10.01.2020 (Doc Storage)
4.5 von 5, (13 Bewertungen)

Ransomware: Sind Backups ein ausreichender Schutz?

  • Inhalt dieses Artikels
  • Aufräumaufwand nach Ransomware-Attacke enorm
  • Canary-Files fungieren für Ransomware als Honigtopf
  • DR-Strategie auf Ransomware-Attacken anpassen

Leserfrage: Thema Ransomware-Schutz: Wie sieht hier heute eigentlich der Stand der Technik aus und die dazugehörende Strategie und Maßnahmenorganisation? Ein herkömmliches Backup scheint ja nicht mehr ausreichend zu sein. Und wenn wir schon dabei sind: Ist bei den Cloud-Providern alles in trockenen Tüchern?

Antwort Doc Storage:

Da niemand mehr Bitcoins zahlen möchte, um sich zur Erhaltung seiner Daten erpressen zu lassen, empfehlen sich weitergehende Maßnahmen, auch und vor allem im Bereich Backup. Viele, die gezahlt haben, haben trotzdem ihre Daten nicht zurückbekommen.

Im Gegensatz zu Malware, die den Speicher verschlüsselt und dann gegen Zahlung eines Lösegeldes (manchmal) wieder freigibt, korrumpiert Ransomware die Daten. Nach den WannaCry-Angriffen der letzten Jahre konnten wir uns alle ja kaum von Empfehlungen, guten Ratschlägen und Consulting-Angeboten im Postfach retten. Die meisten enthielten auf die eine oder andere Art den Hinweis, dass Backup das beste Mittel gegen Ransomware sei. Viele kombinierten dies mit dem Angebot brandneuer Software, die mit Hilfe künstlicher Intelligenz und entsprechender Algorithmen einen Schutz gegen diese Bösewichter bieten sollte. Backup ist, wie Sie feststellen, allerdings bei weitem nicht mehr genug, wenn man sich gegen diese Art von Schädlingen verteidigen möchte.

Aufräumaufwand nach Ransomware-Attacke enorm

Zunächst einmal ist der operative Aufwand nach einem solchen Angriff enorm. Die befallenen Rechner sind zu reinigen, mit den »gesunden« Daten aus dem Backup zu rekonstruieren und wieder hochzufahren. In virtuellen Umgebungen müssen die infizierten Systeme gelöscht, durch ihre »gesunden« Vorgänger ersetzt und ebenfalls neu gestartet werden. Da allerdings die meisten Sicherungen nicht alle, sondern nur die für dieses System eigenen Daten enthalten, gilt es die generischen Informationen der Betriebssysteme und Anwendungen, deren spezielle Konfigurationen und die Nutzerrechte ebenfalls zu rekonstruieren. Dies können je nach Anzahl der Maschinen bzw. virtuellen Abbilder wesentlich länger dauern als die Rücksicherung selbst. Das nächste Problem stellt sich bei der Möglichkeit, dass die mit Ransomware infizierten Dateien bereits mitgesichert wurden. Diese Gefahr steigt, je seltener gesichert wird. Bei einem Backup, welches nur einmal täglich durchgeführt wird, ist diese schon nahezu untolerierbar hoch.

Diese Gefährdungen lassen sich auf unterschiedliche Arten ausschalten. Die eine, allerdings mit wesentlichem Aufwand verbunden, besteht darin, tatsächlich alle Daten in möglichst kurzen Abständen zu sichern, also Betriebssystem, Konfiguration, Anwendungen und Nutzerdaten. Bei physischen Installationen macht dies wesentlich mehr Arbeit als bei virtuellen Maschinen.

Als Alternative bietet sich DRaaS (Disaster Recovery as a Service), meist in Cloud-Umgebungen beheimatet. Die gesicherten Daten werden hier an einen externen Dienstleister geliefert, welcher im Notfall die Maschinen als virtuelle Systeme hochfahren und den Betrieb von dort aus anbieten kann. Die meisten dieser Dienste sichern fortlaufend und versehen verschiedene Generationen der Backups mit Zeitmarkierungen, so dass sich auf jeden Fall auf eine saubere Version zurückgreifen lässt, auch wenn mit Ransomware infizierte Daten bereits in ein oder mehrere Backups eingeflossen sein sollten. Natürlich haben viele DRaaS-Anbieter ihre Chance erkannt und ihre Preise zum Teil heftig angehoben, allerdings ist diese Alternative immer noch wesentlich preiswerter, als ein solches Konstrukt im eigenen Rechenzentrum aufzubauen. Ein Viertel der RZ-Betreiber verlässt sich inzwischen auf solche Dienste, ein weiteres Viertel will in nächster Zukunft darauf umsteigen.

Die Autoren von Ransomware haben die Funktionalität ihrer Software in den letzten Monaten verändert. Fiel diese zu Anfang möglichst schnell über möglichst viele Dateien her, war sie allerdings auch schnell zu erkennen und Gegenmaßnahmen wurden eingeleitet, bevor ein größerer Schaden entstand. Sofern der Angriff rechtzeitig erkannt wurde. Allerdings haben die Programmierer die Funktion umgestellt: Nun werden meist zuerst die Backup-Dateien und komprimierte Daten befallen, um möglichst lange im Unerkannten wirken zu können – je länger die Software wirken kann, desto größer ist der Schaden und umso aufwändiger ist die Rekonstruktion.

Canary-Files fungieren für Ransomware als Honigtopf

Um zu verhindern, dass sich Ransomware in Ihrem System ausbreitet und möglichst viele Dateien infiziert, bevor Sie dieses überhaupt bemerken, können Sie eine alte Methode aus Zeiten des Bergbaues verwenden, um einen Befall möglichst früh zu bemerken. Bergarbeiter nahmen Vögel, meistens Kanarienvögel mit in den Schacht, die bei einer Verschlechterung der Luft tot umfielen. Dann wussten die Arbeiter, dass Sie den Schacht möglichst schnell verlassen mussten. Genauso funktionieren sogenannte Canary Files. Diese geben sich durch ihre Struktur und ihre Namen ein für Ransomware attraktives Aussehen. Sobald sich Zeitstempel, Größe oder andere Indikatoren dieser Dateien auf Festplatten oder Shares ändern, ist die Wahrscheinlichkeit für einen Befall sehr hoch, da »normale« Anwendungen diese Dateien niemals nutzen. Sollte sich einer oder mehrere Eigenschaften dieser Dateien ändern, schlagen sie sofort Alarm, und ein Such- und Reinigungsvorgang wird angestoßen. Allerdings sind die Entwickler von Ransomware bereits auf solche Techniken aufmerksam geworden und suchen in verschiedenen Verzeichnissen und Shares nach Dateien mit demselben Zeitstempel und Zugriffsdatum. Diese werden dann von neuesten Versionen bereits umgangen. In Zukunft werden also Canary-Files-Systeme notwendig werden, die entweder wie komplette Anwendungen aussehen, oder aber selbständig und auf Zufallsbasis ständig die Zeitangaben zu ihren Dateien ändern.

DR-Strategie auf Ransomware-Attacken anpassen

Zuletzt benötigt ein Betreiber natürlich eine der Ransomware angepasste Disaster-Recovery-Strategie. Das BSI rät hierzu, zusätzlich zu den immer häufiger verwendeten Plattensystemen die Daten auch offline, also auf Bänder oder optische Medien zu sichern. Allerdings dürften viele dieser Systeme wegen der riesigen Datenmengen mit einem solchen Konzept einfach überlastet sein. Hinzu kommt, dass viele neue Ransomware-Versionen gezielt nach Backup-Systemen suchen und diese zuerst angreifen.

Eine Methode, den Zugriff auf physikalische Backups abzufangen, kann die Erstellung regelmäßiger Snapshots und deren Transport an einen entfernten Standort sein. Diese Snapshots lassen sich in relativ kurzer Abfolge erstellen und ermöglichen entsprechend kurze Recovery-Zeiten. Hiermit lässt sich auch weiterhin eine synchrone Datenspiegelung aufrechterhalten, die viele Unternehmen zur Vermeidung von Produktionsstillständen benötigen, da Ransomware, zumindest die bisher bekannte, nicht auf die Snapshots von Speichersystemen durchgreifen kann. Hinzu kommt, dass diese Abbilder nur Read-Only gespeichert werden, also nicht von außen geändert werden können.

Als Fazit lässt sich zusammenfassen, dass es leider sehr aufwändig ist, sich gegen Ransomware, vor allem im Bereich Backup und Archiv zu schützen. Wenn man allerdings die beschriebenen Maßnahmen ergreift, sollte es dieser Software möglichst schwer sein, auch gesicherte Datenbestände anzugreifen und das Unternehmen erpressbar zu machen.

Für weitere Ideen in dieser Richtung sind alle Leser sehr dankbar. Aber bitte, wie immer – keine Werbung!

Gruß
Doc Storage

Stellen Sie Ihre Frage
Doc. tec. Storage beantwortet alle Ihre technischen Fragen zu Storage, Backup & Co.

Stellen Sie Ihre Frage an: DocStorage@speicherguide.de
Kommentare (4)
12.02.2020 - mress

Auch von mir vielen Dank für die Übersicht! Allerdings halte ich auch nichts davon sich auf Snapshots zu verlassen. Die meisten Ransomware-Attacken arbeiten mit einer "schleichenden Verschlüsselung" - wie der Vorredner berichtet sind also die Snapshots in der Regel unbrauchbar - und den letzten brauchbaren zu finden in welchem der gesamte Content noch nicht infiziert ist kann Wochen dauern! Hier ist immer noch die klassische Backupstrategie mit Monthly, Yearlys etc. zu empfehlen. Und was Tapes anbelangt: Gerade in grossen Umgebungen sind Tapes schneller, sicherer und günstiger als jede HDD oder SSD!

10.01.2020 - LHL

"enn ich von einem Filesystem wo Daten gespeichert werden einen Snapshot mache wo schon infizierte Dateien/Viren oder was auch immer Böses sich schon darauf befindet, dann ist der Snapshot auch schon unbrauchbar."

Jain. Produktiv verwenden kann ich diesen snapshot dann natürlich nicht. Aber ich kann das System in einer Quarantäne-Zone hochfahren und bei Bedarf Nutzdaten extrahieren, die ich dann im neuen sauberen System importieren kann. Zusätzlich habe ich ja auch nicht nur einen Snapshot sondern eine Historie von Snapshots. Die Kunst ist dann "lediglich" soweit zurück zu gehen, dass ich den letzten sauberen Snapshot habe. Alternativ kann man auch möglichst automatisiert ein neues System deployen und sich dann lediglich die Daten dort wieder rein importieren.

"Thema DSGVO"
Auch jain. Ich kann die Daten zwar nicht im Snapshot selbst löschen sondern muss dann im "Notfall" anders sicherstellen, dass nach einem Recovery die zur Löschung beauftragten Daten dann wieder im aktiven Datenbestand gelöscht werden. Optimaler Weise in dem ich die Transaktionen der Datenbank seit Erstellung des Snapshots nachfahre.

10.01.2020 - StoAdmin

Vielen Dank, tolle Zusammenfassung.
Backup Daten haben ja gegenüber den Primärdaten den Vorteil, daß Sie im Regelfall nur gelöscht (wenn abgelaufen) oder neu geschrieben werden. Es sollte ja, im Normalfall, keine Datenveränderung stattfinden. Läßt sich hier technisch, außer mit Archivsystemen oder Snapshots noch irgendwo ansetzen ? (Filetypen/Berechtigungen/Log-Auswertungen..?)

10.01.2020 - thoschne

Vielen Dank für die Informationen. Das ist ein interessanter Ansatz mit den Snapshot-Abbildern. Hierzu nur mal meine Gedanken aus dem Bauch heraus. Wenn ich von einem Filesystem wo Daten gespeichert werden einen Snapshot mache wo schon infizierte Dateien/Viren oder was auch immer Böses sich schon darauf befindet, dann ist der Snapshot auch schon unbrauchbar. Dann fällt mir noch das Thema DSGVO ein, wo es ja möglich sein sollte irgendwelche Daten eliminieren zu können. Das wäre dann komplett nicht möglich, ausser die Snapshots komplett zu löschen.

Viele Grüße von einem interessierten Leser
Thorsten


Mehr von Doc. tec. Storage 03.04.2020 Corona & IT Teil 2: Bedeutet das Virus das Ende der Edel-EDV?

Sed tempora mutantur, et nos mutamur in illis – Die Zeiten ändern sich und wir uns mit ihnen. Die Corona-Pandemie und die damit verbundenen Einschränkungen fördern auch in der IT neue Arbeitsweisen, Sichtweisen und Möglichkeiten hervor. Zu den Erkenntnissen gehört für unseren Doc Storage, es geht auch einfacher. Daher prophezeit er ein Umdenken in den IT-Abteilungen und damit das Ende der Edel-EDV.


27.03.2020 Corona: Deutliche Quittung für Ignoranz und IT-Missmanagement

Die Coronakrise zwingt Unternehmen zum Umdenken: Es zeigt sich, dass viele nicht nur nicht auf mobiles Arbeiten vorbereitet waren, sondern auch Warnungen von Seiten der IT schlicht ignoriert haben. Doc Storage geht mit den Firmenlenkern hart ins Gericht, denn die Möglichkeit von außen den Betrieb zu lenken und zu steuern wurde sträflich vernachlässigt.


14.02.2020 NVMe-oF: Ethernet-Attached SSDs wirklich der nächste Schritt?

Wenn es um Flash geht, spricht momentan jeder von NVMe und NVMe-oF. In diesem Zusammenhang stellt die SNIA die Frage, »sind Ethernet-Attached SSD tatsächlich eine gute Idee oder braucht man das eher nicht?« Welche Meinung hat hierzu wohl der Doc Storage?


24.01.2020 Datensicherheit per KI: Kümmern Sie sich lieber selbst

Hersteller kommen mit der These, IT-Abteilungen sollten sich von der traditionellen IT-Sicherheit trennen und auf neue, erfolgsversprechende Techniken wie KI setzen. Sie ahnen es, Doc Storage sieht dies vollkommen anders. Wichtig ist vielmehr ein vernünftiger Plan und die Schulung der Mitarbeiter.


10.01.2020 Ransomware: Sind Backups ein ausreichender Schutz?

Thema Ransomware-Schutz: Wie sieht hier eigentlich der Stand der Technik aus und die dazugehörende Strategie und Maßnahmenorganisation? Ein herkömmliches Backup scheint ja nicht mehr ausreichend zu sein.


03.01.2020 Speichermarkt 2020 – Ein Ausblick

Unser Doc Storage blickt in die »Glaskugel« und analysiert, welche Ansätze und Anforderungen den Speichermarkt 2020 bestimmen könnten: Technologisch sieht er die Notwendigkeit nach mehr Performance, Prozesse zu beschleunigen sowie mehr Effizienz und Beschleunigung. Aber auch der Umgang mit den gespeicherten Daten ist ein wichtiger Aspekt.

powered by
Lenovo Itiso GmbH
Fujitsu Technology Solutions GmbH Infortrend
N-TEC GmbH FAST LTA
Folgen Sie speicherguide.de auch auf unseren Social-Media-Kanälen
Folgen Sie und auf Facebook Folgen Sie und auf YouTube Folgen Sie und auf Twitter