zephyr_p - stock.adobe.com
Ransomware-Schutz: Diese 5 Backup-Tipps sollten Sie kennen
Gegen Ransomware hilft es, Daten in guter Qualität zu haben, die Sie aus einem Backup wiederherstellen können. Wir beleuchten die wichtigsten Dinge, die Sie hier beachten sollten.
Ransomware ist die derzeit am schnellsten wachsende Bedrohung durch Internetkriminalität. Laut dem Sicherheitsanbieter Trustwave übertrafen Ransomware-Angriffe bereits im Jahr 2019 den Diebstahl von Zahlungskartendaten.
Inzwischen hat eine Studie von Sophos herausgefunden, dass die Hälfte der Organisationen 2019 von Ransomware angegriffen wurde und in fast 75 Prozent der Fälle konnten die Angreifer Daten verschlüsseln. Die meisten Organisationen konnten ihre Daten zwar wiederherstellen; dabei nutzen doppelt so viele Firmen mittels eines Backups als durch die Zahlung des Lösegelds. Die Kosten für sie waren weniger als halb so hoch wie für diejenigen, die gezahlt haben.
Der Schlüssel zur Vermeidung von Ransomware-Forderungen liegt also darin, robuste und gut getestete Backups zu haben. Das bedeutet, dass gute, saubere Backups regelmäßig erstellt werden und dass diese gründlich und umfassend sind, möglicherweise auch ein Air Gap integriert wird. Es bedeutet auch, dass Backup-Richtlinien und -Praktiken regelmäßig überprüft und getestet werden sollten.
In diesem Artikel gehen wir auf die fünf wichtigsten Punkte ein, die bei der Datensicherung beachtet werden sollten, damit ein Unternehmen optimal vor Ransomware geschützt ist.
In den letzten Jahren sind Ransomware-Angriffe gezielter und potenziell schädlicher geworden. Cybersicherheitsunternehmen sehen zwar etwas weniger Angriffe, aber laut Sophos ist eine Verlagerung von massenhafter „Spray-and-Pray'“-Desktop-Ransomware zu gezielten Angriffen auf Unternehmen zu beobachten.
Unabhängig vom Ziel besteht Ransomware aus drei Hauptbestandteilen: dem ersten Angriff oder der Übermittlung der Malware-Payload, der Verschlüsselung der Daten des Opfers und der Kommunikation mit dem Angreifer.
Malware nutzt verschiedene Wege, um Organisationen anzugreifen, und Social Engineering spielt eine wichtige Rolle: Etwa ein Drittel der Ransomware-Angriffe stammen von Benutzern, die bösartige Dateien oder E-Mails mit schädlichen Links herunterladen. Aber Ransomware verbreitet sich auch über direkte Angriffe auf Server, Malware-Anhänge an E-Mails und über Cloud-Ressourcen.
Außerdem wird laut dem National Centre for Cyber Security immer mehr Ransomware über ungeschützte RDP-Dienste (Remote Desktop Protocol) oder ungepatchte Remote-Access-Geräte verbreitet.
Sicherheits-Tools wie E-Mail-Filter, Malware-Scans, Firewalls und Netzwerküberwachung können helfen, ebenso wie das Patchen und die Einschränkung der Zugriffsrechte von Netzwerkbenutzern.
Der effektivste Schutz ist jedoch ein robustes Backup-System zum Schutz der Daten.
Backup als Ransomware-Schutz: Die fünf wichtigsten Schritte
1. Überprüfen und aktualisieren Sie Backup-Richtlinien
Die beste Verteidigung gegen Malware ist die Möglichkeit, Daten aus sauberen, unkompromittierten Backups wiederherstellen zu können. Selbst wenn ein Unternehmen ein Lösegeld zahlt, gibt es keine Garantie, dass die Angreifer den Entschlüsselungsschlüssel herausgeben. Die Wiederherstellung aus Backups ist zuverlässiger, billiger und erfordert keine Geldübergabe an Kriminelle.
Allerdings funktionieren Backups nur, wenn sie robust und umfassend sind. CIOs sollten eine gründliche Prüfung aller Unternehmensdatenstandorte anordnen. Es ist nur allzu leicht, kritische Daten in einem Backup-Plan zu übersehen, egal ob sie auf lokalen Systemen oder in der Cloud gespeichert sind. Dies ist jetzt besonders wichtig, angesichts der Entwicklung hin zur Remote-Arbeit während der Covid-19-Pandemie.
Wichtige Fragen hierzu sind unter anderem:
- Werden die Systeme der Endbenutzer gesichert?
- Deckt der Backup-Plan temporäre oder verbraucherorientierte Cloud-Datenspeicher ab? Cloud-Speicher sollten gegen physische Ausfälle resilient sein, aber das schützt nicht vor Ransomware.
Die beste Praxis für Backups bleibt die 3-2-1-Regel: Erstellen Sie drei Kopien der Daten, speichern Sie sie auf zwei verschiedenen Medien und bewahren Sie eine Kopie außerhalb des Unternehmens auf. Um sich vor Ransomware zu schützen, sollte das Offsite-Backup vom Unternehmensnetzwerk isoliert werden.
2. Air Gap für Geschäftsdaten
Cloud-Speicher ist eine attraktive Technologie zur Speicherung langfristiger Datensicherungen und hat in einigen Bereichen physische Sicherungsmedien wie optische Datenträger, tragbare Festplatten und Bänder ersetzt.
Cloud-Speicher schützt Daten vor physischen Störungen wie Hardware- oder Stromausfällen sowie Feuer und Überschwemmungen, aber er schützt nicht automatisch vor Ransomware. Cloud-Speicher sind an zwei Fronten verwundbar: durch Verbindungen zu Kundennetzwerken und weil es sich um gemeinsam genutzte Infrastruktur handelt.
Cloud-Anbieter selbst sind auch durch Ransomware-Angriffe gefährdet. Angreifer haben es jetzt gezielt auf Cloud-Dienste abgesehen, da sie kein Passwort mehr benötigen, um Zugriff auf Cloud-Daten zu erhalten. Sie stehlen einfach die Anmeldedaten und löschen oder verschlüsseln die Cloud-Backups eines Unternehmens mit Hilfe eines Man-in-the-Middle-Angriffs.
Die Lösung für CISOs besteht darin, Cloud-Backups mit Bändern oder anderen mechanischen Backup-Medien zu ergänzen. Die Cloud kann die Offsite-Kopie sein, aber einen weiteren Datensatz auf Band zu speichern und diese Bänder strikt offline zu halten, ist der zuverlässigste Weg, um Daten gegen eine Ransomware-Attacke abzusichern.
3. Regelmäßige Backups erstellen und Aufbewahrungsrichtlinien überprüfen
Es sollte selbstverständlich sein, dass Unternehmen regelmäßig Backups ihrer Daten erstellen.
Auch hier sollten CIOs die Richtlinien für die Häufigkeit der Backups überprüfen, insbesondere wie oft die Daten an externen Standorten (einschließlich der Cloud) und auf mechanisch getrennten Medien wie Bändern gesichert werden. Es könnte sein, dass häufigere Backups erforderlich sind.
IT-Teams sollten auch überprüfen, wie lange sie ihre Backups aufbewahren, insbesondere ihre Air-Gap-Medien. Ransomware nutzt oft Zeitverzögerungen, um eine Entdeckung zu vermeiden, oder Angriffsschleifen, um scheinbar saubere Systeme anzugreifen.
Unternehmen müssen möglicherweise durch mehrere Generationen von Backups zurückgehen, um saubere Kopien zu finden, was eine längere Aufbewahrung und möglicherweise mehrere Kopien erfordert. Die Aufbewahrung separater Backups für kritische Geschäftssysteme sollte die Wiederherstellung ebenfalls erleichtern.
4. Sicherstellen, dass Backups sauber und stabil sind
Die Sicherstellung, dass Backups frei von Malware sind, ist schwierig, aber Unternehmen sollten so viel wie möglich tun, um sicherzustellen, dass ihre Backups nicht infiziert sind.
Neben strikten Sicherheitsrichtlinien – wie dem schnellstmöglichen Abschalten von Medien – sind aktuelle Malware-Erkennungs-Tools und System-Patches unerlässlich.
Für zusätzlichen Schutz sollten Unternehmen WORM-Medien (Write Once Read Many) in Betracht ziehen, beispielsweise optische Festplatten oder als WORM konfigurierte Bänder. Einige Anbieter vermarkten inzwischen Cloud-Speicher im WORM-Format.
Datenzugriffskontrollen sind eine weitere Absicherung. Die Verwendung von Tools wie Windows 10 Controlled Folder Access und die Beschränkung des Benutzerzugriffs auf kritische Datenspeicher können die Verbreitung von Ransomware von vornherein verhindern und die Sicherheit von Backups erhöhen.
5. Testen und Planen
Alle Sicherungs- und Wiederherstellungspläne müssen getestet werden. Dies ist entscheidend für die Berechnung der Wiederherstellungszeiten – und die Feststellung, ob Daten überhaupt wiederhergestellt werden können.
Die Verwendung von externen Air-Gap-Medien ist die beste Methode, aber wie lange wird es dauern, die Systeme wiederherzustellen? Welche Systeme haben bei der Wiederherstellung Priorität? Und werden Unternehmen für die Wiederherstellung getrennte, saubere Netzwerke benötigen?
CIOs sollten alle Phasen des Wiederherstellungsplans testen, idealerweise unter Verwendung von Duplikatmedien. Das schlimmste Szenario wäre, dass eine Wiederherstellungsübung bestehende, saubere Backups verunreinigt.
Wichtige Schritte zum Schutz vor Ransomware
- Bewahren Sie mindestens drei Kopien der Daten Ihres Unternehmens auf.
- Bewahren Sie zwei Sicherungskopien auf unterschiedlichen Geräten oder Speichermedien auf.
- Bewahren Sie mindestens eine Sicherungskopie außerhalb des Standorts und offline oder anderweitig nicht zugänglich auf.
- Machen Sie die Grundlagen richtig: Sichern Sie Ihre Daten regelmäßig.
- Installieren Sie intelligente, integrierte Cybersicherheitssoftware.
- Vermeiden Sie die Nutzung anfälliger Remote-Desktop-Zugriffsdienste.
- Patchen Sie häufig.
- Klären Sie Ihre Mitarbeiter darüber auf, worauf sie in Bezug auf Phishing und verdächtige E-Mails achten müssen.
(Quelle: Geoff Mefford, Cyber Security Consultant bei AT&T Cybersecurity und John Shier, Senior Security Adviser bei Sophos.)