Page 1

Revisionssichere Archivierung kontra Ransomware Dr. Ulrich Kampffmeyer

Hamburg, Juli 2017


Revisionssichere Archivierung kontra Ransomware Revisionssichere Archivierung kontra Ransomware Dr. Ulrich Kampffmeyer, Geschäftsführer der PROJECT CONSULT Unternehmensberatung, Hamburg, Der aktuelle Ransomware-Angriff WannaCry legt weltweit Zehntausende Rechner lahm. Die Gründe sind vielfältig: nicht beseitigte Fehler bei Microsoft, Ausnutzung durch Geheimdienste, geleakte NSA-Angriffswerkzeuge, professionelle Cyber-Kriminelle auf der einen Seite, veraltete Betriebssysteme, nicht eingespielte Sicherheits-Patches, fehlende Viren- und Malwareabwehr, mangelnde Ausbildung und Aufmerksamkeit der Anwender, unzureichende Datensicherheit und nicht ausreichende Datensicherung bei den Anwenderunternehmen. Wir wollen uns nicht an der - teilweise bereits wieder hysterischen - Diskussion beteiligen, sondern auf die Möglichkeiten der Schaffung gesicherter Informationsbestände durch revisionssichere Archivierung nochmals hinweisen. Bereits vor zwei Jahren bei der Diskussion um Tempora, Keyscore & Co. hatten wir versucht, hierauf aufmerksam zu machen. Eine Reaktion der Information-Management-Branche hat es aber nicht gegeben.

Revisionssichere Archivierung kontra Ransomware: eine zweite Hürde einbauen Revisionssichere Archivierung dient zur langfristigen, sicheren und unveränderbaren Aufbewahrung von elektronischen Informationen wie Dateien, Dokumenten, E-Mails, Datensätze usw. Sie stellen eigenständige geschlossene Systemumgebungen dar, die eigene Speicher mit speziellen Eigenschaften nutzen. Für die Arbeitsfähigkeit und für das Unternehmen überlebenswichtige Informationen, sogenannte "Authoritive" oder "Vital Records" gehören in eine Lösung, die sicher ist und mehrfach an verschiedenen Orten die notwendigen Informationen vorhält. Die Grundprinzipien der revisionssicheren Archivierung basieren unter anderem auf einem separaten, nur einmal beschreibbaren Speicher, kontrolliertem Archivieren von Objekten, wahlfreiem Zugriff auf einzelne Objekte und der Nachweisfähigkeit aller Aktionen durch Audit-Trails. Die Möglichkeiten dieser vier Eigenschaften als Schutz vor Ransomware sollen im Folgenden betrachtet werden.

Sichere Speicherung Die revisionssichere Archivierung nutzt Repositories (Speichersysteme), die die archivierten Informationsobjekte unveränderbar speichern. Die Information wird gegen unkontrolliertes Löschen und Manipulation durch dedizierte Hardware, besondere Subsysteme oder durch Softwareschutz abgesichert. Dieses Prinzip wird WORM - Write Once, Read Many bezeichnet. Die Verwaltung dieser Speicher erfolgt separat von anderen veränderbaren Speichern durch die spezielle Archivsystemsoftware. Ein nachträgliches Modifizieren von Dateien in diesem Speicher durch eine Ransomware wird durch das System verhindert und detektiert. Ein vorhandenes Objekt kann durch eine Ransomware nicht mit einem veränderten Objekt überschrieben werden. Löschen und Ersetzen sind kontrollierte Vorgänge im revisionssicheren Archiv, die durch die Anwendung und die Datenbank gesteuert werden und externe Veränderungen auf Datei- und Speicherebene ausschließen.

Kunde: Web

Thema:

Datei: Revisionssichere_Archivierung_kontra_Ransomware_UK © PROJECT CONSULT GmbH 2017

Autor: Datum:

Revisionssichere Archivierung Dr. Ulrich Kampffmeyer 13.08.19

Version 1.0 : Status: Fertig Seite: 2 von 5


Revisionssichere Archivierung kontra Ransomware Eingangskontrolle Bei der Übergabe von Informationsobjekten an ein revisionssicheres Archiv erfolgt eine Eingangskontrolle. In einem geordneten Archivbetrieb kann man nicht einfach Daten und Dokumente ins Archiv "wegschreiben". Bei der Eingangskontrolle wird unter anderen geprüft, ob alle obligatorischen Metadaten vollständig und korrekt vorhanden sind und ob das Format des Informationsobjektes den Archivkonventionen. Hier wird der Dateityp geprüft. Dürfen z.B. keine E-Mails im MSG-Format archiviert werden, sondern ist nur das PDF/A2a-Format zugelassen, würde hier ein Formatkonvertierungsprozess angestoßen. Auch kann hier eine Überprüfung auf Viren, ausführbaren Code, Signaturen, Verschlüsselung und andere Eigenschaften durchgeführt werden. Lässt sich das Dokument nicht interpretieren, weil es von einer Ransomware "gekapert" wurde, würde es nicht archiviert, sondern in einen Prüfungsprozess ausgesteuert. So würde bereits beim ersten Auftreten einer verschlüsselten Ransomware-Datei diese beim Archivierungseingang identifiziert. Die Archivierung wird verhindert und es können in den bereitstellenden Systemen entsprechende Gegenmaßnahmen eingeleitet werden. Die Prüfung schützt so zumindest gegen Ransomware, die einzelne Dateien angreift (solche, die ganze Speicher verschlüsselt, natürlich nicht).

Wahlfreier Zugriff Das Problem von Ransomware bei Datensicherungen ist, dass bei einem bereits länger zurückliegenden Angriff auch die Datensicherung bereits "gekapert" ist. Beim Zurückspielen würden ältere verschlüsselte Dateien zurückgeladen werden. Das Problem ließe sich dann auch durch eine komplette Neuinstallation der Softwareumgebung nicht beheben lassen. Bei der revisionssicheren Archivierung werden anders als bei der Datensicherung einzeln identifizierbare Informationsobjekte gespeichert, die über die Datenbank verwaltet werden. Sollten - bei mangelnder Eingangskontrolle - doch bereits gekaperte Objekte gespeichert worden sein, lassen sich diese ermitteln und von weiterer Nutzung ausschließen. Nichtinfizierte Informationsobjekte können ungefährdet weitergenutzt und auch wieder in die Anwendungsumgebung exportiert werden. Voraussetzung ist, das Zeitpunkt der "Infektion" und infizierte Objekte ermittelbar sind.

Audit-Trail Revisionssichere Archivsysteme führen Journale, Logs, Protokolle und Audit-Trails, die die Nachvollziehbarkeit aller Transaktionen und Aktivitäten im Archivsystem ermöglichen. So lässt sich über den Audit-Trail des Archiveingangsjournals feststellen, wann welche Datei mit welchen Eigenschaften ins Archiv gelangt ist. Auch Angriffe mit Malware schlagen sich hier, z.B. in der Liste der zur Archivierung abgelehnten Informationsobjekte, nieder. Veränderungsversuche werden sichtbar und die Software/Anwender, von denen die Veränderungsversuche ausgehen, können identifiziert werden. Eine Veränderung dieser Protokolle selbst ist nicht möglich, da auch sieh archiviert werden.

Kunde: Web

Thema:

Datei: Revisionssichere_Archivierung_kontra_Ransomware_UK © PROJECT CONSULT GmbH 2017

Autor: Datum:

Revisionssichere Archivierung Dr. Ulrich Kampffmeyer 13.08.19

Version 1.0 : Status: Fertig Seite: 3 von 5


Revisionssichere Archivierung kontra Ransomware

Die Mechanismen der revisionssicheren Archivierung unterstützen den Schutz vor Veränderung, die Speicherung veränderter Objekte, die Identifikation von Veränderungen und Veränderungsversuchen. Ein besonders geschütztes und auch auf Ebene der Berechtigungen gesichertes revisionssicheres Archivsystem kann so auch die wichtigen Informationen des Unternehmens gegen Malware und Ransomware schützen. Aber es sichert auch die Verfügbarkeit und Richtigkeit von Informationen gegen andere Arten von Verlusten, Katastrophen, Beeinträchtigen, Betrugsversuchen etc. ab. Mit elektronischen Archiven können innerhalb der Informationslandschaft noch einmal extra abgegrenzte, geschützte Bereiche eingerichtet werden. Immerhin lässt sich so zumindest eine zweite Hürde aufbauen, wenn der Angreifer bereits im Unternehmensnetz unterwegs ist. Elektronische Archivsysteme in der Ausprägung der revisionssicheren Archivierung werden daher auch aus Datensicherheitsgründen immer wichtiger und bedeutender. Dennoch - auch sie bieten nur Schutz für bestimmte Bedrohungsszenarien und "absolute Sicherheit" gibt es in der Welt der Informations- und Kommunikationstechnologie nicht.

Kunde: Web

Thema:

Datei: Revisionssichere_Archivierung_kontra_Ransomware_UK © PROJECT CONSULT GmbH 2017

Autor: Datum:

Revisionssichere Archivierung Dr. Ulrich Kampffmeyer 13.08.19

Version 1.0 : Status: Fertig Seite: 4 von 5


Revisionssichere Archivierung kontra Ransomware Über den Autor Dr. Ulrich Kampffmeyer ist seit über 30 Jahren im Thema Informationsmanagement zu Hause. Als Geschäftsführer und Unternehmensberater seines Beratungsunternehmens PROJECT CONSULT (http://www.PROJECT-CONSULT.com) berät er Unternehmen bei der Strategie, Konzeption, Einführung, Ausbau und Migration von Information Management-Lösungen. Er gründete und leitete Fachverbände, arbeitete bei internationalen Standardisierungen mit und gilt als Mentor der InformationManagement-Branche in Europa. Dr. Kampffmeyer ist international anerkannter Autor, Kongressleiter, Referent und Moderator zu Themen wie Information Management, Information Governance, elektronische Archivierung, Records Management, ECM Enterprise Content Management, Dokumentenmanagement, Workflow, Rechtsfragen, Wissensmanagement, Digitalisierung und Collaboration. Auf zahlreichen nationalen und internationalen Kongressen und Konferenzen wirkte er als Keynote-Sprecher mit. Er engagiert sich besonders für die Rolle und Ausbildung des Information Professional der Zukunft. Von Fachzeitschriften wurde zweimal unter die 100 wichtigsten IT Macher Deutschlands gewählt. Sein Curriculum Vitae findet sich auf Wikipedia http://bit.ly/WP_DrUKff

Anschrift des Autors Dr. Ulrich Kampffmeyer PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH Isestraße 63 20149 Hamburg E-Mail: presse@project-consult.com

Pressekontakt Silvia Kunze-Kirschner E-Mail: presse@project-consult.com Impressum: http://www.project-consult.de/impressum Webseite: www.PROJECT-CONSULT.com VdiSP: Dr. Ulrich Kampffmeyer

CopyRight © 2017 PROJECT CONSULT GmbH. Alle Rechte vorbehalten. Sofern nicht anders ausgewiesen gelten die Creative Commons CC-by-nc-nd. Vor Wiederveröffentlichung in jedweder Form ist eine schriftliche Genehmigung einzuholen. Copyright und Autorenrechte im Detail: http://www.project-consult.de/unternehmen/rechtshinweis Kunde: Web

Thema:

Datei: Revisionssichere_Archivierung_kontra_Ransomware_UK © PROJECT CONSULT GmbH 2017

Autor: Datum:

Revisionssichere Archivierung Dr. Ulrich Kampffmeyer 13.08.19

Version 1.0 : Status: Fertig Seite: 5 von 5

Profile for Ulrich Kampffmeyer

[DE] "Revisionssichere Archivierung Kontra Ransomware | Dr. Ulrich Kampffmeyer | Hamburg 2017  

"Revisionssichere Archivierung kontra Ransomware" Themen des Artikels: - Revisionssichere Archivierung kontra Ransomware: eine zweite Hürde...

[DE] "Revisionssichere Archivierung Kontra Ransomware | Dr. Ulrich Kampffmeyer | Hamburg 2017  

"Revisionssichere Archivierung kontra Ransomware" Themen des Artikels: - Revisionssichere Archivierung kontra Ransomware: eine zweite Hürde...

Profile for drukff
Advertisement