Ransomware – jetzt trifft es auch öffentliche Einrichtungen Unverzichtbar für die Datensicherung: Immutable Backup

Autor / Redakteur: Wolfgang Huber* / Dr. Jürgen Ehneß

Ein Hackerangriff auf den Landkreis Anhalt-Bitterfeld hat den ersten Cyber-Katastrophenfall in Deutschland ausgelöst. Das zeigt: Institutionen der öffentlichen Hand sollten sich spätestens jetzt bestmöglich vor Ransomware schützen.

Firmen zum Thema

Ein wichtiger Baustein im Kampf gegen Cybergesindel: unveränderliche Backups.
Ein wichtiger Baustein im Kampf gegen Cybergesindel: unveränderliche Backups.
(Bild: gemeinfrei / Pixabay )

Zwei Wochen lang war die IT der Kreisverwaltung Anhalt-Bitterfeld lahmgelegt. Erst danach stand eine Notinfrastruktur zur Verfügung, die digitales Arbeiten und die Kommunikation per E-Mail wieder ermöglichte. Grund für den Totalausfall: Ransomware.

Am 6. Juli 2021 wurden mehrere Server des Landkreises damit infiziert und Daten verschlüsselt. Das geforderte Lösegeld floss aber nicht. Der neue Landrat Andy Grabner sagte, dass sich eine Kreisverwaltung, die zum öffentlichen Dienst gehört, nicht erpressen lassen dürfe. Zudem gebe es keine Garantie, dass nach der Zahlung des Lösegeldes eine Entschlüsselung aller Daten gewährleistet sei. Damit folgt er der Empfehlung des Bundesamts für Sicherheit in der Informationstechnik (BSI), das von Lösegeldzahlung abrät.

Kurz nach diesem Angriff erwischte es die IT des Klinikums Wolfenbüttel. Nach einer Ransomware-Attacke wurden die Systeme heruntergefahren. Aufgrund einer frühen Erkennung des Cyberangriffs und einer guten Vorbereitung mit aktuellen Backups ließ sich größerer Schaden vermeiden. So gingen auch hier die Erpresser leer aus.

Vorsorge ist besser als zahlen

Diese aktuellen Beispiele zeigen, dass es für öffentliche Einrichtungen inzwischen dringend erforderlich ist, sich vor Ransomware-Angriffen zu schützen. Erstens bringt ein gezahltes Lösegeld oft nicht die versprochene Abhilfe. Zweitens wird damit lediglich ein Angriff auf eine andere Organisation finanziert. Drittens stehen – selbst wenn die Daten wieder freigeschaltet werden – erhebliche Aufräumarbeiten aufgrund von Dateibeschädigungen sowie durch den längeren Netzwerk- und Dienstausfall an.

Abgesehen von den unmittelbaren Kosten werden Ransomware-Attacken auch versicherungsrechtlich zu einem Problem: So hat die Axa kürzlich angekündigt, keine Versicherungen gegen Ransomware mehr zu verkaufen. Andere Versicherungsunternehmen dürften aufgrund der höheren Gefahrenlage ihre geforderten Prämien deutlich anheben. Daher sollte für öffentliche Einrichtungen eine Zahlung von Lösegeld – selbst mit Versicherung – keine Option mehr sein.

Neuer Podcast: Storage-Insider im Gespräch mit Christian Kubik von Commvault zum Thema „Backup in der Praxis“.

Storage-Insider-Podcast: Datensicherung und Business Continuity – wie Unternehmen eine Backup-Strategie entwickeln

Backup in der Praxis

Gerade das Klinikum Wolfenbüttel zeigt, wie es besser geht: Institutionen sollten geeignete Maßnahmen zur Datenwiederherstellung ergreifen, bevor ein Ransomware-Angriff erfolgt. Eine leider immer noch zu häufig unterschätzte Bedeutung besitzen gut geschützte Lösungen für Backup und Recovery. Denn moderne Ransomware-Angriffe manipulieren im ersten Schritt die Backup-Daten, bevor sie die Live-Daten verschlüsseln und ihre Lösegeld-Forderung stellen. Das Resultat: Die verschlüsselten Daten lassen sich nicht wiederherstellen, da das Backup bereits zuvor zerstört worden ist.

Zauberwort: Immutable Backups

Für die betroffenen Einrichtungen und Unternehmen heißt das wiederum, dass sie nicht nur ihre Produktivsysteme und -daten vor Angriffen schützen müssen, sondern auch die Backups. Sonst ist keine Recovery möglich. Die Lösung bieten aktuelle Backup-Systeme mit unveränderlichen Daten, so genannte „Immutable Backups“. Damit konnte zum Beispiel das Sky-Lakes-Krankenhaus in den USA nach einem Angriff durch die Ransomware „Ryuk“ ihre Systeme ohne Lösegeldzahlung erfolgreich wiederherstellen.

Theoretisch können bei allen Immutable Backups Daten weder geändert noch verschlüsselt oder gelöscht werden. Allerdings gibt es unterschiedliche Lösungen dafür. Die Unveränderlichkeit sollte von Anfang an eingebettet sein. Das bedeutet: Jede Anwendung, die versucht, auf einen bestehenden Snapshot zu schreiben oder ihn zu ändern, erstellt einen Null-Kosten-Klon. Die ursprüngliche Kopie der Daten kann also nicht geändert werden. Darüber hinaus empfiehlt sich das Aktivieren von DataLock in der Backup-Richtlinie. Mit dieser WORM-Funktion (Write Once, Read Many) wird der Snapshot mit einer zeitlich begrenzten Sperre versehen, die selbst der Sicherheitsbeauftragte nicht löschen kann.

Zusätzlich sollten Schreibvorgänge auf internen Views während der Sicherung nur über vertrauenswürdige interne Dienste und authentifizierte APIs zulässig sein. Für weitere Sicherheit sorgen Machine-Learning-Systeme, die Backup-Daten kontinuierlich auf Anomalien untersuchen. Sie analysieren etwa ungewöhnliche Änderungsraten, die auf einen möglichen Angriff hinweisen. Außerdem erkennen sie Muster bei historischen Daten, die Häufigkeit von Dateizugriffen sowie die Anzahl von Dateien, die von einem bestimmten Nutzer oder einer Anwendung verändert, ergänzt oder entfernt wird.

Fazit

Für die Abwehr eines Ransomware-Angriffs – der früher oder später auf jeden Fall kommt –sind unveränderliche Backups ein zentraler Baustein. Doch sie stellen nur einen Teil der Security-Strategie dar. Diese muss ganzheitlich betrachtet werden und sowohl technische als auch organisatorische Maßnahmen integrieren. Dazu gehören etwa eingeschränkte Zugriffsrechte, Netzwerksegmentierung oder Mitarbeiterschulungen.

Nur durch ein Zusammenspiel aller Faktoren inklusive Immutable Backups können öffentliche Einrichtungen Ransomware erfolgreich abwehren und Schäden begrenzen. Damit erreichen sie ihr oberstes Ziel: die möglichst schnelle Rückkehr zur Arbeitsfähigkeit.

Wolfgang Huber, Regional Director Central Europe bei Cohesity.
Wolfgang Huber, Regional Director Central Europe bei Cohesity.
(Bild: Cohesity)

*Der Autor: Wolfgang Huber, Regional Director Central Europe bei Cohesity

Das Storage-Kompendium zum Thema – kostenfreier Download

Die Zeiten, in denen Backups ausschließlich auf Tape angefertigt wurden, sind vorbei. Heute stellt sich die Situation bezüglich Backup-Medien und -Strategien deutlich vielfältiger dar, was auch zu Unsicherheiten führt.

Backup & Archivierung – gestern, heute und morgen

Storage-Kompendium Backup & Archivierung
Storage-Kompendium „Backup & Archivierung“
(Bildquelle: Storage-Insider)

Die Hauptthemen des Kompendiums sind:

  • Auf dem Weg zur passenden Backup-Strategie
  • Cloud-Backup und Hybrid-Backup
  • Tape – der wehrhafte Dinosaurier
  • Datensicherheit und Storage: Welche gesetzlichen Vorgaben gelten?
  • Langzeitarchivierung mit Objektspeicherung
  • Unstrukturierte Daten ohne Backup schützen
  • Erstklassige Backup- und Archivierungsstrategie

(ID:47600221)