Home > Backup- und Wiederherstellungs-Blog > Ransomware-Backup-Strategien und bewährte Praktiken. Wie kann man Backups vor Ransomware schützen?

Ransomware-Backup-Strategien und bewährte Praktiken. Wie kann man Backups vor Ransomware schützen?

1 Star2 Stars3 Stars4 Stars5 Stars
(22 stimmen, durchschnitt: 4,50 aus 5)
Loading...
Aktualisiert 24th Mai 2022, Rob Morrison

Erhöhter Bedarf an Ransomware-Backup-Schutz

Obwohl zahlreiche Cybersicherheitsvorfälle in den letzten Jahren regelmäßig für internationale Schlagzeilen sorgten, war es vor allem der WannaCry-Ransomware-Angriff im Mai 2017, der den Fokus erneut und dringend darauf lenkte, was Organisationen tun müssen, um ihre Unternehmen und Dienste vor Ransomware zu schützen. Dieser Angriff hatte schwerwiegende Auswirkungen auf Tausende von Organisationen weltweit und betraf mehr als 150 Länder und über 200.000 Computer.

Der WannaCry-Ransomware-Angriff ist ein Beispiel für Krypto-Ransomware, eine Art von Malware, mit der Geld erpresst werden soll. In diesem Fall verschlüsselten die Cyberkriminellen wertvolle Dateien, nahmen die Daten als Geiseln und versprachen, sie nur zurückzugeben, wenn ein Bitcoin-Lösegeld gezahlt wird. Dieser spezielle Angriff zeigte auf dramatische Weise, warum es so wichtig ist, regelmäßig Backups zu erstellen und diese Backups auch vor Ransomware zu schützen.

Einige der gängigsten Methoden zur Verbreitung von Ransomware sind Phishing-E-Mails, Spam und Social Engineering – aber auch neuere Methoden wie Drive-by-Downloads oder tatsächlich infizierte Websites werden ständig weiterentwickelt. Der Hauptzweck von Ransomware besteht darin, in ein vernetztes System einzudringen – dann kann sie die Daten eines Unternehmens verschlüsseln und anschließend ein Lösegeld für die Aufhebung der Verschlüsselung verlangen. Es gibt Möglichkeiten, Ihr Unternehmen gegen diese Angriffe zu schützen, und die erste, entscheidende ist, dass Sie sicherstellen, dass Sie Backups haben, die vor Ransomware geschützt sind.

Schauen wir uns zunächst die verschiedenen Arten von Bedrohungen an. Verschlüsselungsbezogene Ransomware (Cryptoware) ist eine der am weitesten verbreiteten Arten von Ransomware in der heutigen Zeit. Einige weniger verbreitete Beispiele für Ransomware-Typen sind:

  • Sperrbildschirme (Unterbrechung mit der Lösegeldforderung, aber ohne Verschlüsselung),
  • Ransomware für mobile Geräte (Infektion von Mobiltelefonen),
  • MBR-Verschlüsselungs-Ransomware (infiziert einen Teil des Dateisystems von Microsoft, der zum Booten des Computers verwendet wird, und verhindert so, dass der Benutzer überhaupt auf das Betriebssystem zugreifen kann),
  • Erpressersoftware/Leakware (zielt auf sensible und kompromittierende Daten ab und fordert dann Lösegeld als Gegenleistung für die Nichtveröffentlichung der angegriffenen Daten) und so weiter.

Die Häufigkeit von Ransomware-Angriffen wird im Jahr 2022 und darüber hinaus drastisch zunehmen, und zwar mit zunehmender Raffinesse. So gibt es bereits Malware, die noch raffinierter ist als WannaCry und die tatsächlich nach schwachen Backup-Systemen sucht und die gesicherten Daten selbst verschlüsselt. Es ist von entscheidender Bedeutung, dass wir auf diese Bedrohungen vorbereitet sind und die notwendige Verbindung zwischen Ransomware und Backups verstehen. Eine Studie von Palo Alto Networks zeigt, dass allein in der ersten Hälfte des Jahres 2021 die durchschnittliche Lösegeldzahlung mehr als eine halbe Million Dollar beträgt (570.000 $+, um genau zu sein).

Vorbeugende Maßnahmen sind zwar der beste Weg, um mit Ransomware umzugehen, aber sie sind in der Regel nicht zu 100 % wirksam. Bei Angriffen, die erfolgreich eindringen, ist die Datensicherung die letzte Bastion der Verteidigung, die eine IT-Abteilung nutzen kann. Datensicherung und -wiederherstellung sind nachweislich ein wirksames und wichtiges Schutzelement gegen die Bedrohung durch Ransomware. Um Daten effektiv wiederherstellen zu können, müssen Sie jedoch einen strikten Zeitplan für die Datensicherung einhalten und verschiedene Maßnahmen ergreifen, um zu verhindern, dass Ihr Backup ebenfalls von Ransomware erfasst und verschlüsselt wird.

Damit ein Unternehmen seine Backups ausreichend vor Ransomware schützen kann, muss es sich im Vorfeld Gedanken machen und vorbereiten. Datenschutztechnologien, bewährte Backup-Verfahren und Mitarbeiterschulungen sind entscheidend, um die geschäftsbedrohenden Unterbrechungen abzumildern, die Ransomware-Angriffe auf die Backup-Server eines Unternehmens verursachen können.

Ransomware-Angriffe auf Backup-Systeme sind häufig opportunistisch und nicht unbedingt gezielt. Der genaue Prozess unterscheidet sich je nach Programm, aber Ransomware durchforstet in der Regel ein System auf der Suche nach bestimmten Dateitypen und verschlüsselt diese, wenn sie die Erweiterung einer Sicherungsdatei findet. Anschließend versucht sie, sich zu verbreiten und so viele andere Systeme wie möglich zu infizieren. Die Bewegung dieser Malware-Programme erfolgt seitlich und nicht absichtlich.

Einer der besten Schutzmaßnahmen gegen solche Angriffe ist eine Daten- und Ransomware-Backup-Lösung mit korrekter Architektur, die richtig konfiguriert ist und mit Best-Practice-Backup-Strategien kombiniert wird. Dazu gehört auch, dass alle Cloud-Backups angemessen geschützt und verfügbar sind und dass Sie eine Strategie haben, um sicherzustellen, dass Sie lokale infizierte Dateien nicht mit solchen synchronisieren, die in der Cloud sicher aufbewahrt werden sollten. Das bedeutet auch, dass aktuelle Kopien dieser Daten an anderer Stelle verfügbar sein müssen. Für jedes mittlere bis große Unternehmen ist eine unternehmensgerechte Datensicherungslösung unerlässlich, denn die richtige Datensicherung, -speicherung und Compliance-Praxis kann den entscheidenden Unterschied zwischen dem Überleben und dem Scheitern eines Unternehmens im Falle eines Ransomware-Angriffs ausmachen.

Verbreitete Mythen über Ransomware und Backups

Wenn Sie recherchieren, wie Sie Backups vor Ransomware schützen können, stoßen Sie möglicherweise auf falsche oder veraltete Ratschläge. In Wirklichkeit ist der Schutz von Backups vor Ransomware etwas komplexer, daher sollten wir einige der gängigsten Mythen zu diesem Thema näher beleuchten.

Ransomware Backup Mythos 1: Ransomware infiziert keine Backups. Sie denken vielleicht, dass Ihre Dateien sicher sind. Allerdings wird nicht jede Ransomware aktiviert, sobald Sie infiziert sind. Einige warten, bevor sie aktiv werden. Das bedeutet, dass Ihre Backups möglicherweise bereits eine Kopie der Ransomware enthalten.

Ransomware Backup Mythos 2: Verschlüsselte Backups sind vor Ransomware geschützt. Es spielt keine Rolle, ob Ihre Backups verschlüsselt sind. Sobald Sie eine Backup-Wiederherstellung durchführen, kann die Infektion wieder lauffähig werden und sich aktivieren.

Ransomware Backup Mythos 3: Nur Windows ist betroffen. Viele Leute denken, dass sie ihre Backups auf einem anderen Betriebssystem ausführen können, um die Bedrohung zu beseitigen. Wenn die infizierten Dateien in der Cloud gehostet werden, kann die Ransomware leider überwechseln.

Natürlich gibt es immer noch viele Möglichkeiten, wie Sie Ihre Backups vor Ransomware schützen können. Im Folgenden finden Sie einige wichtige Strategien, die Sie für Ihr Unternehmen in Betracht ziehen sollten.

Die 7 besten Ransomware-Backup-Strategien

Im Folgenden finden Sie einige spezifische technische Überlegungen für Ihre Unternehmens-IT-Umgebung, um Ihren Backup-Server vor künftigen Ransomware-Angriffen zu schützen:

1. Verwenden Sie eindeutige Anmeldeinformationen, ausschließlich für die Speicherung von Sicherungskopien

Dies ist eine grundlegende Best Practice für Ransomware-Backups; und angesichts der zunehmenden Zahl von Ransomware-Angriffen auf Backup-Server ist dies nach wie vor notwendig. Der Kontext, mit dem jemand auf den Sicherungsspeicher zugreift, muss absolut vertraulich sein und darf nur für diesen einen bestimmten Zweck verwendet werden. Andere Sicherheitskontexte sollten ebenfalls nicht auf den Sicherungsspeicher zugreifen können, mit Ausnahme der Konten, die für die eigentlichen Sicherungsvorgänge benötigt werden. Um Backups vor Ransomware zu schützen, sollten Sie es vermeiden, als Root oder Administrator zu arbeiten. Verwenden Sie möglichst eingeschränkte Dienstkonten, wann immer dies möglich ist. Bacula baut standardmäßig eine Zwei-Faktor-Authentifizierung in das Design ein und ermöglicht es dem Benutzer, so viel Trennung wie möglich anzuwenden, wenn er mit Produktions-Workloads zu tun hat, um ein ransomware-sicheres Backup zu erstellen. Zum Beispiel stellt die Standardinstallation sicher, dass die Daemons mit dedizierten Dienstkonten laufen.

2. Machen Sie die Offline-Speicherung zum Bestandteil der Sicherungsstrategie

Die Offline-Speicherung ist eine der besten Schutzmaßnahmen gegen die Ausbreitung von Ransomware-Verschlüsselung auf den Backup-Speicher. Es gibt eine Reihe von Speichermöglichkeiten, die genutzt werden können:

Medientyp Was wichtig ist
Cloud-Ziel-Backups Diese verwenden einen anderen Authentifizierungsmechanismus. Sie können nur teilweise mit dem Sicherungssystem verbunden werden. Die Verwendung von Cloud-Ziel-Backups ist eine gute Möglichkeit, Backups vor Ransomware zu schützen, da Ihre Daten in der Cloud sicher aufbewahrt werden. Im Falle eines Angriffs können Sie Ihr System von dort aus wiederherstellen, auch wenn das teuer werden kann. Sie sollten auch bedenken, dass durch die Synchronisierung mit einem lokalen Datenspeicher die Infektion auch auf Ihr Cloud-Backup hochgeladen werden kann.
Primärspeicher Schnappschüsse Snapshots haben einen anderen Authentifizierungsrahmen und können zur Wiederherstellung verwendet werden. Snapshot-Kopien sind schreibgeschützte Sicherungen, so dass neue Ransomware-Angriffe sie nicht infizieren können. Wenn Sie eine Bedrohung erkennen, können Sie sie einfach von einer Kopie wiederherstellen, die vor dem Angriff erstellt wurde.
Replizierte VMs Am besten durch ein anderes Authentifizierungs-Framework gesteuert, z. B. durch die Verwendung verschiedener Domänen für vSphere- und Hyper-V-Hosts, und ausgeschaltet. Sie müssen nur darauf achten, dass Sie Ihren Aufbewahrungszeitplan genau im Auge behalten. Wenn ein Ransomware-Angriff stattfindet und Sie ihn nicht bemerken, bevor Ihre Backups verschlüsselt sind, haben Sie möglicherweise keine Backups mehr, die Sie wiederherstellen können.
Festplatten/SSD Abgetrennt, nicht eingehängt oder offline, es sei denn, es wird von ihnen gelesen oder auf sie geschrieben. Einige Solid-State-Laufwerke wurden mit Malware geknackt, aber das geht über die Reichweite von herkömmlicher Backup-Ransomware hinaus.
Band Mehr Offline als mit Bändern, die aus einer Bandbibliothek entladen wurden, geht nicht. Diese sind auch für die externe Speicherung geeignet. Da die Daten in der Regel außerhalb des Standorts aufbewahrt werden, sind Bandsicherungen normalerweise vor Ransomware-Angriffen und Naturkatastrophen sicher. Bänder sollten immer verschlüsselt werden.
Appliances Da es sich bei Appliances um Blackboxen handelt, müssen sie ordnungsgemäß gegen unbefugten Zugriff gesichert werden, um sie vor Ransomware-Angriffen zu schützen. Eine strengere Netzwerksicherheit als bei normalen Dateiservern ist ratsam, da Appliances mehr unerwartete Schwachstellen aufweisen können als normale Betriebssysteme.

3. Verwenden Sie Sicherungskopieaufträge, um das Risiko zu mindern

Ein Sicherungskopieauftrag kopiert vorhandene Sicherungsdaten auf ein anderes Plattensystem, damit sie später wiederhergestellt oder an einen externen Speicherort gesendet werden können.

Die Ausführung eines Sicherungskopierauftrags ist eine hervorragende Möglichkeit, Wiederherstellungspunkte mit anderen Aufbewahrungsregeln als beim regulären Sicherungsauftrag zu erstellen (und kann auf einem anderen Speicherplatz liegen). Der Sicherungskopierauftrag kann ein wertvoller Mechanismus sein, der Sie vor Ransomware schützen kann, da mit dem Sicherungskopierauftrag verschiedene Wiederherstellungspunkte verwendet werden.

Wenn Sie zum Beispiel ein zusätzliches Speichergerät zu Ihrer Infrastruktur hinzufügen (z. B. einen Linux-Server), können Sie ein Repository dafür definieren und einen Sicherungskopieauftrag erstellen, der als Ransomware-Backup dient.

4. Verlassen Sie sich nicht auf verschiedene Dateisysteme, um den Sicherungsspeicher zu schützen

Obwohl die Verwendung verschiedener Protokolle eine gute Möglichkeit sein kann, die Verbreitung von Ransomware zu verhindern, sollten Sie sich darüber im Klaren sein, dass dies keineswegs eine Garantie gegen Ransomware-Backup-Angriffe ist. Die verschiedenen Arten von Ransomware entwickeln sich ständig weiter und werden immer effektiver, und es tauchen häufig neue Typen auf.

Daher ist es ratsam, ein Sicherheitskonzept auf Unternehmensniveau zu verwenden: Sicherungsspeicher sollten so weit wie möglich unzugänglich sein, und es sollte nur ein Dienstkonto auf bekannten Computern geben, das darauf zugreifen muss. Auf Dateisysteme, in denen Sicherungsdaten gespeichert werden, sollten nur die entsprechenden Dienstkonten Zugriff haben, um alle Informationen vor Ransomware-Angriffen zu schützen.

Es gibt keinen Grund, warum Endbenutzer von verschiedenen Systemen jemals die Erlaubnis haben sollten, auf sie zuzugreifen. Die Verwendung eines weiteren Satzes von Anmeldeinformationen für den Zugriff auf gemeinsam genutzte Dateisysteme, z. B. für Snapshots, Offline-Freigaben oder Cloud-Speicher, ist ein von Natur aus unsicherer Ansatz – all dies sollte ausschließlich auf das Konto des Sicherungsdienstes beschränkt sein.

5. Beachten Sie die 3-2-1-1-Regel

Die 3-2-1-Regel bedeutet, dass Sie drei verschiedene Kopien Ihrer Daten auf zwei verschiedenen Datenträgern haben, von denen sich eine außerhalb des Unternehmens befindet. Die Stärke dieses Ansatzes für Ransomware-Backups liegt darin, dass er praktisch jedes Ausfallszenario abdecken kann und keine speziellen Technologien erfordert, die eingesetzt werden müssen. Im Zeitalter von Ransomware empfiehlt Bacula, die Regel um eine zweite „1“ zu ergänzen, nämlich eine, bei der eines der Medien offline ist. Es gibt eine Reihe von Möglichkeiten, wie Sie eine Offline- oder Semi-Offline-Kopie Ihrer Daten erstellen können. In der Praxis sind Sie dieser Regel schon sehr nahe, wenn Sie auf Nicht-Dateisystemziele sichern. Daher sind Bänder und Cloud-Objektspeicherziele für Sie hilfreich. Die Aufbewahrung von Bändern in einem Tresor, nachdem sie geschrieben wurden, ist eine seit langem bewährte Praxis.

Cloud-Speicherziele können aus Sicht der Datensicherung als Semi-Offline-Speicher fungieren. Die Daten befinden sich nicht vor Ort, und der Zugriff auf sie erfordert benutzerdefinierte Protokolle und eine sekundäre Authentifizierung. Einige Cloud-Anbieter erlauben es, Objekte in einen unveränderlichen Zustand zu versetzen, was die Anforderung erfüllt, dass sie nicht von einem Angreifer beschädigt werden können. Wie bei jeder Cloud-Implementierung wird ein gewisses Maß an Zuverlässigkeit und Sicherheitsrisiko in Kauf genommen, wenn man dem Cloud-Anbieter kritische Daten anvertraut, aber als sekundäre Backup-Quelle ist die Cloud sehr überzeugend.

6. Vorsicht bei der Verwendung von Speicher-Snapshots auf dem Backup-Speicher

Speicher-Snapshots sind nützlich, um gelöschte Dateien zu einem bestimmten Zeitpunkt wiederherzustellen, aber sie sind kein Backup im eigentlichen Sinne. Speicher-Snapshots verfügen in der Regel nicht über eine fortschrittliche Aufbewahrungsverwaltung und Berichterstattung, und alle Daten sind immer noch auf demselben System gespeichert und daher möglicherweise anfällig für Angriffe, die die Primärdaten betreffen. Ein Snapshot ist nicht mehr als eine zeitpunktbezogene Kopie Ihrer Daten. Daher kann die Sicherung immer noch anfällig für Ransomware-Angriffe sein, wenn diese so programmiert wurden, dass sie bis zu einem bestimmten Zeitpunkt ruhen.

7. Stellen Sie sicher, dass Sie alle Systeme von Bare Metal wiederherstellen können

Die Wiederherstellung von Bare-Metal-Systemen kann auf viele verschiedene Arten erfolgen. Viele Unternehmen installieren einfach ein Standard-Image, stellen Software bereit und stellen dann Daten und/oder Benutzereinstellungen wieder her. In vielen Fällen sind alle Daten bereits an einem anderen Ort gespeichert und das System selbst ist weitgehend unwichtig. In anderen Fällen ist dieser Ansatz jedoch nicht praktikabel, und die Möglichkeit, einen Rechner zu einem bestimmten Zeitpunkt vollständig wiederherzustellen, ist eine wichtige Funktion der Disaster-Recovery-Implementierung, mit der Sie Backups vor Ransomware schützen können.

Die Möglichkeit, einen mit Ransomware verschlüsselten Computer zu einem aktuellen Zeitpunkt wiederherzustellen, einschließlich aller lokal gespeicherten Benutzerdaten, kann ein notwendiger Bestandteil einer mehrschichtigen Verteidigung sein. Der gleiche Ansatz kann auf virtualisierte Systeme angewandt werden, obwohl es in der Regel bessere Optionen auf dem Hypervisor gibt.

Systemspezifische Tools als Mittel zum zusätzlichen Schutz vor Ransomware

Um das Problem der durch Ransomware infizierten Backups zu lösen, ist es möglich – und ratsam -, die Tools von Backup-Systemen als zusätzliches Mittel zum Schutz vor Angriffen zu nutzen. Im Folgenden finden Sie fünf bewährte Verfahren für Ransomware-Backups, mit denen Sie Ihr Unternehmen noch besser vor Ransomware schützen können:

  • Stellen Sie sicher, dass die Backups selbst frei von Ransomware und/oder Malware sind. Die Überprüfung, dass Ihr Backup nicht infiziert ist, sollte eine Ihrer höchsten Prioritäten sein, da der gesamte Nutzen von Backups als Schutzmaßnahme gegen Ransomware zunichte gemacht wird, wenn Ihre Backups durch Ransomware kompromittiert werden. Führen Sie regelmäßig Systempatches durch, um Sicherheitslücken in der Software zu schließen, investieren Sie in Tools zur Erkennung von Malware und aktualisieren Sie diese regelmäßig, und versuchen Sie, Ihre Mediendateien nach Änderungen so schnell wie möglich offline zu nehmen. In einigen Fällen können Sie einen WORM-Ansatz (Write-One-Read-Many) in Erwägung ziehen, um Ihre Backups vor Ransomware zu schützen – ein spezieller Medientyp, der nur für bestimmte Band- und optische Festplattentypen sowie für einige Cloud-Speicheranbieter zur Verfügung steht.
  • Verlassen Sie sich nicht auf Cloud-Backups als einzigen Backup-Speichertyp. Obwohl Cloud-Speicher eine Reihe von Vorteilen haben, sind sie nicht völlig unempfindlich gegenüber Ransomware. Auch wenn es für einen Angreifer schwieriger ist, Daten physisch zu beschädigen, ist es für Ransomware-Angreifer immer noch möglich, sich Zugang zu Ihren Daten zu verschaffen, entweder über eine gemeinsam genutzte Infrastruktur des Cloud-Speichers als Ganzes oder indem sie den Cloud-Speicher mit dem Gerät eines infizierten Kunden verbinden. Aus diesem Grund wird dringend empfohlen, neben der Online-Sicherung immer eine alternative Sicherungsstrategie zu verfolgen und in Kombination mit der Cloud ein separates Sicherungsmedium und einen separaten Zielort zu wählen, z. B. ein externes Band. Durch redundante Schutzmaßnahmen können Sie Ihre Daten vor Ransomware schützen. Bedenken Sie auch, dass eine umfangreiche Wiederherstellung aus einer Cloud-Quelle sehr teuer und langsam sein kann.
  • Prüfen und testen Sie Ihre bestehenden Wiederherstellungs- und Sicherungspläne. Ihr Sicherungs- und Wiederherstellungsplan sollte regelmäßig getestet werden, um sicherzustellen, dass Sie vor Bedrohungen geschützt sind. Wenn Sie erst nach einem Ransomware-Angriff feststellen, dass Ihr Wiederherstellungsplan nicht wie vorgesehen funktioniert, ist das natürlich unerwünscht. Die beste Ransomware-Backup-Strategie ist diejenige, die nie mit bösartigen Datenverstößen konfrontiert wird. Spielen Sie verschiedene Szenarien durch, überprüfen Sie einige Ihrer Ergebnisse in Bezug auf die Wiederherstellung, z. B. die Zeit bis zur Wiederherstellung, und legen Sie fest, welche Teile des Systems standardmäßig priorisiert werden. Denken Sie daran, dass viele Unternehmen die Kosten für den Ausfall von Diensten in Dollar pro Minute messen können – und sollten.
  • Klären oder aktualisieren Sie die Aufbewahrungsrichtlinien und erstellen Sie Backup-Zeitpläne. Eine regelmäßige Überprüfung Ihrer Ransomware-Backup-Strategien wird dringend empfohlen. Möglicherweise werden Ihre Daten nicht oft genug gesichert oder die Aufbewahrungsfrist für die Sicherungskopien ist zu kurz, so dass Ihr System anfällig für fortschrittlichere Arten von Ransomware ist, die über Zeitverzögerungen und andere Infektionsmethoden auf Sicherungskopien abzielen.
  • Prüfen Sie gründlich alle Speicherorte Ihrer Daten. Um Backups vor Ransomware zu schützen, sollten diese überprüft werden, um sicherzustellen, dass keine Daten verloren gehen und alles ordnungsgemäß gesichert wird – möglicherweise einschließlich Endbenutzersystemen, Cloud-Speichern, Anwendungen und anderer Systemsoftware.

Wie Ransomware Ihre Backups manipulieren kann

Zwar sind Backup- und Wiederherstellungssysteme in den meisten Fällen in der Lage, Unternehmen vor Ransomware zu schützen, doch sind diese Systeme nicht die einzigen, die sich im Laufe der Jahre weiterentwickeln – denn auch Ransomware wird im Laufe der Zeit immer ungewöhnlicher und raffinierter.

Eines der neueren Probleme im Zusammenhang mit Backups besteht darin, dass viele Ransomware-Varianten inzwischen nicht mehr nur auf die Daten des Unternehmens abzielen, sondern auch die Backups desselben Unternehmens angreifen – und das ist ein großes Problem für die gesamte Branche. Viele Ransomware-Autoren haben ihre Malware so modifiziert, dass sie Backups aufspüren und eliminieren. So gesehen können Backups Ihre Daten zwar immer noch vor Ransomware schützen, aber Sie müssen auch Backups vor Ransomware schützen.

Es ist möglich, einige der Hauptangriffe zu erkennen, die typischerweise verwendet werden, um Ihre Backups insgesamt zu manipulieren. Wir werden die wichtigsten davon hervorheben und erklären, wie Sie sie nutzen können, um Backups vor Ransomware zu schützen:

  • Ransomware-Schadenspotenzial steigt mit längeren Wiederherstellungszyklen

Auch wenn das Problem der langen Wiederherstellungszyklen nicht so offensichtlich ist wie andere Möglichkeiten, so ist es in der Branche doch ein ziemlich großes Problem, das meist durch veraltete Backup-Produkte verursacht wird, die nur langsame Vollbackups durchführen können. In diesen Fällen können die Wiederherstellungszyklen nach einem Ransomware-Angriff Tage oder sogar Wochen dauern – und für die meisten Unternehmen ist dies eine massive Katastrophe, da die Kosten für Systemausfälle und Produktionsstopps die anfänglichen Schadensschätzungen durch Ransomware schnell in den Schatten stellen können.

Um Ihre Backups vor Ransomware zu schützen, gibt es zwei mögliche Lösungen: a) eine Lösung, die Ihnen so schnell wie möglich eine Kopie Ihres gesamten Systems zur Verfügung stellt, so dass Sie nicht Tage oder sogar Wochen im Wiederherstellungsmodus verbringen müssen, und b) eine Lösung, die eine Massenwiederherstellung als Funktion bietet, mit der Sie mehrere VMs, Datenbanken und Server sehr schnell wieder zum Laufen bringen können.

  • Ihre Versicherungspolice kann auch Ihre Haftung werden

Wie wir bereits erwähnt haben, tauchen immer mehr Ransomware-Varianten auf, die es sowohl auf Ihre Originaldaten als auch auf Ihre Sicherungskopien abgesehen haben und manchmal sogar versuchen, Ihre gesicherten Daten zu infizieren und/oder zu zerstören, bevor sie sich zur Quelle bewegen. Daher müssen Sie es der Ransomware so schwer wie möglich machen, alle Ihre Sicherungskopien zu zerstören – eine Art mehrschichtige Verteidigung.

Cyberkriminelle nutzen sehr ausgeklügelte Angriffe, die auf Daten abzielen, und haben es direkt auf Ihre Backups abgesehen, da diese Ihre wichtigste Versicherungspolice sind, um Ihr Unternehmen am Laufen zu halten. Sie sollten über eine einzige Kopie der Daten verfügen, die so beschaffen ist, dass sie niemals von einem externen System gemountet werden kann (oft als unveränderliche Sicherungskopie bezeichnet), und verschiedene umfassende Sicherheitsfunktionen implementieren, wie das bereits erwähnte WORM, sowie moderne Datenisolierung, Datenverschlüsselung, Erkennung von Manipulationen und Überwachung auf abnormales Datenverhalten.

There are two measures here that we can go over in a bit more detail:

  • Nicht veränderbare Sicherungskopie. Die unveränderliche Sicherungskopie ist eine der wichtigsten Maßnahmen gegen Ransomware-Angriffe – es handelt sich dabei um eine Kopie Ihrer Sicherungskopie, die in keiner Weise verändert werden kann, sobald Sie sie erstellt haben. Sie dient ausschließlich als Hauptdatenquelle, wenn Sie von Ransomware angegriffen wurden und Ihre Daten in ihrem ursprünglichen Zustand zurückerhalten müssen. Unveränderliche Backups können nicht gelöscht, geändert, überschrieben oder auf andere Weise modifiziert werden – sie können nur in andere Quellen kopiert werden. Unveränderbare Backups sind ein wirksamer Schutz gegen Ransomware, da sie, wie der Name schon sagt, unveränderbar sind. Einige Anbieter preisen die Unveränderbarkeit als narrensicher an – aber in Bezug auf Ransomware-Backups gibt es so etwas nicht. Jede Backup-Umgebung kann für Schläferangriffe anfällig sein, bei denen die Ransomware in die Daten eindringt und eine Zeit lang unbemerkt bleibt. Sie sollten jedoch keine Angst vor Ransomware-Angriffen auf Backups haben, die nicht abgewehrt werden können. Stellen Sie einfach sicher, dass Sie eine ganzheitliche Strategie verfolgen, die die Erkennung und Verhinderung von Angriffen umfasst, und implementieren Sie eine solide Verwaltung der Anmeldeinformationen.
  • Backup-Verschlüsselung. Es ist eine gewisse Ironie, dass Verschlüsselung auch als eine der Maßnahmen zur Abwehr von Ransomware-Angriffen eingesetzt wird – denn viele Ransomware nutzt Verschlüsselung, um Lösegeld für Ihre Daten zu fordern. Die Verschlüsselung macht Ihre Backups nicht ransomware-sicher und verhindert auch keine Angriffe. Im Kern soll die Backup-Verschlüsselung jedoch als weitere Maßnahme gegen Ransomware dienen, indem sie Ihre Daten in den Backups verschlüsselt, so dass Ransomware sie gar nicht erst lesen oder verändern kann – sie verwandelt Ihre strukturierten Daten in ein Durcheinander von Symbolen, das ohne einen Verschlüsselungscode nicht wieder in den regulären Zustand zurückversetzt werden kann.
  • VSichtbarkeitsprobleme Ihrer Daten werden zu einem Vorteil für Ransomware

Es liegt in der Natur der Sache, dass Ransomware am gefährlichsten ist, wenn sie in ein schlecht verwaltetes System eindringt – eine Art „dunkle Daten“. Dort kann sie großen Schaden anrichten. Ein Ransomware-Angriff kann Ihre Daten verschlüsseln und/oder sie im Dark Web verkaufen. Dies ist ein erhebliches Problem, für dessen Erkennung und wirksame Bekämpfung die modernsten Technologien erforderlich sind.

Während eine frühzeitige Erkennung von Ransomware nur mit einer modernen Datenverwaltungslösung und einem guten Backup-System möglich ist, erfordert die Erkennung solcher Bedrohungen in Echtzeit eine Kombination aus maschinellem Lernen und künstlicher Intelligenz – so dass Sie Warnungen über verdächtige Ransomware-Aktivitäten in Echtzeit erhalten können, was die Entdeckung von Angriffen erheblich beschleunigt.

  • Datenfragmentierung ist eine massive Schwachstelle

Natürlich haben viele Unternehmen regelmäßig mit großen Datenmengen zu tun. Die Größe ist jedoch weniger ein Problem als die Fragmentierung – es ist nicht ungewöhnlich, dass sich die Daten eines Unternehmens an mehreren verschiedenen Orten befinden und eine Reihe unterschiedlicher Speichertypen verwenden. Die Fragmentierung kann auch zu großen Zwischenspeichern von Sekundärdaten führen (die für den Geschäftsbetrieb nicht immer unerlässlich sind), die Ihre Speicherkapazitäten beeinträchtigen und Sie anfälliger machen können.

Jeder dieser Speicherorte und Backup-Typen stellt einen weiteren potenziellen Angriffspunkt für Ransomware auf Ihre Daten dar, was den Schutz des gesamten Unternehmenssystems von vornherein erschwert. In diesem Fall ist es eine gute Empfehlung, eine Datenerkennungslösung in Ihr System einzubinden, die viele verschiedene Vorteile mit sich bringt – einer davon ist ein besserer Überblick über die Gesamtheit Ihrer Daten, wodurch es viel einfacher wird, Bedrohungen, ungewöhnliche Aktivitäten und potenzielle Schwachstellen zu erkennen.

  • Benutzeranmeldedaten können mehrfach für Ransomware-Angriffe verwendet werden

Benutzeranmeldeinformationen sind seit jeher eines der größten Probleme in diesem Bereich, da sie Ransomware-Angreifern den Zugang zu wertvollen Daten in Ihrem Unternehmen ermöglichen – und nicht alle Unternehmen können den Diebstahl überhaupt erst erkennen. Wenn Ihre Benutzeranmeldeinformationen kompromittiert werden, können Ransomware-Angreifer die verschiedenen offenen Ports ausnutzen und sich Zugang zu Ihren Geräten und Anwendungen verschaffen. Die gesamte Situation mit Benutzeranmeldeinformationen hat sich verschlimmert, als Unternehmen aufgrund von Covid gezwungen waren, 2019 weitgehend auf Remote-Arbeit umzustellen – und dieses Problem ist nach wie vor präsent.

Laut dem 2021 Data Breach Investigation Report von Verizon wurden über 60 % der Datenschutzverletzungen in einem Jahr mit kompromittierten Zugangsdaten durchgeführt. Diese Schwachstellen können auch Ihre Backups beeinträchtigen und sie anfälliger für Ransomware machen. Die einzige Möglichkeit, diese Art von Sicherheitslücke zu bekämpfen, besteht in der Regel darin, in strenge Zugangskontrollen für Benutzer zu investieren – einschließlich Funktionen wie Multifaktor-Authentifizierung, rollenbasierte Zugangskontrollen, ständige Überwachung und so weiter.

Da die Bedrohung durch Ransomware zunimmt (sowohl in Bezug auf die Häufigkeit als auch auf die Raffinesse), sollten Sie sicherstellen, dass Sie eine zuverlässige Identitätsüberprüfung durchführen. Ein einfaches Passwort aus 8 Zeichen kann in nur einer Stunde geknackt werden. Mit zunehmender Verarbeitungsgeschwindigkeit der Computer wird diese Zeitspanne noch kürzer werden. Wenn Sie die Identität mit einem hohen Maß an Effizienz feststellen, können Sie verhindern, dass Ransomware-Angreifer Ihre Sicherungsdaten beschädigen.

  • Testen Sie Ihre Backups immer wieder

Viele Unternehmen stellen erst dann fest, dass ihre Backups versagt haben oder zu schwer wiederherzustellen sind, wenn sie Opfer eines Ransomware-Angriffs geworden sind. Wenn Sie sicherstellen wollen, dass Ihre Daten geschützt sind, sollten Sie immer eine Art regelmäßige Übung durchführen und die genauen Schritte zur Erstellung und Wiederherstellung Ihrer Backups dokumentieren.

Da einige Arten von Ransomware auch inaktiv bleiben können, bevor sie Ihre Daten verschlüsseln, lohnt es sich, alle Sicherungskopien regelmäßig zu überprüfen – da Sie möglicherweise nicht wissen, wann genau die Infektion stattgefunden hat. Denken Sie daran, dass Ransomware immer komplexere Wege finden wird, um sich zu verstecken und Ihre Bemühungen zur Wiederherstellung von Sicherungskopien noch kostspieliger zu machen.

Fazit

Um Ihr Backup optimal vor Ransomware und ähnlichen Bedrohungen zu schützen, rät Bacula Systems dringend, dass Ihr Unternehmen die oben aufgeführten Best Practices für Datensicherung und -wiederherstellung vollständig einhält. Die in diesem Blog-Beitrag beschriebenen Methoden und Tools werden von den Kunden von Bacula Systems regelmäßig eingesetzt, um ihre Backups vor Ransomware zu schützen. Unternehmen, die über keine fortschrittlichen Datensicherungslösungen verfügen, empfiehlt Bacula Systems dringend, ihre Backup-Strategie zu überprüfen und eine moderne Backup- und Recovery-Lösung zu evaluieren.

Laden Sie das Whitepaper von Bacula zum Schutz vor Ransomware herunter.

Über den Autor
Rob Morrison
Rob Morrison ist der Marketingdirektor bei Bacula Systems. Er begann seine IT-Marketing-Karriere bei Silicon Graphics in der Schweiz, wo er fast 10 Jahre lang in verschiedenen Marketing-Management-Positionen sehr erfolgreich war. In den folgenden 10 Jahren hatte Rob Morrison auch verschiedene Marketing-Management-Positionen bei JBoss, Red Hat und Pentaho inne und sorgte für das Wachstum der Marktanteile dieser bekannten Unternehmen. Er ist Absolvent der Plymouth University und hat einen Honours-Abschluss in Digital Media and Communications und ein Overseas Studies Program absolviert.
Einen Kommentar hinterlassen

Deine Email-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *