Exclusiv im Confare Factsheet powered by Cohesity: OUT NOW im #Confare Blog mit Pascal Brunner, Field Technical Director EMEA, Cohesity: Wie schützen Sie Ihre Backups vor Ransomware?
Kein Factsheet verpassen? Einfach das Confare Factsheet Abo bestellen
Hier geht’s zum Factsheet: FREE DOWNLOAD
Mehr als 500 CIOs und CISOs aus Top-Unternehmen treffen Sie auf dem Confare #CIOSUMMIT, dem größten und mit dem CIOAWARD bedeutendsten IT-Management Treffpunkt in Österreich.
In den letzten Jahren haben Ransomware-Attacken stark zugenommen. Insbesondere Branchen mit großen Datenmengen, aber auch kritische Infrastrukturen werden betroffen sein. Dabei stehen nicht nur gespeicherte, sondern auch gesicherte und archivierte Daten im Fokus der Angreifer. Doch mit einem geeigneten Datenmanagement-System sind die sensiblen Informationen geschützt.
„Ransomware bleibt die größte Bedrohung für Wirtschaftsunternehmen“, schreibt das Bundeskriminalamt (BKA) in seinem aktuellen Bundeslagebild Cybercrime. Im Zuge der COVID-19-Pandemie stiegen die RansomwareAngriffe bereits deutlich an. Nach einhelliger Expertenmeinung werden sie 2021 weiter zunehmen, nicht nur in Bezug auf Umfang, sondern auch Ausgereiftheit. Neben Branchen mit vielen sensiblen Daten wie Gesundheits- und Finanzwesen, Behörden und Einzelhandel sind vor allem kritische Infrastrukturen wie Verkehrswesen, Versorgung oder Lieferketten betroffen.
Einen besseren Schutz vor solchen Lösegeld-Erpressungen haben Unternehmen, die Angriffe aktiv erkennen und sich innerhalb weniger Minuten statt mehreren Tagen davon erholen können. Daher sollten sie DatenmanagementLösungen nutzen, die nicht nur effizient und performant, sondern vor allem auch sicher sind und Daten in kurzer Zeit wiederherstellen. Nur dann verbessern sie ihre Sicherheitslage.
Auch Backups betroffen
Viele Unternehmen denken dabei nur an die aktuell gespeicherten Daten, die bislang vorwiegendes Ziel von RansomwareAttacken waren. Inzwischen werden aber auch gesicherte und archivierte Daten angegriffen, damit Unternehmen nicht mehr einfach ihre Sicherungskopien verwenden können. Fortgeschrittene Malware verschlüsselt oder löscht die Backups und Wiederherstellungspunkte, bevor sie die Produktionsumgebung angreift. Dazu nutzen Cyberkriminelle häufig Schwachstellen bei veralteten Backup-Lösungen, die vor dem Aufkommen von Ransomware entwickelt wurden. Dies gilt insbesondere für NAS (Network Attached Storage)-Systeme. Daher sind auch die Datensicherungen zu schützen.
Eine effektive Ransomware Protection für Backups ist etwa mit Hilfe einer DataLock- oder WORM-Funktion (Write Once Read Many) möglich. Damit lässt sich eine Sicherungskopie weder löschen noch überschreiben oder anderweitig verändern, etwa durch unerwünschte Verschlüsselung. Nicht einmal interne Systemadministratoren besitzen die dafür notwendigen Rechte. So sind die Daten sowohl vor externen als auch internen Angriffen geschützt. Entsprechend befinden sich die Backups hier in einem sicheren und abgeschotteten Bereich – wie bei einer klassischen Offline-Kopie auf Band. Sie werden dann erst nach Ablauf der Aufbewahrungspflicht automatisch gelöscht.
Über entsprechende Funktionen werden die Datensicherungen als unveränderliche Snapshots erstellt. Dadurch können sie nicht von einem externen System gemountet werden. Zwar kann Ransomware grundsätzlich Dateien im gemounteten Backup löschen, aber dies gilt nicht für unveränderliche Snapshots. Darauf hat sie keinen Zugriff.
Weitere Security-Maßnahmen
Die Erstellung geschützter Backups bildet aber nur einen wichtigen Schritt zur Abwehr von Ransomware. So sind die Daten im Ruhezustand mindestens mit einem 256-bit Schlüssel wie dem AES-256 CBC Standard, optional mit FIPSZertifizierung, zu verschlüsseln. Auch während der Übertragung ist darauf zu achten, dass die Daten mit TLS- und SSLVerschlüsselung geschützt sind. Zudem sollten Unternehmen ihre Daten in kurzen Intervallen sichern, zum Beispiel alle fünf Minuten. Nur dann können sie im Falle eines Angriffs aktuelle Informationen wiederherstellen.
Eine passive Abwehr ist gut, doch eine aktive Erkennung von Attacken noch besser. Vor allem im Hinblick auf mögliche unbemerkte Infizierungen durch Malware können moderne Backup-Systeme Angriffsversuche aufdecken, indem sie die Veränderungswerte der gespeicherten Daten innerhalb der Produktionsumgebung analysieren. Sie ermitteln größere Änderungen, die auf anomale Nutzung und damit einen möglichen Angriff hinweisen.
Diese Auffälligkeiten erkennen sie mit Hilfe eines Abgleichs größerer Datenänderungen mit den normalen Mustern. Hierfür untersuchen sie etwa die tägliche Änderungsrate bei logischen und gespeicherten Daten nach der Deduplizierung. Zusätzlich identifizieren sie Muster bei historischen Daten, die Häufigkeit von Dateizugriffen sowie die Anzahl von Dateien, die von einem bestimmten Nutzer oder einer Anwendung verändert, hinzugefügt oder gelöscht wird. So lassen sich mögliche Ransomware-Angriffe anhand auffälliger Anomalien feststellen. Ein modernes System kann sogar proaktiv Bedrohungen verhindern, indem sie VMs auf nicht gepatchte Schwachstellen scannt.
Schnelle Recovery
Im Falle eines Angriffs oder anderen Vorfällen sollte eine aktuelle Backup-Lösung auch eine unverzügliche Wiederherstellung der Daten ermöglichen. Dazu muss die Plattform eine hohe Skalierbarkeit aufweisen. Dies gilt nicht nur für den eigentlichen Recovery-Prozess, sondern schon für den Sicherungsvorgang. Nur eine hochskalierbare Lösung kann im laufenden Betrieb in kurzen Zeitabständen eine hohe Anzahl an Snapshots und Klonen erstellen, ohne dass Nutzer oder Anwendungen Performance-Beeinträchtigungen spüren. Damit der benötigte Speicherplatz dann nicht explodiert, sind effiziente Prozesse für inkrementelle Backups, Komprimierung und Deduplizierung nötig.
Aus Sicherheitsgründen sollten die Snapshots dann nicht von ihrem Standort aus verschoben werden, da dies die mögliche Angriffsfläche erhöht. Das Verteilen der Sicherungskopien über mehrere Standorte hingegen ist als gängige Architektur zu empfehlen. Ein fester Speicherort beschleunigt außerdem die Wiederherstellung, da das System nicht lange nach dem aktuellen Ort suchen muss, sondern die Daten gleich am ursprünglichen Platz findet.
Auch für die Nutzer sollte eine schnelle Suchfunktion zur Verfügung stehen. So gestaltet eine Google-ähnliche, globale Suche die Wiederherstellung von einzelnen Daten, etwa nach unbeabsichtigter Löschung, deutlich effektiver und gezielter als die Suche nach alten Backups in klassischen File-Systemen. Mit einer Indexierungsfunktion ist dies neben der Suche nach Dokumentennamen sogar auf zwei verschiedenen Ebenen möglich.
Gleichzeitig können IT-Administratoren bei modernen Lösungen gezielt nach infizierten oder gefährdeten Dateien suchen und diese vom Backup- und Recovery-Mechanismus ausschließen. Damit verhindern sie, dass etwa versehentlich eine infizierte Kopie wiederhergestellt wird. Zusätzlich lassen sich die Prozesse für Backup und Recovery detailliert steuern und die Suchergebnisse mit einem sauberen Snapshot verknüpfen. Dies erhöht nicht nur die Sicherheit, sondern verkürzt auch die Gesamtzeit für die Wiederherstellung, da Unternehmen nicht mehr mit infizierten Backups kämpfen müssen.
Fazit Moderne
Backup-Lösungen können Daten nicht nur effizient und hochskalierbar sichern, sondern auch vor Angriffen schützen und sogar selbstständig Anomalien erkennen. Somit haben Cyberkriminelle und Ransomware-Angriffe deutlich geringere Chancen. Eine umfassende Plattform für das Datenmanagement inklusive Backup, Wiederherstellung und Archivierung reduziert dabei Kosten und Aufwand. Zudem bietet sie einen einheitlichen Speicherpool für fundierte Geschäftsentscheidungen und erhöht die Transparenz für bessere Compliance sowie die Sicherheit durch Zugriffsschutz und Verschlüsselung