Ransomware: Diese Recovery-Schritte sollten Sie kennen
Ein Recovery nach einem Ransomware-Angriff bedarf bestimmter Schritte. Anbieter wie Actifio geben oft hilfreiche Tipps für eine erfolgreiche Datenwiederherstellung.
Ransomware ist nicht nur eine konstante Bedrohung, die jeweiligen Angriffe entwickeln sich auch stetig weiter. Sie brauchen also einen Plan für eine Datenwiederherstellung nach einer Ransomware-Attacke.
Anbieter wie Actifio geben mittlerweile viele Tipps zu dieser Art der Data Protection, oft auch auf ihren (virtuellen) Veranstaltungen, in Break-out Sessions oder anderen Vorträgen und Blogs.
Allein im Herbst 2020 haben Ransomware-Angreifer unter anderem Schulbezirke in den USA und medizinische Einrichtungen in Europa attackiert und indirekt den Tod eines Krankenhauspatienten verursacht, indem sie Unternehmen ohne angemessene Cybersicherheitsvorkehrungen gezielt ins Visier nahmen.
Ransomware-Attacken als DR-Ereignis einstufen und behandeln
Die Coronavirus-Pandemie führte zu einer dramatischen Verlagerung der Belegschaft von der Büro- in die häusliche Umgebung.
„Die Unternehmen waren darauf nicht vorbereitet“, sagt Bryan Rice, CTO des Cloud-Service-Anbieters Net3 Technology.
In vielen Fällen arbeiteten die Anwender auf irgendwelchen Geräten, die sie hatten, und die Unternehmen hatten keinen Plan, um Cybersicherheitsprobleme anzugehen, betont Rice in seinem Vortrag mit dem Titel Seien Sie informiert und vorbereitet: Ransomware wird das wahrscheinlichste DR-Ereignis im Jahr 2020 sein.
Da die kriminelle Ransomware-Gemeinschaft immer raffinierter geworden ist, ist es ein wichtiges Ziel für ein Unternehmen, sich selbst eine möglichst große Chance zur Wiederherstellung zu geben.
Der unveränderliche Datenschutz (immutable Data Protection), der Backups vor einer möglichen Löschung oder Änderung schützt, ist ein wichtiger Bestandteil der Wiederherstellung nach einem Ransomware-Ereignis. Rice sagt, dass Organisationen mit der Zeitdauer vorsichtig sein und einen Zeitrahmen für den Ablauf festlegen sollten.
Unveränderlichkeit kann lokal oder Cloud-basiert sein. „Man kann jederzeit von unveränderlichen Datensätzen Restores umsetzen“, erklärt Rice. „Der Schlüssel ist, dass die Daten nicht gelöscht werden können.“
In Bezug auf die Sicherheit empfahl Rice eine Variation der Berechtigungsnachweise, die Begrenzung ihrer möglichen Gefährdung und die Verwendung von „Passphrasen“ bei Passwörtern.
Vollständige Disaster-Recovery-Tests sind ein Element, das vielen Organisationen fehlt. Zweimal im Jahr sei eine gute Kadenz für Standard-DR-Tests, meint Rice. Er schlägt vor, komplette Runbooks in Papierform anzulegen, denn wenn man sich in einer Ransomware-Wiederherstellungssituation befindet, hilft eine digitale Kopie nicht weiter.
„Es wird ein ständiger Kampf sein“, sagt Rice. „Aber mit diesen Schutzschichten – mit der Trennung der Aufgaben, der Trennung der Berechtigungen – all diese Dinge schützen Sie auf lange Sicht.“
Verhindern Sie kostspielige Ausfallzeiten
Der geschätzte globale Schaden durch Ransomware im Jahr 2020 beläuft sich auf 20 Milliarden Dollar, sagt Jarom Olson, Director of Solutions Architecture bei Actifio, unter Berufung auf Statistiken der Cybersicherheitsfirma PurpleSec. 2018 seien es nur 8 Milliarden Dollar gewesen.
„Es geht nicht darum, ob ein Angriff stattfinden wird, sondern wann. Jeder wird irgendwann einmal anfällig für eine Ransomware-Attacke sein“, sagt Olson in seinem Vortrag mit dem Titel Reduzieren Sie den Stress, der durch die Sorge um Ransomware entsteht.
Die durchschnittlichen Ausfallkosten pro Ransomware-Angriff sind laut PurpleSec von 46.800 Dollar im Jahr 2018 über 141.000 Dollar im Jahr 2019 auf 283.000 Dollar im Jahr 2020 in die Höhe geschnellt.
„Die meisten Lösegeld-Angriffe infiltrieren auch das Backup-System und machen diese für eine Wiederherstellung nutzlos, bis das Lösegelds bezahlt wurde, was zu erheblichen Ausfallzeiten führt“, sagt Olson.
Olson verweist zudem auf die Empfehlungen des FBI zur Wiederherstellung nach einem Ransomware-Angriff:
- Backup-Daten und -Systeme sofort offline nehmen
- die Strafverfolgungsbehörden kontaktieren
- Sammeln und Sichern von Teilen der Daten, für die Lösegeld gefordert wird
- Online-Konto- und Netzwerk-Passwörter ändern, nachdem das System aus dem Netzwerk entfernt wurde
- Registrierungswerte und -dateien löschen, um das Laden des Programms zu stoppen
Diese Schritte erfordern Arbeit rund um die Uhr, betont Olson. „Dies ist eine erhebliche Belastung für das Betriebsteam“, gibt er zu bedenken.
Ähnlich wie Rice erklärt Olson jedoch, dass die unveränderlichen Air-Gap-Backup-Daten die operativen Aufgaben, die für die Wiederherstellung nach Ransomware-Ereignissen typisch sind, erheblich erleichtern.