Ein vollständiges Backup kann im Ernstfall nutzlos sein, wenn notwendige kryptografische Schlüssel fehlen. Ein funktionierendes Sicherungskonzept erfordert daher nicht nur die Sicherung von Anwendungs- oder Datenbankdaten, sondern auch ein strukturiertes Schlüsselmanagement. Besonders bei Systemwechseln oder Migrationen zeigt sich, wie eng die Wiederherstellbarkeit von Daten an vorhandene Schlüssel gebunden ist.

Unvollständige Backups durch fehlende Schlüsselkomponenten

Häufig wird in der Praxis angenommen, dass ein vollständiges Systembackup, etwa über Backint, Veeam oder klassische Filesystemverfahren, automatisch alle für eine Wiederherstellung erforderlichen Komponenten umfasst. Dabei bleibt jedoch oft unberücksichtigt, dass kryptografische Schlüssel nicht zwingend Teil solcher Sicherungen sind. In vielen Fällen werden diese separat vom eigentlichen Datenbestand abgelegt – beispielsweise in dedizierten Schlüsseldateien (wie dem Secure Store File System – SSFS – bei SAP HANA), in Trusted Platform Modules (TPM) auf der Hauptplatine oder in Hardware-Sicherheitsmodulen (HSM). Der Verlust dieser Schlüsseldateien führt dazu, dass vorhandene Backups zwar formal vollständig, jedoch praktisch unbrauchbar sind.

Fallbeispiel: HANA-Datenbank nicht wiederherstellbar durch fehlenden SSFS-Schlüssel

In einem konkreten Anwendungsfall sollte ein SAP HANA-Datenbank-Tenant aus einem Backint-Backup auf neuer Hardware wiederhergestellt werden. Der ursprüngliche Tenant war im Rahmen der Dekommissionierung bereits gelöscht worden, die neue Hardware bereitgestellt, das Backup vollständig. Dennoch konnte die Datenbank nicht wiederhergestellt werden. Die Ursache lag im Secure Store File System (SSFS): Die zugehörige Schlüsseldatei war nach dem Löschen des Tenants auf dem Ursprungssystem überschrieben worden. Eine Kopie dieser Datei lag nicht vor, und auf dem neuen System existierte sie nicht. Dadurch konnte das Backup nicht entschlüsselt werden – ein Restore war ausgeschlossen.

Besonderheiten des SSFS in SAP-Systemen

Das SSFS ist eine zentral verwaltete Schlüsseldatei mit binärer Struktur, die in SAP-Umgebungen unter anderem für die Verwaltung von Kommunikationszertifikaten, Backup-Schlüsseln und Anwendungszugängen verwendet wird. Innerhalb von HANA- oder ABAP-Systemen speichert es auch die Schlüssel, die zur Entschlüsselung einzelner Tenants erforderlich sind. Selbst wenn eine globale Verschlüsselung im System deaktiviert wurde, kann diese durch Sicherheitsupdates oder Konfigurationen auf Tenant-Ebene weiterhin aktiv sein. Der Umstand, dass eine Datei wie das SSFS nicht automatisch versioniert oder kopiert wird, führt im Ernstfall zu einem vollständigen Datenverlust, obwohl die Anwendungsdaten technisch verfügbar sind.

Technische Rekonstruktion durch Reverse Engineering

Da weder Snapshots, noch Betriebssystem-Backups oder alternative SSFS-Kopien existierten, war eine herkömmliche Wiederherstellung nicht möglich. Erst durch Reverse Engineering konnte eine Rekonstruktion der Schlüssel erfolgen. Hierzu wurden SAP-Trace-Dateien analysiert, die Dateistruktur des SSFS ausgewertet (vgl. pysap.readthedocs.io) und die enthaltenen Metadaten interpretiert. Auf dieser Basis konnten die ursprünglichen Schlüssel identifiziert und manuell nachgebildet werden. Erst dadurch wurde eine vollständige Wiederherstellung der Datenbank ermöglicht.

Relevanz von Schlüsselmanagement in der IT-Sicherheit

Das beschriebene Beispiel verdeutlicht die sicherheitstechnische Bedeutung kryptografischer Schlüssel im Kontext von Backup- und Wiederherstellungsprozessen. Ein Backup ohne den dazugehörigen Schlüssel ist funktional unbrauchbar – vergleichbar mit einem Tresor, dessen Kombination verloren ging. Daher muss die Verwaltung und Sicherung kryptografischer Schlüssel als gleichrangig zur Datensicherung betrachtet werden.

Organisatorische Empfehlungen für den Betrieb

• Schlüsseldateien sollten regelmäßig, versioniert und separat von Anwendungsdaten gesichert werden.
• Es ist zu dokumentieren, welche Verschlüsselungstechniken eingesetzt werden und an welchen Orten Schlüssel abgelegt sind.
• Schlüsseldateien sollten hinsichtlich Schutz und Redundanz wie produktive Daten behandelt werden.
• Prozesse zur Backup-Validierung sollten nicht nur den Datenbestand, sondern auch die Schlüsselverfügbarkeit einbeziehen.

Ein ganzheitlicher Ansatz im Backup-Management berücksichtigt sowohl die Daten als auch die dafür benötigten kryptografischen Schlüssel. Nur durch ein integratives Sicherheitskonzept kann die Verfügbarkeit von Systemen und Daten im Notfall gewährleistet werden.