Sie sind auf Seite 1von 5

Revisionssichere Archivierung

kontra Ransomware

Dr. Ulrich Kampffmeyer

Hamburg, Juli 2017


Revisionssichere Archivierung kontra Ransomware

Revisionssichere Archivierung kontra Ransomware


Dr. Ulrich Kampffmeyer, Geschäftsführer der PROJECT CONSULT Unternehmensberatung,
Hamburg,

Der aktuelle Ransomware-Angriff WannaCry legt weltweit Zehntausende Rechner lahm. Die
Gründe sind vielfältig: nicht beseitigte Fehler bei Microsoft, Ausnutzung durch Geheimdienste,
geleakte NSA-Angriffswerkzeuge, professionelle Cyber-Kriminelle auf der einen Seite,
veraltete Betriebssysteme, nicht eingespielte Sicherheits-Patches, fehlende Viren- und
Malwareabwehr, mangelnde Ausbildung und Aufmerksamkeit der Anwender, unzureichende
Datensicherheit und nicht ausreichende Datensicherung bei den Anwenderunternehmen.

Wir wollen uns nicht an der - teilweise bereits wieder hysterischen - Diskussion beteiligen,
sondern auf die Möglichkeiten der Schaffung gesicherter Informationsbestände durch
revisionssichere Archivierung nochmals hinweisen. Bereits vor zwei Jahren bei der Diskussion
um Tempora, Keyscore & Co. hatten wir versucht, hierauf aufmerksam zu machen. Eine
Reaktion der Information-Management-Branche hat es aber nicht gegeben.

Revisionssichere Archivierung kontra Ransomware: eine zweite Hürde


einbauen

Revisionssichere Archivierung dient zur langfristigen, sicheren und unveränderbaren


Aufbewahrung von elektronischen Informationen wie Dateien, Dokumenten, E-Mails,
Datensätze usw. Sie stellen eigenständige geschlossene Systemumgebungen dar, die eigene
Speicher mit speziellen Eigenschaften nutzen. Für die Arbeitsfähigkeit und für das
Unternehmen überlebenswichtige Informationen, sogenannte "Authoritive" oder "Vital
Records" gehören in eine Lösung, die sicher ist und mehrfach an verschiedenen Orten die
notwendigen Informationen vorhält. Die Grundprinzipien der revisionssicheren Archivierung
basieren unter anderem auf einem separaten, nur einmal beschreibbaren Speicher,
kontrolliertem Archivieren von Objekten, wahlfreiem Zugriff auf einzelne Objekte und der
Nachweisfähigkeit aller Aktionen durch Audit-Trails. Die Möglichkeiten dieser vier
Eigenschaften als Schutz vor Ransomware sollen im Folgenden betrachtet werden.

Sichere Speicherung

Die revisionssichere Archivierung nutzt Repositories (Speichersysteme), die die archivierten


Informationsobjekte unveränderbar speichern. Die Information wird gegen unkontrolliertes
Löschen und Manipulation durch dedizierte Hardware, besondere Subsysteme oder durch
Softwareschutz abgesichert. Dieses Prinzip wird WORM - Write Once, Read Many -
bezeichnet. Die Verwaltung dieser Speicher erfolgt separat von anderen veränderbaren
Speichern durch die spezielle Archivsystemsoftware. Ein nachträgliches Modifizieren von
Dateien in diesem Speicher durch eine Ransomware wird durch das System verhindert und
detektiert. Ein vorhandenes Objekt kann durch eine Ransomware nicht mit einem
veränderten Objekt überschrieben werden. Löschen und Ersetzen sind kontrollierte Vorgänge
im revisionssicheren Archiv, die durch die Anwendung und die Datenbank gesteuert werden
und externe Veränderungen auf Datei- und Speicherebene ausschließen.

Kunde: Web Thema: Revisionssichere Archivierung Version: 1.0


Datei: Revisionssichere_Archivierung_kontra_Ransomware_UK Autor: Dr. Ulrich Kampffmeyer Status: Fertig
© PROJECT CONSULT GmbH 2017 Datum: 13.08.2019 Seite: 2 von 5
Revisionssichere Archivierung kontra Ransomware

Eingangskontrolle

Bei der Übergabe von Informationsobjekten an ein revisionssicheres Archiv erfolgt eine
Eingangskontrolle. In einem geordneten Archivbetrieb kann man nicht einfach Daten und
Dokumente ins Archiv "wegschreiben". Bei der Eingangskontrolle wird unter anderen geprüft,
ob alle obligatorischen Metadaten vollständig und korrekt vorhanden sind und ob das Format
des Informationsobjektes den Archivkonventionen. Hier wird der Dateityp geprüft. Dürfen z.B.
keine E-Mails im MSG-Format archiviert werden, sondern ist nur das PDF/A2a-Format
zugelassen, würde hier ein Formatkonvertierungsprozess angestoßen. Auch kann hier eine
Überprüfung auf Viren, ausführbaren Code, Signaturen, Verschlüsselung und andere
Eigenschaften durchgeführt werden. Lässt sich das Dokument nicht interpretieren, weil es von
einer Ransomware "gekapert" wurde, würde es nicht archiviert, sondern in einen
Prüfungsprozess ausgesteuert. So würde bereits beim ersten Auftreten einer verschlüsselten
Ransomware-Datei diese beim Archivierungseingang identifiziert. Die Archivierung wird
verhindert und es können in den bereitstellenden Systemen entsprechende
Gegenmaßnahmen eingeleitet werden. Die Prüfung schützt so zumindest gegen
Ransomware, die einzelne Dateien angreift (solche, die ganze Speicher verschlüsselt,
natürlich nicht).

Wahlfreier Zugriff

Das Problem von Ransomware bei Datensicherungen ist, dass bei einem bereits länger
zurückliegenden Angriff auch die Datensicherung bereits "gekapert" ist. Beim Zurückspielen
würden ältere verschlüsselte Dateien zurückgeladen werden. Das Problem ließe sich dann
auch durch eine komplette Neuinstallation der Softwareumgebung nicht beheben lassen. Bei
der revisionssicheren Archivierung werden anders als bei der Datensicherung einzeln
identifizierbare Informationsobjekte gespeichert, die über die Datenbank verwaltet werden.
Sollten - bei mangelnder Eingangskontrolle - doch bereits gekaperte Objekte gespeichert
worden sein, lassen sich diese ermitteln und von weiterer Nutzung ausschließen. Nicht-
infizierte Informationsobjekte können ungefährdet weitergenutzt und auch wieder in die
Anwendungsumgebung exportiert werden. Voraussetzung ist, das Zeitpunkt der "Infektion"
und infizierte Objekte ermittelbar sind.

Audit-Trail

Revisionssichere Archivsysteme führen Journale, Logs, Protokolle und Audit-Trails, die die
Nachvollziehbarkeit aller Transaktionen und Aktivitäten im Archivsystem ermöglichen. So lässt
sich über den Audit-Trail des Archiveingangsjournals feststellen, wann welche Datei mit
welchen Eigenschaften ins Archiv gelangt ist. Auch Angriffe mit Malware schlagen sich hier,
z.B. in der Liste der zur Archivierung abgelehnten Informationsobjekte, nieder. Verände-
rungsversuche werden sichtbar und die Software/Anwender, von denen die
Veränderungsversuche ausgehen, können identifiziert werden. Eine Veränderung dieser
Protokolle selbst ist nicht möglich, da auch sieh archiviert werden.

Kunde: Web Thema: Revisionssichere Archivierung Version: 1.0


Datei: Revisionssichere_Archivierung_kontra_Ransomware_UK Autor: Dr. Ulrich Kampffmeyer Status: Fertig
© PROJECT CONSULT GmbH 2017 Datum: 13.08.2019 Seite: 3 von 5
Revisionssichere Archivierung kontra Ransomware

Die Mechanismen der revisionssicheren Archivierung unterstützen den Schutz vor Verän-
derung, die Speicherung veränderter Objekte, die Identifikation von Veränderungen und
Veränderungsversuchen. Ein besonders geschütztes und auch auf Ebene der Berechtigungen
gesichertes revisionssicheres Archivsystem kann so auch die wichtigen Informationen des
Unternehmens gegen Malware und Ransomware schützen. Aber es sichert auch die
Verfügbarkeit und Richtigkeit von Informationen gegen andere Arten von Verlusten,
Katastrophen, Beeinträchtigen, Betrugsversuchen etc. ab. Mit elektronischen Archiven können
innerhalb der Informationslandschaft noch einmal extra abgegrenzte, geschützte Bereiche
eingerichtet werden. Immerhin lässt sich so zumindest eine zweite Hürde aufbauen, wenn der
Angreifer bereits im Unternehmensnetz unterwegs ist. Elektronische Archivsysteme in der
Ausprägung der revisionssicheren Archivierung werden daher auch aus
Datensicherheitsgründen immer wichtiger und bedeutender. Dennoch - auch sie bieten nur
Schutz für bestimmte Bedrohungsszenarien und "absolute Sicherheit" gibt es in der Welt der
Informations- und Kommunikationstechnologie nicht.

Kunde: Web Thema: Revisionssichere Archivierung Version: 1.0


Datei: Revisionssichere_Archivierung_kontra_Ransomware_UK Autor: Dr. Ulrich Kampffmeyer Status: Fertig
© PROJECT CONSULT GmbH 2017 Datum: 13.08.2019 Seite: 4 von 5
Revisionssichere Archivierung kontra Ransomware

Über den Autor


Dr. Ulrich Kampffmeyer ist seit über 30 Jahren im Thema
Informationsmanagement zu Hause. Als Geschäftsführer und
Unternehmensberater seines Beratungsunternehmens PROJECT
CONSULT (http://www.PROJECT-CONSULT.com) berät er
Unternehmen bei der Strategie, Konzeption, Einführung, Ausbau
und Migration von Information Management-Lösungen.

Er gründete und leitete Fachverbände, arbeitete bei internationalen


Standardisierungen mit und gilt als Mentor der Information-
Management-Branche in Europa.

Dr. Kampffmeyer ist international anerkannter Autor, Kongressleiter,


Referent und Moderator zu Themen wie Information Management,
Information Governance, elektronische Archivierung, Records Management, ECM Enterprise
Content Management, Dokumentenmanagement, Workflow, Rechtsfragen,
Wissensmanagement, Digitalisierung und
Collaboration. Auf zahlreichen nationalen und internationalen Kongressen und Konferenzen
wirkte er als Keynote-Sprecher mit. Er engagiert sich besonders für die Rolle und Ausbildung
des Information Professional der Zukunft.

Von Fachzeitschriften wurde zweimal unter die 100 wichtigsten IT Macher Deutschlands
gewählt. Sein Curriculum Vitae findet sich auf Wikipedia http://bit.ly/WP_DrUKff

Anschrift des Autors


Dr. Ulrich Kampffmeyer
PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH
Isestraße 63
20149 Hamburg
E-Mail: presse@project-consult.com

Pressekontakt
Silvia Kunze-Kirschner
E-Mail: presse@project-consult.com
Impressum: http://www.project-consult.de/impressum
Webseite: www.PROJECT-CONSULT.com
VdiSP: Dr. Ulrich Kampffmeyer

CopyRight
© 2017 PROJECT CONSULT GmbH. Alle Rechte vorbehalten. Sofern nicht anders
ausgewiesen gelten die Creative Commons CC-by-nc-nd. Vor Wiederveröffentlichung in
jedweder Form ist eine schriftliche Genehmigung einzuholen. Copyright und Autorenrechte im
Detail: http://www.project-consult.de/unternehmen/rechtshinweis

Kunde: Web Thema: Revisionssichere Archivierung Version: 1.0


Datei: Revisionssichere_Archivierung_kontra_Ransomware_UK Autor: Dr. Ulrich Kampffmeyer Status: Fertig
© PROJECT CONSULT GmbH 2017 Datum: 13.08.2019 Seite: 5 von 5