Letzte Verteidigungslinie
Widerstand gegen Ransomware im Backup
Es ist ein Albtraumszenario für jedes Unternehmen: ein gezielter Ransomware-Angriff auf die IT-Systeme, der alle Produktionssysteme verschlüsselt. In diesem Fall kann ein Backup den Schaden für das Unternehmen erheblich reduzieren - sofern das Backup weiterhin funktioniert und keine Korrumpierung durch eine simple Attacke auf den Domain-Controller erfolgt ist. Bei der Konzeption und Architektur der Backup- und Netzarchitektur können Verantwortliche jedoch Fehler machen, die das ganze System aushebeln und für manche Firmen das Aus bedeuten können.
Bei einem Ransomware-Angriff ist es von entscheidender Bedeutung, die Symptome so schnell und frühzeitig wie möglich zu erkennen sowie den Verdacht zu melden. Wenn Ransomware die Daten eines Unternehmens verschlüsselt, entsteht Last auf dem System und die Files sind stark manipuliert, was Folgen hat: Ein Backup dauert anstatt drei Stunden plötzlich sieben Stunden. Weiterhin ist die Deduplikationsrate der Daten beschränkt. Deduplikation vergleicht auf Segmentebene die Daten im Backup mit den Produktionsdaten und sichert nur das, was sich verändert hat. Die befallenen und verschlüsselten Files unterscheiden sich deutlich von ihrer ursprünglichen Form.
Ein weiteres Symptom besteht darin, dass ein Account in kurzer Zeit auf viele Daten zugreift. Mit dem richtigen Tool lassen sich solche Anomalien ermitteln und automatisch mit einem Risk-Scoring versehen. So können Unternehmen einen Angriff schnell identifizieren und die IT-Teams können reagieren und betroffene Systeme isolieren, bevor die Malware weitere Systeme infizieren kann. IT-Verantwortliche sollten Schwachstellen aber präventiv aufspüren: Anwendende, deren Rechte sowie Datenquellen und Shares lassen sich mappen. Ein umfassender Schutz durch ein robustes und zentrales Backup-System schützt das Unternehmen vorab.
Eigene Sicherheit garantieren
Damit Backups widerstandsfähig und zuverlässig bleiben, müssen die Backup-Systeme wie die Medien- und Master-Server selbst resilient sein und sicher miteinander kommunizieren. Dies gilt es, bei der Architektur zu beachten.
Moderne Backup-Lösungen fügen sich nahtlos in eine standardisierte Public-Key-Infrastruktur ein. Jeder Medien- und Master-Server sowie Backup-Client authentifiziert sich per digitalem Zertifikat beim Gegenüber und kann die Daten auf ihrem Weg verschlüsseln. Damit bleibt die Integrität der Kommunikation gewahrt, auch wenn eine Ransomware-Attacke die Produktionssysteme und wichtige Dienste wie den Domain-Controller bereits korrumpiert hat.
Die Systeme selbst sollten nicht auf Windows-basierten Maschinen laufen. Denn Cyberangriffe setzen stark auf das Microsoft-Betriebssystem und mögliche Software-Fehler. Dringen Hacker darüber ein, können sie über die Hintertür jeden wichtigen Dienst und damit das Backup oder Domain-Controller ausschalten. Hersteller wie Veritas setzen auf einen abgehärteten Kernel von Red Hat und investieren in diese kommerzielle Plattform, damit der Hersteller Patches und wichtige Fixes auf Qualität hin prüft und schnell liefert. Für eine widerstandsfähige Infrastruktur ist es kaum tragbar, wenn Hacker mögliche Schwachstellen auf den Open-Source-Communities recherchieren könnten.
Außerdem sollten Unternehmen streng reglementieren, wer auf die Backup-Dienste zugreifen darf und somit verantwortlich für die Wiederherstellung der Daten ist. Bewährt hat sich ein rollenbasiertes Zugriffs-Management, das klar und flexibel die Rechte der einzelnen Beschäftigten festlegt. Denn die Rollen und Rechte legen schon auf Objektebene fest, welche Dienste für den Anwendenden sichtbar sind. Hier lässt sich eine Zwei-Faktor-Authentifizierung implementieren, sodass auch nur derjenige Zugriff auf die virtuellen Maschinen hat, der auch dazu berechtigt ist.
- Widerstand gegen Ransomware im Backup
- Alle Datenquellen identifizieren und einsehen
Lesen Sie mehr zum Thema
