Backup/Recovery

Mit Data Management zum Schutz vor Ransomware-Angriffen

Mit Data Management zum Schutz vor Ransomware-Angriffen

Pure Storage rät zu unveränderlichen Backups und schnellen Restores

Ein aktueller Stand der Ransomware-Bedrohung und wie Unternehmen durch einfach zu handhabende, unveränderliche Backups und schnelle Wiederherstellung vorsorgen können

Ransomware-Angriffe sind unter den aktuell größten Cyberbedrohungen nach wie vor an der Tagesordnung. In den letzten Jahren gab es viele spektakuläre Fälle mit hohen Lösegeldforderungen, denen Unternehmen oft nachgekommen sind, um ihre kritischen Systeme oder Daten wieder verfügbar zu machen. Unternehmen verschiedener Branchen waren bereits betroffen, ebenso wie das Gesundheitswesen. Die Angreifer haben oft Kliniken ins Visier genommen und den Betrieb erheblich gestört. Airlines, Flughäfen und Bahnunternehmen waren auch bereits betroffen. Pure Storage erläutert, wie Unternehmen durch modernes Data Management die Angriffe ins Leere laufen lassen können.

Erhebliche wirtschaftliche Auswirkungen, vier Hauptprobleme

Die wirtschaftlichen Auswirkungen betrifft sind erheblich. So soll der finanzielle Schaden zwischen 2015 und 2019 laut TechRepublic um das 479-Fache gestiegen sein. Auch wenn die genauen Zahlen schwer zu bestimmen sind, stellt sich die Frage, warum es den Unternehmen bislang nicht gelang, dieses Problem in den Griff zu bekommen. In Diskussionen und Studien kommen mehrere Hauptprobleme zum Vorschein:

  • Asymmetrie der Kosten: Es sind einfache wirtschaftliche Faktoren im Spiel. Es ist billig für die Angreifer, weiterhin anzugreifen, und teuer für die Opfer, die auf die Lösegeldforderungen eingehen, also eine sehr einfache Kosten-Nutzen-Analyse für die Angreifer.
  • Komplexität des modernen IT-Stacks: In einer modernen Rechenzentrumsumgebung gibt es viele Angriffsvektoren in Form von Komponenten, die aktualisiert, gepatcht und widerstandsfähiger gemacht werden müssten.
  • Diskrete Zahlungsmethoden: Die Cyberkriminellen greifen weiterhin erfolgreicher auf Bitcoin oder andere Kryptowährungen als relativ zuverlässige und anonyme Zahlungsmethoden zurück.
  • Verfügbarkeit: Ransomware-as-a-Service-Kits sind für Akteure, die wissen, wo sie online suchen müssen, problemlos verfügbar. Angreifer können Kits mit einer Reihe von erforderlichen technischen Fähigkeiten, Verschlüsselungsarten und mehr erwerben.

Verteidigung – einfach in der Theorie, schwer in der Praxis

Wie bei vielen Security-Themen ist „Defense in Depth“, also eine „Verteidigung in der Tiefe“ erforderlich. Es gibt jedoch so viele mögliche Angriffsvektoren, die kontrolliert werden müssen, was die Aufrechterhaltung einer umfassenden Verteidigung schwierig macht. Wirklich entschlossene und versierte Angreifer arbeiten sich jedoch oft durch jede mehrschichtige Verteidigung vor. In diesem Fall wird die Datensicherung dann zur Verteidigung der letzten Instanz.

Markus Grau, Principal Systems Engineering im CTO EMEA Office bei Pure Storage

„Warum also zahlen betroffene Unternehmen am Ende also das Lösegeld, wenn es theoretisch so einfach ist, eine Wiederherstellung aus der Sicherung durchzuführen?“, fragt Markus Grau, Principal Systems Engineering im CTO EMEA Office bei Pure Storage . „Oft funktionieren die Backups nicht effektiv oder Wiederherstellungen sind nicht schnell genug, wenn sie am meisten gebraucht werden. Tägliche Ausfälle von Backups sind fast schon der Normalfall im IT-Betrieb.“

Im Falle eines Ransomware-Angriffs sind die Auswirkungen von fehlgeschlagenen Backups, beschädigten Backup-Daten oder langsamen Wiederherstellungen jedoch viel größer als bei anderen Szenarien. Ein Ransomware-Angriff ist somit trotz statistisch geringer Wahrscheinlichkeit ein potentielles Ereignis mit großer Auswirkung, vor dem sich Unternehmen schützen sollten. Ebenso schließen Privatpersonen Versicherungen ab für Ereignisse, mit denen sie nicht rechnen, die aber möglich sind.

Bei einem System, das hochkomplex ist und tägliche Pflege erfordert, wie im Fall von Bandlaufwerken für die Datensicherung, ist fraglich, ob es einwandfrei funktioniert, wenn es darauf ankommt. Aus IT-Sicht gibt es täglich Probleme bei der Aufgabe, solche Systeme am Laufen zu halten. Während Ransomware eine konstante und wachsende Bedrohung darstellt, ist die Wiederherstellung nach einem Ransomware-Angriff kein alltäglicher Vorgang. Selbst wenn die Backups erfolgreich ausgeführt werden, gibt es bereits Ransomware-Angriffe, die sowohl auf Backup-Daten und -Kataloge als auch auf Speicher-Array-Snapshots abzielen. Damit wäre der Worst Case definiert.

„Unternehmen benötigen eine Kombination aus unveränderlicher, einfacher Speicherung und hoher Wiederherstellungsgeschwindigkeit, um nach Ransomware-Angriffen schnell wieder zum Normalbetrieb überzugehen. Dies ist mit einer vollständig auf Flash basierenden Datei- und Objektspeicherplattform möglich, die konzeptionell von Haus aus auf Skalierbarkeit und Durchsatz ausgelegt ist“, erklärt Markus Grau von Pure Storage. „Die Unveränderlichkeit verhindert, dass Backups von Angreifern kompromittiert werden, und unterstützt damit eine einfache und schnelle Wiederherstellung.“

Abschwächung der Auswirkungen von Ransomware-Angriffen

Zwei Wiederherstellungsfunktionen sind für die Milderung der Auswirkungen eines Ransomware-Angriffs von entscheidender Bedeutung: die Zuverlässigkeit und die Geschwindigkeit der Datensicherung und -wiederherstellung.

Erstens, müssen Daten gesichert und die Backups vor absichtlichem, böswilligem Löschen geschützt werden. Dazu muss das Speichersystem, das die Backups aufnimmt, einfach, zuverlässig und unveränderlich sein. In diesem Fall bezieht sich die Unveränderlichkeit auf die Fähigkeit eines Systems, Änderungen oder das Löschen eines Objekts nach seiner Erstellung zu verhindern. Unveränderlich bedeutet auch, eine Kompromittierung der Datensicherung zu verhindern, selbst wenn die Administrator-Berechtigungsnachweise kompromittiert worden sind.

Zweitens, muss das Backup-System auch in der Lage sein, Daten schnell wiederherzustellen. Mit anderen Worten: Wenn sich Backups nicht schnell genug wiederherstellen lassen, um größere Auswirkungen zu vermeiden, was nützen diese Backups dann? Die Frage ist also, ob das bestehende Backup-System schnell genug Wiederherstellungen durchführen kann, falls nach einem Ransomware-Angriff große Teile des Rechenzentrums aus dem Backup wiederhergestellt werden müssen.

Die meisten Backup-Systeme sind nicht dafür ausgelegt, einen großen Prozentsatz einer Kundenumgebung innerhalb eines kurzen Zeitrahmens wiederherzustellen. Bei einem Ransomware-Angriff ist jedoch die Wiederherstellungsgeschwindigkeit kritisch. Mit herkömmlichen Speichersystemen können die Wiederherstellungszeiten sich sogar über Monate hinziehen. Dies ist für die Geschäftskontinuität eindeutig inakzeptabel.

Worauf es beim Speichersystem ankommt

Eine zeitgemäße Datei- und Objektspeicherplattform muss drei entscheidende Anforderungen erfüllen:

  • Einfachheit: Die Lösung sollte leicht einzurichten, zu verwalten, zu erweitern und in Backup-Software zu integrieren sein.
  • Unveränderlichkeit: Unveränderliche Speicherung gewährleistet, dass Backups nicht durch Angreifer kompromittiert werden, selbst in Szenarien, in denen die Admin-Zugangsdaten bereits kompromittiert wurden.
  • Geschwindigkeit: Die Wiederherstellung muss schnell genug erfolgen, um größere Auswirkungen auf den Geschäftsbetrieb zu vermeiden.

Mittels einer modernen Datei- und Objektspeicherplattform lässt sich in der Praxis die Wiederherstellungsgeschwindigkeit einer Datenbank um einen hohen zweistelligen Faktor erhöhen. Das ist eine Größenordnung, die Unternehmen im Ernstfall die Gewissheit gibt, dass ihre Backups tatsächlich schnell genug zu Verfügung stehen.

Ein spezieller Schutzmodus (SafeMode) hindert Ransomware-Angreifer daran, auf der Plattform gespeicherte Backups überhaupt erst zu löschen. Nach der Inbetriebnahme werden automatisierte Snapshots erstellt, die für eine vom Kunden festgelegte Zeitspanne aufbewahrt werden und weder vom Kunden noch von Personen mit Admin-Zugriff auf das Speichersystem gelöscht werden können.

„Natürlich erfordert dies zusätzlichen Speicherplatz auf dem System, um die Snapshots über die angegebene Zeitspanne vorzuhalten. Speicheranbieter unterstützen ihre Kunden aber bei der Größenbestimmung, um Klarheit über den benötigten Platz und die daraus resultierenden Kosten zu schaffen“, erklärt Markus Grau abschließend. „Eine moderne Flash-basierte Datei- und Objektspeicherplattform bietet die entscheidende Kombination aus Einfachheit, Unveränderlichkeit und Geschwindigkeit. Bei der dringenden Wiederherstellung nach Ransomware-Angriffen kommt es genau darauf an.“