Storage-Insider-Service: Vorbeugemaßnahmen gegen Ransomware

Der Erpressbarkeit durch Verschlüsselungsviren ein Schnippchen schlagen

| Autor / Redakteur: Matthias Frühauf, Presales Manager bei Veeam / Rainer Graefen

Matthias Frühauf, Presales Manager bei Veeam
Matthias Frühauf, Presales Manager bei Veeam (Veeam)

Die Gefahr durch Verschlüsselungstrojaner nimmt zu, Behörden rufen zu erhöhten Vorsichtsmaßnahmen auf. Mit einer durchdachten Backup-Architektur lassen sich Datenverluste vermeiden. Eine Unschädlichmachung dieser Virensorte ist unwahrscheinlich.

Locky, CryptoLocker, KeRanger – die Meldungen über Ransomware reißen seit Wochen nicht ab. Mittlerweile sind auch Apple-Geräte betroffen. User fangen sich die Schadsoftware häufig über Webbrowser, E-Mail-Anhänge oder BitTorrent-Clients ein. Einmal im System, verschlüsselt sie Daten, die nur gegen Zahlung eines Lösegeldes wieder entschlüsselt werden. Die Stadtverwaltung im fränkischen Dettelbach etwa zahlte zähneknirschend knapp 500 Euro, um wieder an ihre Daten zu gelangen. Inzwischen sind "dank" Bitcoin Millionenbeträge zwischen Virenentwicklern und Geschädigten geflossen.

Das ist eigentlich der falsche Weg, wie das Bundesamt für Sicherheit in der Informationstechnik sagt. Zum einen ist mitnichten garantiert, dass man nach einer Zahlung auch seine Daten zurückbekommt. Außerdem macht man sich, indem man Zahlungsbereitschaft an den Tag legt, zu einem noch beliebteren Angriffsziel. Stattdessen rät das Amt, zum Schutz vor Datenverlust externe Backups anzulegen. Mitte März hat es zudem einen Leitfaden für professionelle IT-Anwender herausgegeben, der Hilfestellung bei Prävention und Schadensbegrenzung leistet.

Die unverschlüsselte Kopie

Anwender sind gut beraten, die 3-2-1-Regel der Datensicherung zu befolgen, die schon lange als Goldstandard gilt. Sie besagt, dass zu einem umfassenden Sicherungskonzept drei Datenkopien auf zwei unterschiedlichen Datenträgern gehören, wovon eine extern gelagert wird.

Dies schützt vor Ausfällen ganzer Unternehmensstandorte und sorgt für Wiederherstellbarkeit von Daten, auch wenn einzelne Backups versagen. Letzteres betrifft immerhin jede fünfte Sicherungskopie, wie eine aktuelle Studie von Veeam zeigt. Moderne Backup-Architekturen verfolgen diesen Ansatz, indem sie primären Speicher für schnelle Backup- und Restore-Vorgänge reservieren und zusätzlich Kopien auf einem sekundären Backup-Speicher ablegen.

Angesichts der Bedrohung durch Ransomware erhalten externe Sicherungen noch eine weitere Funktion: Wer auf eine unverschlüsselte Kopie der betroffenen Daten zugreifen kann, braucht sich um die Forderungen der Angreifer nicht zu scheren.

Externe Datensicherung: Was hilft gegen Ransomware?

Es gibt eine Reihe von Möglichkeiten, Daten extern zu sichern. Jede bietet Vor- und Nachteile. Wie sind diese jedoch im Hinblick auf den Schutz vor Ransomware zu bewerten? Ein Überblick:

Backup Copy Jobs

Bei einem Backup Copy Job werden Daten von einem Disk-System auf ein anderes übertragen, häufig über zwei Standorte hinweg. Dabei werden einzelne Restore-Points innerhalb des Backups gelesen und auf ein zweites Disk-Ziel geschrieben. Sind die produktiven Daten und auch die primären Backups nicht mehr lesbar, steht am zweiten Standort der Restore-Point aus der letzten erfolgreichen Übertragung zur Verfügung – vorausgesetzt natürlich, das Copy-Ziel ist ausreichend abgesichert. Mehr dazu weiter unten.

Wechselfestplatten

Um kleine Datenmengen zu schützen, können Anwender auch Wechseldatenträger als sekundäres Repository nutzen, zum Beispiel ein RDX-System. Diese unterscheiden sich nicht von anderen Datenträgern. Intelligente Backup-Tools erkennen und löschen automatisch alte Backup-Daten, um Platz für neue Sicherungen zu schaffen. Um sich mit dieser Methode gegen Ransomware zu schützen, müssen Wechselfestplatten regelmäßig getauscht und nach erfolgter Sicherung vom System getrennt werden.

Tape/ Worm/ Soft-Worm

Totgesagte leben länger. Im Kampf gegen Verschlüsselungs-Trojaner haben Bandlaufwerke einen entscheidenden Vorteil: Sie bieten keinen direkten Dateizugriff. Dadurch sind sie vor Ransomware geschützt. Wichtig ist nur, dass sie an einem sicheren Ort aufbewahrt werden und im Bedarfsfall schnell zur Verfügung stehen.

Cloud-Backup

Die Datensicherung in der Cloud bietet eine Reihe von Vorteilen hinsichtlich Verfügbarkeit, Skalierbarkeit und Kosten. Wenn sichergestellt ist, dass kundenseitig kein Zugriff auf das Dateisystem des Cloud-Backup-Repository besteht, schützt diese Methode auch effektiv vor Ransomware. Angebote wie Veeam Cloud Connect stellen eine sichere End-to-End-Verbindung zwischen dem Kunden und dem Cloud-Provider seiner Wahl her und prüfen das Backup außerdem auf Funktionsfähigkeit. Mithin stellt dies die eleganteste Lösung dar.

Backups vor Angreifern von Innen und Außen schützen

Das Backup-Repository selbst, der sichere Hafen für die Daten, muss selbstverständlich auch geschützt werden. Einige Anbieter, zum Beispiel Veeam, arbeiten mit Dateiendungen, die von Verschlüsselungstrojanern nicht beachtet werden. Damit sind diese Backups vorerst vor Angriffen geschützt.

Die Trojaner konzentrieren sich auf Dateiformate, die viel genutzt werden, wie Microsoft-Office-Dokumente oder Bilder. Es scheint allerdings eine Frage der Zeit, bis auch bekannte Backup-Formate betroffen sein werden. Darüber hinaus sollten Anwender sicherheitshalber die Zugriffsrechte restriktiv handhaben, um zu verhindern, dass sich Schadsoftware von einem lokalen Desktop im Netzwerk verbreitet.

Das heißt, dass nur der Service-Account Zugriff auf den Repository-Server und das Dateisystem haben sollte. Zusätzlich schwer macht man es den Trojanern, wenn der Backup-Server nicht an die zentrale Authentifizierung angeschlossen ist. Das gleiche gilt für Freigaberechte für Backup-Repositories in NAS-Systemen.

Ein weiterer wichtiger Punkt ist der Schutz durch die Firewall. Viele Administratoren deaktivieren diese nach der Windows-Installation. Dadurch fehlt eine Verteidigungsinstanz gegen Angriffe, die Windows-Sicherheitslücken nutzen. Dabei sind die notwendigen Zugriffe schnell freigeschaltet, wenn man Hilfestellung durch die Dokumentation nutzt.

Schließlich sollte man darauf achten, stets einen Virenscanner mit aktiver Echtzeitsuche zu verwenden. Um Konflikte mit Backup-Diensten zu vermeiden, lassen sich Ausnahmen definieren. Informationen dazu finden Sie in der Dokumentation der Lösungsanbieter.

Mit Datensicherung Angriffe abwehren und Verfügbarkeit erhöhen

Auslagerung von Daten, Schutz des Backup-Repositories, Authentifizierungsmechanismen und zuverlässiger Virenschutz – dies sind einige Methoden, mit denen Unternehmen ihre Daten vor Verschlüsselung schützen können. Die Angreifer werden immer ausgefeilter und eine hundertprozentige Absicherung gibt es nicht.

Aber mit einigen einfachen Maßnahmen kann man Kriminellen ihr Geschäft schwermachen. Ein weiterer Vorteil: Mit modernen Strategien zur Datensicherung können Unternehmen für den Fall eines IT-Ausfalls auch ihre Verfügbarkeit erhöhen – eine Voraussetzung, um in der digitalen Wirtschaft erfolgreich zu sein.

Kommentare werden geladen....

Was meinen Sie zu diesem Thema?

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44001721 / Continuous Data Protection)