Wie die richtige Backup-Strategie Ransomware-Folgen minimiert

Ransomware – ein beliebtes Werkzeug von Cyberkriminellen

In Sachen Cybercrime geht es den Angreifern zumeist darum, so schnell und so einfach wie möglich Profit aus ihren Taten zu schlagen. Daher überrascht es kaum, dass sich Ransomware in den letzten Jahren zu einem lukrativen Geschäftsmodell entwickelt hat. Die auf diesem illegalen Feld tätigen Gruppen sind zumeist äußerst versiert in ihren Machenschaften und agieren nicht selten wie ein – wenn auch kriminelles – Unternehmen mit unterschiedlichen Abteilungen. Besonders hochentwickelte Banden vermieten zuweilen sogar ihre Ransomware-Infrastruktur beziehungsweise Teile davon an andere Cyberkriminelle, die für diese Ransomware-as-a-Service-Dienste (RaaS) einen Anteil der Profite abtreten müssen.

Wegen dieser sich immer stärker zuspitzenden Lage, befassen sich Experten auch nicht länger mit der Frage, ob ein Unternehmen Opfer eines Cyberangriffs wird. Die Frage, die sich ihnen stellt, lautet vielmehr, wann dies geschieht. Und fest steht dabei, dass die Folgen einer – aus Sicht der Angreifer – erfolgreichen Attacke umso kleiner ausfallen, je besser sich eine Organisation auf den Worst Case (schlimmsten Fall) vorbereitet. Doch welche Vorkehrungen sind für Unternehmen sinnvoll?

Schutz bedarf mehrerer Ebenen

Ob Großunternehmen oder Kleinstbetrieb, Organisationen jedweder Größenordnung sind heutzutage von Ransomware-Angriffen betroffen. Unabhängig von der Größe oder der Branche bietet allerdings ein mehrstufiges Sicherheitskonzept bestmöglichen Schutz vor entsprechenden Attacken. Nur auf diese Weise können Unternehmen etwaige Auswirkungen von Angriffen so gering wie möglich halten und ihren Geschäftsbetrieb auch im Fall der Fälle sicherstellen.

Ein solches, auf fünf Elementen basierendes Sicherheitskonzept skizziert das NIST (National Institute of Standards and Technology), das US-Äquivalent zum deutschen Bundesamt für Sicherheit in der Informationstechnik (BSI) beziehungsweise der Physikalisch-Technischen Bundesanstalt (PTB). Das Konzept liefert Unternehmen aller Größen und Branchen einen guten Überblick, was sie bei ihrem Sicherheitsansatz beachten sollten. Im Folgenden werden die Kernelemente des NIST-Konzepts näher erläutert:

• Verwaltung von Identitäten und Datenbestand

Datenschutz und Datensicherung einer Organisation bedürfen nicht nur Authentifizierung, Autorisierung und Audit-Kontrolle, sondern es sollte immer zuerst der aktuelle Datenbestand erfasst und analysiert werden. Denn nur wenn die Verantwortlichen wissen, welche Daten geschützt werden müssen und wo diese gehostet werden, können sie dafür entsprechende Maßnahmen ergreifen. Auch gilt es, den Zugang zu den jeweiligen Daten auf ein Mindestmaß zu beschränken, sodass nur Mitarbeiter darauf Zugriff haben, die auch tatsächlich mit den jeweiligen Daten arbeiten. Umso enger muss der Kreis derjenigen gefasst werden, die nach einer Datensicherung Zugriff auf die Backup-Daten haben. Je weniger Personen beziehungsweise Instanzen Zugang zu diesen Daten haben, umso sicherer sind diese letztendlich.

• Datensicherung

Die genaue Ermittlung des Datenbestands ist aber auch aus einem anderen Grund von erheblicher Bedeutung: Sie ermöglicht es den Verantwortlichen, eine geeignete Datensicherungslösung mit einem für das Unternehmen passenden Kostenmodell zu finden und zu implementieren. Viel zu oft kommen in Organisationen verschiedenste Lösungen gleichzeitig zum Einsatz und auch die Speicherorte für Datensicherungen folgen nicht immer einem einheitlichen Ansatz. Umso wichtiger ist es, dass sich die Administratoren für eine einheitliche Lösung entscheiden, die alle Daten gleichermaßen erfasst und sichere Backups erstellt und aufbewahrt. 

• Schwachstellenerkennung

Um der sich weiter verschärfenden Bedrohungslage Rechnung zu tragen, müssen Unternehmen auch auf spezielle Security-Lösungen sowie Sicherheits-Audits setzen. Letztere sind vor allem deshalb wichtig, um etwaige Sicherheitslücken zu entdecken und Schwachstellen in der Datensicherheitsarchitektur einer Organisation zu identifizieren, sodass potenzielle Risiken frühzeitig ausgeräumt werden können. Darüber hinaus sollten insbesondere auch die eigenen Mitarbeiter für potenziell riskantes Verhalten im Sinne der Cybersicherheit sensibilisiert werden, da sie in den meisten Fällen unbewusst den Wegbereiter für Ransomware-Angreifer darstellen.

• Reaktionsfähigkeit

Mit der Implementierung entsprechender Cybersicherheits- und Datenschutzlösungen allein ist es jedoch noch nicht getan. Diese müssen stets überwacht werden, um einen entsprechenden Schutz bieten zu können. Die Security-Verantwortlichen müssen zu jeder Zeit einen Überblick darüber haben, was in ihren Umgebungen vor sich geht und etwaige Auffälligkeiten umgehend analysieren. Darüber hinaus sollten sich Unternehmen regelmäßig auf den schlimmsten anzunehmenden Störfall vorbereiten und hierzu Trainings für eine Krisensituation abhalten, um die richtigen Verhaltensweisen im Falle einer Ransomware-Attacke mittels einer Art Muskelgedächtnis abrufen zu können. Nur so lassen sich Ausfallzeiten minimieren und der Geschäftsbetrieb aufrechterhalten.

• Möglichkeit zur Wiederherstellung

Kommt es trotz aller Bemühungen zu einem Ransomware-Angriff, müssen die Administratoren in der Lage sein, alle Daten zeitnah wiederherstellen zu können. Insbesondere geschäftskritische Daten, die zur Aufrechterhaltung des Betriebs nötig sind, sollten dabei besondere Aufmerksamkeit genießen. Daher müssen die Verantwortlichen bei der Wahl ihrer Datensicherungslösung darauf achten, dass die für den Betrieb kritischsten Daten auch schnell wiederhergestellt werden können. Mit einer Lösung wie NetVault Plus von Quest Software können die Mitarbeiter selbst im Falle einer Ransomware-Attacke trotz gewisser Einschränkungen weiter ihrer Tätigkeit nachgehen, da sie schnell wieder Zugriff auf die wichtigsten Daten haben. Die Daten mit nachrangiger Relevanz für den Geschäftsbetrieb werden in der Folge nach und nach wiederhergestellt.

Selbst wenn die hier aufgeführten Punkte Administratoren einen guten Anhaltspunkt dafür bieten, welche Schritte sie zur Absicherung ihrer IT-Infrastruktur unternehmen müssen, so darf nicht der Eindruck entstehen, dass dies einen hundertprozentigen Schutz bieten könnte. Denn wie die Cybercrime-Szene immer wieder unter Beweis stellt, gibt es keinen vollumfänglichen Schutz gegen versierte Angreifer. 

Unternehmensverantwortliche können jedoch darauf achten, dass ihre Daten regelmäßig gesichert und die Backup-Daten auf Basis von Best Practices geschützt werden. Hierzu sollten die Administratoren die sogenannte 3-2-1-Backup-Regelberücksichtigen. Sie besagt, dass für Backups zwingend drei Datenkopien angefertigt werden müssen, die auf zwei verschiedenen Medien gespeichert sind und darüber hinaus ein externes Backup erstellt wird.

In Zukunft weniger Ransomware-Attacken?

Nach wie vor ist für Experten kaum absehbar, wann sich die gegenwärtige Gefährdungslage in Sachen Ransomware entspannt. Angesichts dessen, dass 58 Prozent aller von Ransomware-Attacken betroffenen Organisationen der Lösegeldforderung nachkommen, dürften die Profite für die Täter weiterhin Motivation genug sein, um mit ihren Attacken fortzufahren. Und selbst, wenn Ransomware eines Tages nicht mehr die Bedrohungslandschaft dominiert, steht bereits heute fest, dass eine andere Malware-Form ihren Platz einnehmen wird.

„Administratoren sollten die fünf Kernelement für die Datensicherung berücksichtigen und somit einen umfassenderen Schutz vor Cyberattacken und deren Auswirkungen aufbauen.“

Andreas Schmiedler, Quest Software

Unternehmen kommen daher auch auf absehbare Zeit nicht umhin, ausgereifte Vorkehrungen zum Schutz ihrer Daten zu treffen. Wenn eine Organisation entsprechende Maßnahmen ergreift und eine nachhaltige Backup-Strategie verfolgt, dann kann sie jedoch mit einiger Gelassenheit in die Zukunft blicken und ist auch im Falle einer Ransomware-Attacke bestmöglich gerüstet.

Über den Autor: Andreas Schmiedler ist Software Account Manager - Data Protection bei Quest Software. In dieser Funktion zeichnet er für die Beratung von Neu- und Bestandskunden von Quest verantwortlich. Schmiedler blickt auf mehr als 25 Jahre an Erfahrung in der IT-Branche zurück. Vor seiner Tätigkeit bei Quest Software hatte der studierte Diplom Ingenieur bereits führende Positionen u. a. bei Check Point, NetApp und Enterasys Networks inne.