Während des größten Teils des vergangenen Jahrzehnts war der Speicher das Letzte, woran ein Compliance-Team dachte. Man hatte ein SIEM. Man hatte Endpunktüberwachung. Es gab eine Firewall-Richtlinie und ein Framework für das Zugriffsmanagement. Der Speicher war Infrastruktur – etwas, das der IT gehörte, im Hintergrund lief und von der Compliance nur während eines Audits überprüft wurde, um dann bis zum nächsten Audit wieder in Vergessenheit zu geraten. Damit ist das Thema jedoch längst nicht mehr abgeschlossen.
Im Oktober 2024 trat NIS-2 EU-weit in Kraft. Seit Januar 2025 gilt DORA für den Finanzsektor. Die Richtlinie zur Widerstandsfähigkeit kritischer Einrichtungen (CERD) erweiterte die Verpflichtungen um die physische und betriebliche Kontinuität. In Deutschland legt das KRITIS-Gesetz einige der strengsten Anforderungen an den Schutz kritischer Infrastrukturen in Europa fest. Es ging NIS-2 voraus und gilt parallel dazu für auf dem deutschen Markt tätige Organisationen. In den USA definiert CIRCIA neu, welche Nachweise Betreiber kritischer Infrastrukturen im Falle eines schwerwiegenden Cybervorfalls erbringen müssen. All diesen Rahmenwerken ist eine Gemeinsamkeit gemein, die leicht übersehen wird, wenn man nur die zusammenfassenden Schlagzeilen liest: Sie fragen nicht danach, ob Sie über Sicherheitstools verfügen. Sie fragen, ob Sie nachweisen können, dass Ihre Daten wiederherstellbar sind und nicht manipuliert wurden. Das ist eine Frage der Speicherung.
Warum die Speicherebene immer wieder übersehen wird
Diese Lücke ist nachvollziehbar. Compliance-Programme wurden um die Tools herum aufgebaut, die Protokolle erzeugten: Firewalls, Identitätsplattformen und Endpunkt-Agenten. Speichersysteme waren in der Vergangenheit keine primären Protokollquellen. Sie fielen nicht in den Anwendungsbereich von Penetrationstests. Sie waren kein Thema bei Tabletop-Übungen. Man ging davon aus: Wenn die übrigen Kontrollmaßnahmen greifen, ist auch der Speicher sicher.
Ransomware hat diese Annahme jedoch dauerhaft widerlegt. Das Angriffsmuster, das den Aufsichtsbehörden mittlerweile die meisten Sorgen bereitet, ist nicht das, bei dem Daten exfiltriert werden, sondern das, bei dem Daten verschlüsselt werden, 30, 60 oder 90 Tage gewartet wird und dann die Verschlüsselung ausgelöst wird. Bis der Verschlüsselungsauslöser zündet, enthält jedes Backup im Standard-Backup-Fenster eine Kopie der Infektion. Die Frage lautet daher nicht: „Haben Sie Backups?“, sondern: „Verfügen Sie über Wiederherstellungspunkte, von denen Sie nachweisen können, dass sie nicht manipuliert wurden?“ Das ist eine schwierigere Frage. Und die meisten Unternehmen stellen erst dann fest, dass sie diese Frage eindeutig beantworten können, wenn ein Prüfer danach fragt.
Was die Aufsichtsbehörden tatsächlich prüfen
Lässt man die rahmenspezifische Fachsprache und die technischen Anhänge einmal beiseite, so lässt sich die in NIS-2, DORA, CER und CIRCIA immer wieder auftauchende Compliance-Frage auf drei Punkte reduzieren:
Sind Sie in der Lage, den Betrieb wiederherzustellen? Nicht: „Haben Sie Backups?“ – sondern: Können Sie unter Testbedingungen eine definierte Wiederherstellungszeit und einen definierten Wiederherstellungspunkt für Ihre kritischen Systeme nachweisen? Ist diese Fähigkeit dokumentiert, getestet und belegt?
Sind Ihre Wiederherstellungsdaten sauber? Wenn ein Angreifer 60 Tage lang erweiterte Zugriffsrechte auf Ihre Umgebung hatte, wie können Sie sicher sein, dass die Wiederherstellungspunkte, auf die Sie sich verlassen, nicht verändert wurden? Wie sieht der Verifizierungsmechanismus aus? Wer kontrolliert ihn? Und was mindestens genauso wichtig ist: Könnte ein kompromittiertes Administratorkonto darauf zugegriffen haben?
Wer hat was wann getan? Wenn ein Vorfall eintritt und die Untersuchung beginnt, erwarten die Aufsichtsbehörden einen Prüfpfad, der jede Konfigurationsänderung, jedes Zugriffsereignis und jede Richtlinienänderung einer Identität und einem Zeitstempel zuordnet. Es reicht nicht aus, ein allgemeines Protokoll zu führen – erforderlich ist eine spezifische, lückenlose und manipulationssichere Aufzeichnung.
Diese drei Fragen betreffen direkt die Speicherinfrastruktur. Nicht den Perimeter. Nicht den Endpunkt. Sondern die Ebene, auf der die Daten tatsächlich gespeichert sind.
Die meisten Unternehmen haben noch keine ehrliche Bestandsaufnahme vorgenommen
Die Compliance-Lücke im Bereich der Datenspeicherung ist in der Regel keine technologische Lücke, sondern eine Lücke bei den Nachweisen. Die Technologie zur Lösung dieser Probleme ist vorhanden. Was den meisten Unternehmen fehlt, ist die richtige Herangehensweise: eine Kombination aus Kontrollmaßnahmen, die zusammenwirken, konsequent angewendet werden und dokumentierbare Nachweise liefern, statt nur mündliche Zusicherungen abzugeben.
Überlegen Sie einmal, was „Wir haben Backups“ bei genauer Betrachtung tatsächlich bedeutet. Es bedeutet lediglich, dass es geplante Backup-Aufträge gibt. Es bedeutet jedoch nicht, dass diese Backups von der Angriffsfläche isoliert sind. Es bedeutet auch nicht, dass die Daten nicht verändert wurden. Und es bedeutet auch nicht, dass die Wiederherstellung kürzlich getestet wurde. Und es bedeutet auch nicht, dass es einen kryptografischen Integritätsnachweis gibt, den man einem Prüfer vorlegen kann.
Die Lücke zwischen „Wir haben Backups“ und „Wir können eine manipulationssichere, überprüfbare Wiederherstellungsfähigkeit nachweisen“ beschreibt genau die Situation, in der sich die meisten Organisationen derzeit befinden. Für regulierte Unternehmen, die unter NIS-2, DORA oder CIRCIA operieren, kann diese Lücke über das Bestehen oder Nichtbestehen eines Audits entscheiden.
Wie sieht eine tatsächlich compliancekonforme Speicherumgebung aus?
Es lohnt sich, konkret zu werden – allerdings nicht in Bezug auf Produkte, sondern auf Ergebnisse. Eine Speicherumgebung, die die oben genannten Anforderungen erfüllt, weist einige erkennbare Merkmale auf.
Wiederherstellungspunkte wie Snapshots sind beispielsweise unveränderlich. Sie sind nicht durch Konventionen oder Richtlinien gesperrt, sondern auf der Infrastrukturebene mit kryptografischer Überprüfung, die gewährleistet, dass sich die Daten seit dem Schreiben nicht verändert haben. Die Integritätsprüfung erfordert kein Vertrauen in einen Administrator. Sie erfordert Vertrauen in einen Hash.
Der Schutz erfolgt kontinuierlich und nicht periodisch. Backup-Fenster schaffen Lücken. Bei einem um 23:50 Uhr beginnenden Ransomware-Angriff, der sich gegen einen um Mitternacht geplanten Backup-Zeitplan richtet, gibt es fast 24 Stunden lang ungeschützte Schreibvorgänge. Kontinuierlicher Datenschutz, also die Aufzeichnung jedes Schreibvorgangs in Echtzeit, schließt dieses Fenster. Im Falle eines Angriffs kann nicht auf den Stand des letzten Backups, sondern auf den Zeitpunkt unmittelbar davor zurückgesetzt werden.
Der Zugriff ist geregelt und nachverfolgbar. Jede administrative Aktion auf der Speicherebene wird einer Identität zugeordnet und mit einem Zeitstempel versehen. Der Prüfpfad ist kein nachträglicher Einfall, sondern ein zentraler Bestandteil des Speichersystems. Er wird automatisch erstellt und kann bei Bedarf abgefragt werden.
Resilienz wird gemessen, nicht einfach vorausgesetzt. Auf die Frage „Wie resilient ist Ihr Speichersystem?“ sollte nicht mit einer Beschreibung der Architektur geantwortet werden. Die Antwort sollte eine Zahl, eine Methodik und einen Zeitstempel enthalten. Unternehmen, die zu einem quantifizierten Resilienzansatz übergegangen sind, kennen ihren Wert, wissen, was ihn beeinflusst und inwiefern er mit ihren regulatorischen Verpflichtungen korreliert. Sie befinden sich in einer grundlegend anderen Compliance-Diskussion als Unternehmen, die sich nach wie vor auf Architekturdiagramme verlassen.
Das Fenster schließt sich
Die Durchsetzung von NIS-2 ist bereits im Gange. DORA ist im Januar 2025 in Kraft getreten. Die Aufsichtsbehörden warten nicht ab, bis sich die Organisationen mit den Rahmenwerken vertraut gemacht haben, bevor sie Fragen stellen.
Diejenigen, die der Prüfung am besten standhalten werden, sind nicht die Organisationen, die in den Wochen vor einer Bewertung hastig ein Compliance-Tool eingeführt haben. Es sind diejenigen, die die entsprechenden Voraussetzungen geschaffen haben: Unveränderlichkeit, Kontinuität, Zugriffssteuerung und Prüfpfad sind feste Bestandteile ihrer Infrastruktur und keine in letzter Minute angehängten Zusatzfunktionen.
Der Speicher war schon immer der Ort, an dem die Daten liegen. Nun sind dort auch die Nachweise für die Compliance zu finden. Die Frage ist, ob Ihre Speicherinfrastruktur bereit ist, diese Nachweise zu liefern.
DataCore SANsymphony wurde nicht nur für die Architektur, sondern auch für die Prüfung entwickelt
Die meisten Speicherplattformen wurden zu einer Zeit konzipiert, als Compliance im Zusammenhang mit Speicher noch kein Thema war. Die von den Aufsichtsbehörden heute geforderten Kontrollmechanismen wurden erst später nachgerüstet – sofern sie überhaupt vorhanden sind.
DataCore SANsymphony ist anders. Sie bietet unveränderliche, kryptografisch überprüfbare Wiederherstellungspunkte, eine kontinuierliche Datensicherung und eine Echtzeit-Bewertung der Cyber-Resilienz. Letztere liefert Prüfern eine quantifizierte, dokumentierbare Antwort auf die Frage nach der Resilienz – und nicht nur ein Architekturdiagramm.
Dies ist für Unternehmen, die unter NIS-2, DORA, CER oder CIRCIA operieren, von Bedeutung, da sie bei einer Überprüfung Compliance-Nachweise vorlegen müssen. SANsymphony trägt dazu bei, diese Nachweise in die Infrastruktur selbst zu integrieren und macht den Speicher so zu einer Quelle nachweisbarer Resilienz, statt ihn zu einem System zu machen, das Compliance-Teams im Nachhinein erklären müssen.
