Tape Backup

Bandsicherung beißt Ransomware

27.09.2021
Von 
W. Curtis Preston ist Experte in Sachen Backup, Storage und Recovery und schreibt unter anderem für unsere US-Schwesterpublikation Network World.
Tapes sind weit davon entfernt, die perfekte Backup-Lösung zu sein. Gegen Ransomware helfen Backups auf Datenbändern allerdings ziemlich gut. Lesen Sie, warum.
Tapes gegen Erpressungstrojaner: Lesen Sie, warum Bandsicherungen ein gutes Mittel zum Schutz gegen Ransomware darstellen.
Tapes gegen Erpressungstrojaner: Lesen Sie, warum Bandsicherungen ein gutes Mittel zum Schutz gegen Ransomware darstellen.
Foto: Mikhail Starodubov - shutterstock.com

Für die primäre Datenwiederherstellung sind Datenbänder definitiv nicht die beste Wahl. Die Cloud vereint darüber hinaus als Recovery Tool weit mehr Vorteile auf sich als ein Tape. Dennoch weisen Bänder Eigenschaften auf, die sie zu einer ernsthaften Option für die System- und Datenwiederherstellung nach Ransomware-Angriffen machen - und zwar ohne das Lösegeld zu bezahlen.

Ransomware Recovery: Tape statt Cloud?

Die Fragestellung, ob es eine gute Idee ist, die Cloud als Recovery Tool nach Ransomware-Angriffen zu nutzen, spaltet die Experten. Eine Entscheidung für die Cloud birgt viele positive Aspekte, darunter Kosten, Geschwindigkeit und sofortige Verfügbarkeit - große Vorteile, wenn es darum geht, auf eine Ransomware-Attacke zu reagieren.

Vielleicht sind Sie aber in eiutz ner Branche tätig, in der es mit dem Vertrauen der Cloud gegenüber nicht weit her ist. Etliche Unternehmen und vor allem einige Regierungsinstitutionen geben nur ungern die physische Kontrolle über ihre Daten ab. Sie wollen eine Kopie in ihren Händen halten, die sowohl elektronisch als auch physisch verwaltet werden kann und die Daten idealerweise in einem Safe aufbewahren. Im Gegensatz dazu ist die Cloud unsichtbar - und wird deswegen als unsicher betrachtet. Andere Unternehmen haben hingegen kein Problem damit, die Cloud für einige Anwendungen zu nutzen. Geht es um Datenschutz, dann lieber nicht.

"If it´s on a disk it´s at risk" - lautete vor Jahren der Werbeslogan eines Tape-Herstellers. Eventuell war das nur die Reaktion auf die Kampagne eines Festplattenherstellers, der die Kunden mit dem Satz "Tape sucks, move on" von seinen Produkten überzeugen wollte. Mit der risikobehafteten Festplatte ist man allerdings nicht so weit von der Wahrheit entfernt: Befinden sich Ihre Backups auf einem Laufwerk im Rechenzentrum, das als Dateisystem über das Betriebssystem des Backup-Servers zugänglich ist, können diese potenziell ebenfalls von Erpressungstrojanern verschlüsselt werden. Selbst unveränderliche Dateisysteme können überschrieben werden, etwa wenn ein Hacker Privilege-Escalation-Techniken nutzt, um einen Status als Root oder Admin zu erlangen. Der angestaubte Werbeslogan trifft es also.

Backup: "Air Gap" nur mit Bandsicherung

Viele Backup-Anbieter bewerben ihre Produkte mit einer "Air Gap" zwischen den gesicherten Daten und den Sicherungsdaten. Fakt ist aber, dass sämtliche Anbieter, die Festplatten als Speichermedium verwenden, bestenfalls von einem elektronischen oder virtuellen "Gap" sprechen können: Da sich alles immer noch irgendwo auf der Festplatte befindet (selbst wenn dieser Ort die Cloud ist), besteht das Risiko, dass die Sicherungskopie beim Angriff mit Ransomware Schaden nimmt.

Zur Wahrheit gehört aber auch, dass sich dieses Risiko praktisch auf Null reduzieren lässt, wenn ein ausreichender Abstand zwischen der Primärkopie und der Kopie auf der Sicherungsplatte eingehalten wird. Das erreichen Sie, indem Sie so viele Dinge wie möglich zwischen den beiden Kopien ändern: Verwenden Sie nicht dasselbe Betriebs-, Storage- und Authentifizierungs-System oder dasselbe LAN. Darüber hinaus sollten Sie aktuelle Security Best Practices zum Einsatz bringen, wenn es darum geht, ihre Backups zu schützen.

Ein Tape bietet hingegen eine echte physische "Lücke" zwischen dem geschützten System und der Sicherungskopie der Daten. Es muss nicht eingeschaltet oder an ein Sicherungssystem angeschlossen werden und das Beste an Bändern ist: Sie können in einem Tresorraum aufbewahrt werden, der sich nicht in der Nähe elektronischer Geräte befindet. Statt sich um die elektronische Sicherheit zu sorgen, müssen Sie sich hier nur noch um die physische Security kümmern. Das ist auch wesentlich einfacher zu handhaben, als Sie es vielleicht aus "Ocean's 11"-Blockbustern kennen: Bänder, die auf einem Regal in einem gesicherten Raum stehen, sind gegen Ransomware immun.

Eventuell haben Sie gehört, dass Tapes langsam und unzuverlässig sind - beides entspricht nicht der Wahrheit. Solange Sie sich mit den Einschränkungen von Datenbändern auseinandersetzen, können diese ein effektiver Bestandteil Ihrer Ransomware-Recovery-Strategie sein. Tapes weisen eine ausgezeichnete unkorrigierte Bitfehlerrate (UBER) und Koerzitivfeldstärke auf. UBER misst, wie oft Ihr magnetisches Gerät eine "Eins" schreibt, obwohl es eine "Null" schreiben sollte. Die Koerzitivfeldstärke gibt an, wie wahrscheinlich es ist, dass ein Bit seine Polarität im Lauf der Zeit umkehrt - auch bekannt als "Bit Rot".

Tape-Strategien: Ransomware-Schutz

Wenn Sie Tape Backups in Ihre Ransomware-Strategie integrieren wollen, sollten Sie Ihre Sicherungen nicht direkt auf Band übertragen. Tape-Laufwerke schreiben Daten mit einer bestimmten Geschwindigkeit. Ist die Übertragungsrate bei eingehenden Daten langsamer als die Schreibgeschwindigkeit des Laufwerks, muss dieses anhalten, sich neu positionieren und neu starten - immer und immer wieder. Tapes sind also im Grunde genommen nicht mit inkrementellen Sicherungen kompatibel, die meisten Backups sind jedoch inkrementell.

Eine Möglichkeit, dieses Problem zu umgehen, ist, die Sicherungen zuerst auf eine Festplatte zu übertragen. Weil Festplatten "Random Access Devices" sind, können sie Daten so schreiben, wie sie eingehen, ohne dabei Leistungseinbußen hinnehmen zu müssen. Ist eine größere Anzahl von Backups vorhanden, können diese mit hoher Geschwindigkeit von der Festplatte auf das Band kopiert werden, die Diskrepanz zwischen Sicherung und Band ist überwunden.

Achten sollten Sie außerdem darauf, nicht unbedingt das neueste und beste Bandlaufwerk zu kaufen. Die Chancen stehen gut dafür, dass die Produkte in der Praxis nicht die angegebenen Geschwindigkeiten liefern. Auf ältere und langsamere Tape-Laufwerke auszuweichen, erleichtert Ihnen das Leben und der Wiederherstellungsprozess wird darunter kaum leiden, weil die Durchsatzgeschwindigkeit bei einer umfangreichen Wiederherstellung selten das Problem ist.

Um Backups vor Ransomware zu schützen, empfehlen sich einige Maßnahmen abseits von Tape Backups. Unter dem Strich macht es aber Sinn, Bandlaufwerke in der Ransomware-Diskussion nicht unter den Tisch fallen zu lassen. Wenn Sie bereit sind, deren Unzulänglichkeiten zu akzeptieren, können Tapes eine brauchbare Backup-Lösung darstellen. Eine weitere Überlegung, die Sie anstellen sollten: Eventuell ist es von Vorteil, Tape Backups nicht selbst zu verwahren, sondern dafür externe Profis heranzuziehen. (fm)

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation Network World.