Ransomware-Schutz in IT/OT-Umgebungen: Warum klassische Backups an ihre Grenzen stoßen
Gemischte IT/OT-Infrastrukturen sind ein bevorzugtes Ziel von Ransomware-Angriffen. Eine durchdachte Backup- und Wiederherstellungsstrategie wird laut unserem Autor zum zentralen Baustein der digitalen Resilienz – nicht zuletzt wegen der Anforderungen aus der NIS-2-Richtlinie.
Die enge Verzahnung von Informationstechnologie und Operational Technology (OT) in der Industrie steigert die Effizienz, vergrößert aber zugleich die Angriffsfläche für Cyberbedrohungen. Ransomware kann dabei nicht nur Daten verschlüsseln, sondern komplette Produktionsprozesse zum Stillstand bringen.
Vor dem Hintergrund der NIS-2-Richtlinie gewinnt die digitale Resilienz – also die Fähigkeit, auch im Krisenfall handlungsfähig zu bleiben und schnell wieder in einen funktionsfähigen Zustand zurückzukehren – zunehmend an Bedeutung. Ein zentraler Baustein dieser Resilienz ist eine durchdachte Backup-Strategie für gemischte IT/OT-Infrastrukturen.
Heterogene Systemlandschaften erschweren einheitliche Schutzkonzepte
Produktionsnahe IT/OT-Umgebungen sind in der Praxis selten homogen. Vielmehr handelt es sich um historisch gewachsene Infrastrukturen mit einer Vielzahl unterschiedlicher Systeme:
- verschiedene Betriebssysteme in Produktionshallen – von modernen Plattformen bis hin zu veralteten, nicht mehr unterstützten Systemen
- unterschiedliche Versionsstände und Patch-Level innerhalb derselben Systemfamilie
- spezialisierte Steuerungssysteme und proprietäre Anwendungen
- unterschiedliche Backup-Technologien und -Werkzeuge parallel im Einsatz
Diese Heterogenität führt dazu, dass ein einheitlicher Backup-Ansatz oft nicht möglich ist. Stattdessen müssen mehrere Lösungen parallel betrieben werden, was die Komplexität erhöht und Fehlerquellen schafft.
Hinzu kommen vielseitige und oft nicht vollständig dokumentierte Abhängigkeiten zwischen IT- und OT-Systemen. Produktionssteuerungen, Datenbanken, Schnittstellen und Kommunikationssysteme sind eng miteinander verzahnt. Ein Ausfall einzelner Komponenten kann weitreichende Kaskadeneffekte auslösen.
Erschwerend wirkt zudem der Fachkräftemangel: Qualifiziertes IT- und OT-Personal steht nicht immer in ausreichendem Maße zur Verfügung, um komplexe Wiederherstellungsprozesse effizient umzusetzen.
Gleichzeitig ist der Zeitdruck im Ernstfall enorm. Produktionsstillstände führen zu erheblichen wirtschaftlichen Verlusten – die Wiederherstellung muss daher in kürzester Zeit erfolgen.
Vorbereitung statt Improvisation
Die Behebung eines Ransomware-Befalls ist kein improvisierbarer Prozess. Unternehmen, die erst im Ernstfall beginnen, ihre Wiederherstellungsstrategie zu definieren, verlieren wertvolle Zeit – oft mit gravierenden Konsequenzen. Eine strukturierte Vorbereitung ist daher unerlässlich und umfasst insbesondere folgende Aspekte.
Zunächst müssen kritische Systeme und Prozesse identifiziert werden. Nicht alle Systeme sind gleich kritisch – Unternehmen müssten klar definieren, welche Systeme für ihr Überleben essenziell sind und welche Prozesse zwingend aufrechterhalten werden müssen. Diese Priorisierung bildet die Grundlage für alle weiteren Maßnahmen.
Zweitens ist eine systematische Erfassung von Abhängigkeiten erforderlich. Transparenz darüber, welche Systeme miteinander kommunizieren, welche Dienste voneinander abhängen und welche Systeme gemeinsam verfügbar sein müssen, ist ein zentraler Erfolgsfaktor. Diese Informationen sollten strukturiert dokumentiert und regelmäßig aktualisiert werden.
Drittens empfiehlt sich die Bildung sogenannter Abhängigkeits-Cluster – Gruppen von Systemen mit hoher gegenseitiger Abhängigkeit, die gemeinsam im Hinblick auf Backup und Wiederherstellung betrachtet werden. So lassen sich eine realitätsnahe Planung der Recovery-Prozesse erreichen und inkonsistente Zustände nach einer Wiederherstellung vermeiden.
Image-basierte Sicherung gegenüber dateibasierten Verfahren im Vorteil
Ein verbreiteter Irrtum besteht darin, Backup primär als Sicherung von Dateien und Verzeichnissen zu verstehen. Im Kontext von Ransomware und komplexen IT/OT-Umgebungen greift dieser Ansatz jedoch zu kurz.
Denn dateibasierte Sicherungen erfassen Systemzustände nicht vollständig, lassen Abhängigkeiten zwischen Anwendungen unberücksichtigt und sind zeitaufwendig sowie fehleranfällig in der Wiederherstellung. Im Ernstfall kann das dazu führen, dass Systeme zwar technisch wiederhergestellt, aber nicht funktionsfähig sind.
Die Image-Sicherung ganzer Systeme ist dagegen eine vollständige Abbildung des Systemzustands, ermöglicht eine schnellere Wiederherstellung im Sinne eines „Bare Metal Recovery“ und sichert die Konsistenz zwischen Betriebssystem, Anwendungen und Konfigurationen. Gerade in heterogenen Umgebungen ist die Image-Sicherung häufig die einzige praktikable Methode, um eine schnelle und zuverlässige Wiederherstellung zu gewährleisten.
Ein weiterer, oft unterschätzter Aspekt ist der zeitliche Zusammenhang von Backups. In hochgradig vernetzten IT/OT-Umgebungen reicht es nicht aus, einzelne Systeme unabhängig voneinander zu sichern. Stattdessen müssen Systeme innerhalb eines Abhängigkeits-Clusters möglichst zeitnah gesichert werden, um inkonsistente Datenstände zu vermeiden, funktionierende Kommunikationsbeziehungen nach der Wiederherstellung sicherzustellen und Synchronisationsprobleme zu minimieren.
Ein Beispiel: Wird eine Produktionsdatenbank zu einem anderen Zeitpunkt gesichert als das zugehörige Steuerungssystem, kann es nach der Wiederherstellung zu Inkonsistenzen kommen, die den Produktionsbetrieb verhindern. Backup-Fenster sollten daher clusterübergreifend geplant und technisch orchestriert werden.
Organisatorische Vorbereitung und regulatorischer Druck durch NIS-2
Neben der technischen Umsetzung ist die organisatorische Vorbereitung entscheidend. Unternehmen sollten eine klare Vorgehensweise zur Behebung eines Ransomware-Angriffs entwickeln und dokumentieren. Zentrale Elemente einer solchen Strategie sind:
- klare Rollen und Verantwortlichkeiten,
- definierte Eskalationswege,
- priorisierte Wiederherstellungsreihenfolge,
- detaillierte Runbooks für Recovery-Prozesse sowie
- regelmäßige Tests und Übungen.
Besonders wichtig ist, dass diese Prozesse nicht nur dokumentiert, sondern auch praktisch erprobt werden. Nur so lassen sich Schwachstellen frühzeitig erkennen und beheben.
Die NIS-2-Richtlinie fordert explizit Maßnahmen zur Risikominimierung und zur Sicherstellung der Geschäftskontinuität, darunter Incident-Response-Fähigkeiten, Business Continuity Management sowie Backup- und Wiederherstellungsstrategien. Unternehmen sind somit nicht nur aus wirtschaftlicher Sicht, sondern auch regulatorisch verpflichtet, ihre Resilienz gegenüber Cyberangriffen zu stärken. Eine robuste Backup-Strategie ist dabei kein optionales Element, sondern ein zentraler Bestandteil der Compliance.
Fazit
Der Schutz gemischter IT/OT-Infrastrukturen vor Ransomware erfordert ein Umdenken: Weg von isolierten Sicherheitsmaßnahmen hin zu einem ganzheitlichen Resilienzansatz. Besonders im Bereich Backup zeigt sich, dass klassische Methoden den Anforderungen moderner, vernetzter Umgebungen nicht mehr gerecht werden. Entscheidend sind:
- ein tiefes Verständnis der Systemlandschaft und ihrer Abhängigkeiten
- die Priorisierung kritischer Systeme
- der Einsatz ganzheitlicher, imagebasierter Backup-Verfahren
- die zeitlich abgestimmte Sicherung abhängiger Systeme
- eine klar definierte und getestete Wiederherstellungsstrategie
Für Führungskräfte und Entscheider bedeutet das: Backup ist kein rein technisches Thema, sondern ein strategischer Faktor für die Zukunftsfähigkeit des Unternehmens. Wer heute in resiliente Backup- und Recovery-Konzepte investiert, sichert nicht nur Daten – sondern die Handlungsfähigkeit im Krisenfall. Im Kontext von NIS-2 wird diese Fähigkeit zunehmend zum entscheidenden Wettbewerbsvorteil.
Autor
Dr. Jurij Ivastsuk-Kienbaum ist Geschäftsführer der WAXAR Data Saving Systems GmbH.