Suchen

Backups schützen Modernes Datenmanagement als Wunderwaffe gegen Ransomware

| Autor / Redakteur: Markus Grau* / Dr. Jürgen Ehneß

Unveränderliche Backups und schnelle Restores sind im Ernstfall entscheidend, um Ransomware-Angriffe ohne größeren Schaden zu überstehen und den Geschäftsbetrieb aufrechtzuerhalten.

Firmen zum Thema

Internetbösewichter machen auch vor Backups nicht halt.
Internetbösewichter machen auch vor Backups nicht halt.
(Bild: gemeinfrei / Pixabay )

Ransomware macht Unternehmen sämtlicher Branchen und Größen weltweit nach wie vor zu schaffen. Ein klassisches Angriffsziel sind Einrichtungen im Gesundheitswesen. Viele Kliniken, auch in Deutschland, sind in den vergangenen Jahren bereits angegriffen worden, was den Betrieb zeitweise zum Erliegen brachte. Im Sommer 2019 waren 13 Kliniken der Trägerschaft Süd-West des Deutschen Roten Kreuzes infolge eines Ransomware-Angriffs vorübergehend nicht erreichbar, da die Internetverbindung deaktiviert werden musste.

Neuerdings nutzen Cyberkriminelle die aktuelle COVID-19-Thematik als Aufhänger für Phishing-Angriffe, um Malware einzuschleusen. Unit 42, die Forschungsabteilung von Palo Alto Networks, hat Mitte April entsprechende Phishing-Kampagnen beobachtet, die auf Organisationen in den USA, Kanada, der Türkei, Deutschland, England und Japan abzielen. Die Cyberangreifer nahmen hierbei auch eine Gesundheitsorganisation und eine Forschungsuniversität in Kanada ins Visier, wobei die Ransomware EDA2 zum Einsatz kam.

Cybersicherheit allein reicht nicht

Die Abwehrmaßnahmen gegen Ransomware konzentrierten sich bislang vor allem auf die Cybersicherheit. Durch Phishing-Angriffe mittels Social-Engineering-Taktiken gelingt es den Cyberkriminellen dennoch immer wieder, Ransomware in Netzwerke einzuschleusen. Die lückenlose Verteidigung an allen Fronten aufrechtzuerhalten, ist kaum machbar. So bleibt die Frage nicht ob, sondern wann sich die Cyberbösewichte irgendwie doch Zugang ins Netzwerk verschaffen und einen Ransomware-Angriff starten.

Umfassende IT-Sicherheitsmaßnahmen auf aktuellem Stand sind dennoch unverzichtbar als grundlegende Barriere gegen Cyberangriffe. Im Falle von Ransomware rückt jedoch ein zeitgemäßes Datenmanagement nun stärker ins Blickfeld. Versagt die Cybersicherheit am Netzwerkperimeter, ist zuletzt die Datensicherung entscheidend, um einen Ransomware-Angriff zu vereiteln.

Auf die Idee, der Lösegeldforderung nicht nachzugeben und die verschlüsselten Daten einfach wiederherzustellen, sind schon viele Unternehmen gekommen. Genau dies scheitert in der Praxis jedoch an fehlerhaften Backups, sodass die Wiederherstellung im Ernstfall oft versagt. Problematisch ist auch, dass die Wiederherstellung mittels herkömmlicher Bandsicherungssysteme in der Regel sehr langwierig ist. Dies bedeutet, es wird zwar kein Lösegeld gezahlt, aber der Geschäftsbetrieb ist mitunter tagelang unterbrochen, bis alles wieder rund läuft. Modernere Festplatten- und (Hybrid-)Flash-Systeme sind bei der Wiederherstellung etwas schneller, doch die Backups sind gefährdet. So nimmt neuere Ransomware auch Backup-Daten und -Kataloge sowie Snapshots auf Speicher-Arrays ins Visier.

Unveränderliche Speicherung und schnelle Wiederherstellung

Entscheidend für den Schutz vor Ransomware ist daher eine garantiert unveränderliche Speicherung, kombiniert mit besonders schneller Wiederherstellung. Auf diesen zwei Säulen basiert die Verteidigungsstrategie. Erstens müssen die Backups vor absichtlichem, böswilligem Löschen geschützt sein. Dies erfordert ein Backup-Speichersystem, das einfach, zuverlässig und unveränderlich ist. Unveränderlichkeit bedeutet, dass Änderungen oder das Löschen eines Objekts nach seiner Erstellung effektiv verhindert werden. Ebenso darf eine Kompromittierung der Datensicherung nicht möglich sein, auch wenn die Angreifer sich Administratorzugangsdaten verschafft haben. Zweitens muss eine schnelle Wiederherstellung gewährleistet sein, gerade wenn größere Geschäftsressourcen nach einem Ransomware-Angriff aus dem Backup wiederhergestellt werden müssen.

Gerade in diesen beiden entscheidenden Disziplinen scheitern viele herkömmliche Backup-Lösungen. Zum einen sind die Backups nicht vor Kompromittierung oder Löschen geschützt. Zum anderen dauert die Wiederherstellung für geschäftskritische Ressourcen schlicht zu lange. Zeitgemäße Abhilfe schafft eine vollständig Flash-basierte Datei- und Objektspeicherplattform, die von Grund auf für Unveränderlichkeit, Skalierbarkeit und Durchsatz konzipiert ist. Die unveränderliche Speicherung sorgt dafür, dass Backups nicht nachträglich manipuliert werden können, was grundlegend für eine zuverlässige Wiederherstellung ist. Ein hoher Durchsatz wiederum ist entscheidend für eine schnelle Wiederherstellung. Auf diese Weise wird die Datensicherung zur Wunderwaffe gegen Ransomware.

Speicherplattform im Schutzmodus

Eine moderne Datei- und Objektspeicherplattform unterstützt im regulären Geschäftsbetrieb ein schnelles Datenhandling bei anspruchsvollen Anwendungen wie datenreichen Analytik-Workloads. Was im Normalfall der Agilität und Wettbewerbsfähigkeit zugutekommt, sorgt im Ernstfall dafür, dass Restores aus Backups schnell verfügbar sind. In Praxistests hat sich gezeigt, dass die Wiederherstellung einer großen Datenbank um einen hohen zweistelligen Faktor schneller ist als mit herkömmlichen Backup-und-Recovery-Systemen.

Durch einen Schutzmodus hindert eine moderne Speicherplattform dieser Art die Cyberangreifer, aber auch unbedachte rechtmäßige Benutzer daran, Backups, die einmal auf der Plattform gespeichert sind, zu verändern oder gar zu löschen. Unmittelbar nach der Inbetriebnahme legt die Datei- und Objektspeicherplattform automatisierte Snapshots an. Diese können für eine individuell festgelegte Zeitspanne aufbewahrt werden, wobei das Löschen selbst mit Administratorzugriff nicht möglich ist. Dies erfordert zusätzlichen Platz auf dem Speichersystem, um die Snapshots über die angegebene Zeitspanne vorzuhalten. Eine bedarfsgerechte Dimensionierung ermöglicht jedoch eine kosteneffiziente Lösung. Die einfache Skalierbarkeit macht es zudem unnötig, größere ungenutzte Speicherplatzreserven vorzuhalten.

Wie geht es weiter mit Ransomware?

Ransomware-Angriffe stellen nach wie vor eine erhebliche Bedrohung dar. Einer Studie von TechRepublic zufolge soll der finanzielle Schaden zwischen 2015 und 2019 um das 479-Fache gestiegen sein. Die Kurve dürfte sich in diesem Jahr kaum abflachen – im Gegenteil, denn Ransomware hat sich längst als erfolgreiches „Geschäftsmodell“ für Cyberkriminelle etabliert.

Markus Grau, Principal Systems Engineering im CTO EMEA Office bei Pure Storage.
Markus Grau, Principal Systems Engineering im CTO EMEA Office bei Pure Storage.
(Bild: Pure Storage )

Für die Angreifer sind die Kosten, um Angriffe zu starten, relativ gering, während die Lösegelder einen hohen Profit versprechen. Ransomware-as-a-Service-Kits aus dem Darknet machen die Sache auch für weniger versierte Einsteiger interessant. Die diskrete Zahlungsabwicklung über Kryptowährungen wie Bitcoin erleichtert Cyberkriminellen sowohl den Ressourceneinkauf als auch die Entgegennahme des Lösegelds. Den Erpressern kommt ebenfalls zugute, dass in den komplexen Unternehmensumgebungen von heute schwer zu kontrollierende Schlupflöcher kaum vermeidbar sind. Die zunehmende Vernetzung, das wachsende Internet der Dinge sowie die Ausweitung auf Zweigstellen und in die Cloud schaffen auf Dauer eher neue Angriffsvektoren. Umso mehr kommt es künftig daher auf unveränderliche Backups und eine zuverlässige, schnelle Wiederherstellung an.

*Der Autor: Markus Grau ist Principal Systems Engineering im CTO EMEA Office bei Pure Storage

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de (ID: 46551640)