Umdenken beim Backup : Wie man gesicherte Daten auch gegen neuartige Ransomware schützen kann
Datensicherung und IT-Sicherheit rücken näher zusammen und müssen sich gegenseitig stützen, statt separat zu agieren. Nur so werden Unternehmen die Sicherheit ihrer Daten in den nächsten Jahren gewährleisten können, mahnt unser Autor und gibt einen Ausblick, was bei Backup- und Datensicherungs-Strategien zu tun ist.
Für Datensicherheit zu sorgen, ist in Unternehmen kein Selbstgänger: Es zeichnet sich bereits ab, dass Ransomware in den nächsten Jahren weiter zunehmen dürfte – zugleich wachsen die Datenbestände, die Cloud-Nutzung nimmt zu und Mitarbeiter agieren immer mobiler. Das Datenmanagement wird also diffiziler. Somit ist klar, dass ein Umdenken erforderlich sein wird – und bereits heute Handlungsbedarf besteht. Moderne Datenmanagementplattformen, die mit unveränderbarer Datensicherung (Immutable Backups) und superschneller Wiederherstellung punkten, spielen dabei eine bedeutende Rolle. Ein anderes wichtiges Element ist das Zero-Trust-Konzept, dass es zukünftig auch bei der Datensicherung und Datensicherheit umzusetzen gilt.
Ransomware ist ein florierendes Geschäft mit verschiedenen Monetarisierungsvektoren – neben Lösegeld für verschlüsselte Daten sind Schutzgeldforderungen gegen Datenveröffentlichung getreten. Angreifer beschränken sich auch längst nicht mehr auf Primärdaten und einzelne Systeme, sondern versuchen alles, um auf ganze Netzwerke und möglichst vollständige Backupbestände zuzugreifen – und nicht nur, um durch deren Löschen ein internes Recovery zu verhindern: Gerade Datensicherungen bieten ihnen oft eine einfache Möglichkeit, große Mengen sensibler Daten in einem einzigen Zugriff zu sammeln.
Cloud-Backups sind sogar noch „besser“, da sie sich häufig stehlen lassen, ohne dass im internen Netzwerk des Opfers ein Alarm ausgelöst würde. Die Angreifer können dann in aller Ruhe nach sensiblen Daten suchen – oft ist das sogar relativ einfach, da einige Sicherungsdateien in den Metadaten detaillierte Informationen über ihren Inhalt preisgeben.
Ransomware-Akteure gehen neuerdings auch dazu über, Shadow-Volume-Dateien zu löschen. Dabei handelt es sich um Sicherungskopien von Dateien, die Windows-Rechner lokal erstellen und die ein wichtiges Werkzeug für das Betriebssystem sind, um Dateien lokal wiederherzustellen. Die Ransomware Ryuk wurde dabei beobachtet, wie sie mithilfe einfacher Skripte automatisch alle gefundenen Schattenvolumina oder andere Sicherungsdateien durchsucht und löscht – Locky, Wannacry und Cryptolocker zielen ebenfalls alle auf Shadow-Volumes ab. Die meisten Ransomware-Varianten durchsuchen auch Netzwerke nach gemeinsam genutzten Volumes, was bedeutet, dass auch ein Backup auf einem Netzlaufwerk ein attackiertes Unternehmen nicht schützt.
Die Einhaltung grundlegender Hygienemaßnahmen für die Cybersicherheit kann Unternehmen zwar helfen, sich gegen Ransomware-Angriffe zu schützen – dennoch wird man kaum dauerhaft alle Eintrittspunkte „dicht halten“ können. Angesichts der zunehmenden Breite von Attacken – nicht zuletzt durch Ransomware-as-a-Service (RaaS), das auch Kriminellen mit wenig Wissen und Know-how Angriffe ermöglicht – werden Verteidigungsmaßnahmen und stabile Backups sowie Lösungen für Wiederherstellung und Cyber-Resilienz so wichtig wie nie zuvor.
Für Unternehmen gilt es auch an dieser Stelle, ihren Schwerpunkt weg von der reinen Prävention und Erkennung dahingehend zu verlagern, dass Funktionen für Identifizierung, Reaktion und Wiederherstellung gleichermaßen in der Lage sind, einem Angriff standzuhalten.
Da die Schadenswahrscheinlichkeit steigt, sind unveränderliche Backups, die Erkennung von Anomalien und das Erfassen des Umfangs eines Angriffs von größter Bedeutung. Eine Plattform, die sensible Daten aktiv überwachen kann, ist ein vielversprechender Ansatz im Kampf gegen diese wachsende Bedrohung.
Unveränderliche Datenspeicherung
Ein „Ransomware-Notfallpaket“ sollte Cyberabwehr, zuverlässige Datensicherung und -wiederherstellung sowie Bereinigung umfassen (siehe auch S. 54). Backup-Tools, die standardmäßig unveränderliche Daten vorhalten, sind dabei der entscheidende Punkt, um sich effektiv vor den häufigsten Ursachen für Datenbeschädigung und -manipulation zu schützen – neben Ransomwareattacken hilft das auch gegen Anwendungsfehler und menschliches Versagen. Sobald die Daten auf diese Weise gespeichert sind, sind sie immun gegen externe und interne Änderungen, wodurch die Integrität der Sicherung gewährleistet ist.
Jede moderne Backup-Lösung sollte eine unveränderliche Datenspeicherung umfassen, um sicherzustellen, dass alle eingelesenen Daten – ob infiziert oder nicht – keine bestehende Dateien kompromittieren oder infizieren können. Idealerweise sollte dies mit einer Datenverschlüsselung sowohl im Ruhezustand als auch während der Übertragung sowie einer integrierten rollenbasierten Zugriffskontrolle kombiniert werden. Mit unveränderlichen Backups können sich Unternehmen schnell von einem Angriff erholen, da sie ihre Daten sofort replizieren und wiederherstellen können. Mit klassischen Backups könnte eine Wiederherstellung großer Datenmengen hingegen zu lange dauern und den Geschäftsbetrieb zum Erliegen bringen.
KI-Unterstützung
Um mit den immer raffinierteren Ransomware-Angriffen Schritt zu halten, empfiehlt sich für eine wirklich ganzheitliche Backup- und Wiederherstellungsstrategie auch auf maschinelles Lernen zu setzen: Damit lässt sich das Verhalten von Dateisystemen und Metadaten überwachen, um Ransomware und andere verdächtige Aktivitäten zu erkennen – idealerweise ist man so der sich verändernden Bedrohungslandschaft stets einen Schritt voraus.
Gute Lösungen mit maschinellem Lernen sind aber nicht nur in der Lage, die Verteidigungsposition zu stärken, sondern auch Umgebungsveränderungen in Echtzeit abzubilden. IT-Teams müssen dann nicht mehr ihre gesamte Umgebung durchkämmen, um festzustellen, welche Anwendungen oder Dateien von einem Angriff betroffen waren – so kann man auch schneller zum letzten „sauberen“ Zustand der Datenumgebung zurückkehren. Komplexe manuelle Wiederherstellungsprozesse, auf die viele IT-Verantwortliche noch immer angewiesen sind, sollten dadurch überflüssig werden.
Zero-Trust-Prinzip
Die Zero-Trust-Architektur geht davon aus, dass alle Benutzer, Geräte und Anwendungen nicht vertrauenswürdig sind und kompromittiert werden können: Traue niemandem, überprüfe immer! Nur Benutzer mit Multi-Faktor-Authentifizierung erhalten dann Zugang zu wichtigen Daten und die Berechtigungen werden eingeschränkt – somit entfällt auch die Möglichkeit, Daten böswillig zu beeinflussen.
Eine Datenmanagementarchitektur, die nach dem Zero-Trust-Implementation-Model des US-amerikanischen NIST modelliert ist, enthält ein speziell entwickeltes Dateisystem, das Sicherungsdaten niemals über offene Netzwerkprotokolle offenlegt. Das schafft eine logische Lücke (Virtual Air Gap), die verhindert, dass Daten über das Netzwerk entdeckt oder zugänglich gemacht werden können. Sobald Daten auf dieses Managementsystem geschrieben wurden, sind sie nicht mehr zu verändern, zu löschen oder zu verschlüsseln, sodass immer eine „saubere“ Kopie der Daten für die Wiederherstellung verfügbar bleibt. Verschiedene Wiederherstellungsoptionen, wie Live-Mounting, Massenwiederherstellung und orchestrierte Disaster-Recovery für kritische VMs, sind ebenfalls integriert, sodass IT-Teams die von einem Angriff betroffenen Dateien, Workloads und VMs schnell wiederherstellen können.
Ganzheitlichkeit
Anders als früher reicht es längst nicht mehr, den Rand des eigenen Netzwerks mit einem Schutzwall zu sichern – die Cloud, immer mehr mobile Geräte, SaaS und das wachsende Internet der Dinge (IoT) haben dem traditionellen Perimeter ein Ende gesetzt. Auch eine robuste Backup- und Recovery-Lösung muss heute die gesamte Geschäftsumgebung unterstützen, sei es „on Premises“, am Edge oder in der Cloud. Ziel ist es, Diskrepanzen zu erkennen, Bedrohungen zu analysieren und im Bedarfsfall die Wiederherstellung zu beschleunigen. Idealerweise sollte dies durch eine SaaS-Plattform ergänzt werden, die in der Lage ist, Daten über die gesamte genutzte Umgebung hinweg zu organisieren und zu sichern und sie auf eine organisierte, umsetzbare Weise zu präsentieren, welche die Erkennung von Problemen und Wiederherstellung von Daten so einfach wie möglich macht.
Fazit
Die Wiederherstellung nach einem Ransomware-Angriff ist oft komplex und zeitaufwendig und immer häufiger sehen sich Unternehmen mit verschlüsselten oder gelöschten Backups konfrontiert. Es ist daher entscheidend, dafür zu sorgen, dass die Sicherheitsvorkehrungen stark genug sind, um auch fortgeschrittenen Ransomware-Angriffen standzuhalten. Geeignete Tools müssen sicherstellen, dass Backups intakt bleiben und eine schnelle Wiederherstellung möglich ist – eine moderne, auf dem Zero-Trust-Prinzip basierende Datenmanagementplattform mit Backup-Unveränderlichkeit und schneller Wiederherstellung ist daher die zeitgemäße Antwort auf aktuelle und künftig zu erwartende Bedrohungsszenarien.
Roland Rosenau ist SE Manager EMEA Central bei Rubrik.