Ransomware: Sind Backups ein ausreichender Schutz?

Thema Ransomware-Schutz: Wie sieht hier eigentlich der Stand der Technik aus und die dazugehörende Strategie und Maßnahmenorganisation? Ein herkömmliches Backup scheint ja nicht mehr ausreichend zu sein.

Leserfrage: Thema Ransomware-Schutz: Wie sieht hier heute eigentlich der Stand der Technik aus und die dazugehörende Strategie und Maßnahmenorganisation? Ein herkömmliches Backup scheint ja nicht mehr ausreichend zu sein. Und wenn wir schon dabei sind: Ist bei den Cloud-Providern alles in trockenen Tüchern?

Antwort Doc Storage:

Da niemand mehr Bitcoins zahlen möchte, um sich zur Erhaltung seiner Daten erpressen zu lassen, empfehlen sich weitergehende Maßnahmen, auch und vor allem im Bereich Backup. Viele, die gezahlt haben, haben trotzdem ihre Daten nicht zurückbekommen.

Im Gegensatz zu Malware, die den Speicher verschlüsselt und dann gegen Zahlung eines Lösegeldes (manchmal) wieder freigibt, korrumpiert Ransomware die Daten. Nach den WannaCry-Angriffen der letzten Jahre konnten wir uns alle ja kaum von Empfehlungen, guten Ratschlägen und Consulting-Angeboten im Postfach retten. Die meisten enthielten auf die eine oder andere Art den Hinweis, dass Backup das beste Mittel gegen Ransomware sei. Viele kombinierten dies mit dem Angebot brandneuer Software, die mit Hilfe künstlicher Intelligenz und entsprechender Algorithmen einen Schutz gegen diese Bösewichter bieten sollte. Backup ist, wie Sie feststellen, allerdings bei weitem nicht mehr genug, wenn man sich gegen diese Art von Schädlingen verteidigen möchte.

Aufräumaufwand nach Ransomware-Attacke enorm

Zunächst einmal ist der operative Aufwand nach einem solchen Angriff enorm. Die befallenen Rechner sind zu reinigen, mit den »gesunden« Daten aus dem Backup zu rekonstruieren und wieder hochzufahren. In virtuellen Umgebungen müssen die infizierten Systeme gelöscht, durch ihre »gesunden« Vorgänger ersetzt und ebenfalls neu gestartet werden. Da allerdings die meisten Sicherungen nicht alle, sondern nur die für dieses System eigenen Daten enthalten, gilt es die generischen Informationen der Betriebssysteme und Anwendungen, deren spezielle Konfigurationen und die Nutzerrechte ebenfalls zu rekonstruieren. Dies können je nach Anzahl der Maschinen bzw. virtuellen Abbilder wesentlich länger dauern als die Rücksicherung selbst. Das nächste Problem stellt sich bei der Möglichkeit, dass die mit Ransomware infizierten Dateien bereits mitgesichert wurden. Diese Gefahr steigt, je seltener gesichert wird. Bei einem Backup, welches nur einmal täglich durchgeführt wird, ist diese schon nahezu untolerierbar hoch.

Diese Gefährdungen lassen sich auf unterschiedliche Arten ausschalten. Die eine, allerdings mit wesentlichem Aufwand verbunden, besteht darin, tatsächlich alle Daten in möglichst kurzen Abständen zu sichern, also Betriebssystem, Konfiguration, Anwendungen und Nutzerdaten. Bei physischen Installationen macht dies wesentlich mehr Arbeit als bei virtuellen Maschinen.

Als Alternative bietet sich DRaaS (Disaster Recovery as a Service), meist in Cloud-Umgebungen beheimatet. Die gesicherten Daten werden hier an einen externen Dienstleister geliefert, welcher im Notfall die Maschinen als virtuelle Systeme hochfahren und den Betrieb von dort aus anbieten kann. Die meisten dieser Dienste sichern fortlaufend und versehen verschiedene Generationen der Backups mit Zeitmarkierungen, so dass sich auf jeden Fall auf eine saubere Version zurückgreifen lässt, auch wenn mit Ransomware infizierte Daten bereits in ein oder mehrere Backups eingeflossen sein sollten. Natürlich haben viele DRaaS-Anbieter ihre Chance erkannt und ihre Preise zum Teil heftig angehoben, allerdings ist diese Alternative immer noch wesentlich preiswerter, als ein solches Konstrukt im eigenen Rechenzentrum aufzubauen. Ein Viertel der RZ-Betreiber verlässt sich inzwischen auf solche Dienste, ein weiteres Viertel will in nächster Zukunft darauf umsteigen.

Die Autoren von Ransomware haben die Funktionalität ihrer Software in den letzten Monaten verändert. Fiel diese zu Anfang möglichst schnell über möglichst viele Dateien her, war sie allerdings auch schnell zu erkennen und Gegenmaßnahmen wurden eingeleitet, bevor ein größerer Schaden entstand. Sofern der Angriff rechtzeitig erkannt wurde. Allerdings haben die Programmierer die Funktion umgestellt: Nun werden meist zuerst die Backup-Dateien und komprimierte Daten befallen, um möglichst lange im Unerkannten wirken zu können – je länger die Software wirken kann, desto größer ist der Schaden und umso aufwändiger ist die Rekonstruktion.

Canary-Files fungieren für Ransomware als Honigtopf

Um zu verhindern, dass sich Ransomware in Ihrem System ausbreitet und möglichst viele Dateien infiziert, bevor Sie dieses überhaupt bemerken, können Sie eine alte Methode aus Zeiten des Bergbaues verwenden, um einen Befall möglichst früh zu bemerken. Bergarbeiter nahmen Vögel, meistens Kanarienvögel mit in den Schacht, die bei einer Verschlechterung der Luft tot umfielen. Dann wussten die Arbeiter, dass Sie den Schacht möglichst schnell verlassen mussten. Genauso funktionieren sogenannte Canary Files. Diese geben sich durch ihre Struktur und ihre Namen ein für Ransomware attraktives Aussehen. Sobald sich Zeitstempel, Größe oder andere Indikatoren dieser Dateien auf Festplatten oder Shares ändern, ist die Wahrscheinlichkeit für einen Befall sehr hoch, da »normale« Anwendungen diese Dateien niemals nutzen. Sollte sich einer oder mehrere Eigenschaften dieser Dateien ändern, schlagen sie sofort Alarm, und ein Such- und Reinigungsvorgang wird angestoßen. Allerdings sind die Entwickler von Ransomware bereits auf solche Techniken aufmerksam geworden und suchen in verschiedenen Verzeichnissen und Shares nach Dateien mit demselben Zeitstempel und Zugriffsdatum. Diese werden dann von neuesten Versionen bereits umgangen. In Zukunft werden also Canary-Files-Systeme notwendig werden, die entweder wie komplette Anwendungen aussehen, oder aber selbständig und auf Zufallsbasis ständig die Zeitangaben zu ihren Dateien ändern.

DR-Strategie auf Ransomware-Attacken anpassen

Zuletzt benötigt ein Betreiber natürlich eine der Ransomware angepasste Disaster-Recovery-Strategie. Das BSI rät hierzu, zusätzlich zu den immer häufiger verwendeten Plattensystemen die Daten auch offline, also auf Bänder oder optische Medien zu sichern. Allerdings dürften viele dieser Systeme wegen der riesigen Datenmengen mit einem solchen Konzept einfach überlastet sein. Hinzu kommt, dass viele neue Ransomware-Versionen gezielt nach Backup-Systemen suchen und diese zuerst angreifen.

Eine Methode, den Zugriff auf physikalische Backups abzufangen, kann die Erstellung regelmäßiger Snapshots und deren Transport an einen entfernten Standort sein. Diese Snapshots lassen sich in relativ kurzer Abfolge erstellen und ermöglichen entsprechend kurze Recovery-Zeiten. Hiermit lässt sich auch weiterhin eine synchrone Datenspiegelung aufrechterhalten, die viele Unternehmen zur Vermeidung von Produktionsstillständen benötigen, da Ransomware, zumindest die bisher bekannte, nicht auf die Snapshots von Speichersystemen durchgreifen kann. Hinzu kommt, dass diese Abbilder nur Read-Only gespeichert werden, also nicht von außen geändert werden können.

Als Fazit lässt sich zusammenfassen, dass es leider sehr aufwändig ist, sich gegen Ransomware, vor allem im Bereich Backup und Archiv zu schützen. Wenn man allerdings die beschriebenen Maßnahmen ergreift, sollte es dieser Software möglichst schwer sein, auch gesicherte Datenbestände anzugreifen und das Unternehmen erpressbar zu machen.

Für weitere Ideen in dieser Richtung sind alle Leser sehr dankbar. Aber bitte, wie immer – keine Werbung!

Gruß
Doc Storage