Ransomware gilt als eine der gefährlichsten Bedrohungen für Unternehmen. Experten gehen davon aus, dass bis zum Jahr 2025 mindestens 75% der IT-Organisatoren mit einem oder mehreren Angriffen konfrontiert worden sind. Es ist bereits ein dramatischer Anstieg von Ransomware-Angriffen im Jahr 2020 zu verzeichnen gewesen – ein Anstieg von 700 %.
Es ist daher wichtiger denn je, auf moderne Lösungen zu setzen, die Angriffe bereits frühzeitig erkennen und es gar nicht erst zu einem Schaden kommen kann. Wenn es dennoch zu einem Vorfall gekommen ist, kann oft nur noch ein professionelles Backup-System Abhilfe leisten. Im Folgenden erklären wir Ihnen, worauf es hierbei ankommt und was moderne Lösungen heute bieten (müssen).
Mehrere Stufen eines Angriffs
Auch wenn mittlerweile die IT-Verantwortlichen und auch die meisten Nutzer über Verschlüsselungstrojaner bzw. Ransomware Bescheid wissen, sind immer noch viel zu viele Angriffe erfolgreich. Dies liegt unter anderem daran, dass Ransomware-Angriffe oft „falsch verstanden“ werden.
Denn anders als erwartet, besteht ein Ransomware-Angriff nicht aus einem einzigen isolierten Angriff, stattdessen ist dieser nur ein kleiner Teil eines viel größeren, vielschichtigen Angriffes, der mehrere Phasen durchläuft:
- Eindringen in das Netzwerk durch den Diebstahl von Anmeldeinformationen und anschließende Infizierung des Netzwerkes mit Malware.
- Diebstahl von Zugangsdaten für kritische Systemkonten und dessen Unterwanderung, wie z.B. Backup, Active Directory (AD) Domain Name System (DNS) oder die Storage-Administrationskonsolen
- Angriff auf die Backup-Administrationskonsole: Der Angreifer erfährt hierbei Wissen über den Speicherort sensibler Anwendungsdaten und kann diese manipulieren, ändern und löschen
- Datendiebstahl: In vielen Fällen besteht das Ziel des Angriffs nicht nur darin, Daten zu verschlüsseln und Lösegeld zu fordern, sondern Daten für zukünftige kriminelle Aktivitäten (z.B. Verkauf im Darknet) zu stehlen.
Dieser Prozess kann Wochen oder sogar Monate in Anspruch nehmen und hinterlässt oft Malware, die tief in die Systeme des Unternehmens eingebettet ist. Wenn diese „Vorarbeit“ abgeschlossen ist, wird die Ransomware eingesetzt, um kritische Daten zu verschlüsseln, einschließlich des Backup-Speichers, falls dieser im Netzwerk zugänglich ist.
Verheerende Angriffe dieser Art werden immer häufiger und es kann Tage oder sogar Wochen dauern, bis man sich davon erholt hat. Eine vollständige Wiederherstellung ist in manchen Fällen nicht einmal möglich.
Vorgehensweise bei einer guten Backup-Lösung
In erster Linie liegt das Ziel des Angriffes im Datendiebstahl bzw. deren Verschlüsselung. Dementsprechend muss die Backup-Plattform gesichert werden, um die entwendeten oder verschlüsselten Daten wiederherstellen zu können. In drei Bereichen können Backup-Anbieter Schutz bieten:
1. Frühzeitige Erkennung des Angriffes
Das Backup-System ist gut geeignet, um Angriffe und Ransomware frühzeitig zu erkennen – auch bevor sich schädliche Software aktivieren und verbreiten kann. Die Malware-Erkennung in den modernen Backup-Anwendungen funktioniert dabei auf zwei Arten:
- Anomalie-Erkennung
Es wird künstliche Intelligenz eingesetzt, um anormale Muster der Eingabe/Ausgabe zu erkennen, wie z.B. Unregelmäßigkeiten des täglichen inkrementellen Backup-Volumens. Der Administrator wird hierüber automatisch informiert.
Diese Informationen sind in zweierlei Hinsicht wertvoll: Erstens warnt es Organisationen vor dem Angriff. Zweitens hilft es, während des Wiederherstellungsprozesses die letzten funktionierenden bzw. „sauberen“ Backups zu ermitteln.
- Malware-Scan
Sobald ein Backup-Auftrag abgeschlossen ist, können die Inhalte mit einer Vielzahl von Tools gescannt werden, um nach Malware zu suchen, ohne die Leistung der Produktionssysteme zu beeinträchtigen. Dieses Verfahren kann auch rückwirkend genutzt werden, wenn Signaturen von bisher nicht nachweisbarer Schadsoftware verfügbar werden.
Bei rückwirkender Verwendung kann der Tiefenscan vorhandene Backup-Daten durchsuchen, um festzustellen, ob die Malware in früheren Backup-Aufträgen gefangen wurde, um sie zu isolieren und festzustellen, wann ein Angriff gestartet wurde.
Diese Funktionen sind kein perfekter Schutz gegen Ransomware-Angriffe und sollten nicht als Ersatz für professionelle Scan-Tools angesehen werden. Sie fügen jedoch zusätzliche Schutzebenen hinzu, die zu einer früheren Erkennung von Angriffen führen können.
2. Schutz des Backup-Systems
Da das Backup-System häufig im Rahmen eines umfassenderen Ransomware-Angriffs betroffen ist, ist der Schutz aller seiner Komponenten für eine erfolgreiche Wiederherstellung besonders relevant.
Frühe Ransomware-Angriffe konzentrierten sich ausschließlich auf die Verschlüsselung aller Daten, auf die sie Schreibzugriff erhalten konnten, einschließlich des Backup-Systems – wenn hier Netzwerkberechtigungen falsch gesetzt wurden. Neuere Angriffe zielen dagegen aus zwei Gründen genau auf das Backup-System ab:
- Der Betroffene ist eher bereit, Lösegeld zu zahlen
Wenn das Backup-System durchbrochen werden kann, ist es möglich, den Betrieb des Backup-Systems zu verhindern, was die anschließende Ransomware-Attacke effektiver macht, da Unternehmen keine Daten wiederherstellen können.
- Sensible Daten können leichter aufgespürt werden
Das Backup-System selbst stellt eine „Roadmap“ dafür bereit, wo kritische Daten im Netzwerk gespeichert werden, was gezieltere Angriffe auf diese Daten ermöglicht. Ohne Informationen aus dem Backup-System müssen Angreifer das Netzwerk nach Anwendungen und Datenspeichern durchsuchen, und diese Aktivität kann den Angriff aufdecken.
Moderne Backup-Systeme beheben diese Probleme auf verschiedene Weisen:
- Integration von Backup-Speicher und Backup-Software
- Unveränderlicher Dateispeicher
- Eliminierung von Netzwerkfreigabe-Protokollen
- Multifaktor-Authentifizierung für Administratorkonten
- Trennung der administrativen Rollen
- Autorisierungsworkflows für mehrere Personen
- Mehrere Kopien von Backup-Daten
3. Wiederherstellung nach Angriffen
Die Leistung des Backup-Systems und die Automatisierung des Wiederherstellungsprozesses sind von entscheidender Bedeutung. Denn aus mehreren Gründen ist die Wiederherstellung nach einem Angriff oft nicht so einfach wie die Wiederherstellung von Daten aus einem Backup, er kann komplex und zeitaufwändig sein:
- Aufspüren einer guten Kopie der Sicherungsdaten
Wenn der Ransomware-Angriff längere Zeit unbemerkt bleibt, ist es möglich, dass sich verschlüsselte Versionen von Dateien in den neuesten Sicherungskopien befinden. Dies macht es erforderlich, eine ältere Version der Sicherungsdaten zu finden, die nicht betroffen ist.
- Verhindern einer erneuten Infektion
Häufig erfolgt das Einschleusen von Ransomware und anderer Malware, wie z. B. Tools für den Fernzugriff, lange bevor die Ransomware aktiviert wird. Dies hat zur Folge, dass Schadsoftware mit ziemlicher Sicherheit die Backups erreicht hat und nur darauf wartet, nach einer Wiederherstellung wieder aktiviert zu werden.
- Priorisierung der Wiederherstellung
Die Erfahrung der meisten Unternehmen mit der Wiederherstellung aus einem Backup beschränkt sich auf relativ kleine Datenmengen, um den lokalisierten Datenverlust wiederherzustellen. Im Falle eines erfolgreichen Ransomware-Angriffs kann es erforderlich sein, fast die gesamte Umgebung wiederherzustellen. Die Herausforderung besteht darin, die optimale Reihenfolge für die Wiederherstellung der Daten zu erarbeiten, um sicherzustellen, dass die kritischsten Anwendungen zuerst zurückgebracht werden.
Um den Wiederherstellungsprozess zu vereinfachen, bieten Backup-Anbieter eine Reihe von Verbesserungen und wichtige Funktionalitäten an, die sich mit diesen Problemen befassen.
Gerne unterstützt Sie unserer IT-Systemhaus-Team, diese Herausforderungen zu meistern. Bei vielen unserer Kunden setzen wir auf den Anbieter Veeam, der sämtliche wichtige Funktionen bietet und damit auch Ihr Datensicherheits- sowie Datensicherungskonzept effektiv ergänzen und zuverlässiger gestalten kann.
Mit unserem auf Veeam basierenden Cloud-Backup, Backup-Service und Backup für Microsoft 365 sind wir gerne für Sie da.
Mehr Infos und Preise unter www.visaas.de/online-datensicherung/cloud-backup