von Daniel A. Döppner und Marie Rentergent
Heute ist der 31. März, World Backup Day! Der Tag wurde ins Leben gerufen, um ein Bewusstsein für eine regelmäßige Datensicherung zu schaffen (sogar mit eigener Webseite: www.worldbackupday.com).
Wir nehmen den Tag zum Anlass, um ein weitläufig unterschätztes Risiko mit Backups zu beleuchten, welches wir in unseren Projekten jedoch nicht selten auffinden: Falsch konfigurierte und/oder veraltete Backup Software, deren Schwachstellen und mögliche Einfallstore für Hacker sind.
In diesem Beitrag wollen wir einen kurzen Überblick über das Problem veralteter und falsch konfigurierter Backup-Lösungen aus einer Schwachstellen Management (engl. Vulnerability Management) Perspektive geben und zeigen, wie unsere Lösung CISOSCOPE unseren Kunden hilft, diese frühzeitig zu erkennen und zu beheben — bevor Ihr Geschäft gefährdet ist!
Die Wichtigkeit von Backups ist weitestgehend verstanden
Ein Datenverlust kann jedem passieren und auf ganz unterschiedliche Art und Weise erfolgen — privat wie beruflich. In Zeiten des digitalen, papierlosen und verteilten Arbeitens kann der fehlende Zugriff oder Verlust wertvoller Daten für Unternehmen verheerend sein. Die Folgen sind Millionenschäden bis hin zur Insolvenz. Befeuert wird dies durch die zunehmende Digitalisierung und die damit steigenden Kosten durch einen Datenverlust.
Das haben auch Cyberkriminelle erkannt. Die böswillige Verschlüsselung oder Löschung von Daten mit anschließender Lösegeldforderung ist mittlerweile ein lukratives Geschäftsfeld.
So vergeht zunehmend weniger Zeit zwischen den Berichten über erfolgreiche Hackangriffen und Ransomware-Infektionen… und die Einschläge kommen näher. Betroffene Unternehmen benötigen teilweise Tage bis Monate, um nach einem Angriff wieder vollständig operativ tätig zu sein. Der BSI veranschaulicht in seinem Lagebericht 2020 zur IT-Sicherheit in Deutschland einige solcher Fälle.
Im geschäftlichen Umfeld ist Backup-Software für die meisten Unternehmen eine häufig genutzte Vorsichtsmaßnahme, um den Verlust von Daten zu verhindern, die für den Betrieb von entscheidender Bedeutung sind. Die Sicherheit um die Software selbst ist dabei jedoch kaum je ein Thema.
Die Risiken von Backup Software kennen die Wenigsten
Dass Backups ein zentraler Bestandteil eines Informationssicherheitsmanagementsystems (ISMS) sind, ist mittlerweile weitestgehend bekannt und anerkannt. Dass falsch konfigurierte oder veraltete Backup-Software jedoch auch ein erhebliches Risiko für die Informationssicherheit mit sich bringt, wiederum nicht.
Dieses Risiko wird von vielen Unternehmen aktuell noch unterschätzt. So werden z.B. bei der Auswahl von Backup-Lösungen Kriterien wie Preis, Kompatibilität, Verschlüsselung und Alerting/Monitoring einbezogen. Anfälligkeit für Schwachstellen und Sicherheitsupdates wird jedoch selten bis gar nicht berücksichtigt.
Es ist dann auch nicht verwunderlich, dass sich viele Unternehmen in Sicherheit wiegen, nachdem die Backup-Lösung erstmal installiert, eingerichtet und getestet (!) wurde. Die Daten werden zwar regelmäßig gesichert, das System selbst ist aber, je nach Software, die zum Einsatz gekommen ist, angreifbar. Das belegt auch eine Auswertung unseres Cyber-Security Knowledge Graphen.
Fakten und Zahlen: Bekannte Schwachstellen in führenden Backup Softwareprodukten
Jeden Tag werden neue Sicherheitslücken gefunden, publiziert und von Hackern aktiv ausgenutzt. Backup Software ist hiervon nicht ausgeschlossen.
Wir haben einen Blick in unseren Cyber-Security Knowledge Graph geworfen. Die Analyse hat gezeigt, dass alleine im Jahre 2020 und 2021 mehr als 50 Schwachstellen in führenden Backup Softwareprodukten gefunden und publiziert wurden. Tabelle 1 zeigt einen Ausschnitt von Schwachstellen mit einem CVSS Score von 7.0 oder höher.
Hinweis: Tabelle 1 stellt nur einen Datenauszug dar — sie ist keine erschöpfende Liste über alle Sicherheitslücken in Backup-Softwareprodukten.
Die Ergebnisse zeigen, dass Nutzer, die auf renommierte Enterprise-Produkte setzen, leider trotzdem nicht sicher vor gefährlichen Schwachstellen sind. Selbst Produkte von Herstellern wie IBM oder Veritas Technologies, die vielfach im professionellen Umfeld zum Einsatz kommen, bringen Risiken im kritischen Levelbereich mit sich.
In vielen Fällen resultieren die Risiken aus der Notwendigkeit, Backup-Software mit Zugriffsrechten auszustatten. Teilweise geschieht dies äußerst großzügig, um z. B. auch Systembackups zu ermöglichen. Dies kann im Falle der Ausnutzung von Sicherheitslücken erhebliche Konsequenzen nach sich ziehen, wie z. B. Ausführen von Schadcode, Ausweiten von Rechten, Unterbrechung von Services bis hin zur vollständigen Übernahme der IT-Infrastruktur durch die Angreifer.
CISOSCOPE: Automatisierte Erkennung und Bewertung von Schwachstellen und Geschäftsrisiken
Unsere Lösung CISOSCOPE nutzt unsere entwickelte Agenten-Technologie, um installierte Softwareprodukte auf den Geräten unserer Kunden zu erkennen und zu inventarisieren. Anschließend überprüft CISOSCOPE mit Hilfe unseres Cyber-Security Knowledge Graphs die gefundenen Softwareprodukte auf Schwachstellen und bewertet diese im Hinblick auf mögliche Geschäftsrisiken.
In Abbildung 1 sehen wir beispielhaft die CISOSCOPE Detail-Seite einer gefundenen Schwachstelle (hier: CVE-2021–27878) in einer IT-Umgebung mit Windows Servern und installierter Backup Software. Das erfolgreiche Ausnutzen dieser Sicherheitslücke könnte Rechteausweitung, Ausführen von Schadcode oder das Auslesen von Konfiguration und Daten der Backup Software zur Folge haben. In so einem Fall wären die Geschäftsbereiche Customer Relationship und Enterprise Support betroffen, woraus sich das Risiko einer Datenpanne (engl. data breach) von Kundendaten aus dem CRM-System ergibt.
Es ist außerdem zu bedenken, dass Sicherheitslücken in Backup-Software sich nicht auf bestimmte Server-Systeme beschränken. Stattdessen können sie auf allen Geräten bestehen, auf denen Backup-Software läuft. Mit unserer umfangreichen Datenbank, die mehr als 800.000 Produkte (Hardware und Software) und 200.000 Schwachstellen sowie Informationen über deren Risiken, Ausnutzbarkeit und Gegenmaßnahmen enthält, unterstützen wir daher unsere Kunden in Windows, Linux, und Mac OS Umgebungen.
Was Sie jetzt tun sollten:
- Überprüfen Sie Ihre Backup-Software regelmäßig und halten Sie diese auf dem neuesten Stand
- Automatisieren Sie die regelmäßige Überprüfung mit CISOSCOPE, um nachhaltig Ihre IT-Sicherheit zu verbessern
Sie wissen nicht, ob Ihre Backup Software ein Geschäftsrisiko für Sie darstellt? Kontaktieren Sie uns und schreiben Sie uns eine E-Mail mit „Business Risks in Backup Software“ an hello@cisoscope.com
