kaptn - stock.adobe.com
Den Plan für Ransomware Recovery testen
Das Testen des Recoverys vor einem Ransomware-Angriff ist essentiell, um einer Lösegeld-Forderung zu entgehen. Eine gute Planung sowie ein Test können Restore-Zeiten reduzieren.
Ransomware dient skrupellosen Leuten als beliebtes Mittel, um leichtes Geld zu verdienen. Unternehmen und IT-Abteilungen sollten daraus den Schluss ziehen, sich so gut es geht gegen Lösegeldzahlungen zur Wehr zu setzen. Ein Recovery-Plan spielt eine wesentliche Rolle dabei, eine Ransomware-Attacke zu überleben. Jedes Gerät im Firmennetzwerk sollte überprüft sein und mit der neuesten Version eines Antimalware-Produkts ausgerüstet werden. Man sollte darüber hinaus in die Ausbildung der IT- und der Business-Mitarbeiter investieren, damit sich beide damit auskennen, wie Ransomware in das Netzwerk eindringen kann, welche frühe Anzeichen auf einen Angriff hinweisen und wie man ihm rechtzeitig begegnen kann.
Leider wissen wir von den Erfahrungen mit dem WannaCry-Virus, dass solche Schutzmaßnahmen allein nicht ausreichen, so dass eine Recovery-Strategie unumgänglich ist. Backups sind der wichtigste Weg für ein Recovery: Sie sollten zuverlässig sein und alle Dateien einschließen, um kompromittierte Daten wieder herstellen zu können.
Wie oft machen Sie ein Backup?
Wenn man ein Restore auf Basis des letzten Backups durchführen muss, gehen allerdings die Arbeit und Daten zwischen dem letzten Backup und der Ransomware-Infizierung verloren. Mit dem Recovery Point Objective (RPO) wird die Zeitspanne eines Datenverlusts bezeichnet, der die Geschäftsführung zugestimmt hat: Sie ist ein wichtiger Teil einer Ransomware-Strategie. Unterschiedliche Anwendungen haben oft unterschiedliche RPO-Anforderungen.
Wenn man seinen Recovery-Plan für Ransomware-Attacken testet, sollte man sich vergewissern, dass die Backups im Unternehmen häufig genug durchgeführt werden, damit potentielle Datenverluste noch vertretbar sind. Viele Produkte können fast ununterbrochen Backups ausführen, vorausgesetzt man hat genug Speicherplatz, um all die Daten unterzubringen.
Wie lange dauert ein Restore?
Die Zeit für ein Restore steht im Mittelpunkt der Auswirkungen eines Ransomware-Angriffs. Mit Recovery Time Objective (RTO) wird die Zeit bezeichnet, die von einem Stillstand eines Systems oder einer Anwendung bis zu ihrer Wiederinbetriebnahme vergeht. Wie schon bei den RPOs wird es verschiedene RTO-Abläufe für unterschiedliche Anwendungen geben. Wenn das Restore nicht gestartet werden kann, weil Backup-Bänder erst von einem entfernten Lagerort herangeschafft werden müssen, kann die Auszeit Stunden oder Tage dauern.
Ist die IT-Infrastruktur jedoch so aufgebaut, dass sie ein sofortiges Rollback der Backup-Dateien erlaubt, wird man seine Daten sehr schnell wiederherstellen können. Man sollte jedoch nicht vergessen, dass mit Ransomware infizierte PCs aus dem Netzwerk entfernt werden müssen, bevor ein Recovery-Prozess gestartet wird. Ansonsten würde die Ransomware aufs Neue alle wiederhergestellten Dateien verschlüsseln.
Die IT-Abteilung kann zur Reduzierung der Recovery-Zeiten auch dadurch beitragen, dass sie die Endanwender über Ransomware aufklärt – besonders darüber, wie man eine Infektion erkennt und wie man auf diese Situation reagieren kann, wenn sie tatsächlich eingetreten ist. Die allererste Reaktion wird dann ganz einfach darin bestehen, den PC auszuschalten und den Helpdesk anzurufen.
Können Sie Ihren Backups vertrauen?
Der einzige Weg, Ihrer Backup-Strategie zu vertrauen, besteht darin, den Prozess der Datenwiederherstellung zu testen. Endanwender, die aus Versehen ihre Dateien gelöscht haben, liefern der IT-Abteilung in der Regel einen plausiblen Grund, individuelle Dateien wiederherzustellen. Wenn die Anwender keine Restores verlangen, dann können wöchentliche oder monatliche Wiederherstellungstests als Teil des Plans für Ransomware-Recovery belegen, dass die Wiederherstellung von Dateien möglich ist.
Einige Ransomware-Infektionen haben ihren Ursprung in einem einzigen anfälligen Computer beziehungsweise einem Anwender, der nicht aufgepasst hat. In solchen Fällen sind nur einige geschäftskritische Dateien beschädigt und das Problem wurde schnell entdeckt. Öfter verteilen sich jedoch Ransomware-Angriffe im ganzen Netzwerk und Tausende von Dateien werden verschlüsselt, bevor die Infektion gestoppt werden kann. Um ein Recovery nach einer umfassenden Verschlüsselung von Dateien durchführen zu können, muss man den Server oder oft auch mehrere Server zur gleichen Zeit wiederherstellen. Schnelles Recovery hängt oft komplett vom Durchsatz ab, wobei Festplatten- oder moderne Tape-Systeme im Rechenzentrum schnelle Wiederherstellungsprozesse zur Verfügung stellen.
Einige Speichersysteme erlauben es virtuellen Maschinen, direkt vom Backup-Speicher ohne den Zwischenschritt über Datenkopien gestartet zu werden. Alle Backup-Systeme, die strikt außerhalb des Rechenzentrums abgelegt sind, bringen Probleme mit sich. Bei solchen Off-site Tapes oder Festplatten muss man warten, bis diese physikalischen Medien zum Rechenzentrum zurückgebracht werden. Die Restore-Geschwindigkeiten bei Cloud-basierten Backups sind durch die Geschwindigkeit der Internetverbindungen begrenzt. Viel spricht dafür, für die Wiederherstellung von produktiven Dateien auf Backup-Speicher im Rechenzentrum zu setzen, während sich Cloud-basierte Speicher für langfristige Aufbewahrung empfehlen.
Sind Ihre Dateien sicher?
Ein signifikanter Trend bei Ransomware-Attacken geht dahin, Backup-Dateien zu verschlüsseln. Die Autoren solcher Angriffe wissen, dass jeder, der seine Daten durch ein Backup wiederherstellen kann, kein Lösegeld bezahlen wird. Deshalb haben sie es darauf abgesehen, solche Dateien schnell zu löschen oder zu verschlüsseln. Das wirft die Frage auf, wo man seine Backups aufbewahren soll. Befinden sie sich auf einem File Share, dann sind sie Ransomware-Attacken ausgesetzt. Und befinden sie sich auf einem Server, sind sie ebenfalls solchen Angriffen ausgesetzt. Einige sorgfältige Security-Verfahren werden die Risiken für die Backup-Dateien vermindern und gleichzeitig die Chancen für ein erfolgreiches Recovery vergrößern.
Wenn man seinen Plan für ein Ransomware-Recovery anfertigt, sollte man über einen Backup-Account verfügen, der von keinem Desktop aus geöffnet werden kann und der nicht für andere Zwecke benutzt wird. Nur dieser eine Account darf Schreibberechtigungen für die Backup-Dateien besitzen. Und kein anderer Account darf in der Lage sein, diese Dateien zu verschlüsseln oder zu löschen.
Der Weg zum Erfolg, Daten nach einem Ransomware-Angriff wiederherzustellen, besteht in sicheren Backups, von denen man weiß, dass man sie schnell wieder aktivieren kann. Den Recovery-Plan testen und die Endanwender aufzuklären werden sicherstellen, dass man nie ein Lösegeld bezahlen muss.
Folgen Sie SearchStorage.de auch auf Twitter, Google+, Xing und Facebook!