Tipps vom Fachmann: Ransomware-Schutz für Backup-Daten

Reaktionsschritte und Angriffsvermeidung

Bei einem Hackerangriff ist es entscheidend, wie das Unternehmen reagiert, um gößeren Schaden abzuwenden.

„Sobald Ransomware entdeckt wurde, muss der infizierte Computer unbedingt isoliert und der betroffene Rechner vom System entfernt werden, um eine Ausbreitung zu verhindern“, betont Joe Noonan, General Manager bei Unitrends (a Kaseya Company). „Gleiches gilt für nicht vollständig infizierte Geräte. IT-Verantwortliche können weiteren Schaden verhindern, indem sie sofort die Ethernet-Verbindung trennen, die WiFi-Verbindung unterbrechen und die betroffenen Rechner ausschalten.  Ransomware kann sich über eine Netzwerkverbindung verbreiten, deshalb muss der Angriff eingedämmt werden, indem freigegebene Laufwerke getrennt und das Netzwerk heruntergefahren wird.“

Verantwortliche können die Wiederherstellung entweder mit einer Hot-Backup-Kopie (dynamische oder Online-Sicherung, die aktiv online und für Benutzer zugänglich ist) oder mit einer Cold-Backup-Kopie (Sicherung von Daten, die offline und für Benutzer unzugänglich ist) durchführen, erklärt Noonan. Wenn der Umfang der infizierten Dateien überschaubar ist, können IT-Experten die Wiederherstellung auf Dateiebene vornehmen, indem sie nach den Backup-Versionen der verschlüsselten Dateien suchen und diese in eine Appliance importieren.

Bei einem größeren Angriff rät der Experte zu Folgendem „Ist aber das gesamte Netzwerk infiziert, benötigen die IT-Techniker eine sichere, funktionsfähige Sicherungskopie oder einen Snapshot des Systems. Mithilfe der Benutzeroberfläche ihrer Continuity-Plattform können sie den sicheren Snapshot-Speicherort finden, die wiederherzustellenden Indizes auswählen, ihre Sicherungsdatei importieren und das System wiederherstellen.“

Ransomware-Angriffe sind schonungslos. Obwohl IT-Profis gerne präventiv arbeiten, um den Aufwand infolge eines Angriffs zu vermeiden, ist ein verifiziertes Backup zwingend erforderlich, damit die Geschäftskontinuität gewährleistet wird.

Darüber hinaus sollten laut Noonan verschiedene Bemühungen unternommen werden, die vor einem Angriff und somit vor Datenverlust oder Lösegeldforderungen schützen können. Dazu gehören:

• Da der Großteil der Ransomware für Windows-Betriebssysteme konzipiert ist, ist die Verwendung einer Linux-basierten Backup Appliance die effektivste Möglichkeit, die Bedrohung durch Ransomware zu beseitigen. Die Wahrscheinlichkeit, dass Backup-Daten angegriffen oder beschädigt werden, wird dadurch exponentiell reduziert.
• Es wird empfohlen, dass IT-Profis die 3-2-1-Regel befolgen. Unternehmen sollten drei Kopien von Daten auf zwei verschiedenen Medientypen speichern, wobei eine Version extern aufbewahrt wird. Dies erleichtert die Wiederherstellung im Falle eines Ransomware-Angriffs.
• Hacker nutzen oft Schwachstellen in veralteter Hard- und Software aus, um in die Netzwerke von Unternehmen einzudringen. Um sich gegen diese Art von Malware-Angriffen zu schützen, muss für Unternehmen die Aktualisierung, Wartung und Aufrüstung der IT-Ausrüstung Priorität haben.
• Da sich die Infiltrationsmethoden von Ransomware ständig weiterentwickeln, lässt sich ein Ransomware-Angriff nie mit 100-prozentiger Sicherheit verhindern. Automatisierte Tools helfen den IT-Administratoren allerdings dabei, etwaige Angriffe bereits in den frühen Stadien zu erkennen. Neue intelligente Software nutzt künstliche Intelligenz(KI) und maschinelles Lernen, um verdächtige Muster zu erkennen, zum Beispiel Dateigruppen, die auf ungewöhnliche Weise verschlüsselt werden, und warnt Administratoren vor Ransomware, bevor sie sich ausbreitet.
• Möchte man nach einem Angriff die Kontrolle zurückgewinnen, ohne Lösegeld zu zahlen, ist die einzige Möglichkeit die Wiederherstellung über ein nicht infiziertes Backup. Ein Backup mit integriertem Ransomware-Schutz ist wichtig - andernfalls kann Ransomware auch Backup-Dateien sperren. Bei geschäfts- oder zeitkritischen Diensten macht die Implementierung eines Cloud-basierten Disaster-Recovery-Dienstes es möglich, sofort ein Failover in eine sichere Cloud durchzuführen. So können die Dienste weiterlaufen, auch wenn die lokale Wiederherstellung noch einige Zeit in Anspruch nimmt.
• Um sicher zu gehen, dass das Backup funktioniert und die Recovery Time Objectives (RTOs) und Recovery Point Objectives (RPOs) des Unternehmens erfüllt sind, müssen im Vorfeld Tests durchgeführt werden. Da die IT-Teams aber in vielen Unternehmen bereits stark ausgelastet sind, sollten IT-Verantwortliche nach Backups suchen, die automatisierte Tests und Wiederherstellungssicherheit bieten.

Zero Trust, Segmentierung und Air Gapping

Wie bereits in unseren beiden vorangegangenen Teilen sind sich die Fachleute darin einig, dass es zum einen keinen hundertprozentigen Schutz gibt, zum anderen Anwender auf lang bewährte Methoden zurückgreifen können. Diese gepaart mit modernen Verfahren und Technologien können das Sicherheitsnetz um die IT schon sehr straff halten.

„Den wenigsten Angreifern gelingt eine Punktlandung“, sagt Markus Knorr, Manager Systems Engineering von Palo Alto Networks. „In der Regel streifen sie lange Zeit durch das Netzwerk, bis sie am Ziel sind.  Am besten schützt man sich vor diesem ‚Lateral Movement‘ in Netzwerken durch einen Architektur-bezogenen Zero-Trust-Ansatz. Je nachdem, wie umfassend man die vertrauenswürdigen Bereiche umfasst, spricht man auch von Micro Segmentation. Hierbei werden Systeme mit gleichem Schutzbedarf kleinteilig von anderen Systemen durch eine Firewall getrennt. Man unterbindet damit sogenannten ‚East-West-Traffic‘, da sich der Datenfluss und mit ihm oft die Angreifer ‚seitwärts‘ bewegen. Der Zero Trust-Ansatz bezieht bei jeder Entscheidung neben IP-Adresse und Ports auch die Applikation, den individuellen Benutzer und auch die System/Device-ID mit ein. Weiterhin wird der erlaubte Datenverkehr auf mögliche Bedrohungen gescannt, um Angriffe mit Hilfe unerlaubter Zugänge zu verhindern. Schlussendlich lässt sich mit diesem Ansatz weitgehender Schutz vor Lateral Movement erzielen, der fast jedem Angriff vorausgeht. Auch potentieller Schaden kann selbst nach erfolgten Infektionen weitgehend eingegrenzt bzw. minimiert und vor allem sichtbar gemacht werden, wen die Angreifer nicht über ein „Miro Segment“ hinauskommen. Am effizientesten sind hier auf Basis der aktuellen Architektur-Konzepte, die auch in der Cloud und in Container-Umgebungen die Systeme mit einem Zero Trust-Ansatz auf oben beschriebene Weise absichern können.“

Auch Roland Rosenau, SE Manager EMEA Central bei Rubrik weiß, „dass es keinen 100-prozentigen Schutz vor einer Ransomware-Attacke gibt und ein Eindringen von Malware oder Ransomware nie völlig ausgeschlossen werden kann“. Er betont zudem, dass natürlich alle Mitarbeiter ständig mit den neusten Security-Patches ausgerüstet werden müssen. Dies müsse laut Rosenau ein automatisierter Prozess sein, denn die Anwender werden es von sich aus nur in geringem Umfang tun.

Der Rubrik-Manager gibt zu beachten, dass Ransomware-Attacken mittlerweile gezielt nach Shares suchen, auf denen die Backup-Daten gelagert sind. In der Regel sind das Netzwerk-Shares, die über NFS oder SMB zugegriffen werden. Hier ist es für Hacker meist relativ einfach, Zugriff zu erhalten, weil die Maschine, die gesichert wird, vollen Zugriff auf den Share benötigt. Von daher muss sichergestellt sein, dass regelmäßig die Passwörter geändert werden sowie ungewöhnliche Vorgänge wie Verschlüsselung oder eine massive Löschung dieser Daten einen sofortigen Alarm auslöst.

„Ein altes, aber dennoch recht wirksames Mittel ist die physikalische Trennung von Netzen, die zumindest verhindert, dass alle Backups und Datenbereiche betroffen werden“, empfiehlt Rosenau. „Eine modernere und weitaus attraktivere Lösung liegt in einer ML-basierten Überwachung aller Vorgänge, die rund ums Backup geschehen. Treten hier Verhaltensweisen auf, die unüblich sind, schlägt eine entsprechende Lösung sofort Alarm und verhindert so eine Manipulation, also beispielsweise eine Verschlüsselung der Daten. Ein weiteres Mittel ist der Einsatz von Backups, die qua Definition unveränderlich sind. Lösungen, die auf ein „Immutable File System“ setzen schützen zwar nicht vor dem Angriff per se, machen aber das Backup unverwundbar.

Ähnlich sieht das Andreas Müller, Regional Director CEE bei Vetra AI: „Eine wichtige Voraussetzung für ein hohes Sicherheitslevel – wenn auch nicht für 100-prozentigen Schutz – ist eine Segmentierung der Architektur der Infrastruktur zwischen Office, Produktion und Rechenzentrum.“ Zusätzlich rät er dazu, das Verhalten aller im Netz befindlichen Geräte nach Möglichkeit zu kontrollieren. „Diese Informationen sollten zentral zusammengeführt und ausgewertet werden. KI kann helfen das aufwandstechnisch so gering als möglich zu halten. Die Kommunikation in allen ‚Silos‘- sprich Netzwerkbereichen - aber auch nach extern ist wenn möglich automatisiert zu überwachen.“

Anomalien im Verhalten von Accounts oder Anwendungen können ein erster Hinweispunkt beziehungsweise ein Indiz auf schädliche Aktivitäten sein, dürften aber ziemlich sicher schnell zu einer Überladung durch Alarme führen. Auch hier wird Automatisierung durch Algorithmen empfohlen

Ein möglichst tiefgreifender Zero-Trust Ansatz ist für den Aufbau zu empfehlen. Somit können Zugriffe außerhalb der vorgegebenen Wege zumindest ein bisschen eingegrenzt werden.

„Ich rate allen IT-Verantwortlichen sich gedanklich aus der Welt des ‚Ich kann es verhindern‘ in die Annahme ‚Ich bin schon kompromittiert‘ wechseln oder das Denken eines Hackers versuchen nachzuvollziehen. Hier helfen auch regelmäßige Red Team-Exercises, die nach Möglichkeit einen vollständigen Angriff inkl. Insider Tätigkeit simulieren.“

Müller erklärt, dass der Blick auf die Infrastruktur ein übergreifender sein muss, also nicht nur Endpunkt, nur Cloud, Privilegien oder Netzwerk. Eine wirksame Lösung umfasst, seiner Meinung nach, alle Aspekte und liefert eine möglichst automatische Übersicht. Ein besonderes Augenmerk muss dabei auf SaaS-Anwendungen wie OneDrive oder SharePointliegen, da hier häufig fälschlicherweise von einer Absicherung durch den Anbieter ausgegangen wird. Dies kann zu einem blinden Fleck in der Übersicht führen.

„Ein SIEM hilf bei der Forensischen Aufarbeitung sobald der Vorfall offensichtlich ist, birgt aber auch die Gefahr der Überlastung durch zu viele Daten und man sieht den ‚Wald vor lauter Bäumen nicht‘“, fügt Müller abschließend an.

„Backups sind kein Security Framework”, mahnt Ronald Brutter, IT-Architekt und Berater für Katastrophenvorsorge bei IBM. „Vielmehr muss es als Teil des Ganzen integriert werden und dafür sind grundsätzliche Dinge zu beachten. Für ihn ist es zum Beispiel essentiell, dass ein Backup ohne Active Directory wiederherstellbar sein muss, da das AD angreifbar ist. „Eine der besten Absicherungen gegen Datenraub oder Erpressung ist immer noch das Air Gap“, erklärt Brutter. „Systeme, die nicht aktiv und losgelöst von der Infrastruktur sind, bieten den besten Schutz. Allerdings sollten sich Anwender hier nicht der falschen Sicherheit hingeben, die Cloud könnte ein Air Gap darstellen. Auch Cloud Storage ist manipulierbar und angreifbar. Ein Air Gap muss eine klare und harte Trennlinie zwischen aktiven Systemen und verlässlichen Backup-Systemen darstellen.“

Generell sind sich alle Fachleute einig, dass niemand absolut sicher vor Ransomware sein kann und wirklich nur eine bewusste Auseinandersetzung mit dem Thema, den verfügbaren Lösungen und den internen Anforderungen dazu führen kann, dass sich eine Strategie und somit auch Maßnahmen umsetzen lassen.