Kann Ransomware Backup-Daten angreifen?

Immer häufiger hört man, dass Daten-Geiselnehmer es nun auch auf Backup-Daten abgesehen haben und über neue Malware-Versionen verfügen, die Backups attackieren. Wie gefährlich sind diese Ransomware-Varianten und wie kann man sich davor schützen?

Leserfrage: Immer häufiger hört man, dass Daten-Geiselnehmer es nun auch auf Backup-Daten abgesehen haben und über neue Malware-Versionen verfügen, die Backups attackieren. Wie gefährlich sind diese Ransomware-Varianten und wie kann man sich davor schützen?

Antwort Doc Storage:

2016 allein wurden nach führenden Sicherheitsfirmen über 400 Millionen neue Versionen von Schad-Software, also Spy- und Adware, Würmer, Trojaner und andere Viren entdeckt. Am stärksten ist der Zuwachs bei Ransomware, deren Zahl gegenüber den Vorjahren um über ein Drittel zunahm. Jeder spricht heute von den Gefahren vor allem dieser Erpresservarianten, allerdings ist die Idee nicht neu und reicht zum Teil bis in die späten 80er Jahre zurück. Neuartige Varianten verhindern vor allem den Systemstart oder verschlüsseln die gesamten Festspeicher eines Rechners. Um das System wieder starten oder die gespeicherten Daten wieder lesen zu können, bleibt oft nur die Zahlung eines Lösegeldes und die Hoffnung, daraufhin einen entsprechenden Schlüssel zu erhalten. Da die entsprechende Software lediglich Nutzer- und keine Systemdateien verschlüsselt, arbeitet sie extrem schnell und benötigt für ihr störendes Werk noch nicht einmal besondere Rechte im Dateisystem. Einige neuere Versionen arbeiten nicht nur verschlüsselnd, sondern beginnen nach einer bestimmten Zeit auch damit, einzelne Dateien zu löschen, wenn das geforderte Lösegeld nicht gezahlt wird.

Die entsprechende Software gelangt in den meisten Fällen über E-Mail-Anhänge auf den Rechner, die aus Unachtsamkeit geöffnet und damit ausgeführt werden. Aber auch ein unbedachter Klick auf Werbebanner kann denselben unheilvollen Effekt haben. Generell gilt (natürlich, wie immer…), keine Dateien zu öffnen und auf keine aktiven Flächen innerhalb des Browsers zu klicken, deren Ursprünge man nicht kennt oder deren dahinterliegenden Code man nicht identifizieren kann. Ich weiß, ich weiß, dies predigen wir seit den Zeilen der seligen Kommandozeile, und ja, es passiert (ebenfalls natürlich) tagtäglich, da die »normalen« Anwender sich nicht die Gedanken bei der Arbeit oder beim Surfen machen, wie wir das tun.

Regelmäßige, am besten noch automatische Software- und Betriebssystem-Updates bieten leider nur noch einen eingeschränkten Schutz gegen diese Codes. Diese tauchen praktisch täglich in neuen Varianten und in rasender Geschwindigkeit auf. Dagegen kann quasi kein, auch noch so spezialisiertes, Unternehmen mehr anprogrammieren.

So viel zum Thema »Belehrung«, und ja, ich weiß, eigentlich wissen wir das alles. Der einzige Weg sich und seine Daten zu schützen ist momentan, in möglichst kurzen Abständen möglichst mehr als ein Backup der Nutzerdaten auf unterschiedlichen Medien abzulegen. Idealerweise eines auf einem Laufwerk außerhalb des Produktionsnetzes (z.B. in einer Cloud oder einem externen Medium) und eines nah am Rechner, also auf einer externen Festplatte oder einem USB-Stick.

Ransomware findet aktive Backup-Medien

Ja, ich weiß, jetzt kommen wieder die Bedenkenträger aus der Hecke mit »aber manche Daten darf ich nicht rausgeben« (Thema Compliance) und mit »ich kann doch nicht einfach einen Stick oder eine Platte mit vertraulichen Daten rumliegen lassen«. Richtig, stimmt. Aber niemand hat gesagt, dass ich diese Daten nicht verschlüsseln soll, weder in der Cloud noch auf einem externen USB-Gerät. Also, bestenfalls einmal in der Stunde – oder noch öfter – ein Laufwerk in einer Cloud mounten, die neuen oder geänderten Daten dort ablegen und das Laufwerk wieder abhängen. Sonst ist die Schad-Software im schlimmsten Fall in der Lage, in diesen Speicher überzuspringen und dort weiterzumachen. Genau dasselbe sollte mit einem Skript auf dem Rechner passieren – dem USB-Gerät einen Laufwerksbuchstaben zuweisen, die neuen oder geänderten Daten verschlüsseln und sichern und den Laufwerksbuchstaben wieder entfernen.

Das eigentliche Backup kann dann in jedem Fall aus dem externen (Cloud-)Laufwerk gezogen werden, wenn man dieses dann überhaupt noch benötigt (jaja, ich höre die Backup-Fraktion wieder aufschreien, aber man zeige mir einen Fall, in dem Snapshots bzw. synchrone Kopien nicht gereicht hätten). Und nein, es kann momentan in keinem Fall hundertprozentig ausgeschlossen werden, dass eine Schad-Software in ein Backup einfließt. Die einzige Möglichkeit, dies zu verhindern, sind seit einiger Zeit dort vorhandene Scanner, die die zu sichernden Daten nochmals auf deren Unbedenklichkeit überprüfen.

Also – so lange mindestens eine externe Kopie der Nutzerdaten existiert, kann niemand erpresst werden. Es ist wie immer – man muss es nur machen. Ich weiß, es ist umständlich und ja, es bedarf einiger Anpassungen in den laufenden Systemen, aber anders geht es leider auf absehbare Zukunft nicht.

Gruß
Doc Storage