Suchen

Die neue Rolle des Backups Datensicherung in Zeiten von Ransomware

| Autor / Redakteur: Michael Matzer / Dr. Jürgen Ehneß

Da Ransomware eine immer drängende Gefahr wird, stellt sich Unternehmen die Frage, wie sich ihre Backups effektiv schützen lassen. Sie befürchten, dass laut jüngsten Gerüchten auch Air-Gapping nicht mehr reicht. Und schließlich wollen die Kunden wissen, was es hinsichtlich Backups in Hybrid- und Multi-Clouds zu beachten gilt.

Firmen zum Thema

Angesichts der sehr realen Bedrohung durch Ransomware hat sich die Rolle des Backups gewandelt.
Angesichts der sehr realen Bedrohung durch Ransomware hat sich die Rolle des Backups gewandelt.
(Bild: gemeinfrei / Pixabay )

Ransomware ist seit Jahren in den Schlagzeilen. Immer wieder sind Unternehmen oder Kliniken betroffen und können nicht mehr auf ihre geschäfts- oder prozesskritischen Daten zugreifen. Zudem sei zu beobachten, dass auch die Backup-Systeme selbst Ziel einer solchen Attacke würden.

„Bezahlte Ransomware-Hacker haben es zunehmend auf die Sicherungskopien des angegriffenen Unternehmens abgesehen“, berichtet Ralf Colbus, Chief Strategy Officer für IBM Storage in der DACH-Region. „Im Darknet kann man einfach die Vernichtung eines Konkurrenten bestellen und veranlassen, dass dessen Produktionsspeichersysteme (LUNs) und sämtliche Filesysteme gelöscht oder zumindest verschlüsselt werden – ohne eine Lösegeldforderung zu schicken.“

Bildergalerie

Bildergalerie mit 7 Bildern

Derzeit ist es keine Frage mehr, ob, sondern lediglich wann ein Unternehmen von einem Ransomware-Angriff getroffen wird. Das Hauptproblem ist, dass der Faktor Mensch die entscheidende Rolle spielt. Wenn ein schlecht informierter E-Mail-Empfänger ein Attachment öffnet, das er eigentlich nicht hätte öffnen sollen, haben die Cyberkriminellen die erste Hürde schon übersprungen und dringen hinter der Firewall weiter vor.

Gefahr für Primär-Backups

Die Angreifer bringen den Geschäftsbetrieb zum Erliegen, indem sie den Zugriff auf Produktionsdateien und Speichergeräte verschlüsseln. „Die zuverlässige, schnelle Wiederherstellung aus Backups ist daher eine der wichtigsten, wenn nicht sogar die wichtigste Gegenmaßnahme“, gibt Roland Rosenau, Senior Manager für die Region EMEA Central and West beim Hersteller Rubrik, zu bedenken.

„In der Regel verschlüsselt Ransomware nur Daten, die auf dem Primärspeicher vorgehalten werden.“ Die Angreifer wissen, dass bereits die herkömmliche Datenwiederherstellung (Disaster Recovery, DR) von Bandspeicher oder anderen Archiven sehr zeitaufwändig – und nicht immer erfolgreich – ist. Dies erhöht die Chance, dass Unternehmen auf die Lösegeldforderung eingehen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) rät dringend von Zahlungen ab.

Gefahr für MBR und OS

Neuere Ransomware zielt mittlerweile jedoch auch auf die Backups selbst ab und modifiziert oder löscht sie vollständig. Deswegen müssen gerade Backups effektiv vor Cyberangriffen geschützt werden. Nach Ansicht von Rosenau könnten die Angreifer auch eine Verschlüsselung auf niedrigerer Ebene des Master Boot Record (MBR) oder auf Betriebssystemebene durchführen, um das Booten und andere gängige Operationen zu blockieren. In virtualisierten Umgebungen ist das Hauptangriffsziel der gemeinsam genutzte Datenspeicher, der zum Hosten virtueller Maschinen verwendet wird, wie etwa NFS-basierte Datenspeicher.

Entscheidend sind unveränderbare Backups

Die Wiederherstellung (DR) von Daten, die beschädigt, gesperrt oder verschlüsselt wurden, ist generell eine effektive Methode, um Ransomware-Angriffe ohne größere Auswirkungen auf den Geschäftsbetrieb zu überstehen. Dies funktioniert nach einem Angriff am effektivsten, wenn die infizierten Dateien schnell identifiziert werden können. Denn es gilt: Je genauer diese Daten identifiziert werden können, desto geringer ist der Restore-Aufwand. Das heißt, die Zeit, die benötigt wird, um wieder arbeitsfähig zu sein, ist so kurz wie möglich. Zudem dürfen die Backups nicht ebenfalls betroffen sein, denn sobald die Sicherungsdaten verändert worden sind, sind sie wertlos. Daher empfiehlt sich in der Regel das Anlegen von Sekundär-Backups, die mit den primären synchronisiert, aber gesondert geschützt sein sollten, etwa durch starke Verschlüsselung.

Einerseits müssen primäre Speichersysteme in einem gewissen Grad offen und für Clientsysteme jederzeit verfügbar sein. Andererseits sollten Backup-Daten stets unveränderbar sein. Das bedeutet, dass einmal geschriebene Daten von den Clients im Netzwerk nicht mehr geändert oder gelöscht werden können. Dies ist die einzige Möglichkeit, die zuverlässige Wiederherstellung (DR) sicherzustellen, wenn die Produktionssysteme kompromittiert worden sind. DRaaS (Disaster-Recovery-as-a-Service) ist also ein Teil der Lösung.

Cloud-Backups mit CDM

Moderne Lösungen für Cloud Data Management (CDM) oder Multi-Cloud Data Control verwenden eine auf unveränderbare Daten ausgelegte „Immutable“-Architektur. Sie kombiniert ein Dateisystem mit unveränderbarer Speicherung mit einem Zero-Trust-Cluster-Design. Alle Datenoperationen in diesem Filesystem können nur über authentifizierte APIs durchgeführt werden. Dieser Ansatz geht weit über rollenbasierte Dateiberechtigungen, Ordner-ACLs (Access-Control Lists) oder Speicherprotokolle hinaus. Das Konzept der Unveränderbarkeit muss in die Backup-Architektur „eingebacken“ sein, damit die Backups nicht manipuliert werden können.

Auch solche Backup-Daten, die nicht in der Cloud gespeichert sind, werden auf einem unveränderbaren Dateisystem gespeichert. Das bedeutet, dass die Backups sicher sind, selbst wenn das Unternehmen von einem Ransomware-Angriff betroffen ist. Dadurch bietet sich dem Nutzer ein entscheidender Vorteil gegenüber herkömmlichen Backup-to-Disk-Lösungen, die auf gewöhnliche Fileshares schreiben. Wenn diese Daten dann noch als Kopie (Sekundär-Backup) in die Cloud ausgelagert werden, ist das Backup gleichzeitig noch redundant und doppelt geschützt.

Air-Gapping

„Einer sehr bekannte Firma aus der DACH-Region“, berichtet Ralf Colbus von IBM, „wurden alle Firmendaten gelöscht, doch wir konnten diese Daten binnen zwei Wochen wiederherstellen; das Unternehmen ist jetzt wieder betriebsbereit.“ Die Lebensversicherung dieses Unternehmens seien Backups auf Tape-Laufwerken mit Air-Gap sowie bewusstem Medienbruch gewesen.

Beim Air-Gapping sind besonders kritische IT- oder OT-Systeme durch einen „Luftspalt“ physisch von weniger kritischen Systemen oder vom Internet getrennt. Weil es jedoch einen Administrationszugang geben muss, besteht dennoch die Gefahr, dass diese isolierten Systeme von versierten Hackern angezapft werden. Air-Gapping ist also nicht die „ultima ratio“.

„Selbst wenn dabei eine CDM-Appliance betroffen wäre, kommt indes der Vorteil zum Tragen, dass alle Daten, die an die CDM-Appliance geschickt wurden und darauf gespeichert sind, stets auch stark verschlüsselt sind“, erläutert Rosenau. „Hinzukommt, dass keine Share-Funktion vorhanden ist, so dass Backup-Daten nicht verändert oder gar gelöscht werden können.“

Im Ernstfall komme es darauf an, den Umfang eines Ransomware-Angriffs vollständig zu erfassen, um daraufhin gezielt die betroffenen Daten wiederherstellen zu können. Als hilfreich erweist sich hierbei ein Werkzeug zur Überwachung, Analyse und Wiederherstellung der Backups. Mithilfe von Modellen des maschinellen Lernens und der Statistik werden mit dem Werkzeug die Änderungsraten der Backups erfasst. Wenn es zu ungewöhnlichen Veränderungen kommt, wie etwa einem gleichzeitigen Löschen/Umbenennen/Verschlüsseln vieler Dateien, wäre das eine Anomalie, die sofort einen Alarm auslöst.

Intelligente Backup-Lösungen dieser Art listen die betroffenen Bereiche oder Dateien auf und ermöglichen eine Wiederherstellung mit wenigen Klicks. Die Definition, was alles eine „Anomalie“ ist, lässt sich konfigurieren. Der Administrator kann zudem festlegen, wenn Dateien geplant verändert werden, damit diese Vorgänge nicht als erwartete Anomalie einen Alarm auslösen.

„Was die Unternehmen heutzutage mehr denn je brauchen“, so IBM-Manager Colbus, „sind Cyber-Resilienz-Konzepte.“ Damit auch Backups keine Achillesferse mehr darstellen, habe IBM seine Backup-Software um die Eigenschaft erweitert, Ransomware zu entdecken und Gegenmaßnahmen zu ergreifen, sowie ihr eine Zwei-Faktor-Authentifizierung für das Löschen wichtiger Daten eingebaut. IBM setzt sowohl auf Festplatten als auch Virtual Tape Libraries (VTLs).

Was bei Cloud-Nutzung zu beachten ist

Bei der Nutzung der Public Cloud für Storage-Zwecke ist generell das Prinzip der „Shared Responsibility“ zu beachten: Für die Sicherheit der Infrastruktur ist der Cloud-Anbieter verantwortlich, doch für die Datensicherheit ist meist der Kunde selbst zuständig. (Das sieht das Gesetz auch so vor.) Dieser Unterschied ist von entscheidender Bedeutung beim Thema Backup. Oft übertragen Unternehmen Backup-Daten aus dem lokalen Rechenzentrum in eine Public Cloud. Durch eine Wiederherstellung aus der Cloud sollen die Daten im Notfall im lokalen Rechenzentrum möglichst schnell wieder verfügbar gemacht werden. Geht das wirklich so einfach?

Die Mobilität von Daten in Hybrid- und vor allem Multi-Cloud-Umgebungen war bislang jedoch eingeschränkt. Der Cloud-Data-Management-Ansatz (CDM) sieht hier die Sicherung aller Daten mit einem einheitlichen Tool vor, unabhängig davon, ob die Daten im lokalen Rechenzentrum („On-Premises“) oder in einer privaten, öffentlichen oder mehreren Clouds verschiedener Betreiber vorgehalten werden. Eine intelligente Appliance dient dabei als Gateway zu sämtlichen Clouds und zur Verwaltung der Metadaten. Die CDM-Plattform agiert dabei unabhängig von der Endspeicherumgebung.

Das Kanarienvogelprinzip

In den alten Tagen des Bergbaus wurden Kanarienvögel eingesetzt, um vor giftigem Kohlegas zu warnen. Fiel der Vogel bewusstlos um, war es höchste Zeit zu verschwinden. Nach dem gleichen Prinzip können Storage-Admins potenziellen Angreifern eine Falle stellen. Sie erzeugen Dateien, die sich durch Struktur und Namen als Leckerbissen präsentieren. Es ist das Honeypot-Prinzip: Sobald sich die temporale Signatur, die Größe oder andere Eigenschaften dieser Lockvogeldateien auf Platten oder Shares ändern, sind sie wahrscheinlich infiziert worden, weil nämlich legitime Applikationen solche Dateien auf keinen Fall nutzen würden.

Bildergalerie

Bildergalerie mit 7 Bildern

Bei einer Änderung ihrer Eigenschaften lösen diese Dateien oder eigentlich das Filesystem eine Benachrichtigung aus, und ein Vorgang zur Suche und Reinigung wird initiiert. Ransomware-Angreifer kennen bereits dieses Lockvogelprinzip und suchen auf Shares und in Directories nach solchen verlockenden Dateien, die denselben Zeitstempel und dasselbe Zugriffsdatum aufweisen. Diese „umfahren“ sie weiträumig. Künftige Lockvogeldateien müssen also realistischer aussehen, quasi wie komplette Applikationen. Oder sie müssen selbständig per Zufall (aleatorisch) fortwährend ihre Eigenschaften ändern. Das erfordert eine höhere Ebene von Intelligenz im Filesystem.

Ransomware-Alarm mobil

Damit Admins und CISOs Ransomware-Angriffe frühzeitig auf dem eigenen Smartphone sehen können, bietet Cohesity seit kurzem die Helios Mobile App an. Sie soll Datenmanagement (CDM) von unterwegs ermöglichen und Anomalien melden. Admins sollen in der Lage sein, den Zustand und die Leistung ihrer Cohesity-Infrastruktur zu überwachen, Support-Fälle einfach zu verwalten und Warnungen über Anomalien, einschließlich möglicher Ransomware-Angriffe, auf ihrer Produktionsumgebung zu erhalten.

Helios ist ein SaaS-basiertes Datenmanagementangebot. Damit können Kunden ihre Daten und Anwendungen weltweit sehen, verwalten und bearbeiten. Die App nutzt die auf Machine Learning basierende Anomalie-Erkennung, die in die Helios-SaaS-Lösung integriert ist, um potenzielle Ransomware-Angriffe in der IT-Produktionsumgebung zu erkennen. Helios löst eine Warnung aus, sobald die primäre Datenänderungsrate außerhalb der Norm liegt. Denn dies weist auf potenzielle Datenverschlüsselungsaktivitäten hin. Anomalien werden anhand des Abgleichs größerer Datenveränderungen mit normalen Mustern erkannt.

(ID:46528526)

Über den Autor