordnung (DSGVO) oder dem Gesetz zum Schutz elektronischer Patientendaten in der Telematikinfrastruktur (Patientendaten-Schutz-Gesetz, PDSG) entsprechen.

Weiterhin muss der Plan festlegen, wie regelmäßig Backups durchgeführt werden, damit im Ernstfall saubere und konsistente Datenkopien zur Verfügung stehen, die eine schnelle Wiederherstellung ermöglichen. Die optimale Sicherungshäufigkeit hängt vom individuellen Wiederherstellungsziel (Recovery-Point-Objective, RPO) des jeweiligen Unternehmens ab, um potenzielle Datenverluste im Falle eines Angriff s zu minimieren. Nicht zuletzt sollte der Notfallplan wirkungsvolle Maßnahmen vorsehen, um die Backups unveränderlich zu machen – etwa durch Nutzung der S3-Object-Lock-Technologie.

Daneben gelten auch bei der Implementierung einer ZTDR-Strategie die üblichen Empfehlungen, um die Resilienz der (gesamten) IT-Infrastruktur gegen Cyberangriff e zu stärken: Gründliche Bedrohungsanalysen, regelmäßige Penetrationstests, zeitnahe und automatische Software-Updates und ein umfassendes Sicherheitstraining für alle Mitarbeiter sind ein Muss!

Fazit

Zero-Trust-Modelle verbessern die Sicherheit – doch das übliche Zero-Trust-Maturity-Model umfasst keine spezifischen Anleitungen für die Sicherung und Wiederherstellung kritischer Unternehmensdaten. Zero-Trust-Data-Resilience (ZTDR) ist ein relativ neues Modell, welches das Zero-Trust-Paradigma auf den Anwendungsfall des Daten-Backup und -Recovery ausweitet.

Grundlegende Prinzipien sind dabei die Trennung von Backup-Software und -Speicher, die Einrichtung mehrerer Datenresilienzzonen und die Nutzung unveränderlicher Speicher. Damit bietet ZTDR Unternehmen einen klaren und konkreten Ansatz, um ihre Datensicherheitsziele zu erreichen.

Andy French ist Direktor Produktmarketing bei Object First.

Literatur

_{[1] Jason Buffi ngton, Dave Russell, Ransomware Trends Report 2024, Veeam Insights, Juni 2024, https://vee.am/RW24}  

_{[2] U. S. Cybersecurity and Infrastructure Security Agency (CISA), Zero Trust Maturity Model, Version 2.0, März 2022, www.cisa.gov/zero-trust-maturity-model}

_{[3] Jason Garbis, Zero Trust Data Resilience, A Secure Data Backup and Recovery Model, Numberline Security Whitepaper, Revision 1.1, Mai 2024, https://go.veeam.com/zero-trust-data-resilience.}  

_{[4] Amazon Web Services (AWS), Amazon Simple Storage Service (S3) API Reference, S3-Dokumentation, März 2019, https://docs.aws.amazon.com/AmazonS3/latest/API/Welcome.html}