Datensicherung
Wenn Ransomware das Back-up ins Visier nimmt
Die neue Methode der Intermettierenden Verschlüsselung stellt die Cyberabwehr vor neue Herausforderungen. Denn mit ihr werden langsam aber stetig kleine Teile der Daten verschlüsselt, um nicht aufzufallen. Dabei geraten auch Back-up-Daten immer mehr ins Ziel der Angreifer.
Ransomware stellt eine erhebliche Bedrohung dar, da Ransomware-Entwickler stets neue Methoden finden, um der Entdeckung zu entgehen. Das Ziel der Angreifer besteht aber mittlerweile nicht nur darin, Daten zu verschlüsseln und zu stehlen, um die Opfer zur Zahlung eines Lösegelds zu zwingen. Sie wollen auch die Fähigkeit einer Organisation, sich von einem solchen Angriff zu erholen, ausschalten.
Um dieses Ziel zu erreichen, gehen die Angreifer neue Wege: Sie erschweren die Entdeckung ihrer Angriffe oder fügen neue Ziele hinzu, wie die Back-ups, um ein Unternehmen lahmzulegen und die eigenständige Wiederherstellung unmöglich zu machen.
Dagegen helfen robuste Strategien der Datensicherung, die eine schnelle und vollständige Datenwiederherstellung ermöglichen, sowie Notfallpläne, um sicherzustellen, dass Ransomware-Angriffe mittels Sicherungskopien und Disaster Recovery abgewehrt oder geschwächt werden können.
Verschlüsseln kleinerer Teile
Um sich vor Angriffen schützen zu können, muss zuerst auch die Seite der Angreifer betrachtet werden: Ransomware-Gruppen, die in Systeme eindringen wollen, stehen vor einigen Herausforderungen. Denn sobald sie eine Schwachstelle gefunden und ausgenutzt haben, müssen sie so viele Daten wie möglich beschaffen und verschlüsseln, bevor sie von den Schutzmechanismen des Systems entdeckt werden. Die Verschlüsselung aber braucht Zeit und je länger ein Angreifer in einem Netzwerk unterwegs ist, desto größer die Wahrscheinlichkeit, dass er entdeckt wird. Eine neue Technik, die Intermittierende Verschlüsselung, ist eine Lösung der Kriminellen für dieses Problem: Nur Teile der Daten werden verschlüsselt, die klein genug sind, um einer Entdeckung zu entgehen, aber dennoch sind die Daten und sogar einzelne Dateien ohne den Schlüssel danach für ein Unternehmen unbrauchbar. Die Hacker tun dies, indem sie in Schritten von 12 oder 18 Bytes die Daten verschlüsseln, wobei sie die Tageszeiten, zu denen sie vorgehen, und die Menge der Verschlüsselung variieren. Die ermöglicht es Ihnen außerdem, länger unerkannt im Netzwerk zu verweilen.
Sobald Kriminelle genug Daten verschlüsselt haben, um eine Erpressung zu starten, versuchen einige sogar, ihre Chancen auf eine Zahlung zu erhöhen, indem sie auch die Back-up-Repositories eines Unternehmens beschädigen.
Back-ups, die in einem offenen Netzwerk oder in einem Netzwerk mit schwachen Kennwörtern ohne Multi-Faktor-Authentifizierung aufbewahrt werden, sind ihre liebsten Ziele. Wenn Back-ups beispielsweise von einer primären Active Directory-Domain autorisiert werden, dann versuchen die Angreifer, diese Domäne zu übernehmen, um sowohl auf die Back-up- als auch auf die Produktionsdaten zugreifen zu können. Solche Angriffe zielen häufig auf Finanzdienstleistungen, das Gesundheitswesen und Behörden, wo ein Ransomware-Angriff sogar kritische Infrastrukturen beeinträchtigen kann.
Sicherung von Daten trotz der Verbesserung von Ransomware
Obwohl jede Ransomware verbessert wird, sind die besten Abwehrmaßnahmen nach wie vor einige der bewährtesten: solides Software-Patch-Management und Schulungen zum Sicherheitsbewusstsein. Beide Strategien helfen, das Ransomware-Risiko eines Unternehmens zu verringern, insbesondere wenn Fernarbeit eine große Rolle spielt. Eine solide Software-Patch-Management-Strategie schränkt die Software-Schwachstellen ein, die Angreifer für einen Ransomware-Angriff ausnutzen können, weil Programme so stets auf dem aktuellen Stand gehalten werden können. Sie bekämpft Angreifer, bevor die überhaupt in das System eindringen können.
Daneben muss die Schulung der Mitarbeiter verbessert werden, denn diese sind oft das schwächste Glied in der Kette, welches einen Angriff erst möglich macht. Jeder in einem Unternehmen sollte daher gängige Infiltrationsmethoden, wie Phishing-E-Mails oder Social Engineering, verstehen und erkennen können.
Dennoch wird Ransomware eine Bedrohung bleiben, was die Datensicherung besonders wichtig gestaltet. Ein kurzsichtiger Ansatz reicht nicht aus, da die Back-ups selbst das Ziel geworden sind. Unternehmer müssen ihre Datensicherungsstrategie gründlich durchdenken. Dies bedeutet, dass eine Strategie entwickelt werden muss, die neue taktische Möglichkeiten der Kriminellen berücksichtigt, und dass geplante Schritte für den Fall einer Ransomware-Attacke oder eines anderen Sicherheitsvorfalls geübt werden müssen. Nur so können Schwachstellen im Plan erkannt und die Beteiligten mit ihren Rollen und der möglicherweise zu verwendenden Technologie vertraut gemacht werden. Diese präventiven Schritte stellen sicher, dass der Plan nicht in einem stressigen Notfall zum ersten Mal durchgespielt wird.
Grundregel der Datensicherung beachten
Starke Datensicherung lässt sich mit der Regel 3-2-1-1-0 zusammenfassen. Dies bedeutet, dass drei Kopien wichtiger Daten auf mindestens zwei verschiedenen Datenträgern aufbewahrt werden müssen, wobei mindestens eine dieser Kopien außerhalb des Unternehmensgeländes liegen sollte. Daneben eine Sicherungskopie, die mit einem Air-Gap versehen oder offline gespeichert ist oder unveränderlich programmiert wurde. Denn: Hacker können nicht gefährden, was sie nicht anfassen können. Weiterhin dürfen Unternehmen keine Toleranz bei der Wiederherstellung gegenüber Fehlern zeigen, sondern müssen mit automatisierten Sicherungstests und der Prüfung der Wiederherstellbarkeit sicherstellen, dass ihre Daten, unabhängig von einem Ransomware-Angriff, schnell und vollständig wiederhergestellt werden können.
Solange Hacker neue Wege finden, um von Ransomware und Schwachstellen zu profitieren, werden sie ihre Taktik zweifellos den Gegebenheiten anpassen. Während Ransomware-Gruppen also innovativ und widerstandsfähig bleiben, müssen Unternehmen mit gleicher Stärke gegenhalten. Die Kombination aus strengen Regeln, Mitarbeiterschulung und einer gut durchdachten Back-up-Strategie samt Notfallplan ist dabei die stärkste Verteidigung gegen die neuen, dynamischen Cyberangriffe.
Rick Vanover, Senior Director of Product Strategy, Veeam
