Die eigene Recovery-Box

Schmuck und andere Wertsachen gehören ins Schliessfach. Aber was ist mit den wertvollsten Daten?», fragt Alexander Huser, CEO des Start-ups Sedion. Als Antwort hat sein Unternehmen die Sedion Secure Box entwickelt, ein in sich geschlossenes Gesamtsystem von Speicherort, Hard- und Software zur Sicherung der wichtigsten Daten. Das Unternehmen sieht sich dabei als Ergänzung zu herkömmlichen Backup-Systemen und setzt auf erweiterte Sicherheitstechnologien im Standardangebot: «Wir setzen unsere eigene Software ein und gleichzeitig sind die Daten immer verschlüsselt.» Im Gegensatz zu vielen internationalen Angeboten kann das Unternehmen hier punkten. «Durch den Verzicht auf Drittprodukte wird das Risiko von Hintertüren minimiert.» Die gesamte Software wurde ­ausserdem eigens in der Schweiz entwickelt, ist also Swiss Made. Und auch die Infrastruktur befindet sich ausschliesslich in der Schweiz.

Dieser High-Secure-Ansatz kommt allerdings nur für die wichtigsten Daten zur Anwendung. «Gemeint sind die Daten, ohne die ein Geschäft seiner Tätigkeit nicht mehr nachgehen kann», erklärt Alexander Huser. Sedion beschränkt deswegen die Datenmengen zurzeit auf maximal 2 Terabyte. Diese werden jedoch besonders geschützt. Einmal in einem Rechenzentrum in einem ehemaligen Militärbunker in den Voralpen und gleichzeitig auf einem physischen Datenträger am Standort des Kunden. Sedion bezeichnet diesen Ansatz als «Backup+». «Trotz der zahlreichen Vorteile der Cloud, ist vielen Unternehmen unwohl dabei, alle ihre zentralen Daten vollständig an Dritte abzugeben. Deswegen gibt es bei uns zusätzlich den lokalen Datenbestand», erklärt Alexander Huser.

Für die Implementation gibt es jeweils ein Kick-off zusammen mit dem IT-Dienstleister des Kunden. Zusammen werden die wichtigsten Daten definiert. Anschliessend wird eine Box konfiguriert, die Daten aus den Systemen des Kunden direkt bezieht. Aktuell wird eine Schnittstelle für gängige Cloud-Angebote entwickelt, die dann ebenfalls angebunden werden können. So können dann nicht nur lokale Daten gesichert werden, sondern auch solche, die bei diversen Cloud-Anbietern liegen – egal ob hybrid oder Cloud-only.

Alle Daten werden auf der Box verschlüsselt und anschliessend über eine sichere Verbindung in den Bunker übertragen. Die jeweils aktuellste Version bleibt auf der Box. Die Versionierung findet in der Cloud statt. Sedion bietet dazu auch verschiedene Bereinigungs-­Tools. «Wir durchleuchten die Daten bis auf die Metadaten-Ebene», erklärt Huser. So wird ein zusätzlicher Schutz vor Schadsoftware, Malware und Krypto-­Trojanern eingeführt, die sich dort verstecken können. Dies geschieht schon bei der Inbetriebnahme der Box – man weiss ja nie.

Dies ist auch im Fall eines erfolgreichen Angriffs auf das Unternehmen relevant, wenn ein Recovery durchgeführt werden soll. «Der Kunde kann entscheiden, wie stark wir die Daten durchleuchten und reinigen sollen, bevor sie ins neue System übertragen werden». Im Gegensatz zu breit aufgesetzten Lösungen soll so verhindert werden, dass auch die Back­ups im Fall eines erfolgreichen Ransomware-Angriffs verschlüsselt werden. Der Kunde kann auch seine Box jederzeit einpacken und mitnehmen und hat so immer seine wichtigsten Daten bei sich, wenn er das wünscht. Alexander Huser sieht die Secure Box auch als Alternative respektive Ergänzung zu einer Cyberversicherung: «Die Versicherungen schliessen gewisse Elemente des Schadens aus. ­Ausserdem gibt es eine definierte Schadensobergrenze, die schnell überschritten wird.» Er spielt damit auf den Zeitaufwand für Wiederherstellung und Datensäuberung an, der leicht mehrere Tage oder Wochen in Anspruch nehmen kann.

Sedion will aber noch weitere Risiken ausklammern: «Backups nach dem 3-2-1-Prinzip sind nicht unfehlbar und Standardlösungen werden im Allgemeinen im Ausland gehostet. Teilweise ist nicht klar wo. Egal wie gut die Technik ist, die Kontrolle ist dann einfach weg», so Alexander Huser. Deswegen setzt Sedion auch auf den Swiss-Hosting-Standard, der voraussetzt, dass das Unternehmen nicht durch eine ausländische Mutter kontrolliert wird.

Zielgruppe für die Box sind zurzeit KMU mit besonders wertvollen Daten wie Treuhänder und Anwälte, aber auch andere Unternehmen ab zehn Mitarbeitern. «Ich kenne einen Töff-Mech, der einer Ransomware-Attacke zum Opfer fiel. Der musste zahlen und wurde fast in den Ruin getrieben», erzählt Alexander Huser. Auch er vertritt die Devise, dass es nicht länger darum geht, ob ein Unternehmen gehackt wird, sondern wann.

«Das Recovery aus dem Backup muss einfach funktionieren und das Unternehmen muss sich sicher sein, dass die Daten auch sauber sind», bekräftigt er. Sedion will so dafür sorgen, dass seine Kunden auch noch in zehn Jahren ihrem Geschäft nachgehen können und einem allfälligen Cyberangriff entspannter entgegenschauen.

>Sedion AG Homepage

>Sedion AG swiss made software-Profil