Ransomware-Angriffe sind allgegenwärtig und verschonen nichts und niemanden. So sind auch Krankenhäuser, Arztpraxen und die vielzitierte kritische Infrastruktur mehrfach erfolgreich angegriffen und deren Daten verschlüsselt worden, um Lösegeld für die Entschlüsselung zu erpressen. Dieses Geschäftsmodell bleibt für die Hacker äußerst lukrativ und wird sich deshalb verbreiten. Höchste Zeit, zu handeln.
Erfolgsmodell Ransomware
Hierzulande findet Schätzungen des Fachmagazins Cybersecurity Ventures zufolge alle 11 Sekunden eine Ransomware-Attacke statt. Das summiert sich auf tagtäglich auf mehrere Tausend lahmgelegte unternehmenskritische Systeme und ungeplante Ausfallzeiten für Unternehmen, Organisationen und Behörden. Wie erfolgreich Ransomware agiert, zeigt auch der alljährliche Data Protection Trends Report der Backup-Firma Veeam: Im DACH-Raum hatten nur 21 Prozent der Befragten im Jahr 2022 nicht mit Ransomware zu kämpfen. Umgekehrt erlebten demnach 79 Prozent eine – oder sogar mehrere – Ransomware-Attacke. Bei den Angriffen wurden im Durchschnitt 39 Prozent der Daten verschlüsselt, also weite Teile der IT-Infrastruktur. Für diejenigen, die das Lösegeld nicht bezahlten, war nur etwas mehr als die Hälfte der Daten wiederherstellbar – doch Sicherheitsexperten raten dringend dazu, nicht zu bezahlen.
Ein weiterer wichtiger Aspekt sind die Wiederherstellungszeiten und die Wiederherstellungspunkte: Wie lange dauert es, bis das Unternehmen wieder online ist, und wie alt sind die Daten, die es wiederherstellen kann? Drei Viertel sagen, es dauert zu lange. Kurz gesagt, das Ransomware-Thema ist omnipräsent, die Folgen sind schwerwiegend und die Unternehmen scheinen nicht ausreichend gewappnet zu sein.
Backup-Strategien
Diese alarmierenden Zahlen führen zu der Frage, wie man es besser machen könnte. Hier kommen Backups ins Spiel. Sie sind eine Art letzte Verteidigungslinie der Unternehmen. Die Firmen können darauf zurückgreifen, wenn eine Ransomware eingedrungen ist und Daten verschlüsselt hat. Backups vermitteln den Unternehmen jedoch ein trügerisches Gefühl von Sicherheit, denn diese vertrauen darauf, dass die in einem Backup gesicherten Daten stets unbeschädigt und wiederherstellbar sind. Doch dem ist nicht so.
Ransomware hat heutzutage keine Mühe damit, auch Backups zu infiltrieren, so dass Unternehmen kaum eine Chance auf Wiederstellung haben und den Hackern einen weiteren lukrativen Zahltag bescheren. Die Angreifer wissen genau: Wenn sie nicht an die Backups kommen und diese verschlüsseln oder löschen, dann ist die Zahlungsbereitschaft des angegriffenen Unternehmens eher gering.
Der Fokus der vergangenen vier, fünf Jahre lag daher darauf, die Ransomware gar nicht erst in die IT-Systeme kommen zu lassen. Dieser Ansatz ist gescheitert, denn alles wasserdicht abschotten zu können, das ist schlichtweg unrealistisch. Der Fokus verschiebt sich nun dahin, dass man Ransomware als ein lästiges Übel akzeptiert, mit dem man leben muss. Es geht heute vielmehr darum, die Ransomware schnell zu entdecken, bevor sie großflächigen Schaden anrichten kann, und angerichteten Schaden so schnell und reibungslos wie möglich zu beheben.
Air Gapping
Die neue Idee ist naheliegend: Wenn die Backups auf Offline-Datenträgern liegen, die mit keinem Netzwerk verbunden sind, dann kann keine Ransomware der Welt darauf zugreifen. Keine Verschlüsselung, kein Löschen, kein Lösegeld. Beim Air-Gapping werden die Datensicherungen offline und physisch getrennt vom gesicherten System auf einem separaten Speichermedium aufbewahrt, wie auf Bändern, oder auf Englisch: Tape. Die Daten liegen dort sicher, bis sie im Notfall zur Wiederherstellung benötigt werden.
Darüber hinaus existieren Storage-Technologien, welche die Unveränderlichkeit gesicherter Daten nicht physisch, sondern logisch umsetzen. Solche Technologien sind für Speicher-Arrays, für Cloud-Speicher und andere Storage-Arten verfügbar.
Immutable Backups
Einen wichtigen Baustein beim Schutz gegen Ransomware stellen unveränderliche Backups dar, auch Immutable Backups genannt. Sie stellen sicher, dass die Sicherungskopie gültig ist, schreibgeschützt angelegt wurde und sich bei Bedarf wiederherstellen lässt. Es geht darum, die Daten so zu schützen, dass nicht mal das Unternehmen selbst sie verändern oder löschen kann. So besteht auch ein Schutz gegen Innentäter, wie abtrünnige Administratoren, sowie gegen leichtsinnige Fehler, wie versehentliches Löschen.
Für Daten in der Cloud lässt sich das relativ einfach bewerkstelligen. Zum Beispiel: Amazon hat in AWS für seine S3-Speicher eine Funktion namens Object Lock mit einem WORM-Ansatz eingeführt. Das steht für Write Once, Read Many und verhindert, dass Daten während einer zuvor definierten Aufbewahrungsfrist gelöscht oder überschrieben werden können.
Eine weitere Lösung, die sich auch für lokale primäre Backups anbietet, heißt Linux. Denn Linux-Dateisysteme wie ext4 bieten ein immutable flag, welches Dateien unveränderlich macht. Zudem stehen gehärtete Linux-Repositories zur Verfügung. Oder man erstellt schlichtweg Backups auf Disks, die sich nur einmal beschreiben lassen und so eben unveränderlich sind.
Unveränderliche Backups durch den Einsatz von nur einmal beschreibbaren WORM-Speichermedien sind in manchen Branchen zwingend erforderlich, um gesetzliche Vorgaben und strenge Compliance-Richtlinien einzuhalten und um Datenmanipulationen auszuschließen sowie revisionssichere Daten zu gewährleisten.
Wiederherstellung von Backups
Ein weiterer wichtiger Bereich betrifft die Wiederherstellbarkeit von Backups. Diese gilt es in Form von regelmäßigen Prüfungen sicherzustellen. Das bedeutet, etwa per Instant Recovery virtuelle Maschinen zu starten, um zu schauen, ob das System sauber wieder hochfährt. Ein Orchestrator als Programm drum herum prüft die Anhängigkeiten von Systemen und dokumentiert den Vorgang in Form von Wiederanlaufplänen.
Ein interessantes Szenario ist die Wiederherstellung von On-Premises-Infrastrukturen, denn Cloud-Speicher mit einem Pay-per-Use-Modell ist geradezu prädestiniert. Kosten entstehen nur dann, wenn das Notfall-Szenario tatsächlich eintrifft. Das ist wirtschaftlicher, als ein zweites Rechenzentrum irgendwo hinzustellen, das man ebenfalls nur im Notfall benötigt.
Plattform-Ansatz
Es bietet sich an, in Sachen der Datensicherheit auf eine Plattform-Lösung zu setzen, statt auf viele einzelne Produkte verschiedener Hersteller. Solch eine Data Platform kümmert sich um die Sicherheit der Daten, die Wiederherstellbarkeit der Daten und nicht zuletzt um Flexibilität und Datenfreiheit. Diesen Weg gehen bereits einige der großen Backup-Spezialisten. Das bedeutet für die Unternehmen, flexibel auf sich ändernde Anforderungen reagieren zu können und nicht auf bestimmte Plattformen oder Storage-Typen limitiert zu sein. Damit lassen sich Daten in einer hybriden Infrastruktur frei hin- und herschieben – in der Cloud, virtuell, physisch und SaaS-Modelle, oder Kubernetes-Infrastrukturen. Die Plattform-Lösung sichert sämtliche Workloads.
Der zentrale Gedanke dabei ist, Backups vor dem Zugriff von Ransomware zu schützen. Das leisten Plattform-Features wie Immutability, die zuvor genannten schreibgeschützte Backups auf Disk, gehärtete Linux-Repositories als Teil davon und Air-Gapped Backups über verschiedene Plattformen hinweg. Ein Disaster Recovery Orchestrator bietet zudem die Möglichkeit, die Wiederherstellung von Infrastrukturen zu orchestrieren, zu automatisieren und zu dokumentieren – auch im Notfall.
Fazit
Aktuelle Fälle zeigen, dass es für Unternehmen inzwischen dringend erforderlich ist, sich mit der richtigen Strategie gegen Ransomware-Angriffe und deren Folgen auseinanderzusetzen, um sich erfolgreich zu schützen. Zur Abwehr eines Ransomware-Angriffs – der früher oder später auf jeden Fall kommt – sind unveränderliche Backups ein zentraler Baustein. Dazu kommen weitere technische und organisatorische Maßnahmen, wie eingeschränkte Zugriffsrechte, Netzwerksegmentierung und die Schulung von Mitarbeitern. Lösegeld an die Ransomware-Erpresser zu bezahlen ist dagegen keine Option, denn diese Form der Malware wird nicht mehr verschwinden. Daher wird das Geld besser in eine Backup-Plattform investiert, um den Schaden zu verringern und den Hackern das Geschäft zu vermiesen.
Um einen Kommentar zu hinterlassen müssen sie Autor sein, oder mit Ihrem LinkedIn Account eingeloggt sein.