zephyr_p - stock.adobe.com
Backup-Daten durch gezielte Schritte vor Ransomware schützen
Wer seine Backup-Daten gegen Ransomware absichern möchte, sollte nichts dem Zufall überlassen und strategische Schritte einleiten. Ein Experte erklärt, was sinnvoll ist.
Gezielt Mitarbeiter angegriffen, darüber unbemerkt eingedrungen, die Domain Controller gehackt und damit auch die gesamte Backup-Infrastruktur lahmgelegt. So ist es jüngst mehreren Firmen in Deutschland ergangen. Wie lässt sich eine Backup-Struktur aufbauen, die dem widerstehen und selbst bei klugen Ransomware-Attacken Daten zuverlässig wiederherstellen kann? Und wie kann die Firma verhindern, dass wichtige Daten abgeflossen und sie trotz funktionierendem Backup erpressbar geworden sind?
IT-Experten predigen es als das Wundermittel gegen Ransomware Attacken schlechthin: Die Erstellung von Backups der Daten. So kann eine Firma per Knopfdruck alle Files wiederherstellen, wenn die Produktionssysteme per Ransomware verschlüsselt wurden und die Erpresser bereits ihre Kontaktdaten schickten.
Aber wenn wie in den jüngsten Fällen der betroffenen Firmen Praxis auf Theorie prallen, werden die Fehler bei der Architektur und Konzeption des Backups gnadenlos aufgedeckt. Denn es ist grundsätzlich etwas übersehen worden, wenn das Hacken des Domain-Controllers das gesamte Backup aushebeln kann.
Es gibt gute Best Practices für die Architektur und Konzeption dieser wichtigen Infrastruktur. Und es gibt eine Reihe grundlegender Funktionen, die eine Backup-Lösung zwingend liefern sollte, um im Ernstfall widerstandsfähig zu sein und das zu liefern, wofür der Kunde Geld ausgegeben hat: die Garantie, dass er seine gesicherten Daten zuverlässig und schnell wiederherstellen kann und damit nicht erpressbar ist.
Daten kennen, Risiken verstehen und Schutzlevel definieren
Es ist eine Binse, aber jede einzelne Datei, die nicht per Backup gesichert wird, lässt sich nicht wiederherstellen. Es ist für die Konzeption des Backups also entscheidend, alle wichtigen Datenquellen abzudecken, sei es On-Premises, im Edge oder in der Cloud.
Damit ein IT-Verantwortlicher seine Infrastruktur kennt und versteht, ist es sinnvoll, dieses Wissen an einer Stelle zusammenzuführen und in eine einheitliche Übersicht zu überführen. Die Industrie hat hierfür so genannte Configuration Management Data Bases (CMDB) entwickelt, die von verschiedenen Anbietern und als Open Source bereits verfügbar sind.
Nun kennt eine Firma alle potenziellen Datenquellen, den Inhalt der Daten aber noch nicht. Im zweiten Schritt ist es daher wichtig, die Meta-Daten all der Datenquellen im Unternehmen zu erfassen und auszuwerten, und zwar übergreifend vom lokalen Rechenzentrum bis in die Cloud.
Die Metadaten liefern wichtige Hinweise darauf, wer welche Daten erstellt und bearbeitet hat, beispielsweise Mitarbeiter aus der Personalabteilung oder der Geschäftsführung. Denn die Metadaten zeigen klar, wer die Daten erstellt, wer sie zuletzt bearbeitet hat. Anhand dieser Information kann man Rückschlüsse darauf ziehen, wieviel die Inhalte wert sind und welches Risiko die Firma einginge, wenn die Daten verloren gingen. Der Wert gibt klare Indikatoren vor, wieviel eine Firma mit gutem Gewissen in ihren Schutz investieren kann und sollte.
Das Unternehmen kann bei sensibel eingestuften Daten noch einen Schritt weitergehen und diese gezielt indizieren und klassifizieren, um tatsächlich in den Inhalt zu schauen und automatisiert wichtige Inhalte wie personenbezogene Daten zu finden. Auf Basis dieses tiefen Wissens lassen sich weitere Fragen beantworten. Liegen sensible Daten auf offenen Public Shares, sind alle wichtigen Daten verschlüsselt? Haben nur priviligierte Anwender Zugriff auf sensible Datenquellen intern oder sind dort einige User überpriviligiert und sollten Rechte verlieren?
Auf dieser Grundlage lassen sich Zugriffe auf Daten strenger kontrollieren und dadurch das Sicherheitsniveau insgesamt erhöhen, unabhängig von der Ransomware-Gefahr. Metadaten und klassifizierte Inhalte sind unter dem Strich essenziell für eine richtige Risikoanalyse.
Außerdem kann eine Firma im Ernstfall, sollten bei einer erfolgreichen Attacke tatsächlich klassifizierte Daten abgeflossen sein, viel schneller nachvollziehen, welche Inhalte in die Hände der Hacker geraten sind. Man wird anders reagieren, wenn es die Menüs einer Weihnachtsfeier sind, als wenn es eine Kopie einer Kundenliste mit Kontaktdaten ist.
Sich selbst richtig schützen
Damit Backups im Ernstfall bei Angriffen widerstandsfähig und zuverlässig bleiben, müssen die Backup-Systeme wie die Medien- und Masterserver selbst resilient (widerstandsfähig) sein und sicher miteinander kommunizieren. Dies gilt es bei der Architektur zu beachten.
Moderne Backup-Lösungen wie von Veritas klinken sich nahtlos in eine standardisierte Public-Key-Infrastruktur ein. Jeder Medien- und Masterserver und Backup-Client authentifiziert sich per digitalem Zertifikat beim Gegenüber und kann die Daten auf ihrem Weg stark verschlüsseln. Damit bleibt die Integrität der Kommunikation gewahrt, auch wenn eine Ransomware-Attacke die Produktionssysteme und wichtige Dienste wie den Domain Controller bereits korrumpiert hat.
Die Systeme selbst sollten nicht auf Windows-basierten Maschinen laufen, wenn es irgendwie möglich ist. Denn gängige Attacken setzen stark auf das Microsoft-Betriebssystem und mögliche Softwarefehler. Dringen Hacker darüber ein, können sie über die Hintertür jeden wichtigen Dienst und damit das Backup oder Domain-Controller ausschalten.
Veritas setzt auf einen abgehärteten Kernel von Red Hat und investiert in diese kommerzielle Plattform, damit Patches und wichtige Fixes von einem Hersteller auf Qualität hin geprüft und schnell geliefert werden. Für eine widerstandsfähige Infrastruktur wäre es kaum tragbar, wenn Hacker mögliche Vulnerabilities auf den Opensource-Communities recherchieren könnten.
Bei den eigenen Appliances gehen wir noch einen Schritt weiter und setzen auf ein containerbasierendes Betriebssystem. Der Anwender kann ein neues Image auf die Boxen aufspielen und testen. Sollte es irgendwelche Probleme geben, kann er per Knopfdruck auf die Vorversion zurückspringen und so sein Software-Rollout robust und vor allem berechenbar gestalten.
Damit übrigens der Domain-Controller im Netzwerk weiter funktioniert, sollte es zwingend möglich sein, ihn voll wegzusichern. So lässt er sich schnell aus dem Backup wiederherstellen.
Strenge Einlasskontrollen
Heutige Netze sind dezentral, die Daten liegen verstreut auf verschiedenen Datenquellen und Orten. Die Backup-Infrastruktur sollte alle diese Datenquellen sichern können, jede Workload, jedes Storage-System, jeden Cloud-Dienst. Das ist wichtig, denn jede Workload, die nicht abgedeckt ist, muss durch ein separates und meist isoliertes Punktprodukt berücksichtigt werden, das eigene Service-Level, Workflows und Recovery-Fähigkeiten mitbringt.
Das Punktprodukt fällt aus der sicheren Kommunikation heraus und es muss geprüft werden, ob es selbst resistent genug gegen Angriffe abgesichert ist. All diese Aufgaben muss jemand erledigen, was Zeit, Geld und Geduld erfordert. Eine zentrale Plattform für Datensicherheit wie die unsere kann derzeit Daten eine Mehrheit aller Workloads, aller Clouds und lokaler Systeme zentral wegsichern und zuverlässig wiederherstellen.
Damit die Backup-Infrastruktur robust und vertrauenswürdig arbeitet, ist es wichtig zu reglementieren, wer auf diese Dienste zugreifen und Daten wiederherstellen darf. Ein auf Rollen basierendes Zugriffsmanagement mit klar und flexibel definierbaren Rechten hat sich als Best Practice in der Industrie etabliert. Die Rechte und Rollen legen bis herunter auf Objektebene genau fest, welche Ressourcen der jeweilige Anwender überhaupt sieht.
Bei der Benutzeroberfläche von Netbackup beispielsweise muss sich der VMware-Admin zuerst per Zweifaktor-Authentifizierung anmelden, dann sieht er alle virtuellen Maschinen und ihre Daten, für die er berechtigt ist. Auf diese Weise lässt sich die Verantwortung für Workloads klug auf mehrere Verantwortliche verteilen.
Per intelligenter Richtlinie lässt sich auch durchsetzen, dass eine virtuelle Maschine, sobald sie generiert wird, automatisch eine Backup-Policy zugewiesen bekommt. So ist garantiert, dass niemals eine virtuelle Maschine und ihre Daten aus dem Backup rausfallen. Diese granulare Aufteilung und Richtlinien funktionieren übrigens genauso bei SQL oder Oracle und anderen Workloads, so dass im Falle einer Ransomware-Attacke die jeweiligen Experten für die Plattform die Daten wegsichern und garantiert unverzüglich wiederherstellen können. Das spart wertvolle Zeit und erhöht die Sicherheit des ganzheitlichen Schutzes kritischer Assets.
In Stein meißeln
Aber was passiert, wenn niemand den Ransomware-Befall rechtzeitig bemerkte und das Backup bereits die korrumpierten Daten wegsicherte und damit die fehlerfreien Backups überschrieb?
Als Gegenmittel hat sich die Best Practice etabliert, drei Kopien der Daten an zwei Orten anzulegen und eine dritte Kopie offline, also isoliert von den anderen beiden abzulegen. Sollte die Ransomware alle Daten und Backups in der Produktion infiziert haben, bleibt noch die wichtige dritte integere Kopie als letzter Rückzugsort – auch „Last Line Of Defense“ genannt.
Die Industrie nutzt inzwischen so genannte Immutable-Storage-Systeme als Ablageort für diese dritte Kopie. Allerdings sollte man genau darauf schauen, was hier geliefert wird und wo man den Medienbruch einbaut. Wir setzen beispielsweise darauf, die dritte Kopie auf eigene Immutable Storage Appliances oder über die standardisierte Schnittstelle OST Storage von Drittherstellern als Immutable Storage Backup-Ziel nutzbar zu machen. Die Daten werden also direkt vom Backup-Server auf diese WORM-fähigen Geräte weggeschrieben und lassen sich daher direkt von dort wiederherstellen.
Andere Anbieter setzen ausschließlich auf Immutable Storage Ressourcen von Cloud-Anbietern und schaffen so mehrere Zwischeninstanzen, die man bei der Wiederherstellung der Daten einbinden muss. Je länger der Transportweg der Daten ist, desto länger dauert die Wiederherstellung. Außerdem werden in dem Fall die Daten aus der Cloud wieder zurückgespielt, was per se länger dauert als eine lokale Wiederherstellung.
Angriffssymptome erkennen
Wie die jüngsten Fälle beweisen, hat sich das Risiko einer Vireninfektion im Netz erhöht. Eine kluges Lösungskonzept kann dabei helfen, Symptome eines erfolgreichen Angriffs direkt zu erkennen und zu melden.
Wenn Ransomware die Daten verschlüsselt, entsteht Last auf dem System und die Daten werden stark verfälscht. Das löst auf Backup-Seite zwei Effekte aus. Statt wie üblich zwei Stunden dauert das Backup dieses Ziels plötzlich sechs Stunden. Außerdem sinkt die Deduplikationsrate der Daten in den Keller. Deduplikation vergleicht auf Segmentebene die Daten im Backup mit den Produktionsdaten und sichert nur, was sich verändert hat. Es ist klar, dass stark verschlüsselte Files sich erheblich von der Klarform unterscheiden. Auch dies ist ein klarer Hinweis für IT-Teams, sich das Zielsystem unbedingt anzuschauen.
„Ein robustes und zentrales Backup-System auf Basis einer resilienten abgehärteten Infrastruktur kann also das Wundermittel sein, um Daten zuverlässig wiederherzustellen, damit jeder Erpressungsversuch ins Leere läuft.“
Patrick Englisch, Veritas
Wir gehen mit unserer Data Protection Platform noch einen Schritt weiter und können mit dem Tool Data Insight gezielt präventiv Schwachstellen erkennen, indem es Anwender und ihre Rechte und die aktuellen Datenquellen und Shares mapped. Dadurch werden Permission-Probleme und offene Shares schnell aufgedeckt.
Das Tool kann aber auch Anomalien aufspüren, weil beispielsweise ein Admin-Account in kürzester Zeit auf viele Files zugreift. Dies ist ebenfalls ein typisches Symptom für einen Ransomware-Befall. Diese Abweichungen werden automatisch mit einem Risk-Scoring versehen und können sogar an übergeordnete Monitoring-Systeme gemeldet werden. Die dortigen Teams können reagieren und sich die betroffenen Systeme genau ansehen und im Idealfall den laufenden Angriff erkennen und isolieren.
Ein robustes und zentrales Backup-System auf Basis einer resilienten abgehärteten Infrastruktur kann also das Wundermittel sein, um Daten zuverlässig wiederherzustellen, damit jeder Erpressungsversuch ins Leere läuft. Aber jede einzelne Punktlösung, die isoliert einen Workload absichert, schwächt am Ende das Gesamtsystem. Daher ist es entscheidend, dass das Backup-System alle Workloads, alle Clouds, alle Storage- und Datenquellen zentral unterstützt.
Über den Autor:
Patrick Englisch ist Pre-Sales Leader bei Veritas Technologies und und leitet alle Themen rund um den Technologievertrieb des Unternehmens im DACH-Bereich. Er verfügt über mehr als 20 Jahre IT-Erfahrung und mehr als 12 Jahre Expertise im Solution Engineering und Vertrieb. Im Laufe seiner Tätigkeit hat er für namhafte Firmen zahlreiche Projekte geplant und durchgeführt.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.