Warum (nur) Backups nicht ausreichen

Warum Backups gut sind, aber nicht ausreichen, wenn es darum geht, sich vor Ransomware zu schützen.

Selbst Neugeborene scheinen das Wort Ransomware heutzutage zu kennen – es taucht in Zeitungen, Zeitschriften, Infosec-Berichten und so ziemlich überall sonst mit alarmierender Regelmäßigkeit auf. Und auch wenn wir 2016 als das Jahr der Ransomware bezeichnet haben, so war es doch nichts im Vergleich zu 2017. Nach einem relativ ruhigen Jahr 2018 und 2019 sorgte Ransomware im Jahr 2020 erneut für Schlagzeilen.

Unser Unternehmensblog enthält Dutzende von Artikeln über Ransomware und fast alle davon bieten diese drei allgemeinen Tipps:

  1. Benutzen Sie einen guten Schutz.
  2. Laden Sie niemals dubiose Dateien von verdächtigen Seiten herunter oder öffnen Sie suspekte Anhänge in E-Mails von fragwürdigen Personen, und bringen Sie Ihren Mitarbeitern bei, dasselbe zu tun.
  3. Erstellen Sie regelmäßig ein Daten-Backup.

Von Zeit zu Zeit höre ich Einwände der folgenden Art: Schutz und Sensibilisierung der Mitarbeiter sind schön und gut, aber warum sich die Mühe machen, den Schutz zu verstärken und Mitarbeiter zu schulen, wenn wir einfach alles regelmäßig sichern können? Wir machen sowieso ständig Backups, und sollten wir von Ransomware betroffen werden, stellen wir einfach alles wieder her, wozu also die Mühe?

Genau das ist der springende Punkt.

Backups müssen wiederherstellbar sein

Backups sind natürlich notwendig. Aber haben Sie schon einmal versucht, die Infrastruktur Ihres Unternehmens ausgehend von einem Backup wiederherzustellen? Das ist vielleicht nicht so einfach, wie es klingt – und je mehr Computer und Infrastruktur-Heterogenität Sie haben, desto schwieriger wird die Aufgabe. Erfahrene IT-Profis sind wahrscheinlich alle schon einmal damit konfrontiert worden, dass mit einem Backup nicht wirklich alles wiederhergestellt werden konnte, oder dass nicht alles so wiederhergestellt werden konnte wie erwartet. Der Prozess ist sicherlich nie so schnell, wie sie hoffen. Und manchmal funktionieren Backups überhaupt nicht.

Jeder, der schon einmal auf eine Lax gesagte „Backup-Harke“ getreten ist, weiß, dass er die Integrität der Backups regelmäßig überprüfen, einige Testläufe zur Wiederbelebung des Servers in einer Staging-Umgebung durchführen und generell sicherstellen muss, dass die Wiederherstellung im Falle eines Falles nicht zu lange dauert. Und wer noch nie versucht hat, eine Wiederherstellung aus einem Backup durchzuführen, kann sich nicht beruhigt zurücklehnen. Die gemachten Backups werden wahrscheinlich nicht helfen, wenn es hart auf hart kommt.

Hier ist ein weiteres Problem, wenn man sich auf ein Backup verlässt: Falls der Backup-Server innerhalb des Netzwerkperimeters agiert, wird er von der Ransomware zusammen mit allen anderen Computern im Netzwerk kodiert, was einen Abschied von den Wiederherstellungsplänen bedeutet.

Fazit: Maximieren Sie die Wahrscheinlichkeit eines schnellen Rollbacks, indem Sie das Netzwerk segmentieren, Backups mit Bedacht erstellen und Testwiederherstellungen durchführen.

Wiederherstellung bedeutet Stillstand — und Stillstand ist teuer

Bei großen Unternehmen mit diversen Geräten und Infrastrukturen ist eine schnelle Wiederherstellung unwahrscheinlich. Selbst wenn ein Backup perfekt funktioniert und Sie alle Kräfte aufwenden, um alles wiederherzustellen, wird es noch eine ganze Weile dauern, bis der ursprüngliche Zustand wiederhergestellt ist.

Während dieser Wochen (ja, wir sprechen wahrscheinlich von Wochen, nicht von Tagen) wird das Unternehmen stillstehen. Einige werden die Kosten für diese Ausfallzeit als geringer einschätzen als die Kosten für die Bezahlung der Erpresser (davon raten wir dringend ab). In jedem Fall ist eine Ausfallzeit nach einem Ransomware-Angriff unvermeidlich; es ist unmöglich, alle Systeme und Dienste sofort wieder zu entschlüsseln und zum Laufen zu bringen, selbst wenn die Cyberkriminellen so freundlich sind, Ihnen einen entsprechenden Code zur Verfügung zu stellen. In der realen Welt sind Cyberkriminelle nicht freundlich, und selbst falls sie es sind, funktioniert der Entschlüsselungscode nicht unbedingt wie vorgesehen.

Fazit: Um Ausfallzeiten durch Ransomware zu vermeiden, sollten Sie sich nicht mit Ransomware infizieren. (Aber wie? Die Antwort lautet: Schutz und Mitarbeiterbewusstsein!)

Moderne Ransomware ist schlimmer als reine Verschlüsselungsprogramme

Früher zielten Ransomware-Gangs hauptsächlich auf Endanwender ab und verlangten etwa 300 US-Dollar in Kryptowährung für die Freigabe der Daten. Inzwischen haben sie jedoch entdeckt, dass Unternehmen ein viel lohnenswerteres Ziel sind, da sie weitaus höhere Lösegelder zahlen können – und dies auch eher tun werden. Und einige dieser Cyberkriminellen haben keine Skrupel, Organisationen an der medizinischen Front anzugreifen: In diesem Jahr wurden bereits viele Krankenhäuser angegriffen, und vor kurzem wurde ein Unternehmen in der Lieferkette für Coronavirus-Impfstoffe Opfer einer Attacke.

Moderne Ransomware macht mehr als nur verschlüsseln – sie lauert in Netzwerken und schöpft auch die kleinsten Daten ab, die sie ausspähen kann. Die Daten werden dann analysiert und verwendet, um Unternehmen mit Verschlüsselung, Datenlecks oder beidem zu erpressen. Bei Nichtzahlung, so besagt zumeist die Lösegeldforderung, werden persönliche Daten der Kunden oder Geschäftsgeheimnisse des Unternehmens veröffentlicht. Selbst wenn dies nicht fatal wäre, würde dies dem Ruf des Unternehmens schaden, vielleicht sogar dauerhaft. Außerdem wird ein solches Leck zu einigen sehr unangenehmen Gesprächen mit DSGVO-Compliance-Behörden und dergleichen führen.

Sollte sich ein Eindringling dazu entschließen, Firmengeheimnisse oder persönliche Daten der Benutzer auszuspionieren, hilft es Ihnen nicht, Backups zu haben. Falls Sie Backups an einem Ort speichern, der für einen Insider relativ leicht zu erreichen ist, wie z. B. in einer Cloud, könnten auch sie Angreifern die Informationen liefern, die sie benötigen, um Sie zu erpressen.

Fazit: Backups sind notwendig, aber nicht ausreichend, um Ihr Unternehmen vor Ransomware zu schützen.

Drei Säulen der Sicherheit gegen Ransomware

Noch einmal: Da es kein Patentrezept gegen Ransomware gibt, bleibt unser Rat derselbe: Backups sind absolut notwendig, aber sie müssen korrekt durchgeführt werden, mit Sorgfalt und Wiederherstellungstests. Teil dieser Sorgfalt ist es, die Details Ihrer Backups zu kennen: Wie oft werden die Daten Ihres Unternehmens gesichert? Wo werden die Backups gespeichert. Alle für die Wiederherstellung zuständigen Mitarbeiter müssen außerdem genau wissen, wie sie den Betrieb schnell wieder aufnehmen können.

Schutz ist ebenfalls ein Muss – nicht nur reaktiver, sondern proaktiver Schutz, der verhindert, dass Bedrohungen im Netzwerk Fuß fassen. Nicht weniger wichtig ist es, die Mitarbeiter in den Grundlagen der Cybersicherheit zu schulen und ihr Wissen regelmäßig zu überprüfen.

Kurz gesagt, Ihre Sicherheit läuft auf die gleichen drei Worte hinaus: Sicherung, Schutz, Bewusstsein. Alle drei müssen vorhanden sein, und wenn das der Fall ist, können Sie getrost sagen, dass Sie eine optimale Anti-Ransomware-Sicherheitsstrategie anwenden.

Tipps