Was ist ein Air Gap?

Ein Air Gap bezeichnet eine Methode zur Datensicherung und -wiederherstellung, die Daten, Systeme und Netzwerke isoliert und voneinander trennt, um unbefugtes Eindringen zu verhindern.

Herkömmlicherweise werden beim Air Gapping Daten von einem Computer oder einem Netzwerk über ein Magnetband, einen USB-Stick oder ein anderes entfernbares Gerät auf ein Offline-Gerät verschoben, wobei der autorisierte Zugriff auf die zu isolierenden Daten oder das System beschränkt wird. Dieses traditionelle Modell der Datenisolation ist zwar sehr sicher, aber nicht mehr mit den Anforderungen moderner digitaler Unternehmen an eine schnelle Datenwiederherstellung zur Einhaltung von Service Level Agreements vereinbar.

Das Air Gapping für die Cloud-Ära hingegen folgt einer modernen 3-2-1-Backup-Strategie: Drei Datenkopien, die auf zwei verschiedenen Medien gesichert sind, von denen sich eine in einer externen Umgebung befindet. Diese Methode bringt die geschäftlichen Prioritäten Sicherheit und Agilität effektiv ins Gleichgewicht, indem sie eine isolierte, unveränderliche Kopie der Daten in einem verwalteten Cloud-Tresor sichert. Wenn bei einer Datenkatastrophe eine schnelle Disaster Recovery erforderlich wird, lassen sich die Daten schnell und einfach an der Quelle oder an einem alternativen Ort wiederherstellen.

Warum sollte Air Gapping-Technologie verwendet werden?

Unternehmen investieren primär in Air Gapping, um zu verhindern, dass böswillige Akteure, häufig unter Verwendung von Ransomware, sensible Daten stehlen und den Betrieb zum Erliegen bringen. Der Einsatz von Air Gapping ist in Branchen mit hochsensiblen personenbezogenen Daten (Personally Identifiable Information, PII) wie dem Gesundheits- oder Bankwesen besonders wichtig. Im Falle eines digitalen Angriffs könnte ein Unternehmen, das in Air Gapping investiert hat, Lösegeldzahlungen verweigern, da es offline in einem sicheren Tresor auf seine Daten zugreifen und sie nutzen kann, um den Betrieb schnell wiederherzustellen.

Air Gapping ist eine wirksame Methode, um Bedrohungen abzuwehren und die jüngsten Richtlinien der U.S. Cybersecurity and Infrastructure Security Agency (CISA) und des U.S. Federal Bureau of Investigation (FBI) zum Schutz vor Ransomware zu erfüllen, die unter anderem folgende Abhilfemaßnahmen fordern:

• Sichern Sie kritische Daten offline.
• Stellen Sie sicher, dass Kopien kritischer Daten in der Cloud beziehungsweise auf einer externen Festplatte oder einem Speichergerät gesichert sind. Diese Informationen sollten von dem kompromittierten Netz aus nicht zugänglich sein.
• Sichern Sie Backups und verhindern Sie, dass die Daten von dem System, in dem sie sich befinden, geändert oder gelöscht werden können.

Was sind die Vorteile von Air Gapping?

Für Unternehmen, die in Air Gapping-Lösungen investieren, ergeben sich mehrere Vorteile, insbesondere wenn sie ein „as a Service“-Modell wählen. Dazu gehören:

• Ablehnung von Lösegeldzahlungen – Ein Air Gap kann als Versicherungspolice für wichtige Daten betrachtet werden, da diese an einem Ort gespeichert werden, der nur für wenige Personen zugänglich ist. Wenn also andere Daten gefährdet sind, können die durch Air Gapping geschützten Daten unverzüglich wiederhergestellt werden, um den Betrieb wieder aufzunehmen.
• Schnelle Wiederherstellung zur Einhaltung von Unternehmens-SLAs – Bei einem Ransomware-Angriff zählen Sekunden. Dank der Nutzung von Air Gapping können geschäftskritische Daten schnell und einfach an einem beliebigen Ort wiederhergestellt werden.
• Vertrauen in die Effektivität der Datenwiederherstellung und geringere Kosten – Unternehmen tun zwar ihr Bestes, um im Do-it-yourself-Verfahren Datentresore zu erstellen und zu warten. Sie verwenden dazu eine parallele Infrastruktur, um eine isolierte Kopie ihrer Daten vorzuhalten. Es kann aber komplex und kostspielig sein, diese Setups auf dem neuesten Stand zu halten, was die Budgets schmälert und das Vertrauen in ihre Effektivität im Falle eines Angriffs reduziert.

Was sind die Nachteile und Herausforderungen von Air Gapping?

Air Gaps bezeichnen voneinander getrennte Systeme. Diese betriebsbereit und effektiv zu halten, kann für IT-Teams eine echte Herausforderung darstellen, insbesondere beim Verwenden selbst erstellter Datentresore. Zu den größten Herausforderungen gehören:

• Inkonsistente Patches und Updates – Interne Teams, die Air Gaps erstellen und warten, müssen diese ständig überprüfen, um sicherzustellen, dass Software- und Hardware-Updates ebenso wie Patches installiert und aktuell sind. Sie müssen außerdem über die Entwicklung von Bedrohungsvektoren und Ransomware-Typen auf dem Laufenden bleiben. Dieser Überblick kann für das ohnehin schon überlastete IT-Personal zu Schwerstarbeit werden.
• Insider-Bedrohungen – Personen, die für ein sicheres Air Gapping beim Übertragen von Daten zwischen Produktionssystemen und externen Medien wie USB-Sticks verantwortlich sind, könnten potenziell eine zweite Kopie der Daten erstellen oder Ransomware in den Air Gap einschleusen, wenn sie unzufrieden sind oder von Cyberkriminellen dafür bezahlt werden.
• Versehentliche Kompromittierung – Menschen machen Fehler, und bei Air Gapping-Technologien, die auf Menschen angewiesen sind, um Daten physisch zu bewegen, besteht immer die Möglichkeit menschlichen Versagens, z. B. durch das Offenlassen eines Anschlusses, über den eine Verbindung bestehen bleibt, obwohl das DIY-System manuell hätte getrennt werden müssen.
• Erfindungsreichtum der Cyberkriminellen – Kriminelle arbeiten heutzutage daran, jeden Aspekt des Lebenszyklus und der Lieferkette von Hard- und Software zu infiltrieren. Sie könnten daher in Zukunft Wege finden, Ransomware in den Air Gapping-Prozess einzuschleusen.

Welche Arten von Air Gaps gibt es?

Unternehmen haben bezüglich der Einrichtung von Air Gaps in ihren Computerumgebungen mehrere Optionen:

• Vollständiger physischer Air Gap – Dies ist die herkömmliche Methode, um Daten in eine völlig andere, physisch isolierte Umgebung zu verschieben, die keine Netzverbindungen zu den Produktionssystemen hat. Diese Daten befinden sich in der Regel meilenweit von der ursprünglichen Quelle entfernt, abgeschottet durch physische Sicherheitsgrenzen. Sie können nur ausgetauscht oder zur Wiederherstellung verwendet werden, wenn sich jemand physisch zum Zielort begibt und dort den Austausch vornimmt oder die Daten abruft.
• Isolierte Air Gap-Systeme – Digitale Unternehmen müssen ihre Prozesse im schlimmsten Fall eines Ransomware-Angriffs beschleunigen. Isolierte Air Gap-Systeme leisten dies, indem sie die Daten in separaten Systemen innerhalb derselben Umgebung schützen. Diese Systeme können sich im selben Rechenzentrum oder sogar im selben Rack befinden. Allerdings bleiben ihre Daten und Abläufe isoliert, da sie an unterschiedliche Netzwerke angeschlossen sind.
• Logische Air Gaps – Eine andere Air Gapping-Methode, die besser dazu geeignet ist, die strengen Recovery-SLAs digitaler Unternehmen zu erfüllen, ist ein logischer Air Gap. In diesem Fall befinden sich die getrennten Systeme weiterhin innerhalb desselben Netzwerks. Sie sind aber durch Methoden wie Verschlüsselung, Vier-Augen-Prinzip oder Quorum für Änderungen und rollenbasierte Zugriffskontrolle voneinander getrennt, um logische Air Gaps aufrechtzuerhalten.
• Virtueller Air Gap – Kombiniert mit den beiden oben aufgeführten digitalen Optionen wird ein virtueller Air Gap durch eine sichere und zeitlich begrenzte Netzwerkverbindung geschaffen, die unterbrochen wird, sobald sich die Daten im Tresor befinden.

Wie wird ein Air Gap-Netzwerk aufgebaut?

Die einfachste Möglichkeit, ein Air Gap-Netzwerk einzurichten, besteht darin, eine Dienstleistung zu wählen, die es dem Unternehmen ermöglicht, Daten effektiv zu schützen und sie im Falle eines Ransomware-Angriffs, einer Insider-Bedrohung oder einer anderen Katastrophe, ob natürlich oder vom Menschen verursacht, schnell wiederherzustellen. Diese Möglichkeit der Datenisolation kann die Cyber-Resilienz verbessern, indem eine unveränderliche Kopie der Daten über einen virtuellen Air Gap in einem verwalteten Cloud-Tresor abgelegt wird. Außerdem können die auf diese Weise sicher aufbewahrten Daten bei Bedarf schnell und einfach an der Quelle oder einem anderen Ort wiederhergestellt werden.

Cohesity und Schutz durch Air Gapping

Cohesity entwickelt Air Gapping – auch als Datenisolations- und Wiederherstellungstechnologie bezeichnet – für das moderne Cloud-Zeitalter weiter. Cohesity stellt Unternehmen nicht vor die Wahl, sich zwischen Datensicherheit und Wiederherstellungsgeschwindigkeit zu entscheiden. Stattdessen unterstützen wir ein Air Gap-Modell, das durch physische, netzwerktechnische und betriebliche Isolation sicherstellt, dass die Daten und Richtlinien des Tresors für externe und interne böswillige Akteure unzugänglich sind und die Vektoren für die Datenexfiltration begrenzt werden. Die SaaS (Software as a Service)-Lösung für eine Vielzahl von Datenquellen – von virtuellen Maschinen (VMs) bis hin zu Datenbanken, Dateien und Objekten – unterstützt außerdem schnelle Recovery Point und Recovery Time Objectives (RPOs/RTOs) mit anpassbaren Schutzrichtlinien.

Cohesity FortKnox ist eine SaaS-Lösung für Datentresore, Datenisolation sowie Wiederherstellung und bietet Air Gapping zur Verbesserung der Cyber-Resilienz. Die Lösung stellt eine unveränderliche Kopie der Daten in einer von Cohesity verwalteten Cloud bereit, vereinfacht erheblich den Backup-Betrieb und senkt dabei gleichzeitig die Kosten. Dank FortKnox wird Verbinden, Verwahren und Wiederherstellen zum Kinderspiel. So können Unternehmen nicht nur Cyberangriffen vorbeugen, sondern sich auch schnell davon erholen.

Cohesity FortKnox schützt Daten unter anderem auf die folgende Weise:

• Es schafft einen virtuellen Air Gap durch eine sichere und zeitlich begrenzte Netzwerkverbindung, die unterbrochen wird, sobald sich die Daten im Tresor befinden.
• Es unterstützt die Manipulationssicherheit durch Unveränderlichkeit, WORM, Verschlüsselung von Daten im Ruhezustand und während der Übertragung, AWS Object Lock zur Verhinderung von Änderungen der Aufbewahrungsrichtlinien sowie separate Workflows für Tresore und das Wiederherstellen von Daten.
• Es ermöglicht Zugriffskontrollen durch RBAC und MFA, um unbefugte Zugriffe auf Tresordaten zu verhindern. Darüber hinaus erfordert es die Genehmigung kritischer Aktionen oder Änderungen durch mindestens zwei autorisierte Personen.
• Es bietet eine erweiterte Anomalieerkennung mit dem intelligenten Machine Learning von Cohesity, das auf einen möglichen Ransomware-Angriff hinweisen kann.
• Es schafft eine betriebliche Isolation durch Cohesity oder ein vom Kunden verwaltetes KMS, um zu verhindern, dass autorisierte Benutzer, die Zugriff auf den Backup-Cluster haben, auf Tresordaten zugreifen oder diese wiederherstellen können.

Mit Cohesity erhalten Unternehmen einen virtuellen Air Gap, der aufgabenkritische Daten zusätzlich vor externen und internen Angreifern schützt.

Als Teil der Data Security Alliance, einer Organisation von mehr als einem Dutzend führenden Unternehmen der Sicherheitsbranche, arbeitet Cohesity außerdem mit Partnern zusammen, um umfassende, fortschrittliche Lösungen und Strategien für den Datenschutz und die Datensicherheit zu liefern.