Backup und Disaster Recovery: Was bei Ransomeware wichtig ist
Die Menge an Ransomware-Angriffen hat in den letzten Jahren stark zugenommen. Nur das geforderte Lösegeld zu bezahlen, ist nicht ausreichend für eine Wiederherstellung der Daten.
Der Anstieg von Ransomware-Angriffen hat bedeutende Auswirkungen auf modernes Disaster Recovery, indem der Weg vorherbestimmt wird, wie wir Daten schützen und eine Wiederherstellung planen. Solche Angriffe führen nicht zu den gleichen physischen Schäden wie bei einer Naturkatastrophe, aber die negativen Ergebnisse für die innere Verfassung eines Unternehmens – und seinen Ruf – können dauerhaft bestehen bleiben.
Es ist nicht verwunderlich, dass die Erholung von Ransomware-Angriffen in den letzten Jahren einen solchen hohen Stellenwert bekommen hat.
Man kann sich kaum eine Zeit vorstellen, in der Ransomware keine Bedrohung darstellte, aber während Cyberattacken bis in die späten achtziger Jahre zurückgehen, hat Ransomware im Besonderen erst in relativ junger Zeit eine solche Bedeutung gewonnen.
Ransomware besteht aus einem Malware-Angriff, der auf verschiedene Arten durchgeführt werden kann, aber im allgemeinen bezieht sich der Ransom-Teil der Bezeichnung auf eine der Methoden, mit denen die Angreifer einen Profit zu erreichen hoffen.
Die Daten des Opfers sind blockiert – verschlüsselt – und werden als Erpressungsmittel so lange zurückgehalten, bis der Angreifer bezahlt ist. Angenommen, der Angreifer erzählt die Wahrheit, werden die Daten dann entschlüsselt und zurückgegeben. Noch einmal: In diesem Szenario geht man davon aus, dass die anonyme Person oder Gruppe, die gerade die Daten gestohlen hat, ehrlich ist.
„Erst mal das Lösegeld bezahlen“ wird nur selten der erste Teil einer Strategie sein, die ein Experte anzubieten hat. In der Regel ist es unklar, ob die Bezahlung wirklich zu einer Freigabe des Computers führt und zudem haben die Entwicklungen bei Backup und Recovery es möglich gemacht, sich von dem Ransomware-Angriff sogar ohne Bezahlung des Angreifers zu erholen.
Während diese Sorte von Cyberattacken offenbar speziell dafür entwickelt wurde, die Opfer in Panik zu versetzen und sofort zu bezahlen, wird diese Reaktion nicht garantieren, dass man seine Daten zurückbekommt oder dass man nicht nach noch mehr Geld gefragt wird.
Disaster Recovery hat sich in den 20 Jahren, in denen sich unsere Redaktion mit Technologie-Informationen beschäftigt, deutlich verändert, aber der schnelle Aufstieg von Ransomware an die Spitze möglicher Gefahren gehört zu den besonders bemerkenswerten Veränderungen, die eingetreten sind.
Laut einer Untersuchung der US-Regierung waren 2016 täglich 4.000 Ransomware-Attacken zu verzeichnen. Dies bedeutete eine Zunahme von 300 Prozent gegenüber dem Jahr zuvor. Recovery von Ransomware hat das Modell von Disaster Recovery verändert, und dieses Phänomen wird so schnell nicht wieder verschwinden. In dem folgenden kurzen Rückblick geht es um die größeren Attacken, die Schlagzeilen verursacht haben, die Entwicklung von Ratschlägen und Warnungen bezüglich Ransomware und darum, wie Unternehmen dagegen ankämpfen können.
Medienbericht zum Thema Ransomware
Die passend so genannte Ransomware-Attacke „WannaCry“ („ich möchte weinen“) begann sich im Mai 2017 auszubreiten, indem eine Sicherheitslücke der National Security Agency (NSA) bei Windows-Computern benutzt wurde. WannaCry ist faktisch ein „Wurm“, was bedeutet, dass er sich ohne Beteiligung der Betroffenen ausbreiten kann, anders als bei Phishing-Attacken, die eine Handlung des Empfängers erfordern, um sich weiter auszubreiten.
Wie groß war der WannaCry-Angriff? Indem Computer in nicht weniger als 150 Ländern betroffen waren, schätzt man, dass WannaCry Schäden im Umfang von hunderten von Millionen Dollar verursacht hat. Laut Cyence, einem Unternehmen für die Modellierung von Cyber-Risiken, könnten sich die Gesamtkosten, die mit dieser Attacke verbunden waren, auf eine Höhe von vier Milliarden Dollar belaufen.
Im Gegensatz zu der Höhe des eigentlichen Erpressungsgeldes selbst besteht das größte Problem, dem sich die Unternehmen gegenüber sehen, in den Kosten, die die Auszeiten der IT-Systeme verursachen. Weil so viele Unternehmen mit dem WannaCry-Virus infiziert waren, verbreiteten sich Nachrichten sehr schnell, dass Unternehmen, die das Lösegeld bezahlt hatten, nie den Entschlüsselungszugang erhielten – mit der unmittelbaren Folge, dass die meisten Opfer nicht zahlten.
Viele erlitten dennoch einen finanziellen Schaden durch die Auszeit, die die Attacke verursachte. Eine andere größere Attacke aus dem Jahr 2017 mit Namen NotPetya kostete den dänischen Schiffsgiganten A.P. Moller-Maersk hunderte von Millionen Dollar. Und das war nur eines der Opfer.
Im Jahr 2018 endete bei der Stadt Atlanta das Recovery von einer Ransomware-Attacke mit Kosten von mehr als fünf Millionen Dollar und einem fünftägigen Shutdown mehrerer Abteilungen der Stadtverwaltung. In der Gemeinde Matanuska-Susitna in Alaska waren 2018 120 von 150 Servern von einem Ransomware-Angriff betroffen, und die Regierungsmitarbeiter griffen auf den Einsatz von Schreibmaschinen zurück, um weiter arbeitsfähig zu bleiben. Ob auf globaler oder lokaler Ebene, die möglichen Konsequenzen einer Ransomware-Attacke liegen klar auf der Hand.
Abbildung 1: Die geschätzte Anzahl der Ransomware-Angriffe im Jahr 2016, das Jahr ab dem diese Attacken rasant zunahmen.
Ransomware im Fokus
Im Rückblick deutete das massive Wachstum von Ransomware-Attacken zwischen 2015 und 2016 an, dass die Ransomware-Bedrohung tatsächlich damit begonnen hatte, sich an die Spitze aller Datenangriffe zu setzen. Experten begannen nicht nur damit, die Bedeutung von Backup und Data Protection gegen Angriffe hervorzuheben, sondern ebenso die Planung von zukünftigen eventuellen Recovery-Maßnahmen.
Abhängig von der jeweiligen DR-Strategie konnte die Wiederherstellung von Ransomware-Angriffen entweder in die aktuellen Pläne eingefügt werden oder man musste damit beginnen, eine Überholung dieser Pläne in Betracht zu ziehen.
Ab 2017 war es unmöglich, die Bedrohung durch Ransomware zu ignorieren. Laut einem Data Breach Investigations Report von Verizon aus dem Jahr 2018 bestanden 39 Prozent der 2017 durchgeführten Malware-Attacken aus dem Ransomware-Typ, und die Ransomware-Angriffe waren vom fünften auf den ersten Platz der besonders verbreiteten Malware-Angriffe aufgestiegen.
In kürzester Zeit wurde Ransomware zur häufigsten Cyberattacke.
Ransomware wurde nicht nur prominenter, sondern auch durchdachter. Best Practices für Disaster Recovery legten mehr Wert auf die Vorbereitung auf Ransomware-Angriffe, und bei den Diskussionen um Backup und Recovery betonte man mehr die Ausfallsicherheit der IT. Der Schutz vor Ransomware-Attacken drehte sich weniger um das, was geschehen würde, wenn das Unternehmen angegriffen würde, sondern mehr um das, wann es angegriffen wurde. Die Planung von Ransomware-Recovery, war nicht mehr nur eine gute Idee, sondern sie wurde zu einer Priorität.
Als Resultat der jüngsten Angriffswelle scheinen mehr Unternehmen Wert auf die Planung von Disaster Recovery im allgemeinen zu legen. Es scheint zwar kaum glaubhaft zu sein, aber viele Unternehmen haben sich dennoch zurückhaltend bei Investitionen in Disaster Recovery verhalten, weil sie lediglich annahmen, es könnte irgendwann einmal etwas passieren. Diese Mentalität ist gefährlich und führt in vielen Unternehmen dazu, dass kein Recovery-Plan besteht – bis es zu spät ist.
Zurück zur Normalität finden
Während sich Ransomware-Attacken wie eine unvermeidbare Sache anfühlen mögen, auf die sich Unternehmen unbedingt vorbereiten müssten, bedeutet das nicht, dass das Ende nahe sei. Sich von Ransomware-Angriffen zu erholen ist durchaus möglich, und es kann mit der richtigen Dosis an Vorbereitung und Unterstützung auch in die Tat umgesetzt werden.
Sich von Ransomware-Angriffen zu erholen ist durchaus möglich, und es kann mit der richtigen Dosis an Vorbereitung und Unterstützung auch in die Tat umgesetzt werden.
Der moderne Backup-Markt entwickelt sich in eine Richtung, in der Ausfallzeiten als praktisch inakzeptabel betrachtet werden, was gut ist, um rasch zur Normalität nach einer Ransomware-Attacke zurückzukehren. Über häufige Backups zu verfügen, ist ein wesentliches Element von Recovery-Prozessen, und die Vorteile von entsprechenden Herstellerangeboten an häufigen und sicheren Backups zu genießen, wird die Recovery-Strategie von Unternehmen wesentlich unterstützen.
Hersteller wie zum Beispiel Reduxio, Nasuni und Carbonite haben Tools für Ransomware-Recovery entwickelt, mit denen sie Unternehmen innerhalb von Stunden dabei helfen, Daten wieder herzustellen und ohne signifikanten Datenverlust wieder laufen zu lassen. Egal ob die Methoden aus Backdating, Snapshots, Cloud-basiertem Backup und Recovery oder Restores auf Serverniveau bestehen, es gibt inzwischen zahllose Tools am Markt, die die Unternehmen bei ihren Recovery-Anstrengungen unterstützen. Andere Hersteller, die auf diesem Feld aktiv sind, umfassen Acronis, Asigra, Barracuda, Commvault, Datto, Infrascale, Qorum, Unitrends und Zerto.
Zusammen mit einer breiteren Palette an technischen Optionen sind heute mehr Informationen über Ransomware verfügbar als früher. Das ist besonders bei Ransomware-Attacken hilfreich, weil sich die Angriffe zum Teil auf die Opfer stützen, die unabsichtlich an ihnen teilnehmen. Ob man sich nach Tipps zum Schutz gegen Angriffe oder zum Recovering nach einer solchen Attacke umsieht, es gibt auf jeden Fall eine große Menge an Informationen.
Die übergreifende Art von Ransomware ist alarmierend, liefert aber auch Details aus erster Hand über alle Geschehnisse und Gegenmaßnahmen nach einer Attacke. Unternehmen wissen vielleicht nicht genau, wann eine Ransomware-Attacke auf sie zukommt, aber die Recovery-Aktionen sollten für sie kein Geheimnis mehr sein.
