Isolated Recovery Environment: Aufbau einer geschützten Recovery-Zone

Das IRE-Kon­zept #

Eine IRE ist Zone 3 in der Cyber-Resilienz-Architektur:

• Zone 1: User-Work­sta­tions (hohes Angriffs-Risiko)
• Zone 2: Pro­duk­ti­ve Ser­ver (mitt­le­res Risiko)
• Zone 3: Iso­la­ted Reco­very Envi­ron­ment (prak­tisch null Risi­ko, durch physische/​logische Isolation)
• Tier 2: Air-Gap-Back­up (phy­sisch getrennt, nicht online)

Die Idee: Wenn Ihr Pro­duc­tion-Netz­werk kom­pro­mit­tiert ist, kön­nen Sie in Zone 3 Sys­te­me wie­der­her­stel­len, ohne dass der Angrei­fer Zugriff hat. Die Iso­la­ti­on ist abso­lu­te Voraussetzung.

Tech­ni­sche Anfor­de­run­gen einer IRE #

1. Phy­si­sche oder logi­sche Iso­la­ti­on #

Phy­sisch iso­liert bedeutet:

• Sepa­ra­te Hard­ware (nicht vir­tua­li­siert im glei­chen Clus­ter wie Production)
• Kei­ne Netz­werk-Kabel zu Production
• Phy­sisch in einem ande­ren Raum oder sogar ande­rem Gebäude

Logisch iso­liert bedeutet:

• Vir­tu­el­le Maschi­nen in einem sepa­ra­ten vSphe­re Cluster
• Kein Zugriff auf Pro­duc­tion vSAN oder Storage
• Sepa­ra­te Netz­werk-Swit­ches, sepa­ra­te VLANs
• Fire­wall-Regeln, die Zone 3 und Pro­duc­tion trennen

Phy­si­sche Iso­la­ti­on ist stär­ker, aber teu­er. Logi­sche Iso­la­ti­on ist prak­ti­ka­bler für vie­le Orga­ni­sa­tio­nen — solan­ge die Imple­men­tie­rung strikt ist.

2. Kein Acti­ve Direc­to­ry Anschluss #

Das ist kri­tisch: Die Reco­very-Umge­bung läuft nicht mit Pro­duc­tion-AD.

War­um? Wenn der Pro­duc­tion-AD kom­pro­mit­tiert ist (und bei einem Cyber­an­griff ist er es oft), und die Reco­very-Umge­bung ist an den glei­chen AD ange­bun­den, dann sind auch die wie­der­her­ge­stell­ten Sys­te­me sofort kompromittiert.

Statt des­sen:

• Sepa­ra­te loka­le Accounts auf Recovery-Systemen
• Oder ein sepa­ra­ter, iso­lier­ter AD nur für Zone 3
• Kei­ne Ver­trau­ens­re­la­tio­nen zum Production-AD

3. Sepa­ra­te Admin-Cre­den­ti­als #

Zone 3 hat eige­ne Admin-Accounts mit eige­nem Passwort-Safe.

Ein Admi­nis­tra­tor, der in Pro­duc­tion tau­send Sys­te­me admi­nis­triert, hat in Zone 3 nur Zugriff auf Sys­te­me, die dort gera­de wie­der­her­ge­stellt wer­den. Das redu­ziert Risi­ko bei Credential-Kompromittierung.

4. Begrenz­te Netz­werk-Ver­bin­dung #

Zone 3 hat mini­ma­len Netz­werk-Zugang nach außen:

• Kein Inter­net: Wie­der­her­ge­stell­te Sys­te­me kön­nen nicht ins Inter­net gehen (kei­ne Kon­takt zu Angreifer‑C&C Server)
• Kein Pro­duc­tion-Zugriff: Zone 3 kann nicht Pro­duc­tion-Sys­te­me errei­chen (ver­hin­dert Late­ral Movement)
• Air-Gap-Back­up-Zugriff: Zone 3 kann auf Air-Gap-Back­ups zugrei­fen (über geschütz­te Netz­werk-Kabel oder por­ta­ble Medien)
• Inter-Zone-Reco­very: Wenn Datei­en von Pro­duc­tion in Zone 3 geholt wer­den müs­sen, geschieht das über einen Manu­al-Trans­fer, nicht automatisch

Das ist nicht maxi­ma­le Kon­nek­ti­vi­tät — das ist mini­ma­les not­wen­di­ges Zugriff.

5. Veri­fi­ka­ti­ons-Infra­struk­tur #

Zone 3 muss Tools haben, um wie­der­her­ge­stell­te Sys­te­me zu überprüfen:

• Anti­vi­rus / EDR: Scan­nen Sie den wie­der­her­ge­stell­ten Ser­ver auf Malware
• Inte­gri­ty Check Tools: Veri­fi­zie­ren Sie, dass Datei­en nicht mani­pu­liert wurden
• Appli­ca­ti­on Test­ing: Tes­ten Sie, dass wie­der­her­ge­stell­te Anwen­dun­gen funktionieren
• Data Vali­da­ti­on: Über­prü­fen Sie Daten­bank­in­te­gri­tät, File-Integrität

Die Idee: Bevor ein Sys­tem Zone 3 ver­lässt und zurück in Pro­duc­tion geht, wis­sen Sie, dass es sau­ber ist.

Der Reco­very-Work­flow mit IRE #

Sze­na­rio: Ein Ran­som­wa­re-Angriff hat Ihr Pro­duc­tion-Netz­werk kom­pro­mit­tiert. ERP-Ser­ver, File­ser­ver und Acti­ve Direc­to­ry sind verschlüsselt.

Schritt 1: Erken­nung & Containment

• Angriff wird erkannt (Alert im SIEM)
• Pro­duc­tion-Netz­werk wird vom Inter­net getrennt
• Aber: Air-Gap-Back­up ist sau­ber (phy­sisch isoliert)

Schritt 2: Recovery-Vorbereitung

• Back­up-Admin ver­bin­det Air-Gap-Hard­ware mit Zone 3
• Reco­very-Umge­bung wird hoch­ge­fah­ren (sepa­ra­te Hard­ware, sepa­ra­te Credentials)
• Reco­very-Soft­ware wird gestartet

Schritt 3: System-Wiederherstellung

• ERP-Ser­ver wird aus Air-Gap-Back­up in Zone 3 wiederhergestellt
• RTO: ~ 2 – 4 Stun­den (abhän­gig von Datengröße)
• Ser­ver läuft in Zone 3, nicht in Production

Schritt 4: Verifikation

• Anti­vi­rus scannt den wie­der­her­ge­stell­ten Server
• Admin tes­tet ERP-Funktionalität
• Daten­bank-Inte­gri­tät wird überprüft
• Reco­very ist veri­fi­ziert, nicht nur ​“hof­fen”

Schritt 5: Con­trol­led Production-Migration

• Erst jetzt wird der sau­be­re Ser­ver aus Zone 3 mit Pro­duc­tion-Netz­werk verbunden
• Aber: Mit erhöh­ter Überwachung
• EDR und SIEM beob­ach­ten ver­däch­ti­ge Aktivität

Schritt 6: Parallel-Forensik

• Wäh­rend Pro­duc­tion läuft, ana­ly­siert ein sepa­ra­tes Team den kom­pro­mit­tier­ten File­ser­ver (noch offline)
• Ziel: Ver­ste­hen wie der Angriff pas­siert ist

Das ist nicht schnell (48−72 Stun­den für Reco­very), aber es ist veri­fi­ziert sicher.

Häu­fi­ge Feh­ler beim IRE-Auf­bau #

Feh­ler 1: Zu wenig Isolation ​“Wir haben einen sepa­ra­ten vSphe­re Clus­ter für Reco­very” — aber der glei­che SAN, der glei­che Admin, der glei­che Inter­net-Zugang. Das ist nicht IRE.

Feh­ler 2: Zu abhän­gig von AD ​“Unse­re Reco­very-VMs sind an Pro­duc­tion-AD ange­bun­den.” Das ist ein Sicher­heits­ri­si­ko. Sepa­ra­te Accounts mindestens.

Feh­ler 3: Zu wenig Kapazität ​“Unse­re Zone 3 kann nur einen Ser­ver auf ein­mal hos­ten.” Das ist zu lang­sam. Plan für meh­re­re simul­ta­ne Wiederherstellungen.

Feh­ler 4: Nicht getestet ​“Wir haben eine IRE auf­ge­baut, aber nie einen ech­ten Reco­very durch­ge­spielt.” Das ist ein Mythos, nicht Rea­li­tät. Tes­ten Sie quartalsweise.

Häu­fi­ge Fra­gen #

Kann eine IRE in der Cloud sein? Theo­re­tisch ja, aber es ist schwä­cher. Cloud-Pro­vi­der haben Zugriff auf Ihre Daten. Eine On-Pre­mi­ses oder Hybrid IRE ist stärker.

Wie viel kos­tet eine IRE? Das hängt stark ab. Eine phy­sisch iso­lier­te IRE mit sepa­ra­ter Hard­ware: 50k-200k EUR. Eine logisch iso­lier­te IRE im glei­chen Dat­a­cen­ter: 20k-50k EUR.

Brau­chen wir IRE für alle Systeme? Nein. Nur für kri­ti­sche Sys­te­me, die Ran­som­wa­re über­le­ben müs­sen. File­ser­ver, ERP, AD, E‑Mail: ja. Nicht-kri­ti­sche Sys­te­me: kön­nen spä­ter wie­der­her­ge­stellt werden.

---