10.01.2020 (Doc Storage)
4.4 von 5, (16 Bewertungen)

Ransomware: Sind Backups ein ausreichender Schutz?

  • Inhalt dieses Artikels
  • Aufräumaufwand nach Ransomware-Attacke enorm
  • Canary-Files fungieren für Ransomware als Honigtopf
  • DR-Strategie auf Ransomware-Attacken anpassen

Leserfrage: Thema Ransomware-Schutz: Wie sieht hier heute eigentlich der Stand der Technik aus und die dazugehörende Strategie und Maßnahmenorganisation? Ein herkömmliches Backup scheint ja nicht mehr ausreichend zu sein. Und wenn wir schon dabei sind: Ist bei den Cloud-Providern alles in trockenen Tüchern?

Antwort Doc Storage:

Da niemand mehr Bitcoins zahlen möchte, um sich zur Erhaltung seiner Daten erpressen zu lassen, empfehlen sich weitergehende Maßnahmen, auch und vor allem im Bereich Backup. Viele, die gezahlt haben, haben trotzdem ihre Daten nicht zurückbekommen.

Im Gegensatz zu Malware, die den Speicher verschlüsselt und dann gegen Zahlung eines Lösegeldes (manchmal) wieder freigibt, korrumpiert Ransomware die Daten. Nach den WannaCry-Angriffen der letzten Jahre konnten wir uns alle ja kaum von Empfehlungen, guten Ratschlägen und Consulting-Angeboten im Postfach retten. Die meisten enthielten auf die eine oder andere Art den Hinweis, dass Backup das beste Mittel gegen Ransomware sei. Viele kombinierten dies mit dem Angebot brandneuer Software, die mit Hilfe künstlicher Intelligenz und entsprechender Algorithmen einen Schutz gegen diese Bösewichter bieten sollte. Backup ist, wie Sie feststellen, allerdings bei weitem nicht mehr genug, wenn man sich gegen diese Art von Schädlingen verteidigen möchte.

Anzeige

Aufräumaufwand nach Ransomware-Attacke enorm

Zunächst einmal ist der operative Aufwand nach einem solchen Angriff enorm. Die befallenen Rechner sind zu reinigen, mit den »gesunden« Daten aus dem Backup zu rekonstruieren und wieder hochzufahren. In virtuellen Umgebungen müssen die infizierten Systeme gelöscht, durch ihre »gesunden« Vorgänger ersetzt und ebenfalls neu gestartet werden. Da allerdings die meisten Sicherungen nicht alle, sondern nur die für dieses System eigenen Daten enthalten, gilt es die generischen Informationen der Betriebssysteme und Anwendungen, deren spezielle Konfigurationen und die Nutzerrechte ebenfalls zu rekonstruieren. Dies können je nach Anzahl der Maschinen bzw. virtuellen Abbilder wesentlich länger dauern als die Rücksicherung selbst. Das nächste Problem stellt sich bei der Möglichkeit, dass die mit Ransomware infizierten Dateien bereits mitgesichert wurden. Diese Gefahr steigt, je seltener gesichert wird. Bei einem Backup, welches nur einmal täglich durchgeführt wird, ist diese schon nahezu untolerierbar hoch.

Diese Gefährdungen lassen sich auf unterschiedliche Arten ausschalten. Die eine, allerdings mit wesentlichem Aufwand verbunden, besteht darin, tatsächlich alle Daten in möglichst kurzen Abständen zu sichern, also Betriebssystem, Konfiguration, Anwendungen und Nutzerdaten. Bei physischen Installationen macht dies wesentlich mehr Arbeit als bei virtuellen Maschinen.

Als Alternative bietet sich DRaaS (Disaster Recovery as a Service), meist in Cloud-Umgebungen beheimatet. Die gesicherten Daten werden hier an einen externen Dienstleister geliefert, welcher im Notfall die Maschinen als virtuelle Systeme hochfahren und den Betrieb von dort aus anbieten kann. Die meisten dieser Dienste sichern fortlaufend und versehen verschiedene Generationen der Backups mit Zeitmarkierungen, so dass sich auf jeden Fall auf eine saubere Version zurückgreifen lässt, auch wenn mit Ransomware infizierte Daten bereits in ein oder mehrere Backups eingeflossen sein sollten. Natürlich haben viele DRaaS-Anbieter ihre Chance erkannt und ihre Preise zum Teil heftig angehoben, allerdings ist diese Alternative immer noch wesentlich preiswerter, als ein solches Konstrukt im eigenen Rechenzentrum aufzubauen. Ein Viertel der RZ-Betreiber verlässt sich inzwischen auf solche Dienste, ein weiteres Viertel will in nächster Zukunft darauf umsteigen.

Die Autoren von Ransomware haben die Funktionalität ihrer Software in den letzten Monaten verändert. Fiel diese zu Anfang möglichst schnell über möglichst viele Dateien her, war sie allerdings auch schnell zu erkennen und Gegenmaßnahmen wurden eingeleitet, bevor ein größerer Schaden entstand. Sofern der Angriff rechtzeitig erkannt wurde. Allerdings haben die Programmierer die Funktion umgestellt: Nun werden meist zuerst die Backup-Dateien und komprimierte Daten befallen, um möglichst lange im Unerkannten wirken zu können – je länger die Software wirken kann, desto größer ist der Schaden und umso aufwändiger ist die Rekonstruktion.

Canary-Files fungieren für Ransomware als Honigtopf

Um zu verhindern, dass sich Ransomware in Ihrem System ausbreitet und möglichst viele Dateien infiziert, bevor Sie dieses überhaupt bemerken, können Sie eine alte Methode aus Zeiten des Bergbaues verwenden, um einen Befall möglichst früh zu bemerken. Bergarbeiter nahmen Vögel, meistens Kanarienvögel mit in den Schacht, die bei einer Verschlechterung der Luft tot umfielen. Dann wussten die Arbeiter, dass Sie den Schacht möglichst schnell verlassen mussten. Genauso funktionieren sogenannte Canary Files. Diese geben sich durch ihre Struktur und ihre Namen ein für Ransomware attraktives Aussehen. Sobald sich Zeitstempel, Größe oder andere Indikatoren dieser Dateien auf Festplatten oder Shares ändern, ist die Wahrscheinlichkeit für einen Befall sehr hoch, da »normale« Anwendungen diese Dateien niemals nutzen. Sollte sich einer oder mehrere Eigenschaften dieser Dateien ändern, schlagen sie sofort Alarm, und ein Such- und Reinigungsvorgang wird angestoßen. Allerdings sind die Entwickler von Ransomware bereits auf solche Techniken aufmerksam geworden und suchen in verschiedenen Verzeichnissen und Shares nach Dateien mit demselben Zeitstempel und Zugriffsdatum. Diese werden dann von neuesten Versionen bereits umgangen. In Zukunft werden also Canary-Files-Systeme notwendig werden, die entweder wie komplette Anwendungen aussehen, oder aber selbständig und auf Zufallsbasis ständig die Zeitangaben zu ihren Dateien ändern.

DR-Strategie auf Ransomware-Attacken anpassen

Zuletzt benötigt ein Betreiber natürlich eine der Ransomware angepasste Disaster-Recovery-Strategie. Das BSI rät hierzu, zusätzlich zu den immer häufiger verwendeten Plattensystemen die Daten auch offline, also auf Bänder oder optische Medien zu sichern. Allerdings dürften viele dieser Systeme wegen der riesigen Datenmengen mit einem solchen Konzept einfach überlastet sein. Hinzu kommt, dass viele neue Ransomware-Versionen gezielt nach Backup-Systemen suchen und diese zuerst angreifen.

Eine Methode, den Zugriff auf physikalische Backups abzufangen, kann die Erstellung regelmäßiger Snapshots und deren Transport an einen entfernten Standort sein. Diese Snapshots lassen sich in relativ kurzer Abfolge erstellen und ermöglichen entsprechend kurze Recovery-Zeiten. Hiermit lässt sich auch weiterhin eine synchrone Datenspiegelung aufrechterhalten, die viele Unternehmen zur Vermeidung von Produktionsstillständen benötigen, da Ransomware, zumindest die bisher bekannte, nicht auf die Snapshots von Speichersystemen durchgreifen kann. Hinzu kommt, dass diese Abbilder nur Read-Only gespeichert werden, also nicht von außen geändert werden können.

Als Fazit lässt sich zusammenfassen, dass es leider sehr aufwändig ist, sich gegen Ransomware, vor allem im Bereich Backup und Archiv zu schützen. Wenn man allerdings die beschriebenen Maßnahmen ergreift, sollte es dieser Software möglichst schwer sein, auch gesicherte Datenbestände anzugreifen und das Unternehmen erpressbar zu machen.

Für weitere Ideen in dieser Richtung sind alle Leser sehr dankbar. Aber bitte, wie immer – keine Werbung!

Gruß
Doc Storage

Stellen Sie Ihre Frage
Doc. tec. Storage beantwortet alle Ihre technischen Fragen zu Storage, Backup & Co.

Stellen Sie Ihre Frage an: DocStorage@speicherguide.de
Kommentare (4)
12.02.2020 - mress

Auch von mir vielen Dank für die Übersicht! Allerdings halte ich auch nichts davon sich auf Snapshots zu verlassen. Die meisten Ransomware-Attacken arbeiten mit einer "schleichenden Verschlüsselung" - wie der Vorredner berichtet sind also die Snapshots in der Regel unbrauchbar - und den letzten brauchbaren zu finden in welchem der gesamte Content noch nicht infiziert ist kann Wochen dauern! Hier ist immer noch die klassische Backupstrategie mit Monthly, Yearlys etc. zu empfehlen. Und was Tapes anbelangt: Gerade in grossen Umgebungen sind Tapes schneller, sicherer und günstiger als jede HDD oder SSD!

10.01.2020 - LHL

"enn ich von einem Filesystem wo Daten gespeichert werden einen Snapshot mache wo schon infizierte Dateien/Viren oder was auch immer Böses sich schon darauf befindet, dann ist der Snapshot auch schon unbrauchbar."

Jain. Produktiv verwenden kann ich diesen snapshot dann natürlich nicht. Aber ich kann das System in einer Quarantäne-Zone hochfahren und bei Bedarf Nutzdaten extrahieren, die ich dann im neuen sauberen System importieren kann. Zusätzlich habe ich ja auch nicht nur einen Snapshot sondern eine Historie von Snapshots. Die Kunst ist dann "lediglich" soweit zurück zu gehen, dass ich den letzten sauberen Snapshot habe. Alternativ kann man auch möglichst automatisiert ein neues System deployen und sich dann lediglich die Daten dort wieder rein importieren.

"Thema DSGVO"
Auch jain. Ich kann die Daten zwar nicht im Snapshot selbst löschen sondern muss dann im "Notfall" anders sicherstellen, dass nach einem Recovery die zur Löschung beauftragten Daten dann wieder im aktiven Datenbestand gelöscht werden. Optimaler Weise in dem ich die Transaktionen der Datenbank seit Erstellung des Snapshots nachfahre.

10.01.2020 - StoAdmin

Vielen Dank, tolle Zusammenfassung.
Backup Daten haben ja gegenüber den Primärdaten den Vorteil, daß Sie im Regelfall nur gelöscht (wenn abgelaufen) oder neu geschrieben werden. Es sollte ja, im Normalfall, keine Datenveränderung stattfinden. Läßt sich hier technisch, außer mit Archivsystemen oder Snapshots noch irgendwo ansetzen ? (Filetypen/Berechtigungen/Log-Auswertungen..?)

10.01.2020 - thoschne

Vielen Dank für die Informationen. Das ist ein interessanter Ansatz mit den Snapshot-Abbildern. Hierzu nur mal meine Gedanken aus dem Bauch heraus. Wenn ich von einem Filesystem wo Daten gespeichert werden einen Snapshot mache wo schon infizierte Dateien/Viren oder was auch immer Böses sich schon darauf befindet, dann ist der Snapshot auch schon unbrauchbar. Dann fällt mir noch das Thema DSGVO ein, wo es ja möglich sein sollte irgendwelche Daten eliminieren zu können. Das wäre dann komplett nicht möglich, ausser die Snapshots komplett zu löschen.

Viele Grüße von einem interessierten Leser
Thorsten


Mehr von Doc. tec. Storage 19.02.2021 HDD/SSD vs. Interface: Wer ist der Flaschenhals im NAS?

Ein NAS-System mit SSDs aufzurüsten bringt zusätzliche Performance. Sollte es zumindest. Wie verhält es sich mit einer SATA-3-Schnittstelle, avanciert diese nicht zum Flaschenhals und bremst die schnellen Flash-Speicher aus?


05.02.2021 Was ist ein Data-Mover?

Was ist eigentlich ein Data-Mover? Wird oft in der Funktionsliste genannt, meist bei Disk-Subsystemen, aber auch in anderem Kontext. Überträgt man damit einfach nur größere Mengen an Daten oder steckt mehr dahinter?


29.01.2021 Was versteht man unter Back-Hitching und Shoe-Shining?

Wenn es um Tape geht, fallen immer mal wieder die Begriffe Back-Hitching und Shoe-Shining – im negativen Sinne. Was genau ist darunter zu verstehen? Mit welchen Folgen ist beim Auftraten zu rechnen und was sollten Administratoren in diesem Fall unternehmen?


18.12.2020 Speichermarkt 2020 – Ein Rückblick

Doc Storage zieht ein Resümee für den Speichermarkt 2020 und seines Ausblicks Anfang des Jahres. Technologisch hatten die vergangenen zwölf Monate wenig zu bieten. Pandemiebedingt hat sich vieles nicht wie erwartet bzw. ganz anders entwickelt.


11.12.2020 Was ist eine Data-Fabric?

Mittlerweile haben fast alle größeren Hersteller irgendetwas im Angebot, was sich Data-Fabric nennt. Was muss man dazu wissen? Eigentlich vereinen sich darin ja nur verschiedene Services, oder?


04.12.2020 Standortbestimmung Tape, HDD und Flash

Update: Tape erlebt eine Renaissance und Flash ist bei Primärspeichern längst die Nummer eins. Die Festplatte ist zwar noch nicht am Ende, die Luft scheint aber dünner zu werden. Wie sieht Doc Storage die Entwicklung in den kommenden Jahren?

powered by
N-TEC GmbH FAST LTA
Cloudian Tech Data IBM Storage Hub
Microchip
Folgen Sie speicherguide.de auch auf unseren Social-Media-Kanälen
Folgen Sie uns auf Facebook Folgen Sie uns auf Pinterest Folgen Sie uns auf YouTube
Folgen Sie uns auf Twitter Folgen Sie uns auf Linkedin speicherguide.de-News per RSS-Feed