Was meine ich mit „Hardening“? Und warum ist das überhaupt sinnvoll?
Ziel von Backups ist es, Daten wiederherszustellen und im weiten Sinne auch Handlungs- und Überlebensfähigkeiten von Unternehmen im K-Fall aufrecht zu erhalten oder diese zumindest zu ermöglichen.
Moderne Angriffsszenarien sehen vor, zuerst die DR-Maßnahmen und Komponenten außer Kraft zu setzen und dann in in umgekehrter Priorität (von unwichtigen zu wichtigen Systemen) vorzugehen. Dies machen die Angreifer um sicher sein zu können, dass sie lange unentdeckt bleiben und ab dem Zeitpunkt, ab dem der Angriff erkannt wird, keine Wiederherstellungen o.ä. mehr durchführen zu können.
Ziel der DR-Infrastruktur sollte es demnach sein, so weit wie möglich von der produktiven Infrastruktur getrennt zu laufen. Auf Ebene von Netzwerken kann dies folgendermaßen umgesetzt werden:
- physikalische und / oder logische Trennung der DR-Komponenten, z.B. durch VLANs
- Gewährleistung von permanenten Zugriffen durch statische DNS-Namen und statische IP-Adressen
- keine Integration in Active Directory oder vergleichbare, zusammenhängende Verzeichnisdienste
- Sicherstellung des Zugriffes auch im K-Fall (z.B. durch statische Glassbreak-Firewallregeln für ein oder zwei bestimmte IP-Adressen)
- Nutzung von Firewall-Regeln (externe Firewalls aber auch Windows-Firewalls)
Sofern dies umgesetzt ist, setzt man im Beispiel von Veeam oft und überwiegend auf Windows-Betriebssysteme, auf denen Veeam und dessen Komponenten betrieben wird. Ein aktuelles und supportetes Betriebssystem sollte die Grundvoraussetzung sein, jedoch kann man mit Bordmitteln ohne die Entstehung von zusätzlichen Lizenzkosten o.ä. eine Härtung durchführen. Dies kann folgendermaßen aussehen:
- Deaktivieren des Internetzugriffes
- Nutzung komplexer Kennwörter mit Groß- und Kleinschreibung, Zahlen und Zeichen (mind. 20 Stellen)
- Nutzung dedizierter Service Accounts für Veeam- und SQL-Dienste (Vermeidung von „Local System“-Kontext)
- Nutzung personifizierter Accounts für Veeam
- Anpassung der lokalen Sicherheitsrichtilinie (Service Account dürfen keine RDP-Anmeldung durchführen, Administratoren dürfen keine Dienste ausführen)
- Deaktivierung von RDP
- Abbildung der RBAC innerhalb von Veeam für Windows
- Erstellung eines Glassbreak-Accounts
Von der rechtlich / organisatorischen Seite freuen sich Wirtschaftsprüfer und IT-Sicherheitsbeauftragte immer wieder über sauber dokumentierte DR- und Backup-Konzepte. Oft empfiehlt es sich hierbei, ein klassisches Notfallhandbuch zu erstellen, gleichzeitig aber parallel eine technische Dokumentation anzufertigen, sodass die gehärtete und komplexer aufgebaute Umgebung schneller gewartet und getroubleshooted werden kann, falls dies erforderlich ist.
Als abschließender Gedankenstoß zum Thema Meldewege im Rahmen von Notfallhandbüchern:
Oft antworten mir Kunden auf meine Frage, was genau im Beispiel des Verdachts einer Ransomware-Attacke zu tun ist, mit „ich stelle mit Veeam ein Backup wieder her“. In der Praxis sind diese Kunden dann leider recht schnell überfordert, weil man sich dann doch davor scheut, direkt nach Bekanntwerden eines Angriffes ein Backup zu laden.
Das ist auch absolut korrekt! Der erste Schritt ist in der Regel eine Meldung an einen IT-Support oder von dort aus an eine Führungskraft. Erst dann greifen „dokumentierte“ Meldewege und -ketten denn gerade aus rechtlicher Sicht ist es oft erforderlich, die infizierten Basis-Systeme eben nicht direkt wiederherzustellen bzw. zu überschreiben, sondern diese für eine mögliche Beweissicherung zu verwahren.