Backup. Backup?!

Wenn Sie jetzt denken, „Was kommt der Mensch denn 2016 noch mit Backups daher? Das haben wir doch längst gelöst und gut im Griff!“, dann umso besser – Zeit zum Weiterlesen sparen, frohe Weihnachten und einen guten Start in ein sicheres Jahr 2017!

Doch noch hier? Also ich hab ja auch geglaubt, das Thema wäre durch – nur haben mich dieses Jahr gleich mehrere Dinge nachdenklich werden lassen, ob das wirklich (noch) stimmt. Das fing an mit einem Gespräch auf der CeBIT, in dem man mir glaubhaft versichert hat, es gäbe Fälle von Ransomware, bei denen Firmen lieber das Lösegeld bezahlt haben als auf ihr Backup von der Konzern-IT zurückzugreifen, weil Letzteres sie teurer gekommen wäre.

In einer anderen Geschichte, von der ich hörte, mussten Mitarbeiter eines KMU nach einem Ransomwarebefall erstaunt feststellen, dass es zwar ein funktionierendes Backup gab, dieses aber mittlerweile so lange braucht, dass es nicht mehr täglich, sondern nur noch zweimal die Woche läuft – fast schon unnötig zu betonen, dass aufgrund von Murphy’s Law dann zur völligen Unzeit die Arbeit zweier Tage noch einmal gemacht werden musste.

Ausnahmen, Einzelfälle, dummes Pech? Möglich. Allerdings liefern auch ein paar Zahlen in der <kes>/Microsoft-Studie (s. S. 22) Anlass zum Grübeln: So haben in der großen Tabelle der Sicherheits-Maßnahmen nur gut drei Viertel der Befragten in der Zeile „Datensicherung (Backup)“ an mindestens einer Stelle „realisiert“ angekreuzt – bei 13 % sind Backups sogar ausdrücklich weder bei Servern noch bei Clients noch bei mobilen Endgeräten vorgesehen. Nun ist es durchaus denkbar, dass hier schlicht die Frage nach der konkreten Begrifflichkeit versagt, weil womöglich RAIDs, Synchronisation mit NAS/SAN oder andere Maßnahmen das Backup ersetzen – schließlich sprechen wir von Organisationen, die eine Menge für die Sicherheit tun.

Aber: Auch bei den Angaben der Studienteilnehmer zu tatsächlichen Problemen mit (zumindest zeitweise) unverfügbaren oder verlorenen Daten stand offenbar fast einem Drittel der davon Betroffenen kein umfängliches und aktuelles Backup zur Verfügung. Denn 6 von 64 äußerten, dass man nicht alle Daten wiederherstellen konnte – und bei weiteren 15 war das zumindest nicht durch die Rekonstruktion aus einem Backup möglich.

All das sind keine statistischen Beweise dafür, dass bei einem substanziellen Anteil von Unternehmen und Behörden das Thema Backup wieder auf die Tagesordnung gehört. Aber es könnte vielleicht ein guter Anreiz sein, das im eigenen Hause einmal zu hinterfragen, bevor sich der Status quo in einem Incident beweisen muss.