Backup

Wie müssen sich Backup-Anwendungen verändern, um bei Angriffen mit Ransomware sinnvoll eingesetzt zu werden?

, Catalogic Software | Autor: Mario Werner

Wie müssen sich Backup-Anwendungen verändern, um bei Angriffen mit Ransomware sinnvoll eingesetzt zu werden?

Von Mario Werner, Catalogic Software

Eine gute Backup-Umgebung war als letzte Verteidigungslinie gegen Cyber-Sicherheitsbedrohungen wie Ransomware und Malware noch nie so wichtig wie heute. Gerade erst hat eine globale Welle von Cyberangriffen viele Unternehmen in Deutschland getroffen – laut dem Bundesamt für Sicherheit in der Informationstechnik (BSI) wurde auch mit Erpressungssoftware gearbeitet und das Ausmaß der Schäden ist noch nicht bekannt. Es gibt viele andere Methoden und Lösungen, um auf Ransomware zu reagieren, außer gefordertes Lösegeld zu zahlen, welches dann Kriminellen für weitere Machenschaften zur Verfügung steht.

Mario Werner, Catalogic Software

Backups sind zu einer Schlüsselkomponente für die Wiederherstellung von Ransomware geworden. Wenn sie richtig konfiguriert, verwaltet und gewartet werden, können Backups die Datenintegrität überprüfen und im Falle eines Cyberangriffs eine schnelle Wiederherstellung aus einer verifizierten Kopie der Daten ermöglichen. Das heißt, vorausgesetzt, das Backup selbst wurde nicht durch die Malware beschädigt und die Backups wurden für die Wiederherstellung verifiziert.

Die Anbieter von Backups sollten jedoch mehr tun, als nur schnelle und verifizierte Wiederherstellungen zu ermöglichen. Backup-Anwendungen bieten einen einzigartigen Verwaltungsdienst, der sich auf alle für ein Unternehmen wichtigen Daten bezieht. Da sie die Daten auf Änderungen im Backup überwachen, sind sie oft am besten in der Lage zu erkennen, ob diese kritischen Datenbestände gefährdet sind und ob die Datenkopien für die Wiederherstellung und die Einhaltung von Vorschriften ausreichend vor Malware geschützt sind.

In diesem Artikel wird erläutert, wie Speicher- und Backup-Teams dabei unterstützt werden können, ihre Cybersicherheitsposition von einer reaktiven auf eine proaktive Haltung gegenüber Ransomware umzustellen, indem sie frühzeitig über verdächtige Aktivitäten und potenzielle Datenkompromittierungen informiert werden. Wenn Ransomware erkannt und gemeldet wird, bevor Backups ausgeführt werden, kann verhindert werden, dass Ransomware Daten in Backups schädigt, die Tage, Wochen, Monate oder sogar Jahre lang aufbewahrt werden.

Vorausschauende Backups

Eine Backup-Anwendung oder ein Backup-Dienst kann mehr als nur eine schnellere und detailliertere Datenwiederherstellung ermöglichen. Die Backup-Anwendung befindet sich in einer einzigartigen Position in der IT-Infrastruktur, da sie alle Daten berührt, die für ein Unternehmen wichtig sind. Wenn eine Anwendung die zu sichernden Daten überwacht, kann sie mit etwas mehr Analyseaufwand auch feststellen, ob diese kritischen Datenbestände gefährdet sind und ob die Kopien der Daten für die Wiederherstellung und die Einhaltung der Vorschriften ausreichend vor Malware geschützt sind. Die frühzeitige Benachrichtigung ist hier das Wichtigste.

Um das sicherzustellen, sollten die Datensicherungen nach der 3-2-1-Backup-Regel erfolgen, vorzugsweise mit einer neuen Abwandlung, der 3-2-1-1-Regel. Diese 3-2-1-Backup-Regel ist eine bekannte Strategie für den Datenschutz, die besagt, dass Ihr Unternehmen mindestens drei (3) Kopien Ihrer Daten auf zwei (2) verschiedenen Speichermedien haben sollte, wobei eine (1) der Kopien ausgelagert oder in der Cloud gespeichert sein sollte. Ohne Sicherungskopien zur Wiederherstellung und ohne die Offsite-Kopie, welche Ransomware nicht erreichen kann, sind Sie möglicherweise gezwungen, Lösegeld zu zahlen, um Ihre Daten zurückzubekommen. Die zusätzliche 1 bei der ergänzten 3-2-1-1 Regel soll sicherstellen, dass Sie mindestens eine Sicherungskopie haben, die nachweislich nicht gesperrt oder beschädigt wurde. Das bedeutet: 3 Kopien, 2 Medien, 1 externes und 1 verifiziertes wiederherstellbares Speichermedium.

Es ist gefährlich, wenn sich Backups im selben Netzwerk oder auf demselben Speichersystem wie die Produktionsdaten befinden. Cyberkriminelle gehen immer professioneller vor. Meist spüren sie zuerst alle Backups im System auf und entfernen diese, so dass keine Datenwiederherstellung möglich ist. Mit Backups, die in der Cloud oder auf Band gespeichert sind und an die der Ransomware-Angreifer nicht herankommen, sind Unternehmen hingegen auf der sicheren Seite. Durch zusätzliches Scannen und Vergleichen von Dateisignaturen, der Größe des Backups oder der Anzahl der geänderten Dateien kann die Backup-Anwendung dazu beitragen, die Datenintegrität und damit Ihre Wiederherstellungsfähigkeit zu überprüfen.

Sichere Backups, granulare Wiederherstellung und ein Auge auf die Metadaten

Cyber-Resilienz ist in diesem Zusammenhang zum Schlagwort geworden. Damit ist gemeint nicht nur den wachsenden Umfang der Datensicherung zu adressieren, sondern auch die Erkennung von Cyber-Attacken in den Mittelpunkt zu stellen. Eine solche Lösung ist zum Beispiel GuardMode von Catalogic Software, die in DPX integriert wurde. Damit wird frühes Erkennen von Ransomware durch Scannen nach über 4.000 bekannten Signaturen erleichtert. Außerdem werden Angriffe durch Blocklisten und einen Honeypot-Mechanismus abgewehrt. Sinnvoll ist dabei auch die Integration mit SIEM-Tools, da dies eine zentralisierte Sichtbarkeit sowie eine Alarmierung in der gesamten IT-Infrastrukturumgebung ermöglicht – nicht nur in der Datenspeicherumgebung.

Die Datensicherung ist die Basis aller Bemühungen, aber wenn man nur einmal pro Woche eine Sicherung durchführt und Ransomware am sechsten Tag zuschlägt, gehen viele Tage an Daten verloren. Daher ist es von entscheidender Bedeutung, dass Backups nicht nur regelmäßig durchgeführt, sondern auch so oft wie möglich Daten-Snapshots oder Point-in-Time-Kopien von Daten erstellt werden. Damit lässt sich quasi die Uhr zurückdrehen und die Daten so nah wie möglich an dem Zeitpunkt wiederherstellen, an dem sie verschlüsselt oder durch Ransomware beschädigt wurden.

Trotzdem können Ihre Sicherungsdaten oder Daten-Snapshots angegriffen werden, solange diese für Ransomware zugänglich sind. Falls Ransomware die Daten verschlüsselt, können unveränderliche oder gesperrte Snapshots zur schnellen Wiederherstellung verwendet werden. Besagte Snapshots sollten sich deshalb entweder vor Ort auf einem Speichergerät befinden, das keinen Zugriff auf die Sicherungsdaten zulässt, oder außerhalb des Unternehmens in einem Cloud-Speicher oder auf nicht manipulierbaren Sicherungsbändern.

Ein weiterer wichtiger Punkt sind Anwendungen, die Datenbanken verwenden. Daher sollte man ein anwendungsspezifisches Backup haben, das auch die Metadaten der Anwendungen schützt und sicherstellt, dass die Anwendungsserver erfolgreich wiederhergestellt werden können. Regelmäßige Tests zur Überprüfung der Anwendungswiederherstellung schaffen hier mehr Sicherheit.

Ein Anhaltspunkt zur Frühwarnung eines Ransomwareangriffs sind plötzliche Sprünge in der Datenmenge. Das liegt daran, dass inkrementelle Datensicherungen im normalen Betrieb nur relativ geringe Änderungen zu vollständigen Sicherungszyklen aufweisen. Wenn allerdings Ransomware zuschlägt und Daten verschlüsselt werden, ähnelt die Größe dieser Sicherungen plötzlich viel mehr einer Vollsicherung. Moderne Datensicherungsprodukte können diese Änderungen verfolgen und den Backup-/Sicherheitsadministrator über diese Anomalie informieren. Dies kann nicht nur helfen, einen laufenden Angriff zu erkennen, sondern auch den besten Zeitpunkt zu bestimmen, ab dem eine schnelle Datenwiederherstellung möglich ist.

Abschließende Überlegungen

In einer sich immer schneller verändernden Welt sieht man, welche Auswirkungen Naturkatastrophen wie Erdbeben oder Überschwemmungen, menschliches Versagen und eben auch Cyberangriffe mit Ransomware auf Unternehmen haben können. Einen Zustand der vollständigen Sicherheit wird man ehrlichweise nie oder nur zu immensen Kosten erreichen können. Aber die Implementierung und Befolgung der genannten grundlegenden Datenschutzprozesse trägt dazu bei, zunehmend unvermeidlichere Ransomware-Angriffe zu überleben. Das bedeutet eine möglichst minimale Betriebsunterbrechung, keine öffentliche Bloßstellung und vor allem kein Zwang zur Lösegeldzahlung. Wenn man die Risiken bedenkt, sind das kleine aber notwenige Schritte zur Datensicherheit.