Gefährdungen und Datenverlust
Die IT Sicherheit und der Datenschutz können durch ganz unterschiedliche Ereignisse beeinträchtigt werden. Fast immer hilft eine entsprechende Datensicherung, den jeweiligen Schaden wieder auszugleichen. Die Datensicherung, so unverzichtbar sie in den meisten fällen ist, sollte aber nicht die einzige Maßnahme darstellen, mit der man dem Übel – den Verlust von Verfügbarkeit oder Integrität der Daten – begegnet. Datensicherung und Wiederherstellung sollten stets als letzte Konsequenz, als letzte Möglichkeit, betrachtet werden, die man in Anspruch nimmt, wenn es trotz aller Vorsichtsmaßnahmen doch einmal zum Datenverlust und vor allem zu einer Datenschutzverletzung kommt. Gehen wir darum kurz auf potenzielle Arten der Gefährdung ein.
Unterschiedliche Gefährdungen
Die nachfolgende Aufzählung von Gefährdungsarten lehnt sich an das IT Grundschutzhandbuch an und soll einen ersten Überblick geben. Die Darstellung im IT Grundschutzhandbuch selbst ist wesentlich umfangreicher. Das IT Grundschutzhandbuch ist die konkrete Handlungsempfehlung vor allem zu der Normenreihe ISO 27000.
Höhere Gewalt
Dazu zählen vor allem äußere Einflüsse wie Blitzschlag, Feuer, Wasser, Sturm und auch Pandemien. Alle diese Ereignisse können unter Umständen einen Server mit allen Daten zumindest unzugänglich machen.
Eine große räumliche Trennung zwischen Serverraum und der Lagerstätte der Sicherungen vermindert deutlich das Risiko, dass ein und das selbe Ereignis beide Orte gleich stark trifft. Im Pandemiefall aktuell ist eine örtliche Trennung auch sinnvoll, wobei hier nicht die Aufteilung auf verschiedene tektonische Platten (vgl.: Erdbeben, Vulkan, etc.) sonder viel mehr durch den Gesichtspunkt der möglichen verschiedenen Aufsichtsregime geleitet werden sollte.
Organisatorische Mängel
Dazu zählen beispielsweise falsche Zugriffsrechte einzelner Benutzer, fehlende oder unbekannte Regelungen im Umgang mit bestimmter Anwendungssoftware und Ähnliches.
Beispiel: es wird beschlossen, für die Lagerhaltung die Bezugsgröße in der Warenwirtschaft (z. B.: von Verpackung auf Stück als Verrechnungseinheit) zu ändern. Die Änderung wird im System durchgeführt, aber nicht allen Mitarbeitern mitgeteilt. Ein Mitarbeiter stellt vermeintliche Fehler im Lagerbestand fest und ändert die Anzahl wieder auf den alten Stand. Es wird eine Zeit lang mit falschen Daten gearbeitet, bis der Unterschied festgestellt wird. Meist ist es dann aber nicht mehr nachvollziehbar, was stimmt und was nicht. Es muss eine vollständige Inventur im Lager durchgeführt werden.
Menschliches Versagen
Liegt immer dann vor, wenn eine unbeabsichtigte Handlung ein Fehlverhalten darstellt und eine Störung verursacht.
Ein gutes Beispiel ist ein Anwender, der in einem Verzeichnis mehrere Dateien löscht und dabei versehentlich auch eine Datei vernichtet, die noch wichtige Daten enthält. Versehentliches löschen von Daten durch die Nutzer selbst ist mit die häufigster Ursache von Datenverlust. Weitere beliebte Beispiele sind das versehentlich abschalten des Servers oder das einspielen eines neuen Softwarepaketes ohne Sicherung der entsprechenden Nutzer Datenbank.
Technisches Versagen
Die häufigsten technischen Ausfälle treten bei Netzteilen und Festplatten auf. Aber auch andere Komponenten können defekt sein: ein RAID Controller kann ausfallen, wobei möglicherweise nur die Information über die Datenverteilung verloren geht; die Daten sind in der Folge aber trotzdem nicht mehr abrufbar.
Fehlerhafte Datenträger – zum Beispiel bei Wechselmedien – können ebenfalls zu Datenverlusten führen, wenn sie aufgrund eines Defekts nicht mehr ordnungsgemäß lesbar sind. (Anm.: zum Beispiel sollten Bänder in regelmäßigen Abständen durchspült werden, um ein Verkleben zu vermeiden.)
Auch das Versagen eines Virenscanners kann zu Datenverlusten führen, wenn dadurch ein Virus unerkannt in das interne Netzwerk gelangt und in diesem löscht oder Dateien beschädigt.
Das Versagen einer Überspannung Schutzvorrichtung oder einer unterbrechungsfreien Stromversorgungseinheit fällt ebenfalls in diesem Bereich.
Vorsätzliches Handeln
Liegt vor, wenn die Tat in voller Absicht begangen wurde wobei dem Täter nicht unbedingt die volle Tragweite seines Handelns bewusst sein muss.
Beispiel: kurz vor seinem Ausscheiden aus dem Arbeitsverhältnis schleust ein Mitarbeiter einen Virus in das lokale Netzwerk eines Krankenhauses ein, um die EDV Abteilung zu ärgern. Der Virus stört dabei auch den Betrieb der medizinischen Datenbank, einige Daten gehen verloren. In der Folge stirbt ein Risiko Patient, weil durch die Virus Aktivitäten Informationen über Medikamentenallergie verschwunden sind und der Patient falsch behandelt wurde.
Weiteres Beispiel: die Tür zum Server Raum steht für mehrere Tage offen. Jemand macht sich am Thermostat für die Klimaanlage zu schaffen, weil es im angrenzenden Zimmer zu kalt ist. Die Klimaanlage fällt aus, Über das Wochenende steigen die Temperaturen im Server Raum so stark an, dass einige Festplatten überhitzen und ausfallen.
Vorbeugung und Alternative
Um Verfügbarkeit und Integrität der Daten sicherzustellen, sollte man immer zweigleisig vorgehen. Zum einen sollte man versuchen, die eigentliche Gefährdung zu reduzieren, indem man vorbeugende Maßnahmen trifft. Zum anderen benötigt man eine Alternativstrategie, falls – trotz aller Vorsichtsmaßnahmen – einmal aus einer potentielle Gefährdung Realität wird.
Im Beispiel von technischen Versagen von Festplatten ist die vorbeugende Maßnahme in der Regel ein RAID, bei dem die Daten auf mehrere Platten verteilt werden und auch dann verfügbar sind, wenn eine Festplatte aus diesem Stapel ausfällt. Fällt dann aber eine weitere Festplatte aus oder hat der RAID Controller selbst einen Defekt und zerstört die Informationen auf den Festplatten, benötigt man eine Alternative, um die Daten wiederherzustellen. Üblicherweise ist das eine Datensicherung.
Ergänzung 30.4.2020:
Aber auch eine Datensicherung ist die technisch nie perfekt. Weil auf die Datensicherung die Gefährdungsarten genauso einwirken. Theoretisch könnte man in Bezug auf die Alternativstrategie (Rücksicherung vom Band) genauso Vorgehen wie bei der Gefährdung der ursprünglichen Daten. Das ganze ist jedoch nicht sinnvoll und vor allem würde man sich ziemlich schnell im Kreise drehen – Rekursion. Das heisst, keine Alternative ist perfekt. Die eigentliche Katastrophe – Datenverlust und Versagen aller Alternativstrategien – tritt im Beispiel des RAID-Ausfalls mit Rücksicherung vom Band nur dann ein, wenn beide Schadensereignisse gleichzeitig eintreten.
Will man nicht eine Alternative für eine Alternative für eine Alternative schaffen, muss sich die Aufmerksamkeit des Administrators darauf richten, die Gleichzeitigkeit von primären Ereignis und Versagen der Alternative zu verhindern. Im Klartext: nach dem Festplattenausfall schnellstmöglich die defekte Platte austauschen, bei Ausfall des Bandlaufwerks schnellstmöglich für Ersatz sorgen usw.
Die Vorsichtsmaßnahme bei einer Bandsicherung besteht neben dem regelmäßigem Austausch von Sicherungsbändern abhängig vom Nutzungsgrad auch in einer regelmäßigen Überprüfung der Lesbarkeit der Bänder. Nichts ist tragischer für den Administrator, als wenn er erst bei der Rücksicherung der Daten nach Datenverlust feststellt, dass das Band nicht lesbar ist, die Alternativstrategie also gleichzeitig zum primären Schadensereignis versagt.
Von besonderer Bedeutung ist das Risiko menschlichen Versagens bei der Anwendung der Alternative. Wenn das Primärereignis – Ausfall des RAID Systems – eingetreten ist und nun auf die Alternative zurückgegriffen werden muss, kann ein Fehler des Administrators bei der Rücksicherung im schlimmsten Fall die Daten unwiederbringlich zerstören. Man darf nicht vergessen, dass die Rücksicherung im Fall eines tatsächlich eingetretenen Schadens nicht dasselbe ist wie das theoretische Durchspielen einzelner Szenarien – Übung und Dokumentation dienen dazu zusätzliche Sicherheit zu bringen.
2 Gedanken zu „Cyber Security – Backup II“