Tipps zum Schutz vor Ransomware in Windows-Umgebungen

Das eigene Backup-Setup auf den Prüfstand stellen

Backups gehören zu den unbeliebten Maßnahmen, die von Unternehmen vor allem in der Hoffnung erledigt werden, sie bloß niemals zu benötigen. Das führt dann oft dazu, dass die Datensicherungen als lästige Aufgabe verstanden und einer bestimmten Abteilung übertragen werden, um sie zum Beispiel jeweils einmal am Tag durchzuführen. Anschließend kann ein Häkchen in irgendeinem Formular gesetzt werden. Das ist aber genau das Vorgehen, das Probleme geradezu herausfordert.

Natürlich müssen Sie Datensicherungen erstellen. Das bestreitet niemand. Backups funktionieren aber nur dann, wenn Sie sie auch schützen. Ein Backup-Server oder eine dafür verwendete Appliance sind ein äußerst reizvolles Ziel für jeden Angreifer, der eine Ransomware in Ihrer Infrastruktur einschleusen will.

Diese Server und Appliances haben in der Regel außerdem über das Netzwerk auf fast alles in Ihrem Rechenzentrum Zugriff. Immerhin sind diese Maschinen ja Ihr Sicherheitsnetz. Wenn aber genau diese umfangreiche Datensammlung durch einen Erpresser verschlüsselt wird, sind die meisten Unternehmen schnell bereit, selbst eine größere Lösegeldsumme zu bezahlen, um wieder an ihre Daten zu kommen.

Dazu kommt, dass die meisten Backup-Lösungen öffentlich verfügbar sind. Also können sich auch die Entwickler der diversen Ransomware-Varianten damit beschäftigen und herausfinden, wie sie funktionieren. Dadurch erhalten sie nicht nur Kenntnisse über die eingesetzten Backup-Agenten und -Techniken, sondern können auch neue Angriffspunkte ausfindig machen. Auf Basis dieser Informationen kann ein Angreifer danach seinen Erpresser-Trojaner anpassen, der dann genau auf das von Ihnen verwendete Backup-Produkt ausgelegt ist.

Heutzutage verfügen viele Backup-Lösungen bereits über Funktionen zum Schutz vor Ransomware. Aber sie müssen auch aktiviert worden sein. Ist das wirklich der Fall? Nicht selten werden diese Funktionen zum Schutz der Daten nämlich erst dann entdeckt, wenn alle gesicherten Daten bereits durch eine Malware oder einen Hacker vernichtet wurden.

Warten Sie deswegen nicht ab, um irgendwann nachzuprüfen, ob Ihre Backup-Lösung auch über Funktionen zum Schutz vor Ransomware verfügt. Kümmern Sie sich am besten noch heute darum.

Eine alte Sicherheitsmaßnahme wird wieder populär

Das bringt uns zu einer zweiten, sehr hilfreichen Maßnahme: dem sogenannten Air-Gapping. Dabei wird das für die Datensicherung verwendete System nach dem Backup physisch vom Netzwerk getrennt. Danach kann auch die perfideste Malware nicht mehr darauf zugreifen.

Die Methode des Air-Gappings war noch zu Zeiten als Backups vor allem auf Bänder erstellt wurden sehr verbreitet, wird aber seit der Einführung von Replikationsdiensten immer weniger genutzt.

Manche IT-Profis vertreten zudem den Standpunkt, dass mehrere Wochen oder gar Monate alte Daten keinen großen Wert mehr haben. Aber ist die Alternative – nämlich gar keine Daten mehr zu haben – denn wirklich besser? Jede Person mit IT-Erfahrung, die einmal gesehen hat, wie ganze Unternehmen in sich zusammenbrechen, nachdem ihre Daten gelöscht wurden, wird ihre Ansicht vermutlich schnell ändern. Haben nicht mehr ganz aktuelle Daten in einem Notfall wirklich keinen Wert mehr?

Selbst ein einfacher NAS-Server (Network Attached Storage), den Sie nur alle sechs Monate für eine Datensicherung nutzen und den Sie dann wegsperren, klingt plötzlich gar nicht mehr so schlecht, wenn die Alternative ist, überhaupt keine Daten mehr zu haben. Eine solche Maßnahme ist eine kostengünstige Ergänzung für Ihr Rechenzentrum, die als zusätzliches Repository – nicht als Ersatz – für Ihre Daten dient.

Stellen Sie es sich so vor: Würden Sie lieber von einer Ransomware attackiert werden und dann entweder nur ein paar Monate oder zum Beispiel komplette 15 Jahre an Daten verlieren? Beide Situationen werden bei kaum jemandem Begeisterungsstürme auslösen, aber eine von ihnen ist deutlich besser als die andere.

Diese auch Cold Backups genannten Datensicherungen ersetzen aber natürlich in keinem Fall Ihre restliche Backup-Strategie, sondern ergänzen sie als vergleichsweise billige Möglichkeit, um ein Air-Gap aufzubauen. Wenn es um Ransomware geht, zählt einfach jede weitere Ebene an Schutzmaßnahmen.

Air-Gapping wird heutzutage allerdings nicht mehr so oft genutzt, nachdem sich Dienste zur Online-Deduplizierung immer weiter durchgesetzt haben. Unternehmen, die sich diese Services leisten können, profitieren von einer weiteren Replikation ihrer Daten auf Online-Backups an meist weit entfernten Orten.

Eingebaute Anti-Ransomware-Möglichkeiten nutzen

Es gibt also mehr als nur einzige Möglichkeit, um die Bedrohung durch Ransomware einzugrenzen. Ein mehrstufiger Schutz wird von vielen Experten empfohlen.

Erpressungstrojaner bewegen sich in der Regel meist sehr schnell durch befallene Netzwerke. Interne Firewalls – gleichgültig ob physisch oder virtuell – sind bei der Abwehr dieser Verbreitung eine große Hilfe.

Eine oft übersehene Option ist etwa die Nutzung der in Windows integrierten Firewall. Als sie erstmals in Windows integriert wurde, gab es ein paar Anlaufschwierigkeiten. Mittlerweile hat Microsoft sie jedoch weiterentwickelt und kontinuierlich verbessert, so dass sie heutzutage eine verlässliche Firewall-Lösung darstellt.

Bei ihrer Nutzung entstehen auch keine weiteren Kosten, da sie in aktuellen Windows-Versionen bereits enthalten ist. Nur bei ihrer Einrichtung und Konfiguration ist manchmal etwas administrativer Aufwand nötig. Die in Windows integrierte Firewall wird dann zwar nicht alle Ransomware-Bedrohungen aufhalten. Aber das können andere Produkte auch nicht.

Auf die Gesamtsituation bezogen ist die Windows-Firewall jedenfalls eine weitere hilfreiche Ebene beim Kampf gegen Ransomware. Außerdem ist sie bereits in vielen Umgebungen kostenlos enthalten und hat auch nur minimale Auswirkungen auf die Performance.