16 Minuten

Backup Cloud Services nutzen

Dezentral eingesetzte Software zentral sichern

Haben Sie auch Software im Einsatz die dezentrales Arbeiten an mehreren Standorten ermöglicht? Ist sogar Software im Einsatz die per RDP/Terminal Session auf einem zentralen Server genutzt wird? Dann setzt Ihr Unternehmen auf ein hybrides Software-Betriebsmodell. Daten liegen sowohl an mehreren Standorten, als auch an einer zentralen Stelle.

Nur wenige Hersteller von Software für Planungsbüros als auch Kanzleien bringen ein durchdachtes Backupkonzept mit. Die Folge, der Administrator ist auf sich gestellt und muss sich eigene Lösungen gegen Ausfall durch Festplattencrash, Brand oder Ransomware überlegen (Crypto-Trojaner bzw. Verschlüsselungssoftware).

Auf dem Markt findet man viele „Backup as a Service“ Anbieter die einem die Datensicherung erleichtern möchten. Doch der Administrator muss heraus finden welcher Anbieter mit welchem Service am Besten zum eigenen Unternehmen passt. Welche Zeiträume müssen wiederherstellbar sein; welche Datenvolumina müssen auf lokalen Speichersystemen (NAS) gesichert werden; bzw. wie schnell müssen Daten über Stand- oder DSL-Leitungen übertragen werden? Manche Cloud Backup Anbieter rechnen je angefangenes Gigabyte gespeicherte Daten ab. Andere berechnen den Preis für Backups anhand zu sichernder Server pro Jahr oder auch anhand zu sichernder Betriebssysteme.

Der Administrator wird sich ebenso über die Vertraulichkeit der zu sichernden Informationen Gedanken machen und eine Verschlüsselung der Daten anstreben.

Ein durchdachtes Backupkonzept hilft weiter. Üblicherweise führen Experten dazu folgende Schritte durch: (1) Planen auf Basis der Geschäftsanforderungen, (2) Angebote einholen und Kosten vergleichen, Proof of Concept bzw. testen weniger Lösungsvarianten, (3) Umsetzen und (4) Betreiben.

Die Sicherungsstrategie hängt primär von den Geschäftszielen ab. Daher wird der Unternehmer in die Planung mit einbezogen, denn er muss letzten Endes die Anforderungen formulieren, die Kosten tragen sowie die Restrisiken akzeptieren.

Die Anforderungen müssen unbedingt in Testpläne überführt werden, damit regelmäßig Rücksicherungen mit anschließenden Tests durchgeführt werden können. Nur dann ist sichergestellt, dass aus den Backups der Betrieb wieder hergestellt werden kann. Das Wiedereinspielen und Wiederinbetriebnehmen ausgefallener Komponenten übt für den Ernstfall und verkürzt die sog. RTO, Revovery Time Objective oder Wiederanlaufzeit.

1 Planung

Situationsanalyse

Der Geschäftsführer wird mit folgenden Fragen konfrontiert:

  1. Nach welcher Zeit entgehen dem Unternehmen Gewinn der mittelfristig geschäftsschädigende Auswirkungen hat? Seine Antwort bestimmt den sogenannten RTO (Zeit die vergehen darf bis der Betrieb wieder reibungslos funktioniert).
  2. Welche Mitarbeiter erzeugen augenscheinlich den höchsten Gewinn?
  3. Welche Geschäftsprozesse, an denen diese Mitarbeiter beteiligt sind, erscheinen daher am kritischsten?
  4. Welche Daten sind notwendig um diese Geschäftsprozesse weiter zu betreiben (Konstruktionspläne, Patente, Zertifikate, Konfigurationen oder Kundendaten)? Die Antwort bestimmt welche Software an welchen Standorten zwingend notwendig ist um das Geschäft weiter zu betreiben.
  5. Gemeinsam mit dem Geschäftsführer kann eine Priorisierung dieser Ziele, Mitarbeiter, Geschäftsprozesse und Daten sinnvoll sein. Daraus lässt sich später ableiten welche Daten im Wiederherstellungsplan zuerst wieder verfügbar sein müssen. Diese Antwort bestimmt die unterschiedlichen RPOs (Zeit ab wann welcher Sub-Prozess wieder funktionieren muss, damit der darüber liegende Prozess wieder liefern kann.
  6. Welche Risiken möchte der Unternehmer eigentlich absichern? Brand des Gebäudes, Ausfall einer Festplatte, Diebstahl eines Laptops, Verschlüsselung von Laufwerken durch Ransomware (Crypto-Trojaner) oder menschliches Versagen wie z.B. versehentliches Löschen von Dateien. Die letzten beiden Risiken bestimmt die Anzahl notwendiger Generationen. Dazu später mehr.

Anschließend wird sich der Administrator fragen welche Datentypen tatsächlich gesichert werden müssen. Der Geschäftsführer wird in den meisten Fällen keine Unterscheidung zwischen Software, Daten, Konfigurationen oder Schlüsseln machen. Werden ausschließlich Konfigurationen von Systemen benötigt, weil die eigentlichen Daten aus anderen Quellen (wie Verträgen auf Papier, oder aus Email-Korrespondenz) wiederherstellbar sind, dann sollten sie in den jeweiligen Verzeichnissen der Software identifiziert und für Backups markiert werden. Müssen komplette Installationen von Software gesichert werden, weil deren Einrichtung sehr kompliziert ist, dann sollte er sicher stellen, das eine Rücksicherung des Anwendungsverzeichnisses tatsächlich ohne weitere Eingriffe in die Betriebssystem-Einstellungen wieder funktioniert.

Aus diesen Erkenntnissen leitet sich ab, ob Vollsicherungen von Servern bzw. Arbeitsplatz-Computern zu erstellen sind oder ob es genügt sogenannte inkrementelle oder differentielle Backups von den Änderungen an einem System zu machen. Das spart Datenvolumen, benötigt allerdings eine einmalige Vollsicherung zu Beginn. Alternative stellt die Datenspiegelung dar, die etwas teurere Hardware erfordert, allerdings den Ausfall eines Speichermediums ohne Zeitverlust überbrücken lässt.

Gefährdungslage

Als nächsten Schritt macht man sich Gedanken über die Gefährdungslage, also die Risiken die der Unternehmer minimieren möchte (siehe auch oben unter (f)). Zusammen mit den Einflussfaktoren je IT-System (wie z.B. Datenvolumen, Verfügbarkeitsanforderung, Vertraulichkeitsbedarf, Anzahl notwendiger Generationen ergibt sich dann in einer Matrix ein Datensicherungsplan je System.

Es kann nun ein Minimaldatensicherungskonzept zusammen gestellt werden. Darin wird festgelegt welche Daten oder auch Software auf welchen Systemen wie häufig und in welchem Umfang zu sichern sind.

2 Angebote einholen und vergleichen

Jetzt kann der Verantwortliche für Datensicherung die Situation auf dem Markt analysieren. Er kennt seine Systemlandschaft mit Betriebssystemen, Anwendungssoftware, zu sichernde Daten, die Organisationsstruktur sowie die Netzplanung. Ebenso kennt er die Risiken die der Unternehmer absichern möchte bzw. hat darüber hinaus in Erfahrung gebracht welche Risiken bewusst akzeptiert werden können. Diese Risikoakzeptanz wird nicht zuletzt durch den Preis bestimmt, den der Unternehmer bereit ist für die Backupstrategie zu bezahlen.

Eine Suche nach „Cloud Backup Anbieter“ im Internet führt zu den großen Keyplayern wie Strato, Acronis, Hosteurope, der Telekom und führt zusätzlich zu NAS (also Network Access Storage) Anbietern wie Synology oder Qnap. Man findet direkt einen Hinweis zur Lösung für das am Anfang diesen Artikels genannte Software-Betriebsmodell. Das Modell beschreibt die zentrale und dezentrale Nutzung von Software. Einige Mitarbeiter im Haus nutzen auf ihrem Arbeitsplatz-Computer installierte Software (die eventuell auch von einem Netzlaufwerk aus gestartet wird). Andere Mitarbeiter nutzen zentral auf einem Server installierte Software durch Aufbau einer Terminalverbindung (RDP) zum Server. Dieses hybride Software-Betriebsmodell verlangt nach einer ebenso hybriden Backup-Strategie. Realisiert werden kann diese Strategie durch den Einsatz von NAS-Systemen.

Lokale Backups per NAS

Wenn es mehrere Standorte gibt, an denen Mitarbeiter mit Computern arbeiten, dann bietet es sich an in jedem Standort ein NAS-System aufzustellen. Dieses sammelt täglich die lokalen Daten, entweder (i) als Vollsicherung und Image (d.h. die komplette Installation des Betriebssystems, der Anwendungen und der Daten), (ii) als reine Datensicherung von Ordnern und Dateien, oder (iii) eine Kombination aus beiden jeweils im Wechsel mit (i) einmal per Woche und (ii) jede Nacht. Um den Standort gegen Brand abzusichern sollte eine Sicherung vom NAS-System außer Haus zum Beispiel zu einem Cloud Backup Anbieter eingerichtet werden. Diese enthält alle Daten aller Standorte und kann ebenfalls entweder als Vollbackup einmal wöchentlich oder inkrementelles Backup (mit allen nur geänderten Dateien) täglich eingerichtet werden.

Cloud Backup Anbieter vergleichen

Um aus den zuvor gefundenen Cloud Backup Anbietern den heraus zu suchen, der am besten die eigenen Anforderungen unterstützt, sollte zuvor eine Liste von Kriterien erstellt werden, die einem wichtig sind.

In mehreren Projekten haben sich die folgenden Bewertungskriterien zum Vergleich der Anbieter bewärt:

  • Standort des Unternehmens (Deutschland, Irland, England, USA)
  • Maximal nutzbare Bandbreite für die Datensicherung
  • Datensicherungs Quellsysteme (Serversysteme, Workstations)
  • Anbegotene Datensicherungsverfahren (Inkrementelle Backups, Differentielle Backups, Vollbackups)
  • Preismodell (Berechnung je gesicherte GByte, Berechnung je System)
  • Verschlüsselung der Daten (spielt keine Rolle, wenn man sich selber um die Verschlüsselung kümmert, was prinzipiell das sichere Vorgehen darstellt)
  • TOMs sind einsehbar (Technische und Organisatorische Maßnahmen)
  • Zertifizierungen (z.B. ISO27000, ISO9000)

Schutz vor fremden Zugriff

Vertrauliche Informationen müssen vor Übertragung zum Cloud Backup Anbieter verschlüsselt werden. Viele Dienstleister bieten bereits Verschlüsselung von Backups an. Dabei werden häufig jedoch Schlüssel verwendet, die beim Dienstleister erstellt werden und auch dort verbleiben. Die bessere Wahl ist eine eigene Verschlüsselung einzurichten. Der Verschlüsselungs-Schlüssel wird natürich nicht in der Cloud gespeichert. Er wird auf einem speziell geschützten Datenträger gesichert. Außerdem sind die Verschlüsselungsverfahren so zu wählen, dass eine dauerhafte Verschlüsselung für die nächsten 10 Jahre sicher bleibt. Aus heutiger Sicht bietet sich eine symmetrische AES Verschlüsselung mit 256bit Schlüssellänge an. Alternativ kann asymmetrische RSA Verschlüsselung zum Einsatz kommen. Manche Anbieter nutzen eine Kombination aus beiden Verfahren. Grundsätzlich bietet eine symmetrische Verschlüsselung mehr Geschwindigkeit und wird daher häufig zur Sicherung der Übertragungsstrecke verwendet. Asymmetrische Verfahren sind etwas langsamer und werden daher meistens zur vertraulichen Speicherung von Daten verwendet.

3 Umsetzung

Zur konkreten Einrichtung muss der Administrator das Software-Betriebsmodell berücksichtigen. Anwendungen auf Arbeits-Platzcomputern nutzen entweder lokale Installationen oder starten Anwendungen vom einem Netzlaufwerk. Daten liegen entweder lokal auf dem Arbeitsplatz oder auch zentral auf einem Netzlaufwerk. Wenn mehrere Standorte bestimmte Daten wie z.B. Benutzerkonten oder Abrechnungsdaten synchronisieren, dann sind diese ohnehin mehrfach vorhanden und eine Sicherung durch Backup ist eventuell gar nicht notwendig. Wer die 3-2-1 Backupstrategie umzusetzen möchte, der wird sich darum bemühen die „2“ (unterschiedliche Speichermedien) durch eine Sicherung zu einem Cloud Backup Anbieter zu realisieren.

Vertrauliche Daten werden eventuell bereits auf lokalen Arbeitsplatz-Computern durch Festplatten-Verschlüsselung abgesichert. In diesem Fall müssen die Daten nur vor Übertragung zum Cloud Backup Anbieter verschlüsselt werden. Gibt es keine Festplatten-Verschlüsselung dann bietet sich die Einführung von sogenannten Datentresoren an. Lösungen hierzu könnten sein: Cryptomator, Boxcryptor, Veracrypt. Der Datentresor wird am Besten in einem speziellen Verzeichnis abgelegt welches den Namen „Backup“ trägt. Damit wird dem Anwender signalisiert, dass alle Daten in diesem Verzeichnis regelmäßig gesichert werden. Der Datentresor sollte niemals zu groß werden wenn dieser zu einem Cloud Backup Anbieter „hochgeladen“ werden soll. Jede kleinste Änderung einer Daten im Datentresor erfordert den Upload des kompletten Tresors.

Mitarbeiter Zugriff auf Schlüssel und Backup definieren

Mitarbeiter die für die Datensicherung sowie die Rücksicherung (Wiederherstellung) verantwortlich sind, müssen die selben Vertraulichkeitsanforderungen erfüllen wie ein Administrator. Es sollte einen Vertreter geben der ggf. Wiederherstellungen für einzelne Arbeistplätze auch ohne den Administrator durchführen kann. Anhand der Protokolle von Backups kann der verantwortliche Mitarbeiter feststellen auf welchem Sicherungsdatenträger die letzte (möglicherweise nicht integritäts-verletzte bzw. nicht durch Crypto-Trojaner verschlüsselte) Version der betroffenen Datei liegt.

Eine Dokumentation durch regelmäßige Reports vom Backup an den Geschäftsführer ist zwingend notwendig. Diese Reports haben üblicherweise folgenden Inhalt: Datum der letzten Sicherung, Sicherungsart, Quellsystem, Sicherungsdatenträger, eingesetzte Software für die Sicherung, Parameter der Sicherung. Hiermit kann auch ein Vertreter des Administrators beauftragt werden Rücksicherungen erfolgreich durchzuführen.

4 Betrieb

Einrichten von regelmäßigen Sicherungs-Jobs

Sicherungen von lokalen Arbeitsplatz-Computern können über Nacht täglich eingerichtet werden; Synchronisationen von Netzwerk-Access-Storage (NAS) Systemen zum Cloud Backup Anbieter müssten nachgelagert entweder in der selben Häufigkeit oder einmal wöchentlich durchgeführt werden. Diese Aktivitäten müssen aufeinander abgestimmt sein und sollten mit sogenannten „Schedulern“ und Skripts automatisiert werden.

Aufbewahrung der Datenträger

Zwei unterschiedliche Angriffsvektoren sind zur Aufbewahrung zu unterscheiden. (1) Um einem Brand eines Gebäudes und damit Zerstörung von Computern und allen Datenträgern entgegen zu wirken, müssen die Datenträgerkopien an einem anderen Ort aufbewahrt werden. (2) Um einem Ausspähen vertraulicher Daten durch einen Attacker entgegen zu wirken, müssen diese Datenträger „vor“ diesem Attacker an einem zugangssicheren Ort aufbewahrt werden.

Eine Zugangs- und Zugriffskontrolle auf Datenträger mit sensiblen Daten (wie Backups) sollte eingerichtet werden, sofern die darauf befindlichen Daten im Klartext (also unverschlüsselt) abgelegt wurden. Dazu zählen Festplatten in Arbeitsplatz-Computern, im NAS als auch USB-Sticks. Der beiden Begriffe „Zugang“ und „Zugriff“ kommen aus Maßnahmen im Bereich Datenschutz, und beschreiben hier die Kontrolle über den Zugang zum Datenträger und den Zugriff auf die darauf befindlichen Daten. Mit anderen Worten sollten sensible Datenträger durch zusätzliche Maßnahmen vor Zugriff geschützt werden wie z.B. durch physikalische Maßnahmen mit Schlüssel, Codeschloss oder Smartkarte für den Zutritt zum Serverraum/Technikraum. Verschlüsselte Datenträger, die Daten nur zur Laufzeit (unter Strom) nach Eingabe eines Verschlüsselungs-Schlüssels zeigen, bieten Schutz vor Zugriff auf sensible Daten. Für diese ist eine Zugangskontrolle nicht unbedingt notwendig.

Regelmäßige Rücksicherungs-Tests

Der Administrator führt regelmäßige Rücksicherungs-Tests auf „leere“ Workstations (oder Server) durch, um den Wiederanlauf zu testen und zu üben. Diese regelmäßige Aufgabe erhöht das Vertrauen in die Backups, hilft beim Identifizieren möglicher Fehler in der Backup-Strategie und reduziert die Wiederherstellungszeit (RTO) durch Wiederholung der Aufgabe.

Regelmäßiger Schlüsseltausch (Schlüssel-Management)

Um besonders sensible Daten noch stärker vor Mißbrauch durch bekannt gewordene Schlüssel zu schützen, sollten Schlüssel regelmäßig erneuert werden. Damit dieser Schlüsseltausch funktioniert muss die Verschlüsselungslösung diese Aufgabe unterstützen. Besonders zu berücksichtigen ist dabei das mit alten Schlüsseln verschlüsselte Backups nach dem Tausch nur mit dem alten Schlüssel wiederherstellbar sind. Daher ist es notwendig ein Verfahren zur Verwaltung aller jemals verwendeten Schlüssel zu definieren.

Ein Tausch von Verschlüsselungs-Schlüsseln alle 360 Tage erscheint als sinnvoll. Alte Schüssel bleiben im Schlüsselmanager (Software zur Verwaltung von Keys in einem Schlüsselbund), neue Schlüssel werden von der Schlüsselmanager „sicher“ erzeugt. Alte Datenbestände werden zur „Umschlüsselung“ markiert sodass abschließend alte Schlüssel gelöscht werden können. Dieses Verfahren ist aufwendig, teuer und wird nur von wenigen Produkten unterstützt.

Zusammenfassung

Der Artikel beschreibt ein strukturiertes Vorgehen zum Erstellen von Backups (Datensicherungen) die insbesondere in Betrieben mit zentraler und dezentraler Softwarenutzung funktionieren. Gerade die Kombination, von lokalen Backups auf eigenen NAS-Systemen, sowie die Verbindung mit einem verschlüsselten Backup zu einem Cloud Backup Anbieter, macht das Verfahren sehr sicher. Anwendung findet die sogenannte 3-2-1 Backupstrategie. Drei Kopien existieren, davon eine auf einem Arbeitsplatz-Computer, eine weitere auf dem NAS und eine dritte bei einem Cloud Backup Anbieter. Zwei unterschiedliche Speichertechnologien sind im Einsatz, nämlich Festplatten und Cloud-Speicher. Eine Kopie liegt außer Haus beim Cloud Backup Anbieter.
Darüber hinaus folgt dieser Ansatz Industry Best Practice, den Vorgaben des Bundesamtes für Sicherheit (BSI) sowie dem Amerikanischen Institute für Standards und Technologie (NIST).

Referenzen und weiteres Lesematerial:

BSI Grundschutzbaustein Backupstrategie

NIST Contingency Planning