Die eigene Recovery-Box
Christian Walter ist Geschäftsführer und Redaktionsleiter von swiss made software. Bis Ende 2010 arbeitete er als Fachjournalist für das ICT-Magazin Netzwoche, publizierte zuletzt aber auch im Swiss IT Magazin, der Computerworld sowie inside-it.
Trotz Cloud-Vorteilen ist vielen unwohl, wenn sie die Kontrolle über die Kerndaten verlieren. Sedion bietet dafür eine kombinierte Box- und Cloud-Variante.
Schmuck und andere Wertsachen gehören ins Schliessfach. Aber was ist mit den wertvollsten Daten?», fragt Alexander Huser, CEO des Start-ups Sedion. Als Antwort hat sein Unternehmen die Sedion Secure Box entwickelt, ein in sich geschlossenes Gesamtsystem von Speicherort, Hard- und Software zur Sicherung der wichtigsten Daten. Das Unternehmen sieht sich dabei als Ergänzung zu herkömmlichen Backup-Systemen und setzt auf erweiterte Sicherheitstechnologien im Standardangebot: «Wir setzen unsere eigene Software ein und gleichzeitig sind die Daten immer verschlüsselt.» Im Gegensatz zu vielen internationalen Angeboten kann das Unternehmen hier punkten. «Durch den Verzicht auf Drittprodukte wird das Risiko von Hintertüren minimiert.» Die gesamte Software wurde ausserdem eigens in der Schweiz entwickelt, ist also Swiss Made. Und auch die Infrastruktur befindet sich ausschliesslich in der Schweiz.
Dieser High-Secure-Ansatz kommt allerdings nur für die wichtigsten Daten zur Anwendung. «Gemeint sind die Daten, ohne die ein Geschäft seiner Tätigkeit nicht mehr nachgehen kann», erklärt Alexander Huser. Sedion beschränkt deswegen die Datenmengen zurzeit auf maximal 2 Terabyte. Diese werden jedoch besonders geschützt. Einmal in einem Rechenzentrum in einem ehemaligen Militärbunker in den Voralpen und gleichzeitig auf einem physischen Datenträger am Standort des Kunden. Sedion bezeichnet diesen Ansatz als «Backup+». «Trotz der zahlreichen Vorteile der Cloud, ist vielen Unternehmen unwohl dabei, alle ihre zentralen Daten vollständig an Dritte abzugeben. Deswegen gibt es bei uns zusätzlich den lokalen Datenbestand», erklärt Alexander Huser.
Die eigene Box
Für die Implementation gibt es jeweils ein Kick-off zusammen mit dem IT-Dienstleister des Kunden. Zusammen werden die wichtigsten Daten definiert. Anschliessend wird eine Box konfiguriert, die Daten aus den Systemen des Kunden direkt bezieht. Aktuell wird eine Schnittstelle für gängige Cloud-Angebote entwickelt, die dann ebenfalls angebunden werden können. So können dann nicht nur lokale Daten gesichert werden, sondern auch solche, die bei diversen Cloud-Anbietern liegen – egal ob hybrid oder Cloud-only.
Alle Daten werden auf der Box verschlüsselt und anschliessend über eine sichere Verbindung in den Bunker übertragen. Die jeweils aktuellste Version bleibt auf der Box. Die Versionierung findet in der Cloud statt. Sedion bietet dazu auch verschiedene Bereinigungs-Tools. «Wir durchleuchten die Daten bis auf die Metadaten-Ebene», erklärt Huser. So wird ein zusätzlicher Schutz vor Schadsoftware, Malware und Krypto-Trojanern eingeführt, die sich dort verstecken können. Dies geschieht schon bei der Inbetriebnahme der Box – man weiss ja nie.
Malware in den Metadaten
Dies ist auch im Fall eines erfolgreichen Angriffs auf das Unternehmen relevant, wenn ein Recovery durchgeführt werden soll. «Der Kunde kann entscheiden, wie stark wir die Daten durchleuchten und reinigen sollen, bevor sie ins neue System übertragen werden». Im Gegensatz zu breit aufgesetzten Lösungen soll so verhindert werden, dass auch die Backups im Fall eines erfolgreichen Ransomware-Angriffs verschlüsselt werden. Der Kunde kann auch seine Box jederzeit einpacken und mitnehmen und hat so immer seine wichtigsten Daten bei sich, wenn er das wünscht. Alexander Huser sieht die Secure Box auch als Alternative respektive Ergänzung zu einer Cyberversicherung: «Die Versicherungen schliessen gewisse Elemente des Schadens aus. Ausserdem gibt es eine definierte Schadensobergrenze, die schnell überschritten wird.» Er spielt damit auf den Zeitaufwand für Wiederherstellung und Datensäuberung an, der leicht mehrere Tage oder Wochen in Anspruch nehmen kann.
Sedion will aber noch weitere Risiken ausklammern: «Backups nach dem 3-2-1-Prinzip sind nicht unfehlbar und Standardlösungen werden im Allgemeinen im Ausland gehostet. Teilweise ist nicht klar wo. Egal wie gut die Technik ist, die Kontrolle ist dann einfach weg», so Alexander Huser. Deswegen setzt Sedion auch auf den Swiss-Hosting-Standard, der voraussetzt, dass das Unternehmen nicht durch eine ausländische Mutter kontrolliert wird.
Ein sauberes Recovery
Zielgruppe für die Box sind zurzeit KMU mit besonders wertvollen Daten wie Treuhänder und Anwälte, aber auch andere Unternehmen ab zehn Mitarbeitern. «Ich kenne einen Töff-Mech, der einer Ransomware-Attacke zum Opfer fiel. Der musste zahlen und wurde fast in den Ruin getrieben», erzählt Alexander Huser. Auch er vertritt die Devise, dass es nicht länger darum geht, ob ein Unternehmen gehackt wird, sondern wann.
«Das Recovery aus dem Backup muss einfach funktionieren und das Unternehmen muss sich sicher sein, dass die Daten auch sauber sind», bekräftigt er. Sedion will so dafür sorgen, dass seine Kunden auch noch in zehn Jahren ihrem Geschäft nachgehen können und einem allfälligen Cyberangriff entspannter entgegenschauen.
More articles on General Security
- Thursday 09.12.2021
Das Passwortarchiv bleibt in der Schweiz
Alpein Software Swiss bietet einen lokal gehosteten Passwortmanager für Privatpersonen und Unternehmen. - Thursday 26.09.2019
Keine Zero Days mehr
Das ETH-Spinoff Xorlab will Cyberattacken stoppen, bevor sie ins Rollen kommen. Dafür wurde ein neues Verteidigungskonzept entwickelt. - Monday 26.08.2019
Einfach zertifizieren
Regularien werden immer anspruchsvoller. Um den Überblick zu behalten und gleichzeitig die Komplexität zu beherrschen, bietet das Start-up CISS deshalb eine digitale Lösung. - Tuesday 02.04.2019
Das Ökosystem hinter der SwissID
Neben SwissSign sind zahlreiche Partner Teil des SwissIDÖkosystems. Zusammen wollen sie das Herzstück für weite Teile der kommenden Digitalisierung bilden, und zwar, ohne die Privatsphäre der Nutzenden zu tangieren. - Friday 01.12.2017
Interview Gilbert Semmer: «Hersteller können nicht die alleinige Verantwortung tragen»
Gerade im vernetzten Gesundheitswesen ist Cyber-Sicherheit ein Gemeinschaftsprojekt. Trotz Fortschritten ist ein gesellschaftlicher Diskurs zu diesem Thema nach wie vor nötig, wie Sicherheitsexperte Gilbert Semmer im Interview darlegt. - Friday 24.11.2017
Sicherheit hat Mehrwert – am Computer und im Geschäft
Moderne Cyber-Security verlangt mehr als nur die Erhöhung der Schranken, um Angreifer abzuwehren. Der altbekannte Trade-off von Sicherheit und Bequemlichkeit hat als Argumentation ausgedient. Eine zeitgemässe Lösung muss neben Sicherheit und Bequemlichkeit auch neue Businesskonzepte unterstützen. - Friday 24.11.2017
Innovation und Sicherheit im vernetzten Gesundheitswesen
Das labormedizinische Unternehmen Viollier setzt voll auf digitale Innovation, um sich am Markt zu differenzieren. Um die Sicherheit der medizinischen Daten zu garantieren, kooperiert das Unternehmen mit dem Berner Sicherheitsspezialisten United Security Providers. - Friday 24.11.2017
Security for international payments
In 2016, hackers attempted to steal more than 950 million dollars from accounts held at Bangladesh’s central bank, Bangladesh Bank. While automated systems managed to stop the transfers at 81 million, this was still an impressive demonstration of the vulnerability of the SWIFT system. - Friday 24.11.2017
Sicherheit klingt gut
Viele Nutzer verzichten zu Gunsten von Bequemlichkeit auf angebotene Security-Lösungen. Futurae versucht einen neuen Ansatz: Sicherheit durch den Vergleich von Umgebungsgeräuschen. - Friday 24.11.2017
Das verschlüsselte Unternehmen
Während Private und Staaten mit der dauernden Ausspähung des Internets beschäftigt sind, steigen parallel die rechtlichen Anforderungen an den Datenschutz. - Friday 24.11.2017
Dreidimensionales Schach
Sicherheit muss auf mehr als nur der ICT-Ebene gedacht werden. Sicherheitsanbieter agieren deswegen auf einem überaus komplexen Terrain, das nicht nur von kriminellen, sondern auch von nationalen Interessen geprägt ist.