Gewappnet gegen den Ransomware Angriff – was Sie über Ihre Kernprozesse wissen sollten.

Warum Sie als Unternehmer:in über die maximal tolerierbare Ausfallzeit Ihrer Geschäftsprozesse bescheid wissen sollten und auch darüber, welche Schritte zu unternehmen sind, wenn sich der kleine Vetter von Wannacry durch Ihre Daten mampft.


Über mich

Mein Name ist Torben Bues und ich bin Berater für Datenschutz und Informationssicherheit. Ich bin zertifizierter BSI IT-Grundschutz Experte und arbeite in diversen Datenschutz- und Cybersecurity Fachgruppen regionaler Verbände. Zu meinen Kunden gehören Organisationen, die einen konkreten Compliance Anspruch haben. Dies kann die DSGVO sein, oder andere Normen wie z.B. Tisax, ISO/IEC 27001, SOX, BSI IT-Grundschutz oder den Anforderungen der Kommission für Anlagensicherheit (KAS) KAS-51 und KAS-44. Ich berate dabei besonders intensiv im Bereich der technischen und organisatorischen Maßnahmen (TOM). Auf diesem Gebiet habe mich dabei auf die Auditierung, Entwicklung und Überwachung von zeitgemäßen TOM spezialisiert. In arbeite als IT-Sachverständiger und Gutachter für den Berufsfachverband der IT-Sachverständigen und Gutachter e.V. (BSIG) und habe einige spannende Dinge in meiner IT-Karriere erlebt. Regelmäßige Weiterbildungen bei anerkannten Bildungseinrichtungen, wie dem Fraunhofer Institut für Cybersicherheit, oder der Deutschen Gesellschaft für Informationssicherheit (DGI-Akademie) in Berlin, garantieren meinen Kunden eine hochwertige Expertise.

Zur Zeit bin ich an der Einführung eines ISMS gemäß ISO/IEC 27001 und BSI IT-Grundschutz beteiligt und befasse mich mit Themen wie dem „RPO“ von Daten und zeitkritischen Geschäftsprozessen.


Zielgruppe: Einsteiger

Was sind zeitkritische Kern- und Geschäftsprozesse?

Geschäftsprozesse stellen das Rückrad Ihres Unternehmens dar. Wenn sie nicht laufen, verdienen Sie kein Geld. Geschäftsprozesse lassen sich in Kern- und Teilprozesse unterscheiden. Alle Prozessarten unterliegen Risiken und können gestört und unterbrochen werden, oder sogar vollständig ausfallen. Die daraus resultierenden Konsequenzen können finanzieller Natur sein, oder sogar Auswirkungen auf die Gesellschaft haben, zum Beispiel bei kritischen Infrastrukturen. Man denke z.B. an Zahlungssysteme bei Banken, die Versorgung von Krankenhäuser oder die Lebensmittel-Industrie. Es gilt daher, die zeitkritischen Kern- und Geschäftsprozesse mit allen erforderlichen Mitteln zu schützen.

Kommt es hingegen zum Ausfall (Business Impact) eines Geschäftsprozesses, tritt das Business Continuity Management in Kraft und sorgt mit konkreten Vorgehensweisen und Abläufen für den notwendigen Überblick im Notfall. In der Realität sieht es hingegen oftmals ganz anders aus, ein wenig Wissen kann daher nicht schaden.

MTPD – so lange darf ein Kernprozess ausfallen

Die MTPD stellt die maximal tolerierbare Ausfallzeit z.B. in Stunden dar. Wie lange kann Ihr Kern- oder Geschäftsprozess ausfallen, bis es eng wird? Die wenigsten Unternehmerinnen und Unternehmer wissen das konkret und das ist schlecht. Auch Ihre IT schätzt die Zeit häufig nur, dabei ist dieser Wert strategisch sehr wichtig.

Kann Ihr Geschäftsprozess zum Beispiel 24h ausfallen, bevor es finanziell eng wird, dann muss Ihr Notfallmanagement auf Zack sein. Müssen Sie zuerst anfangen nach Telefonnummern der Dienstleister zu suchen, oder überhaupt erstmal überlegen, was zu tun ist, sind Sie mit 24h bereits im roten Bereich und haben nur wenige Chancen Ihre Daten partiell zu retten.

Anders sieht es aus, wenn z.B. nur Teile der Produktion betroffen sind und andere Fertigungsstraßen weiter laufen können. In jedem Fall gilt eine wichtige Regel, Zeit ist ein kritischer Faktor und je besser Sie im eigenen Unternehmen bescheid wissen, desto höher ist die Chance Ihre Daten zu retten.

RPO – dieser Wert entscheidet wie groß Ihr Schaden ist

Das Recovery Point Objective bezieht sich auf eine bestimmte Datenmenge, die innerhalb eines relevanten Zeitraums verloren gehen kann, bevor ein signifikanter Schaden entsteht. Gemessen wird die Zeit ab dem Zeitpunkt eines kritischen Ereignisses, bis zum Zeitpunkt des letzten nutzbaren Backups.

Admins entscheiden hier, wie weit der Zeitpunkt des letzten nutzbaren Backups zurückliegt. Ist die Backup Software mit einem Backup pro Woche programmiert und Sie erleiden am siebten Tag einen Angriff, bekommen Sie ggf. sieben Tage alte Daten zurück. Es ist daher wichtig zu wissen, wie alt Ihre Daten sein dürfen, damit sie noch nutzbar sind.

Unterschieden wird in ruhende, bewegte und Daten in Nutzung. Sichern Sie tagesrelevante Daten daher ggf. mehrfach am Tag!

RTO – Wie lange Ihre Backup-Software zum Wiederherstellen benötigt

Das Recovery Time Objective entscheidet darüber, wie lange Sie warten müssen, bis Ihre Daten wieder hergestellt sind, oder Ihre Anwendungen wieder laufen. Diesen Wert können Sie nur herausfinden, wenn Sie regelmäßige Recovery-Übungen durchführen und möglichst unter Echtzeitbedingungen die Wiederherstellung Ihrer Daten proben. Verlassen Sie sich dabei nicht auf Schätzungen, denn oftmals kommt es ganz anders als geplant, wie die folgende Story zeigt.

Recovery Time : Es erwischte ein Pflegeheim

Aufgrund einer Malware-Infektion musste der Hauptserver eines mittelgroßen Pflegeheims mit ca. 100 Beschäftigten und 230 Bewohner:innen neu aufgesetzt werden. Der örtliche IT-Dienstleister sicherte die wichtigsten Daten daher täglich auf ein externes Bandlaufwerk. Das Backup lief jahrelang wie ein Schweizer Uhrwerk zuverlässig vor sich hin. Am Tag des Ausfalls, entschied man sich daher recht schnell, einfach das letzte Backup des Servers wieder herzustellen, um somit den Ausfall schnell beheben zu können. Der Datenumfang war beherrschbar, eine Neuinstallation der betreffenden Programme kaum eine Herausforderung und trotzdem dauerte die Wiederherstellung beinahe 3 volle Tage.

Was der IT-Techniker und die Pflegeheimleitung leider nicht einkalkuliert hatten, waren gleich mehrere Dinge:

  • Der Wiederherstellungsdatenträger entsprach nicht dem letzten Stand des Betriebssystems und die erforderlichen Befehle zum Starten des Jobs lagen nicht vor
  • Die Treiber des Bandlaufwerks wurden nicht korrekt im Bootmedium eingebunden und der entsprechende Controller wurde nicht gefunden
  • Die Bänder hatten sich im Laufe der Zeit überschrieben und Daten waren zum Teil über mehrere Medien verteilt, ohne das eine Dokumentation darüber Aufschluss gab
  • Das Treiberpaket für das Bandlaufwerk überlastete die schwache Internetleitung und der Download brach mehrfach ab

Während des Ausfalls wurden die Patientendokumentationen wieder mit der Hand geschrieben, es fielen Überstunden an und die Abrechnungen der Sozialleistungen konnten nicht an die Trägerschaft übermittelt werden. Wie eine Blutspur im Wasser, zog sich der Business Impact so über mehrere Wochen hin.


Als ich das Unternehmen im Juni 2018 auditierte, erzählte man mir von der Geschichte und ich fragte, ob denn nie Wiederherstellungsübungen der Daten vorgenommen wurden. Sicherlich, entgegnete mir der verantwortliche IT-Techniker, wir habe einzelne Dokumente häufiger wiederherstellen müssen, aber nie eine vollständige Umgebung. Das war neu für uns. Und hier liegt des Pudels Kern. Übungen werden meist an einzelnen Dateien vorgenommen und die verantwortliche Stelle wiegt sich in falscher Sicherheit.

Es besteht ein Unterschied zwischen der Wiederherstellung einer versehentlich gelöschten E-Mail von Frau Müller aus dem Sektretariat und dem Wiederherstellen eines komplexen Betriebssystems mit laufenden Anwendungen und Datenbanken.

Das Backup und die Wiederherstellung einzelner Daten ist meist unkritisch. Wenn es jedoch um Anwendungen, oder ganze Systeme geht, die wichtige Prozesse im Unternehmen steuern, ist die Wiederherstellung ein ernstzunehmender Gegner.


Tipps für ein gute Backup-Strategie

  1. Lernen Sie mehr über Ihre zeitkritischen Geschäftsprozesse und die MTPD. Zeit ist ein kritischer Faktor.
  2. Üben Sie die Wiederherstellung von unterschiedlichen Datenarten und Datenträgern (Einzeldokumente bis hin zu kompletten Servern und Workstations).
  3. Testen Sie den Bootvorgang des Wiederherstellungsdatenträgers und bekommen Sie ein Gefühl für die Menüführung und den Ablauf zur Wiederherstellung. Häufig werden z.B. bestimmte Backup-Zugangsdaten abgefragt, die beim Erstbackup vergeben wurden. Diese müssen Sie parat haben.
  4. Unterscheiden Sie ruhende, bewegte und Daten in Benutzung und wählen dementsprechende Sicherungsdatenträger und Sicherungszeitpläne aus. Bandlaufwerke sind langsam und die Wiederherstellung kann sich z.T. über Tage hinziehen.
  5. Achten Sie auf benötigte Treiber, damit das Backuplaufwerk auch ohne Betriebssystem erkannt wird.
  6. Dokumentieren Sie ausreichend, aber nicht zu umfangreich. Eine Wiederherstellungsanleitung muss so einfach wie möglich und so ausführlich wie nötig beschrieben sein.
  7. Sollte eine Wiederherstellung nicht möglich sein, planen Sie frühzeitig Ersatzhardware ein, um lange Ausfälle zu vermeiden.

Die 3-2-1-Regel als Basis von Storage Insiders

Datensicherung „wie geht das“? Bundesamt für Sicherheit in der Informationstechnik