Backup in der Welt von Ransomware

Was Ransomware so gefährlich macht

Das große Problem bei Ransomware liegt in Folgendem: Ist einmal ein System vom Angreifer kompromittiert, kann der Angreifer alle Daten verschlüsseln, auf die er von diesem System aus schreibenden Zugriff hat. Sind in einem Unternehmen Zugriffe auf sensible Daten stark eingeschränkt, mag dies zunächst nicht allzu gefährlich erscheinen. Natürlich wird ein Angreifer einen Teil der Daten verschlüsseln können, doch warum hört man dann so häufig davon, dass alle Daten unbrauchbar sind? Dafür gibt es verschiedene Möglichkeiten:

• Möglichkeit 1: Großzügiger Zugriff auf alle Daten
  Ist die Annahme, dass Zugriffsrechte sehr sparsam vergeben werden, falsch, sind die Auswirkungen relativ klar: Hat jeder Nutzer weitreichenden schreibenden Zugriff auf alle Daten des Unternehmens, können auch alle Daten manipuliert werden. Fällt dies zu spät auf, kann eine Ransomware schon großen Schaden angerichtet haben. Und es muss in vielen Fällen keine komplette Datei verschlüsselt werden; es reicht gerade bei binären Datenformaten, den Header einer Datei zu zerstören, damit die zugehörige Software diese nicht mehr öffnen kann. Also ist der Schaden schnell angerichtet.
• Möglichkeit 2: Der Angreifer hat Geduld und nutzt Techniken aus dem Bereich zielgerichteter Angriffe
  Natürlich wissen Angreifer, dass ein Nutzer mit wenigen Zugriffsrechten schnell auffällt, wenn Daten verändert werden sollen, auf die er keinen Zugriff hat. Beschränkt man sich auf Daten im direkten Zugriff, so lohnt es sich für den Angreifer nicht. Also wird ein geschickter Angreifer versuchen, sich vom ursprünglich infizierten System auszubreiten und weitere Rechte auf die Daten des Unternehmens zu erlangen. Der heilige Gral für Angreifer in diesem Zusammenhang ist ein Golden Ticket im Active Directory, mit dem der Angreifer Zugriff auf alle Daten erhalten kann. Eine solche Ausbreitung ist dann erleichtert, wenn das Netzwerk nicht ausreichend segmentiert ist und Anomalien nicht erkannt werden – hier schon ein Hinweis auf eine mögliche Gegenmaßnahme.
• Möglichkeit 3: Der Angreifer sucht sich das richtige Ziel aus
  Kennt der Angreifer die angegriffene Organisation, kann er eventuell lohnende Ziele identifizieren, die zu den oben genannten Möglichkeiten führen können. Schafft es ein Angreifer beispielsweise, das System eines Administrators zu infizieren, macht ihm das das Leben sehr viel leichter!

Doch was kann man hier machen?

Schutzmaßnahmen gegen Ransomware

Sich vor einer Ransomware vollständig zu schützen, ist ein nie enden wollendes Katz-und-Maus-Spiel, wie vieles in der Welt der IT-Sicherheit. Erschweren lässt sich ein Angriff allerdings durch Maßnahmen, die wieder und wieder erwähnt werden:

• Minimale, nur notwendige Rechte für alle Nutzer
• Netzwerk-Segmentierung
• Log-Analyse und Einsatz eines SIEM
• Sensibilisierung der Nutzer
• Sprungserver oder PAM-Systeme für administrative Zugriffe

Selbst wenn alle diese Maßnahmen umgesetzt sind, kann man sich nie zu 100 % sicher sein, dass Ransomware nicht doch die eigenen Daten befällt. Daher sollte man auch immer einen Plan B haben.

Plan B – Eine zuverlässige und geschützte Datensicherung

Sollte man Opfer von Ransomware werden, so muss man darauf vorbereitet sein, dass alle direkt erreichbaren Daten verloren sind. Hier schlägt die Stunde eines guten Backups. Und nur, um das noch mal explizit zu erwähnen: Ein Backup ist erst ein Backup, wenn auch der Restore funktioniert!

Doch ist ein Backup nicht an irgendeiner Stelle für den Angreifer erreichbar? Hier lässt sich die Lieblingsantwort des Beraters geben: Es kommt darauf an…

Ja, erfolgt ein Backup auf eine Dateifreigabe oder andere „veränderbare“ Speicher, so ist natürlich auch dort eine Verschlüsselung möglich. Daher sollte es eine Backup-Instanz geben, die nicht im direkten Zugriff oder nicht veränderbar (immutable) ist. Hier gibt es zwei Möglichkeiten, beide schon relativ alt: Verlagern der Backup-Medien in einen Schrank oder Ähnliches (nicht mehr im Zugriff) oder die Nutzung von Medien, die nicht verändert werden können (WORM – Write Once Read Many). Beide Möglichkeiten können beispielsweise von Tape erfüllt werden. Dies ist mit einer der Gründe, warum Tape noch nicht tot ist.

Gerade die Möglichkeit, eine Veränderung auszuschließen, gibt es auch bei anderen Systemen. Storage-Systeme, Object Storage und spezielle Archivsysteme, können alle diese Anforderungen erfüllen. Die genaue Umsetzung kann unterschiedlich sein, doch im Gegensatz zu WORM-Tapes kann ein Datum angegeben werden, ab dem die Daten wieder manipuliert werden können. Man kann also temporär Daten unveränderbar machen – abhängig davon, wie schnell man einen Ransomware-Befall erkennen kann.

Welche Lösung die richtige ist, hängt von vielen Faktoren ab und sprengt den Rahmen dieses Artikels, doch es existieren Lösungen. Allerdings: Auch ein gutes Backup ist nur so gut wie die Geschwindigkeit, mit der die Daten wiederhergestellt werden können.
Die Wiederherstellung

Wie schnell die Daten wiederhergestellt werden können, hängt ebenfalls von vielen Faktoren ab. Wenn nur ein Teil der Daten wiederhergestellt werden muss, gewinnen schnelle Medien wie drehende Platten oder SSDs gegen Tapes. In diesem Fall sind Storage-Systeme mit WORM-Funktionen also im Vorteil.

Bei großen Datenmengen, die vollständig wiederhergestellt werden müssen, können Tapes sowohl bei den Kosten pro Kapazität als auch bei der Geschwindigkeit konkurrenzfähig sein. Band-Bibliotheken unterstützen bis zu Dutzenden von Laufwerken, die parallel angesteuert werden können. Damit steigt die Wiederherstellungsgeschwindigkeit linear mit der Anzahl der Laufwerke.

Selbst wenn in diesem Bereich alles richtiggemacht wird, ist eine Wiederherstellung eventuell nicht sofort möglich, weil in der – durch Ransomware zerstörten – Infrastruktur noch Beweise gesichert und Untersuchungen durchgeführt werden müssen. Eine erfolgreiche Wiederherstellung hängt also von vielen Faktoren ab. Die Rahmenbedingungen für ein „funktionsfähiges“ Backup kommen noch hinzu!

Fazit

Ein Ransomware-Befall ist immer eine Katastrophe, doch es gibt Möglichkeiten, sich zu schützen oder zumindest die Auswirkungen abzuschwächen. Selbst dann sollte man nicht davon ausgehen, dass innerhalb von Stunden oder Tagen wieder alles funktionsfähig ist. Das Vorurteil, dass der Backup-Prozess bei den Opfern nicht gut organisiert ist, entspricht in den meisten Fällen nicht der Realität. Denn nicht nur die Restore-Geschwindigkeit spielt eine Rolle, sondern auch viele andere Aspekte.