Bewertung der Sicherheitsrisiken von Unternehmensspeichern & Backup-Systemen

Der Forschungsbericht 2023 enthält eine Analyse der IT-Sicherheitsrisiken in Unternehmen. Dazu wurden anonymisierte Daten aus einer großen Anzahl von Risikobewertungen für Speicher- und Backup-Systeme im Jahr 2022 zusammengetragen, um einen einzigartigen Einblick in den Stand der Speicher- und Backup-Sicherheit zu geben. Die automatisierte Risikoerkennung von Continuity - dem Auftraggeber dieser Studie - sucht nach Tausenden von möglichen Fehlkonfigurationen und Schwachstellen auf der Ebene von Speicher- und Backup-Systemen, die eine Sicherheitsbedrohung für die Daten von Unternehmen darstellen.

Bei der Erstellung dieses Berichts wurden Tausende von einzelnen Sicherheitsfehlkonfigurationen überprüft, wodurch wiederkehrende Muster und wichtige Sicherheitsüberlegungen aufgedeckt werden konnten, die viele Unternehmen bei der Verwaltung von Speicher- und Backup-Systemen nicht richtig berücksichtigen. Zu den wichtigsten Erkenntnissen zählen:


Als 5 häufigste Risiken wurden genannt:

  1. Unsichere Netzwerkeinstellungen
  2. Nicht behobene CVEs
  3. Probleme mit Zugriffsrechten (Überbelastung)
  4. Unsichere Benutzerverwaltung und Authentifizierung
  5. Unzureichende Protokollierung und Prüfung

Zu den anderen, weniger häufig auftretenden, aber hochprioritären Risiken die herausgearbeitet wurden, gehören Schwachstellen in der Verwaltung der Software-Lieferkette, falsche Konfiguration oder Nichtnutzung von Anti-Ransomware-Funktionen sowie undokumentierte und unsichere APIs/CLIs.

Zu den Faktoren, die zu den Risiken, mit denen Unternehmen konfrontiert sind, beitragen, gehören laut Continuity die Cyber-Implikationen des Russland-Ukraine-Konflikts, Herausforderungen bei der Einhaltung von Compliance- und Versicherungsbestimmungen sowie Unstimmigkeiten zwischen IT-Infrastruktur und Sicherheitsteams.

Sicherheitsrisiken in Unternehmen

Ein Speicher- und Sicherungsgerät in Unternehmen weist im Durchschnitt 14 Sicherheitsrisiken auf, von denen 3 als hoch oder kritisch eingestuft wurden (d.h. sie könnten bei einem Angriff eine erhebliche Gefahr darstellen). Während dieses Ergebnis denen der Vorjahre ähnelt, veränderte sich jedoch die Art der festgestellten Probleme.

Ähnlich wie im Vorjahr, lässt sich auch 2022 eine schwache Korrelation zwischen dem geografischen Standort und der Sicherheitsreife von Speicher- und Datensicherungssystemen feststellen. Dies bedeutet, dass die Häufigkeit und der Schweregrad von Problemen in allen Umgebungen unabhängig von ihrem geografischen Standort ähnlich waren. Auch konnte keine signifikante Korrelation zwischen der Sicherheitsrelevanz und dem Industriesegment feststellen.

Obwohl es eine allgemeine Annahme ist, dass bestimmte Branchen - wie z.B. der Finanzdienstleistungssektor - zu ausgereifteren Sicherheitsstrategien neigen, zeigt sich, dass der gesamte Sektor der Speicher- und Backup-Sicherheit in allen Branchen noch immer vernachlässigt wird. Angesichts der Schwere der auf Daten abzielenden Angriffe der letzten Jahre und der Zeit, die die Branche hatte, um robustere Sicherheitsmaßnahmen zu entwickeln, ist dies sehr überraschend.

Beobachtungen der Studie zu ...

... Backup- und Datensicherheitssystemen
Es konnte kein signifikanter Unterschied in der Anzahl von Sicherheitsfehlkonfigurationen oder ungelösten CVEs in Backup-Umgebungen im Vergleich zu Speichersystemen festgestellt werden - beide leiden gleichermaßen unter mangelnder Absicherung.

In den vergangenen zwei Jahren waren Online-Backups häufig das Ziel von Ransomware-Angriffen. Dies führte dazu, dass Daten gelöscht oder anderweitig unbrauchbar gemacht wurden, um die Wiederherstellung der nun verschlüsselten Primärdaten zu verhindern. Es ist deshalb zwingend zu empfehlen, eine unveränderliche (immutable), vorzugsweise Offline-Kopie von Backups zu erstellen und diese regelmäßig zu testen, um ihre Funktionsfähigkeit sicherzustellen.

... Ransomware
Ungepatchte Schwachstellen sind die Hauptangriffspunkte für die meisten Ransomware-Programme. Ein aktuelles Beispiel ist die Ransomware-Variante ESXiArgs, die eine zwei Jahre alte CVE in ungepatchten VMware-Clustern ausnutzt. Dieses Defizit bei der einfachen CVE-Behebung kann jede andere auf Ransomware ausgerichtete Verteidigung aushebeln.

... Immutability
Die Zahl der Speicher- und Backup-Umgebungen mit immutable Datenkopie-Technologie nimmt zu. Dies ist eine wichtige Funktion, die jedoch zu einem falschen Sicherheitsgefühl führen kann, wenn sie nicht ordnungsgemäß implementiert wird. Leider wurde eine beträchtliche Anzahl von Fehlkonfigurationen im Hinblick auf diese Eigenschaften festgestellt.


Bei falscher Konfiguration ist es möglich, vermeintlich unveränderliche Daten zu löschen (z.B. durch Manipulation der Zeit-/Datumseinstellungen auf dem Speichergerät, um die Mechanismen zur Durchsetzung der Aufbewahrung zu umgehen).

Die Vorteile für Immutable Storage überwiegen jedoch um Längen. Hier sind 3 wichtige Gründe, warum Immutable Storage verwendet werden sollte:

  1. Wiederherstellung von Dateien, ohne die Sorge, sie wieder zu verlieren

Die Erstellung unveränderlicher Backups bedeutet, dass Dateien jederzeit wiederhergestellt werden können und sich keine Sorgen darüber gemacht werden müssen, ob die Sicherungssoftware ordnungsgemäß funktioniert, weil die Datei beim Versuch, sie wiederherzustellen, beschädigt oder verschlüsselt sein könnte.

  1. Bessere Test- und Entwicklungsumgebungen

Wenn ein Datenvolumen kopiert werden soll, um es zu Testzwecken oder als zusätzliche Entwicklungsumgebung zu nutzen, sorgt Immutable Storage dafür, dass das Volumen einfach genommen und an das System angeschlossen werden kann. Auf diese Weise erübrigt sich eine besondere Vorbereitung, z.B. die Verwendung mehrerer Volumes auf einem Rechner, da unveränderliche Sicherungskopien nach der Erstellung nicht mehr geändert werden können.

  1. Kontinuierlicher Schutz vor Ransomware-Angriffen

Immutable Backups sind die beste Option für einen kontinuierlichen Schutz vor Ransomware-Angriffen. Wie bereits erwähnt, können sie nicht verschlüsselt oder auf andere Weise verändert werden. Somit bleibt der Zugriff auf alle Versionen der Daten bestehen, und es kann eine saubere Version des Systems installiert werden, um den letzten Stand des Systems wiederherzustellen. Viele der modernen Backup-Lösungen, die die Unveränderbarkeit nutzen, legen diese Backups in einem Container (z.B. Kubernetes-Container) ab oder verwenden Air-Gapping, um sicherzustellen, dass Ransomware diese Backups nicht finden oder darauf zugreifen kann, um zu versuchen, sie zu verschlüsseln.

Mehr zum Thema Immutable Storage und wie Sie Ihre Backups schützen können finden Sie in unserem White Paper.

Umgang mit Sicherheitsrisiken bei Speicher- und Backup-Geräten

  1. Unsichere Netzwerkeinstellungen
    Unsichere Netzwerkeinstellungen können von Cyberkriminellen ausgenutzt werden, um Konfigurationsinformationen und gespeicherte Daten abzurufen und zu manipulieren. Um den Risiken unsicherer Netzwerkeinstellungen zu begegnen, ist es ratsam Wissenslücken über Konzepte, Risiken und Best Practices für die Sicherheit von Speicher- und Backup-Netzwerken zu schließen, interne Anforderungen zu definieren, um Branchenempfehlungen anzupassen, Lücken zwischen Anforderungen und tatsächlichen Einstellungen zu identifizieren und zu beheben sowie effektive, fortlaufende Prozesse zu entwickeln, um die Sicherheitslage von Speicher- und Backup-Systemen kontinuierlich zu bewerten.
  2. Unbekannte und nicht behobene Schwachstellen
    Zu den Geschäftsrisiken unbehandelter CVEs gehört die Gefahr, Dateien zu exfiltrieren, Denial-of-Service (DoS)-Angriffe zu initiieren und sogar das Eigentum an Dateien und blockierten Geräten zu übernehmen. Unternehmen sollten darum die proaktive CVE-Identifizierung mit speicherspezifischen Tools verbessern, um Speicher- und Backup-Umgebungen auf CVEs zu scannen, und die Zeit für die Behebung wichtiger Schwachstellen zu verkürzen, indem CVEs mit kritischen und hohen CVSS-Scores so schnell wie möglich identifiziert und gepatcht werden.
  3. Probleme mit Zugriffsrechten (Überbelastung)
    Probleme mit Zugriffsrechten gefährden Unternehmen durch die Preisgabe und den Verlust von Daten und deren Kopien. In einigen Fällen kann dies zu einer Kompromittierung der Betriebssysteme der Hosts führen, die den Speicher nutzen. Unternehmen sollten geeignete Zugriffsmodelle mit den geringsten Rechten für den Datenzugriff sowie Verwaltungs- und Kontrollebenen implementieren und die Schwachstellen regelmäßig überprüfen und korrigieren.
  4. Unsichere Benutzerverwaltung und Authentifizierung
    Eine falsche und unsichere Konfiguration kann es Cyberkriminellen ermöglichen, die volle Kontrolle über Speicher- und Sicherungssysteme zu erlangen und die Daten - und deren Kopien - zu exfiltrieren und zu zerstören. Zu den Abhilfemaßnahmen gehören das Sperren und Umbenennen oder Löschen der werkseitig voreingestellten Benutzer (sofern möglich), das Eliminieren der Verwendung lokaler Benutzerkonten, die Trennung von Verantwortlichkeiten und Zugriffsrollen für primäre und sekundäre Datenkopien sowie die Aktivierung der Multi-Faktor-Authentifizierung (MFA).
  5. Unzureichende Protokollierung und Prüfung
    Eine unsachgemäße Protokollierung/Auditierung kann Cyberkriminellen dabei helfen, bösartige Aktivitäten zu verschleiern. Außerdem beeinträchtigt sie die Fähigkeit zentraler Sicherheitstools, Anomalien zu erkennen. Um diese Risiken zu minimieren, sollten Unternehmen in externen Repositories aufzeichnen, redundante Protokollierungsziele für jedes Gerät konfigurieren, eine externe Zeitmessung mit mindestens zwei NTP-Quellen einrichten und mindestens eine granulare Protokollierung sicherstellen, die alle Authentifizierungsfehler, Ereignisse der Verwaltungs-/Sicherheitskonfiguration und Speicherzugriffsereignisse für kritische oder sensible Daten protokolliert.

Fazit

Der Zustand der Speicher- und Backup-Sicherheit in Unternehmen liegt deutlich abgeschlagen hinter dem der Rechen- und Netzwerksicherheit zurück. Dies ist eine erhebliche Lücke, die so schnell wie möglich geschlossen werden sollte. Angesichts der immer raffinierteren datenzentrierten Angriffe und der strengeren Vorschriften könnten die geschäftlichen Auswirkungen einer unwirksamen Lösung rasant ansteigen.

Positiv zu vermerken ist, dass das Bewusstsein für Speicher- und Backup-Sicherheit in der Branche wächst und neue Ressourcen und Anleitungen zur Verfügung stehen, welche Unternehmen beim Aufbau eines effektiven Programms zur Behebung der Lücke unterstützen können.

Es wird empfohlen, die bestehenden internen Sicherheitsprozesse zu überprüfen, um festzustellen, ob sie die Speicher- und Backup-Infrastruktur in ausreichendem Maße abdecken. Einige der Fragen, die zur Klärung des Entwicklungsstands der Speichersicherheitsplanung beitragen können, sind:

  • Werden spezifische Risiken in den Bereichen Speicherung, Speichernetzwerke und Datensicherung durch Sicherheitsrichtlinien abgedeckt?
  • Wird die Sicherheit der Speicher- und Backup-Infrastruktur laufend bewertet?
  • Sind detaillierte Pläne und Verfahren für die Wiederherstellung nach einem erfolgreichen Angriff auf ein Speicher- oder Backup-System verfügbar? Werden diese Verfahren auch regelmäßig getestet?
  • Wie zuversichtlich ist das Unternehmen, dass die in diesem Bericht hervorgehobenen Schlüsselerkenntnisse und ähnliche in unserer Umgebung nicht vorkommen und auch nicht vorkommen können?

Empfehlungen zum Umgang mit Sicherheitsrisiken

Bei Bedarf könnten Anbieter konsultiert oder eingeladen werden, sich an einer solchen Bewertung zu beteiligen. Auf der Grundlage der Ergebnisse wird empfohlen:

  • Ermitteln Sie, ob Wissenslücken in Bezug auf die Speicher- und Backup-Sicherheit bestehen, und erstellen Sie einen Plan, um diese zu beheben.
  • Verbessern Sie das Sicherheits-Programm, um festgestellte Lücken zu schließen.
  • Gehen Sie Risiken proaktiv an, indem Sie eine automatisierte Lösung verwenden, die die Sicherheitslage Ihrer Speicher- und Backup-Systeme kontinuierlich überprüft.

Über die Studie

Continuity, der Auftraggeber der Studie, ist ein amerikanisches Software-Unternehmen, das Speicher- und Backup-Systeme auf Sicherheitsschwachstellen und Fehlkonfigurationen überprüft. Die Ergebnisse des Berichts basieren auf der Bewertung von 245 Umgebungen mit 8.589 Speicher- und Backup-Geräten von führenden Anbietern wie Dell, NetApp, Veritas und Hitachi Vantara.

Die meisten der untersuchten Organisationen stammen aus dem Bankensektor, aber auch Unternehmen aus dem Gesundheitswesen, der Telekommunikation und dem IT-Dienstleistungssektor wurden bewertet. Angesichts der zunehmenden Abhängigkeit der Unternehmen von Datensicherungen als Teil von Ransomware-Wiederherstellungsplänen sind die Ergebnisse von Continuity hinsichtlich der Verbreitung von Schwachstellen bei Speicher- und Backup-Geräten von Bedeutung.

Wie Sie Backups einfach und effektiv vor Ransomware schützen erfahren Sie in unserem White Paper, das Sie hier downloaden können. Wie Sie die Komplexität im Bereich Datensicherung entscheidend minimieren können, lesen Sie in unserem White Paper.

Quellen:
The State of Storage & Backup Security Report. (Continuity, 2023)
https://www.continuitysoftware.com
https://www.csoonline.com/article/3691529/average-enterprise-storage-backup-device-has-14-vulnerabilities-three-high-or-critical-risks.html