{"id":24502,"date":"2023-06-28T11:12:00","date_gmt":"2023-06-28T09:12:00","guid":{"rendered":"https:\/\/www.sysbus.eu\/?p=24502"},"modified":"2023-06-19T10:25:17","modified_gmt":"2023-06-19T08:25:17","slug":"die-geissel-und-die-geisel-wie-unternehmen-das-unvermeidliche-ueberstehen","status":"publish","type":"post","link":"https:\/\/www.sysbus.eu\/?p=24502","title":{"rendered":"Die Gei\u00dfel und die Geisel: Wie Unternehmen das Unvermeidliche \u00fcberstehen"},"content":{"rendered":"\n

Autor\/Redakteur: Uli Simon, Director Sales Engineering bei Commvault<\/a>\/gg<\/p>\n\n\n\n

Ransomware-Angriffe sind eine Gei\u00dfel f\u00fcr Unternehmen, da sie wichtige Daten verschl\u00fcsseln und das Unternehmen als Geisel nehmen. Fr\u00fcher oder sp\u00e4ter wird jedes Unternehmen Opfer eines solchen Angriffs. Darin sind sich IT-Sicherheitsexperten einig. Idealerweise sind sich Entscheider bereits der lauernden Gefahr bewusst und bereiten ihr Unternehmen entsprechend vor. Aber wo anfangen?<\/p>\n\n\n\n

\"\"<\/a>
Bild: Commvault<\/figcaption><\/figure>\n\n\n\n\n\n\n\n

Der unsichtbare Feind<\/strong><\/p>\n\n\n\n

Entscheidungstr\u00e4ger m\u00fcssen sich darauf einstellen, dass die T\u00e4terschaft sich nicht auf kriminelle Akteure von au\u00dfen beschr\u00e4nkt. H\u00e4ufig geht die Bedrohung von der eigenen Belegschaft aus, die aus Unachtsamkeit oder Unwissenheit die Sicherheit der Unternehmensdaten gef\u00e4hrdet. Beispielsweise kann ein Mitarbeiter versehentlich auf den falschen Button klicken und sensible Daten l\u00f6schen oder preisgeben. Selbst erfahrenen Fachkr\u00e4ften k\u00f6nnen solche Fehler unterlaufen. Andererseits kann es auch zu absichtlichen Datenlecks kommen, etwa wenn ein entlassener Mitarbeiter bewusst kritische Informationen ver\u00f6ffentlicht. Auch darauf m\u00fcssen Unternehmen vorbereitet sein. Grunds\u00e4tzlich gilt: Der Einzelne kann der schw\u00e4chste Baustein in der Sicherheitsmauer eines Unternehmens sein. Kontinuierliche Weiterbildung und Security Awareness m\u00fcssen einen Teil eines nachhaltigen und agilen Sicherheitsplans eines Unternehmens darstellen.<\/p>\n\n\n\n

Better be safe than sorry: Erfolg durch einen umfassenden Anti-Ransomware-Plan<\/strong><\/p>\n\n\n\n

Ein umfassender Anti-Ransomware-Plan f\u00fcr Unternehmen ist unerl\u00e4sslich. Er reduziert das Risiko eines erfolgreichen Angriffs, mindert die Auswirkungen und verk\u00fcrzt die Ausfallzeit kritischer Systeme.<\/p>\n\n\n\n

1. Planung<\/strong><\/p>\n\n\n\n

Im Falle eines laufenden Angriffs bleibt keine Zeit f\u00fcr Improvisation oder Ad-hoc-Ma\u00dfnahmen. Ein effektiver Plan ist die Grundlage f\u00fcr eine vollst\u00e4ndige und schnelle Wiederherstellung des Normalbetriebs. Die wesentlichen Elemente eines Anti-Ransomware-Plans sind das Was, das Wann und das Wer.<\/p>\n\n\n\n

Was: Identifizieren und Priorisieren kritischer Anwendungen.<\/p>\n\n\n\n

Wann: Definieren von Wiederherstellungspunktzielen (RPO), Wiederherstellungszeitzielen (RTO) und Service Level Agreements (SLAs) f\u00fcr Systeme, Daten und Anwendungen.<\/p>\n\n\n\n

Wer: Festlegen der internen und externen Akteure, die an der Datenwiederherstellung beteiligt sein werden. Wie werden sie benachrichtigt? Unter welchen Bedingungen erfolgt eine Eskalation, und wer wird alarmiert?<\/p>\n\n\n\n

2.<\/strong> Schulung<\/strong><\/p>\n\n\n\n

Mitarbeiterinnen und Mitarbeiter m\u00fcssen regelm\u00e4\u00dfig f\u00fcr Cyberbedrohungen sensibilisiert und ihnen ihre Position f\u00fcr die IT-Sicherheit des Unternehmens bewusst gemacht werden. Die regelm\u00e4\u00dfigen Schulungen sollten kurz, interaktiv und praxisnah sein und konkrete Bedrohungsszenarien behandeln. Da sich die Bedrohungslage regelm\u00e4\u00dfig \u00e4ndert und kriminelle Akteure immer neue Methoden entwickeln, muss auch die Sicherheits-Planung stets up to date sein und an Mitarbeitende weiterkommuniziert werden.<\/p>\n\n\n\n

3. \u00dcberwachung der Unternehmensumgebung<\/strong><\/p>\n\n\n\n

Egal wie konsequent und effektiv die Gegenma\u00dfnahmen sind: Unternehmen m\u00fcssen damit rechnen, dass Ransomware irgendwann in ihre Umgebung eindringt. Ziel ist es, den Angriff schnellstm\u00f6glich zu identifizieren und die Auswirkungen zu begrenzen. Manuelle Kontrollen auf Anomalien reichen in der aktuellen Bedrohungslage nicht aus. Unternehmen ben\u00f6tigen eine weitgehend automatisierte \u00dcberwachung ihrer Infrastruktur, insbesondere Systeme mit Machine Learning, um schnell und zuverl\u00e4ssig zwischen legitimen Aktivit\u00e4ten und wahrscheinlichen Angriffen unterscheiden zu k\u00f6nnen.<\/p>\n\n\n\n\n\n\n\n

Einige Systeml\u00f6sungen bieten zus\u00e4tzlichen Schutz, indem sie potenzielle Angriffsziele simulieren. Diese sind nur f\u00fcr kriminelle Akteure sichtbar und sehen wie echte Datenbest\u00e4nde aus. F\u00fcr Angreifer erscheinen diese „Fake-Daten“ als wertvolle reale Daten. Angezogen wie die Motten vom Licht, werden sie versuchen, diese Daten zu stehlen oder zu verschl\u00fcsseln und damit einen eingebauten Alarmmechanismus ausl\u00f6sen.<\/p>\n\n\n\n

4. Datenwiederherstellung<\/strong><\/p>\n\n\n\n

Die Wiederherstellung von Daten nach einem Ransomware-Angriff ist entscheidend, um den normalen Gesch\u00e4ftsbetrieb so schnell wie m\u00f6glich wieder aufnehmen zu k\u00f6nnen. Es gibt verschiedene Methoden zur Datenwiederherstellung, die jeweils ihre Vor- und Nachteile haben. Im Folgenden werden drei g\u00e4ngige Ans\u00e4tze beschrieben:<\/p>\n\n\n\n

Das traditionelle Backup erfolgt auf Dateiebene. Dabei werden alle Dateien und Verzeichnisse auf dem betroffenen Volume durchsucht, um festzustellen, ob sie sich seit der letzten Sicherung ge\u00e4ndert haben und Teil der aktuellen Sicherung sein m\u00fcssen. Dieser Ansatz kann jedoch zeit- und ressourcenaufwendig sein, da das System den gesamten Index durchsuchen muss, was als „Tree Walk“ bezeichnet wird.<\/p>\n\n\n\n

Bei der Sicherung auf Blockebene hingegen werden die Leistungseinbu\u00dfen der traditionellen Dateisicherung vermieden, indem die Daten blockweise gesichert werden. Die Anzahl der Dateien oder der Index spielt f\u00fcr die Anwendung keine Rolle. Dies erm\u00f6glicht schnellere und effizientere Sicherungen, was wiederum die M\u00f6glichkeit er\u00f6ffnet, h\u00e4ufiger Sicherungen durchzuf\u00fchren. Durch die Sicherung auf Blockebene kann der Wiederherstellungsprozess beschleunigt werden.<\/p>\n\n\n\n

Eine weitere Methode ist die Datenreplikation, die einen kontinuierlichen Ansatz zur Datensicherung verfolgt. Bei der kontinuierlichen Datenreplikation werden alle Schreibvorg\u00e4nge auf dem Quellcomputer protokolliert, dieses Protokoll an die Datenwiederherstellungsplattform \u00fcbertragen und dort wieder eingelesen, um eine Kopie nahezu in Echtzeit zu erstellen. Im Gegensatz dazu werden bei der inkrementellen Replikation \u00c4nderungen an einem Quell-Backup kontinuierlich auf eine synchronisierte Kopie des Backups \u00fcbertragen. Eine effektive Methode ist die Volume-Block-Level-Replikation (VBR), die die Effizienz von Block-Level-Backups mit den Vorteilen der Near-Echtzeit-Replikation kombiniert. Dadurch k\u00f6nnen granulare Point-in-Time-Wiederherstellungen, ausfallsichere Wiederherstellungspunkte, anwendungssichere Wiederherstellungspunkte und ein effektives Lebenszyklusmanagement von Wiederherstellungspunkten erreicht werden.<\/p>\n\n\n\n

Die Wahl der geeigneten Datenwiederherstellungsmethode h\u00e4ngt von verschiedenen Faktoren ab, einschlie\u00dflich der Geschwindigkeit, Effizienz und Genauigkeit der Wiederherstellung sowie den spezifischen Anforderungen und Priorit\u00e4ten des Unternehmens. Es ist ratsam, die verschiedenen Optionen sorgf\u00e4ltig zu pr\u00fcfen und diejenige auszuw\u00e4hlen, die den Bed\u00fcrfnissen der Organisation am besten entspricht. Eine gut geplante und effektive Datenwiederherstellung kann entscheidend sein, um den Schaden eines Ransomware-Angriffs zu minimieren und den Gesch\u00e4ftsbetrieb wiederherzustellen.<\/p>\n\n\n\n

5. Der Probelauf<\/strong><\/p>\n\n\n\n

Sobald der Plan, die Verfahren und die Technologien f\u00fcr die Implementierung festgelegt sind, m\u00fcssen die Verantwortlichen sicherstellen, dass der Plan wie vorgesehen funktioniert. Unternehmen sollten regelm\u00e4\u00dfig Tests durchf\u00fchren, um zu \u00fcberpr\u00fcfen, ob sie die definierten SLAs f\u00fcr kritische und priorit\u00e4re Daten und Anwendungen einhalten k\u00f6nnen. Das System sollte in der Lage sein, Metriken wie RPO und RTO f\u00fcr jedes gesch\u00fctzte System zu liefern. Die Wiederholung der Tests hilft auch dabei, dass die Verantwortlichen im Notfall mit den entsprechenden Tools vertraut sind, was die Reaktionsgeschwindigkeit erh\u00f6ht, und die Fehlerquote des zust\u00e4ndigen Teams verringert.<\/p>\n\n\n\n

Jetzt handeln<\/strong><\/p>\n\n\n\n

Die Wahrscheinlichkeit, dass Unternehmen einen Ransomware-Angriff erfolgreich und mit minimalen Sch\u00e4den \u00fcberstehen, ist deutlich h\u00f6her, wenn sie sich fr\u00fchzeitig mit der Ransomware-Gefahr auseinandersetzen, einen ma\u00dfgeschneiderten Plan erstellen und diesen testen. Der beste Zeitpunkt f\u00fcr die Entwicklung eines Anti-Ransomware-Plans ist jetzt.<\/p>\n","protected":false},"excerpt":{"rendered":"

Ransomware-Angriffe sind eine Gei\u00dfel f\u00fcr Unternehmen, da sie wichtige Daten verschl\u00fcsseln und das Unternehmen als Geisel nehmen. Fr\u00fcher oder sp\u00e4ter wird jedes Unternehmen Opfer eines solchen Angriffs. Darin sind sich IT-Sicherheitsexperten einig. Idealerweise sind sich Entscheider bereits der lauernden Gefahr bewusst und bereiten ihr Unternehmen entsprechend vor. Aber wo anfangen?<\/p>\n","protected":false},"author":1,"featured_media":24504,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"colormag_page_container_layout":"default_layout","colormag_page_sidebar_layout":"default_layout","footnotes":""},"categories":[8,153],"tags":[5722,9346,16937,14085,5432],"class_list":["post-24502","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-artikel","category-backup","tag-commvault","tag-datenwiederherstellung","tag-it-security","tag-online-betrug","tag-ransomware"],"amp_enabled":true,"_links":{"self":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/24502","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=24502"}],"version-history":[{"count":1,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/24502\/revisions"}],"predecessor-version":[{"id":24507,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/24502\/revisions\/24507"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/media\/24504"}],"wp:attachment":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=24502"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=24502"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=24502"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}