Strategien und bewährte Praktiken zur Sicherung von Ransomware. Wie kann man Backups vor Ransomware schützen?

Warum ist Ransomware eine kritische Bedrohung für die moderne Cybersicherheit?

Ransomware-Angriffe verursachen seit mehr als einem Jahrzehnt erhebliche Störungen in zahlreichen Unternehmen. Sie führen zum Verlust wichtiger und sensibler Daten und haben weitere bedauerliche Folgen, wie z.B. die Zahlung hoher Geldbeträge an kriminelle Organisationen. Nahezu alle wichtigen Branchen sind regelmäßig auf die eine oder andere Weise von Ransomware betroffen. Ransomware-Angriffe erreichten im Jahr 2024 5.263 Vorfälle – die höchste Zahl seit Beginn der Aufzeichnungen im Jahr 2021, und die Zahl scheint jährlich weiter zu steigen.

Vorbeugende Maßnahmen sind zwar nach wie vor ein wichtiger Bestandteil der Ransomware-Abwehr, aber regelmäßige Datensicherungen sind das effektivste Mittel zur Wiederherstellung der Daten nach einem Angriff. Datenschutz ist das A und O: Da viele Formen von Ransomware auch auf die gesicherten Daten abzielen, sind Maßnahmen zum Schutz der Backups vor Ransomware ein absolutes Muss. Jüngste Untersuchungen zeigen auch, dass Angreifer versucht haben, die Backups von 94 % der von Ransomware betroffenen Unternehmen zu kompromittieren, so dass der Schutz von Backups wichtiger ist denn je.

Ransomware ist eine Art von Malware, die in den Computer oder Server eines Opfers eindringt, dessen Daten verschlüsselt und unzugänglich macht. Die Täter fordern dann eine Lösegeldzahlung – in der Regel in Form von Kryptowährung – im Austausch für den Entschlüsselungsschlüssel. Ransomware-Angriffe haben in der Regel verheerende Folgen, verursachen erhebliche finanzielle Verluste, stören die Produktivität und führen sogar zum Bankrott. Allein der Angriff von 2024 Change Healthcare (großer US-Gesundheitsdienstleister) verursachte einen Schaden von 3,09 Milliarden Dollar und kompromittierte die geschützten Gesundheitsdaten von über 100 Millionen Menschen.

Nach erfolgreicher Verschlüsselung der angegriffenen Dateien fordern die Angreifer in der Regel ein Lösegeld. Die Lösegeldzahlungen werden oft in Bitcoins oder anderen Kryptowährungen gefordert, so dass sie für die Strafverfolgungsbehörden nur schwer zu verfolgen sind. Wenn das Opfer der Lösegeldforderung nicht nachkommt, können die Angreifer zu weiteren Drohungen greifen, wie z.B. die Veröffentlichung der verschlüsselten Dateien im Internet oder deren endgültige Löschung.

Wer sind die Hauptziele von Ransomware-Angriffen?

Auch wenn die Aussage, dass praktisch jedes Gerät ein potenzielles Ziel für Ransomware ist, zutrifft, gibt es doch einige Informationskategorien und Benutzergruppen, auf die Ransomware-Ersteller am meisten abzielen:

• Regierungsbehörden – primäre Ziele für die meisten Ransomware-Varianten aufgrund der schieren Menge an sensiblen Daten, über die sie verfügen; es ist auch eine gängige Annahme, dass die Regierung lieber das Lösegeld zahlen würde, als zuzulassen, dass die sensiblen Daten von politischer Bedeutung an die Öffentlichkeit gelangen oder an Dritte verkauft werden.
• Organisationen des Gesundheitswesens – ein bemerkenswertes Ziel für Ransomware, da viele Infrastrukturen des Gesundheitswesens auf veralteter Software und Hardware beruhen, was den Aufwand, der nötig ist, um alle Schutzmaßnahmen zu durchbrechen, drastisch reduziert; Daten des Gesundheitswesens sind außerdem extrem wichtig, da sie direkt mit dem Lebensunterhalt von Hunderten oder Tausenden von Patienten verbunden sind, was sie noch wertvoller macht.
• Mobile Geräte – ein häufiges Ziel aufgrund der Beschaffenheit moderner Smartphones und der Menge an Daten, die ein einzelnes Smartphone zu speichern pflegt (seien es persönliche Videos und Fotos, Finanzinformationen usw.).
• Akademische Einrichtungen – eines der größten Ziele für Ransomware, da sie mit großen Mengen an sensiblen Daten arbeiten und über kleinere IT-Gruppen, Budgetbeschränkungen und andere Faktoren verfügen, die zu einer insgesamt geringeren Effektivität ihrer Sicherheitssysteme beitragen.
• Personalabteilungen – verfügen zwar selbst nicht über viele wertvolle Informationen, haben dafür aber Zugriff auf die finanziellen und persönlichen Daten anderer Mitarbeiter; auch aufgrund der Art der Arbeit selbst ein häufiges Ziel (das Öffnen von Hunderten von E-Mails pro Tag macht es für einen durchschnittlichen HR-Mitarbeiter sehr viel wahrscheinlicher, eine E-Mail mit Malware darin zu öffnen).

Die Zahl der Ransomware-Angriffe scheint in alarmierendem Tempo zuzunehmen. Im Jahr 2024 waren 65 % der Finanzdienstleister Ziel von Ransomware-Angriffen, wobei die Angreifer in 90 % dieser Fälle versuchten, Backups zu kompromittieren. Es werden auch regelmäßig neue Ransomware-Typen und -Varianten entwickelt. Es gibt jetzt ein völlig neues Geschäftsmodell namens RaaS, oder Ransomware-as-a-Service, das gegen eine monatliche Gebühr ständigen Zugang zu den neuesten Beispielen von Schadsoftware bietet und den gesamten Prozess der Ransomware-Angriffe erheblich vereinfacht.

Die neuesten Informationen von Statista bestätigen die obigen Aussagen hinsichtlich der größten Ziele für Ransomware insgesamt – Regierungsorganisationen, Gesundheitswesen, Finanzwesen, Fertigung und so weiter. Auch Finanzunternehmen scheinen als eines der bisher größten Ransomware-Ziele stetig zu wachsen.

Es gibt Möglichkeiten, Ihr Unternehmen vor verschiedenen Ransomware-Angriffen zu schützen, und die erste, entscheidende ist, sicherzustellen, dass Sie über Ransomware-sichere Backups verfügen.

Was sind die verschiedenen Arten von Ransomware?

Schauen wir uns zunächst die verschiedenen Arten von Bedrohungen an. Verschlüsselungsbezogene Ransomware (Cryptoware) ist eine der am weitesten verbreiteten Arten von Ransomware in der heutigen Zeit. Bemerkenswerte, aber weniger verbreitete Beispiele für Ransomware-Typen sind:

• Sperrbildschirme (Unterbrechung mit Lösegeldforderung, aber ohne Verschlüsselung),
• Ransomware für mobile Geräte (Infektion von Mobiltelefonen),
• MBR-Verschlüsselungs-Ransomware (infiziert einen Teil des Dateisystems von Microsoft, der zum Booten des Computers verwendet wird, und verhindert so, dass der Benutzer überhaupt auf das Betriebssystem zugreifen kann),
• Erpressungssoftware/Leakware (zielt auf sensible und kompromittierende Daten ab und fordert dann Lösegeld als Gegenleistung für die Nichtveröffentlichung der angegriffenen Daten), und so weiter.

Die Häufigkeit von Ransomware-Angriffen wird im Jahr 2022 und darüber hinaus drastisch zunehmen, und zwar mit zunehmender Raffinesse. Jüngste Daten zeigen, dass die durchschnittliche Lösegeldzahlung im Jahr 2024 2,73 Millionen Dollar erreicht hat, ein dramatischer Anstieg gegenüber 400.000 Dollar im Jahr 2023. Diese steile Eskalation spiegelt sowohl die zunehmende Raffinesse der Angriffe als auch das bessere Verständnis der Angreifer für die finanziellen Möglichkeiten der Opferorganisationen wider.

Vorbeugende Maßnahmen sind zwar der bevorzugte Weg, um mit Ransomware umzugehen, aber sie sind in der Regel nicht zu 100% wirksam. Für Angreifer, die in Unternehmen eindringen können, ist die Datensicherung die letzte Bastion der Verteidigung. Datensicherung und -wiederherstellung sind nachweislich ein wirksames und wichtiges Schutzelement gegen die Bedrohung durch Ransomware. Um Daten effektiv wiederherstellen zu können, müssen Sie jedoch einen strikten Zeitplan für die Datensicherung einhalten und verschiedene Maßnahmen ergreifen, um zu verhindern, dass Ihr Backup ebenfalls von Ransomware erfasst und verschlüsselt wird.

Damit ein Unternehmen seine Backups ausreichend vor Ransomware schützen kann, muss es sich im Voraus Gedanken machen und vorbereiten. Datenschutztechnologien, bewährte Backup-Praktiken und Mitarbeiterschulungen sind entscheidend, um die geschäftsbedrohenden Unterbrechungen, die Ransomware-Angriffe auf die Backup-Server eines Unternehmens verursachen, abzumildern.

Doppelte Erpressung und Datenexfiltration

Die doppelte Erpressung stellt die bedeutendste Weiterentwicklung der Ransomware-Taktik in den letzten fünf Jahren dar und verändert die Art und Weise, wie Unternehmen den Datenschutz angehen müssen, grundlegend. Im Gegensatz zu herkömmlichen Angriffen, bei denen Backups eine vollständige Wiederherstellung ermöglichen, führt die doppelte Erpressung zu einer Haftung, die auch nach erfolgreicher Wiederherstellung bestehen bleibt.

Angreifer exfiltrieren jetzt routinemäßig sensible Daten während der Erkundungsphase – oft schon Wochen vor dem Einsatz von Verschlüsselungsnutzdaten. Diese gestohlenen Daten werden zu einem dauerhaften Druckmittel. Unternehmen, die über perfekte Backups verfügen, sind immer noch der Gefahr ausgesetzt, dass ihre Daten an die Öffentlichkeit gelangen, dass sie von der Aufsichtsbehörde bestraft werden, dass sie Wettbewerbsinformationen verlieren und dass ihr Ruf geschädigt wird.

Jüngste öffentlichkeitswirksame Angriffe zeigen diese Bedrohung: Angreifer veröffentlichten gestohlene Patientendaten, Kundendatenbanken und geschützte Forschungsergebnisse, selbst nachdem die Opfer sich weigerten zu zahlen, was zu behördlichen Geldstrafen in Höhe von mehreren zehn Millionen Dollar führte. Das Bedrohungsmodell hat sich grundlegend geändert – Ransomware ist nicht mehr nur ein Angriff auf die Verfügbarkeit, der durch Backups gelöst werden kann, sondern eine Verletzung der Vertraulichkeit, die einen umfassenden Schutz der Daten erfordert.

Zu den Zielprioritäten gehören:

• persönlich identifizierbare Kundendaten (PII)
• Finanzdaten
• geistiges Eigentum
• Mitarbeiterdaten
• Daten aus dem Gesundheitswesen
• alle Informationen, die dem Schutz von Vorschriften unterliegen

Angreifer bewerten den Wert der Daten, bevor sie ihre Opfer auswählen, und haben es besonders auf Unternehmen abgesehen, die über sensible Informationen verfügen, die veröffentlicht werden müssen.

Die Verteidigung erfordert eine Kombination aus Backup-Strategien und der Verhinderung der Datenexfiltration. Systeme zur Verhinderung von Datenverlusten (DLP) überwachen und blockieren ungewöhnliche Datentransfers. Die Netzwerksegmentierung schränkt die seitliche Bewegung zwischen den Datenspeichern ein. Die Verschlüsselung im Ruhezustand macht gestohlene Dateien ohne entsprechende Schlüssel unbrauchbar. Zero-Trust-Architekturen verifizieren alle Zugriffsversuche unabhängig von der Quelle.

Backups sind nach wie vor unerlässlich für die Wiederherstellung des Betriebs, aber nur die Hälfte der Bedrohung durch die doppelte Erpressung. Ein umfassender Schutz vor Ransomware trägt der Tatsache Rechnung, dass moderne Angriffe doppelte Risiken mit sich bringen, die einen doppelten Schutz erfordern – Backup-Ausfallsicherheit für die Verschlüsselung und Zugriffskontrollen für die Exfiltration.

Was sind die gängigen Mythen über Ransomware und Backups?

Wenn Sie recherchieren, wie Sie Backups vor Ransomware schützen können, stoßen Sie vielleicht auf falsche oder veraltete Ratschläge. In Wirklichkeit ist der Schutz von Ransomware-Backups etwas komplexer. Lassen Sie uns daher einige der gängigsten Mythen zu diesem Thema näher betrachten.

Ransomware-Backup-Mythos 1: Ransomware infiziert keine Backups. Sie denken vielleicht, dass Ihre Dateien sicher sind. Allerdings wird nicht jede Ransomware aktiviert, sobald Sie infiziert sind. Einige warten, bevor sie aktiv werden. Das bedeutet, dass Ihre Backups möglicherweise eine Kopie der Ransomware enthalten.

Ransomware Backup Mythos 2: Verschlüsselte Backups sind vor Ransomware geschützt. Es spielt eigentlich keine Rolle, ob Ihre Backups verschlüsselt sind. Sobald Sie eine Backup-Wiederherstellung durchführen, wird die potenzielle Infektion wieder ausführbar und aktiviert sich.

Ransomware Backup Mythos 3: Nur Windows ist betroffen. Viele Leute denken, dass es möglich ist, ihre Backups auf einem anderen Betriebssystem auszuführen, um die Bedrohung zu beseitigen. Wenn die infizierten Dateien in der Cloud gehostet werden, würde die Ransomware leider überwechseln.

Ransomware-Backup-Mythos 4: Die Zahlung des Lösegelds ist einfacher und billiger als die Investition in Datenrettungssysteme. Es gibt zwei starke Argumente dagegen. Erstens: Unternehmen, die das Lösegeld zahlen, werden als verwundbar und unwillig angesehen, sich gegen Ransomware-Angriffe zu wehren. Zweitens: Die vollständige Zahlung des Lösegelds ist nicht einmal annähernd ein garantierter Weg, um Entschlüsselungsschlüssel zu erhalten.

Ransomware-Backup-Mythos 5: Ransomware-Angriffe werden meist aus Rache gegen große Unternehmen verübt, die normale Menschen misshandeln. Man könnte eine Verbindung zwischen Unternehmen mit fragwürdiger Kundenpolitik und Racheangriffen herstellen, aber die überwiegende Mehrheit der Angriffe sucht einfach nach jemandem, den sie ausnutzen kann.

Ransomware-Backup-Mythos 6: Ransomware greift keine kleineren Unternehmen an und zielt nur auf große Konzerne ab. Während größere Unternehmen aufgrund des potenziell höheren Lösegelds, das von ihnen erlangt werden könnte, ein größeres Ziel darstellen, werden kleinere Unternehmen genauso häufig von Ransomware angegriffen wie größere – und auch Privatanwender werden regelmäßig in erheblichem Umfang von Ransomware-Angriffen betroffen. Ein Bericht von Sophos zeigt, dass dieser spezielle Mythos einfach nicht stimmt, da sowohl große als auch kleine Unternehmen in einem Jahr ungefähr den gleichen Prozentsatz von Ransomware betroffen sind (72% bei Unternehmen mit einem Umsatz von 5 Milliarden Dollar und 58% bei Unternehmen mit einem Umsatz von weniger als 10 Millionen Dollar).

Natürlich gibt es noch viele Möglichkeiten, wie Sie Ihre Backups vor Ransomware schützen können. Im Folgenden finden Sie einige wichtige Strategien, die Sie für Ihr Unternehmen in Betracht ziehen sollten.

Was sind die besten Methoden zum Schutz von Backups vor Ransomware?

Im Folgenden finden Sie einige spezifische technische Überlegungen für Ihre Unternehmens-IT-Umgebung, um Ihren Backup-Server vor zukünftigen Ransomware-Angriffen zu schützen:

Verwenden Sie eindeutige, unverwechselbare Anmeldeinformationen

Backup-Systeme erfordern eine spezielle Authentifizierung, die es nirgendwo sonst in Ihrer Infrastruktur gibt. Ransomware-Angriffe beginnen häufig damit, dass sie die Standard-Anmeldeinformationen für die Verwaltung ausspähen und dann dieselben Anmeldeinformationen verwenden, um Backup-Repositories zu finden und zu zerstören. Wenn der Backup-Speicher die Authentifizierung mit den Produktionssystemen teilt, kann eine einzige Verletzung der Anmeldedaten alles gefährden.

Anforderungen an die Zugriffskontrolle:

• Aktivieren Sie eine Multi-Faktor-Authentifizierung für jeden menschlichen Zugriff auf die Backup-Infrastruktur – Hardware-Tokens oder Authentifizierungsanwendungen bieten einen besseren Schutz als SMS-basierte Codes.
• Implementieren Sie eine rollenbasierte Zugriffskontrolle, die Backup-Operatoren (die Aufträge ausführen und den Abschluss überwachen) von Backup-Administratoren (die Richtlinien und Speicher konfigurieren) trennt.
• Gewähren Sie für jede Funktion die minimal erforderlichen Berechtigungen – Lesezugriff auf Dateien für Backup-Agenten, Schreibzugriff auf bestimmte Speicherorte, mehr nicht
• Vermeiden Sie Root- oder Administratorrechte für Backup-Vorgänge, die Ransomware unnötigen Zugriff auf das System geben

Erstellen Sie Dienstkonten ausschließlich für Backup-Vorgänge, die keinen anderen Systemzugriff erlauben. Diese Konten sollten sich niemals bei Workstations, E-Mail-Systemen oder anderen Anwendungen anmelden. Die Architektur von Bacula erzwingt diese Trennung standardmäßig, indem sie ihre Daemons unter dedizierten Dienstkonten laufen lässt, die unabhängig von den Produktions-Workloads arbeiten.

Überwachen Sie die Authentifizierungsprotokolle für den Zugriff auf das Backup-System, insbesondere fehlgeschlagene Anmeldeversuche, Zugriff von ungewöhnlichen Orten oder die Verwendung von Anmeldeinformationen außerhalb der normalen Backup-Fenster. Überprüfen Sie privilegierte Aktionen wie die Änderung von Aufbewahrungsrichtlinien oder das Löschen von Backups – legitime Änderungen kommen nur selten vor, so dass unautorisierte Aktivitäten offensichtlich sind.

Offline-Speicherung

Die Offline-Speicherung ist einer der besten Schutzmaßnahmen gegen die Ausbreitung der Ransomware-Verschlüsselung auf den Backup-Speicher. Es gibt eine Reihe von Speicheroptionen, die erwähnenswert sind:

Backup-Kopieraufträge

Ein Sicherungskopieauftrag kopiert vorhandene Sicherungsdaten auf ein anderes Plattensystem, um sie später wiederherzustellen oder an einen externen Speicherort zu senden.

Die Ausführung eines Sicherungskopierauftrags ist eine hervorragende Möglichkeit, Wiederherstellungspunkte mit anderen Aufbewahrungsregeln als beim regulären Sicherungsauftrag zu erstellen (und auf einem anderen Speicherplatz zu speichern). Der Sicherungskopieauftrag ist ein wertvoller Mechanismus, der Ihnen hilft, Backups vor Ransomware zu schützen, da mit dem Sicherungskopieauftrag verschiedene Wiederherstellungspunkte verwendet werden.

Wenn Sie beispielsweise ein zusätzliches Speichergerät zu Ihrer Infrastruktur hinzufügen (z.B. einen Linux-Server), können Sie dafür ein Repository definieren und einen Sicherungskopieauftrag erstellen, der als Ransomware-Backup dient.

Vermeiden Sie zu viele Dateisystemtypen

Obwohl die Einbeziehung verschiedener Protokolle eine gute Möglichkeit ist, die Verbreitung von Ransomware zu verhindern, sollten Sie sich darüber im Klaren sein, dass dies keinesfalls eine Garantie gegen Ransomware-Backup-Angriffe ist. Die verschiedenen Arten von Ransomware entwickeln sich ständig weiter und werden immer effektiver, und es tauchen immer wieder neue Typen auf.

Daher ist es ratsam, einen unternehmensweiten Sicherheitsansatz zu verwenden: Der Backup-Speicher sollte so weit wie möglich unzugänglich sein, und es sollte nur ein einziges Dienstkonto auf bekannten Rechnern geben, das darauf zugreifen muss. Auf Dateisysteme, die zur Speicherung von Sicherungsdaten verwendet werden, sollten nur die entsprechenden Dienstkonten Zugriff haben, um alle Informationen vor Ransomware-Angriffen zu schützen.

Verwenden Sie die 3-2-1-1-Regel

Die 3-2-1-Regel bedeutet, dass Sie drei verschiedene Kopien Ihrer Daten auf zwei verschiedenen Medien haben, von denen eine außerhalb des Unternehmens liegt. Die Stärke dieses Ansatzes für Ransomware-Backups liegt darin, dass er praktisch jedes Ausfallszenario abdeckt und keine speziellen Technologien erfordert, die eingesetzt werden müssen. In der Ära der Ransomware empfiehlt Bacula, der Regel eine zweite „1“ hinzuzufügen, nämlich eine, bei der eines der Medien offline ist. Es gibt eine Reihe von Optionen, bei denen Sie eine Offline- oder Semi-Offline-Kopie Ihrer Daten erstellen. In der Praxis sind Sie dieser Regel schon sehr nahe, wenn Sie ein Backup auf Nicht-Dateisystem-Ziele erstellen. Daher sind Bänder und Cloud-Objektspeicherziele hilfreich für Sie. Die Aufbewahrung von Bändern in einem Tresor, nachdem sie geschrieben wurden, ist eine seit langem bewährte Praxis.

Cloud-Speicherziele fungieren aus Sicht der Datensicherung als Semi-Offline-Speicher. Die Daten befinden sich nicht vor Ort, und der Zugriff auf sie erfordert benutzerdefinierte Protokolle und eine sekundäre Authentifizierung. Einige Cloud-Anbieter erlauben es, Objekte in einen unveränderlichen Zustand zu versetzen, was die Anforderung erfüllt, dass sie nicht von einem Angreifer beschädigt werden können. Wie bei jeder Cloud-Implementierung nimmt man ein gewisses Maß an Zuverlässigkeit und Sicherheitsrisiko in Kauf, wenn man dem Cloud-Anbieter kritische Daten anvertraut, aber als sekundäre Backup-Quelle ist die Cloud sehr überzeugend.

Überprüfen Sie die Integrität des Backups (die 3-2-1-1-0-Regel)

Die moderne 3-2-1-1-0-Regel erweitert die traditionellen Backup-Praktiken um eine entscheidende fünfte Komponente: Null Fehler. Dieses Prinzip unterstreicht, dass Backups nur dann wertvoll sind, wenn ihre erfolgreiche Wiederherstellung bei Bedarf garantiert ist. Die „0“ steht für verifizierte, fehlerfreie Backups, die getestet wurden und nachweislich wiederherstellbar sind.

Viele Unternehmen entdecken zu spät, dass ihre Backups beschädigt oder unvollständig sind oder nicht wiederhergestellt werden können. Ransomware schlummert manchmal wochen- oder monatelang in Sicherungskopien, bevor sie aktiviert wird, so dass eine regelmäßige Überprüfung unerlässlich ist. Ohne systematische Prüfung haben Sie möglicherweise mehrere Kopien unbrauchbarer Daten statt funktionaler Backups.

Die Umsetzung des Null-Fehler-Prinzips erfordert mehrere Praktiken:

• Nach jedem Backup-Job sollten automatisierte Integritätsprüfungen durchgeführt werden, die die Prüfsummen und die Integrität der Dateien überprüfen. Diese Prüfungen fangen Korruption sofort auf und nicht erst in einer Krisensituation.
• Regelmäßige Wiederherstellungstests bedeuten, dass Sie regelmäßig Daten aus allen Backup-Quellen wiederherstellen, um sicherzustellen, dass der Prozess durchgängig funktioniert. Die Testwiederherstellungen sollten verschiedene Szenarien abdecken: einzelne Dateien, ganze Systeme und vollständige Disaster Recovery-Situationen.
• Die Überprüfung von Bandbreite und Leistung stellt sicher, dass Ihre Infrastruktur in der Lage ist, Wiederherstellungen mit voller Kapazität innerhalb der von Ihnen angestrebten Wiederherstellungszeit durchzuführen. Ein Backup, das drei Wochen für die Wiederherstellung benötigt, kann technisch intakt, aber betrieblich unbrauchbar sein.
• Die Dokumentation der Wiederherstellungsprozeduren sollte beibehalten und bei jedem Test aktualisiert werden, um sicherzustellen, dass die Mitarbeiter auch unter Druck in der Lage sind, Wiederherstellungen erfolgreich durchzuführen.

Planen Sie mindestens vierteljährlich umfassende Wiederherstellungsübungen, bei denen Sie Backups aus verschiedenen Zeiträumen und Speicherorten testen. Messen und dokumentieren Sie während dieser Übungen Ihre tatsächlichen Ziele für die Wiederherstellungszeit (RTO) und den Wiederherstellungspunkt (RPO) und vergleichen Sie sie mit Ihren Geschäftsanforderungen. Diese Praxis verwandelt den theoretischen Backup-Schutz in eine bewährte, zuverlässige Datenwiederherstellungsfunktion.

Vermeiden Sie Speicher-Snapshots

Speicher-Snapshots sind nützlich, um gelöschte Dateien zu einem bestimmten Zeitpunkt wiederherzustellen, aber sie sind kein Backup im eigentlichen Sinne. Speicher-Snapshots verfügen in der Regel nicht über eine fortschrittliche Aufbewahrungsverwaltung und Berichterstattung, und alle Daten sind immer noch auf demselben System gespeichert und daher möglicherweise anfällig für Angriffe, die die primären Daten betreffen. Ein Snapshot ist nicht mehr als eine zeitpunktbezogene Kopie Ihrer Daten. Daher ist das Backup immer noch anfällig für Ransomware-Angriffe, wenn es so programmiert wurde, dass es bis zu einem bestimmten Zeitpunkt ruht.

Bare Metal Wiederherstellung

Bare Metal Recovery wird auf viele verschiedene Arten durchgeführt. Viele Unternehmen installieren einfach ein Standard-Image, stellen Software bereit und stellen dann Daten und/oder Benutzereinstellungen wieder her. In vielen Fällen sind alle Daten bereits an einem anderen Ort gespeichert und das System selbst ist weitgehend unwichtig. In anderen Fällen ist dies jedoch kein praktikabler Ansatz und die Fähigkeit, einen Rechner zu einem bestimmten Zeitpunkt vollständig wiederherzustellen, ist eine wichtige Funktion der Disaster Recovery-Implementierung, mit der Sie Backups vor Ransomware schützen können.

Die Möglichkeit, einen durch Ransomware verschlüsselten Computer zu einem aktuellen Zeitpunkt wiederherzustellen, einschließlich aller lokal gespeicherten Benutzerdaten, kann ein notwendiger Bestandteil einer mehrschichtigen Verteidigung sein. Derselbe Ansatz gilt auch für virtualisierte Systeme, obwohl es in der Regel bessere Optionen auf dem Hypervisor gibt.

Testen von Backup-Plänen

Das Testen von Backup- und Wiederherstellungsprozeduren verwandelt den theoretischen Schutz in eine bewährte Fähigkeit. Unternehmen, die bei Ransomware-Vorfällen Backup-Fehler entdecken, müssen mit katastrophalen Datenverlusten und langen Ausfallzeiten rechnen. Durch regelmäßiges Testen werden Probleme erkannt, bevor es zu Notfällen kommt.

Erstellen Sie einen strukturierten Testplan auf der Grundlage der Kritikalität der Daten. Testen Sie unternehmenskritische Systeme monatlich, wichtige Systeme vierteljährlich und Standardsysteme halbjährlich. Bei jedem Test werden verschiedene Wiederherstellungsszenarien validiert, um eine umfassende Abdeckung zu gewährleisten.

Regelmäßig zu testende Wiederherstellungsszenarien:

• Wiederherstellung auf Dateiebene – Stellen Sie einzelne Dateien und Ordner aus verschiedenen Zeitpunkten wieder her, um die granularen Wiederherstellungsfunktionen zu überprüfen.
• Wiederherstellung auf Systemebene – Stellen Sie komplette Server, Datenbanken oder virtuelle Maschinen wieder her, um die vollständige Systemwiederherstellung zu bestätigen.
• Wiederherstellung auf Bare-Metal-Basis – Bauen Sie Systeme von Grund auf auf neuer Hardware neu auf, um die Wiederherstellungsprozeduren zu überprüfen.
• Plattformübergreifende Wiederherstellung – Testen Sie die Wiederherstellung auf unterschiedlicher Hardware oder in virtualisierten Umgebungen.
• Partielle Wiederherstellung – Stellen Sie bestimmte Anwendungskomponenten oder Datenbanktabellen wieder her, um selektive Wiederherstellungsoptionen zu prüfen.

Dokumentieren Sie während der Tests das Recovery Time Objective (RTO) und das Recovery Point Objective (RPO) für jedes System. RTO misst, wie schnell Sie den Betrieb wiederherstellen – die Zeit zwischen Ausfall und vollständiger Wiederherstellung. RPO misst den potenziellen Datenverlust – die Zeit zwischen dem letzten Backup und dem Ausfallereignis. Vergleichen Sie die tatsächlichen Ergebnisse mit den Geschäftsanforderungen und passen Sie die Backup-Häufigkeit oder die Infrastruktur entsprechend an.

Vergewissern Sie sich, dass die Bandbreitenkapazität für vollständige Wiederherstellungen innerhalb Ihrer RTO-Ziele ausreicht. Ein Backup-System, das drei Wochen für die Wiederherstellung von Terabytes an Daten benötigt, ist trotz technischer Integrität nicht betriebsfähig. Testen Sie die Wiederherstellung über Produktionsnetzwerke während der Geschäftszeiten, um realistische Leistungseinschränkungen zu ermitteln.

Führen Sie eine detaillierte Dokumentation jedes Tests, einschließlich der angewandten Verfahren, der benötigten Zeit, der aufgetretenen Probleme und der ergriffenen Abhilfemaßnahmen. Aktualisieren Sie die Runbooks auf der Grundlage der Testergebnisse, um sicherzustellen, dass die Mitarbeiter die Wiederherstellungen bei tatsächlichen Vorfällen effizient durchführen. Verteilen Sie die Verantwortung für die Tests auf die einzelnen Teammitglieder, um zu verhindern, dass ein einzelner Punkt ausfällt.

Überwachung, Alarmierung und Erkennung von Anomalien

Die kontinuierliche Überwachung erkennt laufende Ransomware-Angriffe, bevor sie die Backup-Infrastruktur zerstören. Angreifer verbringen in der Regel Stunden oder Tage mit der Erkundung von Backup-Systemen, dem Versuch, sich Zugang zu Zugangsdaten zu verschaffen, und dem Testen von Löschfunktionen, bevor sie einen umfassenden Angriff starten. Die Überwachung ist notwendig, um diese Aufklärungsaktivitäten frühzeitig zu erkennen.

Kritische Ereignisse, die sofortige Warnungen erfordern:

• Fehlgeschlagene Authentifizierungsversuche bei Backup-Systemen, insbesondere mehrere Fehlversuche aus einer einzigen Quelle
• Backup-Löschanfragen oder Änderungen der Aufbewahrungsrichtlinien außerhalb der Änderungsfenster
• Ungewöhnliche Backup-Größen – ein drastischer Anstieg deutet auf eine Datenexfiltration hin, ein deutlicher Rückgang auf Korruption oder Manipulationen
• Ausfälle von Backup-Jobs auf mehreren Systemen gleichzeitig, was auf koordinierte Angriffe hindeutet
• Zugriff auf den Backup-Speicher von nicht autorisierten IP-Adressen oder geografischen Standorten aus
• Zugriff auf Verschlüsselungsschlüssel außerhalb der geplanten Backup-Vorgänge

Konfigurieren Sie Basislinien für die Erkennung von Anomalien, indem Sie normale Backup-Muster über einen Zeitraum von 30 Tagen messen. Legen Sie typische Backup-Größen, Abschlusszeiten und Zugriffsmuster für jedes System fest. Integrieren Sie die Protokolle von Backup-Systemen in SIEM-Plattformen ( Security Information and Event Management ), um einen einheitlichen Überblick zu erhalten. Automatisieren Sie nach Möglichkeit die Reaktion auf kritische Alarme. Überprüfen Sie die Überwachungsdaten wöchentlich, auch ohne Warnmeldungen.

Unveränderlicher Speicher

Moderne Ransomware sucht aktiv nach Backups und vernichtet diese, bevor sie die Primärdaten verschlüsselt. Immutable Storage wirkt dieser Bedrohung entgegen, indem es Sicherungskopien erstellt, die nach dem Schreiben nicht mehr verändert, gelöscht oder verschlüsselt werden können – selbst von Administratoren mit vollem Systemzugriff.

Die WORM (Write-Once-Read-Many)-Technologie stellt die robusteste Implementierung der Unveränderbarkeit dar. Wenn Daten im WORM-Format gespeichert werden, werden sie für eine bestimmte Aufbewahrungsfrist dauerhaft gesperrt. Ransomware, die die Anmeldedaten des Administrators kompromittiert, kann diesen Schutz nicht außer Kraft setzen, so dass WORM-Speicher immun gegen Angriffe sind, die auf Anmeldedaten basieren.

Cloud-Anbieter bieten Unveränderbarkeit auf Objektebene durch Dienste wie Amazon S3 Object Lock, Azure Immutable Blob Storage und Google Cloud Storage Retention Policies. Diese Dienste sperren Objekte auf der API-Ebene und verhindern so Lösch- oder Änderungsanfragen von Benutzern oder Anwendungen. Die Konfiguration erfordert die Aktivierung der Unveränderbarkeit auf Bucket- oder Containerebene vor dem Schreiben von Sicherungsdaten.

Zu den hardwarebasierten WORM-Lösungen gehören spezielle Bandbibliotheken und Appliances mit einem durch die Firmware erzwungenen Schreibschutz. Diese Geräte lehnen Änderungsbefehle auf der Hardwareebene ab und bieten so einen von Software-Schwachstellen unabhängigen Schutz.

Implementierungsschritte für unveränderbare Backups:

• Konfigurieren Sie die Backup-Software so, dass sie sofort nach Abschluss des Backups auf unveränderbare Ziele schreibt.
• Legen Sie Aufbewahrungsfristen fest, die Ihre längste potenzielle Ransomware-Ruhephase übersteigen – in der Regel 90 bis 180 Tage, basierend auf aktuellen Bedrohungsmustern
• Trennen Sie die Authentifizierungssysteme für unveränderliche Speicher von den Produktionsumgebungen, indem Sie dedizierte Dienstkonten mit Schreibberechtigung verwenden.
• Schichten Sie unveränderliche Speicher mit der Standard-Backup-Infrastruktur, anstatt sie zu ersetzen – unveränderliche Kopien dienen als letzte Wiederherstellungsoption.
• Überwachen Sie auf unbefugte Zugriffsversuche und fehlgeschlagene Löschanfragen, die aktive Angriffe signalisieren.
• Überprüfen Sie, ob die Einstellungen für die Unveränderlichkeit auch nach Systemaktualisierungen noch gültig sind.

Backup-Verschlüsselung

Die Verschlüsselung schützt Backup-Daten vor unbefugtem Zugriff und verhindert, dass Angreifer gestohlene Backups für doppelte Erpressungsversuche ausnutzen. Moderne Ransomware-Gruppen exfiltrieren zunehmend Daten vor der Verschlüsselung und drohen mit der Veröffentlichung sensibler Informationen, wenn die Opfer kein zusätzliches Lösegeld zahlen. Verschlüsselte Backups machen gestohlene Daten für Angreifer unbrauchbar.

Implementieren Sie Verschlüsselung an zwei kritischen Punkten:

• Daten im Ruhezustand (gespeicherte Backups)
• Daten während der Übertragung (bei Backup- und Wiederherstellungsvorgängen)

Die AES-256-Verschlüsselung bietet branchenüblichen Schutz für gespeicherte Backup-Daten und bietet mit der aktuellen Technologie praktisch unüberwindbare Sicherheit. TLS 1.2 oder höher sichert Daten, die zwischen Backup-Clients und Speicherzielen übertragen werden, und verhindert ein Abfangen während der Übertragung.

Praktiken zur Schlüsselverwaltung:

• Speichern Sie die Verschlüsselungsschlüssel getrennt von den Backup-Daten – neben verschlüsselten Backups gespeicherte Schlüssel bieten keinen Schutz, wenn Angreifer das Speichersystem kompromittieren.
• Verwenden Sie spezielle Schlüsselverwaltungssysteme (KMS) oder Hardware-Sicherheitsmodule (HSMs), die eine manipulationssichere Schlüsselspeicherung und Zugriffsprotokollierung bieten.
• Implementieren Sie rollenbasierte Zugriffskontrollen, die den Schlüsselzugriff auf autorisierte Backup-Administratoren beschränken.
• Rotieren Sie Verschlüsselungsschlüssel jährlich oder nach jedem vermuteten Sicherheitsvorfall
• Bewahren Sie sichere Offline-Kopien der Verschlüsselungsschlüssel an physisch getrennten Orten auf – ein Schlüsselverlust bedeutet einen permanenten Datenverlust, unabhängig von der Integrität des Backups
• Dokumentieren Sie Verfahren zur Wiederherstellung von Schlüsseln und testen Sie diese regelmäßig, um sicherzustellen, dass die Schlüssel im Katastrophenfall zugänglich bleiben.
• Aktivieren Sie die Multi-Faktor-Authentifizierung für alle Zugriffe auf das Schlüsselverwaltungssystem

Trennen Sie die Anmeldedaten für die Schlüsselverwaltung von den Anmeldedaten für das Backup-System. Angreifer, die die Konten von Backup-Administratoren kompromittieren, sollten nicht automatisch Zugriff auf die Verschlüsselungsschlüssel erhalten. Diese Trennung schafft eine zusätzliche Barriere, die Angreifer dazu zwingt, mehrere Authentifizierungssysteme zu umgehen.

Für Unternehmen, die gesetzlichen Vorschriften unterliegen, erfüllt die Verschlüsselung die Anforderungen von GDPR, HIPAA und PCI-DSS. Diese Regelwerke verlangen die Verschlüsselung sensibler Daten im Ruhezustand und bei der Übertragung, so dass die Verschlüsselung von Backups für regulierte Branchen gesetzlich vorgeschrieben und nicht optional ist.

Überwachen Sie die Zugriffsprotokolle für Verschlüsselungsschlüssel auf ungewöhnliche Aktivitäten. Unerwartete Versuche, den Schlüssel abzurufen, deuten auf potenzielle Angriffe hin, die versuchen, Backup-Daten zu entschlüsseln, um sie zu exfiltrieren oder zu sabotieren.

Backup-Richtlinien

Die regelmäßige Überprüfung und Aktualisierung Ihrer Backup-Richtlinien zum Schutz vor Ransomware ist eine besonders wirksame Methode, um die Auswirkungen eines Ransomware-Angriffs zu minimieren oder ihn sogar ganz zu verhindern. Damit die Backup-Richtlinie überhaupt wirksam ist, muss sie aktuell und flexibel sein und Lösungen für alle modernen Ransomware-Angriffsmethoden enthalten.

Eine der besten Abwehrmaßnahmen gegen Ransomware ist die Wiederherstellung von Informationen aus sauberen Backups, denn die Zahlung eines Lösegelds ist keine 100%ige Garantie dafür, dass Ihre Daten überhaupt entschlüsselt werden – was einmal mehr die Bedeutung von Backups verdeutlicht. Zu den Themen, die bei einer gründlichen Prüfung Ihrer gesamten internen Datenstruktur berücksichtigt werden müssen, gehören:

• Ist die 3-2-1-Regel in Kraft?
• Gibt es kritische Systeme, die nicht durch regelmäßige Backups abgedeckt sind?
• Sind diese Backups ordnungsgemäß isoliert, so dass sie nicht von Ransomware betroffen sind?
• Wurde jemals ein System probeweise von einem Backup wiederhergestellt, um zu testen, wie es funktioniert?

Planung der Wiederherstellung im Katastrophenfall

Ein Disaster Recovery Plan (DRP) legt fest, wie Ihr Unternehmen auf Bedrohungen wie Ransomware, Hardwareausfälle, Naturkatastrophen und menschliche Fehler reagiert. Effektive DRPs legen klare Verfahren fest, bevor es zu einem Vorfall kommt, und verhindern so Verwirrung in Stresssituationen.

Rahmen für Wiederherstellungsziele:

Das Recovery Point Objective (RPO) definiert den akzeptablen Datenverlust, gemessen in Zeit – wie viele Daten Sie sich leisten können, zu verlieren. Recovery Time Objective (RTO) definiert die akzeptable Ausfallzeit, d.h. wie schnell Sie den Betrieb wiederherstellen müssen. Legen Sie diese Ziele auf der Grundlage der geschäftlichen Auswirkungen fest:

• Unternehmenskritische Systeme (Finanztransaktionen, Patientenakten): RPO von 15 Minuten bis 1 Stunde, RTO von 1-4 Stunden
• Wichtige Geschäftssysteme (E-Mail, CRM, Projektverwaltung): RPO von 4-8 Stunden, RTO von 8-24 Stunden
• Standardsysteme (Dateiserver, Archive): RPO von 24 Stunden, RTO von 48-72 Stunden

Die Häufigkeit der Backups und die Infrastruktur müssen diese Ziele unterstützen. Systeme mit einem RPO von 15 Minuten erfordern eine kontinuierliche Replikation oder häufige Snapshots, keine täglichen Backups.

Verfahren zur Reaktion auf einen Ransomware-Vorfall:

1. Isolieren Sie die betroffenen Systeme sofort – Trennen Sie die kompromittierten Geräte von den Netzwerken, um eine Ausbreitung der Ransomware zu verhindern, aber lassen Sie die Systeme eingeschaltet, um Beweise zu sichern.
2. Aktivieren Sie das Reaktionsteam für den Vorfall – Weisen Sie Rollen zu: Vorfallskommandant, technischer Leiter, Kommunikationskoordinator, juristische Kontaktperson
3. Umfang abschätzen – Identifizieren Sie alle gefährdeten Systeme, bestimmen Sie die Ransomware-Variante, prüfen Sie, ob Backups betroffen sind.
4. Beweise sichern – Erfassen Sie Speicherauszüge, Protokolle und Systemzustände vor der Behebung des Problems, um die Strafverfolgungsbehörden zu informieren.
5. Überprüfen der Backup-Integrität – Testen Sie die Wiederherstellung von mehreren Backup-Generationen, um sicherzustellen, dass saubere Wiederherstellungspunkte existieren.
6. Wiederherstellung durchführen – Stellen Sie das letzte saubere Backup wieder her, bauen Sie kompromittierte Systeme wieder auf, implementieren Sie zusätzliche Sicherheitskontrollen, bevor Sie die Produktion wieder in Betrieb nehmen.

Dokumentieren Sie Entscheidungen über Ransomware-Zahlungen im Voraus. Legen Sie Kriterien dafür fest, wann eine Zahlung in Frage kommt (lebenswichtige Systeme, keine brauchbaren Backups) und wann sie abgelehnt werden sollte. Verhandeln Sie niemals ohne rechtlichen Beistand und ohne Abstimmung mit den Strafverfolgungsbehörden.

Sicherheitsrelevante Aufklärung der Mitarbeiter

Backups werden sowohl auf systemweiter Ebene als auch auf den Systemen der einzelnen Mitarbeiter durchgeführt, insbesondere wenn es um verschiedene E-Mails und andere spezifische Informationen geht. Wenn Sie Ihre Mitarbeiter darüber aufklären, wie wichtig ihre Beteiligung am Backup-Prozess ist, können Sie noch mehr Lücken in Ihrer Verteidigung gegen Ransomware schließen.

Gleichzeitig sollten Ihre Mitarbeiter, auch wenn sie regelmäßig beim Backup-Prozess helfen, selbst keinen Zugriff auf die Backups haben. Je mehr Personen Zugang zu den gesicherten Daten haben, desto größer ist die Wahrscheinlichkeit, dass Ihr System und Ihre Backups durch menschliches Versagen oder auf andere Weise kompromittiert werden.

Härtung der Infrastruktur und Schutz der Endgeräte

Ransomware nutzt Schwachstellen in Systemen aus, um sich einen ersten Zugang zu verschaffen und sich seitlich im Netzwerk auszubreiten. Eine umfassende Absicherung der Infrastruktur schließt diese Eintrittspunkte und schränkt die Bewegungsfreiheit der Angreifer ein, selbst wenn die Schutzmaßnahmen am Netzwerkrand versagen.

Die Patch-Verwaltung bildet die Grundlage für die Sicherheit der Infrastruktur. Führen Sie die automatische Verteilung von Patches für Betriebssysteme, Anwendungen und Firmware innerhalb von 72 Stunden nach der Veröffentlichung für kritische Schwachstellen ein. Priorisieren Sie Patches, die bekannte Ransomware-Exploits und Schwachstellen bei der Remote-Code-Ausführung beheben. Führen Sie eine Bestandsaufnahme aller Systeme durch, um sicherzustellen, dass keine Lücken in den Patches entstehen.

Endpoint Detection and Response (EDR)-Lösungen bieten Echtzeitüberwachung und Bedrohungserkennung auf Workstations und Servern. EDR-Tools erkennen Verhaltensmuster von Ransomware – wie schnelle Dateiverschlüsselung, ungewöhnliche Prozessausführung oder Versuche, Schattenkopien zu löschen – und isolieren infizierte Endpunkte automatisch, bevor sich Ransomware ausbreitet. Setzen Sie EDR auf allen Endpunkten ein, einschließlich Backup-Servern und administrativen Workstations.

Die Reduzierung der Angriffsfläche beseitigt unnötige Zugangspunkte. Jeder entfernte Dienst oder geschlossene Port stellt eine Schwachstelle weniger dar, die Angreifer ausnutzen können. Deaktivieren Sie daher ungenutzte Dienste, schließen Sie unnötige Netzwerkports, entfernen Sie veraltete Protokolle und deinstallieren Sie Software, die ein Sicherheitsrisiko darstellt. Implementieren Sie außerdem eine Whitelist für Anwendungen, um zu verhindern, dass nicht autorisierte ausführbare Dateien ausgeführt werden.

Schwachstellen-Scans decken Sicherheitslücken auf, bevor Angreifer sie finden. Planen Sie wöchentliche automatische Scans aller Systeme und setzen Sie Prioritäten bei der Beseitigung von Schwachstellen auf der Grundlage der Wahrscheinlichkeit eines Angriffs und der möglichen Auswirkungen. Achten Sie besonders auf die Backup-Infrastruktur, Speichersysteme und Authentifizierungsserver – die wichtigsten Ziele von Ransomware-Kampagnen.

Schulungen zum Sicherheitsbewusstsein sprechen das menschliche Element an. Schulen Sie Ihre Mitarbeiter vierteljährlich darin, Phishing-Versuche, verdächtige Anhänge und Social Engineering-Taktiken zu erkennen. Simulierte Phishing-Übungen identifizieren Benutzer, die zusätzliche Schulungen benötigen. E-Mail- und Phishing-Angriffe waren im Jahr 2024 für 52,3 % der Ransomware-Vorfälle verantwortlich, so dass die Wachsamkeit der Mitarbeiter entscheidend ist.

Regelmäßige Audits zur Härtung der Infrastruktur überprüfen, ob die Sicherheitskonfigurationen durchgesetzt werden. Systeme weichen im Laufe der Zeit durch legitime Änderungen und Fehlkonfigurationen von sicheren Grundlinien ab – regelmäßige Audits decken diese Abweichungen auf, bevor Angreifer sie ausnutzen.

Air Gapping

Air-Gapped-Backups bieten eine physische Isolierung, die sie für netzwerkbasierte Angriffe unerreichbar macht. Dieser Ansatz trennt den Backup-Speicher physisch von allen Netzwerken, der Cloud-Infrastruktur und der Konnektivität während der Zeit, in der keine Backups durchgeführt werden, und schafft so eine absolute Barriere gegen das Eindringen von Ransomware aus der Ferne.

Ransomware breitet sich über Netzwerkverbindungen aus und sucht nach zugänglichen Speicher- und Backup-Repositories. Air-gapped Storage eliminiert diesen Angriffsvektor vollständig – wenn das Speichergerät keine Netzwerkverbindung hat, kann Ransomware es nicht erreichen, unabhängig von der Kompromittierung von Zugangsdaten oder Zero-Day-Exploits.

Implementierung von Air-Gapped-Backups:

• Verwenden Sie Wechselspeichergeräte wie externe Festplatten, NAS-Geräte oder Bandmedien.
• Verbinden Sie die Geräte nur während der geplanten Backup-Fenster mit dem Backup-System und trennen Sie die Verbindung sofort nach Abschluss des Backups.
• Erstellen Sie einen Rotationsplan mit mehreren Speichergeräten – während ein Gerät das aktuelle Backup erfasst, bleiben die vorherigen Geräte an sicheren physischen Orten vollständig offline.
• Lagern Sie die getrennten Geräte an einem von der primären Infrastruktur getrennten physischen Ort, um sie sowohl vor Ransomware als auch vor physischen Katastrophen zu schützen.
• Konfigurieren Sie Backups als vollständige Kopien und nicht als inkrementelle Ketten (kettenfreie Backups), die von früheren Generationen abhängen – dies ermöglicht die Wiederherstellung von jedem einzelnen Gerät, ohne dass Sie Zugriff auf andere Backup-Versionen benötigen.
• Automatisieren Sie die Trennung der Verbindung mit programmgesteuerten Bandbibliotheken oder Speicher-Arrays, wo dies möglich ist, um menschliche Fehler zu vermeiden.
• Dokumentieren Sie die Wiederverbindungsprozeduren gründlich für Situationen, in denen die Reaktion auf einen Vorfall besonders schwierig ist.

Air-Gapped-Backups eignen sich für Unternehmen mit definierten Backup-Fenstern und Wiederherstellungszeitzielen, die in Stunden statt in Minuten gemessen werden. Echtzeitanwendungen, die eine sofortige Ausfallsicherung erfordern, benötigen zusätzlichen Schutz durch replizierte Systeme oder unveränderlichen Cloud-Speicher.

Konfigurieren Sie Backups als vollständige Kopien und nicht als inkrementelle Ketten, die von vorherigen Backups abhängen. Kettenfreie Backups ermöglichen die Wiederherstellung von jedem einzelnen Gerät mit Luftschnittstelle, ohne dass Sie auf andere Backup-Generationen zugreifen müssen. Wenn Ransomware Ihre inkrementelle Sicherungskette kompromittiert, bleiben kettenfreie Archive unabhängig wiederherstellbar.

Amazon S3 Objekt-Sperre

Object Lock ist eine Funktion des Amazon Cloud-Speichers, die einen verbesserten Schutz der in S3-Buckets gespeicherten Informationen ermöglicht. Die Funktion verhindert, wie der Name schon sagt, jede unbefugte Aktion mit einem bestimmten Objekt oder einer Gruppe von Objekten für einen bestimmten Zeitraum, so dass die Daten für einen bestimmten Zeitraum praktisch unveränderbar sind.

Einer der wichtigsten Anwendungsfälle für Object Lock ist die Einhaltung verschiedener Rahmenwerke und Compliance-Vorschriften, aber es ist auch eine nützliche Funktion für allgemeine Datenschutzbemühungen. Es ist auch relativ einfach einzurichten – der Endbenutzer muss lediglich einen Aufbewahrungszeitraum auswählen, wodurch die Daten für eine gewisse Zeit in ein WORM-Format umgewandelt werden.

Es gibt zwei Hauptaufbewahrungsmodi, die S3 Object Lock bietet – den Compliance-Modus und den Governance-Modus. Der Compliance-Modus ist der am wenigsten strenge der beiden und bietet die Möglichkeit, den Aufbewahrungsmodus zu ändern, während die Daten „gesperrt“ sind. Der Governance-Modus hingegen hindert die meisten Benutzer daran, die Daten in irgendeiner Weise zu manipulieren – die einzigen Benutzer, die während des Aufbewahrungszeitraums etwas mit den Daten machen dürfen, sind diejenigen, die über spezielle Bypass-Berechtigungen verfügen.

Es ist auch möglich, Object Lock zu verwenden, um einen „Legal Hold“ für bestimmte Daten zu aktivieren. Dieser funktioniert außerhalb von Aufbewahrungsfristen und Aufbewahrungsmodi und verhindert, dass die betreffenden Daten aus rechtlichen Gründen, z.B. bei Rechtsstreitigkeiten, manipuliert werden.

Zero Trust Sicherheit

Der anhaltende Wandel von traditioneller Sicherheit hin zu datenzentrierter Sicherheit hat viele neue Technologien hervorgebracht, die unglaubliche Sicherheitsvorteile bieten, auch wenn der Preis dafür in der Benutzererfahrung liegt. So ist beispielsweise ein Zero-Trust-Sicherheitsansatz eine relativ gängige Taktik für moderne Sicherheitssysteme, die als großartige Schutzbarriere vor Ransomware und anderen potenziellen Bedrohungen dient.

Der allgemeine Zero-Trust-Sicherheitsansatz basiert auf dem Grundgedanken der datenzentrierten Sicherheit und versucht, alle Benutzer und Geräte, die auf bestimmte Informationen zugreifen, zu überprüfen und zu kontrollieren, unabhängig davon, wer sie sind und wo sie sich befinden. Diese Art von Ansatz konzentriert sich auf vier Hauptsäulen“:

• Das Prinzip der geringsten Privilegien bietet jedem Benutzer so wenige Privilegien im System wie möglich und versucht so, das Problem des übermäßig privilegierten Zugriffs zu entschärfen, das die meisten Branchen jahrelang hatten.
• Umfassende Segmentierung wird meist verwendet, um den Umfang eines potenziellen Sicherheitsverstoßes zu begrenzen und die Möglichkeit auszuschließen, dass ein einzelner Angreifer auf einmal Zugang zum gesamten System erhält.
• Die ständige Überprüfung ist ein Grundprinzip der Zero-Trust-Sicherheit, ohne eine Liste „vertrauenswürdiger Benutzer“, die zur Umgehung des Sicherheitssystems verwendet wird.
• Eine ständige Überwachung ist auch notwendig, um sicherzustellen, dass alle Benutzer legitim und real sind, falls es einem modernen Angriffsprogramm oder einem bösen Akteur gelingt, die erste Sicherheitsebene zu umgehen.

Netzwerksegmentierung für die Backup-Infrastruktur

Die Isolierung von Backup-Systemen von Produktionsnetzwerken verhindert, dass Ransomware seitlich zwischen kompromittierten Workstations und Backup-Repositories wandert. Wenn sich die Backup-Infrastruktur den Netzwerkbereich mit Endgeräten und Servern teilt, nutzen Angreifer die gleichen Wege, um beide Ziele zu erreichen.

Stellen Sie Backup-Systeme in dedizierten Netzwerksegmenten mit separaten VLANs oder physischen Subnetzen bereit. Konfigurieren Sie Firewall-Regeln, die nur den notwendigen Backup-Verkehr zwischen Produktions- und Backup-Netzwerken zulassen – in der Regel beschränkt auf Backup-Agenten, die Verbindungen zu Backup-Servern auf bestimmten Ports initiieren. Blockieren Sie jeglichen anderen Datenverkehr, insbesondere Verwaltungsprotokolle zwischen Produktion und Backup wie RDP oder SSH.

Verwenden Sie separate Active Directory-Domänen oder -Wälder für die Authentifizierung der Backup-Infrastruktur. Die Kompromittierung der Produktionsdomäne verschafft Angreifern häufig unternehmensweiten Zugriff, auch auf Backup-Systeme, wenn beide die Authentifizierungsinfrastruktur gemeinsam nutzen. Bei getrennten Domänen müssen Angreifer mehrere Authentifizierungssysteme unabhängig voneinander knacken.

Implementieren Sie Jump Hosts oder Bastion Server als einzigen Einstiegspunkt für die Verwaltung von Backup-Systemen. Die Administratoren verbinden sich zuerst mit dem Jump-Host und greifen dann von dort aus auf die Backup-Infrastruktur zu. Diese Architektur schafft einen überwachten Chokepoint für alle administrativen Zugriffe und verhindert direkte Verbindungen von potenziell gefährdeten Workstations.

Checkliste zur Netzwerkisolierung:

• Dedizierte VLANs oder Subnetze für Backup-Server und Speicher
• Firewall-Regeln, die den Backup-Verkehr nur auf die notwendigen Ports und Richtungen beschränken
• Separate Authentifizierungsdomänen für die Backup-Infrastruktur
• Jump-Host-Anforderung für die gesamte Backup-Systemverwaltung
• Netzwerkzugriffskontrolle (NAC), die verhindert, dass nicht autorisierte Geräte Backup-Segmente erreichen
• Regelmäßige Überprüfungen der Firewall-Regeln, um unnötige Zugriffsrechte zu entfernen

Wie würden Backup-System-Tools einen zusätzlichen Schutz vor Ransomware bieten?

Wenn Sie einen erweiterten Ansatz für das gleiche Problem eines mit Ransomware infizierten Backups wählen, ist es möglich – und ratsam – die Tools von Backup-Systemen als zusätzliches Mittel zum Schutz vor Angriffen einzusetzen. Im Folgenden finden Sie fünf bewährte Praktiken für Ransomware-Backups – zum weiteren Schutz eines Unternehmens vor Ransomware:

• Stellen Sie sicher, dass die Backups selbst frei von Ransomware und/oder Malware sind. Die Überprüfung, dass Ihr Backup nicht infiziert ist, sollte eine Ihrer höchsten Prioritäten sein, da der gesamte Nutzen eines Backups als Schutzmaßnahme gegen Ransomware zunichte gemacht wird, wenn Ihre Backups durch Ransomware kompromittiert sind. Führen Sie regelmäßig System-Patches durch, um Schwachstellen in der Software zu schließen, investieren Sie in Tools zur Erkennung von Malware und aktualisieren Sie diese regelmäßig. Und versuchen Sie, Ihre Mediendateien nach Änderungen so schnell wie möglich offline zu nehmen. In manchen Fällen können Sie einen WORM-Ansatz (Write-One-Read-Many) in Erwägung ziehen, um Ihre Backups vor Ransomware zu schützen – ein spezieller Medientyp, der nur für bestimmte Band- und optische Datenträger sowie einige wenige Cloud-Speicheranbieter vorgesehen ist.
• Verlassen Sie sich nicht auf Cloud-Backups als einzigen Backup-Speichertyp. Obwohl Cloud-Speicher eine Reihe von Vorteilen haben, sind sie nicht völlig unempfindlich gegen Ransomware. Auch wenn es für einen Angreifer schwieriger ist, Daten physisch zu beschädigen, ist es für Ransomware-Angreifer immer noch möglich, sich Zugang zu Ihren Daten zu verschaffen, indem sie entweder die gemeinsam genutzte Infrastruktur des Cloud-Speichers als Ganzes nutzen oder diesen Cloud-Speicher mit dem Gerät eines infizierten Kunden verbinden.
• Überprüfen und testen Sie Ihre bestehenden Wiederherstellungs- und Backup-Pläne. Ihr Backup- und Wiederherstellungsplan sollte regelmäßig getestet werden, um sicherzustellen, dass Sie vor Bedrohungen geschützt sind. Wenn Sie erst nach einem Ransomware-Angriff feststellen, dass Ihr Wiederherstellungsplan nicht wie vorgesehen funktioniert, ist das natürlich unerwünscht. Die beste Ransomware-Backup-Strategie ist diejenige, die nie mit bösartigen Datenverletzungen zu tun haben wird. Spielen Sie verschiedene Szenarien durch, überprüfen Sie einige Ihrer Ergebnisse in Bezug auf die Wiederherstellung, z.B. die Zeit bis zur Wiederherstellung, und legen Sie fest, welche Teile des Systems standardmäßig priorisiert werden. Denken Sie daran, dass viele Unternehmen die Kosten für den Ausfall von Diensten in Dollar pro Minute messen und nicht in einer anderen Kennzahl.
• Klären oder aktualisieren Sie die Aufbewahrungsrichtlinien und erstellen Sie Backup-Zeitpläne. Eine regelmäßige Überprüfung Ihrer Ransomware-Backup-Strategien wird dringend empfohlen. Möglicherweise werden Ihre Daten nicht oft genug gesichert oder die Aufbewahrungsfrist für die Sicherungskopien ist zu kurz, so dass Ihr System anfällig für fortschrittlichere Arten von Ransomware ist, die über Zeitverzögerungen und andere Infektionsmethoden auf Sicherungskopien abzielen.
• Überprüfen Sie alle Ihre Datenspeicherorte gründlich. Um Backups vor Ransomware zu schützen, sollten diese überprüft werden, um sicherzustellen, dass keine Daten verloren gehen und alles ordnungsgemäß gesichert wird – möglicherweise auch Endbenutzersysteme, Cloud-Speicher, Anwendungen und andere Systemsoftware.

Wie greift Ransomware Ihre Backups an und kompromittiert sie?

Es stimmt zwar, dass Backup- und Wiederherstellungssysteme in den meisten Fällen in der Lage sind, Unternehmen vor Ransomware zu schützen, aber diese Systeme sind nicht die einzigen, die sich im Laufe der Jahre weiterentwickeln – denn auch Ransomware wird im Laufe der Zeit immer ungewöhnlicher und raffinierter.

Eines der neueren Probleme bei diesem ganzen Ansatz mit den Backups ist, dass viele Ransomware-Varianten inzwischen gelernt haben, nicht nur auf die Daten des Unternehmens selbst abzuzielen und diese anzugreifen, sondern auch auf die Backups desselben Unternehmens – und das ist ein erhebliches Problem für die gesamte Branche. Viele Ransomware-Autoren haben ihre Malware so modifiziert, dass sie Backups aufspüren und eliminieren. Aus diesem Blickwinkel betrachtet, schützen Backups Ihre Daten zwar immer noch vor Ransomware – aber Sie müssen auch die Backups vor Ransomware schützen.

Es ist möglich, einige der Hauptangriffe zu erkennen, die typischerweise verwendet werden, um Ihre Backups als Ganzes zu manipulieren. Wir werden die wichtigsten hervorheben und erklären, wie Sie sie nutzen, um Backups vor Ransomware zu schützen:

Das Schadenspotenzial von Ransomware steigt mit längeren Wiederherstellungszyklen

Auch wenn das Problem der langen Wiederherstellungszyklen nicht so offensichtlich ist wie andere Möglichkeiten, so ist es doch ein großes Problem in der Branche und wird meist durch veraltete Backup-Produkte verursacht, die nur langsame Vollbackups durchführen. In diesen Fällen dauern die Wiederherstellungszyklen nach einem Ransomware-Angriff Tage oder sogar Wochen – und das ist für die meisten Unternehmen eine schwerwiegende Unterbrechung, da die Kosten für Systemausfälle und Produktionsstopps die anfänglichen Schadensschätzungen durch Ransomware schnell in den Schatten stellen.

Um Ihre Backups vor Ransomware zu schützen, gibt es zwei mögliche Lösungen: a) eine Lösung, die Ihnen so schnell wie möglich eine Kopie Ihres gesamten Systems zur Verfügung stellt, so dass Sie nicht Tage oder sogar Wochen im Wiederherstellungsmodus verbringen müssen, und b) eine Lösung, die eine Massenwiederherstellung als Funktion anbietet, mit der Sie mehrere VMs, Datenbanken und Server sehr schnell wieder zum Laufen bringen können.

Ihre Versicherungspolice kann auch zu Ihrer Haftung werden

Wie wir bereits erwähnt haben, tauchen immer mehr Ransomware-Varianten auf, die es sowohl auf Ihre Originaldaten als auch auf Ihre Backups abgesehen haben oder manchmal sogar versuchen, Ihre gesicherten Daten zu infizieren und/oder zu zerstören, bevor sie sich zur Quelle bewegen. Sie müssen es der Ransomware also so schwer wie möglich machen, alle Ihre Sicherungskopien zu zerstören – eine Art mehrschichtige Verteidigung.

Cyberkriminelle nutzen sehr ausgeklügelte Angriffe, die auf Daten abzielen, und haben es direkt auf Ihre Backups abgesehen, da diese Ihre wichtigste Versicherungspolice sind, um Ihr Unternehmen am Laufen zu halten. Sie sollten über eine einzige Kopie der Daten verfügen, die so beschaffen ist, dass sie niemals von einem externen System gemountet werden kann (oft als unveränderliche Sicherungskopie bezeichnet), und verschiedene umfassende Sicherheitsfunktionen implementieren, wie das bereits erwähnte WORM, sowie moderne Datenisolierung, Datenverschlüsselung, Manipulationserkennung und Überwachung auf abnormales Datenverhalten.

Es gibt zwei Maßnahmen, auf die wir etwas näher eingehen werden:

• Unveränderliche Sicherungskopie. Die unveränderbare Sicherungskopie ist eine der wichtigsten Maßnahmen gegen Ransomware-Angriffe – es handelt sich um eine Kopie Ihrer Sicherungskopie, die in keiner Weise verändert werden kann, sobald Sie sie erstellt haben. Sie dient einzig und allein dazu, Ihre Hauptdatenquelle zu sein, wenn Sie von Ransomware angegriffen wurden und Ihre Daten wieder so benötigen, wie sie vorher waren. Unveränderliche Backups können nicht gelöscht, geändert, überschrieben oder auf andere Weise modifiziert werden – sie können nur in andere Quellen kopiert werden. Einige Anbieter preisen die Unveränderbarkeit als narrensicher an – aber in Bezug auf Ransomware-Backups gibt es so etwas nicht. Sie sollten jedoch keine Angst vor Ransomware-Angriffen mit unveränderlichen Backups haben. Stellen Sie einfach sicher, dass Sie über eine umfassende Strategie verfügen, die die Erkennung und Verhinderung von Angriffen umfasst, und implementieren Sie eine solide Verwaltung der Anmeldeinformationen.
• Backup-Verschlüsselung. Es ist eine gewisse Ironie, dass Verschlüsselung auch als eine der Maßnahmen zur Abwehr von Ransomware-Angriffen eingesetzt wird – denn viele Ransomware nutzt Verschlüsselung, um Lösegeld für Ihre Daten zu verlangen. Die Verschlüsselung macht Ihre Backups nicht ransomware-sicher und verhindert auch keine Exploits. Im Kern soll die Backup-Verschlüsselung jedoch als eine weitere Maßnahme gegen Ransomware dienen, indem sie Ihre Daten innerhalb der Backups verschlüsselt, so dass Ransomware sie gar nicht erst lesen oder verändern kann.

Probleme mit der Sichtbarkeit Ihrer Daten sind ein Vorteil für Ransomware

Es liegt in der Natur der Sache, dass Ransomware am gefährlichsten ist, wenn sie in eine schlecht verwaltete Infrastruktur eindringt – sozusagen „dunkle Daten“. Dort richtet sie großen Schaden an, ein Ransomware-Angriff verschlüsselt Ihre Daten und/oder verkauft sie im Dark Web. Dies ist ein erhebliches Problem, das die modernsten Technologien erfordert, um es zu erkennen und wirksam zu bekämpfen.

Während eine frühzeitige Erkennung von Ransomware nur mit einer modernen Datenverwaltungslösung und einem guten Backup-System möglich ist, erfordert die Erkennung solcher Bedrohungen in Echtzeit eine Kombination aus maschinellem Lernen und künstlicher Intelligenz – so dass Sie in Echtzeit Warnungen über verdächtige Ransomware-Aktivitäten erhalten, was die Entdeckung von Angriffen sehr viel schneller macht.

Datenfragmentierung ist eine ernste Schwachstelle

Natürlich haben viele Unternehmen regelmäßig mit großen Datenmengen zu tun. Die Größe ist jedoch nicht so sehr ein Problem wie die Fragmentierung – es ist nicht ungewöhnlich, dass sich die Daten eines Unternehmens an mehreren verschiedenen Orten befinden und eine Reihe verschiedener Speichertypen verwenden. Die Fragmentierung führt auch zu großen Zwischenspeichern von Sekundärdaten (die für den Geschäftsbetrieb nicht immer unerlässlich sind), die Ihre Speicherkapazität beeinträchtigen und Sie anfälliger machen.

Jeder dieser Speicherorte und jeder dieser Backup-Typen bietet einen weiteren potenziellen Angriffspunkt für Ransomware, um Ihre Daten auszunutzen – und macht es noch schwieriger, das gesamte Unternehmenssystem zu schützen. In diesem Fall ist es eine gute Empfehlung, eine Datenerkennungslösung in Ihr System einzubinden, die viele verschiedene Vorteile mit sich bringt – einer davon ist ein besserer Überblick über die Gesamtheit Ihrer Daten, wodurch es viel einfacher wird, Bedrohungen, ungewöhnliche Aktivitäten und potenzielle Schwachstellen zu erkennen.

Benutzeranmeldedaten werden mehrfach für Ransomware-Angriffe verwendet

Benutzeranmeldeinformationen waren schon immer eines der größten Probleme in diesem Bereich. Sie verschaffen Ransomware-Angreifern ungehinderten Zugang zu wertvollen Daten in Ihrem Unternehmen – und nicht alle Unternehmen sind in der Lage, den Diebstahl von vornherein zu erkennen. Wenn Ihre Benutzeranmeldeinformationen kompromittiert werden, nutzen Ransomware-Angreifer die verschiedenen offenen Ports und verschaffen sich Zugang zu Ihren Geräten und Anwendungen. Die ganze Situation mit den Benutzeranmeldeinformationen hat sich verschlimmert, als Unternehmen aufgrund von Covid gezwungen waren, 2019 weitgehend auf Fernarbeit umzusteigen – und dieses Problem ist immer noch so präsent wie eh und je.

Diese Schwachstellen beeinträchtigen sogar Ihre Backups und machen sie anfälliger für Ransomware. Die einzige Möglichkeit, diese Art von Sicherheitslücke zu bekämpfen, besteht in der Regel darin, in strenge Zugangskontrollen für die Benutzer zu investieren – einschließlich Funktionen wie Multi-Faktor-Authentifizierung, rollenbasierte Zugangskontrollen, ständige Überwachung und so weiter.

Testen Sie Ihre Backups immer wieder

Viele Unternehmen stellen erst dann fest, dass ihre Backups versagt haben oder zu schwer wiederherzustellen sind, wenn sie Opfer eines Ransomware-Angriffs geworden sind. Wenn Sie sicherstellen wollen, dass Ihre Daten geschützt sind, sollten Sie immer eine Art regelmäßige Übung durchführen und die genauen Schritte zur Erstellung und Wiederherstellung Ihrer Backups dokumentieren.

Da einige Arten von Ransomware auch inaktiv bleiben, bevor sie Ihre Daten verschlüsseln, lohnt es sich, alle Ihre Sicherungskopien regelmäßig zu testen – da Sie möglicherweise nicht wissen, wann genau die Infektion stattgefunden hat. Denken Sie daran, dass Ransomware immer komplexere Wege finden wird, um sich zu verstecken und Ihre Bemühungen zur Wiederherstellung von Backups noch kostspieliger zu machen.

Fazit

Um Ihr Backup optimal vor Ransomware und ähnlichen Bedrohungen zu schützen, rät Bacula Systems dringend dazu, dass Ihr Unternehmen die oben aufgeführten Best Practices für Datensicherung und -wiederherstellung vollständig einhält. Die in diesem Blog-Beitrag beschriebenen Methoden und Tools werden von den Kunden von Bacula regelmäßig eingesetzt, um ihre Backups erfolgreich vor Ransomware zu schützen. Unternehmen, die über keine fortschrittlichen Datensicherungslösungen verfügen, empfiehlt Bacula dringend, ihre Backup-Strategie vollständig zu überprüfen und eine moderne Backup- und Recovery-Lösung zu evaluieren. Bacula ist in der Branche allgemein dafür bekannt, dass seine Backup-Software ein außergewöhnlich hohes Maß an Sicherheit bietet. Kontaktieren Sie Bacula jetzt für weitere Informationen.

Das Wichtigste in Kürze

• Moderne Ransomware-Angriffe zielen in den meisten Fällen auf Backup-Systeme ab, so dass der Schutz von Backups genauso wichtig ist wie der Schutz von Produktionsdaten
• Implementieren Sie die 3-2-1-1-0-Regel mit drei Kopien der Daten auf zwei Medientypen, eine außerhalb des Standorts, eine unveränderliche oder offline, und null Fehlern durch regelmäßige Überprüfungs- und Wiederherstellungstests
• Unveränderlicher Speicher mit WORM-Technologie und Air-Gapped-Backups schaffen mehrere Verteidigungsschichten, die Angreifer daran hindern, Sicherungskopien zu löschen oder zu verschlüsseln, selbst wenn die Anmeldedaten des Administrators kompromittiert wurden.
• Trennen Sie die Backup-Infrastruktur von den Produktionsnetzwerken durch dedizierte VLANs, getrennte Authentifizierungsdomänen und strenge Zugangskontrollen mit Multi-Faktor-Authentifizierung, um eine seitliche Verbreitung von Ransomware zu verhindern.
• Doppelte Erpressungstaktiken bedeuten, dass Backups allein keinen Schutz vor Datendiebstahl und Veröffentlichungsbedrohungen bieten können – Unternehmen benötigen umfassende Strategien einschließlich Verschlüsselung, Schutz vor Datenverlust und Netzwerksegmentierung.
• Regelmäßige Wiederherstellungstests mit dokumentierten RTO- und RPO-Metriken verwandeln den theoretischen Backup-Schutz in eine nachgewiesene Fähigkeit, während die kontinuierliche Überwachung Aufklärungsaktivitäten aufdeckt, bevor Angreifer die Backup-Infrastruktur zerstören.