Bei Angriff – Verschlüsselung! Wie sicher ist eigentlich Ihr Backup vor Ransomware Angriffen?
von Svenja Koch
Das Backup von wichtigen Daten ist ein zentraler Bestandteil jeder IT-Sicherheitsstrategie. Ein Unternehmen ohne Backup-Konzept handelt grob fahrlässig und ist jederzeit im Gefahr, einen Datenverlust zu erleiden. Doch auch falls eine Datensicherung vorhanden ist, bedeutet dies nicht automatisch vollständige Sicherheit. Immer wieder kommt es im Zuge eines Ransomware Angriffs zur Verschlüsselung der Dateien der Datensicherung. In diesem Artikel geht es darum, warum die Datensicherung bei Cyberangriffen eine zentrale Rolle spielt und wie sich die Sicherheit der Daten verbessern lässt.
Warum steht die Datensicherung bei einem Cyberangriff im Fokus der Hacker?
Für attackierte Organisationen ist das Backup die letzte Verteidigungslinie. Gelingt es den Hackern, eine Verschlüsselung der Dateien vorzunehmen, haben Unternehmen nur noch die letzte Datensicherung zur Verfügung, um einen Informationsverlust zu verhindern.
Die Hacker sind sich dessen ebenfalls bewusst. Bei einem Ransomware Angriff suchen sie deshalb häufig im Vorfeld nach den Servern für die Datensicherung und versuchen, diese ebenfalls zu kompromittieren. Gelingt auch eine Verschlüsselung der Dateien der Sicherungskopie, steht das Unternehmen vor einem digitalen Super-GAU.
Bei einem Ransomware Angriff ist das Ziel der Hacker, das Opfer zu erpressen. Dies gelingt nur, wenn die Verschlüsselung der Dateien inklusive der Sicherungskopie erfolgreich ist. Dann steigen die Chancen, dass das Unternehmen auf die Forderung der Erpressung eingeht. Aus diesem Grund ist die Datensicherung bei einem Cyberangriff eines der zentralen Ziele der Hacker.
Wie gelangen Hacker an die Datensicherung?
Bei Ransomware Angriffen gehen die Hacker vorsichtig und mit einem Plan vor. Häufige Methoden, wie die Angreifer in die Netzwerke eindringen, ist über das Phishing. An Zugangsdaten gelangen die Angreifer über infizierte Dateianhänge, die sie an Mitarbeitende in Unternehmen versenden. Öffnet der Empfänger einen solchen Anhang, wobei es sich häufig um ein Word-Dokument handelt, ist der Rechner infiziert.
Die Angreifer haben dann Zugriff auf den ersten Rechner im Netzwerk eines Unternehmens. Das Gefährliche an diesem Angriffsmuster ist, dass traditionelle Verteidigungsmechanismen wehrlos sind. Weder die Firewall noch ein Virenscanner erkennt solche Zugriffe. Gleiches gilt bei Zero-Day-Attacken. Dies sind Schwachstellen in einer Software, die noch nicht geschlossen sind und für die kein Patch existiert. Finde Hacker solche Schwachstellen, beispielsweise im Betriebssystem Microsoft Windows, ist das Eindringen in ein Netzwerk für geübte Angreifer noch leichter.
Nachdem der Erstzugang zum Netzwerk gelegt ist, spionieren die Angreifer möglichst unauffällig die Netzwerkstrukturen aus. Dies gelingt beispielsweise über die Analyse der Zugriffsrechte des gekaperten Nutzers. Daraus lässt sich eine Topografie des Netzwerks erstellen. Aus dieser gehen Server für die Datenspeicherung, Anwendungsserver und eben auch die Infrastruktur für die Backups hervor. Vielfach versuchen die Angreifer auch, sich weiteren Zugriff durch die Erhöhung der Zugangsberechtigungen des Accounts zu verschaffen. Auf diese Weise dringen die Angreifer noch tiefer in das Netzwerk ein. Aufgrund der komplexen und raffinierten Vorgehensweise gehören diese Ransomware Angriffe zur Klasse der gefährlichen Advanced-Persistent-Threats (APT).
Den eigentlichen Ransomware Angriff starten die Hacker erst dann, wenn sie alle gewünschten Ziele identifiziert haben. Dann beginnt die Verschlüsselung der Dateien und möglichst auch der Sicherheitskopien. In diesem Moment wird die Attacke offensichtlich, der Schaden ist jedoch meist nicht mehr zu verhindern, maximal ist eine Eingrenzung möglich.
Jetzt keinen Blogbeitrag mehr verpassen!
- 12x im Jahr aktuelle News aus der IT Security Welt
- 4x im Jahr exklusive Einladungen zu kostenlosen IT Security Webinaren
- 1 kostenloses Whitepaper zu unserem Threat Hunting Service Active Cyber Defense
Welche Datensicherungsmethoden bieten Schutz vor Ransomware Angriffen?
In der Praxis kommen unterschiedliche Methoden zur Datensicherung zum Einsatz. Kleinere Unternehmen nutzen häufig eigene Lösungen Onsite. Hier kommen ein NAS (Network Attached System) oder Wechseldatenträger auf Basis der RDX-Technologie zum Einsatz. Ebenfalls weit verbreitet sind dedizierte Server mit regulärer Hardware, wobei eine Software die Backups erstellt und verwaltet. In letzter Zeit haben sich außerdem Backups in der Cloud etabliert, da schnellere Internetverbindungen auch die Übertragung großer Datenmengen in kurzer Zeit erlauben. Eine weitere Lösung, deren technischer Zenit eigentlich längst überschritten ist, wird wieder beliebter. Hierbei handelt es sich um Tape-Laufwerke, die Daten auf Magnetbändern sichern. In den 90er und Anfang der 2000er Jahre waren diese Laufwerke der Standard für Sicherungskopien.
Die einzelnen Lösungen für die Datensicherung sind Cyberangriffen gegenüber sehr unterschiedlich in Bezug auf die Sicherheit. Besonders gefährdet sind Backup-Systeme, die permanent mit dem Netzwerk verbunden sind. Dazu gehören Backup-Server und ebenfalls die netzgebundenen Speicher wie NAS oder NDAS. Teilweise versprechen die Lösungen eine höhere Sicherheit im Netzwerk, da proprietäre Protokolle für den Datenaustausch zum Einsatz kommen, wie das etwa bei NDAS der Fall ist.
Automatisch sicherer sind hingegen Backup-Lösungen, die nicht permanent mit dem Netzwerk verbunden sind. Hierzu gehören die RDX- und Tape-Sicherungen. Bei diesen erfolgt eine Sicherung jeweils auf einem separaten Speichermedium, das nach dem Vorgang aus dem System entfernt wird. Cloud-Speicherlösungen haben ebenfalls das Potenzial, dieses Sicherheitsniveau zu liefern. Dafür ist jedoch eine physische Trennung zwischen den Netzwerken und Datenzentren notwendig. Die Datensicherung in der eigenen, privaten Cloud ist somit weniger geschützt als die Lösung eines Drittanbieters als Dienstleistung.
Mit welchen Maßnahmen lassen sich Ransomware Angriffe auf das Backup verhindern?
Bei der Verteidigung der Backups gegenüber Ransomware Attacken kommt es auf eine durchdachte Strategie an. Das primäre Ziel ist es, die Verschlüsselung der Dateien des Backups zu verhindern. Hierfür stehen unterschiedliche Methoden zur Verfügung. In der Regel ist es sinnvoll, eine Kombination der verschiedenen Techniken einzusetzen. Auf eine Lösung zu vertrauen erweist sich im Ernstfall häufig als eine gescheiterte Strategie.
Zunächst einmal ist es wichtig, dass möglichst wenig Personen Zugangsberechtigungen und vor allem Schreibrechte auf das Backup-System erhalten. Mit Linux-Betriebssystemen lassen sich die Berechtigungen so setzen, dass die Backup-Lösung nur einem bestimmten User oder einem Programm zugeordnet ist. Dann sind ein Schreibzugriff und dementsprechend auch eine Verschlüsselung der Dateien nur über diesen einen Weg möglich. Wichtig ist es auch, nicht allein auf eine Datensicherung zu vertrauen. Hier bietet sich die Umsetzung der 3-2-1-Regel an, um einen hohen Sicherheitsstandard zu etablieren. Diese Regel besagt, dass es zu jedem Zeitpunkt drei Sicherheitskopien auf zwei Medien gibt. Jeweils eine Kopie wird Offsite und Offline gespeichert. Offsite bedeutet, dass sich die Sicherheitskopie räumlich getrennt vom Unternehmen befindet. Offline hingegen zeigt eine Trennung vom Netzwerk an, so dass sich die Kopie außerhalb des Zugriffsbereichs der Hacker befindet. Eine praktische Lösung ist beispielsweise die Kombination aus einem Cloud-Backup bei einem Dienstleister sowie einer lokalen RDX-Sicherung, die die eigene IT-Abteilung kontrolliert.
Mit weiteren allgemeinen Maßnahmen lässt sich die Sicherheit für das Backup-System und das Unternehmensnetzwerk gleichzeitig steigert. Eine dieser Methoden ist der Einsatz von virtuellen Desktops. Virtuelle Desktops sind Arbeitsbereiche, die durch eine virtuelle Maschine in einem geschützten, abgekapselten Bereich laufen. Übernimmt ein Hacker die Kontrolle über einen virtuellen Desktop, beispielsweise durch eine Phishing-Attacke, erreicht er von dort keine anderen Rechner, da er keinen Zugriff auf die darunter liegende Netzwerkschicht außerhalb des virtuellen Desktops hat.
Eine zusätzliche Vorsichtmaßnahme sind Sandbox-Umgebungen. Ähnlich wie virtuelle Maschinen sind dies vom Unternehmensnetzwerk getrennte Bereiche auf einem VPS. Hier lassen sich Dateianhänge gefahrlos öffnen und das Verhalten beobachten. Ist in solchen Dateien ein Schadcode enthalten, geht von der Kompromittierung keine Gefahr aus.
Attacken auf die Datensicherung sowie einen Cyberangriff präventiv verhindern
Um die Datensicherung vor einem Cyberangriff zu schützen, ist es wichtig, dass die IT Security in der Lage ist, anomale Vorgänge sofort zu erkennen und abzuwehren. Wie beschrieben spionieren Hacker bei einer Ransomware Attacke zunächst das Netzwerk aus, bevor die eigentliche Verschlüsselung der Dateien erfolgt. Aus der Analyse von Cyberangriffen zeigt sich, dass die Kriminellen in den meisten Fällen viele Tage, teilweise sogar Wochen, unentdeckt im Netzwerk des Ziels aktiv sind.
Haben die Angreifer die passiven Sicherheitsmechanismen wie die Firewall und Virensoftware überwunden, gibt es in vielen Netzwerken keine Verteidigung mehr, die die Angreifer entdeckt. Speziell für diesen Zweck existieren jedoch proaktive Techniken. Diese scannen alle Aktivitäten im Netzwerk und werten diese aus. Hierbei kommen intelligente Algorithmen zum Einsatz. Diese erkennen ungewöhnliche Aktivitäten, wie beispielsweise die Anmeldung einer unbekannten IP-Adresse in einem Konto eines Mitarbeitenden. Dann sendet das System eine Warnmeldung an die IT-Sicherheit, die dann den Vorgang schnellstmöglich überprüft. Auf diese Weise ist es möglich, selbst in komplexen Netzwerken einzelne Zugriffe von unbefugten Personen zu identifizieren. Dann hat die IT Security die Gelegenheit, Cyberangriffe im Keim zu unterbinden und so die Verschlüsselung von Dateien zu verhindern.
Vor allem kleine und mittlere Unternehmen haben eine solche proaktive Abwehr häufig nicht implementiert, da die Ressourcen für ein Security Operations Center (SOC) fehlen. Mit einem externen Dienstleister, der diesen Service übernimmt, ist jedoch eine Überwachung in Echtzeit rund um die Uhr möglich. Dies erspart die teure und aufwendige Einrichtung eines eigenen SOC. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) schreibt ab Mai 2023 für Unternehmen aus dem KRITIS-Sektor die Nutzung eines solchen Systems für die aktive Erkennung von Cyberangriffen vor. Mit einem externen Dienstleister für die aktive Erkennung von anomalen Vorgängen im Netzwerk lässt sich auch die Datensicherung vor einem Cyberangriff schützen.
Fazit
Backups sind in der heutigen Zeit für jedes Unternehmen absolute Pflicht, unabhängig von der Größe und der Tätigkeit. Viele Entscheidungsträger verlassen sich jedoch auf ein Backup-System mit nur einer Sicherheitskopie. Im Falle eines Ransomware Angriffs ist dies ein Spiel mit dem Feuer. Finden die Hacker die Datensicherung beim Cyberangriff, dann erfolgt auch dort eine Verschlüsselung der Dateien. Aus diesem Grund ist es wichtig, die Backup-Routinen zu diversifizieren. Eine Speicherung auf einem Medium, das sich vom Netzwerk trennen lässt, erhöht im Ernstfall die Sicherheit. Ebenfalls sind aktive Systeme zur Erkennung von unbefugten Aktivitäten im Netzwerk sinnvoll.
Wichtig ist es, diese Konzepte konsequent umzusetzen. Durch die Kombination verschiedener Sicherheitstechniken ist selbst die Recovery von einem erfolgreichen Ransomware Angriff mit eigenen Mitteln und vergleichsweise geringem Schaden möglich. Die notwendigen Abwehrmaßnahmen müssen die Entscheidungsträger jedoch rechtzeitig implementieren und sich außerdem bewusst sein: eine hundertprozentige Sicherheit vor Cyberangriffen gibt es nicht.