Wir lesen und hören allerorten von IT-Lecks, Datenklau, Erpresserviren, Identitätsdiebstahl, Trojanern und Co. Fälle wie Snowden, die Aktivitäten von Gruppen wie Anonymus oder die Bemühungen einer Partei wie den Piraten sollten uns bereits mehrfach den Wert unserer Daten deutlich gemacht haben. Dennoch glauben die meisten immer noch, dass immer nur den anderen etwas passiert und nicht ihnen selbst. Dabei ist es völlig unerheblich, mit wem man über dieses Thema spricht; egal ob Privatmann oder Firmenverantwortlicher, alle glauben immer das andere eher betroffen sein werden, als sie selbst. Auf beiden Seiten beobachte ich immer wieder eine große Sorglosigkeit in Bezug auf dieses Thema. Dabei habe ich doch beruflich immer wieder mit solchen Fällen, wenn auch meist nur am Rande zu tun. Am Rande deshalb, weil ich nicht der Techniker bin, der dann später zum Aufräumen gerufen wird, oder der versuchen darf den Rettungssanitäter für einen verlorenen Patienten zu spielen…
Ich bekomme es mit, weil Kollegen im Dauerstress sind, weil mal wieder bei Firma X oder Y der Verschlüsselungstrojaner zugeschlagen hat, oder sich gerade ein anderer Virus ausbreitet. Bei Privatleuten sieht es nicht besser aus. Da wird man dann aus dem Freundeskreis um Hilfe gebeten, weil sich über den PC des Sohnes oder den USB Stick des Nachbarn oder Freundes Schädlinge ins heimische Netz geschlichen haben.
Dabei sind Viren und Trojaner nur eine, und bei weitem nicht die einzige Bedrohung die uns bei der Nutzung von IT drohen. Datenmissbrauch persönlicher Informationen, Identitätsdiebstahl, kompromittierte Konten, die Liste der möglichen Szenarien ist schier endlos.
Das wir uns davor schützen sollten, dass beten Fachleute bereits seit Jahren, und ich bin sicherlich nicht alleine mit der Meinung, um so eindringlicher vor den Gefahren gewarnt wird, um so nachlässiger scheinen uns manche mit dem Thema umzugehen.
Ich meine jetzt auch nicht und empfehle aus niemanden in übermäßige Paranoia zu verfallen. Als Besitzer eines Smartphones massenweise persönliche Informationen mehr oder weniger ungefragt preiszugeben, davor kann sie wirklich konsequent nur der Verzicht auf ein Smartphone schützen. und gegen die Datenkraken wie Google, Facebook und Co. zu wettern bringt rein gar nichts, wenn man auf diese Dienste nicht verzichten mag. Und es ist unbestritten, sie bringen auch eine ganze Menge Vorteile.
Ebenso wie Cloud-Dienste, Streaming und Wearables bieten sie durchaus interessante Perspektiven für die Zukunft. Sie zu verteufeln bringt ebenso wenig wie sich ihnen komplett zu verweigern. natürlich, unbestritten, man kommt ganz gut ohne aus. Aber man kann auch ohne Elektrizität leben, auf Autos verzichten oder jede Form von Plastik-Müll vermeiden. All dies sind mögliche Lebensentwürfe, die ein jeder leben mag, wie sie ihm gefallen. Sie alle haben jedoch eines gemein. Sie entsprechen nicht dem Durchschnitt, sind nicht Mehrheitsfähig und der große Teil der Gesellschaft mag nicht nach ihnen leben.
Unser leben sieht heute anders aus. Verknüpfte Geräte, Login-Daten und Nutzer-Konten begleiten uns von Sonnenaufgang bis Untergang, von der Smartwatch über das Handy, das Auto bis hin zum Fernseher oder Hi-Fi Equipment, überall haben wir Konten, Logins, hinterlassen Daten und unsere Spuren.
Und ja, auch ich hebe gerne mal warnend den Finger und mahne zur Umsicht, beim Umgang mit den persönlichen Daten. Ob jetzt ein jeder hingehen mag, und die Daten in seinem Cloud-Dienst zu verschlüsseln, bevor er diese seinem Hoster anvertraut, oder ob er jetzt gleich ganz auf derartige Dienste verzichten mag, dass sei dahingestellt. Die Masse der Leute wird solche Dienste nutzen.
Doch so sicher, wie sie diese Dienste nutzen werden, so sicher wie sie Warnungen und Empfehlungen zum sicheren Umgang mit ihren Daten ignorieren werden, so sicher werden sie Daten verlieren, Opfer von Angriffen sein und ebenso sicher wird es Betroffene geben, die trotz umsichtigen Verhaltens dennoch Opfer werden. Die Themen sind einfach zu komplex, zu schnell wird eine Kleinigkeit übersehen oder man hat einfach nicht alles gewusst, und schon ist man zum Opfer geworden.
Selbst das BSI (Bundesamt für Sicherheit in der Informationstechnik) warnte unlängst in seinem eigenen Blog davor, sich in Unternehmensnetzwerken nicht mehr nur länger mit dem Schutz der eigenen Daten zu befassen, sondern vielmehr auch das Augenmerk darauf zu richten, was passiert, wenn die eigenen Daten erst mal kompromittiert oder schlimmstenfalls vernichtet sind.
Was also tun, wenn man so oder so zum Opfer wird?
Genau darum geht es, um die Frage, was also kann ich tun, wenn ich doch so oder so zum Opfer werde? Ist es dann nicht egal, was ich tue, wenn ich doch eh nichts daran ändern kann?
Nein, sicherlich nicht. Eine Vogel-Strauß-Mentalität, den Kopf in den Sand zu stecken, dass hilft sicherlich erst recht nicht. Klar sollte auch sein, um so weniger wir tun, um uns vor Angriffen zu schützen, um so mehr Angriffsfläche bieten wir.
Es ist wie mit unseren eigenen 4 Wänden. Auch wenn die Einbruchsrate in den letzten Jahren deutlich zugenommen hat, und immer mehr Kriminalisten davon ausgehen, dass die Zahl organisiert durchgeführter Einbrüche ständig steigt, so käme doch niemand auf die Idee auf Schlösser oder gar Fenster und Türen gänzlich zu verzichten, bzw. sie immer sperrangelweit offen stehen zu lassen. Sicherlich haben wir alle unterschiedliche Sicherheitsempfindungen und treffen andere Maßnahmen zur Vorbeugung. Reicht es dem Einen, seine Haustür zu verschließen und bei seiner Abwesenheit seine Fenster geschlossen zu halten, so installiert der Andere Schutzvorrichtungen wie Alarmanlage oder Fenstergitter oder er lässt im Extremfall sein Haus sogar komplett bewachen. Jeder, so wie er mag und wie er es persönlich für richtig hält.
Dabei ist aber eben genau noch ein weiterer Aspekt von ebenso großer Wichtigkeit. Wenn ich davon ausgehe, dass mir etwas passiert, dann muss ich mich auch mit der Frage beschäftigen, was passiert eigentlich dann? Was geschieht, wenn eben dieser Fall X eingetroffen ist.
Hier gibt es eigentlich nur eine Regel. Seien Sie vorbereitet. Ob privat oder in der Firma. Stellen Sie sich darauf ein, dass ihre Daten korrumpiert oder im schlimmsten Fall sogar vernichtet sind.
Aber denken Sie auch einen Schritt weiter. Daten in Cloud-Speichern wie Dropbox oder One-Drive abzulegen und sich alleine darauf zu verlassen ist eben auch kein echter Schutz. Ein Verschlüsselungstrojaner beispielsweise kann, wenn er vielleicht schon einige Zeit im Hintergrund aktiv gewesen ist, bereits essentielle Daten auf ihrem Rechner verschlüsselt haben. Unter Umständen hat ihr PC diese sogar bereits mit der Cloud synchronisiert, bevor Sie den Schädling bemerkt haben. Somit sind ggf. ihre Daten auch in der Cloud gegen die verschlüsselte Version ausgetauscht. Ihr Backup ist dort also u.U. wertlos.
Ebensolches gilt natürlich auch für ihr lokales Backup. Da hilt es auch nicht eine verschlüsselte Festplatte zu verwenden, wenn diese Dauerhaft am PC angeschlossen ist, denn wenn Sie ungehinderten Zugriff auf die Festplatte haben, dann hat es auch ein Krypto-Trojaner. Eine Lösung wäre die Festplatte jeweils zum Backup anzuschließen, die Passphrase einzugeben und die Platte nach dem Backup wieder vom System zu trennen.
Ganz davon abgesehen, dass diese Vorgehensweise nicht nur aufwendig, unkomfortabel und nervig ist, so müssen Sie auch immer rechtzeitig daran denken, den sonst läuft Ihnen jedes Backup in einen Fehler, der zunächst manuell behoben werden muss. Kurz gesagt wirklich praktikabel ist eine solche Lösung auch nicht.
Im privaten Umfeld mag es noch einfach sein, gewisse Informationen einfach in Papierform vorzuhalten und es gibt ja hier auch nach wie vor genügend Dokumente, die wir alle nach wie vor als gedruckte Unterlage aufzubewahren haben. Rentenunterlagen und Sozialversicherungsnachweise beispielsweise müssen wir weiterhin im Original aufbewahren.
Nur ist das sicher keine Lösung für alle unsere Daten auf unserem PC oder gar in der Cloud. Erst recht nicht für unsere Fotosammlung und die seit Jahren gesammelten Mails. Hier hilft nur, die Dokumente in unterschiedlichen Applikationen mehrfach aufzubewahren. Mails zum Beispiel könnten Sie in PST-Archiven, die dann ggf. noch mal in Backups wieder auftauchen oder auf verschlüsselten Medien liegen, gesichert werden. Fotos sollten Sie über mehrere Fotodienste verteilen, zumindest die, die ihnen ganz besonders am Herzen liegen.
Betriebssysteme wie Windows bringen Tools wie einen Systemverlauf mit, die ebenfalls alte Versionen von Dateien aufbewahren. Zusammen mit Backups, Cloud und Co. lassen sich Daten so problemlos mehrfach redundant vorhalten. Auch wenn dabei noch immer nicht gänzlich auszuschließen ist, dass die Daten in Gänze nicht doch in irgendeiner Form korrumpiert werden, so reduziert die mehrfache Redundanz die Wahrscheinlichkeit doch erheblich.
Doch was sich im privaten Umfeld gerade noch realisieren lassen mag, eine mehrfach redundante Datenhaltung, in der Hoffnung, nicht alle Daten werden im Falle eines Zwischenfalls zeitgleich betroffen sein, versucht man in Firmen unter Umständen zu vermeiden.
Die Problematik von „Single Instancing“ und „Deduplikation“
Gerade im Firmenumfeld stellt die Explosion der Datenvolumina ein viel größeres Problem dar, als im privaten Umfeld. Während wir im privaten Umfeld durch Datenverlust eher nur in Ausnahmefällen existenziell bedroht sind, stellt sich dies im Geschäftsumfeld gänzlich anders dar. Die also ständig wachsenden Datenmengen sind mit immer tieferer Durchdringung des Geschäftslebens mit IT auch immer anspruchsvoller abzusichern, da sie immer wichtiger für den Fortbestand eines Unternehmens werden.
Dabei erreichen Datenmengen heute Ausmaße die noch vor wenigen Jahren völlig unvorstellbar gewesen sind und ein Ende dieser Entwicklung ist keinesfalls absehbar. Begegnen mir heute bei Mittelständlern bereits bisweilen Datenmengen im Petabyte Bereich, so wird diese Größe in wenigen Jahren kaum noch jemanden beeindrucken. Erschienen uns noch vor 3-4 Jahren Festplatten mit 4 Terrabyte wahnsinnig groß, so sind aktuell im SSD Bereich erste 16 Terrabyte Datenträger angekündigt. Auch hier ist ein Ende der Entwicklung nicht absehbar.
Hier aber Daten mehrfach redundant vorzuhalten wird immer mehr zu einem extrem kostspieligen Unterfangen und die Tendenz geht klar dahin, genau dies aus Kostengründen zu vermeiden. Stattdessen versucht man Instanzen einer Datei nur noch ein mal im Unternehmen vorzuhalten und vergleichbare Daten auf ihren Ursprung zu referenzieren. So werden häufig nur noch Änderungen an großen Dokumenten gespeichert, wohingegen das Original unverändert bleibt. Gerade wenn mehrere Beteiligte kleine Änderungen an einem Dokument vornehmen, spart dieses Verfahren unheimlich viel Speicherkapazitäten, da nur noch die Änderungen der User in kleinen Unterdateien gespeichert werden müssen, wohingegen die Ursprungsdatei mit ihrem Großteil an Daten nicht jedes mal erneut mitgesichert werden muss.
Man stelle sich aber nur einmal in einem solchen Szenario vor, die Ursprungsdatei auf die alle anderen Instanzen verweisen, würde beispielsweise durch einen Verschlüsselungstrojaner korrumpiert. Es wäre nicht nur das Original vernichtet, sondern es würden alle Ableitungen unbrauchbar.
Ähnlich verhält es sich mit sogenannten Deduplizierungslösungen. Kommen diese bislang überwiegend im Backup Umfeld zum Einsatz, so sind doch die Hersteller insgesamt bemüht diese Techniken in Primärspeichersysteme zu integrieren.
Bei der Deduplizierung suchen die Systeme nach gleichen Bitmustern innerhalb von Datenströmen. Hier geht es also längst nicht mehr um einzelne Dateien, ja nicht einmal mehr um Datenblöcke sondern tatsächlich um variable Bitmusterlängen. Ein paar Bit aus Nullen und Einsen die in völlig unterschiedlichen Dateien jedoch durchaus für eine gewisse Länge identisch sein können, werden kreuzreferenziert. Etwas vereinfacht gesagt, wenn auch hier im Beispiel sicherlich arg verkürzt, kann die Zeichenfolge 110010010011, taucht sie in einer Datei oder in mehreren immer wieder auf, referenziert werden und an ihre Stelle ein Verweis auf ihren Ursprung notiert werden.
Nun könnte man meinen, dass ein solches System doch geradezu prädestiniert ist, um einen gewissen Schutz vor Verschlüsselungstrojanern, Datendiebstahl und ähnlichen Szenarien bietet, da ja schließlich die Daten nicht wie auf einer normalen Festplatte für Schädlinge frei zugänglich liegen. Doch genau diese Annahme ist falsch. Klar ist, würde man eine Festplatte aus einem solchen System ausbauen, so wären die darauf abgelegten Daten ohne hochkomplexe Hilfsmittel kaum direkt lesbar, denn schließlich sitzt eine ganze Logik mit ordentlicher Prozessorleistung dazwischen, die Daten zu deduplizieren und komprimieren. Doch genau an dieser Stelle liegt auch der Schwachpunkt, denn an irgendeiner Stelle müssen die Daten für „normale“ Systeme wiederum lesbar sein. Genau diese Aufgabe als Übersetzer übernimmt die Logik der Deduplizierungssysteme. Das bedeutet aber auch, an der Stelle, an der Daten das System vor der Deduplizierung sozusagen „betreten“ herrscht die Angreifbarkeit. Denn genau an diesem Tor können alle Systeme, so sie denn scheinbar autorisiert sind Daten anfordern und wieder zurück in den Deduplizierungsspeicher schreiben. Das können dann natürlich auch Verschlüsselungstrojaner sein. Klar, ein verschlüsselter Datenblock wäre von seinem Bitmuster her nicht mehr identisch mit dem Ursprung und würde neu analysiert. Andere, nicht korrumpierte Systeme wären nicht betroffen, ein allgemeiner Schutz ist damit jedoch keinesfalls automatisch gegeben.
Problematisch wird das Ganze eher dann, wenn die Deduplizierungssysteme sich weit verbreiteter Systeme, wie z.B. Microsoft Windows bedienen oder darauf basieren. Hier bestünde zumindest theoretisch die Möglichkeit, dass gar nicht die Ursprungssysteme attackiert werden, sondern das Angriffsszenario direkt auf die Deduplizierungsappliance abzielt. Sollte es einem Angreifer gelingen diese erfolgreich zu attackieren, wären mitunter alle Daten im Unternehmen betroffen.
Wie gesagt, bislang ist dies noch ein eher theoretisches Szenario, denn wirklich brauchbare Primärstorage Systeme mit Deduplizierungsalgorithmen die in Echtzeit arbeiten können und das auch noch auf bekannten Betriebssystemen basierend existieren derzeit noch nicht. Bei der rasanten Entwicklung innerhalb der IT wird aber das auch nur eine Frage der Zeit sein, und es ist anzunehmen, dass diese Zeit eher kurz sein wird.
Darüber hinaus schlafen natürlich auch die Entwickler von Schadsystemen nicht und entwickeln immer raffinierte Techniken.
Was bleibt? Vorsorge!
Was bleibt Firmen also zu tun? Direkte Vorsorge mit technischen Mitteln, die direkt auf die Vermeidung von Angriffen und Datenverlusten abzielt? Nun ich gehe davon aus, das tun sie bereits und wie eingangs schon gesagt, ich wäre der 1000ste Mahner und bin es vermutlich auch, wenn es darum geht, hier vorzusorgen.
Doch damit nicht genug. Was bleibt ist eine völlig andere Art der Vorsorge, die meiner Meinung nach unabdingbar ist. Es ist die Vorsorge nach dem „Wenn…dann…Prinzip“, wobei wir uns in diesem Fall eben nicht damit beschäftigen, die möglichen Szenarien zu vermeiden, sondern uns bewusst mit der Tatsache auseinandersetzen, was wäre wenn sie genau so eintreffen würden.
Was also wäre, wenn alle Ihre Kundendaten von einem Moment auf den anderen nicht mehr verfügbar sind? Welche Notfallmaßnahmen greifen dann in ihrem Unternehmen? Welche Prozesse haben Sie im Unternehmen implementiert, die in solchen Fällen aktiv werden?
Gibt es alternative Systeme, Offsite Backups, auf die zurückgegriffen werden kann? Wie lange dauert es, bis ein Notfallplan aktiv wird? Wie lange kann und darf es dauern, bis ein Notbetrieb sichergestellt werden kann?
Wissen Sie überhaupt, wie lange ihr Betrieb in einem solchen Fall überleben kann? Haben sie sich jemals mit den Grundlagen des BCM (Business Continuity Management) beschäftigt?
Was also passiert mit Ihrem Unternehmen, wenn nichts mehr funktioniert? Was passiert, wenn Backups nicht mehr helfen? Wie sichern Sie die Existenz ihres Unternehmens?
Ich lehne mich, so denke ich, gar nicht zu weit aus dem Fenster, wenn ich behaupte, es wird passieren. Genau dieses Schreckensszenario. Vielleicht nicht Ihnen, sondern wie immer, nur den anderen. Vielleicht ist es dieses Mal aber auch genau anders herum.
Ich gehe davon aus, wie 99% aller anderen Firmen, haben sie an solche Szenarien noch keine ernsthaften Gedanken verschwendet. Es wird Zeit damit zu beginnen. Und falls sie es nicht tun, sagen Sie nicht, ich hätte es Ihnen nicht gesagt.
Doch wie können sie im konkreten die Sicherheit in Ihrer IT erhöhen? Hier gibt das BSI mit seinem IT Grundschutz Handbuch gute Hinweise und Tips. Aber auch hier ist die graue Realität nun einmal die, Dokumente, Bücher, Tipps, Foren, Anweisungen und Ratschläge, was man alles optimieren kann, die gibt es zu genüge. Nur sie müssen auch umgesetzt und befolgt werden.
Eines der größten Probleme, warum das allerdings häufig nicht geschieht, ist die geringe Wertschätzung der IT innerhalb des Unternehmens, die oft zu kleinen Budgets und leider auch oft die mangelhafte Ausbildung der Verantwortlichen.
© 2016, DeBussy. All rights reserved.