Wie sicher ist eigentlich Ihr Backup vor Ransomware?

von

Lesezeit: Minuten ( Wörter)

Die Sicherung von Daten in Unternehmen muss gut durchdacht sein

Bei einem Backup handelt es sich um eine Sicherungskopie vorhandener Daten auf einem weiteren Medium, beispielsweise auf einem Tape, einer (externen) Festplatte, SSD oder in der Cloud, um sich vor Datenverlust durch Hardware-Ausfälle, Software-Probleme, Naturkatastrophen oder Bedrohungen von außen wie Malware zu schützen. Falls der Ernstfall eintritt, für den das Backup angefertigt wurde, kann ein sog. „Recovery“ eingeleitet werden, was die Wiederherstellung von Daten nach einem Datenverlust bedeutet. Datensicherungen sind damit ein elementarer Bestandteil eines jeden IT-Sicherheitskonzepts. IT-Sicherheitsverantwortliche denken jedoch fahrlässig, wenn sie davon ausgehen, dass sie mit einem regelmäßigen Backup automatisch vor Datenverlusten geschützt sind. Dies gilt insbesondere auch für den Fall eines erfolgreichen Cyberangriffs, wenn Daten im Netzwerk durch Ransomware verschlüsselt sind - es besteht keine 100%ige Sicherheit, dies über die Wiederherstellung der letzten Datensicherung zu lösen zu können.

Aktuelle Entwicklungen zeigen vielmehr, dass die Cyberkriminellen bei ihren Angriffen auch Backups mit einbeziehen und Methoden finden, Datensicherungen zu kompromittieren.

So gehen Hacker heute vor

Über die letzten Jahre ist eine klare Zunahme von Cyberangriffen zu verzeichnen. Doch nicht nur die Anzahl an Cyberattacken steigt stetig, die Hacker gehen auch mit anderen Methoden vor. So standen früher Denial-of-Service (DoS)-Angriffe oder der Diebstahl von Daten im Fokus, mittlerweile haben Cyberangriffe vom Typ APT (Advanced Persitent Threat) stark zugenommen. Bei einem APT arbeiten Cyberkriminelle an Möglichkeiten, die IT-Sicherheitsbarrieren von Unternehmen unbemerkt zu durchbrechen und danach weiter in die lokale IT-Infrastruktur vorzudringen. Hacker verfolgen mit der Durchführung eines APT das Ziel, möglichst lange handlungsfähig zu bleiben, um über einen längeren Zeitraum sensible Informationen auszuspähen (Internet-Spionage) oder anderweitig Schaden anzurichten.

Charakteristisch für einen Advanced Persitent Threat ist die Schwierigkeit der Vorfallerkennung und -abwehr. Ein solcher Angriff wird von Cyberkriminellen zum Teil monatelang geplant - die Täter haben dabei ein besonderes Interesse, dass der Vorfall lange Zeit unbemerkt bleibt. Es geht ihnen vor allem darum, den Betrieb in Unternehmen zu stören oder komplett lahmzulegen sowie den Zugang zu Daten zu verwehren.

Zu den Hauptzielen der Cyberkriminellen zählt die zentrale Infrastruktur, wie beispielsweise Unternehmensserver. Experten aus der Cyber Security Branche weisen darauf hin, dass rund 34 Prozent der Angriffe auf wertvolle und unternehmenskritische Anwendungen, wie die Server der Organisation, abzielen. Dafür gibt es zwei Gründe. Zum einen stört ein Angriff auf die vitalen Systeme und die Infrastruktur den Arbeitsablauf innerhalb von Unternehmen extrem oder unterbricht diese sogar. Zum anderen werden damit Angriffsmöglichkeiten auf andere Bereiche des Netzwerks eröffnet: Ist ein zentraler Server infiltriert, haben die Angreifer die Möglichkeit, weitere Systeme innerhalb des gesamten Unternehmensnetzwerks zu kompromittieren, da diese an die Server angebunden sind.

Jedes Unternehmen oder jede Organisation ist ein potenzielles Zielobjekt. Beispiele aus der jüngeren Vergangenheit zeigen, dass die Angreifer keine Skrupel kennen - so sind zunehmend auch Krankenhäuser oder Infrastruktureinrichtungen das Ziel von Cyberangriffen. Die Kriminellen haben i.d.R. finanzielle Interessen. Sie versuchen, durch Erpressungen möglichst hohe Lösegelder zu erbeuten.

Mit im Fokus der Angreifer: Unternehmens-Backups

Das Mittel zum Zweck für die Kriminellen sind immer häufiger Erpressungs- und Verschlüsselungstrojaner. Die Ransomware hat das Ziel, kritische Daten zu verschlüsseln - die betroffenen Unternehmen haben im schlimmsten Fall keinerlei Zugriff mehr auf ihre Informationen. Die Cyberkriminellen drohen mit dem endgültigen Verlust der Daten, sollten ihre Verhandlungspartner nicht innerhalb einer bestimmten Frist die Erpressungsforderung erfüllen.

Was vielen IT-Sicherheitsverantwortlichen zunehmend Sorgen bereitet, ist die mittlerweile hochgradige Spezialisierung der eingesetzten Ransomware. Sie ist darauf ausgelegt, nach Backup-Diensten zu suchen und auch diese zu infiltrieren. Die Malware zielt in diesem Fall auf die APIs von Backup-Software ab und erhält so Zugang zu den Bereichen der Datensicherung. Auf diese Weise nehmen die Angreifer den Unternehmen die Möglichkeit, durch das Aufspielen einer Datensicherung die Attacke rückgängig zu machen.

An konkreten Vorfällen wird deutlich, mit welchem System die Angreifer bei Ransomware-Attacken vorgehen. So löscht eine Ransomware mit der Bezeichnung CryptoWall die Wiederherstellungspunkte von virtuellen Maschinen. Eine andere Ransomware, die auf den Namen Zenis lautet, deaktiviert den internen Systemdienst zur Erzeugung der Versionsstände sowie den Windows-Backup-Prozess. Die automatische Datensicherung ist somit nutzlos bzw. findet nicht statt.

Die Sicherung von Daten in Unternehmen muss gut durchdacht sein.

Woran viele Datensicherungsstrategien scheitern

In vielen Fällen sind die Backup-Systeme dauerhaft mit dem Netzwerk verbunden. Dies erscheint logisch, da so schnelle Sicherheitskopien möglich sind. Gleichzeitig bilden solche Schnittstellen auch akute Gefahren, wie die aktuelle Entwicklung zeigt. Jedes System, das mit dem zentralen Netzwerk eines Unternehmens verbunden ist, gilt grundsätzlich als bedroht.

Selbst Offline-Medien, wie beispielsweise Bandlaufwerke, sind nicht sicher vor den ausgefeilten Techniken der Hacker. Die Angreifer finden die Backup-Repositories oder -Datenbanken von solchen Systemen und zerstören diese. Dies macht ein Rollback auf eine Sicherheitskopie, die mit einem Bandlaufwerk erstellt ist, unmöglich.

Klassische Abwehrmethoden gegen Cyberbedrohungen scheitern häufig bei Ransomware-Attacken. Die traditionelle Cyber Security baut auf Abwehrtechniken auf, die bereits bekannte Muster erkennt und so am Eindringen in die eigenen Netzwerke hindert, beispielsweise Anti-Viren-Software. Diese Programme verfügen über signaturbasierte Datenbanken. Über diese Datenbanken vergleicht die Software Anwendungen, die in das Netzwerk gelangen. So erkennen diese Programme dann Viren, deren Signaturen bekannt sind.

Gegenüber raffinierten und gezielten Angriffen sind solche passiven Sicherheitstechniken quasi wirkungslos. Es fehlt ihnen an der Möglichkeit, unbekannte Angriffsmethoden und unautorisierte Verschlüsselungsvorgänge oder auch Kommunikationskanäle zu externen Command and Control Servern (C&C), wie sie Hacker bei der Infiltration von Netzwerken nutzen, zu identifizieren.

In der nahen Zukunft wird auch die künstliche Intelligenz eine wichtige Rolle bei der Abwehr von Cyberattacken spielen. Mithilfe von Deep Learning ist es möglich, Anwendungen zu realisieren, die proaktiv auf unautorisierte Aktionen reagieren und diese unterbinden oder zumindest Alarm schlagen. Bereits heute gibt es Möglichkeiten, solche Aktionen mit einem Threat Hunting- und Incident Response-Service zu erkennen. Diese Tools scannen permanent weite Teile der Infrastruktur, wie etwa Logs oder Datenbanken, und suchen so nach auffälligen Verhaltensmustern, die passive Sicherheitsmechanismen nicht erkennen.


Alles bedacht bei Ihrem Backup-Konzept?

Kontaktieren Sie uns - unsere IT Security Experten beraten Sie gerne!

Durch Klicken auf die Schaltfläche "Absenden" bestätigen Sie, unsere Richtlinien zum Datenschutz gelesen zu haben. Sie geben Ihr Einverständnis zur Verwendung Ihrer personenbezogenen Daten zu dem von Ihnen angegebenen Zweck der Kontaktaufnahme durch die Allgeier secion, Zweigniederlassung der Allgeier CyRis GmbH.

* Pflichtfeld

Zurück