Backups: Das raten Experten zum Schutz vor Ransomware

Windows-Systeme sind häufiger das Ziel

„Hat ein Hacker erst einmal Zugang zum Netzwerk erlangt, ist es sehr einfach für ihn, darin zu navigieren und es mit dem Ziel zu durchsuchen, Backup-Dienste zu zerstören, zu löschen zu verschlüsseln oder zu deaktivieren“, bestätigt Charles Smith, Consulting Solution Engineer, Data Protection bei Barracuda EMEA. „Nachdem ein Ransomware-Angriff entdeckt wurde, ist es oft zu spät, da der Schaden bereits entstanden ist. Der Hacker hat den Active-Directory-Server abgefragt, um entweder die Passwörter des Backup-Service-Kontos zu ermitteln, um sich anzumelden und die Backups zu löschen. Möglich auch, dass er einfach den Backup-Manager angreift und Registrierungsschlüssel deaktiviert und Konfigurationsdateien verschlüsselt, so dass er unbrauchbar ist. Einer neueren Entwicklung zufolge, sehen die Hacker so lange davon ab, die Daten zu verschlüsseln, bis sie wissen, dass sie die Backup-Dienste deaktiviert haben. Um hier die Risiken von vornherein zu minimieren, Sicherheitstrainings und -schulungen mit entscheidend.“

Dabei führt Smith an, dass rund 85 Prozent der Ransomware-Angriffe auf Windows-Systeme abzielen. Laufen Backup-Prozesse auf solchen Geräten, sind sie ungleich mehr gefährdet. Viele gängige Backup-Softwareprodukte laufen aber nun mal auf Windows-Servern.

„Soll ein Backup-Server unter Windows laufen, muss sichergestellt sein, dass der Backup-Server aus der Windows-Domäne herausgenommen und als eigenständiger Server eingerichtet ist“, empfiehlt der Barracuda-Experte. „Außerdem sollte eine starke Echtzeit-Sicherheitssoftware implementiert sein, die Ransomware- und Malware-Angriffe erkennen kann. Weiterhin muss ein sehr starkes lokales Admin-äquivalentes Benutzerkonto mit einem sehr starken, zufällig generierten langen Kennwort verwendet werden, das in einem Kennworttresor liegt.“

Darüber hinaus weist Smith darauf hin, dass beim Einrichten der Backup-Aufträge ein Domain-Backup-Service-Konto verwendet werden sollte. So wird sichergestellt, dass der Nutzer die Berechtigung hat, Daten auf den zu schützenden Systemen zu sichern und wiederherzustellen. Die Sicherheit muss so eingerichtet werden, dass dasselbe Domain-Backup-Service-Konto keine Berechtigung für den Zugriff auf den Backup-Server selbst hat. Die Verwendung von MFA (zum Beispiel Zwei-Faktor-Authentifizierung), wo immer möglich, minimiert zudem das Risiko, dass sich ein Hacker unbemerkt in die Systeme und Dienste einloggen kann.

„Noch besser ist es, einen Backup-Server oder eine Appliance für Backups vor Ort zu verwenden, die nicht auf einem Windows-Server läuft“, erklärt er. „Linux-Systeme sind in der Regel viel weniger angreifbar und viel sicherer, um Backup-Dienste darauf laufen zu lassen.“

Darüber sollten alle Backup-Daten 256-Bit-AES-verschlüsselt sein, alle Verschlüsselungsschlüssel gesichert und in einem Passwort-Tresor aufbewahrt werden, so der Backup-Experte. Oft machen Kunden den Fehler, dass sie nur Backups verschlüsseln, die vom Backup-Server repliziert werden (das heißt durch die Firewall), und die Daten unverschlüsselt in ihrem Netzwerk belassen. In der Vergangenheit haben viele Kunden dies durch die Migration von Backups auf Bandkopien oder die Replikation auf einen sekundären (Disaster Recovery) Backup-Server erreicht. Wir haben jedoch gesehen, dass Cyberkriminelle auch sekundäre Backup-Server aufspüren und angreifen, die im selben erweiterten Netzwerk wie die primären Backup-Server laufen, vielleicht an einem anderen Standort, aber im Wesentlichen immer noch im selben Netzwerk/Domäne.

Deswegen empfiehlt Smith abschließend eine Air Gap-Kopie der Backups als ein absolutes Muss anzusehen und einzurichten. Denn Air Gap oder Airwall bedeutet, dass die Kopie in einer vollständig vom lokalen Netzwerk oder der eigenen Domäne getrennten Umgebung ausgeführt wird, aber trotzdem die Übertragung von Daten zulässt. Dieser Prozess verwendet ein vollständig separates Sicherheitszugriffsmodell sowie eine starke Multi-Faktor-Authentifizierung für den Zugriff auf die Umgebung/Backup-Daten.

„Wir haben viele Fälle gesehen, in denen Hacker lokale Backup-Server deaktiviert haben, aber keinen Zugriff auf eine zweite ´sichere´ Offsite-Kopie der Daten in der Cloud erhalten konnten“, weiß Smith zu berichten. „Dies kann den Unterschied ausmachen, ob Betroffene in der Lage sind, die Kontrolle zu übernehmen und ihre Systeme wiederherzustellen, ohne Lösegeld zu zahlen.“

Bewährte Strategien vollständig und richtig umsetzen

Auch  Christian Kubik, Product Specialist EMEA Enterprise Solutions bei Commvault Deutschland kennt sich mit der Situation und den Gefahren, die Ransomware fürs Backup bedeuten, aus.

„Hacker lernen stetig dazu – und die ungerichteten, rein programmatischen Ransomware- und Malware-Angriffe, die man in den letzten Jahren beobachten konnte, werden zwar nicht weniger – aber es steigt die Zahl der Angriffe, wo – mit oder ohne internes Wissen – ein echter Mensch (oder gleich eine ganze Gruppe) hinter einem gezielten Angriff steckt“, sagt er. „In diesem Fällen helfen teilweise programmatischer Schutz und Malware-Tools nicht mehr, da diese mit der Flexibilität und dem Wissen der menschlichen Angreifer teilweise umgangen oder sogar deaktiviert werden können. Verschafft sich ein Angreifer Zugriff auf administrative Berechtigungen, so kann er diese häufig sehr umfassend in vielen Bereichen der IT des angegriffenen Unternehmens einsetzen. Daher gibt es einige generelle Dinge über die man sich im Umfeld der Unternehmens-IT Gedanken machen sollte, um diesen Hackern so wenig wie möglich die Gelegenheit zu bieten, Schaden anzurichten.“

Für Kubik sollten einige grundlegenden Punkte im Unternehmen angegangen werden, um die Basis für einen Rundumschutz für Datensicherungen zu schaffen. Diese fünf Punkte hält der Backup-Spezialist für essentiell wichtig:

1. Aufgabentrennung: In vielen Unternehmen wird aus den unterschiedlichsten Gründen – von Bequemlichkeit über technische Limitierungen bis hin zur Unwissenheit – einem einzelnen Benutzerkonto eine große Anzahl an Berechtigungen zugewiesen. Gerade die Nutzung von Active Directory integrierter Authentifizierung ist zwar super praktisch, birgt aber bei Kombination vieler Berechtigungen in einem einzelnen Account auch große Gefahren. 
   Tipp: Trennung von verschiedenen Aufgaben in mehrere Accounts, selbst wenn dieselbe Person Zugriff auf diese Accounts hat, so kann ein „geklautes Passwort“ oder ähnliches nur für den Zugriff auf kleine Teile der Infrastruktur genutzt werden. Beispielsweise sollte der Storage-Admin-Account nicht zusätzlich auch ein Admin auf den angebundenen Servern sein. Wird das Management dieser vielen Accounts zu komplex, können auch speziell hierfür vorgesehene Produkte helfen, das Account Management und die Berechtigungsvergabe zu vereinfachen.
2. Die 3-2-1 Regel: Drei Kopien der Daten, auf zwei verschiedenen Medien Typen, und (mindestens) eine Kopie an einem anderen Standort. Auch wenn diese Regel schon lange existiert, so ist sie doch in gewisser Weise „zeitlos“ – allerdings sollte man sich in der heutigen Zeit im Schatten von Cyberangriffen überlegen, was das genau bedeuten kann. Wirklich vollständige Sicherheit vor softwarebasierten Angriffen bietet nur ein „hardwarebasierter“ Schutz – hier erlebt sogar das gute alte Bandlaufwerk eine Renaissance, da im Tresor aufbewahrte Bänder nicht von einem Hacker angegriffen werden können. Doch auch WORM-Technologie – sei es lokal oder in der Cloud – kann ein interessanter Ansatz sein, um Daten vor ungewollter Zerstörung oder Änderung zu bewahren.
3. Air-Gapping: Daten können nur verändert oder gelöscht werden, wenn man auf diese auch zugreifen kann. Eine Möglichkeit, die in letzter Zeit immer häufiger von Unternehmen genutzt wird, ist das sogenannte Air-Gapping. Hierbei stellt man sicher, dass Daten, die an einem Standort gespeichert werden, nicht von einem anderen Standort heraus zugegriffen werden können, indem Netzwerkverbindungen abgebaut werden und nur bei Bedarf bereitgestellt werden. Dieser „Air Gap“ verhindert, dass ein Hacker, der das Unternehmen angreift, auf diese im sicheren Standort liegenden Daten zugreifen kann.
4. Papier ist geduldig: Erfahrungen mit Unternehmen, die Opfer eines Ransomware oder Hackerangriff wurden, haben gezeigt, dass Informationen oft rein digital vorgehalten werden. Passwörter für spezielle Accounts, die Liste der Barcodes von Bändern, die wichtige Daten enthalten – egal was es ist, es befindet sich in Word Dateien, Textfiles, elektronischen Passwortsafes. Auch wenn natürlich nicht alle Daten wirklich analog vorgehalten werden können, so kann es durchaus wichtig und richtig sein, dass man wichtige Accounts und Passwörter, Listen mit für die dringendste Wiederherstellung benötigten Medien etc. tatsächlich in Papierform, oder wenn elektronisch, dann auf Wechselmedien wie USB-Platten und -Sticks oder ähnlichem aufzubewahren, die offline sind.
5. Haben sie einen Plan:Pläne für die Wiederherstellung des Geschäfts im Falle eines Angriffs sind extrem wichtig. Welche Systeme sind unternehmenskritisch? In welcher Form und wie sollen und müssen Sie wiederhergestellt werden? Gibt es Automatismen, oder müssen Dinge manuell gesteuert werden? Welche Personen werden benötigt? Diese und viele weitere Fragen sollte man sich stellen und in einem Business-Continuity-Plan Perfekt wäre es, wenn dieser Plan zusätzlich auch noch regelmäßig „geübt“ wird, also tatsächlich unter Beweis gestellt wird, dass die geplanten Maßnahmen in dieser Form auch funktionieren.

In unserem zweiten Teil zum Thema Ransomware-Schutz für Backup-Daten erfahren Sie, was weitere Experten an Maßnahmen, Strategien und Lösungen empfehlen, um im Falle eines Falles abgesichert zu sein und ein Restore umsetzen zu können.