Umfrage unter Backup-Experten zu Fremdverschlüsselungs-Software

Ransomware bedroht die Datensicherung und die Datenintegrität

| Autor / Redakteur: Dr. Dietmar Müller / Rainer Graefen

Ransomware bedroht die Datensicherung und Datenintegrität
Ransomware bedroht die Datensicherung und Datenintegrität (Bild: © Sergey Nivens - Fotolia.com_75638591)

Ransomware hat sich für Unternehmen wie Privatanwender zu einem riesigen Problem entwickelt, das auch die „letzte Verteidigungslinie der IT“, die Datensicherung, bedroht. Wir haben Experten aus dem Bereich Storage und Security befragt, zu welchen Maßnahmen sie raten.

Ransomware wird seit rund zwei Jahren ein immer drängenderes Problem. Ende 2015 stellte der Bitkom fest, dass „die Cyberkriminalität eine boomende und ausdifferenzierte, arbeitsteilig vorgehende und effizient organisierte Industrie geworden ist“.

Es müsse nun vorrangig um die Bekämpfung von Ransomware gehen, mit deren Hilfe die Opfer zur Zahlung eines Betrages erpresst werden sollen. Vor einem Jahr kämpfte sich das Problem auch ins Bewusstsein der Öffentlichkeit, als nämlich Daten und Kommunikationswege in mehreren deutschen Kliniken gekapert wurden.

Ransomware hat noch „Entwicklungspotenzial“

Angesichts einer Vielzahl von Vorfällen erstaunt es, dass nur 38 Prozent der Unternehmen zusätzliche Schutzmaßnahmen im Bereich Datensicherung und Backup planen. Offenbar ist nicht genügend IT-Verantwortlichen bewusst, dass die letzte Schutzzone für Daten bedroht ist. Ransomware greift alle Fileshares und damit die Daten auf jedem Gerät an, das sich in das Dateisystem integrieren will.

An den grundsätzlichen Backup-Strategien hat sich auf den ersten Blick nicht viele geändert: Offline-Aufbewahrung von Speichermedien, WORM, CDP, Snapshots stehen an vorderster Front. Doch als einzelne Maßnahmen ist das nicht ausreichend, eine verwendbare Datensicherung ist auf ein nicht kontaminiertes IT-System angewiesen.

Es knirscht nämlich auch an anderer Stelle im Backup-Getriebe. Was wäre, wenn ein Trojaner nicht nur die Daten verschlüsselt, sondern sie "nur" verfälscht? Sind die unterschriebenen Verträge von vorgestern, tatsächlich die Dokumente, die man gestern gescannt und gespeichert hat. Das Backup muss in Zukunft auch die Datenintegrität sicherstellen.

Dreifache Kombination

Grundsätzlich, so die Experten einhellig, kombiniert ein gelungener Datenschutz verschiedene Schutzfunktionen:

  • Backups erstellen eine Kopie der Daten und wandeln sie um (zum Beispiel optimiert, dedupliziert und komprimiert), damit verschiedene Versionen der Dateien effizient gespeichert werden können. Aber die Anwender müssen sich entscheiden: Optimale Aufbewahrung der Daten oder agile Wiederherstellung (Recovery).
  • Snapshots werden üblicherweise auf dem Block-granularem Level desselben Speichersystems wie die Produktionsdaten abgelegt. Sie sorgen für eine schnelle Wiederherstellung von Datensätzen.
  • Replikationen kopieren Daten an einen (weit) entfernten Ort. Anders als Snapshots weisen sie nicht deren zuvor genannte Schwachstelle auf. Sie sind per Definition Replikationen auf anderen Plattformen, genau wie Backups. Anders als Snapshots sorgt die Replizierung für eine körperliche Kopie.

Alle drei Technologien haben spezifische Vorteile und Kostenpunkte, die sich überschneiden und ergänzen können. Ohne eine übergeordnete Koordination führt die spezifische Benutzung jeder Funktion jedoch zu einem Sammelsurium von virtuellen und realen Kopien von VMs, Datenbanken, SaaS-Plattformen und anderem mehr, die sich sehr schwer auseinanderdividieren lassen. Wie könnte insofern eine Strategie aussehen, um eine Erpressung in die Schranken zu weisen?

Mehr Anti-Funktionen ins Backup?

Wir haben Produktexperten von Storage-Herstellern wie IBM, Hitachi Data Systems, Rubrik und NetApp gefragt, ergänzt durch Aussagen von Carla Arend von IDC sowie eines Sicherheitsexperten von Kaspersky.

1. Erste Backup-Hersteller fangen an, die Datensicherung mit eigenen Erkennungsmethoden gegen Ransomware zu schützen. Ist das sinnvoll?

Christian Scherf, Account Executive beim Cloud Data Management-Spezialisten Rubrik, hält zunächst einmal jede Art der proaktiven Gefahrenerkennung für sinnvoll – „vorausgesetzt sie ist effektiv und effizient zugleich, damit man in der Lage ist im Ernstfall frühzeitig die richtigen Entscheidungen zu treffen. Die erfolgreichen Attacken der Vergangenheit haben gezeigt, dass viele IT-Sicherheitslösungen im Einsatz sind, die nicht ausreichend vor Ransomware schützen.“

„Natürlich ist es immer der beste Ansatz, eine Bedrohung schon vor einem möglichen Schaden zu eliminieren“, erklärt analog Jürgen A. Krebs, Chief Technology Officer, Central Region EMEA, Hitachi Data Systems (HDS). „Leider ist dies – wie das Thema Malware über die Jahre gezeigt hat – nicht immer möglich. Prinzipiell gäbe es seit einigen Jahren eine Technik, um Backup- bzw. Restore-Daten auf Schadsoftware zu prüfen. Allerdings ist die Akzeptanz im Markt gering, weil zusätzliche Prozesse innerhalb eines Backup-Zyklus wertvolle Zeit kosten, was gerade im Restore-Fall sehr kritisch ist. Hinzu kommt, dass dieser Ansatz nur funktioniert, wenn das Angriffsmuster bekannt ist. Als alleiniger Schutz gegen Ransomware ist dies daher sicher nicht ausreichend.“

Das Mittel der Wahl zum Schutz gegen Ransomware und andere Bedrohungen ist aus Sicht von Krebs ein Zeitstempel, der je nach Qualität der Daten im Stunden- oder gar Minutenbereich erzeugt werden müsste. „Diese geprüften Kopien könnten dann ohne Restore zur Prüfung der Datenintegrität genutzt werden und bei Bedarf wichtige Produktionsdaten auf den Zeitpunkt des Stempels zurücksetzen.“

Bei IBM hält man indes wenig davon, das Backup mit zusätzlichen Sicherheitsfeatures zu belasten: „Wir bei IBM sind der Überzeugung, dass eine Spezialsoftware gegen Ransomware und für Backup/Restore nicht zusammengehört“, erläutert Ralf Colbus, Leading Storage Professional-Member WW CTO Team, IBM Global Markets, Systems HW Sales. „Es besteht die Gefahr, dass das Backup-Fenster unkalkulierbar wird.“

Wie aber will die IBM dem Problem begegnen? Colbus: „Aus unserer Sicht ist es sinnvoller, den Backup-Server hoch sicher auszulegen und einen gezielten Medienbruch im Backup einzuführen. Ein Online-Medium kann mit Ransomware sehr schnell verschlüsselt werden − das trifft auch für Filesysteme zu. Nur Tape kann die negativen Auswirkungen von Ransomware erheblich reduzieren. „Ad-hoc“ können nicht alle Daten auf Tape verschlüsselt werden!“

Johannes Wagmüller, Director Systems Engineering, CEMA, NetApp, hat sich eingehend mit dem Problem beschäftigt und findet die Idee der Verbindung von Backup und Erkennungsmethoden gegen Ransomware grundsätzlich sinnvoll, hält die Datensicherung mittels Snapshots auf Speichersystemen aber für die deutlich effizientere Methode.

Carla Arend, Program Director Datacenter Software & Cloud bei den Marktforschern von IDC, findet, dass es ein interessanter Ansatz ist, Erkennungsmethoden für Ransomware in die Backup-Technik einfließen zu lassen, um schon „etwas weiter vorne in der Verteidigungslinie“ mitzuspielen. „Aber das sollte nicht im Alleingang passieren, sondern in Abstimmung mit dem Sicherheitsteam, da Insellösungen selten zu dem gewünschten Erfolg führen“, so Arend.

Was meinen die Sicherheitsexperten zu dem Fall? Christian Funk, Leiter des deutschen Forschungs- und Analyse-Teams bei Kaspersky Lab, erklärt: „Jede sinnvoll umgesetzte Verteidigungslinie ist im Fall der Fälle sinnvoll. Eine mögliche Herausforderung wird es jedoch sein, die Erkennungen aktuell zu halten und damit den Schutz langfristig zu gewährleisten.“

Doch reichen die skizzierten Maßnahmen aus, oder ist es notwendig zusätzliche Anstrengungen einzuplanen, die die absehbaren Verschlimmbesserungen bei der Crypto-Erpressung egalisieren könnten. So fragten wir:

2. Steht die Gefahr im Raum, dass die Krypto-Erpressung um eine Variante erweitert wird, die zwar die Inhalte von Dokumenten ändert, aber ansonsten nicht erkenntlich ist?

Wagmüller von NetApp bejaht dies grundsätzlich: „Meiner Meinung nach ja. Intelligentere Methoden der Datenmanipulation erfordern ein umfassendes Sicherungskonzept inklusive Zugriffskontrolle und Auditing.“

Auch Scherf von Rubrik bestätigt: „Die Methoden werden immer ausgefeilter und die Angriffe individueller. Es kann durchaus passieren, das nicht geänderte Metadaten keine Änderungen suggerieren, während der Inhalt modifiziert wurde.“

Ralf Colbus von der IBM berichtet von seinen Erfahrung: „Jede Variante von Cyberkriminalität, die einem Angreifer einen wirtschaftlichen Vorteil bietet, wird möglicherweise ausgenutzt, wie das Ransomware gezeigt hat.“ Er macht den Anwendern aber Hoffnung: „Wenn Unternehmen über ausreichende Datensicherungsmechanismen - etwa schreibgeschützte Backups und Kopien - verfügen, kann diese Gefahr deutlich gesenkt werden.“

Jürgen A. Krebs von HDS konstatiert: „Fakt ist: Wir haben es heute mit Angriffs-Szenarien zu tun, die vor wenigen Jahren noch undenkbar waren. Das erwähnte Beispiel ist sicher nicht unmöglich und zeigt sehr gut die neuen Anforderungen an Backup und Datensicherheit: Es ist nicht länger ausreichend, Daten nur gegen Verlust zu schützen.“ Krebs fordert deshalb: „Die Datenintegrität gewinnt zunehmend an Bedeutung, klassische Backup-Systeme können dies nicht leisten. Die Verlagerung kritischer Daten in objektbasierte Speichertechnologien ist hierbei aus unserer Sicht unumgänglich.“

Auch Arend von IDC bejaht, „es gibt leider viele Entwicklungsmöglichkeiten für Ransomware / Kryptoerpressung. Die Möglichkeiten sind nahezu unendlich.“ Stellen Sie sich einmal Attacken über die Milliarden IoT-Sensoren vor, warnt die Analystin. „Wenn sich Ransomware auf IoT-Devices ausbreitet, und zum Beispiel der Zugang zum Auto, zum Hotel oder zum eigenen Smart Home blockiert wird, und nur gegen Lösegeldzahlung wieder geöffnet wird.“ Ihr Ratschlag lautet: „Blockchain Technologies bieten hier neue Möglichkeiten der Sicherheit, weil es ‚verified Credentials‘ und ‚Proof of content‘ sichern kann.“

Nach den ersten beiden vorsichtigen Fragen wollten wir von unseren Experten konkrete Maßnahmen hören – quasi „Butter bei de Fische“ -, wie eine sichere Gefahrenabwehr heute überhaupt noch machbar ist:

3. Backup-Hersteller sehen ihre Datensicherung gerne als „Last line of defense“. Mit welchen (speichertechnischen) Maßnahmen lässt sich diese Verteidigungslinie überhaupt noch garantieren?

„Am ehesten gelingt dies durch redundante Kopien, die auf mehrere Standorte aufgeteilt sind. Da denke ich an On-premise- und Cloud-Modelle. Wir nutzen unveränderbare Kopien beim Sichern der Daten“, so Scherf von Rubrik.

Wagmüller von NetApp verweist abermals auf Snapshots als Mittel der Wahl: „Snapshots ermöglichen zeitnahe, zum Beispiel stündliche Sicherungen, und somit schnellste Datenwiederherstellung bei geringstmöglichem Datenverlust. Im Zusammenspiel mit Realtime-Zugriffskontrolle über systemeigene Schnittstellen und 3rd Party Software wie von Cleondris können verdächtige Filesystem-Veränderungen erkannt und verhindert werden.“

Krebs von HDS stößt prinzipiell ins selbe Horn: „Für Datenbanken und Systemlaufwerke lässt sich die tägliche Sicherung durch Snapshot-Technologien ersetzen. Dies ist das einzige Verfahren, mit dem granulare Backup-Zeitstempel erzeugt werden können, ohne dabei Daten direkt bewegen zu müssen. Gleichzeitig kann auf Datenbestände ohne Restore zugegriffen werden.“

Arend von IDC sieht hingegen ein Verwaltungsproblem heraufziehen: „Die Encryption der eigenen Daten wird immer wichtiger, und damit auch das Key Management. Dazu kommt ein detaillierteres Management von Zugriffsrechten und letztlich wird der Gesetzgeber noch für ein wenig Mehrarbeit mittels Data- und Information Governance sorgen, gerade wenn man an die demnächst anstehende EU DSGVO denkt.“

Krebs von HDS gibt Unternehmen zu bedenken: „Vor allem für unternehmenskritische Transaktionsdaten ist der Einsatz von Speicher basierten Snapshot-Verfahren eigentlich unumgänglich. Klassische User- und Applikationsdateien können hingegen mit Objekt-Technologien backupfrei gehalten werden. Bei System- oder Standortausfällen ist eine solche Technologie in der Lage, einen lokalen oder entfernten Node sowie Standorte ohne Ausfallzeiten zu recovern, ohne dass die Benutzer den Ausfall spüren.“

Colbus von IBM rät zudem zum Einsatz von Offline Tapes oder WORM-Technologien. Solche Vorschläge scheinen auch bei den Kunden anzukommen. „Wir haben noch nie so viele Tapes und Tape-Libraries verkauft wie in den letzten Jahren“, berichtet er.

Als aktueller Trend für die aktive Archivierung gilt seit einigen Jahren die Objektspeicherung. Die Daten werden hier in kleineren Bestandteilen über mehrere Speichersysteme verteilt, können nur gelesen werden und sind gut verfügbar. Wir haben deshalb gefragt:

4. Glauben Sie, dass sich Objektspeicher für die Datensicherung eignet?

Für Krebs von HDS ist die Antwort eindeutig: „Absolut. Object Storage erlaubt auf der einen Seite die Speicherung von File-, Archiv- und Cloud-Daten ohne Backup und zu geringen Kosten. Auf der anderen Seite erlaubt die Technologie die Entwicklung weg vom „Application-centric Computing“ und hin zum „Data-centric Computing“. Dabei wird im ersten Schritt definiert, wie und in welchem Format Daten gehalten werden sollen, bevor die eigentliche Applikation via Webservices angebunden wird.

So würde ein E-Mail-Archiv in die E-Mails mit EML-Format und die Attachments als PDF/A Rendition für den Langzeitzugriff zerlegt und getrennt gespeichert. Diverse Regeln kümmern sich dann um die Versionierung, Aufbewahrungsfristen, Zeitstempel und verteilte Kopienzahl. „Damit ließe sich sicherstellen, dass die Daten immer lesbar, immer migrierbar, optimal geschützt und nur durch einen für diese Art Inhalt berechtigten Benutzer einsehbar sind“, erläutert Krebs seine Idee.

Auch für Colbus von der IBM gibt es keinen Zweifel: „Wenn der Objektspeicher clever genutzt wird, kann er mehrere Versionen vorhalten und somit die Gefahr einer „Verseuchung“ reduzieren, wobei dieses Konzept dann auch wieder einem gezielten Medienbruch gleichkommt.“ Dem stimmt auch Wagmüller von NetApp zu.

„Objektspeicher sind flexibel und einfach erweiterbar. Schutz vor Fehler bzw. Manipulationen wird durch Fingerprints gewährleistet“, fasst Scherf von Rubrik knapp zusammen.

Arend von IDC gibt jedoch zu bedenken, dass Objektspeicher das Problem nur teilweise lösen, „weil jede Datei ein eigenständiges Objekt ist, das nicht verändert werden kann. Das hätte durch den time stamp, den Zeitstempel, Auswirkungen auf die Kopien, die sich vervielfältigen. „Bei der Objektspeicherung arbeitet man nicht mehr mit Backups“, warnt sie, „dann gäbe es den Vorteil der zeitverzögerten Datenkopie, der im Falle von Ransomware sehr wichtig ist, nicht mehr.“

Wie man es auch dreht oder wendet, DIE Lösung gegen Crypto-Erpressung ist noch nicht gefunden. Anwender, die ihre Daten nicht kennen und auf isolierte Schutzmaßnahmen vertrauen, sind auch weiterhin bedroht. Die Speicherindustrie ist andererseits aufgefordert, den Anwendern einen kostengünstigen Schutz zu liefern, der nicht gleich den Gewinn der nächsten 10 Jahre absorbiert.

Kommentare werden geladen....

Was meinen Sie zu diesem Thema?

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44643325 / Restore-Software)