10.01.2020 (Doc Storage)
4.4 von 5, (14 Bewertungen)

Ransomware: Sind Backups ein ausreichender Schutz?

  • Inhalt dieses Artikels
  • Aufräumaufwand nach Ransomware-Attacke enorm
  • Canary-Files fungieren für Ransomware als Honigtopf
  • DR-Strategie auf Ransomware-Attacken anpassen

Leserfrage: Thema Ransomware-Schutz: Wie sieht hier heute eigentlich der Stand der Technik aus und die dazugehörende Strategie und Maßnahmenorganisation? Ein herkömmliches Backup scheint ja nicht mehr ausreichend zu sein. Und wenn wir schon dabei sind: Ist bei den Cloud-Providern alles in trockenen Tüchern?

Antwort Doc Storage:

Da niemand mehr Bitcoins zahlen möchte, um sich zur Erhaltung seiner Daten erpressen zu lassen, empfehlen sich weitergehende Maßnahmen, auch und vor allem im Bereich Backup. Viele, die gezahlt haben, haben trotzdem ihre Daten nicht zurückbekommen.

Im Gegensatz zu Malware, die den Speicher verschlüsselt und dann gegen Zahlung eines Lösegeldes (manchmal) wieder freigibt, korrumpiert Ransomware die Daten. Nach den WannaCry-Angriffen der letzten Jahre konnten wir uns alle ja kaum von Empfehlungen, guten Ratschlägen und Consulting-Angeboten im Postfach retten. Die meisten enthielten auf die eine oder andere Art den Hinweis, dass Backup das beste Mittel gegen Ransomware sei. Viele kombinierten dies mit dem Angebot brandneuer Software, die mit Hilfe künstlicher Intelligenz und entsprechender Algorithmen einen Schutz gegen diese Bösewichter bieten sollte. Backup ist, wie Sie feststellen, allerdings bei weitem nicht mehr genug, wenn man sich gegen diese Art von Schädlingen verteidigen möchte.

Aufräumaufwand nach Ransomware-Attacke enorm

Zunächst einmal ist der operative Aufwand nach einem solchen Angriff enorm. Die befallenen Rechner sind zu reinigen, mit den »gesunden« Daten aus dem Backup zu rekonstruieren und wieder hochzufahren. In virtuellen Umgebungen müssen die infizierten Systeme gelöscht, durch ihre »gesunden« Vorgänger ersetzt und ebenfalls neu gestartet werden. Da allerdings die meisten Sicherungen nicht alle, sondern nur die für dieses System eigenen Daten enthalten, gilt es die generischen Informationen der Betriebssysteme und Anwendungen, deren spezielle Konfigurationen und die Nutzerrechte ebenfalls zu rekonstruieren. Dies können je nach Anzahl der Maschinen bzw. virtuellen Abbilder wesentlich länger dauern als die Rücksicherung selbst. Das nächste Problem stellt sich bei der Möglichkeit, dass die mit Ransomware infizierten Dateien bereits mitgesichert wurden. Diese Gefahr steigt, je seltener gesichert wird. Bei einem Backup, welches nur einmal täglich durchgeführt wird, ist diese schon nahezu untolerierbar hoch.

Diese Gefährdungen lassen sich auf unterschiedliche Arten ausschalten. Die eine, allerdings mit wesentlichem Aufwand verbunden, besteht darin, tatsächlich alle Daten in möglichst kurzen Abständen zu sichern, also Betriebssystem, Konfiguration, Anwendungen und Nutzerdaten. Bei physischen Installationen macht dies wesentlich mehr Arbeit als bei virtuellen Maschinen.

Als Alternative bietet sich DRaaS (Disaster Recovery as a Service), meist in Cloud-Umgebungen beheimatet. Die gesicherten Daten werden hier an einen externen Dienstleister geliefert, welcher im Notfall die Maschinen als virtuelle Systeme hochfahren und den Betrieb von dort aus anbieten kann. Die meisten dieser Dienste sichern fortlaufend und versehen verschiedene Generationen der Backups mit Zeitmarkierungen, so dass sich auf jeden Fall auf eine saubere Version zurückgreifen lässt, auch wenn mit Ransomware infizierte Daten bereits in ein oder mehrere Backups eingeflossen sein sollten. Natürlich haben viele DRaaS-Anbieter ihre Chance erkannt und ihre Preise zum Teil heftig angehoben, allerdings ist diese Alternative immer noch wesentlich preiswerter, als ein solches Konstrukt im eigenen Rechenzentrum aufzubauen. Ein Viertel der RZ-Betreiber verlässt sich inzwischen auf solche Dienste, ein weiteres Viertel will in nächster Zukunft darauf umsteigen.

Die Autoren von Ransomware haben die Funktionalität ihrer Software in den letzten Monaten verändert. Fiel diese zu Anfang möglichst schnell über möglichst viele Dateien her, war sie allerdings auch schnell zu erkennen und Gegenmaßnahmen wurden eingeleitet, bevor ein größerer Schaden entstand. Sofern der Angriff rechtzeitig erkannt wurde. Allerdings haben die Programmierer die Funktion umgestellt: Nun werden meist zuerst die Backup-Dateien und komprimierte Daten befallen, um möglichst lange im Unerkannten wirken zu können – je länger die Software wirken kann, desto größer ist der Schaden und umso aufwändiger ist die Rekonstruktion.

Canary-Files fungieren für Ransomware als Honigtopf

Um zu verhindern, dass sich Ransomware in Ihrem System ausbreitet und möglichst viele Dateien infiziert, bevor Sie dieses überhaupt bemerken, können Sie eine alte Methode aus Zeiten des Bergbaues verwenden, um einen Befall möglichst früh zu bemerken. Bergarbeiter nahmen Vögel, meistens Kanarienvögel mit in den Schacht, die bei einer Verschlechterung der Luft tot umfielen. Dann wussten die Arbeiter, dass Sie den Schacht möglichst schnell verlassen mussten. Genauso funktionieren sogenannte Canary Files. Diese geben sich durch ihre Struktur und ihre Namen ein für Ransomware attraktives Aussehen. Sobald sich Zeitstempel, Größe oder andere Indikatoren dieser Dateien auf Festplatten oder Shares ändern, ist die Wahrscheinlichkeit für einen Befall sehr hoch, da »normale« Anwendungen diese Dateien niemals nutzen. Sollte sich einer oder mehrere Eigenschaften dieser Dateien ändern, schlagen sie sofort Alarm, und ein Such- und Reinigungsvorgang wird angestoßen. Allerdings sind die Entwickler von Ransomware bereits auf solche Techniken aufmerksam geworden und suchen in verschiedenen Verzeichnissen und Shares nach Dateien mit demselben Zeitstempel und Zugriffsdatum. Diese werden dann von neuesten Versionen bereits umgangen. In Zukunft werden also Canary-Files-Systeme notwendig werden, die entweder wie komplette Anwendungen aussehen, oder aber selbständig und auf Zufallsbasis ständig die Zeitangaben zu ihren Dateien ändern.

DR-Strategie auf Ransomware-Attacken anpassen

Zuletzt benötigt ein Betreiber natürlich eine der Ransomware angepasste Disaster-Recovery-Strategie. Das BSI rät hierzu, zusätzlich zu den immer häufiger verwendeten Plattensystemen die Daten auch offline, also auf Bänder oder optische Medien zu sichern. Allerdings dürften viele dieser Systeme wegen der riesigen Datenmengen mit einem solchen Konzept einfach überlastet sein. Hinzu kommt, dass viele neue Ransomware-Versionen gezielt nach Backup-Systemen suchen und diese zuerst angreifen.

Eine Methode, den Zugriff auf physikalische Backups abzufangen, kann die Erstellung regelmäßiger Snapshots und deren Transport an einen entfernten Standort sein. Diese Snapshots lassen sich in relativ kurzer Abfolge erstellen und ermöglichen entsprechend kurze Recovery-Zeiten. Hiermit lässt sich auch weiterhin eine synchrone Datenspiegelung aufrechterhalten, die viele Unternehmen zur Vermeidung von Produktionsstillständen benötigen, da Ransomware, zumindest die bisher bekannte, nicht auf die Snapshots von Speichersystemen durchgreifen kann. Hinzu kommt, dass diese Abbilder nur Read-Only gespeichert werden, also nicht von außen geändert werden können.

Als Fazit lässt sich zusammenfassen, dass es leider sehr aufwändig ist, sich gegen Ransomware, vor allem im Bereich Backup und Archiv zu schützen. Wenn man allerdings die beschriebenen Maßnahmen ergreift, sollte es dieser Software möglichst schwer sein, auch gesicherte Datenbestände anzugreifen und das Unternehmen erpressbar zu machen.

Für weitere Ideen in dieser Richtung sind alle Leser sehr dankbar. Aber bitte, wie immer – keine Werbung!

Gruß
Doc Storage

Stellen Sie Ihre Frage
Doc. tec. Storage beantwortet alle Ihre technischen Fragen zu Storage, Backup & Co.

Stellen Sie Ihre Frage an: DocStorage@speicherguide.de
Kommentare (4)
12.02.2020 - mress

Auch von mir vielen Dank für die Übersicht! Allerdings halte ich auch nichts davon sich auf Snapshots zu verlassen. Die meisten Ransomware-Attacken arbeiten mit einer "schleichenden Verschlüsselung" - wie der Vorredner berichtet sind also die Snapshots in der Regel unbrauchbar - und den letzten brauchbaren zu finden in welchem der gesamte Content noch nicht infiziert ist kann Wochen dauern! Hier ist immer noch die klassische Backupstrategie mit Monthly, Yearlys etc. zu empfehlen. Und was Tapes anbelangt: Gerade in grossen Umgebungen sind Tapes schneller, sicherer und günstiger als jede HDD oder SSD!

10.01.2020 - LHL

"enn ich von einem Filesystem wo Daten gespeichert werden einen Snapshot mache wo schon infizierte Dateien/Viren oder was auch immer Böses sich schon darauf befindet, dann ist der Snapshot auch schon unbrauchbar."

Jain. Produktiv verwenden kann ich diesen snapshot dann natürlich nicht. Aber ich kann das System in einer Quarantäne-Zone hochfahren und bei Bedarf Nutzdaten extrahieren, die ich dann im neuen sauberen System importieren kann. Zusätzlich habe ich ja auch nicht nur einen Snapshot sondern eine Historie von Snapshots. Die Kunst ist dann "lediglich" soweit zurück zu gehen, dass ich den letzten sauberen Snapshot habe. Alternativ kann man auch möglichst automatisiert ein neues System deployen und sich dann lediglich die Daten dort wieder rein importieren.

"Thema DSGVO"
Auch jain. Ich kann die Daten zwar nicht im Snapshot selbst löschen sondern muss dann im "Notfall" anders sicherstellen, dass nach einem Recovery die zur Löschung beauftragten Daten dann wieder im aktiven Datenbestand gelöscht werden. Optimaler Weise in dem ich die Transaktionen der Datenbank seit Erstellung des Snapshots nachfahre.

10.01.2020 - StoAdmin

Vielen Dank, tolle Zusammenfassung.
Backup Daten haben ja gegenüber den Primärdaten den Vorteil, daß Sie im Regelfall nur gelöscht (wenn abgelaufen) oder neu geschrieben werden. Es sollte ja, im Normalfall, keine Datenveränderung stattfinden. Läßt sich hier technisch, außer mit Archivsystemen oder Snapshots noch irgendwo ansetzen ? (Filetypen/Berechtigungen/Log-Auswertungen..?)

10.01.2020 - thoschne

Vielen Dank für die Informationen. Das ist ein interessanter Ansatz mit den Snapshot-Abbildern. Hierzu nur mal meine Gedanken aus dem Bauch heraus. Wenn ich von einem Filesystem wo Daten gespeichert werden einen Snapshot mache wo schon infizierte Dateien/Viren oder was auch immer Böses sich schon darauf befindet, dann ist der Snapshot auch schon unbrauchbar. Dann fällt mir noch das Thema DSGVO ein, wo es ja möglich sein sollte irgendwelche Daten eliminieren zu können. Das wäre dann komplett nicht möglich, ausser die Snapshots komplett zu löschen.

Viele Grüße von einem interessierten Leser
Thorsten


Mehr von Doc. tec. Storage 03.07.2020 Problem: SSDs mit Trim-Funktion in Disk-Arrays

In einem Synology-RAID macht der Trim-Befehl der eingesetzten SSDs das System nach einer Zeit, unbenutzbar langsam. Abhilfe schafft eine Neuinstallation. Woran liegt das und könnte dies auch mit Enterprise-SSDs in größeren Arrays auftreten?


26.06.2020 Cloud-defined Storage – Hat das eine Zukunft?

Der US-Newcomer Nebulon geht mit Cloud-defined Storage (CDS)an den Start. Dabei soll es sich um einen Server basierten On-Premises-Speicher der Enterprise-Klasse handeln, der über die Cloud verwaltet wird. Hat dieser Ansatz eine Zukunft? Was spricht dafür, was dagegen?


05.06.2020 Daten-Crash beim Kopieren zwischen zwei NAS-Systemen

Ein Leser wollte Daten von einem in die Jahre gekommen NAS-System auf ein Neues überspielen. Der Windows-Explorer entpuppte sich allerdings als kein zuverlässiges Kopierwerkzeug für große Datenmengen. Es kam zum Daten-Crash, inklusive einem beschädigtem Dateisystem. Doc Storage sieht bestenfalls eine minimale Chance, die Daten wiederherzustellen.


29.05.2020 Ein RAID ersetzt kein Backup

Im NAS-System einer unserer Leser ist eine HDD ausgefallen. Während des Rebuilds auf eine neue Festplatte kommt es zum Supergau und es fällt auch die zweite der beiden ursprünglichen RAID-1-Platten aus. Der Nutzer hatte diese Konfiguration extra aus Gründen der Datensicherheit gewählt. Da bleibt Doc Storage leider nur eine Antwort: Ein RAID ersetzt kein Backup.


15.05.2020 Doc Storage: »Ich vermisse den Gegenwind«

Doc Storage ist fassungslos, fast sogar ein kleinwenig sprachlos. Na ja, nicht ganz, Sie kennen ihn ja. Nachdem er den Einfluss der Coronakrise auf die IT ausführlich und aus verschiedenen Blickwinkeln beleuchtet hat, inklusiver einiger steiler Thesen, ist es ihm hier eindeutig zu ruhig. Da hatte er sich mehr Gegenwind erwartet. Liebe Leser, unser Doc hat Ihnen etwas zu sagen…


08.05.2020 HPC-Speicher: schnell & sicher schließen sich meist aus

Doc Storage nimmt sich in seiner Kolumne unter anderem die HPC-Studie von Hyperion Research vor. High-Performance-Computing hat aus seiner Sicht klar den Auftrag schnell zu sein. Die von den Marktforschern geforderte Ausfallsicherheit, wäre kein Problem, wenn die Firmen genug Geld ausgeben würden. Ansonsten gehe ein Mehr an Sicherheitsmaßnahmen immer zu Lasten der Leistung.

powered by
Zadara Pure Storage Germany GmbH
Infortrend Fujitsu Technology Solutions GmbH
FAST LTA N-TEC GmbH
Folgen Sie speicherguide.de auch auf unseren Social-Media-Kanälen
Folgen Sie und auf Facebook Folgen Sie und auf YouTube Folgen Sie und auf Twitter