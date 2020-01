Ransomware bedroht die Verfügbarkeit von Systemen, Anwendungen und Dateien. Auch das Backup kann Zielscheibe oder Ausgangspunkt für Malware werden. Nur Sicherheitslösungen, die gemeinsam mit dem Backup sowie der Datenwiederherstellung agieren, sorgen nach Einschätzung von Experten für weitreichenden Schutz vor Verschlüsselungstrojanern.

Ransomware-Angriffe haben verheerende Auswirkungen und sind nicht umsonst in den Schlagzeilen. Sowohl Sophos als auch andere Experten beziffern die Kosten einer erfolgreichen Ransomware-Attacke im Schnitt auf rund 130.000 Dollar. Doch was dabei in die Kalkulationen einbezogen wird, ist nicht immer klar: Betriebsausfälle und notwendige Neuausstattung der Infrastruktur trieben etwa die Kosten des Locky-Angriffs auf das Neusser Lukas-Krankenhaus 2016 auf eine Höhe von rund einer Million Euro. Dabei hat das Krankenhaus dank eines vorhandenen Backups noch nicht mal ein Lösegeld für die Entschlüsselung bezahlt.

Laut den Angaben der Malware-Experten von Sophos zielen 34 Prozent aller Angriffe mittlerweile nicht mehr auf Endpunkte, sondern direkt auf die Server. Denn dort befinden sich wertvolle und unternehmenskritische Informationen und Anwendungen. Gehen diese verloren, wird Produktivität unmittelbar zerstört. Eine Sicherheitslücke auf dem Server erschließt zudem weitere Angriffsmöglichkeiten über die gesamte Infrastruktur hinweg.

Ransomware zielt dabei auch auf Backup-Server oder deren Sicherungen. Komplexe Varianten korrumpieren oder löschen sie. Andere Schadanwendungen verschlüsseln Sicherungen 30 Tage bevor die Angreifer eine Zahlung von Lösegeldern verlangen. Wenn Sicherungen im Rahmen des Backup-Plans, um Kapazitäten zu schonen, nur einen Monat lang vorgehalten und dann gelöscht werden, verfügt ein Unternehmen im Ernstfall über kein hinreichend aktuelles Backup mehr. Nicht wenige Firmen sahen sich daher genötigt, Lösegeld zu bezahlen, selbst wenn sie über ein verwertbares Backup verfügten: Durch ein zu langes Recovery Time Objective – also die benötigte Zeit zur Wiederherstellung – oder ein zu großes Recovery Point Objective – also eine zu weit zurückliegende Datensicherung – haben sich Systeme, Informationen und Anwendungen nicht schnell beziehungsweise nicht aktuell genug wiederherstellen lassen.

Zu den Maßnahmen gegen Ransomware gehören neben einer fortschrittlichen Malware-Abwehr außerdem zentrale Lösungen in den Bereichen Backup, Wiederherstellung und Hochverfügbarkeit. Nur so lassen sich die Datensicherungen effizient gegen verschiedene Angriffsvarianten schützen. Ebenso dürfen klassische Backup-Konzepte nicht fehlen, um die zusätzlichen Sicherungen der Reichweite von Angriffen entziehen.

IT-Abteilungen brauchen innovativen Malware-Schutz über alle Sicherungen in der gesamten Backup-Infrastruktur hinweg. Die klassischen signaturbasierten Lösungen werden zunehmend wirkungslos, weil viele Angriffe ohne irgendeine erkennbare ausführbare Datei arbeiten. Software zur Malware-Abwehr muss zudem immer mehr und neue, noch unbekannte Angriffsarten allein an ihrem Verhalten erkennen. Eine wirksame Abwehr baut daher auf künstliche Intelligenz.

Deep-Learning-Ansätze erkennen Ransomware-Angriffe durch die typische Vorgehensweise einer Verschlüsselungsattacke und isolieren böswillige Prozesse. Wichtig sind auch besondere Abwehrfunktionen: Neue Techniken erkennen unautorisierte Verschlüsselungsvorgänge innerhalb von Sekunden und stellen falls nötig die unverschlüsselten Originaldateien automatisch wieder her. Sie blocken außerdem unerlaubte Aktivitäten, etwa böswillige Manipulationen des Boot-Sektors einer Festplatte.

Ganzheitliche Lösungen beginnen mit der Verteidigung schon im Vorfeld eines Angriffs und erkennen sowie verhindern etwa Credential Harvesting, also das Verwenden von MITM-Angriffen (Man in the Middle), DNS Spoofing, Phishing etc., um Zugangsdaten zu stehlen. Sie identifizieren auch Lateral-Movement-Angriffe, die über Umwege Zugriff auf sensible Nutzerkonten erreichen, oder Angriffe durch Privilegieneskalation. Als letzte Verteidigungslinie der IT-Security-Abwehr erfolgt der Lockdown einer Server-Konfiguration.

Komplexe Backup- und Wiederherstellungslandschaften, die aus mehreren Lösungen zusammengesetzt sind und deren Sicherungen sich dadurch an mehreren Orten befinden, bieten nicht nur einen fehleranfälligen Flickenteppich von Backup-Lösungen, sondern auch eine breite Angriffsfläche. Die Verteidiger tun sich schwer, solche unübersichtlichen Infrastrukturen zu schützen und das Fehlen von Malware – in diesem Fall die Unmöglichkeit einer unberechtigten Verschlüsselung – in den Sicherungen zu garantieren.

Backup-Lösungen helfen der IT-Abwehr daher sowohl durch ihre effektive Sicherung und Wiederherstellung von Systemen, Informationen und Anwendungen, als auch durch einen Malware-Schutz des einheitlichen zentralisierten Sicherungsortes. All-in-One-Plattformen sichern zentral Daten, Systeme und Anwendungen von zentralen Server- und Endpunkt-Systemen, SAN oder NAS, Cloud-Workloads oder Cloud-Storage-as-a-Service-Lösungen und ermöglichen damit eine effektive Malware-Abwehr. Geschützt sind damit Anwendungen, Informationen und Systeme von Windows- oder Linux-Infrastrukturen, virtuelle Umgebungen, Datenbanken, Shares oder auch Sicherungen von Cloud-Diensten. Auch den Schutz der Appliance an sich gegen Malware darf der IT-Verantwortliche nicht vergessen.

Der Malware-Scan der gesicherten Daten, Systeme und Anwendungen erfolgt dabei über ihren ganzen Lebenszyklus hinweg. Denn bisweilen werden verborgene Verschlüsselungsangriffe genau dann aktiv, wenn eine Wiederherstellung starten soll. Eine vollständige Abwehr umfasst den Schutz und den Anti-Malware-Scan der Daten im Moment ihrer Sicherung, at Rest im Verlauf der gesamten Datenvorhaltung sowie im Fall der Wiederherstellung.

Wirkliche Datensicherheit bietet eine umfangreiche Anti-Malware-Software erst in Kombination mit einer engmaschigen Sicherung hinreichend aktueller Daten, die sich auch hinreichend schnell wiederherstellen lassen.

Eine Hochverfügbarkeitslösung, die fast in Echtzeit jede Veränderung asynchron repliziert, ermöglicht das punktgenaue Zurückspulen auf frühere Systemzustände vor der Infektion mit Ransomware oder dem Beginn einer Verschlüsselungsangriffs. Wenn Unternehmen den Start einer solchen Attacke bemerken, können sie mit den High-Availability-Lösungen auch Systemzustände wiederherstellen, die nur wenige Minuten zurückliegen.

Bei reinen Backup-Lösungen können geeignete Service Level Agreements und KPIs das Zahlen eines Lösegeldes auch bei einem erfolgreichen Angriff überflüssig machen. Das Recovery Time Objective (RTO) – also die Zeit, die vom Eintritt des Schadens bis zur vollständigen Wiederherstellung des Systems höchstens vergehen darf – muss dabei niedrig sein, damit sich der Betrieb wieder schnell aufnehmen lässt und Folgeschäden durch Anwendungsausfall möglichst niedrig sind. Das Recovery Point Objective (RPO) – also der Zeitpunkt zwischen den Sicherungen – spielt eine ebenso wichtige Rolle: Je engmaschiger die Wiederherstellungspunkte gesetzt sind, umso weniger Transaktionen und Informationen gehen beim Aufrufen früherer Recovery Points verloren. Dies minimiert die Schadenhöhe im Vergleich zum fälligen Lösegeld.

Ein wichtiger Bestandteil einer Ransomware-Abwehr ist es, Sicherungen aus der Reichweite von Malware-Angriffen zu bringen. Eine isolierte Sicherung, die sich in der Netzwerktopologie an einem anderen Ort als der Produktiv-Server befindet, oder eine Replikation von Wiederherstellungspunkten auf einem zweiten Backup-Server bieten eine Rückversicherung, falls ein erster Angriff doch sein Ziel erreichte. Klassische Backup-Strategien wie eine Auslagerung von Sicherungen in Cloud-Speicher oder auf Band entziehen das Backup ebenso der Reichweite einer Malware.