4zevar - Adobe
Wie der Backup-Prozess den Ransomware-Schutz beeinflusst
Ein Daten-Backup ist ein notwendiger, aber nicht hinreichender Schutz gegen Ransomware. Vielmehr kommt es auf die Art und Weise an, wie diese Sicherungen durchgeführt werden.
Ransomware ist ein Begriff, bei dessen Erwähnung sich CIOs und CISOs die Nackenhaare reflexmäßig aufstellen. Diese instinktiv empfundene Sorge kommt nicht von ungefähr, denn bei Ransomware handelt es sich um eine der beliebtesten Angriffsmethoden von Cyberkriminellen. Die Häufigkeit von Ransomware-Angriffen nimmt ebenso zu wie die Kosten für Unternehmen, die Auswirkungen eines Angriffs zu managen oder im Vorfeld zu minimieren und zu eliminieren.
So gaben 79 Prozent der Befragten IT- und Cybersicherheitsexperten in einer Befragung des Marktforschungsinstituts ESG an, dass ihr Unternehmen im Verlauf des letzten Jahres zum Opfer einer Ransomware-Attacke geworden ist. Die Studie zeigt auf, dass jedes sechste Unternehmen mindestens einen dieser Angriffe pro Woche beobachtet – jedes achte sogar täglich.
Eine Verschlüsselung durch Ransomware der für die Betriebskontinuität so wichtigen Daten, ist mit der größte anzunehmende Störfall in einer Zeit, in der fast jeder Unternehmensprozess in digitalisierter Form abgewickelt wird. Umso wichtiger ist es für Betriebe, eine belastbare Strategie für dieses Szenario in der Hinterhand zu haben.
Daten-Backups sind die naheliegende Lösung
Unabhängig davon, wie gut ein Unternehmen sich gegen jeglichen Angriffsversuch aus dem Internet abzuschotten versucht, wie gut es seine Mitarbeiterschaft sensibilisiert und seine Endgeräte mit den neuesten Updates versorgt: Eine hundertprozentige Sicherheit existiert nicht. Angestellte sind eben auch nur Menschen und als solche fehlbar. Eine kleine Unaufmerksamkeit kann genügen, dass selbst Sicherheitsexperten einen falschen Link anklicken. Ebenso liegt es in der Natur von Zero-Day-Schwachstellen, dass sie sich – oft über lange Zeit unbemerkt – in zentralen Programmen verstecken, bis sie von einem Hacker entdeckt und ausgenutzt werden.
Dass es sich bei einem Ransomware-Angriff weniger um das ob als vielmehr um das wann dreht, ist in IT-Sicherheitskreisen mittlerweile zum Allgemeinwissen geworden. Aus diesem Grunde sind Daten-Backups auch zu einer wichtigen Säule im Fundament der meisten Cybersicherheitsstrategien geworden. Sich um eine Sicherungskopie der unternehmenskritischen Daten zu kümmern ist ein lange gereifter und durch Erfahrungswerte bestätigter Abwehrmechanismus, um sich nicht in die Abhängigkeit der Cyberkriminellen zu begeben.
Denn wie alle Kriminellen, sind diese nicht unbedingt die verlässlichsten Verhandlungspartner und fühlen sich weder an gesetzliche Vorgaben noch an einen Moralkodex gebunden. Sie sind auf das schnelle Geld aus und nehmen die wertvollen Unternehmensdaten in Geiselhaft.
Mit einem stets aktualisierten Backup hat man als IT-Sicherheitsverantwortlicher bereits den größten Trumpf in der Hand und muss den Forderungen der Angreifer nicht nachgeben.
Doch hier liegt auch schon der sprichwörtliche Hund begraben. Denn eine Kopie der verschlüsselten Daten zu haben und diese reibungslos und ohne Unterbrechung des Tagesgeschäfts schnellstmöglich zu implementieren – das sind zwei völlig verschiedene Paar Schuhe.
Ransomware Recovery – Wie man es richtig angeht
Der Ransomware-Recovery-Prozess geht nicht so trivial über die Bühne, wie er sich von außen möglicherweise darstellt. Denn bei der Wiederherstellung verschlüsselter Daten kommt es nicht nur darauf an, eine Kopie vorzuhalten. Vielmehr ist es entscheidend, das Backup möglichst schnell an den richtigen Stellen einzusetzen, nachdem man den kompromittierten Datenmüll entsorgt hat.
Die Wiederherstellung von Daten ist jedoch nicht gleichbedeutend mit der Wiederherstellung des Betriebs. Der Recovery-Prozess ist der erste Schritt in diese Richtung, aber nicht der einzige. Die Wiederherstellung von Daten ist notwendig, aber nicht hinreichend.
„Die Wiederaufnahme des Betriebs nach einem Cyberangriff umfasst viele Überlegungen, an die man bei der Planung der Wiederherstellung vielleicht nicht gedacht hat.“
Michael Heuer, Keepit
Der nächste Schritt der Aufarbeitung besteht darin, genau zu verstehen, was das Endergebnis der Wiederherstellung sein soll. Dies hängt natürlich stark davon ab, was man überhaupt sichern will. So gibt es beispielsweise bestimmte Zendesk- und Azure-Active-Directory-Objekte, die an Ort und Stelle der verschlüsselten Dateiversion eingesetzt werden können, während andere Dateien nur als neue Objekte wiederhergestellt werden. Es ist wichtig, genau zu wissen, was eine Wiederherstellung bringt, wie sie im Detail abläuft und welche manuellen Schritte nach der Wiederherstellung erforderlich sein könnten.
Der Teufel steckt im Detail
Die Wiederaufnahme des Betriebs nach einem Cyberangriff umfasst viele Überlegungen, an die man bei der Planung der Wiederherstellung vielleicht nicht gedacht hat. Dazu gehört die Zeit, die für die Installation oder Neuinstallation von Patches und Updates auf den Computern der Benutzer erforderlich ist, die Notwendigkeit, einen funktionierenden Kommunikationskanal für die Belegschaft aufrechtzuerhalten, während die Primärsysteme wiederhergestellt werden. Hinzu kommen auch noch Fragen der nicht-digitalen Sphäre: Es sollte bekannt und geregelt sein, wohin physische Vermögenswerte und Mitarbeiter während des Ausfalls umgezogen sind.
Wie genau man von Wiederherstellung erfolgreich zu Wiederaufnahme des Tagesgeschäfts kommt, hängt von vielen Faktoren ab. Zu den Variablen zählen Betriebsgröße und -komplexität, wie ausgereift die betrieblichen Prozesse sind, wie viele zusätzliche gesetzliche Anforderungen zu erfüllen sind und nicht zuletzt welche individuellen Auswirkungen des Ransomware-Angriffs behoben werden müssen.
Es gibt ein breites Spektrum, das von der einfachen Wiederherstellung einer einzigen kritischen Datei für einen Benutzer bis zur sehr komplexen Wiederherstellung des Betriebs – beispielsweise nach einer (Natur-)Katastrophe wie einem Brand oder einem Erdbeben – reicht.
Fazit
Aufarbeitung, Dokumentation und Notfallübungen im Vorfeld – eine detaillierte Strategie von der erfolgreichen Wiederherstellung bis hin zur Wiederaufnahme des Regelbetriebs in der Schublade zu haben, ist vielleicht die wichtigste Einzelmaßnahme, die man zum Schutz von Daten und letztendlich des gesamten Unternehmens ergreifen kann.
Über den Autor:
Michael Heuer ist Area Vice President DACH bei Keepit.