Ransomware: Wie man brauchbare Backups erstellt
Trotz Maßnahmen gegen Cyber-Angriffe und Ransomware gelingen viele Attacken. Die Daten sind verschlüsselt. Einige Punkte verhelfen zu brauchbaren Backups.
(Bild: Sashkin/Shutterstock.com)
Jedes Unternehmen und jede Organisation ergreift Maßnahmen, um die IT vor Einbrechern oder Ransomware-Attacken zu schützen. Die aktuell zahlreichen Meldungen zu IT-Sicherheitsvorfällen zeigen jedoch, dass die Maßnahmen offenbar oftmals nicht ausreichend fruchten.
Obwohl etwa Backup-Systeme eingerichtet wurden und laufen, dauert die Wiederherstellung der Arbeitsfähigkeit von betroffenen Einrichtungen mitunter Wochen bis Monate. Teils sogar bis zur Insolvenz wie beim Fahrradhersteller Prophete. Die Angreifer haben offenbar die Sicherungen unbrauchbar gemacht. Ein naheliegendes Ziel der Angreifer, da Organisationen eher zu Lösegeldzahlungen bereit sind, wenn sie kein Backup zum Wiederherstellen ihrer wichtigen Daten haben.
Ransomware-Angriffe: Schwachpunkte finden
Die Betrachtung von typischen Cyber-Angriffen kann helfen, die Schwachstellen im Schutzkonzept zu finden. Daraus leiten sich zudem einige einfache Schutzmaßnahmen ab. Deren konkrete Ausgestaltung unterscheidet sich je nach Organisationsgröße.
Ein Angriff erfolgt in der Regel in mehreren Schritten. Als Erstes steht der Einbruch ins Netzwerk. Dies gelingt unter anderem durch nicht gepatchte Sicherheitslücken in eingesetzter Software oder das Unterschieben von Schadsoftware etwa mittels Social Engineering. Oftmals starten die Angreifer auch Phishing gegen Angestellte, womit sie an Zugangsdaten gelangen. Damit können die Cyberkriminellen auf weitere Systeme zugreifen und sich ausbreiten.
Die Schutzmaßnahmen müssen sich daher an diesen Vorgängen orientieren. IT-Verantwortliche sollten eingesetzte Software zügig bei Verfügbarkeit von Sicherheitsaktualisierungen auf den neuen Stand bringen. Wo immer möglich sollte zumindest Mehr-Faktor-Authentifizierung aktiviert oder auf Passkeys umgestiegen werden. Eine Virenschutzsoftware kann helfen, aktive Malware zu erkennen. Im Unternehmensbereich gibt es umfangreichere Schutzsoftware, die etwa Netzwerkverkehr auf Anomalien untersucht und so frühzeitig Alarm schlagen kann. Die Überwachung von Protokollen der Systeme im Netzwerk kann ebenfalls dabei unterstützen, etwa Nutzer-Anmeldungen zu ungewöhnlichen Zeiten oder auf unübliche Systeme aufzuspüren.
Die Schulung von Mitarbeitern nimmt einen wichtigen Platz im Sicherheitskonzept ein, sodass sie aktuelle Angriffs- und Gefahrenszenarien kennen und etwa bei Phishing frühzeitig misstrauisch werden können. Ein Konzept aus diesen Maßnahmen liefert natürlich keinen hundertprozentigen Schutz, erschwert Angriffe jedoch deutlich. Sollte Cyberkriminellen dennoch ein Einbruch gelingen, bei dem sie eine Ransomware platzieren und Daten verschlüsseln, hilft am Ende ein funktionierendes Backup.
Bessere Backup-Strategien
Damit die Daten aus einer Sicherung wiederherstellbar sind, müssen Administratoren einige Punkte beachten. Eine Trivialität, die gelegentlich zu Problemen führt: Das Wiedereinspielen von Backups haben die Verantwortlichen nie ausgiebig getestet und geübt. Das sollte unbedingt mit auf die To-do-Liste.
IT-Einbrecher wollen Sicherungen zerstören. Liegen die Sicherungskopien auf Datenträgern und Servern, die dauerhaft im Zugriff sind, kann auch Angreifern und ihrer Ransomware der Zugriff darauf gelingen, etwa um sie zu verschlüsseln. Die Angriffsfläche lässt sich minimieren, wenn die Backup-Medien ausschließlich während der Anfertigung der Sicherung zugreifbar sind. Dazu schließen Administratoren etwa USB-Platten nur für das Speichern der Sicherung an und ziehen sie danach wieder ab. Sicherungsdateien auf Server oder NAS sollten Administratoren zumindest mit einem eigenen Backup-Nutzerkonto schützen. Sie sollten das Laufwerk ebenfalls nur zum Anlegen des Backups einbinden und anschließend wieder aushängen.
Natürlich kann eine Ransomware genau dann zuschlagen, wenn das Sicherungsmedium eingebunden ist. Backup-Server mit Versionierung könnten dann noch helfen. Sie können ältere Fassungen von Dateien wiederherstellen. Eine weitere gute Idee ist ein weiteres, physikalisch getrenntes Backup. Inhalte eines Backup-Servers könnten regelmäßig auf weitere Datenträger gesichert und diese ebenfalls nur für diesen Zweck angeschlossen werden. Mit einer derartigen gestaffelten Backup-Strategie steigt die Wahrscheinlichkeit, im Angriffsfall funktionierende Sicherungen zu haben und ohne Lösegeldzahlung den Betrieb zügig wiederaufnehmen zu können.
(dmk)