Ransomware-Angriffe erfolgen über Malware, die IT-Systeme mit dem Ziel infiziert, den Zugang zu Daten zu sperren oder diese zu exfiltrieren.

Malware gelangt in der Regel über Phishing, infizierte Dokumente sowie kompromittierte oder bösartige Websites in ein Unternehmen. Malware hält sich oft länger in Systemen auf, während sie lateral nach wichtigen Schwachstellen in den Daten des Unternehmens sucht, zum Beispiel nach dem Speicherort von Backups.

Diese Verweilzeit ist der Zeitraum zwischen dem Eindringen und dem Zeitpunkt, an dem die Ransomware-Software Daten verschlüsselt und/oder exfiltriert. Dann fordern die Angreifer ein Lösegeld für den Entschlüsselungsschlüssel oder die Rückgabe der Daten.

Wie können Storage und Backup vor Ransomware schützen? Ein wirksamer Schutz vor Ransomware beginnt damit, dass man Malware gar nicht erst in IT-Systeme eindringen lässt. Bei Backup- und Speichersystemen steht eine effektive Data Protection im Mittelpunkt, wobei zusätzliche Lösungen in Form einer auf künstlicher Intelligenz (KI) basierenden Anomalieerkennung zur Verfügung stehen. Der Schlüssel zur Wiederherstellung nach einem Ransomware-Angriff ist die regelmäßige Erstellung effektiver Backups. Denn wenn Sie von Ransomware betroffen sind, benötigen Sie eine saubere Kopie Ihrer Daten, auf die Sie zurückgreifen können. Denken Sie daran, dass Sicherungskopien am zuverlässigsten sind, weil sie in der Regel am weitesten zurückreichen und daher eher eine saubere Kopie aus der Zeit vor dem Eindringen der Ransomware in das System bieten. Snapshots sind eine weitere beliebte Methode der Datensicherung, aber es ist wahrscheinlicher, dass sie während der Verweildauer von Ransomware erstellt werden, da sie im Allgemeinen nicht so weit zurückreichen wie Backups. Eine weitere wichtige Methode, um sicherzustellen, dass Ransomware die Sicherungskopien nicht beeinträchtigen kann, besteht darin, ein Air Gap zwischen den Sicherungen und den Produktionssystemen zu schaffen. Viele Anbieter von Speichersystemen haben auch einen Ransomware-Schutz eingebaut, zum Beispiel eine Anomalieerkennung, die nach Malware sucht, während sie auf Daten einwirkt, und einige Anbieter bieten auch Garantien für Kunden, die von Ransomware-Angriffen betroffen sind.

Warum sind Backups im Falle eines Ransomware-Angriffs wichtig? Die beste Möglichkeit für ein Unternehmen, die Zahlung eines Lösegelds zu vermeiden, besteht darin, zu versuchen, die letzten guten Datenkopien wiederherzustellen. Das bedeutet, dass Unternehmen unbedingt effektive Backups erstellen, unveränderliche Kopien der Backups (Immutable Backups) aufbewahren und regelmäßig testen müssen, ob sie diese wiederherstellen können. Doch Backups haben ihre Grenzen, und auch andere Datensicherungsmethoden wie Snapshots haben ihre Schwächen. Backups eignen sich beispielsweise nur dann zur Wiederherstellung, wenn sie sauber sind. Das heißt, sie sind nicht mit Ransomware-Dateien infiziert, auch nicht mit solchen, die inaktiv, aber unentdeckt geblieben sind. Snapshots sind ebenfalls nur so lange nutzbar, solange sie nicht durch Ransomware-Dateien beeinträchtigt sind. Eine wesentliche Einschränkung von Snapshots besteht darin, dass sie sehr groß sein können. Aus diesem Grund werden oft weniger Snapshots – mit einer kürzeren Rollback-Dauer – aufbewahrt. Ransomware-Angreifer haben es oft auf die Backup-Dateien eines Unternehmens abgesehen, um die Wiederherstellung eines sauberen Zeitpunkts zu erschweren oder unmöglich zu machen.

Wie kann Air Gapping Backups vor Ransomware schützen? Eine Möglichkeit, Backups vor einer Infektion durch Ransomware zu schützen, besteht darin, sie auf der anderen Seite eines Air Gaps aufzubewahren. Air Gapping ist die sicherste Option, insbesondere wenn Backups außerhalb des Standorts auf WORM-Medien (Write Once Read Many) wie optisches Storage oder Tapes gespeichert werden. Der Nachteil von externen physischen Air Gaps ist die Zeit, die für die Wiederherstellung von Daten dieser Sicherungen benötigt wird. Die Wiederherstellungszeit kann zu lang sein, um die Ziele der Geschäftskontinuität zu erreichen, insbesondere wenn IT-Teams zahlreiche Backups durchsuchen müssen, um Kopien ohne Ransomware zu finden. Anbieter haben sich dieser Herausforderung mit virtueller Air-Gap-Technologie gestellt.

Wie kann die Netzwerksegmentierung Backups vor Ransomware schützen? Physische Air Gaps sind zwar am sichersten, haben aber auch Nachteile in Bezug auf die Wiederherstellungszeit. Eine Lösung besteht darin, Backups strikt von Produktionsumgebungen zu trennen, damit nicht infizierte Kopien zur Wiederherstellung verwendet werden können. Zu diesen Ansätzen gehört die Verwendung eines separaten Netzwerksegments mit Deny All-Firewall-Regeln, um es zu schützen. Dieses kann sich im eigenen Rechenzentrum oder in einem sekundären Rechenzentrum befinden. Die Regeln können gelockert werden, wenn Daten benötigt werden oder für die Replikation. Hierfür sind mehrere Administratorenund eine Authentifizierung für den Zugriff auf die Backups erforderlich. Eine Variante, bei der ein Public-Cloud-Speicher als externe Kapazität genutzt wird, lässt sich ebenfalls verwenden.

Was sind Immutable Snapshots? Unveränderliche (immutable) Snapshots sind Snapshots, die nicht mehr geändert werden können, sobald sie einmal geschrieben wurden. Snapshots sind immer unveränderbar, aber Speicheranbieter haben zusätzliche Maßnahmen ergriffen, um zu verhindern, dass sie von Ransomware angegriffen werden. Dies kann bedeuten, dass der Zugriff auf Snapshots durch mehrere PINs geschützt oder zeitlich gesperrt ist. Der Nachteil von Snapshots ist, dass sie ein großes Datenvolumen erzeugen. Aus Leistungsgründen werden sie oft auf Tier-1-Speicher geschrieben, was sie teuer macht, vor allem, wenn Unternehmen zum Schutz vor Ransomware die Daten mehrerer Tage oder Wochen aufbewahren müssen.

Wie können KI und Anomalieerkennung vor Ransomware schützen? Wenn Ransomware ihre Prozesse durchläuft, erzeugt sie durchaus Anzeichen für einen Angriff, die erkannt werden können. Dazu gehören ungewöhnlich viele Änderungen an Dateien in einem Datensatz oder eine erhöhte Zufälligkeit bei Dateinamen oder -inhalten, die auftreten können, wenn Ransomware beginnt, Daten zu verschlüsseln. Die Anbieter haben solche Funktionen auf Speichergerät- und Netzwerkebene hinzugefügt, um Ransomware-Infektionen frühzeitig zu erkennen. KI-Tools können helfen, Anomalien in riesigen Datenmengen und mit einer Geschwindigkeit zu erkennen, die hoffentlich verhindert, dass sich Malware ausbreitet und Daten verschlüsselt oder löscht. Zu den Anbietern, die Anomalieerkennung anbieten, gehören Cohesity, NetApp und Pure Storage. Auch Commvault verfügt über Frühwarnfunktionen in seiner Technologie.