Backups vor Ransomware schützen

Autor/Redakteur: Pascal Brunner, Field Technical Director, EMEA, bei Cohesity/gg

In den letzten Jahren hat die Zahl der Ransomware-Attacken stark zugenommen – und 2021 wird sich der Trend weiter verstärken. Insbesondere Branchen mit großen Datenmengen, aber auch kritische Infrastrukturen werden betroffen sein. Dabei stehen nicht nur gespeicherte, sondern auch gesicherte und archivierte Daten im Fokus der Angreifer. Doch mit einem geeigneten Datenmanagement-System sind die sensiblen Informationen geschützt.

Bild: Cohesity

„Ransomware bleibt die größte Bedrohung für Wirtschaftsunternehmen“, schreibt das Bundeskriminalamt (BKA) in seinem aktuellen Bundeslagebild Cybercrime. Im Zuge der COVID-19-Pandemie stieg die Zahl der Ransomware-Angriffe bereits deutlich an. Nach einhelliger Expertenmeinung wird sie 2021 weiter zunehmen, nicht nur in Bezug auf Umfang, sondern auch Ausgereiftheit. Neben Branchen mit vielen sensiblen Daten wie Gesundheits- und Finanzwesen, Behörden und Einzelhandel sind vor allem kritische Infrastrukturen wie Verkehrswesen, Versorgung oder Lieferketten betroffen.

Einen besseren Schutz vor solchen Lösegeld-Erpressungen haben Unternehmen, die Angriffe aktiv erkennen und sich innerhalb weniger Minuten statt mehreren Tagen davon erholen können. Daher sollten sie Datenmanagement-Lösungen nutzen, die nicht nur effizient und performant, sondern vor allem auch sicher sind und Daten in kurzer Zeit wiederherstellen. Nur dann verbessern sie ihre Sicherheitslage.

Auch Backups betroffen

Viele Unternehmen denken dabei nur an die aktuell gespeicherten Daten, die bislang vorwiegendes Ziel von Ransomware-Attacken waren. Inzwischen werden aber auch gesicherte und archivierte Daten angegriffen, damit Unternehmen nicht mehr einfach ihre Sicherungskopien verwenden können. Fortgeschrittene Malware verschlüsselt oder löscht die Backups und Wiederherstellungspunkte, bevor sie die Produktionsumgebung angreift. Dazu nutzen Cyberkriminelle häufig Schwachstellen bei veralteten Backup-Lösungen, die vor dem Aufkommen von Ransomware entwickelt wurden. Dies gilt insbesondere für NAS (Network Attached Storage)-Systeme. Daher sind auch die Datensicherungen zu schützen.

Eine effektive Ransomware Protection für Backups ist etwa mit Hilfe einer DataLock- oder WORM-Funktion (Write Once Read Many) möglich. Damit lässt sich eine Sicherungskopie weder löschen noch überschreiben oder anderweitig verändern, etwa durch unerwünschte Verschlüsselung. Nicht einmal interne Systemadministratoren besitzen die dafür notwendigen Rechte. So sind die Daten sowohl vor externen als auch internen Angriffen geschützt. Entsprechend befinden sich die Backups hier in einem sicheren und abgeschotteten Bereich – wie bei einer klassischen Offline-Kopie auf Band. Sie werden dann erst nach Ablauf der Aufbewahrungspflicht automatisch gelöscht.

Grafik: Cohesity

Über entsprechende Funktionen werden die Datensicherungen als unveränderliche Snapshots erstellt. Dadurch können sie nicht von einem externen System gemountet werden. Zwar kann Ransomware grundsätzlich Dateien im gemounteten Backup löschen, aber dies gilt nicht für unveränderliche Snapshots. Darauf hat sie keinen Zugriff.

Weitere Security-Maßnahmen

Die Erstellung geschützter Backups bildet aber nur einen wichtigen Schritt zur Abwehr von Ransomware. So sind die Daten im Ruhezustand mindestens mit einem 256-Bit Schlüssel wie dem AES-256 CBC Standard, optional mit FIPS-Zertifizierung, zu verschlüsseln. Auch während der Übertragung ist darauf zu achten, dass die Daten mit TLS- und SSL-Verschlüsselung geschützt sind. Zudem sollten Unternehmen ihre Daten in kurzen Intervallen sichern, zum Beispiel alle fünf Minuten. Nur dann können sie im Falle eines Angriffs aktuelle Informationen wiederherstellen.