Ransomware-resistente Backups
Ransomware-Recovery: Warum sich die Wiederherstellung lange vor dem Angriff entscheidet
HYCU-Leitfaden: Warum viele Backups im entscheidenden Moment versagen
Ein Ransomware-Angriff beginnt für Unternehmen nicht erst mit der ersten verschlüsselten Datei. Ob Systeme schnell wieder verfügbar sind oder der Betrieb über Wochen stillsteht, entscheidet sich häufig bereits Monate zuvor – bei der Architektur der Backups, den Zugriffsrechten und den eingeübten Wiederherstellungsprozessen. Genau an dieser Vorbereitung mangelt es nach Einschätzung von HYCU jedoch in vielen Organisationen.
Backups gelten seit Jahren als letzte Verteidigungslinie gegen Ransomware. Doch eine vorhandene Datensicherung allein reicht längst nicht mehr aus. Moderne Angreifer versuchen gezielt, Backup-Systeme zu kompromittieren, Wiederherstellungspunkte zu löschen und Administratorzugänge zu übernehmen.
Unternehmen benötigen deshalb nicht nur gesicherte Daten, sondern eine belastbare Recovery-Strategie. Dazu gehören unveränderliche und isolierte Backups ebenso wie klar definierte Verantwortlichkeiten, regelmäßige Wiederherstellungstests und ein Ablaufplan für den Ernstfall.
Nach Ansicht des Backup- und Recovery-Anbieters HYCU wird genau diese organisatorische und technische Vorbereitung häufig vernachlässigt. Viele Teams beschäftigten sich erst dann intensiv mit der Wiederherstellung, wenn der Angriff bereits stattgefunden hat. Zu diesem Zeitpunkt seien die entscheidenden Weichen jedoch längst gestellt.
Warum die Lösegeldzahlung keine verlässliche Abkürzung ist
Die Zahlung eines Lösegelds erscheint auf den ersten Blick als schnellster Weg zurück zum Normalbetrieb. In der Praxis bietet sie jedoch keine Garantie dafür, dass Unternehmen ihre Daten vollständig und zeitnah zurückerhalten.
Nach den von HYCU angeführten Zahlen erhalten 60 Prozent der Unternehmen, die auf die erste Lösegeldforderung eingehen, zunächst wieder Zugriff auf ihre Daten. Weitere 32 Prozent müssen demnach zusätzliche Zahlungen leisten, bevor eine Wiederherstellung möglich ist. Acht Prozent können ihre Daten trotz Zahlung überhaupt nicht wiederherstellen.
Selbst wenn die Angreifer einen funktionsfähigen Entschlüsselungsschlüssel bereitstellen, ist der Vorfall damit nicht beendet. Die Entschlüsselung großer Datenbestände kann lange dauern, Systeme müssen überprüft und neu aufgesetzt werden und die ursprüngliche Einfallsmethode bleibt möglicherweise zunächst bestehen. Die vollständige Rückkehr zum Normalbetrieb kann sich deshalb über Wochen hinziehen.
Hinzu kommen weitere wirtschaftliche, rechtliche und strategische Risiken. Lösegeldzahlungen können den Versicherungsschutz beeinträchtigen, wenn sie gegen Vertragsbedingungen oder gesetzliche Vorgaben verstoßen. Bei Zahlungen an sanktionierte Personen oder Organisationen drohen zudem regulatorische Konsequenzen.
Darüber hinaus kann ein zahlungsbereites Unternehmen für weitere Angriffe interessant werden. Informationen über erfolgreiche Erpressungen werden innerhalb der kriminellen Infrastruktur weitergegeben oder verkauft. Jede Zahlung finanziert außerdem indirekt die Entwicklung neuer Angriffswerkzeuge und Kampagnen.
Nach Angaben von HYCU konnten sich weltweit 84,5 Prozent der von Ransomware betroffenen Unternehmen ohne Zahlung wiederherstellen. Voraussetzung dafür ist allerdings, dass belastbare und erreichbare Wiederherstellungspunkte bereits vor dem Angriff vorhanden sind.
Drei Voraussetzungen für ransomware-resistente Backups
Ein Backup schützt nur dann vor Erpressung, wenn Angreifer es nicht gemeinsam mit der Produktivumgebung manipulieren oder verschlüsseln können. HYCU nennt drei grundlegende Anforderungen, die eine widerstandsfähige Backup-Architektur erfüllen sollte.
1. Unveränderlicher Speicher
Backups sollten auf einem Speichersystem abgelegt werden, auf dem die gesicherten Daten während einer festgelegten Aufbewahrungsfrist weder verändert noch gelöscht werden können. Dieses Prinzip wird häufig als Immutable Storage oder WORM – Write Once, Read Many – bezeichnet.
Bei S3-kompatiblem Objektspeicher lässt sich dies beispielsweise über eine aktivierte Object-Lock-Funktion umsetzen. Auch ein Angreifer, der Administratorrechte in der Produktivumgebung erlangt, soll dadurch nicht in der Lage sein, die geschützten Sicherungskopien vor Ablauf der Aufbewahrungsfrist zu löschen.
Entscheidend ist allerdings, dass die Unveränderlichkeit korrekt konfiguriert und nicht durch alternative Administrationswege umgangen werden kann.
2. Isolierte Backup-Umgebung
Die Backup-Infrastruktur sollte möglichst konsequent von der Produktionsumgebung getrennt sein. Ein solcher Air Gap muss nicht zwangsläufig eine vollständig physische Trennung bedeuten. Er kann auch durch eine Kombination aus Netzwerksegmentierung, separaten Identitäten, eigenständigen Diensten und fehlenden Vertrauensbeziehungen umgesetzt werden.
Wichtig ist, dass kompromittierte Zugangsdaten aus der Produktivumgebung nicht automatisch den Zugriff auf die Datensicherungen ermöglichen. Werden für Produktion und Backup dieselben Administratorenkonten oder Verzeichnisdienste verwendet, kann sich ein Angriff leichter auf die Sicherungsumgebung ausweiten.
HYCU verweist in diesem Zusammenhang auf seine gehärtete virtuelle Appliance, die auf einem sicherheitsoptimierten Linux-Basisimage aufsetzt, keinen regulären Root-Zugriff vorsieht und SSH standardmäßig deaktiviert.
3. Streng begrenzte Zugriffsrechte
Auch berechtigte Administratoren sollten Backups nicht ohne zusätzliche Kontrollen verändern oder löschen können. Rollenbasierte Zugriffskontrollen, Mandantentrennung und eine konsequente Aufgabenteilung reduzieren sowohl das Risiko durch kompromittierte Konten als auch durch interne Bedrohungen.
Besonders kritisch sind Konten mit weitreichenden Superadministratorrechten. Werden diese Zugangsdaten gestohlen, können Angreifer andernfalls nicht nur Produktionssysteme verschlüsseln, sondern auch Sicherungskopien und Wiederherstellungspunkte entfernen.
HYCU hat nach eigenen Angaben das manuelle Löschen von Backups standardmäßig deaktiviert. Das schränkt zwar die administrative Flexibilität ein, soll im Ernstfall jedoch den Schutz der Wiederherstellungsdaten priorisieren.
Studie zeigt große Lücken zwischen Anspruch und Wirklichkeit
Gemeinsam mit ActualTech Media hat HYCU IT-Führungskräfte zum Stand ihrer Ransomware-Vorbereitung befragt. Die Ergebnisse zeigen eine deutliche Diskrepanz zwischen dem wachsenden Bewusstsein in den Führungsetagen und der tatsächlichen technischen Umsetzung.
Demnach haben 65 Prozent der Befragten kein vollständiges Vertrauen in ihre bestehenden, teilweise veralteten Backup-Lösungen. Unter den bereits von Ransomware betroffenen Unternehmen erlitten 52 Prozent messbare Datenverluste. 63 Prozent berichteten von Betriebsunterbrechungen.
Gleichzeitig speichern lediglich 41 Prozent ihre Backups in einer isolierten Umgebung. Nur 47 Prozent testen regelmäßig, ob sich die Daten tatsächlich wiederherstellen lassen. Gerade einmal 35 Prozent gehen davon aus, dass ihre derzeit eingesetzten Werkzeuge für die eigene IT-Umgebung ausreichen.
Das Thema ist inzwischen allerdings auf der Führungsebene angekommen. Laut Untersuchung beteiligen sich 77 Prozent der Unternehmensvorstände aktiv an Diskussionen über die Prävention und Bewältigung von Ransomware-Angriffen.
Das gestiegene Interesse allein löst das Problem jedoch nicht. Ohne Investitionen in technische Resilienz, dokumentierte Abläufe und praktische Übungen bleibt die Wiederherstellungsfähigkeit häufig theoretisch.
„Angesichts der mit Ransomware-Angriffen verbundenen Kosten in Millionenhöhe – ganz zu schweigen von den negativen Auswirkungen auf die Marke und die Mitarbeitermoral – können es sich Unternehmen nicht leisten, keinen Plan zu haben“, erklärt Simon Taylor, Gründer und CEO von HYCU.
Das Fünf-Stufen-Modell für die Wiederherstellung
Eine erfolgreiche Ransomware-Recovery ist keine einzelne technische Maßnahme. Sie besteht aus mehreren aufeinander abgestimmten Phasen. Verzögerungen oder Fehler in einer Stufe wirken sich unmittelbar auf alle folgenden Schritte aus.
Stufe 1: Angriff erkennen
Sicherheitsteams müssen ungewöhnliche Dateiänderungen, unerwartete Verschlüsselungsvorgänge und auffällige Aktivitäten innerhalb der Backup-Umgebung möglichst früh identifizieren. Klassische Security-Lösungen erkennen dabei nur einen Teil der relevanten Signale. Ergänzende Analysen des Backup-Verhaltens können auf ungewöhnlich hohe Änderungsraten, fehlgeschlagene Sicherungsläufe oder manipulierte Wiederherstellungspunkte hinweisen. Je früher ein Angriff erkannt wird, desto kleiner ist in der Regel der betroffene Datenbestand.
Stufe 2: Systeme eindämmen
Nach der Erkennung müssen betroffene Systeme unmittelbar isoliert werden. Kompromittierte Endgeräte und Server sind vom Netzwerk zu trennen, verdächtige Konten zu sperren und laufende Replikationen zu überprüfen. Besondere Vorsicht gilt bei der Replikation an Disaster-Recovery-Standorte. Läuft diese während des Angriffs weiter, können verschlüsselte oder manipulierte Daten automatisch auf bislang intakte Systeme und Sicherungen übertragen werden. Die Eindämmung muss deshalb schnell erfolgen, darf aber nicht unkoordiniert sein. Unüberlegte Abschaltungen können forensische Spuren vernichten oder zusätzliche Schäden verursachen.
Stufe 3: Ausmaß bewerten
Anschließend muss das Unternehmen feststellen, welche Systeme betroffen sind, welche Sicherungen noch als vertrauenswürdig gelten und wann der letzte bekannte saubere Zustand vorlag. Dazu ist eine vollständige Übersicht über Anwendungen, Datenbestände, Abhängigkeiten und Wiederherstellungspunkte erforderlich. Unternehmen, denen diese Transparenz fehlt, verlieren im Ernstfall wertvolle Zeit mit der Suche nach zuständigen Systemen und verfügbaren Sicherungen. Die zentrale Frage lautet nicht nur: Welche Daten sind noch vorhanden? Ebenso wichtig ist: Welche Wiederherstellungspunkte sind nachweislich frei von Schadsoftware und Manipulationen?
Stufe 4: Kontrolliert wiederherstellen
Die Wiederherstellung sollte aus dem jüngsten nachweislich unbeschädigten Backup erfolgen. Dabei ist die technische und geschäftliche Abhängigkeit der Systeme zu berücksichtigen. Identitätsdienste, Netzwerkkomponenten, Datenbanken und zentrale Plattformen müssen häufig vor den darauf aufbauenden Anwendungen wiederhergestellt werden. Eine falsche Reihenfolge kann dazu führen, dass Systeme zwar technisch starten, aber nicht korrekt miteinander kommunizieren. Jede Wiederherstellung sollte überprüft werden, bevor die nächste Anwendung folgt. Dazu gehören Funktionskontrollen, Malware-Scans und die Validierung der Datenintegrität.
Stufe 5: Umgebung absichern
Nach der Wiederherstellung muss der ursprüngliche Angriffsvektor geschlossen werden. Dazu gehören das Patchen ausgenutzter Schwachstellen, das Zurücksetzen kompromittierter Zugangsdaten und die Überprüfung sämtlicher Zugriffsrichtlinien.
Anschließend sollten Unternehmen den Vorfall strukturiert auswerten. Welche Maßnahmen haben funktioniert? Wo entstanden Verzögerungen? Welche Systeme oder Zuständigkeiten waren nicht ausreichend dokumentiert?
Die gewonnenen Erkenntnisse müssen in den Incident-Response- und Recovery-Plan einfließen. Ein Notfallplan ist nur dann wirksam, wenn er nach Übungen und realen Vorfällen kontinuierlich aktualisiert wird.
Wiederherstellungsfähigkeit muss regelmäßig getestet werden
Viele Organisationen verwechseln ein erfolgreich abgeschlossenes Backup mit einer garantierten Wiederherstellung. Ob Sicherungskopien tatsächlich verwendbar sind, zeigt sich jedoch erst bei einem kontrollierten Recovery-Test.
Regelmäßige Tests sollten deshalb nicht nur prüfen, ob einzelne Dateien zurückgespielt werden können. Unternehmen müssen auch feststellen, wie lange die Wiederherstellung geschäftskritischer Anwendungen dauert, welche Abhängigkeiten bestehen und ob die vereinbarten Recovery Time Objectives und Recovery Point Objectives realistisch eingehalten werden können.
Zusätzlich sind Tabletop-Übungen sinnvoll, bei denen IT, Security, Management, Rechtsabteilung, Kommunikation und gegebenenfalls externe Dienstleister einen simulierten Ransomware-Vorfall gemeinsam durchspielen.
Gerade die organisatorischen Schnittstellen entscheiden häufig darüber, ob eine technisch mögliche Wiederherstellung auch unter realem Zeitdruck funktioniert.
Mit dem sogenannten R-Score stellt HYCU unter getrscore.org eine kostenlose Bewertung der eigenen Wiederherstellungsbereitschaft bereit. Das Modell ist nach Angaben des Unternehmens ähnlich wie eine Bonitätsbewertung aufgebaut.
Analysiert werden unter anderem die Backup-Architektur, die organisatorischen Recovery-Prozesse, die Häufigkeit von Wiederherstellungstests und die allgemeine Vorbereitung auf einen Ransomware-Vorfall. Auf dieser Grundlage erhalten Unternehmen Empfehlungen, mit denen sie bestehende Schwachstellen adressieren können.
Nach Erfahrung von HYCU schneiden viele Organisationen bei einer solchen Bestandsaufnahme schlechter ab, als sie zunächst vermuten. Genau diese Lücke zwischen wahrgenommener und tatsächlicher Widerstandsfähigkeit kann im Ernstfall darüber entscheiden, ob ein Unternehmen innerhalb weniger Stunden wieder arbeitsfähig ist oder über Tage und Wochen mit erheblichen Betriebsunterbrechungen kämpfen muss.
Fazit: Recovery ist eine Frage der Architektur, nicht der Improvisation
Ransomware lässt sich nicht allein mit einer Backup-Software bewältigen. Entscheidend ist das Zusammenspiel aus unveränderlichen Sicherungskopien, isolierter Infrastruktur, eingeschränkten Zugriffsrechten und regelmäßig getesteten Wiederherstellungsabläufen.
Unternehmen sollten ihren Recovery-Plan deshalb nicht erst unter dem Druck einer laufenden Erpressung entwickeln. Wer Verantwortlichkeiten, Wiederherstellungsreihenfolgen und saubere Backup-Pfade im Voraus definiert, reduziert nicht nur Ausfallzeiten und Datenverluste. Er verringert auch die Abhängigkeit von den Versprechen der Angreifer.