{"id":18470,"date":"2021-03-25T11:52:00","date_gmt":"2021-03-25T10:52:00","guid":{"rendered":"https:\/\/www.sysbus.eu\/?p=18470"},"modified":"2021-03-22T09:54:57","modified_gmt":"2021-03-22T08:54:57","slug":"backups-vor-ransomware-schuetzen","status":"publish","type":"post","link":"https:\/\/www.sysbus.eu\/?p=18470","title":{"rendered":"Backups vor Ransomware sch\u00fctzen"},"content":{"rendered":"\n

Autor\/Redakteur: Pascal Brunner, Field Technical Director, EMEA, bei Cohesity<\/a>\/gg<\/p>\n\n\n\n

In den letzten Jahren hat die Zahl der Ransomware-Attacken stark zugenommen \u2013 und 2021 wird sich der Trend weiter verst\u00e4rken. Insbesondere Branchen mit gro\u00dfen Datenmengen, aber auch kritische Infrastrukturen werden betroffen sein. Dabei stehen nicht nur gespeicherte, sondern auch gesicherte und archivierte Daten im Fokus der Angreifer. Doch mit einem geeigneten Datenmanagement-System sind die sensiblen Informationen gesch\u00fctzt.<\/p>\n\n\n\n

\"\"<\/a>
Bild: Cohesity<\/figcaption><\/figure>\n\n\n\n\n\n\n\n

\u201eRansomware bleibt die gr\u00f6\u00dfte Bedrohung f\u00fcr Wirtschaftsunternehmen\u201c, schreibt das Bundeskriminalamt (BKA) in seinem aktuellen Bundeslagebild Cybercrime<\/a>. Im Zuge der COVID-19-Pandemie stieg die Zahl der Ransomware-Angriffe bereits deutlich an. Nach einhelliger Expertenmeinung wird sie 2021 weiter zunehmen, nicht nur in Bezug auf Umfang, sondern auch Ausgereiftheit. Neben Branchen mit vielen sensiblen Daten wie Gesundheits- und Finanzwesen, Beh\u00f6rden und Einzelhandel sind vor allem kritische Infrastrukturen wie Verkehrswesen, Versorgung oder Lieferketten betroffen.<\/p>\n\n\n\n

Einen besseren Schutz vor solchen L\u00f6segeld-Erpressungen haben Unternehmen, die Angriffe aktiv erkennen und sich innerhalb weniger Minuten statt mehreren Tagen davon erholen k\u00f6nnen. Daher sollten sie Datenmanagement-L\u00f6sungen nutzen, die nicht nur effizient und performant, sondern vor allem auch sicher sind und Daten in kurzer Zeit wiederherstellen. Nur dann verbessern sie ihre Sicherheitslage.<\/p>\n\n\n\n

Auch Backups betroffen<\/strong><\/p>\n\n\n\n

Viele Unternehmen denken dabei nur an die aktuell gespeicherten Daten, die bislang vorwiegendes Ziel von Ransomware-Attacken waren. Inzwischen werden aber auch gesicherte und archivierte Daten angegriffen, damit Unternehmen nicht mehr einfach ihre Sicherungskopien verwenden k\u00f6nnen. Fortgeschrittene Malware verschl\u00fcsselt oder l\u00f6scht die Backups und Wiederherstellungspunkte, bevor sie die Produktionsumgebung angreift. Dazu nutzen Cyberkriminelle h\u00e4ufig Schwachstellen bei veralteten Backup-L\u00f6sungen, die vor dem Aufkommen von Ransomware entwickelt wurden. Dies gilt insbesondere f\u00fcr NAS (Network Attached Storage)-Systeme. Daher sind auch die Datensicherungen zu sch\u00fctzen.<\/p>\n\n\n\n

Eine effektive Ransomware Protection f\u00fcr Backups ist etwa mit Hilfe einer DataLock- oder WORM-Funktion (Write Once Read Many) m\u00f6glich. Damit l\u00e4sst sich eine Sicherungskopie weder l\u00f6schen noch \u00fcberschreiben oder anderweitig ver\u00e4ndern, etwa durch unerw\u00fcnschte Verschl\u00fcsselung. Nicht einmal interne Systemadministratoren besitzen die daf\u00fcr notwendigen Rechte. So sind die Daten sowohl vor externen als auch internen Angriffen gesch\u00fctzt. Entsprechend befinden sich die Backups hier in einem sicheren und abgeschotteten Bereich \u2013 wie bei einer klassischen Offline-Kopie auf Band. Sie werden dann erst nach Ablauf der Aufbewahrungspflicht automatisch gel\u00f6scht.<\/p>\n\n\n\n

\"\"<\/a>
Grafik: Cohesity<\/figcaption><\/figure>\n\n\n\n

\u00dcber entsprechende Funktionen werden die Datensicherungen als unver\u00e4nderliche Snapshots erstellt. Dadurch k\u00f6nnen sie nicht von einem externen System gemountet werden. Zwar kann Ransomware grunds\u00e4tzlich Dateien im gemounteten Backup l\u00f6schen, aber dies gilt nicht f\u00fcr unver\u00e4nderliche Snapshots. Darauf hat sie keinen Zugriff.<\/p>\n\n\n\n

Weitere Security-Ma\u00dfnahmen<\/strong><\/p>\n\n\n\n

Die Erstellung gesch\u00fctzter Backups bildet aber nur einen wichtigen Schritt zur Abwehr von Ransomware. So sind die Daten im Ruhezustand mindestens mit einem 256-Bit Schl\u00fcssel wie dem AES-256 CBC Standard, optional mit FIPS-Zertifizierung, zu verschl\u00fcsseln. Auch w\u00e4hrend der \u00dcbertragung ist darauf zu achten, dass die Daten mit TLS- und SSL-Verschl\u00fcsselung gesch\u00fctzt sind. Zudem sollten Unternehmen ihre Daten in kurzen Intervallen sichern, zum Beispiel alle f\u00fcnf Minuten. Nur dann k\u00f6nnen sie im Falle eines Angriffs aktuelle Informationen wiederherstellen.<\/p>\n\n\n\n\n\n\n\n

Eine passive Abwehr ist gut, doch eine aktive Erkennung von Attacken noch besser. Vor allem im Hinblick auf m\u00f6gliche unbemerkte Infizierungen durch Malware k\u00f6nnen moderne Backup-Systeme Angriffsversuche aufdecken, indem sie die Ver\u00e4nderungswerte der gespeicherten Daten innerhalb der Produktionsumgebung analysieren. Sie ermitteln gr\u00f6\u00dfere \u00c4nderungen, die auf anomale Nutzung und damit einen m\u00f6glichen Angriff hinweisen.<\/p>\n\n\n\n

Diese Auff\u00e4lligkeiten erkennen sie mit Hilfe eines Abgleichs gr\u00f6\u00dferer Daten\u00e4nderungen mit den normalen Mustern. Hierf\u00fcr untersuchen sie etwa die t\u00e4gliche \u00c4nderungsrate bei logischen und gespeicherten Daten nach der Deduplizierung. Zus\u00e4tzlich identifizieren sie Muster bei historischen Daten, die H\u00e4ufigkeit von Dateizugriffen sowie die Anzahl von Dateien, die von einem bestimmten Nutzer oder einer Anwendung ver\u00e4ndert, hinzugef\u00fcgt oder gel\u00f6scht wird. So lassen sich m\u00f6gliche Ransomware-Angriffe anhand auff\u00e4lliger Anomalien feststellen. Ein modernes System kann sogar proaktiv Bedrohungen verhindern, indem sie VMs auf nicht gepatchte Schwachstellen scannt.<\/p>\n\n\n\n

Schnelle Recovery<\/strong><\/p>\n\n\n\n

Im Falle eines Angriffs oder anderen Vorf\u00e4llen sollte eine aktuelle Backup-L\u00f6sung auch eine unverz\u00fcgliche Wiederherstellung der Daten erm\u00f6glichen. Dazu muss die Plattform eine hohe Skalierbarkeit aufweisen. Dies gilt nicht nur f\u00fcr den eigentlichen Recovery-Prozess, sondern schon f\u00fcr den Sicherungsvorgang. Nur eine hochskalierbare L\u00f6sung kann im laufenden Betrieb in kurzen Zeitabst\u00e4nden eine hohe Anzahl an Snapshots und Klonen erstellen, ohne dass Nutzer oder Anwendungen Performance-Beeintr\u00e4chtigungen sp\u00fcren. Damit der ben\u00f6tigte Speicherplatz dann nicht explodiert, sind effiziente Prozesse f\u00fcr inkrementelle Backups, Komprimierung und Deduplizierung n\u00f6tig.<\/p>\n\n\n\n

Aus Sicherheitsgr\u00fcnden sollten die Snapshots dann nicht von ihrem Standort aus verschoben werden, da dies die m\u00f6gliche Angriffsfl\u00e4che erh\u00f6ht. Das Verteilen der Sicherungskopien \u00fcber mehrere Standorte hingegen ist als g\u00e4ngige Architektur zu empfehlen. Ein fester Speicherort beschleunigt au\u00dferdem die Wiederherstellung, da das System nicht lange nach dem aktuellen Ort suchen muss, sondern die Daten gleich am urspr\u00fcnglichen Platz findet.<\/p>\n\n\n\n

\"\"<\/a>
Grafik: Cohesity<\/figcaption><\/figure>\n\n\n\n

Auch f\u00fcr die Nutzer sollte eine schnelle Suchfunktion zur Verf\u00fcgung stehen. So gestaltet eine Google-\u00e4hnliche, globale Suche die Wiederherstellung von einzelnen Daten, etwa nach unbeabsichtigter L\u00f6schung, deutlich effektiver und gezielter als die Suche nach alten Backups in klassischen File-Systemen. Mit einer Indexierungsfunktion ist dies neben der Suche nach Dokumentennamen sogar auf zwei verschiedenen Ebenen m\u00f6glich.<\/p>\n\n\n\n

Gleichzeitig k\u00f6nnen IT-Administratoren bei modernen L\u00f6sungen gezielt nach infizierten oder gef\u00e4hrdeten Dateien suchen und diese vom Backup- und Recovery-Mechanismus ausschlie\u00dfen. Damit verhindern sie, dass etwa versehentlich eine infizierte Kopie wiederhergestellt wird. Zus\u00e4tzlich lassen sich die Prozesse f\u00fcr Backup und Recovery detailliert steuern und die Suchergebnisse mit einem sauberen Snapshot verkn\u00fcpfen. Dies erh\u00f6ht nicht nur die Sicherheit, sondern verk\u00fcrzt auch die Gesamtzeit f\u00fcr die Wiederherstellung, da Unternehmen nicht mehr mit infizierten Backups k\u00e4mpfen m\u00fcssen.<\/p>\n\n\n\n

Vielfacher Mehrwert<\/strong><\/p>\n\n\n\n

Durch eine moderne L\u00f6sung profitieren Unternehmen aber nicht nur von sicheren Backups, die schnell wiederhergestellt werden, sondern auch von h\u00f6herer Compliance und effizientem Datenmanagement. Insbesondere die DSGVO (Datenschutzgrundverordnung) stellt hohe Anforderungen an den Umgang mit personenbezogenen Daten. So m\u00fcssen Unternehmen jederzeit wissen, welche Daten sie wo speichern und f\u00fcr welche Zwecke verwenden. Zudem sind auf Wunsch alle Kopien bestimmter personenbezogener Daten zeitnah zu l\u00f6schen. Diese strengen Anforderungen lassen sich nur erf\u00fcllen, wenn das Unternehmen eine umfassende Datenmanagement-L\u00f6sung einsetzt, mit der es alle gespeicherten und genutzten Informationen im Griff hat. Dann lassen sich gleichzeitig auf Basis umfassender, zuverl\u00e4ssiger Daten auch fundiertere Gesch\u00e4ftsentscheidungen treffen.<\/p>\n\n\n\n

Zus\u00e4tzlich reduzieren einheitliche Datenmanagement-Plattformen den Aufwand f\u00fcr laufende Prozesse, da nicht mehr verschiedene Systeme f\u00fcr Backup, Disaster Recovery und Archivierung zu verwalten sind. Clouds, Workloads, Virtualisierungen und f\u00fcr die Compliance notwendige Zertifizierungen f\u00fchren oft zur Einf\u00fchrung weiterer L\u00f6sungen und Datenkopien. Doch gerade veraltete Storage-, Backup- und Wiederherstellungsstrukturen aus Einzell\u00f6sungen bilden ein einfaches Ziel f\u00fcr Erpresser. Umso wichtiger ist es, die Komplexit\u00e4t von Datenmanagement und Backups zu reduzieren, den \u00dcberblick zu behalten und ganzheitliche Schutzma\u00dfnahmen durchzuf\u00fchren. Dies gelingt nur mit Backup und Anti-Malware-Schutz als integralem Bestandteil einer umfassenden Datenmanagement-Strategie.<\/p>\n\n\n\n

Statt einzelne Produkte f\u00fcr Backup und Restore, Archivierung, File Shares und Object Stores nutzen Unternehmen dann \u00fcbergreifende Plattformen f\u00fcr die Continuous Data Protection. Diese umfassen das eigene Rechenzentrum, die Cloud und die Au\u00dfenstandorte. So konsolidieren sie Backups, Datei- und Objektfreigaben auf einer webbasierten Management-Plattform. Dar\u00fcber setzen sie individuelle Richtlinien \u00fcber ein einziges Dashboard durch, erm\u00f6glichen unterbrechungsfreie Upgrades und vereinfachen erheblich das Datenmanagement.<\/p>\n\n\n\n

Fazit<\/strong><\/p>\n\n\n\n

Moderne Backup-L\u00f6sungen k\u00f6nnen Daten nicht nur effizient und hochskalierbar sichern, sondern auch vor Angriffen sch\u00fctzen und sogar selbstst\u00e4ndig Anomalien erkennen. Somit haben Cyberkriminelle und Ransomware-Angriffe deutlich geringere Chancen. Eine umfassende Plattform f\u00fcr das Datenmanagement inklusive Backup, Wiederherstellung und Archivierung reduziert dabei Kosten und Aufwand. Zudem bietet sie einen einheitlichen Speicherpool f\u00fcr fundierte Gesch\u00e4ftsentscheidungen und erh\u00f6ht die Transparenz f\u00fcr bessere Compliance sowie die Sicherheit durch Zugriffsschutz und Verschl\u00fcsselung.<\/p>\n","protected":false},"excerpt":{"rendered":"

In den letzten Jahren hat die Zahl der Ransomware-Attacken stark zugenommen \u2013 und 2021 wird sich der Trend weiter verst\u00e4rken. Insbesondere Branchen mit gro\u00dfen Datenmengen, aber auch kritische Infrastrukturen werden betroffen sein. Dabei stehen nicht nur gespeicherte, sondern auch gesicherte und archivierte Daten im Fokus der Angreifer. Doch mit einem geeigneten Datenmanagement-System sind die sensiblen Informationen gesch\u00fctzt.<\/p>\n","protected":false},"author":3,"featured_media":18471,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"colormag_page_container_layout":"default_layout","colormag_page_sidebar_layout":"default_layout","footnotes":""},"categories":[8,37],"tags":[6263,12399,240,5432,1464,6267],"class_list":["post-18470","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-artikel","category-security","tag-backup","tag-cohesity","tag-nas","tag-ransomware","tag-recovery","tag-verschlusselung"],"amp_enabled":true,"_links":{"self":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/18470","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=18470"}],"version-history":[{"count":1,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/18470\/revisions"}],"predecessor-version":[{"id":18474,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/18470\/revisions\/18474"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/media\/18471"}],"wp:attachment":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=18470"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=18470"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=18470"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}