Je effizienter Lösungen gegen Cyberangriffe werden, desto besser werden auch die Methoden der Cyberkriminellen. Da Ransomware in den letzten Jahren zu einem äußerst lukrativen Geschäft angewachsen ist, haben diese ihre Angriffsziele entsprechend ausgeweitet und umfassen nun auch Datensicherungen. So greifen Kriminelle inzwischen auch die Backup-Dateien von MACs Time Machine oder Windows Volume Shadow Copy Service (VSS) an und verschlüsseln sie.

Wenn Angreifer nach Möglichkeiten suchen, Backups zu beschädigen, versuchen sie auch Snapshots zu löschen, da diese die schnellste Wiederherstellung nach einem Ransomware-Angriff ermöglichen. Unternehmen sollten sich also auf ein solches Szenario vorbereiten, damit sie ihre Snapshots vor einem Verschlüsselungstrojaner schützen können.

Vorteile einer Online-Datensicherung

Die heute verwendeten Backup-Systeme basieren auf Datendomänen und anderen plattenbasierten Lösungen. In einem solchen Szenario muss der IT-Verantwortliche stets eine Datenmobilität sicherstellen. Da Ransomware manchmal monatelang inaktiv im System verbleibt, kann sie – wenn sie zum Leben erwacht und die Daten verschlüsselt – in einer solchen Umgebung ein großes Datenvolumen befallen. Die Wiederherstellung der Daten nach einem solchen Angriff dauert entsprechend lange. Snapshots, die hingegen online vorgehalten werden, können hier als Alternative dienen. Unabhängig von der Datenmenge lassen sich diese in Sekundenschnelle erstellen, ohne dafür Daten in Bewegung setzen zu müssen.

Snapshots verfügen zudem über einen weiteren Sicherheitsmechanismus, der die Anzahl an Änderungen in einem bestimmten Datensatz verfolgt. Mittels Überwachung dieser Änderungsrate können Unternehmen ruhende Ransomware identifizieren, denn diese erhöht die Änderungsrate im Datensatz. Die Kombination aus Früherkennung und schneller Wiederherstellung eliminiert somit das Risiko eines erfolgreichen Angriffs durch Ransomware nahezu.

Gleichzeitig lassen sich auch Online-Backups vor Ransomware schützen, indem eine andere bewährte Methode zum umfassenden Schutz der Online-Datensicherungen eingeführt wird: Durch die Konvertierung eines Snapshots in einen sogenannten WORM-Snapshot (Write Once Read Many) kann dieser erst dann geändert oder gelöscht werden, wenn dessen Sperre zu einem vordefinierten Zeitpunkt abläuft. Da man einen WORM-Snapshot jederzeit erstellen kann, etwa durch das Anlegen eines neuen oder das Sperren eines bereits bestehenden Snapshots, bedeutet dies für Unternehmen, dass sie ihre Daten hierdurch kontinuierlich und zuverlässig sichern können.

Datenverlust: Der Mensch als Risikofaktor

Ungeachtet dessen, wie raffiniert Cyberkriminelle mittlerweile Ransomware-Angriffe ausführen, spielen auch die Mitarbeiter eines Unternehmens eine Rolle als Verursacher von Datenverlusten. Auch hier können Online vorgehaltene WORM-Snapshots Abhilfe schaffen. Das Sperren einer Datenkopie via WORM-Snapshot verhindert beispielsweise ein versehentliches Löschen der Daten vor Ablauf der Aufbewahrungsfrist. Wichtig ist das besonders für Rechtsszenarien, in denen Daten zum Schutze relevanter Beweise lange Zeit zugänglich gehalten werden müssen (Legal Hold). Das Sperren einer Kopie dieser Daten ist daher eine gute Möglichkeit, zwar den Zugriff während dieser Zeitspanne aufrechtzuerhalten, gleichzeitig aber auch das Originalformat der Daten beizubehalten. Eine solche Lösung bietet damit auch die Möglichkeit, die Rechtssicherheit bei Bedarf zu verlängern.

Eine lizenzfreie Softwarelösung für sichere Online-Snapshots ist beispielsweise SnapSecure von Infinidat. Storage-Administratoren können damit sowohl die Aufbewahrungsfrist für Snapshots definieren als auch Daten binnen Sekunden wiederherstellen. Dabei wird der aktuelle Status der Daten stets transparent angezeigt. Hat der Administrator die Snapshots nicht gesperrt, kann er nachverfolgen, ob und wann jemand Snapshots geändert hat. Dadurch lässt sich nachvollziehen, ob es sich bei den Snapshots um legitime oder geänderte Daten handelt. Dies verhindert, dass manipulierte Daten zurückgeschrieben werden. Intelligent strukturierte Algorithmen erkennen diese Eingriffe frühzeitig und können darauf reagieren. Somit entsteht ein weiterer Schutzmechanismus, der für Angreifer nur schwer überwindbarer ist.

Der Vorteil dieser Methode liegt darin, dass das Löschen und Ändern gespeicherter Daten unter Beibehaltung aller Snapshot-Funktionen durchführen lässt. Die Daten aus dem Snapshot bleiben durch das Data-Copy-Management sicher. Ein gesperrter Snapshot lässt sich somit weiterverwenden, um andere, beschreibbare Kopien für Test- und Entwicklungszwecke zu erstellen – ohne den WORM-Snapshot zu beschädigen. Für Unternehmen bedeutet dies, dass online gespeicherte Daten weiterhin sicher sind und sie diese in weniger als einer Sekunde wiederherstellen können. Unternehmen können sich dadurch effektiv vor dem Risiko eines möglichen IT-Ausfalls durch Ransomware-Angriffe schützen – und damit negative Konsequenzen, wie immense Kosten oder Verlust der Vertrauenswürdigkeit bei Kunden und Partnern, vermeiden.

Eran Brown ist EMEA CTO bei Infinidat, www.infinidat.com.