zephyr_p - stock.adobe.com
Ransomware wird zum Lieblingsthema der Storage-Branche
Storage-Anbieter behaupten immer häufiger, dass Datensicherungstechnologien der einzige wirksame Schutz vor Ransomware sind und springen so auf den Zug der Ransomware-Hysterie.
Heutzutage kann man an keiner Technologiekonferenz teilnehmen, bei der nicht mindestens eine Präsentation über Ransomware abgehalten wird – und das aus gutem Grund.
Der jährliche Bericht „State of Malware“ von Malwarebytes aus dem Jahr 2017 ergab, dass das Auffinden von Ransomware um 90 Prozent zugenommen hatte. Spektakuläre Ransomware-Angriffe, darunter ein viel beachteter Fall, an dem die Stadt Atlanta Anfang dieses Jahres beteiligt war oder WannaCry, haben das Front-Office extrem sensibilisiert. Soweit sensibilisiert, dass Unternehmen bereit sind, fast jede Strategie zu finanzieren, die die IT-Abteilung entwickeln kann, um Ransomware-Angriffe zum Schutz von Unternehmensdaten zu verhindern.
Die Vertriebsabteilungen der IT-Hersteller und gerade die der Storage-Anbieter lieben das alles. Sucht man in Google nach „Ransomware-Schutz“, findet man zahlreiche Seiten gesponserter Beiträge von Anbietern, die die neuesten Abwehrmittel gegen Ransomware-Vektoren und die neuesten Scanner zur Erkennung von Infektionen anbieten. Die Abwehr von Ransomware-Angriffen ist weit über eine Milliarde Dollar an Technologieumsätzen hinausgewachsen.
Der vorherrschende Fatalismus
Gleichzeitig scheint sich ein zunehmender Fatalismus in Bezug auf Ransomware durchgesetzt zu haben, das Gefühl, dass man unabhängig von vorbeugenden Maßnahmen davon erwischt wird. Ein ehemaliger Bundespolizist, der vor einigen Monaten in einer Konferenz im Silicon Valley sprach, teilte diese Ansicht. Er wies das Publikum darauf hin, dass die Abwehr von Ransomware-Angriffen eine Priorität sein sollte. Man solle alle möglichen Maßnahmen ergreifen, aber um auf der sicheren Seite zu sein, auch ein Kryptowährungskonto auf einem eigenständigen System einrichten, um das Lösegeld für den Fall zu zahlen, dass das primäre System und Daten infiziert werden.
Eine solche Argumentation ist für europäische Unternehmen undenkbar, auch wenn es Fälle von Lösegeldzahlungen gegeben hat. Firmen können es einfach nicht riskieren, erpressbar zu sein und im schlimmsten Falle trotz Zahlung die Daten nicht zurück zu erhalten. Der Beamte argumentierte, dass man seine Sorgfaltspflicht nachweisen müsste, um ein weiteres Ergebnis eines Ransomware-Angriffs zu verhindern: Klagen von Datenbesitzern wegen schlechter Datenverwaltung oder Datenverlust eines Unternehmens.
Ein gewisser Grad an Fatalismus kann hin und wieder hilfreich sein. Die Vorstellung, dass alle Ransomware-Infektionen gestoppt werden können, steht nicht im Einklang mit der Realität. Die meisten Angriffe werden als Nutzlast einer anderen Hacking-Technik wie Phishing ausgeführt. Diese irreführenden E-Mails, die offenbar von einer vertrauenswürdigen Quelle stammen, bieten in der Regel einen anklickbaren Link, der den ahnungslosen Benutzer zu einem Ziel führt, von dem aus eine Ransomware-Payload heruntergeladen wird. Die Methoden variieren, aber die meisten Experten behaupten, dass die Anwender letztlich selbst schuld daran sind, Türen zu den bestgeschützten Systemen ihrer Organisation für Ransomware und andere Malware zu öffnen.
Eine Anwenderschulung allein löst das Problem nicht. Wiederholte Warnungen stumpfen unser eher ab, und wenn die Wachsamkeit nachlässt, kommt eben Malware durch. Es ist nur eine Frage der Zeit, denn das Volumen der Cyberangriffe ist gestiegen, wie 50 Prozent der 2.300 befragten Cybersicherheitsexperten im vierten Jahresbericht „State of Cybersecurity“ der ISACA zeigen.
Darüber hinaus ist die Scan-Software zur Erkennung von Malware-Signaturen grundsätzlich limitiert. Wie Antivirensoftware erkennen Malware-Scanner nur die Signaturen in ihrer Datenbank oder Signaturbibliothek. Ransomware-Akteure haben gezeigt, dass sie geschickt darin sind, ihre Malware zu modifizieren, um mit jeder Welle unterschiedliche Signaturen zu erzeugen. Die aktuellen Scanner sind immer nur so gut wie die letzte Generation von Ransomware. Zero-Day-Attacken werden oft nicht erkannt, weil sie eben nicht auf der Bad-Boy-Liste des Scanners zu finden sind.
Was ist zu tun?
Wir könnten Bitcoin-Konten einrichten, um uns gegen Ransomware finanziell abzusichern beziehungsweise ein Polster zu bauen. Wie bereits erwähnt, ist dies der denkbar schlechteste Ratschlag. So albern es auch klingen mag, so genannte Experten haben Atlanta kritisiert, weil hier versäumt wurde, die 51.000 Dollar zu zahlen, die der Ransomware-Autor verlangte, anstatt mehr als 11,5 Millionen Dollar an Ausgaben für die Wiederherstellung nach dem Angriff zu sammeln. Natürlich ist dies eine fadenscheinige Behauptung, denn die Cyberkriminellen hatten die IP-Adresse, an die das Lösegeld bezahlt werden sollte, deaktiviert, bevor die Stadt eine Zahlung machen konnte. Doch so abschreckend der Defätismus auch sein mag, einige hätten die Zahlung der Unannehmlichkeiten vorgezogen, anstatt mehr als ein Drittel der mehr als 400 notwendigen Programme deaktiviert zu haben.
Alternativ könnte auch die Speichertechnologie die Antwort sein. Das sagen zumindest die vielen Storage-Anbieter, die von ihrer Technologie behaupten, dass sie Ransomware-sichere Datensicherung liefern können. Nicht alle dieser Marketingaussagen treffen zu.
Ein Anbieter sagte sogar, dass sein Ansatz zur Abwehr von Ransomware-Angriffen darin besteht, Daten zu verschlüsseln, damit sie nicht gerettet werden können, wenn sie von Kriminellen angegriffen werden. Dies ist wenig sinnvoll, da Ransomware in der Regel durch Verschlüsselung von Daten diese nutzlos macht, so dass Endbenutzer und ihre Anwendungen sie erst nutzen können, wenn ein Lösegeld für einen Entschlüsselungsschlüssel bezahlt wird. Die Verschlüsselung von Daten kann verhindern, dass Kriminelle die Daten öffentlich preisgeben oder anderweitig missbrauchen, aber es hindert sie nicht daran, diese Daten erneut zu verschlüsseln und den Zugang zu ihnen zu verhindern.
Ein oder zwei andere Anbieter haben sich für die Verwendung von CDP-Methoden (Continuous Data Protection) wie Snapshots entschieden, um zu verhindern, dass Ransomware-Angriffe dem Unternehmen schaden. Der Snapshot und die Speicherung geänderter Daten in einer separaten Infrastruktur – zum Beispiel einem Snapshot-Volume – können helfen, die Ransomware-Bedrohung zu verringern, indem sie eine Kopie der Daten aus dem Angriffsfeld nehmen, aber es ist keine vollständige Lösung. CDP ist nicht einfach zu implementieren. Sie müssen Kontrollpunkte in dem Prozess einrichten, an die Sie zurückfallen können, und einen gültigen Daten- oder Anwendungszustand erhalten. Und natürlich gehen einige Daten während der Zeit verloren, die man für das Rückschreibens der Daten bis zum Punkt vor dem Ransomware-Angriff benötigt.
Anbieter von Objektspeichern werden nicht müde zu erwähnen, das ihre Methodik zur Speicherung von Daten eine Versionierung bietet, die eine natürliche Absicherung gegen Ransomware darstellt. Versionen von Objekten werden für einen bestimmten Zeitraum gespeichert, so dass man sie, wenn Ransomware die neueste Version angreift, durch eine frühere Version ersetzen kann. Auch diese Art der Ransomware-Abwehr erfordert eine umständliche Architektur, um sicherzustellen, dass nicht alle Versionen von demselben Angriff betroffen sind.
Vor kurzem bot Jon Toor, Chief Marketing Officer bei Cloudian, eine ergänzende Antwort zur Verhinderung von Ransomware-Angriffen. Warum nicht Objektversionierung in Verbindung mit WORM-Technologie? WORM ist nicht nur auf Speichermedien verfügbar, sondern auch als eine Funktion von Cloudians Objektspeichersystem. Wenn versionierte Daten in eine Speicherinfrastruktur geschrieben werden, die WORM-Speichertechnologie verwendet, kann Ransomware die Daten nicht entführen. Es ist zumindest eine Überlegung wert.
Folgen Sie SearchStorage.de auch auf Twitter, Google+, Xing und Facebook!