SysAdmin Day: Die Cloud, die Sicherheit und drohende Backup-Lücken

[English]Am heutigen 29. Juli ist der internationale Tag des Systemadministrators, ein Tag, für all die IT-Fachkräfte, die jeden Tag ihr Bestes geben, um den IT-Krempel irgendwie am Laufen zu halten und gegen Cyberbedrohungen abzusichern. Ich gehe mal davon aus, dass heute früh auf euren Schreibtischen jede Menge Geschenke und Aufmerksamkeiten abgeladen wurden, dass das Telefon nicht still steht, weil Leute ihre Dankbarkeit für euer ackern ausdrucken wollen. Und die Lieblings-Anwender schneien zur Tür ins Büro herein, um Merci zu sagen. Ich möchte heute für euch einen Blick auf das Thema Cloud, Sicherheit und Backup werfen. Habt ihr natürlich alles im Blick – aber doppelt gemoppelt kann nicht schaden.

Cloud-basierte Sicherheit

Ich denke, ein Großteil der Administratoren, die hier im Blog mitlesen, werden täglich, neben On-Premises-Lösungen, auch mit der Verwaltung von Cloud-Diensten konfrontiert. Unternehmen hoffen, durch die Einführung der Cloud-Technologie effizienter zu werden. Denn die Abläufe sind besser skalierbar, und die Mitarbeiter können von jedem Ort aus und auf jedem Gerät produktiv sein.

Treiber dieser Entwicklung war auch die Covid-19-Pandemie, die Unternehmen zwang, einen Teil der Mitarbeiter ins Home-Office zu schicken. Die Unternehmen setzten vorrangig auf Tools für Remote Access wie zum Beispiel virtuelle private Netzwerke (VPNs). Aber es gibt natürlich das Thema Sicherheit, was bei Remote-Lösungen komplexer wird und auch in der Cloud relevant bleibt.

Häufig werden Sicherheitstools eingesetzt, die vorgeben, Zero Trust zu erzwingen. Das Problem besteht jedoch darin, dass diese Produkte nur zum Zeitpunkt des Zugriffs Sicherheitsüberprüfungen durchführen. Die Verwendung von Cloud-Lösungen hat die Sicherheitsanforderungen auf den Kopf gestellt. Reichte es früher, sicherheitstechnisch alles abzusperren – d. h. Anwendungen, Daten und Benutzer mussten innerhalb der Unternehmensgrenzen bleiben, und nur verwaltete Geräte waren erlaubt, greift dies bei der Cloud nicht mehr. Denn durch die Verlagerung von Anwendungen und Daten in die Cloud können Benutzer von überall aus arbeiten.

Der Administrator verliert nicht nur den Überblick und die Kontrolle über Anwendungen und Daten in der Cloud. Auch die Herausforderungen werden komplexer. On Top kommt noch ein anhaltender Arbeitskräftemangel im Bereich der Cyber Security muss man die bestehenden Abläufe rationalisieren, anstatt sie zu erweitern.

Was passiert, wenn ein Zugang durch einen Phishing-Angriff kompromittiert wurde und der Angreifer damit beginnt, sensible Daten herunterzuladen? Was passiert, wenn eine kritische Schwachstelle im Endpunkt eines Betriebssystem entdeckt wird? Die Herausforderung bei der Überprüfung der Sicherheit zum Zeitpunkt des Zugriffs besteht darin, dass sich die Risikostufen von Benutzern und Endgeräten ständig verändern.

Um Remote Work zu garantieren, während sensible Daten geschützt werden, muss die Sicherheit funktionsübergreifend sein. So bietet zum Beispiel Data Loss Prevention (DLP) tiefe Einblicke in die Art der Daten, die man besitzt, wird aber in der Regel nicht von denselben Personen verwaltet, die sich um die Cloud-Dienste kümmern. Zero Trust setzt voraus, dass alle Sicherheitstools zusammenarbeiten, um einen granularen und dynamischen Zugriff zu gewährleisten, weshalb Unternehmen zunehmend auf Cloud-Lösungen setzen.

Worauf man bei einer Cloud-Sicherheitsplattform achten sollte

Sundaram Lakshmanan, CTO für SASE-Lösungen bei Lookout, hat sieht bei der Cloud-Sicherheit zwei Komponenten, auf die man achten sollte: Risikobewusstsein und Bewusstsein für Inhalte. Unternehmen bzw. die IT-Verantwortlichen müssen einige Schlüsselkonzepte verstehen, wenn sie Cloud-Plattformen in Betracht ziehen:

1. Risikobewusstsein. Man muss sich des Risikoniveaus seiner Endgeräte und Benutzer ständig bewusst sein, die sich ständig ändern. Indem sie diese Änderungen berücksichtigen, können Unternehmen sicherstellen, dass der Zugang kontinuierlich gewährt oder entzogen wird.
2. Bewusstsein für Inhalte. Hierbei handelt es sich um die Berücksichtigung der Sensibilitätsstufe der Daten, auf die jemand zugreifen möchte. Der risikobasierte Zugriff mindert die Bedrohungen, die von Benutzern und Endgeräten ausgehen. Um jedoch sicherzustellen, dass Zugriffsentscheidungen effizient getroffen werden, sollte man sich auch auf die Daten selbst beziehen.
3. Detaillierte Aktionen. Das Verständnis der Daten muss sich auch auf eine differenzierte Durchsetzung von Richtlinien erstrecken, um sicherzustellen, dass die Produktivität nicht beeinträchtigt wird. Zero-Trust-Zugriffsentscheidungen sollten sich nicht bloß auf binäre Zahlen stützen. Detaillierte Maßnahmen wie das Anbringen von Wasserzeichen, die Hervorhebung von Schlüsselwörtern und die Einschränkung von Downloads sind entscheidend, um sicherzustellen, dass jedes Risiko vermieden wird und die Daten jederzeit geschützt sind.
4. Proaktive Verschlüsselung. Der Datenschutz muss auch über den persönlichen Einflussbereich hinausgehen. Man sollte proaktive Verschlüsselungstechnologien in Betracht ziehen, die die Sensibilität der Daten berücksichtigen, um sicherzustellen, dass die sensibelsten Daten nur von autorisierten Benutzern eingesehen werden können, selbst wenn sie offline weitergegeben werden.

Klingt auf dem dem Papier großartig, aber die  Umsetzung in die Praxis ist eine andere Geschichte. Zum Problem wird dies, wenn historisch bedingt spezielle Teams für verschiedene Funktionen: Informationssicherheit, Netzwerksicherheit, Endpunktsicherheit usw. mit diesen Aufgaben betraut sind. Die Erfahrung zeigt, dass sie die verschiedenen Teams und Abteilungen eines Unternehmens mit unterschiedlichem Tempo bewegen. Das kann es schwierig machen, eine gemeinsame Vision oder einen Fahrplan für die Einführung der Sicherheit zu erstellen. Vertriebs- und Marketing-Teams führen zum Beispiel Cloud-Plattformen oft viel früher ein als Finanz-, Personal- oder Technikabteilungen.

Hinzu kommt, dass IT-Teams oft damit belastet sind, alte Lösungen zu unterstützen, während bereits neue Lösungen in der Cloud zu begleiten sind. Das kann zur Belastung der jeweiligen Teams führen. Die Cloud und Cloud-Anwendungen sind Faktoren, die die Geschäftsabläufe in den Unternehmen grundlegend verändern:. Bevor die Sicherheits-Teams die in der Cloud bereitgestellten Sicherheitskontrollen neu erlernen, müssen sie auch die Feinheiten der Cloud-Dienste und -Anwendungen verstehen, bevor sie diese wirksam schützen können. Zusammenfassend lässt sich sagen, dass Unternehmen angesichts der Tatsache, dass sich Daten und Benutzer überall befinden, die Art und Weise neu überdenken müssen, wie Sicherheit gewährleistet wird.

Diese Backup-Lücken drohen in der Cloud

Und es gibt bei der Cloud noch das zweite Problem: Wie stellen IT-Verantwortliche Sicher, dass ihre Daten in der Cloud über Backups gesichert werden. Denn für das Backup und das Recovery ihrer Daten in der Cloud sind Unternehmen selbst verantwortlich. Wer sich hier nur auf die limitierten Möglichkeiten der Anbieter verlässt, dem drohen riskante Lücken, wie Dell Technologies in einer Übersicht erläutert. Denn die meisten SaaS-Anwendungen bringen nur sehr rudimentäre Möglichkeiten für die Aufbewahrung und Wiederherstellung von Daten mit. Dell Technologies führt nachfolgend die fünf größten Risiken für Backup-Katastrophen in der Cloud auf:

1. Versehentliches Löschen. Gelöschte Daten landen häufig im Papierkorb, der nach einer gewissen Zeit automatisch geleert wird. Löscht ein Mitarbeiter also beispielsweise ein abgebrochenes Vertriebsprojekt in Salesforce und möchte es später wieder aufnehmen, kann es für die Wiederherstellung der Daten aus dem Papierkorb jedoch bereits zu spät sein.
2. Böswilliges Löschen. Verlässt ein Mitarbeiter das Unternehmen, wird in der Regel sein Konto, zum Beispiel in Microsoft 365, gesperrt. Hat er vor seinem Weggang böswillig Informationen gelöscht, kann die IT-Abteilung nicht ohne Weiteres auf die Daten zugreifen, um Schäden zu bewerten und rückgängig zu machen. In der Kontenarchivierung ausscheidender Mitarbeiter sind zuvor gelöschte Daten nämlich nicht enthalten.
3. Ransomware-Attacken. Die Zeitfenster für die Aufbewahrung von Daten sind bei SaaS-Anwendungen meist knapp bemessen. Wird ein Unternehmen Opfer einer Ransomware-Attacke, die außerhalb dieses Fensters begann, hat es keine Chance, die betroffenen Daten auf einen unverschlüsselten Zustand zurückzusetzen. Außerdem existiert keine Isolierung der aufbewahrten Daten von der Primärumgebung, um das Übergreifen der Ransomware auf diese Daten zu verhindern.
4. Einhaltung von Richtlinien. Die kurzen Aufbewahrungszeiträume machen es Unternehmen schwer bis unmöglich, interne und rechtliche Vorgaben zur Datenarchivierung zu erfüllen. Sie riskieren somit Compliance-Verstöße, die zu empfindlichen Geldbußen führen oder ihre Reputation nachhaltig beschädigen können.
5. Legal Hold und eDiscovery. Funktionen für die Aufbewahrung, Identifizierung und Bereitstellung von Daten als Beweismittel in einem Rechtsstreit sind in SaaS-Anwendungen oft nur sehr eingeschränkt oder gar nicht vorhanden. Es gibt auch keine Integrationen in spezielle eDiscovery-Tools von Drittanbietern. Drosselungsgrenzen bei Datenübertragungen, Tageslimits für Datenexporte oder Mengenlimits beim Herunterladen von Übersichten erschweren eDiscovery-Prozesse zusätzlich.

Wollen Unternehmen ihre SaaS-Daten umfassend gegen Risiken wie versehentliches und bösartiges Löschen oder Ransomware absichern und Compliance-Anforderungen zuverlässig erfüllen, führt, laut Dell Technologies, kein Weg am Einsatz einer dedizierten Backup-Lösung vorbei. Der klassische Ansatz dafür wäre, so eine Lösung selbst aufzubauen und zu betreiben. Wie immer bei On-Premises-Installationen fallen dabei aber beträchtliche Kosten und Aufwände für Hardware, Software und Wartung an. Eine attraktive Alternative sind deshalb dedizierte Backup-Plattformen in der Cloud.

Dell hat kein spezielles Produkt vorgestellt – hält aber sicher was im Portfolio. Gestern habe ich zudem von SentinelOne eine Pressemitteilung erhalten, in der die SentinelOne-App für Amazon Web Service (AWS) Elastic Disaster Recovery bekannt gegeben wurde. Das Produkt integriert sich in AWS Elastic Disaster Recovery (DRS), um Unternehmen vor den verheerenden Auswirkungen von Ransomware zu schützen. Mit dieser gemeinsamen Lösung können betroffene Unternehmen AWS Elastic Disaster Recovery direkt von Singularity XDR aus initiieren und innerhalb von Minuten auf den letzten bekannten Zustand der Arbeitslast zurücksetzen, um die Geschäftskontinuität zu gewährleisten und die Wiederherstellungszeitziele zu übertreffen.

Fazit: Einerseits bleibt mir am SysAdmin-Day festzustellen, dass Administratoren und IT-Verantwortliche vor großen und immer neuen Herausforderungen stehen. Legt eurem Cheffe ggf. den Artikel vor, wenn es wieder heißt "was hat ein Systemadministrator eigentlich zu tun". Und eine gute Nachricht habe ich auch noch: Die Wahrscheinlichkeit, dass die Arbeit in diesem Bereich (z.B. durch Verlagerung in die Cloud, "da macht der Anbieter ja alles für uns") aus geht und Administratoren arbeitslos werden, dürfte auch in den kommenden Jahren nicht sehr wahrscheinlich sein. Also: Happy SysAdmin-Day!