19.07.2021 (kfr)
3.9 von 5, (7 Bewertungen)

Unveränderliche Daten als Rezept gegen Ransomware

  • Inhalt dieses Artikels
  • Kein Lösegeld zahlen!
  • Snapshots für mehr Sicherheit
  • Verlass auf WORM-Funktion und Machine Learning
  • Schnelle Wiederherstellung binnen Stunden statt Tagen
Anzeige/Advertorial

Alle elf Sekunden wird ein Unternehmen Opfer eines Ransomware-Angriffs, so eine Studie von Cybersecurity Ventures. 20 Milliarden US-Dollar Schaden sind für 2021 prognostiziert. Und dabei gehen die Angreifer immer perfider vor: Nicht nur die Produktivdaten sind Ziel der Angriffe. Immer häufiger attackieren die Lösegelderpresser auch Backup-Systeme.

70 Millionen Dollar Lösegeld lautete die Forderung von REvil, einer russischen Cybercrime-Bande – die höchste bislang jemals geforderte Lösegeldsumme nach einem Ransomware-Angriff. Das Opfer war Kaseya, ein Unternehmen, das Software und Sicherheits-Updates für die Verwaltung von Netzwerken bereitstellt. Der Hack hat weltweit mehr als 1.500 Unternehmen betroffen, darunter Supermärkte in Schweden und Schulen in Neuseeland.

Der Angriff zielte auf die Remote-Device-Management-Software und traf damit auch direkt die Kunden von Kaseya, indem eine Schwachstelle in der VSA-Software ausgenutzt wurde. Auf einer »Enthüllungsplattform« im Tor-Netz veröffentlichen die Erpresser derzeit Stück für Stück die gestohlenen Daten, um ihrer Erpressung mehr Nachdruck zu verleihen. Der Schaden ist immens.

Auch Ryuk, eine der zerstörerischsten Ransomware-Varianten, treibt vielen Unternehmen Sorgenfalten auf die Stirn. Ein Opfer wurde Sky Lakes Medical, ein Universitäts-Krankenhaus in Oregon (USA) mit 176 Betten. Im Oktober 2020 konnte Ransomware erfolgreich ins System des Krankenhauses eingeschleust werden: Ein Mitarbeiter klickte auf einen Link zu Google Drive und lud eine Datei herunter, von der die Person dachte, dass sie sich auf einen Firmenbonus bezog. Es dauerte einen Tag, bis der Angriff bemerkt wurde und die IT rund 2.500 PCs und 600 Server herunterfuhr, um die Verbreitung des Virus einzudämmen. Lösegeldzahlungen verweigerte Sky Lakes Medical.

Immutable Backup: Unveränderliche Datensicherungen stellen einen wirksamen Schutz gegen Lösegeld-Angriffe dar (Grafik: Cohesity).Immutable Backup: Unveränderliche Datensicherungen stellen einen wirksamen Schutz gegen Lösegeld-Angriffe dar (Grafik: Cohesity).

Gerettet haben das Krankenhaus unveränderliche Backups (Immutable Backups), die nicht von der Ransomware betroffen waren. Der Einsatz ermöglichte es dem IT-Team, einen Zeitpunkt zu identifizieren, bis zu dem die Systeme durch „saubere Backups“ wiederhergestellt werden konnten. Die unveränderlichen Backups bei Sky Lakes Medical werden von Cohesity bereitgestellt und auf Cisco-Hardware ausgeführt.

Kein Lösegeld zahlen!

Wolfgang Huber, Cohesity: »Zahlen Sie auf keinen Fall nach einer Ransomware-Attacke!«Wolfgang Huber, Cohesity: »Zahlen Sie auf keinen Fall nach einer Ransomware-Attacke!« Staatliche Einrichtungen wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) raten von der Zahlung von Lösegeld ab. Wolfgang Huber vom Spezialisten für Backup-Management Cohesity pflichtet dem BSI bei: »Zahlen Sie auf keinen Fall! Wenn Sie in einer Situation sind, in der Lösegeld gefordert wird, um Ihre Daten zurückzubekommen, haben Sie bereits verloren. Unternehmen müssen diesen Angriffen zuvorkommen. Sie brauchen neben einem mehrschichtigen Sicherheitsansatz für die Abwehr des Angriffs auch eine Strategie zur Datenwiederherstellung im Falle einer Verletzung des Netzwerks.«

Lösegeld hilft nicht unbedingt, ein System wieder in den Normalzustand zurückzuversetzen. Oft kämpfen Systemadministratoren mit schweren Dateibeschädigungen und längeren Netzwerk- bzw. Dienstausfällen. »Der schnelle Euro, der bezahlt wird, bietet nicht die Abhilfe, die er verspricht. Und wenn Sie Lösegeld zahlen, finanzieren Sie nur den Angriff auf ein anderes Unternehmen«, mahnt Huber. »Ergreifen Sie Maßnahmen, um Ihre Datenwiederherstellung abzusichern, bevor ein Ransomware-Angriff erfolgt. Dann sind Sie sind in der stärksten Position.«

Denn fortgeschrittene Malware verschlüsselt oder löscht Backups und Wiederherstellungspunkte, bevor sie die Produktionsumgebung angreift. Dazu nutzen Cyberkriminelle häufig Schwachstellen bei veralteten Backup-Lösungen, insbesondere bei NAS-Systemen (Network Attached Storage), die lange vor dem Aufkommen von Ransomware entwickelt wurden.

Snapshots für mehr Sicherheit

Die skalierbare Data Platform von Cohesity konsolidiert Anwendungen und Daten (Bild: Cohesity).Die skalierbare Data Platform von Cohesity konsolidiert Anwendungen und Daten (Bild: Cohesity). Moderne Protection-Systeme wie Cohesitys Backup und Recovery-Lösung setzen daher auf unveränderliche Daten. Diese können nicht manipuliert, verändert oder entfernt werden. Die üblichen Taktiken der Cyberkriminellen laufen daher ins Leere. Unveränderliche Backups stellen somit einen wirksamen Schutz gegen Lösegeld-Angriffe dar.

Grundlage für diese Schutz-Software ist das Filesystem SpanFS. Basierend auf der Hyperscale-Architektur speichert es alle gesicherten Daten als schreibgeschützte Snapshots. Von außerhalb eines Cohesity-Clusters ist kein Zugriff auf die Daten möglich. Ergo kann keine externe Anwendung und kein nicht autorisierter Benutzer den Snapshot verändern. Nicht einmal interne Systemadministratoren besitzen die dafür notwendigen Rechte.

Alle Versuche, einen unveränderlichen Sicherungs-Snapshot zu manipulieren, werden auf (kostenfreie) Klone geschrieben, die nach Abschluss eines jedes Sicherungslaufs ebenfalls als schreibgeschützt markiert werden. Damit lässt sich auch eine Sicherungskopie weder löschen noch überschreiben oder anderweitig verändern. Zwar kann Ransomware grundsätzlich Dateien im gemounteten Backup löschen – nicht jedoch unveränderliche Snapshots. Ransomware-Angriffe haben damit keine Chance.

Verlass auf WORM-Funktion und Machine Learning

Zusätzlich setzt Cohesitys Backup- und Recovery-Lösung auf eine weitere bewährte Sicherheitsmaßnahme: Schreibvorgänge auf internen Views während der Sicherung sind nur über vertrauenswürdige interne Dienste und authentifizierte APIs zulässig. Für zusätzliche Sicherheit sorgen DataLock und die WORM-Funktion (Write Once Read Many). Wenn DataLock aktiviert ist, kann der Sicherungs-Snapshot von niemandem gelöscht werden, auch nicht von Administratoren – so lange, bis das DataLock abläuft.

Darüber hinaus ist in die unveränderliche Architektur von Cohesity ein ausgeklügeltes Machine-Learning-System (ML) integriert, das die Backup-Daten kontinuierlich auf Anomalien überwacht.

Schnelle Wiederherstellung binnen Stunden statt Tagen

Im Falle eines Angriffs sollte eine aktuelle Backup-Lösung auch eine unverzügliche Wiederherstellung der Daten ermöglichen. Dazu muss die Plattform eine hohe Skalierbarkeit aufweisen. Dies gilt nicht nur für den eigentlichen Recovery-Prozess, sondern schon für den Sicherungsvorgang. Nur eine hochskalierbare Lösung kann im laufenden Betrieb in kurzen Zeitabständen eine hohe Anzahl an Snapshots und Klonen erstellen, ohne dass Nutzer oder Anwendungen Performance-Beeinträchtigungen spüren. »Im Idealfall sichern Sie Ihr Netzwerk über eine einheitliche Datenmanagement-Plattform, die alle diese Bereiche inklusive Anti-Malware-Schutz vom Rechenzentrum über die Cloud bis zu Außenstandorten umfasst«, rät Huber. »Cohesity bietet diesen Service unter einer Oberfläche.«

Weitere Informationen

Cohesity GmbH
Prielmayerstr. 3, 80335 München
Tel.: +49 (89) 26204598
E-Mail: contact@cohesity.com