Mobile-Menu

Cyber-Resilienz So schützen sich Unternehmen vor Wiper-Angriffen

Ein Gastbeitrag von James Blake* 5 min Lesedauer

Anbieter zum Thema

Destruktive Wiper-Angriffe können Daten unwiederbringlich löschen. Vom einst unwahrscheinlichen Fall sind sie inzwischen zur realen Gefahr für Unternehmen geworden. So müssen sie ihre Resilienz-Strategien neben dem Schutz vor Ransomware mit der Abwehr von Datenzerstörung erweitern. Mit den richtigen Lösungen lassen sich Daten nicht nur wiederherstellen, sondern auch sicher in einen vertrauenswürdigen Zustand zurückversetzen.

Mit der richtigen Resilienz-Strategie gegen destruktive Schadsoftware.(Bild:  Gemini / KI-generiert)
Mit der richtigen Resilienz-Strategie gegen destruktive Schadsoftware.
(Bild: Gemini / KI-generiert)

Staatlich gelenkte, destruktive Cyberangriffe sabotieren nicht nur Regierungseinrichtungen, sondern auch die Privatwirtschaft. Und nehmen aktuell weiter zu. Das Ziel ist nicht, Daten zu stehlen und ein Verhandlungsergebnis zu erzielen. Stattdessen üben die nationalstaatlichen Akteure Druck aus, verursachen Störungen und schüren Unsicherheit. Laut der Informationsplattform für Cyberangriffe Ransomware.live verlor ein Unternehmen in einem aktuellen Fall mutmaßlich 12 Petabyte an Daten.

Umfassender Prozess zur Abwehr von Wiper-Angriffen nötig

Zum Schutz vor staatlich gestützten Akteuren müssen Unternehmen Schritt für Schritt einen umfassenden Prozessablauf aus Vorbereitung, Identifizierung, Eindämmung, Behebung und Wiederherstellung aufbauen. Nur einzelne Stufen führen nicht zur Cyber-Resilienz.

In der Vorbereitung sollten sie davon ausgehen, dass bei einem Wiper-Angriff ein Teil der Infrastruktur möglicherweise neu aufgebaut und nicht nur wiederhergestellt werden muss. Deshalb ist die Infrastruktur für Backup und Wiederherstellung durch Unveränderlichkeit und starke Isolierung zu schützen. Gleichzeitig sind die Sicherheitsprinzipien der geringsten Berechtigungen und der Aufgabentrennung umzusetzen. Die Authentifizierung für die Backup-Plattform sollte nicht von Identitätsdiensten abhängen, die kompromittiert werden und erneut Bedrohungen einbringen könnten, wie etwa Active Directory.

Stattdessen lässt sich über eine Notfall-Authentifizierungsmethode die Backup-Plattform nutzen, um das Vertrauen in die zentrale Identitätsplattform wiederherzustellen, bevor diese für andere Systeme verwendet wird. Ein Clean Room unterstützt dabei einen Workflow mit geteilter Verantwortung zwischen dem Sicherheitsteam, das die Ursache ermittelt sowie den Ablauf des Angriffs rekonstruiert, und dem IT-Betriebsteam. Dieses kann Bedrohungen beheben und die Angriffsfläche schließen, indem es Systeme aus vertrauenswürdigen Quellen und Konfigurationen neu aufbaut oder eine volumenbasierte Wiederherstellung sauberer Artefakte und Patches durchführt.

Nach der Behebung sollten Unternehmen die Integrität der wiederhergestellten Systeme prüfen und Funktionen testen, bevor die Systeme wieder in Betrieb genommen werden. Der gesamte Prozessablauf bildet die Grundlage aller Rahmenwerke für Cyber-Reaktion und -Recovery, einschließlich ISO 27035, NIST SP800-61, MITRE R3SPOND und des Incident-Response-Prozesses des SANS Institute.

Backup-Daten zur Ursachenanalyse nutzen

Bei zerstörerischen Angriffen werden gut geschützte Backup-Daten zu einem wertvollen forensischen Hilfsmittel. Denn damit können Unternehmen den Angriffszeitpunkt ermitteln, den Ausbreitungsradius identifizieren, versteckte Malware oder Angreifer-Tools aufdecken, bekanntermaßen intakte mit kompromittierten Zuständen vergleichen sowie Änderungen an Binärdateien und Konfigurationen über den gesamten Angriffszyklus hinweg identifizieren.

Aktuelle Datenmanagement-Plattformen bieten erweiterte Reaktionsfunktionen wie passive Bedrohungssuche und Malware-Scans, die weder Angreifende alarmieren noch anfällig für Ausweichmanöver sind. Zudem funktionieren sie auch dann, wenn Systeme isoliert wurden, um Command-and-Control, Exfiltration und die Verbreitung von Verschlüsselungsprogrammen einzudämmen.

Moderne Plattformen wie Cohesity ermöglichen es sogar, jede verdächtige Datei, die gesichert wurde, in einer Sandbox auszuführen. Ein Hypervisor mit fortschrittlicher Telemetrie erstellt Screenshots und sammelt Informationen zu laufenden Prozessen, versuchten Netzwerkverbindungen sowie geänderten oder erstellten Dateien. Mit Hilfe dieser Informationen lassen sich alte Endpunktprotokolle durchsuchen, die nie in das SIEM aufgenommen wurden, aber in den Backups geblieben sind.

Vertrauen in grundlegende Dienste wiederherstellen

Reaktion und Recovery sollten einer Vertrauenshierarchie folgen. Vor einer umfassenden Wiederherstellung der Anwendungen ist die Steuerungsebene zu validieren. Dazu zählen Kernnetzwerk, Identitäts- und Zugriffsmanagement, Hypervisor- und Cloud-Kontrollschichten, administrative Workstations, Jump-Infrastruktur und Sicherheitstools. Identitäten sind dabei besonders kritisch, da kompromittierte AD- oder Entra-ID-Systeme jede nachgelagerte Aktion überflüssig machen können. Moderne Identitätsresilienz umfasst koordinierte Active-Directory-Forest-Wiederherstellung, Rollback verdächtiger Änderungen und Forensik nach einem Sicherheitsverstoß. Damit lassen sich Hintertüren schließen und das Vertrauen in Verzeichnisdienste wiederherstellen.

Angriffsfläche vor der Wiederherstellung absichern

Bevor Workloads wieder produktiv werden, müssen die ausgenutzten Schwachstellen, exponierten Dienste, schwachen Anmeldedaten, unsicheren Vertrauensbeziehungen, böswilligen Persistenzen und unsicheren Verwaltungswege behoben sein. Bei einem Wiper-Angriff sollte dies die Validierung der Firmware, die Absicherung des Fernzugriffs, die Prüfung der Patches sowie eine verstärkte gezielte Überwachung der während der Untersuchung entdeckten Angriffstechniken umfassen.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zu Data-Storage und -Management

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung. Die Einwilligungserklärung bezieht sich u. a. auf die Zusendung von redaktionellen Newslettern per E-Mail und auf den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern (z. B. LinkedIn, Google, Meta).

Aufklappen für Details zu Ihrer Einwilligung

Betrieb über einen Clean Room wiederherstellen

Ein bereits vor dem Angriff eingerichteter Clean Room bietet eine kontrollierte Umgebung, um Analysen durchzuführen, Abhilfemaßnahmen zu ergreifen und die Wiederherstellung vorzubereiten, ohne verdächtige Assets sofort wieder mit der Produktion zu verbinden. Dies ist besonders wichtig bei Wiper-Angriffen und staatlich gelenkten Sabotagefällen mit hoher Wahrscheinlichkeit für unentdeckte Persistenz. Der Clean Room ermöglicht zudem einen geschlossenen Prozess zwischen der Untersuchung durch die Sicherheitsteams und der Behebung sowie Wiederherstellung durch die IT-Betriebsteams für maximale Effizienz.

Ransomware.live – die Wikipedia der Cybersicherheit

Zur Optimierung und regelmäßigen Aktualisierung dieser Maßnahmen sollten Unternehmen aktuelle Bedrohungsinformationen kennen und berücksichtigen. Zum Beispiel trackt die kostenlose und unabhängige Plattform Ransomware.live automatisiert weltweit Cyber-Angriffe, ordnet sie den jeweiligen Banden zu und zeigt Veröffentlichungen der Täter aus dem Darknet. Ähnlich wie Wikipedia informiert die von Julien Mousqueton, Field CISO EMEA bei Cohesity, konzipierte Plattform für Bedrohungsinformationen in Echtzeit systematisch und strukturiert über weltweite Angriffe. Der Ansatz folgt dem Prinzip maximaler Transparenz und Zusammenarbeit zwischen Gesetzgebern, Strafverfolgungsbehörden, Regierungen und Unternehmen, um Risiken und Auswirkungen von Ransomware langfristig zu minimieren.

Erkenntnisse für das Unternehmensmanagement

James Blake, Vice President of Global Cyber Resiliency Strategy, Response and Consulting Services bei Cohesity.(Bild:  Cohesity)
James Blake, Vice President of Global Cyber Resiliency Strategy, Response and Consulting Services bei Cohesity.
(Bild: Cohesity)

Wiper-Angriffe sind kein exotisches Malware-Problem mehr. Angriffe aus Russland oder dem Iran zeigen, wie zerstörerische Cyberoperationen hochautomatisiert und mit übergeordneten staatlichen Zielen verknüpft werden. Unternehmen können sich davor schützen, wenn sie die Cyber-Wiederherstellung systematisch vorbereitet haben. Dann besitzen sie eine isolierte Recovery-Infrastruktur, können Malware aufspüren, forensische Untersuchungen durchführen und Protokolle in Backup-Daten analysieren. Sie stellen zuerst das Vertrauen in Identitäten und Kerndienste wieder her, schließen die Angriffsfläche vor der Wiederherstellung und führen Übungen durch, um sich auf einen echten Angriff vorzubereiten. Das sind die Grundvoraussetzungen, um sich vor staatlichen Akteuren zu schützen.

* Der Autor: James Blake, Vice President of Global Cyber Resiliency Strategy, Response and Consulting Services bei Cohesity

Aktuelles E-Book

Ransomware-Schutz durch Object Lock und WORM

E-Book „Ransomware-Schutz“
(Bild: Storage-Insider)

Um ein Storage-System effektiv von Ransomware-Angriffen zu schützen, bieten sich neben Backup/Disaster Recovery und Verschlüsselung vor allem Object Lock und WORM an. Das gelingt nicht nur im eigenen Haus, sondern auch in der Hybrid-Cloud.

Die Themen im Überblick:

  • Ransomware-Trends
  • Air-Gapping
  • Amazon S3 Object Lock
  • WORM mit Bandspeicher
  • Schutz durch Algorithmen

(ID:50888474)