Destruktive Wiper-Angriffe können Daten unwiederbringlich löschen. Vom einst unwahrscheinlichen Fall sind sie inzwischen zur realen Gefahr für Unternehmen geworden. So müssen sie ihre Resilienz-Strategien neben dem Schutz vor Ransomware mit der Abwehr von Datenzerstörung erweitern. Mit den richtigen Lösungen lassen sich Daten nicht nur wiederherstellen, sondern auch sicher in einen vertrauenswürdigen Zustand zurückversetzen.
Mit der richtigen Resilienz-Strategie gegen destruktive Schadsoftware.
(Bild: Gemini / KI-generiert)
Staatlich gelenkte, destruktive Cyberangriffe sabotieren nicht nur Regierungseinrichtungen, sondern auch die Privatwirtschaft. Und nehmen aktuell weiter zu. Das Ziel ist nicht, Daten zu stehlen und ein Verhandlungsergebnis zu erzielen. Stattdessen üben die nationalstaatlichen Akteure Druck aus, verursachen Störungen und schüren Unsicherheit. Laut der Informationsplattform für Cyberangriffe Ransomware.live verlor ein Unternehmen in einem aktuellen Fall mutmaßlich 12 Petabyte an Daten.
Umfassender Prozess zur Abwehr von Wiper-Angriffen nötig
Zum Schutz vor staatlich gestützten Akteuren müssen Unternehmen Schritt für Schritt einen umfassenden Prozessablauf aus Vorbereitung, Identifizierung, Eindämmung, Behebung und Wiederherstellung aufbauen. Nur einzelne Stufen führen nicht zur Cyber-Resilienz.
In der Vorbereitung sollten sie davon ausgehen, dass bei einem Wiper-Angriff ein Teil der Infrastruktur möglicherweise neu aufgebaut und nicht nur wiederhergestellt werden muss. Deshalb ist die Infrastruktur für Backup und Wiederherstellung durch Unveränderlichkeit und starke Isolierung zu schützen. Gleichzeitig sind die Sicherheitsprinzipien der geringsten Berechtigungen und der Aufgabentrennung umzusetzen. Die Authentifizierung für die Backup-Plattform sollte nicht von Identitätsdiensten abhängen, die kompromittiert werden und erneut Bedrohungen einbringen könnten, wie etwa Active Directory.
Stattdessen lässt sich über eine Notfall-Authentifizierungsmethode die Backup-Plattform nutzen, um das Vertrauen in die zentrale Identitätsplattform wiederherzustellen, bevor diese für andere Systeme verwendet wird. Ein Clean Room unterstützt dabei einen Workflow mit geteilter Verantwortung zwischen dem Sicherheitsteam, das die Ursache ermittelt sowie den Ablauf des Angriffs rekonstruiert, und dem IT-Betriebsteam. Dieses kann Bedrohungen beheben und die Angriffsfläche schließen, indem es Systeme aus vertrauenswürdigen Quellen und Konfigurationen neu aufbaut oder eine volumenbasierte Wiederherstellung sauberer Artefakte und Patches durchführt.
Nach der Behebung sollten Unternehmen die Integrität der wiederhergestellten Systeme prüfen und Funktionen testen, bevor die Systeme wieder in Betrieb genommen werden. Der gesamte Prozessablauf bildet die Grundlage aller Rahmenwerke für Cyber-Reaktion und -Recovery, einschließlich ISO 27035, NIST SP800-61, MITRE R3SPOND und des Incident-Response-Prozesses des SANS Institute.
Backup-Daten zur Ursachenanalyse nutzen
Bei zerstörerischen Angriffen werden gut geschützte Backup-Daten zu einem wertvollen forensischen Hilfsmittel. Denn damit können Unternehmen den Angriffszeitpunkt ermitteln, den Ausbreitungsradius identifizieren, versteckte Malware oder Angreifer-Tools aufdecken, bekanntermaßen intakte mit kompromittierten Zuständen vergleichen sowie Änderungen an Binärdateien und Konfigurationen über den gesamten Angriffszyklus hinweg identifizieren.
Aktuelle Datenmanagement-Plattformen bieten erweiterte Reaktionsfunktionen wie passive Bedrohungssuche und Malware-Scans, die weder Angreifende alarmieren noch anfällig für Ausweichmanöver sind. Zudem funktionieren sie auch dann, wenn Systeme isoliert wurden, um Command-and-Control, Exfiltration und die Verbreitung von Verschlüsselungsprogrammen einzudämmen.
Moderne Plattformen wie Cohesity ermöglichen es sogar, jede verdächtige Datei, die gesichert wurde, in einer Sandbox auszuführen. Ein Hypervisor mit fortschrittlicher Telemetrie erstellt Screenshots und sammelt Informationen zu laufenden Prozessen, versuchten Netzwerkverbindungen sowie geänderten oder erstellten Dateien. Mit Hilfe dieser Informationen lassen sich alte Endpunktprotokolle durchsuchen, die nie in das SIEM aufgenommen wurden, aber in den Backups geblieben sind.
Vertrauen in grundlegende Dienste wiederherstellen
Reaktion und Recovery sollten einer Vertrauenshierarchie folgen. Vor einer umfassenden Wiederherstellung der Anwendungen ist die Steuerungsebene zu validieren. Dazu zählen Kernnetzwerk, Identitäts- und Zugriffsmanagement, Hypervisor- und Cloud-Kontrollschichten, administrative Workstations, Jump-Infrastruktur und Sicherheitstools. Identitäten sind dabei besonders kritisch, da kompromittierte AD- oder Entra-ID-Systeme jede nachgelagerte Aktion überflüssig machen können. Moderne Identitätsresilienz umfasst koordinierte Active-Directory-Forest-Wiederherstellung, Rollback verdächtiger Änderungen und Forensik nach einem Sicherheitsverstoß. Damit lassen sich Hintertüren schließen und das Vertrauen in Verzeichnisdienste wiederherstellen.
Angriffsfläche vor der Wiederherstellung absichern
Bevor Workloads wieder produktiv werden, müssen die ausgenutzten Schwachstellen, exponierten Dienste, schwachen Anmeldedaten, unsicheren Vertrauensbeziehungen, böswilligen Persistenzen und unsicheren Verwaltungswege behoben sein. Bei einem Wiper-Angriff sollte dies die Validierung der Firmware, die Absicherung des Fernzugriffs, die Prüfung der Patches sowie eine verstärkte gezielte Überwachung der während der Untersuchung entdeckten Angriffstechniken umfassen.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Ein bereits vor dem Angriff eingerichteter Clean Room bietet eine kontrollierte Umgebung, um Analysen durchzuführen, Abhilfemaßnahmen zu ergreifen und die Wiederherstellung vorzubereiten, ohne verdächtige Assets sofort wieder mit der Produktion zu verbinden. Dies ist besonders wichtig bei Wiper-Angriffen und staatlich gelenkten Sabotagefällen mit hoher Wahrscheinlichkeit für unentdeckte Persistenz. Der Clean Room ermöglicht zudem einen geschlossenen Prozess zwischen der Untersuchung durch die Sicherheitsteams und der Behebung sowie Wiederherstellung durch die IT-Betriebsteams für maximale Effizienz.
Ransomware.live – die Wikipedia der Cybersicherheit
Zur Optimierung und regelmäßigen Aktualisierung dieser Maßnahmen sollten Unternehmen aktuelle Bedrohungsinformationen kennen und berücksichtigen. Zum Beispiel trackt die kostenlose und unabhängige Plattform Ransomware.live automatisiert weltweit Cyber-Angriffe, ordnet sie den jeweiligen Banden zu und zeigt Veröffentlichungen der Täter aus dem Darknet. Ähnlich wie Wikipedia informiert die von Julien Mousqueton, Field CISO EMEA bei Cohesity, konzipierte Plattform für Bedrohungsinformationen in Echtzeit systematisch und strukturiert über weltweite Angriffe. Der Ansatz folgt dem Prinzip maximaler Transparenz und Zusammenarbeit zwischen Gesetzgebern, Strafverfolgungsbehörden, Regierungen und Unternehmen, um Risiken und Auswirkungen von Ransomware langfristig zu minimieren.
Erkenntnisse für das Unternehmensmanagement
James Blake, Vice President of Global Cyber Resiliency Strategy, Response and Consulting Services bei Cohesity.
(Bild: Cohesity)
Wiper-Angriffe sind kein exotisches Malware-Problem mehr. Angriffe aus Russland oder dem Iran zeigen, wie zerstörerische Cyberoperationen hochautomatisiert und mit übergeordneten staatlichen Zielen verknüpft werden. Unternehmen können sich davor schützen, wenn sie die Cyber-Wiederherstellung systematisch vorbereitet haben. Dann besitzen sie eine isolierte Recovery-Infrastruktur, können Malware aufspüren, forensische Untersuchungen durchführen und Protokolle in Backup-Daten analysieren. Sie stellen zuerst das Vertrauen in Identitäten und Kerndienste wieder her, schließen die Angriffsfläche vor der Wiederherstellung und führen Übungen durch, um sich auf einen echten Angriff vorzubereiten. Das sind die Grundvoraussetzungen, um sich vor staatlichen Akteuren zu schützen.
* Der Autor: James Blake, Vice President of Global Cyber Resiliency Strategy, Response and Consulting Services bei Cohesity
Aktuelles E-Book
Ransomware-Schutz durch Object Lock und WORM
E-Book „Ransomware-Schutz“
(Bild: Storage-Insider)
Um ein Storage-System effektiv von Ransomware-Angriffen zu schützen, bieten sich neben Backup/Disaster Recovery und Verschlüsselung vor allem Object Lock und WORM an. Das gelingt nicht nur im eigenen Haus, sondern auch in der Hybrid-Cloud.