Keynote auf der DSX II/22: Günter Maier (mentIQ) zum Thema „Cyber Recovery“ „Technologie alleine reicht nicht aus“

Die Data-Storage-Community trifft sich am 28. April 2022 virtuell: bei der DSX II/22 Data Storage Virtual Conference. Einer der Speaker ist Günter Maier, Geschäftsführer von mentIQ, dessen Vortrag sich einem der aktuell dringendsten Themen widmet: „Cyber Resilience – was tun, wenn eine Ransomware-Attacke erfolgreich war?“

Anbieter zum Thema

Vogel IT-Akademie

Dell GmbH

FAST LTA GmbH

iTernity GmbH

mentIQ GmbH

Das spannende Programm der DSX II/22 besteht aus Keynotes, Livedemos und Diskussionen, und selbstverständlich bietet die virtuelle Konferenz rund um alle Storage-Themen auch vielfältige Möglichkeiten zum Austausch der Teilnehmer untereinander und mit den Speakern. Die Teilnahme ist kostenlos, zur Anmeldung geht es hier.

Günter Maier, Geschäftsführer von mentIQ, spricht auf der DSX II/22 zum brisanten Thema „Cyber Resilience – was tun, wenn eine Ransomware-Attacke erfolgreich war?“ und gibt im Interview einen ersten Einblick in seinen Vortrag.

Herr Maier, in den vergangenen Monaten ist die Anzahl der Ransomware-Angriffe rapide gestiegen. Dabei ist das Thema beileibe nicht neu. Was hat sich geändert?

Günter Maier, mentIQ: Dafür gibt es mehrere Ursachen. Zum einen hat sich durch die Pandemie die Anzahl der Remote-Arbeitsplätze stark erhöht, wobei viele Unternehmen und Behörden noch nicht richtig darauf vorbereitet waren. Allerdings hat auch die Qualität der Angriffe stark zugenommen. Cyber-Kriminelle sind – nicht zuletzt dank der bezahlten Lösegelder – besser ausgestattet als je zuvor. Dazu kommt, dass sie sich stärker vernetzen und über „Ransomware-as-a-Service“ selbst Laien Zugang zu diesem „Geschäftsmodell“ verschaffen.

Was ist die Motivation der Cyber-Kriminellen? Und welche Methoden wenden sie an?

Die Mehrheit der nichtstaatlichen Angriffe verfolgt finanzielle Interessen. Dabei kommt es immer häufiger zu einer mehrstufigen Erpressung. Der Einstieg gelingt oft mittels Social Engineering – was durch Vermehrung der Home-Offices und des oft unbedachten Umgangs mit sozialen Medien heute zunehmend erfolgreich ist.

Mit intelligenter Ransomware werden nicht nur die produktiven Daten verschlüsselt, sondern auch persönliche Daten und Credentials exfiltriert. Diese werden für weitere Erpressungsstufen verwendet und in der Folge an Dritte verkauft oder vermietet.

Welche Unternehmen sind für Cyber-Kriminelle überhaupt interessant?

Viele Firmen unterschätzen die Gefahr, denn sie gehen davon aus, dass ihre Daten „nicht so wertvoll“ sind. Aber den Tätern genügt ein Blick in den Bundesanzeiger. Alle Unternehmen, die Geld verdienen, sind ein lohnendes Angriffsziel. Auch Behörden und Unternehmen der Öffentlichen Hand sind interessant. Die Lösegeldforderungen richten sich oft nach den veröffentlichten Gewinnen. Und Cyber-Kriminelle sind Wiederholungstäter. Wenn es funktioniert hat, versuchen sie es wieder.

Was sind die grundlegenden Schutzmaßnahmen, die ein Unternehmen zur Prävention ergreifen sollte? Reicht ein „wasserdichtes“ Backup aus?

Günter Maier, Geschäftsführer mentIQ GmbH.

Wir unterscheiden zwischen Schutzmaßnahmen zur Prävention und Maßnahmen, die sicherstellen sollen, dass nach einem erfolgten Angriff eine möglichst schnelle und verlustfreie Rückkehr zum Regelbetrieb erfolgt. Zur Prävention gehören zum Beispiel Schulung der Mitarbeiter im Bezug auf social Engineering, Viren- und Malware-Schutz, das Absichern und Segmentieren von Netzwerken, Multi-Faktor-Authentifizierung und die Trennung von Verantwortlichkeiten. Eine hundertprozentige Prävention gibt es aber nicht. Wir raten daher dringend dazu, sich gründlich auf den Ernstfall vorzubereiten.

Ein funktionierendes Backup ist ein guter Anfang. Allerdings gibt es hochentwickelte Ransomware, die gezielt die Backup-Software kompromittiert und Sicherungsdaten verschlüsselt, löscht oder gar die entsprechenden Speichersysteme zerstört. Eine funktionierende Cyber-Recovery-Strategie fußt daher auf drei Säulen: 1. Unveränderlichkeit der Backup-Daten, 2. Isolation und Trennung der Cyber-Recovery-Umgebung und 3. intelligenten Analysen, um eine Infektion der Backup-Daten auszuschließen – im Englischen wird daraus die „3-i-Regel“: Immutability, Isolation, Intelligence.

Technologie alleine reicht aber nicht aus. Es bedarf umfangreicher organisatorischer Maßnahmen vom Notfallplan bis zur Cyber-Versicherung, damit im Ernstfall ein Rädchen ins andere greift. Daher ist Cyber Recovery immer Chefsache.

An wen muss ich mich als erstes wenden, wenn mein Unternehmen dann doch von einer erfolgreichen Cyber-Attacke betroffen ist?

Je nach Unternehmen müssen Angriffe sofort gemeldet werden, das betrifft insbesondere KRITIS-Einrichtungen und Unternehmen mit relevantem Online-Geschäft. Erste Anlaufstellen sind dabei BKA und BSI, die gegebenenfalls auch über weitere Informationen zur eingesetzten Ransomware und professionelle Forensiker verfügen. Inzwischen gibt es auch spezialisierte Cyber-Versicherungen, die einen umfassenden Service von der Haftpflicht bei Datenschäden bis hin zur Krisenkommunikation bieten. Da ein Cyber Recovery in jedem Fall mit hohem personellen Aufwand verbunden ist, empfehlen wir auch, frühzeitig das eigene Dienstleisternetzwerk zu aktivieren.

Was sind die Unterschiede von Cyber Recovery gegenüber einem traditionellen Disaster Recovery? Was ist das Ziel, und wie ist die Vorgehensweise?

Beim Disaster Recovery reagiert man auf ein einmaliges unvorhergesehenes Ereignis, das meist lokaler Ausprägung ist – also Defekt einzelner Systeme, Verlust bestimmter Daten, aber auch Naturkatastrophen. Dabei gilt es, so schnell wie möglich den letzten Stand wiederherzustellen und produktiv zu nehmen. Da der Zeitpunkt des Ereignisses meist bekannt ist, kann direkt mit der letzten Version begonnen werden. Der Ersatz oder das Vorhalten von Infrastruktur kann geplant und nach definierten SLAs durchgeführt werden. Die Prozesse dafür sind definierbar und können regelmäßig erprobt werden.

Beim Cyber Recovery ist der zeitliche Verlauf unbekannt. Eine Attacke kann schon vor längerer Zeit erfolgt sein und sich erst jetzt auswirken. Der Umfang ist unklar, denn Ransomware kann sich global und viral verbreiten. Das Recovery kann nicht sofort starten. Zuerst müssen die Meldungen bei Behörden und Versicherungen erfolgen. Dann folgt die Forensik, um die Art der Manipulation zu erkennen und den Schaden zu ermitteln. Erst dann ist es möglich, eine geeignete Sicherung wiederherzustellen („Clean Recover“). Dies erfolgt aber zunächst in einer abgeschotteten Umgebung und wird erst nach einer gründlichen Validierung in die Produktion übergeben.

(ID:48061460)