Backup und Recovery

Eine Backup- und Recovery-Strategie sollte für jedes Gerät erstellt werden und schützt vor:

Das zuletzt erstellte Backup kann in kürzester Zeit wiederhergestellt werden und verhindert auf diese Weise große Produktionsausfälle. Wichtig ist, neben dem Anlegen von Backups auch einen Wiederherstellungsprozess festzulegen.

Backup und Recovery sind keine exklusive Security-Angelegenheit, helfen jedoch auch in Security-Vorfällen eine Ausfallzeit zu minimieren.

Ein Prozess sowohl zum Erstellen einer Sicherungskopie, aber auch ein Prozess zum Wiederherstellen sollte definiert werden. Dabei sollten auch Security-Aspekte berücksichtigt werden.

Wird eine komplett automatisierte Backup-Lösung eingesetzt, so ist das Backup-System selbst meist im Netzwerk zugreifbar und dadurch auch angreifbar; hier haben also manuelle („offline“) Backups einen Mehrwert. Offsite-Backups, also Backups, die auch örtlich getrennt gelagert werden, haben den Vorteil, dass auch bei einem lokalen Ereignis, wenn die Maschine selbst nicht betroffen ist, eine Wiederherstellung erfolgen kann.

Es sind also vielfältige Ausführungen verfügbar und denkbar.

Da die TwinCAT Boot-Projekte und alle nötigen Informationen als Dateien auf dem Dateisystem des jeweiligen Betriebssystems abgelegt sind, reicht eine dateibasierte Sicherung in diesem Fall aus.

Eine Backup- und Recovery-Lösung stellt Beckhoff mit dem „Beckhoff Service Tool“ (BST) bereit. Weitere Informationen zum BST siehe: Infosys Eintrag zum BST.

Wenn Ihr Industrie-PC mit aktivierter BitLocker-Verschlüsselung für die Systempartition ausgeliefert wird, dann ist der Schlüssel zur Entschlüsselung der Partition während eines unbeaufsichtigten Starts durch das Trusted Platform Module (TPM) auf dem Mainboard des Geräts geschützt. Das TPM-Modul stellt dem Windows-Kernel den Schlüssel zur Entschlüsselung nur dann zur Verfügung, wenn die Messung des frühen Startvorgangs zeigt, dass bisher vertrauenswürdige Software mit einer bekannten Konfiguration gestartet wurde und dass weder die Software noch die Konfiguration noch die nächste zu startende Software (d. h. der Kernel) manipuliert wurde.

Ein vollständiges Backup muss die Bootpartition und die Systempartition umfassen. Wenn Sie die komplette Boot-Disk als Raw-Device sichern, enthält Ihr Backup die verschlüsselte Systempartition. Zusätzlich zum Backup müssen Sie auch einen Wiederherstellungsschlüssel exportieren. Ein Wiederherstellungsschlüssel wird insbesondere benötigt, um das Backup auf einer anderen Hardware wiederherstellen und verwenden zu können. Bitte bewahren Sie diesen Wiederherstellungsschlüssel an einem sicheren und geschützten Ort auf. Außerdem wird dringend empfohlen, immer einen Wiederherstellungsschlüssel für den Fall bereitzuhalten, dass rechtmäßige Änderungen an der Software und der Konfiguration vorgenommen wurden, die Teil des frühen Startvorgangs sind. Dies kann beispielsweise der Fall sein, wenn die Boot-Sequenz der Firmware (BIOS) von autorisierten Personen geändert wird.

Bei aktivierter BitLocker-Verschlüsselung gibt es eine Alternative zu einer vollständigen Sicherung der Partitionen inklusive der verschlüsselten Systempartition: Sie können die Verschlüsselung der Systempartition vorübergehend deaktivieren und wie gewohnt ein Offline-Backup erstellen. Bitte vergessen Sie nicht, die Verschlüsselung anschließend wieder zu aktivieren.