Intelligenter Erpressungsschutz
Wie Backup Sie vor Ransomware bewahrt
Ransomware ist zwar für den Moment aus den Schlagzeilen verschwunden, doch Entwarnung ist nicht angesagt. Die Erpresser-Malware bleibt für Unternehmen und IT-Verantwortliche weiterhin ein Schreckgespenst. Weil die Erträge beträchtlich sind, haben kriminelle Hacker inzwischen aus Business Ransomware einen eigenen "Geschäftszweig" gemacht. Im Rahmen einer aktuellen Untersuchung des IT-Sicherheitsanbieters Sophos gaben 54 Prozent der befragten Unternehmen an, bereits einer Attacke mit Erpressungs-Trojanern ausgesetzt gewesen zu sein.
Foto: Denis De Iacovo - shutterstock - 685386973
Ransomware findet oft per E-Mail ihren Weg ins Unternehmensnetz -verschlüsselt aber nicht einfach sofort alle Daten, sondern arbeitet sich erst einmal unbemerkt über Wochen oder gar Monate immer weiter ins Netzwerk vor und sammelt dabei sukzessive Informationen. Erst wenn die Malware genügend Daten-Material angehäuft hat, werden die Daten auf die sie Zugriff hat, verschlüsselt. Damit tritt der "worst case" ein: Mitarbeiter haben weiterhin Zugriff auf IT-Systeme und Anwendungen - nur an die Daten kommen sie nicht mehr heran. Für deren Wiederherstellung stellen die kriminellen Hacker ein Schlüssel-File in Aussicht. Im Austausch gegen einen bestimmten Geldbetrag versteht sich. Dessen Höhe differiert stark, wird jedoch aus Gründen der Anonymität meist in Form von Kryptowährungen wie Bitcoin eingefordert.
An die große Glocke gehängt wurden Ransomware-Angriffe bislang nicht: "Viele Unternehmen sprechen nicht darüber", weiß Richard Schneider, Product Marketing Manager Storage Solutions bei Fujitsu. "Wenn sie erwischt werden, ist das peinlich - und wenn es bekannt wird, ist das auch geschäftsschädigend. Deshalb werden solche Angriffe gerne verschwiegen. Und trotzdem finden sie statt."
Für die Betroffenen stellt sich dabei vor allem eine Frage: Zahlen oder nicht zahlen? Wenn es keine andere Möglichkeit gibt, greifen viele Unternehmen und Institutionen nach diesem Strohhalm und bezahlen. Eine Garantie, dass die Daten anschließend wiederhergestellt werden können oder weitere Erpressungsversuche ausbleiben, gibt es dabei allerdings nicht.
- CryptoLocker
Den ersten Auftritt auf der großen Bühne hat Ransomware mit dem Auftauchen von CryptoLocker im Jahr 2013. Der Schädling verbreitet sich als Anhang von Spam-Nachrichten und nutzt RSA Public Key Encryption, um Files zu verschlüsseln. Zur Freigabe der Daten muss bezahlt werden. Insgesamt erpressen kriminelle Hacker mit CryptoLocker und seinen Abwandlungen rund drei Millionen Dollar. - TeslaCrypt
TeslaCrypt zielt in seiner ursprünglichen Form auf die File-Erweiterungen populärer Videospiele wie Call of Duty. Ein besonders fieser Aspekt dieser Ransomware: Ihre Autoren verbessern sie kontinuierlich und schließen Anfang 2016 auch eine Lücke, über die infizierte Systeme zurückgesetzt werden können. Im Jahr 2016 sind 48 Prozent aller Ransomware-Attacken auf TeslaCrypt zurückzuführen. Im Mai 2016 überraschen die Ransomware-Autoren dann mit der Nachricht, ihre kriminellen Aktivitäten einstellen zu wollen. In der Folge wird der Master Decryption Key veröffentlicht, der die Daten-Geiselnahme beendet. - SimpleLocker
SimpleLocker ist die erste mobile Ransomware, die tatsächlich Daten verschlüsselt und in Geiselhaft nimmt. Noch dazu ist es auch die erste Ransomware, die ihren maliziösen Payload per Trojaner ausliefert, was wiederum die Erkennung und Beseitigung durch Sicherheitslösungen erschwert. Obwohl (oder gerade weil) SimpleLocker aus Osteuropa stammt, sind drei Viertel seiner Opfer in den USA beheimatet. - WannaCry
WannaCry ist die bislang größte Ransomware-Attacke, die Mitte Mai 2017 Unternehmen, Behörden, Institutionen und Krankenhäuser in mehr als 150 Ländern weltweit heimsucht. Bei der Angriffswelle kommen erstmals gestohlene NSA-Hacking-Tools zum Einsatz. WannaCry nutzt eine Schwachstelle im Windows-SMB-Protokoll aus, kann aber letztlich durch das mehr oder weniger zufällige Auffinden eines "Kill Switch" entschärft werden. - Petya
Ende Juni 2017 verbreitet sich dann eine neue Ransomware-Variante, die auf der bereits seit 2016 bekannten Malware Petya basiert. Diese neue Form nutzt dieselbe Sicherheitslücke wie WannaCry. Wieder sind viele Unternehmen, Regierungsinstitutionen und Krankenhäuser betroffen, der Schwerpunkt liegt in der Ukraine und Russland. Die schnelle Ausbreitung über eine bereits bekannte (und ausgenutzte) Sicherheitslücke rückt ein weiteres Mal die vielerorts laxen Security-Prozesse ins Rampenlicht.
Wie Sie Ransomware keine Chance geben
Der beste Weg, um sich vor unfreiwilliger Datenverschlüsselung per Schadsoftware zu schützen: die Infektion von vornherein verhindern. Das ist allerdings oft leichter gesagt als getan, weil sich Ransomware gut versteckt. Zum Beispiel innerhalb von vermeintlich legitimen Bewerbungsunterlagen. So sind selbst gut geschützte Unternehmen oft nicht vor Ransomware gefeit. Trotzdem können Sie Maßnahmen zur Prävention ergreifen: Etwa Security-Awareness-Schulungen für Ihre Mitarbeiter oder Penetration Tests.
Für den Fall der Fälle sollte darüber hinaus jedes Unternehmen einen Plan B haben. Wobei das "B" in diesem Fall für Backup steht. Denn eine differenzierte Datensicherung bietet den besten Schutz gegen den Erfolg von Ransomware-Angriffen. Sollten Ihre Daten dann zur Geisel genommen werden, können Sie den Status Quo einfach via Backup wiederherstellen. Bleibt die Frage: Welche Art von Backup eignet sich für den Schutz vor erpresserischer Malware am besten? Schließlich können auch Backups von der Verschlüsselung betroffen sein.
Inzwischen hat sich eine ganze Reihe neuer Backup-Technologien etabliert - wobei nicht alle dazu geeignet sind, Sie auch vor Ransomware zu schützen. Vor allem in der Umgebung von virtuellen Servern, VMware und Hyper-V sind Snapshots beliebt. Der Snapshot hat den Vorteil des Generationen-Managements. Soll heißen: es besteht immer die Möglichkeit, auf eine ältere "Sicherungs-Generation" zurückzugreifen. Im Fall von Ransomware weisen Snapshots jedoch einen entscheidenden Nachteil auf: Die Daten werden auf dem gleichen Storage-System gespeichert, auf dem auch die Originaldaten liegen. Werden die Produktivdaten dann zur Geisel genommen, sind mit hoher Wahrscheinlichkeit auch die Snapshot-Daten von der unfreiwilligen Verschlüsselung betroffen.
Backup-Konzepte gegen Ransomware
Dennoch ist das Generationen-Management ein zentrales Konzept für den Schutz vor Ransomware. Wenn ein Backup infiziert ist, lässt sich immer auf die Vorgänger-Generation zurückgreifen. Sollte auch diese infiziert sein, gibt es auch noch den Vor-Vorgänger. Ein Mehr-Generationen-Backup sollte dabei immer Teil einer umfassenden Absicherungsstrategie gegen Ransomware sein. Dabei empfiehlt sich die Kombination mehrerer Schutzmechanismen:
Etablierte Konzepte: Holen Sie traditionelle Backup-Konzepte wie inkrementelles und Full Backup mit Hilfe von Generationen-Management wieder ins Boot.
Speicher-Splitting: Trennen Sie Primär- und Backup-Speicher physikalisch.
Crossmedia-Mix: Verwenden Sie für Ihre Backups unterschiedliche Speichermedien. Neben dem Band ist auch die Cloud eine Speicheroption. Das bevorzugte Medium für den Ransomware-Schutz sollten aber Bänder sein, weil hier der Medienbruch verhindert, dass die Ransomware auch auf die Backups zugreifen kann.
Daten in mehrfacher Ausführung vorzuhalten, ist ebenfalls ein wichtiger Pfeiler zum Schutz vor erpresserischen Trojanern. Eine einfache Methode hierzu ist die „3-2-1-Regel“ der Datensicherung:
Halten Sie mindestens drei Versionen Ihrer Daten vor: das Original und zwei Kopien;
Speichern Sie diese Kopien auf unterschiedlichen Medien;
Halten Sie ein Backup an einem externen Speicherort vor;
Gerade für mittelständische Unternehmen ist dieses 3-2-1-Konzept unerlässlich, schließlich ist es relativ einfach umzusetzen und sorgt für ein deutlich erhöhtes Sicherheitsniveau im Unternehmen. "Größere Unternehmen unterscheiden hingegen meist zwischen verschiedenen Datenklassen mit unterschiedlichen Service Levels - zum Beispiel Gold, Silber und Bronze", erklärt Fujitsu Storage-Experte Richard Schneider. "Dementsprechend sollten die Daten unterschiedlich gehandhabt werden."
Schützen Sie sich mit einem intelligenten Backup
Fujitsu unterstützt seine Kunden mit maßgeschneiderten Lösungen beim Kampf gegen Ransomware. Insbesondere die ETERNUS-Storage-Lösungen eignen sich in besonderem Maße als Backup-Systeme wie auch als Schutz vor Ransomware, da sie die Kombination mehrerer Medientypen ermöglichen. Mit ihren intelligenten Funktionen sind die ETERNUS CS Appliances weit mehr als bloßer "Datenspeicher": So müssen die Daten beispielsweise nicht mehr manuell auf die passenden Speichermedien geschoben werden - das erledigt die Fujitsu Appliance automatisch.
Bei der ETERNUS CS 8000 können die Daten mit Hilfe voreingestellter Parameter unterschiedlich behandelt werden und somit unterschiedliche Service-Levels einhalten. Dabei schickt eine handelsübliche Backup Software eine Kopie des Backups an die Appliance. Diese sorgt dann automatisch für die Einhaltung der vorgegebenen SLA-Klasse. So können zum Beispiel geschäftskritische Informationen aus Datenbanken für kurzfristige Zugriffe synchron auf zwei Standorten gespiegelt und zusätzlich eine oder mehrere Kopien für langfristige Aufbewahrung auf Tape geschrieben werden. Die ETERNUS CS 8000 prüft regelmäßig, ob der Speicherträger noch lesbar ist. Ist ein Band nicht mehr lesbar, wird automatisch eine neue Kopie auf einem neuen Band erstellt.
Müssen die Daten über einen längeren Zeitraum aufbewahrt werden, werden sie von Zeit zu Zeit auf neue Speichertechnologien migriert. All das läuft bei der ETERNUS CS 8000 automatisiert ab. Selbstverständlich ist heutzutage auch das sogenannte "Storage-Tiering": Häufig genutzte Daten werden hierbei automatisch auf schnelle, aber teure Flash-Speicherarchitekturen geschoben. Weniger häufig genutzte Daten werden hingegen auf langsamen, preiswerten Festplatten-Speichern und nicht mehr aktiv verwendete Daten auf Archiv-Tapes vorgehalten. Die ETERNUS CS 8000 bietet nicht nur Schnittstellen und ILM- (Information Lifecycle Management) Funktionen für Backup-Daten, sondern auch File- und Archiv-Schnittstellen. So sparen Sie teuren Storage-Raum und damit letzten Endes Kosten.
Klingt gut? Sprechen Sie noch heute mit den Experten von Fujitsu!