Revisionssichere Archivierung kontra Ransomware Eingangskontrolle Bei der Übergabe von Informationsobjekten an ein revisionssicheres Archiv erfolgt eine Eingangskontrolle. In einem geordneten Archivbetrieb kann man nicht einfach Daten und Dokumente ins Archiv "wegschreiben". Bei der Eingangskontrolle wird unter anderen geprüft, ob alle obligatorischen Metadaten vollständig und korrekt vorhanden sind und ob das Format des Informationsobjektes den Archivkonventionen. Hier wird der Dateityp geprüft. Dürfen z.B. keine E-Mails im MSG-Format archiviert werden, sondern ist nur das PDF/A2a-Format zugelassen, würde hier ein Formatkonvertierungsprozess angestoßen. Auch kann hier eine Überprüfung auf Viren, ausführbaren Code, Signaturen, Verschlüsselung und andere Eigenschaften durchgeführt werden. Lässt sich das Dokument nicht interpretieren, weil es von einer Ransomware "gekapert" wurde, würde es nicht archiviert, sondern in einen Prüfungsprozess ausgesteuert. So würde bereits beim ersten Auftreten einer verschlüsselten Ransomware-Datei diese beim Archivierungseingang identifiziert. Die Archivierung wird verhindert und es können in den bereitstellenden Systemen entsprechende Gegenmaßnahmen eingeleitet werden. Die Prüfung schützt so zumindest gegen Ransomware, die einzelne Dateien angreift (solche, die ganze Speicher verschlüsselt, natürlich nicht).
Wahlfreier Zugriff Das Problem von Ransomware bei Datensicherungen ist, dass bei einem bereits länger zurückliegenden Angriff auch die Datensicherung bereits "gekapert" ist. Beim Zurückspielen würden ältere verschlüsselte Dateien zurückgeladen werden. Das Problem ließe sich dann auch durch eine komplette Neuinstallation der Softwareumgebung nicht beheben lassen. Bei der revisionssicheren Archivierung werden anders als bei der Datensicherung einzeln identifizierbare Informationsobjekte gespeichert, die über die Datenbank verwaltet werden. Sollten - bei mangelnder Eingangskontrolle - doch bereits gekaperte Objekte gespeichert worden sein, lassen sich diese ermitteln und von weiterer Nutzung ausschließen. Nichtinfizierte Informationsobjekte können ungefährdet weitergenutzt und auch wieder in die Anwendungsumgebung exportiert werden. Voraussetzung ist, das Zeitpunkt der "Infektion" und infizierte Objekte ermittelbar sind.
Audit-Trail Revisionssichere Archivsysteme führen Journale, Logs, Protokolle und Audit-Trails, die die Nachvollziehbarkeit aller Transaktionen und Aktivitäten im Archivsystem ermöglichen. So lässt sich über den Audit-Trail des Archiveingangsjournals feststellen, wann welche Datei mit welchen Eigenschaften ins Archiv gelangt ist. Auch Angriffe mit Malware schlagen sich hier, z.B. in der Liste der zur Archivierung abgelehnten Informationsobjekte, nieder. Veränderungsversuche werden sichtbar und die Software/Anwender, von denen die Veränderungsversuche ausgehen, können identifiziert werden. Eine Veränderung dieser Protokolle selbst ist nicht möglich, da auch sieh archiviert werden.
Kunde: Web
Thema:
Datei: Revisionssichere_Archivierung_kontra_Ransomware_UK © PROJECT CONSULT GmbH 2017
Autor: Datum:
Revisionssichere Archivierung Dr. Ulrich Kampffmeyer 13.08.19
Version 1.0 : Status: Fertig Seite: 3 von 5