Die Bedrohung durch Ransomware wird für Unternehmen auch dieses Jahr nicht abebben. So prognostizieren zahlreiche IT-Security-Anbietern in verschiedenen Studien, dass die Zahl an Angriffen mit Krypto-Malware sowie die dadurch verursachten Schäden weiter zunehmen werden. Problematisch wird es für Unternehmen vor allem dann, wenn kein ganzheitliches Sicherheitskonzept vorliegt oder die Ransomware neben den vorliegenden Unternehmensdaten auch das Backup verschlüsselt, sodass sich die verloren gegangenen Daten nicht mehr wiederherstellen lassen.

Mit BlockySuite hat Grau Data nun eine Softwarelösung vorgestellt, die es Ransomware unmöglich machen soll, auf Datensicherungen zuzugreifen. Das 1990 in Schwäbisch Gmünd gegründete Unternehmen ist bisher in erster Linie für seine Archivierungslösungen bekannt. Mit Blocky steigt Grau Data nun in einen neuen Markt ein. Die Software basiert auf FileLock, einer WORM-Lösung (Write Once Read Many) für revisionssichere Langzeitdatenarchivierung auf Plattenspeichersystemen. FileLock versieht geschrieben Daten in einem Windows-Filesystem mit einem WORM-Schutz, sodass diese danach nur noch gelesen, sich jedoch nicht mehr verändern oder löschen lassen.

„Bei Blocky haben wir uns die bereits vorhandene WORM-Technik zu Nutze gemacht und sie entsprechend angepasst“, erklärte Kai Hambrecht, Leiter Service & Support bei Grau Data, im Gespräch mit LANline. Das heißt, dass Blocky es zumindest speziellen Applikationen erlaubt, die zugeordneten Daten zu verändern. Dies hat FileLock komplett unterbunden. Damit Blocky weiß, welche Applikationen Daten verändern können, agiert es wie ein Filter über dem Dateisystem NTFS und nimmt von jedem Prozess einen Fingerabdruck auf. Ist ein schreibender Zugriff nicht für den entsprechenden Vorgang freigegeben, verhindert es den Zugriff.

Blocky erlaubt nur Anwendungen, die via Fingerabdruck verifiziert sind, einen schreibenden Zugriff auf das Backup. Bild: Grau Data

Auf diese Weise gilt laut Grau Data für alle Prozesse der WORM-Schutz, ausgenommen der via Fingerabdruck freigegebenen Anwendungen. Dadurch lasse sich ein Filesystem für die Ablage von bestimmten Daten, etwa Backup-Daten, zu einem WORM-Filesystem umwandeln. Bereits existierende Files können nicht gelöscht oder verändert beziehungsweise manipuliert werden. Darüber hinaus verifiziert Blocky über Checksummen die Prozesse, inklusive ihrer DLLs. „Durch den Checksummenabgleich und Hashes erhält man einen Gesamtfingerabdruck. Gleichzeitig können wir so ein DLL-Hijacking vermeiden“, sagte Hambrecht.

Derzeit ist Blocky als Ransomware-Schutz für Veeam-Backups verfügbar. Anwender der Veeam-Lösung Backup and Replication haben die Möglichkeit, Blocky als Ransomware-Schutz in ihre Sicherungs- und Wiederherstellungsvorgänge zu integrieren. Auch wenn der Fokus derzeit auf Veeam liegt, ist es laut Hambrecht kein Problem, Blocky in andere Backup-Lösungen zu integrieren. Einzige Einschränkung sei es, dass es sich dabei um ein Disk-basiertes Repository handelt. Zudem kündigte der Grau-Data-Mann an, in Zukunft auch weitere Backup-Anbieter offiziell unterstützen zu wollen.

Mit Blocky steigt Grau Data nach eigenen Angaben zwar auf dem Markt für IT-Security-Produkte ein, positioniere sich jedoch vor allem als Ergänzung zu einer bestehenden IT-Security-Lösung im Unternehmen. Sollten Angreifer es geschafft haben, dass bestehende Sicherheitssystem zu umgehen, soll Blocky als „letzte Reihe der Verteidigung“ das Backup schützen.

Für die Zukunft plant der Archivierungsspezialist die BlockySuite um weitere Lösungen zu ergänzen. So will Grau Data noch bis Ende des Jahres das Blocky Selbstverteidigungsmodul, das das NTFS mit mehreren Filterschichten umschließen und erweiterte Sicherheit durch eine zusätzliche Verschlüsselung bieten soll, und die Lösung Blocky4Desktop vorstellen. Für 2019 arbeitet das Unternehmen zudem noch an Blocky4Enterprise.

Weitere Informationen finden sich unter www.graudata.com.

Timo Scheibe ist Redakteur bei der LANline.