beebright - stock.adobe.com
Wie man sich mit Object Storage vor Ransomware schützen kann
Richtig eingesetzt und in Kombination mit WORM und Versionierung, bietet Object Storage eine der besten Möglichkeiten, um sich gegen Angriffe durch Ransomware zu schützen.
Wenn man es richtig angeht, lässt sich mit Object Storage die Gefahr eines erfolgreichen Angriffs durch Ransomware erheblich verringern. In manchen Fällen ist es dank dieser Technik sogar möglich, wieder an durch eine Ransomware verschlüsselte Daten zu kommen, ohne vorher dazu das geforderte Lösegeld zu zahlen.
Im Jahr 2017 war Ransomware eine der gefährlichsten Cyber-Security-Gefahren. Vor allem in Folge des WannaCry-Angriffs gelangten die Erpresser in die Schlagzeilen. Damals wurden mehr als 200.000 Computer in über 150 Ländern infiziert.
Mittlerweile hat sich fast überall herumgesprochen, dass ein aktuelles Backup zu den besten Verteidigungsmaßnahmen gegen Ransomware gehört. Datensicherungen sind ohne Frage ein wichtiger Aspekt beim Kampf gegen die Erpresser. Mit einem auf den ersten Blick ungewöhnlichen Ansatz lässt sich aber eine weitere Ebene zum Schutz vor Ransomware errichten: mit Object Storage. Diese Technik macht es für Ransomware schwierig, wenn nicht sogar unmöglich, Dateien zu infizieren und für die Entschlüsselung ein Lösegeld zu verlangen.
Verschlüsselung durch Ransomware
Um zu verstehen, wie Object Storage vor Ransomware schützen kann, muss man sich zunächst genauer mit dem Vorgehen der Erpresser beschäftigen. Es gibt zahllose Ransomware-Varianten, die aktiv im Einsatz sind. Das bedeutet, dass die Kriminellen keinen standardisierten Algorithmus nutzen, um die Dateien ihrer Opfer zu verschlüsseln. In den meisten Fällen greift eine Ransomware außerdem Daten auf der Dateiebene an und nicht auf Basis des gesamten Laufwerks. Das hat zwei wesentliche Gründe.
Zunächst einmal läuft die Malware mit denselben Rechten, über die auch der Nutzer verfügt, der zum Zeitpunkt des Angriffs gerade eingeloggt war. Ein privater Anwender hat in der Regel ausreichende Rechte, um Änderungen an seinem Computer vorzunehmen, die auch das gesamte Laufwerk betreffen. Moderne Ransomware greift aber häufig auch per Netzwerk eingebundene Laufwerke an. Es ist sehr unwahrscheinlich, dass ein normaler Nutzer in einem Unternehmen Zugriffsrechte auf Basis des gesamten Laufwerks auf diese Freigaben hat.
Es gibt noch einen zweiten Grund, warum Ransomware meist auf Dateiebene angreift. So würde es nur wenig Sinn für die Entwickler der Malware machen, wenn ihr Schadprogramm auch das Boot-Laufwerk eines Computers verschlüsselt. Für sie ist es wichtig, dass das Betriebssystem des Rechners noch gut genug funktioniert. Nur so können sie dem Opfer die Instruktionen anzeigen, die beschreiben, wie er das geforderte Lösegeld zahlen kann. Wenn dagegen die gesamte Festplatte verschlüsselt werden würde, könnte das Betriebssystem nicht mehr gestartet werden und das Opfer würde nicht mehr erfahren, wie es zahlen kann.
Ransomware ist immer noch eine große Gefahr
Verschiedene Security-Hersteller haben Ende 2017 und Anfang 2018 über einen starken Rückgang bei der Zahl der von ihnen registrierten Infektionen mit Ransomware berichtet. So meldete etwa der Security-Anbieter Barkly, dass Ransomware Ende 2017 nur noch für weniger als fünf Prozent aller Malware-Infektionen verantwortlich war. Was ist die Ursache für diesen Trend und welche Gefahr geht überhaupt noch von Ransomware aus?
Zwei Gründe werden für den Rückgang bei Ransomware-Infektionen verantwortlich gemacht. Der erste ist, dass nachdem WannaCry so viel Aufsehen in den Medien erregte, die Öffentlichkeit nun deutlich besser über die Gefahren durch Ransomware und über die Möglichkeiten zum Schutz vor ihr informiert ist. Das hat dazu geführt, dass sich mit Ransomware weniger Geld verdienen lässt, weil weniger Menschen Opfer der Erpresser werden.
Der zweite Grund für die geringere Verbreitung von Ransomware sind die starken Kursschwankungen bei Krypto-Währungen. Digitale Währungen wie Bitcoin, die bei Ransomware-Autoren lange Zeit sehr beliebt waren, um ihre Lösegelder einzunehmen, variieren von Tag zu Tag sehr stark in ihrem Wert. So war zum Beispiel ein Bitcoin am 16. Dezember 2017 mehr als 19.000 US-Dollar wert. Ende März 2018 waren es dagegen nur noch weniger als 7.000 US-Dollar. Das bedeutet, dass viele Ransomware-Varianten, die eine fixe Bitcoin-Summe forderten, entweder eine gigantische Summe haben wollten oder deutlich weniger als die Kriminellen eigentlich beabsichtigten. Das in Bitcoin geforderte Lösegeld war ja immer abhängig vom jeweiligen Tageskurs.
Wenn man sich mit dem rasanten Rückgang bei Ransomware beschäftigt, ist es nur berechtigt, sich zu fragen, wie groß die Bedrohung durch diese Art von Malware überhaupt noch ist. Niemand wird bezweifeln, dass Cybercrime-Trends kommen und gehen. So versuchten viele Kriminelle vor ungefähr fünfzehn Jahren mit Webseiten Geld zu verdienen, die eine endlose Zahl von lästigen Pop-ups einblendeten. Damit war es aber schnell vorbei, als die Browser-Hersteller reagierten und bessere Pop-up-Blocker in ihre Programme einbauten.
Dasselbe geschieht gerade mit Ransomware. Viele Cyberkriminelle wenden sich neuen Methoden wie Krypto-Mining zu, um an fremdes Geld zu kommen. Das soll aber nicht bedeuten, dass die Gefahr einer Infektion mit Ransomware nicht mehr besteht. Auch die Konsequenzen einer erfolgreichen Ransomware-Attacke sind dieselben geblieben oder in manchen Fällen sogar deutlich schlimmer geworden. Woran liegt das? Ransomware-Exemplare, die von ihren Entwicklern nicht mehr aktiv gepflegt werden, werden uns vermutlich noch die nächsten Jahre beschäftigen, da sie noch immer im Umlauf sind. Wenn ein Unternehmen mit einem dieser Schädlinge infiziert wird, ist es dann möglicherweise unmöglich, wieder an die Daten zu kommen. Das ist sogar dann der Fall, wenn das Opfer bereit wäre, die ursprünglich geforderte Summe zu bezahlen. Auch aus diesem Grund bleibt Ransomware eine ernst zu nehmende Gefahr, die IT-Profis nicht außer Acht lassen dürfen.
Wenn eine Ransomware einen Computer infiziert, scannt sie zunächst lokale, angeschlossene externe und per Netzwerk eingebundene Laufwerke auf Dateien, die sich für eine Verschlüsselung eignen. Die meisten Erpressertrojaner zielen auf Dokumente, Fotos, Videos und andere häufig genutzte Dateiformate ab, die zum Speichern wichtiger Informationen genutzt werden. Dabei kommt es auch immer wieder vor, dass vorhandene Schattenkopien gelöscht werden, um die Wiederherstellung der verschlüsselten Dateien zu einem früheren, unverschlüsselten Zustand zu verhindern.
Der große Auftritt von Object Storage
Genauso wie es viele Varianten bei Ransomware mit jeweils ihren eigenen Spezialitäten gibt, kann man auch von mehreren unterschiedlichen Arten von Object Storage reden. Jeder Anbieter von Object Storage hat seine eigene Art vorzugehen. Die angebotenen Funktionen und Fähigkeiten unterscheiden sich deswegen teilweise deutlich voneinander. Trotzdem gibt es ein paar gemeinsame Charakteristiken, über die die meisten Object-Storage-Produkte verfügen.
Object Storage nutzt kein traditionelles Dateisystem, wie wir es kennen. Das liegt daran, dass NTFS von Microsoft und das Resilient File System (RFS) nicht gerade besonders gut skalieren. Während die Nutzer einen Unterordner nach dem anderen erstellen, wird es immer schwieriger bestimmte Dateien im Dateisystem wiederzufinden. Dazu kommen verschiedene im Dateisystem verankerte Begrenzungen. Sie bestimmen etwa die maximale Größe eines Laufwerks, die maximale Dateigröße und die maximale Zahl der darauf abspeicherbaren Dateien.
Unter anderem deswegen wurde Object Storage mit dem Ziel einer maximal möglichen Skalierbarkeit entwickelt. Dabei wird eine flache Storage-Architektur verwendet, um die Grenzen traditioneller Dateisysteme zu überwinden. Weil alle Verzeichnisse auf die eine oder andere Art ihre Limits haben, werden alle in einem Object Storage gespeicherten Dateien mit einer individuellen Objektnummer versehen. Sie erleichtert es später, die Datei wiederzufinden. Diese Nummer funktioniert so ähnlich wie die Indexnummern in einer Datenbank.
Das hat dazu geführt, dass es für eine Ransomware fast unmöglich ist, zu verschlüsselnde Dateien in einem Object Storage überhaupt zu finden. Object Storage verwendet ja kein traditionelles Dateisystem. Eine Malware tut sich deswegen schwer, für eine Verschlüsselung geeignete Dateien zu identifizieren.
Es gibt zudem einen weiteren Grund dafür, warum Object Storage eine Weile lang immun gegen Ransomware war: Die Technik wurde nicht entwickelt, um darauf über ins Netzwerk eingebundene Laufwerke und SMB-Freigaben zuzugreifen, wie es bei Block-basierten Methoden der Fall ist. Der Zugriff auf Object Storage erfolgt in der Regel über die REST API. Eine Anwendung, die zum Beispiel auf eine bestimmte Datei zugreifen will, sendet dazu eine Get-Anfrage via HTTP an die mit dem Speicherort verknüpfte URL. Auf die gleiche Weise kann eine Put-Anfrage via HTTP gesendet werden, um eine Datei neu im Object Storage zu speichern. Bislang wurde noch keine Ransomware entwickelt, um auf Dateien mittels HTTP-Anfragen zuzugreifen, so dass sie beim Einsatz von Object Storage weitgehend machtlos sind.
Gefahr durch ins Netzwerk eingebundene Laufwerke
Wie bereits kurz bemerkt, ist Object Storage aber nicht mehr komplett immun gegen Ransomware. So ist es auch für einen Ransomware-Programmierer theoretisch möglich, einen Schädling zu entwickeln, der auf Object Storage zugreifen kann. Aber das ist gar nicht das Problem. Es gibt einen anderen einfachen Grund, warum Ransomware mittlerweile auch Einfluss auf Dateien in einem Object Storage nehmen kann. So stehen jetzt einfache Mittel zur Verfügung, um auf einen Object Storage über ins Netzwerk eingebundene Laufwerke zuzugreifen.
Eines der bekanntesten Tools, um einen Object Storage mit einer Netzwerkfreigabe zu verknüpfen, ist ExpanDrive. Mit diesem Werkzeug ist es möglich, zahlreiche Provider von Cloud Storage wie Amazon S3, Google Drive, Microsoft SharePoint und Dropbox und die von ihnen angebotenen Dienste direkt ins Netzwerk einzubinden. ExpanDrive erlaubt es einem Anwender, mit dem Datei-Explorer von Windows auf ein gemapptes Laufwerk wie auf jede andere Netzwerkfreigabe zuzugreifen. Da Ransomware auch Netzwerkfreigaben im Visier hat, ist jedes so angebundene Object Storage in Gefahr. Wenn solche Freigaben vorhanden sind, genügt es nicht mehr, Daten in einen Object Storage zu verschieben, um sie vor den Erpressern zu schützen.
Das ändert aber nichts daran, dass Object Storage vermutlich immer noch die derzeit beste verfügbare Möglichkeit ist, um wichtige Daten in Unternehmen zu schützen. Die unterschiedlichen Storage-Anbieter setzen dabei auf ihre individuellen Varianten von Object Storage, die sich teilweise deutlich voneinander unterscheiden. Manche Hersteller wie Dell EMC, Hewlett Packard Enterprise und Hitachi Vantara konzentrieren sich mehr auf die Bereiche Datensicherheit und -integrität. Vergleichen Sie die Funktionen deswegen genau, bevor Sie sich für eine bestimmte Lösung zum Object Storage entscheiden.
Ein Beispiel für eine besondere nützliche Funktion ist Versionierung. Sie dient dazu, vorherige Versionen einer Datei aufzubewahren. Entweder alle Versionen oder nur die in der Datenspeicherrichtlinie eines Unternehmens vorgegebene Zahl. Auf vielen Windows-Clients gibt es bereits seit Jahren die Volumen-Schattenkopien, die diese Aufgabe ebenfalls übernehmen. Sie sind ein Dorn im Auge vieler Ransomware-Entwickler, die deswegen in der Regel alles unternehmen, um die vorherigen Versionen der von ihnen verschlüsselten Dateien zu löschen.
Beim Object Storage sieht das etwas anders aus. Das ist einer der Gründe dafür, warum die Technik so effektiv beim Schutz vor Ransomware sein kann, insbesondere wenn die Versionierung mit WORM-Fähigkeiten (Write once, read many) verknüpft wird. Wenn WORM aktiv ist, gibt es auf ältere Dateien nur noch Leserechte. Sie können also nicht mehr verändert werden.
Was passiert also, wenn eine Ransomware ein Object Storage Repository angreift, das Versionierung und zugleich WORM nutzt? Die eigentliche Verschlüsselung der Dateien würde nicht gestoppt werden. Der Vorgang wird aber automatisch als Veränderung der betroffenen Dateien eingestuft, so dass durch die Versionierung neue Kopien erstellt werden. Auf diese unverschlüsselten Kopien kann dann nur noch mit Leserechten zugegriffen werden. Das heißt, dass die Ransomware nicht mehr darauf zugreifen und sie ebenfalls verschlüsseln oder sie löschen kann. Mit einem vergleichsweise simplen Wiederherstellen der vorherigen Versionen der betroffenen Dateien kann der Angriff daher leicht wirkungslos gemacht werden.
Object Storage ist aber kein magisches Allheilmittel, dass jegliche potentiellen Schäden durch Ransomware verhindert. Wenn die Technik aber richtig implementiert und genutzt wird, reduziert sie die Chance bei weitem, dass wertvolle Dateien durch eine Ransomware-Attacke erfolgreich und unwiederbringlich verschlüsselt werden. Außerdem kann sie dafür sorgen, dass ein Unternehmen wieder an seine Daten kommt, ohne dafür erst das geforderte Lösegeld zahlen zu müssen.
Folgen Sie SearchStorage.de auch auf Twitter, Google+, Xing und Facebook!