World Backup Day – Schlechte Sicherheitspraktiken …

… können alles ruinieren.

Es gibt ein weit verbreitetes Verständnis dafür, dass viele Unternehmen nach einem katastrophalen Datenverlust scheitern. Obwohl sich nicht alle über die Zahlen einig sind, sind wir uns einig, dass Datenverlust vermieden werden sollte.

Schlechte Security-Praktiken

Die meisten Unternehmen wissen, dass ihre Daten wichtig sind und sie schützen sie, indem sie Daten-Backups durchführen und den Zugriff über Netzwerkzugangsdaten einschränken. Darüber hinaus sehen viele Unternehmen IT-Security nur als Mittel zur Einhaltung der regulatorischen Compliance oder um Datenlecks zu verhindern. Leider fehlt das Verständnis dafür, wie Infrastruktur-Security Unternehmen vor Datenverlust schützt.  Zum Beispiel

Ransomware: Alle denken bei diesem Thema an Erpressung. Der Angreifer verschlüsselt die Daten des Opfers und weigert sich, sie zu entschlüsseln, bis das Opfer Lösegeld bezahlt. Auch wenn das Opfer Lösegeld zahlt, einen kostenlosen Entschlüssler findet oder sie aus einem Backup wiederherstellt, besteht die Möglichkeit, dass einige Daten für immer verloren sind.  Es kann vorkommen, dass der Angreifer nicht alles entschlüsselt, dass einige Daten bei dem Vorgang zerstört werden oder dass die Backups unvollständig sind.

Malware: Es gibt mehr Arten von Malware, als man zählen kann. Konzentrieren wir uns also einfach auf fortschrittliche, hartnäckige Bedrohungen (APT). Wenn diese Angriffe erfolgreich sind, können Kriminelle ein Unternehmen über einen langen Zeitraum hinweg ausspionieren. Der Angreifer kann auf diese Weise die Daten finden, die für den Betrieb am wichtigsten sind. Sobald er diese gefunden hat, kann er die Daten für sich kopieren und die Originalkopien im Netzwerk vernichten.

[clickToTweet tweet="For true data protection, deploy multiple layers of security. #backup @worldbackupday #infosec" quote="For true data protection, deploy multiple layers of security."]

Mobile (Nicht-)Security: Mobile Geräte und Wearables sind im Netzwerk allgegenwärtig und zwingen IT-Abteilungen dazu, nachträglich Standards und Unterstützungssysteme einzuführen. Einige Netzwerke sind immer noch nicht vollständig sicher und Mitarbeitende widersetzen sich weiterhin allen Bemühungen, die Unternehmens-Security auf ihre persönlichen Geräte anzuwenden. Dies macht mobile Geräte zu einer einfachen Möglichkeit für einen Angreifer, über das mobile Gerät in ein Netzwerk einzudringen.

Social Engineering: Etwas abweichend von unserem Fokus auf die Technologie sollten Sie auch die Security-Bedrohungen berücksichtigen, die von einem Mitarbeiter ausgehen, der nicht oder nur unzureichend über die Gefahren informiert ist, die in den Posteingang gelangen können. Zum Beispiel machte Barbara Corcoran von Shark Tank 2020 Schlagzeilen, als sie enthüllte, dass sie fast 400.000 USD verloren hatte, nachdem ihr Buchhalter einem Phishing-Betrug zum Opfer gefallen war und eine gefälschte Rechnung für Immobilienrenovierungen bezahlt hatte. Ein weiteres aktuelles Beispiel für einen Social-Engineering-Angriff wurde im November bekannt, als ein Angreifer einen Mitarbeiter des Robinhood-Supports anrief und ihn dazu brachte, eine Fernzugriff-Software auf seinem Computer zu installieren, wodurch letztlich die Daten von Millionen von Kunden preisgegeben wurden. Nachdem der Angriff eingedämmt war, forderte der Angreifer eine Lösegeldzahlung als Gegenleistung dafür, dass er die gestohlenen Daten nicht verkauft.  Watering Holes: Nicht jede Malware wird per E-Mail zugestellt. Ein Watering Hole ist eine legitime Website, die von Angreifern kompromittiert wurde, die es auf die Zielgruppe der Website abgesehen haben. Wenn ein Angreifer beispielsweise das Unternehmen ABC infiltrieren möchte, würde er eine Website infizieren, die von den Mitarbeitenden von ABC regelmäßig aufgerufen wird. Dabei kann es sich um eine Website eines HR-Drittanbieters handeln oder um die Speisekarte eines nahegelegenen Restaurants, in das viele der Mitarbeitenden zum Mittagessen gehen. Der Code könnte Besucher auf eine Phishing-Website umleiten oder einen Drive-by-Download einleiten.

Dies sind nur einige Beispiele dafür, wie ein Security-Verstoß zu Datenverlust führen kann. Gute Backups zu haben ist ein entscheidender Schritt in Data Protection, aber es ist nur ein Schritt von vielen. Bei den meisten Unternehmen gibt es keine Garantie, dass alle Daten aus dem Backup wiederhergestellt werden können:

• Das Unternehmen kann alle Daten verlieren, die zwischen dem Datenverlust und dem letzten Backup generiert wurden.


• SaaS-Anwendungen und -Daten werden bei Datenbackup- und Notfallwiederherstellung-Plänen oft übersehen.


• Möglicherweise ist das Format der wiederhergestellten Daten nicht kompatibel mit der neuesten oder einzigen verfügbaren Version einer Anwendung, die neu installiert werden muss.


• Einige Daten fehlen einfach in der Backup-Konfiguration, oder die Datenbanken sind nicht ordnungsgemäß für das Backup konfiguriert.

Und wenn Sie im besten Fall alle Ihre Daten wiederherstellen können, sind Sie dann während der Zeit weiterhin betriebsbereit, die für die Neuinstallation der Betriebssysteme und Anwendungen benötigt wird?

World Backup Day

Der 31. März ist der World Backup Day und damit ein guter Zeitpunkt, um alle daran zu erinnern, über gute Data Protection nachzudenken. Weitere Informationen erhalten Sie hier auf der Website des World Backup Day.

BARRACUDA

Barracuda bietet leistungsstarke, effektive und erschwingliche Lösungen für Security und Data Protection. Weitere Informationen finden Sie hier auf unserer Unternehmenswebsitehttps://www.barracuda.com/




Hinweis:  Es gibt keinen Zusammenhang zwischen dem World Backup Day und Barracuda oder Barracuda Backup-Lösungen.