Gernot Krautberger - stock.adobe
Mit Air Gap, Hardened Repositories und Co. gegen Ransomware
Unternehmen sollten ihr Backup als Schutz gegen Ransomware effektiver einsetzen. Hier gibt es verschiedene Möglichkeiten und Strategien, die wir nachfolgend genauer betrachten.
Ein umfassender Schutz gegen Ransomware und im Katastrophenfall erfordert eine sorgfältig geplante und umgesetzte Backup-Strategie, bei der das Konzept des Air Gap Targets eine zentrale Rolle spielt. Das Air-Gap-Prinzip basiert darauf, eine physische oder logische Trennung zwischen den aktiven Systemen und den Backup-Daten herzustellen, um sicherzustellen, dass Angreifer, die möglicherweise das Netzwerk infiltrieren, keinen direkten Zugriff auf die gesicherten Daten haben. Parallel dazu gibt es weitere Ansätze, die Berücksichtigung finden sollten. Dadurch wird das Backup ein wichtiger Faktor im Kampf gegen Ransomware und zum Schutz gegen Katastrophenfälle.
Die zunehmende Bedrohung durch Ransomware-Angriffe hat gezeigt, dass herkömmliche Sicherheitsmaßnahmen oft nicht ausreichen, um Backups effektiv zu schützen. Angreifer zielen immer häufiger direkt auf die Backup-Infrastruktur ab, um sicherzustellen, dass Unternehmen keine Möglichkeit zur Wiederherstellung ihrer Daten haben und somit gezwungen sind, das geforderte Lösegeld zu zahlen. Diese Angriffe beginnen häufig mit der Kompromittierung von Zugängen innerhalb der IT-Infrastruktur, wobei besonders das Active Directory ein beliebtes Ziel ist. Mit Zugriff auf das Active Directory können Angreifer weitreichende Kontrolle über die gesamte Netzwerkumgebung erlangen, einschließlich der Backup-Systeme.
Auch Air Gaps und Immutable Backups sind angreifbar
Trotz der weit verbreiteten Annahme, dass Air-Gap- und Immutable Backups ausreichenden Schutz vor Ransomware bieten, zeigt sich zunehmend, dass diese Methoden allein nicht immer ausreichend sind. Moderne Ransomware-Angriffe haben sich weiterentwickelt und zielen nicht mehr nur auf die primären Daten ab, sondern auch auf die Backups selbst. Im Gegensatz zu herkömmlichen Backups, bei denen Daten nachträglich verändert oder gelöscht werden können, sind Immutable Backups unveränderlich und somit resistent gegenüber jeglichen Manipulationsversuchen, auch durch böswillige Software. Diese Unveränderlichkeit wird durch spezifische Technologien wie Write-Once-Read-Many(WORM)-Speicherlösungen gewährleistet, die es selbst autorisierten Benutzern unmöglich machen, die gespeicherten Daten zu verändern.
Im Fall eines Ransomware-Angriffs, bei dem Angreifer versuchen, sowohl die aktiven Daten als auch die Backups zu verschlüsseln oder zu löschen, bieten Immutable Backups einen zusätzlichen Schutzmechanismus. Selbst wenn die primäre Infrastruktur und andere Backup-Systeme kompromittiert werden, bleiben die Daten in einer unveränderbaren Datensicherung sicher und unzugänglich für den Angreifer. Dies ermöglicht es Unternehmen, nach einem Angriff schnell und sicher auf eine unveränderte und vollständige Datensicherung zuzugreifen, ohne das Risiko einer erneuten Infektion einzugehen. Durch die Implementierung von Immutable Backups können Unternehmen daher ihre Resilienz gegen gezielte Angriffe signifikant erhöhen und die Wahrscheinlichkeit, Lösegeld zahlen zu müssen, erheblich reduzieren.
Ein besonders raffinierter Ansatz besteht darin, dass Angreifer Ransomware in eine Art Ruhezustand versetzen und sie unbemerkt in die Backup-Daten einschleusen. Diese infizierten Backups werden dann regelmäßig gesichert, sodass die Schadsoftware in den sogenannten Immutable Backups ebenfalls enthalten ist. Bei der Wiederherstellung der Daten wird die Ransomware reaktiviert, und der Angriff beginnt von neuem, was die betroffene Organisation in einen Teufelskreis aus ständigen Angriffen zwingt.
Dieser sogenannte Attack Loop stellt eine ernsthafte Bedrohung dar, da selbst die sorgfältigste Backup-Strategie kompromittiert werden kann, wenn die Schadsoftware unentdeckt bleibt. Daher müssen Unternehmen ihre Sicherheitsansätze weiterentwickeln und zusätzliche Schutzmaßnahmen wie bi-direktionale Antimalware-Scans integrieren, um die Integrität ihrer Backups sicherzustellen. Nur durch proaktive Ansätze, die potenzielle Bedrohungen bereits im Vorfeld erkennen und neutralisieren, kann der Schutz von Backups gewährleistet werden.
Air Gap Target: Fundament des modernen Datenschutzes
Das Air Gap Target ist die effektivste Maßnahme, um Backup-Daten vor Ransomware-Angriffen und im Katastrophenfall zu schützen. Dabei wird eine physische Lücke (beispielsweise mit Tape-Backups) oder eine logische Trennung (etwa durch Hardened Repositories) zwischen den produktiven IT-Systemen und den Backup-Daten geschaffen. Diese Trennung sorgt dafür, dass Schadsoftware, selbst wenn sie sich in das Netzwerk eingeschlichen hat, keinen direkten Zugriff auf die Backup-Daten erhält. Generell sollte jedes Unternehmen, unabhängig zur Größe, sich mit dem Thema auseinandersetzen und sicherstellen, dass Backups physisch getrennt aufbewahrt werden.
Diese Isolation dient dem Schutz kritischer Systeme und Daten vor potenziellen Angriffen wie Malware oder Ransomware. Im Gegensatz zu anderen Backup- oder Wiederherstellungssystemen sind Air-Gap-Systeme vollständig von anderen Geräten getrennt, oft durch einen physischen Abstand, der elektromagnetische oder elektronische Angriffe erschwert. In besonders sensiblen Umgebungen kann zusätzlich eine physische Abschirmung, wie ein Faraday-Käfig, eingesetzt werden, um elektromagnetische Strahlung zu blockieren. Die Datenübertragung von einem Air-Gap-Gerät erfolgt manuell durch den Einsatz von tragbaren Speichermedien, wie USB-Sticks, die physisch zwischen den Systemen umgesteckt werden. Diese Maßnahme erschwert es Angreifern erheblich, auf isolierte Systeme zuzugreifen. Air Gapping ist besonders nützlich für regelmäßige Backups und Wiederherstellungen in Umgebungen mit kritischen Daten. Dennoch sind Air-Gap-Systeme nicht vollständig vor Angriffen gefeit, da spezialisierte Ausrüstung elektromagnetische Signale, wie Tastatureingaben, auch über größere Entfernungen abfangen kann. Ein bekanntes Beispiel für die Umgehung eines Air Gaps ist der Stuxnet-Wurm, der industrielle Kontrollsysteme durch infizierte USB-Sticks kompromittierte.
Obwohl Air-Gap-Systeme als eine der sichersten Methoden zum Schutz kritischer Infrastrukturen und Daten gelten, sind sie nicht unverwundbar. Eine Kompromittierung solcher Systeme kann durch verschiedene Angriffsvektoren erfolgen, insbesondere durch den Einsatz von Malware, die über physische Medien wie USB-Sticks eingeschleust wird. Ein prominentes Beispiel hierfür ist der Stuxnet-Wurm, der 2010 die hochisolierten, Air-Gap-geschützten Systeme des iranischen Atomprogramms infiltrierte. Dieser Vorfall verdeutlicht, dass selbst extrem isolierte Systeme nicht vollständig vor Bedrohungen geschützt sind, wenn menschliche Fehler oder fortschrittliche Angriffsstrategien ins Spiel kommen.
Ein weiterer Schwachpunkt von Air-Gap-Systemen liegt in ihrer begrenzten Funktionalität und den hohen Wartungskosten, da der Datenaustausch und die Wartung manuell erfolgen müssen. Trotz dieser Nachteile bleibt das Air-Gap-Prinzip aufgrund seiner Fähigkeit, Systeme von externen Netzwerken zu isolieren und somit direkte Cyberangriffe zu verhindern, eine unverzichtbare Komponente in der IT-Sicherheitsstrategie vieler Organisationen. Es erfordert jedoch eine sorgfältige Implementierung und regelmäßige Überprüfung, um sicherzustellen, dass es den notwendigen Schutz bietet, ohne gleichzeitig die Betriebsabläufe unnötig zu behindern.
Tape-Backups: Tradition und Sicherheit
Tape-Backups gelten nach wie vor als eine der sichersten Methoden zur langfristigen Aufbewahrung von Daten. Die physische Isolation der Bänder von den produktiven Systemen macht sie weitgehend immun gegen Cyberangriffe. Ransomware hat keine Möglichkeit, die Bänder direkt zu infizieren, da diese in der Regel offline und sicher in einem separaten Standort gelagert werden. Diese Form der Datensicherung bietet zudem einen natürlichen Schutz vor Katastrophen, da die physischen Bänder an einem externen Standort gelagert werden können, was sie vor physischen Schäden wie Feuer oder Überschwemmungen schützt.
Ein besonders kritischer Aspekt von Ransomware-Angriffen ist die gezielte Manipulation von Backup-Speichern, die über zentrale Backup-Software gesteuert werden. Zum Beispiel können Angreifer NAS-Speicher oder Tape Libraries attackieren, indem sie durch die Backup-Software darauf zugreifen und Daten verschlüsseln oder löschen. In solchen Fällen bietet selbst eine Tape Library, die oft als besonders sicher gilt, keinen vollständigen Schutz, da die Bänder über die Software manipuliert werden können.
Um dieser Bedrohung entgegenzuwirken, sollten Unternehmen zusätzliche Sicherheitsmechanismen in ihre Backup-Strategien integrieren. Dazu gehören die Verwendung isolierter Benutzerkonten für Backup-Software, die nicht mit dem Active Directory verknüpft sind, sowie die Implementierung von kontinuierlichen Snapshots, die innerhalb des Speichersystems erzeugt und verwaltet werden. Diese Snapshots bieten eine zusätzliche Schutzschicht, da sie nicht von außen manipuliert werden können. Weiterhin sollte der Zugriff auf diese Verwaltungsschnittstellen stark eingeschränkt und durch Maßnahmen wie Zwei-Faktor-Authentifizierung gesichert werden.
Hardened Repositories: Digitale Widerstandsfähigkeit
Ein Hardened Repository stellt eine zusätzliche Schutzschicht dar, indem es spezifische Sicherheitsmaßnahmen implementiert, die den direkten Zugriff auf Backup-Daten verhindern. Hierzu gehören unter anderem WORM-Speichertechnologien, die verhindern, dass Daten nach ihrer einmaligen Speicherung verändert oder gelöscht werden können. Ein weiteres Sicherheitsmerkmal ist die Verwendung von Multifaktor-Authentifizierung (MFA) und strengen Zugriffsrichtlinien, die sicherstellen, dass nur autorisierte Personen Zugriff auf die Backup-Daten haben.
Die logische Isolation des Hardened Repositories stellt sicher, dass selbst im Falle eines erfolgreichen Ransomware-Angriffs auf das produktive Netzwerk die Backup-Daten intakt und unverändert bleiben. Dieser Ansatz minimiert das Risiko von Datenverlusten erheblich und ermöglicht eine schnelle Wiederherstellung nach einem Angriff oder einer Katastrophe.
Managed Backup: Kontrolle und Effizienz durch Automatisierung
Managed Backup Services bieten eine weitere Ebene der Sicherheit und Effizienz, indem sie den gesamten Backup-Prozess überwachen und automatisieren. Diese Services gewährleisten, dass die Backup-Daten regelmäßig und zuverlässig gesichert werden, ohne dass menschliches Eingreifen erforderlich ist, wodurch das Risiko von Fehlern oder Nachlässigkeiten reduziert wird. Gleichzeitig bieten sie umfassende Monitoring- und Reporting-Funktionen, die einen Überblick über den Zustand der Backup-Daten und deren Integrität geben.
Durch die Kombination von Air Gap Targets, ob physisch durch Tapes oder logisch durch Hardened Repositories, und der Automatisierung von Backup-Prozessen über Managed Backup Services, entsteht eine robuste und widerstandsfähige Sicherheitsarchitektur. Diese Architektur schützt nicht nur vor Ransomware-Angriffen, sondern stellt auch sicher, dass Unternehmen ihre Daten im Katastrophenfall schnell und vollständig wiederherstellen können.
Das Konzept des Air Gap Targets, ergänzt durch die Nutzung von Tapes, Hardened Repositories und Managed Backup, bildet die Grundlage für eine umfassende und zukunftssichere Datensicherungsstrategie. Nur durch die sorgfältige Implementierung dieser Maßnahmen lässt sich der bestmögliche Schutz vor den stetig wachsenden Bedrohungen durch Ransomware und unvorhersehbare Katastrophen gewährleisten. Die richtige Kombination dieser Technologien und Strategien stellt sicher, dass Unternehmen auch in Krisenzeiten handlungsfähig bleiben und ihre Geschäftskontinuität wahren können.