10.01.2020 (Doc Storage)
4.4 von 5, (15 Bewertungen)

Ransomware: Sind Backups ein ausreichender Schutz?

  • Inhalt dieses Artikels
  • Aufräumaufwand nach Ransomware-Attacke enorm
  • Canary-Files fungieren für Ransomware als Honigtopf
  • DR-Strategie auf Ransomware-Attacken anpassen

Leserfrage: Thema Ransomware-Schutz: Wie sieht hier heute eigentlich der Stand der Technik aus und die dazugehörende Strategie und Maßnahmenorganisation? Ein herkömmliches Backup scheint ja nicht mehr ausreichend zu sein. Und wenn wir schon dabei sind: Ist bei den Cloud-Providern alles in trockenen Tüchern?

Antwort Doc Storage:

Da niemand mehr Bitcoins zahlen möchte, um sich zur Erhaltung seiner Daten erpressen zu lassen, empfehlen sich weitergehende Maßnahmen, auch und vor allem im Bereich Backup. Viele, die gezahlt haben, haben trotzdem ihre Daten nicht zurückbekommen.

Im Gegensatz zu Malware, die den Speicher verschlüsselt und dann gegen Zahlung eines Lösegeldes (manchmal) wieder freigibt, korrumpiert Ransomware die Daten. Nach den WannaCry-Angriffen der letzten Jahre konnten wir uns alle ja kaum von Empfehlungen, guten Ratschlägen und Consulting-Angeboten im Postfach retten. Die meisten enthielten auf die eine oder andere Art den Hinweis, dass Backup das beste Mittel gegen Ransomware sei. Viele kombinierten dies mit dem Angebot brandneuer Software, die mit Hilfe künstlicher Intelligenz und entsprechender Algorithmen einen Schutz gegen diese Bösewichter bieten sollte. Backup ist, wie Sie feststellen, allerdings bei weitem nicht mehr genug, wenn man sich gegen diese Art von Schädlingen verteidigen möchte.

Aufräumaufwand nach Ransomware-Attacke enorm

Zunächst einmal ist der operative Aufwand nach einem solchen Angriff enorm. Die befallenen Rechner sind zu reinigen, mit den »gesunden« Daten aus dem Backup zu rekonstruieren und wieder hochzufahren. In virtuellen Umgebungen müssen die infizierten Systeme gelöscht, durch ihre »gesunden« Vorgänger ersetzt und ebenfalls neu gestartet werden. Da allerdings die meisten Sicherungen nicht alle, sondern nur die für dieses System eigenen Daten enthalten, gilt es die generischen Informationen der Betriebssysteme und Anwendungen, deren spezielle Konfigurationen und die Nutzerrechte ebenfalls zu rekonstruieren. Dies können je nach Anzahl der Maschinen bzw. virtuellen Abbilder wesentlich länger dauern als die Rücksicherung selbst. Das nächste Problem stellt sich bei der Möglichkeit, dass die mit Ransomware infizierten Dateien bereits mitgesichert wurden. Diese Gefahr steigt, je seltener gesichert wird. Bei einem Backup, welches nur einmal täglich durchgeführt wird, ist diese schon nahezu untolerierbar hoch.

Diese Gefährdungen lassen sich auf unterschiedliche Arten ausschalten. Die eine, allerdings mit wesentlichem Aufwand verbunden, besteht darin, tatsächlich alle Daten in möglichst kurzen Abständen zu sichern, also Betriebssystem, Konfiguration, Anwendungen und Nutzerdaten. Bei physischen Installationen macht dies wesentlich mehr Arbeit als bei virtuellen Maschinen.

Als Alternative bietet sich DRaaS (Disaster Recovery as a Service), meist in Cloud-Umgebungen beheimatet. Die gesicherten Daten werden hier an einen externen Dienstleister geliefert, welcher im Notfall die Maschinen als virtuelle Systeme hochfahren und den Betrieb von dort aus anbieten kann. Die meisten dieser Dienste sichern fortlaufend und versehen verschiedene Generationen der Backups mit Zeitmarkierungen, so dass sich auf jeden Fall auf eine saubere Version zurückgreifen lässt, auch wenn mit Ransomware infizierte Daten bereits in ein oder mehrere Backups eingeflossen sein sollten. Natürlich haben viele DRaaS-Anbieter ihre Chance erkannt und ihre Preise zum Teil heftig angehoben, allerdings ist diese Alternative immer noch wesentlich preiswerter, als ein solches Konstrukt im eigenen Rechenzentrum aufzubauen. Ein Viertel der RZ-Betreiber verlässt sich inzwischen auf solche Dienste, ein weiteres Viertel will in nächster Zukunft darauf umsteigen.

Die Autoren von Ransomware haben die Funktionalität ihrer Software in den letzten Monaten verändert. Fiel diese zu Anfang möglichst schnell über möglichst viele Dateien her, war sie allerdings auch schnell zu erkennen und Gegenmaßnahmen wurden eingeleitet, bevor ein größerer Schaden entstand. Sofern der Angriff rechtzeitig erkannt wurde. Allerdings haben die Programmierer die Funktion umgestellt: Nun werden meist zuerst die Backup-Dateien und komprimierte Daten befallen, um möglichst lange im Unerkannten wirken zu können – je länger die Software wirken kann, desto größer ist der Schaden und umso aufwändiger ist die Rekonstruktion.

Canary-Files fungieren für Ransomware als Honigtopf

Um zu verhindern, dass sich Ransomware in Ihrem System ausbreitet und möglichst viele Dateien infiziert, bevor Sie dieses überhaupt bemerken, können Sie eine alte Methode aus Zeiten des Bergbaues verwenden, um einen Befall möglichst früh zu bemerken. Bergarbeiter nahmen Vögel, meistens Kanarienvögel mit in den Schacht, die bei einer Verschlechterung der Luft tot umfielen. Dann wussten die Arbeiter, dass Sie den Schacht möglichst schnell verlassen mussten. Genauso funktionieren sogenannte Canary Files. Diese geben sich durch ihre Struktur und ihre Namen ein für Ransomware attraktives Aussehen. Sobald sich Zeitstempel, Größe oder andere Indikatoren dieser Dateien auf Festplatten oder Shares ändern, ist die Wahrscheinlichkeit für einen Befall sehr hoch, da »normale« Anwendungen diese Dateien niemals nutzen. Sollte sich einer oder mehrere Eigenschaften dieser Dateien ändern, schlagen sie sofort Alarm, und ein Such- und Reinigungsvorgang wird angestoßen. Allerdings sind die Entwickler von Ransomware bereits auf solche Techniken aufmerksam geworden und suchen in verschiedenen Verzeichnissen und Shares nach Dateien mit demselben Zeitstempel und Zugriffsdatum. Diese werden dann von neuesten Versionen bereits umgangen. In Zukunft werden also Canary-Files-Systeme notwendig werden, die entweder wie komplette Anwendungen aussehen, oder aber selbständig und auf Zufallsbasis ständig die Zeitangaben zu ihren Dateien ändern.

DR-Strategie auf Ransomware-Attacken anpassen

Zuletzt benötigt ein Betreiber natürlich eine der Ransomware angepasste Disaster-Recovery-Strategie. Das BSI rät hierzu, zusätzlich zu den immer häufiger verwendeten Plattensystemen die Daten auch offline, also auf Bänder oder optische Medien zu sichern. Allerdings dürften viele dieser Systeme wegen der riesigen Datenmengen mit einem solchen Konzept einfach überlastet sein. Hinzu kommt, dass viele neue Ransomware-Versionen gezielt nach Backup-Systemen suchen und diese zuerst angreifen.

Eine Methode, den Zugriff auf physikalische Backups abzufangen, kann die Erstellung regelmäßiger Snapshots und deren Transport an einen entfernten Standort sein. Diese Snapshots lassen sich in relativ kurzer Abfolge erstellen und ermöglichen entsprechend kurze Recovery-Zeiten. Hiermit lässt sich auch weiterhin eine synchrone Datenspiegelung aufrechterhalten, die viele Unternehmen zur Vermeidung von Produktionsstillständen benötigen, da Ransomware, zumindest die bisher bekannte, nicht auf die Snapshots von Speichersystemen durchgreifen kann. Hinzu kommt, dass diese Abbilder nur Read-Only gespeichert werden, also nicht von außen geändert werden können.

Als Fazit lässt sich zusammenfassen, dass es leider sehr aufwändig ist, sich gegen Ransomware, vor allem im Bereich Backup und Archiv zu schützen. Wenn man allerdings die beschriebenen Maßnahmen ergreift, sollte es dieser Software möglichst schwer sein, auch gesicherte Datenbestände anzugreifen und das Unternehmen erpressbar zu machen.

Für weitere Ideen in dieser Richtung sind alle Leser sehr dankbar. Aber bitte, wie immer – keine Werbung!

Gruß
Doc Storage

Stellen Sie Ihre Frage
Doc. tec. Storage beantwortet alle Ihre technischen Fragen zu Storage, Backup & Co.

Stellen Sie Ihre Frage an: DocStorage@speicherguide.de
Kommentare (4)
12.02.2020 - mress

Auch von mir vielen Dank für die Übersicht! Allerdings halte ich auch nichts davon sich auf Snapshots zu verlassen. Die meisten Ransomware-Attacken arbeiten mit einer "schleichenden Verschlüsselung" - wie der Vorredner berichtet sind also die Snapshots in der Regel unbrauchbar - und den letzten brauchbaren zu finden in welchem der gesamte Content noch nicht infiziert ist kann Wochen dauern! Hier ist immer noch die klassische Backupstrategie mit Monthly, Yearlys etc. zu empfehlen. Und was Tapes anbelangt: Gerade in grossen Umgebungen sind Tapes schneller, sicherer und günstiger als jede HDD oder SSD!

10.01.2020 - LHL

"enn ich von einem Filesystem wo Daten gespeichert werden einen Snapshot mache wo schon infizierte Dateien/Viren oder was auch immer Böses sich schon darauf befindet, dann ist der Snapshot auch schon unbrauchbar."

Jain. Produktiv verwenden kann ich diesen snapshot dann natürlich nicht. Aber ich kann das System in einer Quarantäne-Zone hochfahren und bei Bedarf Nutzdaten extrahieren, die ich dann im neuen sauberen System importieren kann. Zusätzlich habe ich ja auch nicht nur einen Snapshot sondern eine Historie von Snapshots. Die Kunst ist dann "lediglich" soweit zurück zu gehen, dass ich den letzten sauberen Snapshot habe. Alternativ kann man auch möglichst automatisiert ein neues System deployen und sich dann lediglich die Daten dort wieder rein importieren.

"Thema DSGVO"
Auch jain. Ich kann die Daten zwar nicht im Snapshot selbst löschen sondern muss dann im "Notfall" anders sicherstellen, dass nach einem Recovery die zur Löschung beauftragten Daten dann wieder im aktiven Datenbestand gelöscht werden. Optimaler Weise in dem ich die Transaktionen der Datenbank seit Erstellung des Snapshots nachfahre.

10.01.2020 - StoAdmin

Vielen Dank, tolle Zusammenfassung.
Backup Daten haben ja gegenüber den Primärdaten den Vorteil, daß Sie im Regelfall nur gelöscht (wenn abgelaufen) oder neu geschrieben werden. Es sollte ja, im Normalfall, keine Datenveränderung stattfinden. Läßt sich hier technisch, außer mit Archivsystemen oder Snapshots noch irgendwo ansetzen ? (Filetypen/Berechtigungen/Log-Auswertungen..?)

10.01.2020 - thoschne

Vielen Dank für die Informationen. Das ist ein interessanter Ansatz mit den Snapshot-Abbildern. Hierzu nur mal meine Gedanken aus dem Bauch heraus. Wenn ich von einem Filesystem wo Daten gespeichert werden einen Snapshot mache wo schon infizierte Dateien/Viren oder was auch immer Böses sich schon darauf befindet, dann ist der Snapshot auch schon unbrauchbar. Dann fällt mir noch das Thema DSGVO ein, wo es ja möglich sein sollte irgendwelche Daten eliminieren zu können. Das wäre dann komplett nicht möglich, ausser die Snapshots komplett zu löschen.

Viele Grüße von einem interessierten Leser
Thorsten


Mehr von Doc. tec. Storage 20.11.2020 Was ist Zoned-Storage?

Die ersten Hersteller setzen auf die sogenannte Zoned-Storage-Architektur. Was genau ist Zoned-Storage? Brauchen wir die neue Technologie und sollen wir uns damit befassen? Ja, sagt Doc Storage.


13.11.2020 Videodateien: 3 TByte/Monat möglichst kostensparend speichern

Die Anforderung eines Handwerk-Betriebs lautet, bis zu 3 TByte an Videodaten monatlich möglichst kostensparend zu speichern. Redaktion und Leser haben sich dazu Gedanken gemacht. Bisheriger Favorit: einzelne HDDs und mittelfristig ein NAS-Server im Eigenbau.


30.10.2020 Was ist eine Shared Nothing-Architektur?

Seid kurzen sprechen Hersteller und Sprecher wie selbstverständlich von Shared-Nothing-Architekturen. Doc Storage erklärt, was darunter zu verstehen ist und warum Shared-Nothing sogar Sinn macht.


16.10.2020 Welchen Stellenwert haben DMTF Redfish und SNIA Swordfish?

Die neuen Versionen von DMTF Redfish und SNIA Swordfish enthalten nun NVMe- und NVMe-oF-Spezifikations-Verbesserungen. Da stellt sich die Frage nach dem Stellenwert der beiden Spezifikationen. Doc Storage sieht hier aber großes Potenzial.


09.10.2020 Was ist ein Ingress- und Egress-Datenverkehr?

Der Datenverkehr unterliegt in Netzwerken und der Cloud einem definierten Regelwerk. Dabei fallen mitunter auch die Begriffe Ingress und Egress. Doc Storage erklärt die Bedeutung.


28.08.2020 Kommt mit QLC-Flash das Ende hybrider Speichersysteme?

Die ersten Arrays mit QLC-Flash-Technologie kommen auf den Markt. Einige Hersteller prophezeien durchaus vollmundig das Ende von hybriden Speichersystemen, also solchen mit Flash und Festplatten. Ist dieses Ende tatsächlich absehbar oder wie sieht die Zukunft in diesem Bereich aus?

powered by
N-TEC GmbH FAST LTA
Cloudian Tech Data IBM Storage Hub
Microchip
Folgen Sie speicherguide.de auch auf unseren Social-Media-Kanälen
Folgen Sie und auf Facebook Folgen Sie und auf YouTube Folgen Sie und auf Twitter