Back-up as a Service
Ransomware keine Angriffsfläche bieten
Fortsetzung des Artikels von Teil 2
Expertenkommentar: Ransomware wird uns noch lange beschäftigen
Internet-Kriminalität ist nichts Neues, aber die Professionalität der Täter hat in den letzten Monaten ein neues Level erreicht. Während früher die pure Lust am Zerstören und der Erfolg beim Bezwingen einer technischen Hürde für die Internetkriminellen Grund genug für ihr Handeln war, sieht die Situation heute ganz anders aus. Die Internet-Kriminalität ist zum international angelegten Geschäft mit hoch spezialisierten „Projekt-Teams“ geworden. Gezielter Datendiebstahl, beispielsweise persönlicher Daten von Privatpersonen oder deren Kreditkartendaten, werden von den Auftraggebern hochdotiert entlohnt. Experten sprechen von einem weltweiten Milliardenmarkt, der stetig wächst.
Eine spezielle Form der Internetkriminalität stellt die Erpressung von Unternehmen und Privatpersonen mit Ransomware dar. Dabei infiziert die Malware einen Computer oder ein ganzes Netzwerk und verschlüsselt die Daten. Für die meisten IT-Nutzer ist dies ein Horrorszenario, denn die Daten werden erst nach Bezahlung eines Lösegelds per zugesendetem Passwort wieder zugänglich – natürlich ohne Gewähr.
Doch was kann ein Unternehmen tun, um sich vor einer solchen Katastrophe zu schützen? Was ist die letzte Rettung, sollte der Virenschutz und die Sorgfalt der Mitarbeiter – wie schon oft passiert – versagt haben und die Daten verschlüsselt werden?
Zwei Hinweise gleich vorweg: Man sollte keinesfalls bezahlen und es gibt Möglichkeiten, seine IT bereits im Vorfeld so zu sichern, damit die Daten unverschlüsselt wiederherstellbar sind. Um diese Sicherheit zu erreichen, ist eine gute Back-up- und Wiederherstellungslösung von Nöten.
Hierzu einige konkrete Handlungsempfehlungen:
Möglichst kontinuierliches Back-up
Im Grunde kann einem Unternehmen die böswillige Datenverschlüsselung fast egal sein, wenn sichergestellt ist, dass alle Daten auf einem anderen Medium unverschlüsselt vorliegen. Entscheidend ist die Zeitspanne zwischen dem letzten Back-up und der Aktivierung der Ransomware. In vielen Unternehmen ändern sich Datensätze auf den File-Servern und in den Datenbanken im Sekundentakt oder schneller. Ein Back-up, das mehrere Stunden alt ist oder gar Tage, ist daher wenig nützlich. Eine möglichst kontinuierliche Sicherungsstrategie ist daher sinnvoll, um Datensätze möglichst aktuell wiederherzustellen.
Back-up an externer Lokation
Da der Malware-Befall und die Verschlüsselung zumeist über sogenannte Endpoints, in den meisten Fällen PCs an Arbeitsplätzen, erfolgen und sich so im Unternehmen ausbreiten können, ist es empfehlenswert, die Daten in einer externen Lokation zusätzlich zu sichern. Hier kann mit entsprechenden Schutzmechanismen, wie beispielsweise guten Firewalls, unterbunden werden, dass sich die Verschlüsselung auch auf externe Lokationen ausbreitet. Hat es die Malware geschafft, sogar lokale Datensicherungen zu verschlüsseln, bleiben immer noch die Sicherungssätze der externen Lokation. Für viele Firmen bietet sich hier ein entsprechender Dienstleister an, der beispielsweise über eine sekundäre Datensicherung in der Cloud verfügt.
Das Problem mit den verteilten Daten
Wenn überhaupt, gibt es wohl nur sehr wenige Unternehmen, die wirklich die komplette Hoheit über die Speicherorte aller Daten haben. In der Realität werden wichtige und geschäftsrelevante Daten nicht nur auf Servern, sondern vielfach auch auf Arbeitsplätzen, Notebooks oder Tablets gespeichert. Auch die Cloud ist häufig ein vom Unternehmen unkontrollierter Speicherraum. Unternehmen müssen daher wieder „Herr ihrer Daten“ werden. Arbeitsplätze, Notebooks oder Tablets müssen (auch im Zeitalter von BYOD) fest in die Datensicherung eingebunden sein.
Mitarbeiter benötigen zudem professionelle Cloud-Dienste, damit Daten nicht nur kontrolliert gespeichert werden, sondern über geeignete Schnittstellen auch kontinuierlich gesichert sind.
Back-up ist wichtig, aber Restore ist entscheidend
Sollten Daten verloren gehen oder via Malware verschlüsselt sein, ist es entscheidend, wie schnell ein Unternehmen wieder arbeitsfähig ist. Je nach Unternehmen und Markt kann man pro Stunde Ausfallzeit mit Kosten in dreistelliger Höhe rechnen. Es ist also entscheidend, wie schnell ein Back-up den möglichst zeitnahen Zustand wiederherstellt. Dafür braucht es einen definierten Restore-Plan, eine gute Software und eine schnelle Infrastruktur. Software und Infrastruktur sollten sowieso auf einem hohen Level sein. In den meisten Fällen hängt es an der Reaktionszeit im Unternehmen und einer genauen Ablaufplanung für solche Fälle. Sind alle drei Elemente optimiert und auch geprüft, kann ein Unternehmen im Falle einer Ransomware-Attacke schnell wieder handlungsfähig sein, ohne horrende Lösegelder bezahlen zu müssen.
Neue Ransomware macht alles noch komplizierter
Leider entwickelt sich Ransomware sehr schnell und die Technologien werden immer ausgefeilter. Mittlerweile existieren neue Varianten von Ransomware – wenn auch noch nicht weit verbreitet – die nicht einzelne Dateien verschlüsseln, sondern gesamte Festplatten. Bei einer dieser Varianten kann bei Nutzung neuester Microsoft-Betriebssysteme sogar davon ausgegangen werden, dass auch nach einer Lösegeldzahlung und dem Erhalt des Schlüssels die Daten nicht wiederhergestellt werden können. Potenziell könnte eine solche Ransomware auch die Speichermedien des Back-ups verschlüsseln, was eine Wiederherstellung unmöglich macht. Daher ist es sinnvoll, möglichst regelmäßig weitere Back-up-Sätze anzulegen, die dann offline vom Netzwerk vorgehalten werden. Diese Back-ups haben aller Wahrscheinlichkeit nach nicht die aktuellsten Datensätze, im Vergleich zu einer kontinuierlichen Online-Sicherung. Sie können aber im „Worst Case“ das Überleben eines Unternehmens sicherstellen.
- Ransomware keine Angriffsfläche bieten
- Qualität des Back-ups entscheidet
- Expertenkommentar: Ransomware wird uns noch lange beschäftigen
Lesen Sie mehr zum Thema
