Wenn wir über Cybersicherheit sprechen, geraten Storage- und Backup-Systeme nur selten ins Rampenlicht. Doch in der dynamischen Bedrohungslandschaft von heute kann deren Vernachlässigung katastrophale Folgen haben. Aktuelle Cyberangriffe zeigen: Diese grundlegenden Komponenten – einst als technische Backend-Themen betrachtet – sind inzwischen häufige primäre Angriffsziele geworden. Es ist notwendig, Storage und Backups ins Zentrum Ihrer Sicherheitsstrategie zu rücken.
Standards & Richtlinien verschärfen Anforderungen
Nicht nur Angreifer nehmen Storage- & Backup-Systeme in den Fokus. Auch Regulierer, Compliance-Instanzen und Cyberversicherer verschärfen Anforderungen:
- PCI DSS 4.0 verlangt jetzt explizit authentifizierte interne Schwachstellen-Scans.
- NIST SP 800-209 und ISO/IEC 27040 liefern umfassende Leitlinien zur Sicherung von Storage-Infrastrukturen – und werden zunehmend verpflichtend.
- NIS-2 Richtlinie verlangt rechtliche Verpflichtung zur Absicherung von Speicherinfrastruktur, inklusive Backup-Systemen.
- DORA fordert IT-Assets und Risiken zu bewerten bzw. Schwachstellenmanagement umzusetzen.
- Cyberversicherer erhöhen Prämien und verlangen strikte Kontrollen – z. B. Segmentierung, Zugriffskontrolle und Patch-Disziplin für Storage & Backup.
Warum Storage- und Backup-Sicherheit heute relevanter ist, denn je:
- Wird primärer Storage angegriffen – durch Ransomware oder Insider – können binnen Sekunden hunderte oder tausende Workloads (z. B. Datenbanken, Container, VMs) ausfallen.
- Sind Ihre Backup-Systeme ebenfalls befallen, bleibt Ihnen ggf. keine Wiederherstellungsoption. Dann stehen Sie ohne Plan B da.
- Die aktuellen Studie und Umfrage „The 2025 Security Maturity of Storage & Data Protection Systems” zeigt: Jedes Enterprise-Storage- oder Backup-Gerät weist durchschnittlich 10 Schwachstellen auf – davon 5 mit hoher oder kritischer Schwere. Und meistens fehlt vielen Unternehmen die Übersicht über diese Schwachstellen.
Drei wesentliche Schritte zur Stärkung Ihrer Storage- und Backup-Sicherheit:
1. Spezialisierte Schwachstellen-Scanner einsetzen
Gängige Vulnerability-Management-Tools (z. B. Tenable, Qualys, Rapid7) reichen oft nicht aus. Sie benötigen Scanner, die:
- Speziell auf Storage- & Backup-Infrastruktur ausgerichtet sind
- Authentifizierte und nicht-authentifizierte Scans beherrschen
- Auf stets aktuellen Vulnerability-Datenbanken basieren
- End-of-Support-Zeiträume erkennen können
2. Sichere Konfigurations-Baselines aufbauen
Definieren Sie sichere Einstellungen für Plattformen wie Dell, Pure, Hitachi Vantara, NetApp, Veeam, CommVault, Cohesity etc. Diese Baselines sollten regelmäßig gepflegt und reflektieren:
- Systemeinstellungen
- Sicherheitseinstellungen
- Empfehlungen der Hersteller
- Realistische Angriffsvektoren
3. Gap-Analysen durchführen
Hinterfragen Sie kontinuierlich:
- Werden alle Storage- & Backup-Geräte gescannt?
- Existieren automatisierte Prozesse zur Validierung von Patches und Konfigurationen?
- Haben Sie ein vollständiges Inventar aller Komponenten (Arrays, Appliances, Nodes, Software)?
- Gibt es definierte Zielkonfigurationen bzw. Sicherheits-Standards?
- Bestehen Methoden zur kontinuierlichen Erkennung von Konfigurationsabweichungen?
- Liegt eine Sammlung erprobter Best Practices zur Härtung der Systeme vor?
Gap-Analysen decken häufig übersehene Schwächen auf und machen sie sichtbar.
Wie ein vollständiges Storage-& Backup-Security-Programm aussehen sollte:
Ein robustes Security-Management-Programm umfasst:
- Schwachstellenmanagement speziell für Storage-Umgebungen
- Erzwingung sicherer Konfigurationen
- Echtzeit-Erkennung von Anomalien auf Block- und Dateisystemebene
- Compliance-Orientierung an Standards (PCI DSS, NIST, ISO, HIPAA etc.)
- Integration mit Tools wie ServiceNow, Qualys, Rapid7, Tenable, CyberArk, CyberSense, Varonis u. a.
Fazit
Storage- und Backup-Systeme sind heute wahrscheinlich die kritischsten – und gleichzeitig am meisten vernachlässigten Assets in Ihrer IT-Landschaft. Sie verdienen die gleiche Aufmerksamkeit und Sicherheit wie Endgeräte, Netzwerke und Anwendungen.
Mit zunehmenden Cyberangriffen und strengeren Standards nimmt der Druck zu. Jetzt ist der Moment, Schwachstellenmanagement, Konfigurations-Härtung und Resilienz-Bewertungen Ihrer Storage- & Backup-Infrastruktur zu priorisieren.
Über ANIO:
„ANIO Solutions GmbH ist ein österreichischer Spezialist für Backup, Recovery und Datenverfügbarkeit. Das Unternehmen unterstützt dabei, kritische Systeme zuverlässig abzusichern, Wiederherstellungsprozesse zu optimieren und die Einhaltung von Sicherheits- und Compliance-Standards sicherzustellen.“
Über Continuity:
„StorageGuard – von Continuity™ – ist die EINZIGE Security-Posture-Management-Lösung für Storage- und Backup-Systeme. Sie prüft kontinuierlich Konfigurationen, erkennt Schwachstellen und garantiert, dass Systeme den aktuellen Standards entsprechen.