Paul Fleet - Fotolia

Die richtige Disaster-Recovery-Strategie kann vor Ransomware schützen

Die Ransomware-Bedrohung hält an und normale Backups reichen nicht. Eine neue Disaster-Recovery-Strategie mit Snapshots kann Abhilfe schaffen.

Im Jahr 2016 waren Verschlüsselungstrojaner wie Locky oder TeslaCrypt in aller Munde. Besonders Locky verbreitete sich mit teils mehr als 5.000 Infektionen pro Stunde rasend schnell und noch immer gibt es Neuinfektionen. Beispielsweise wurde eine Videoüberwachungsanlage in Washington gekapert.

Betroffen waren und sind etliche Behörden und Organisationen, aber auch Unternehmen aller Größen in Deutschland, nach Angaben des BSI war bereits jede dritte Einrichtung tangiert. Die Idee, mit Schadcode-Daten fremde Systeme zu verschlüsseln und als Geiseln zu nehmen, ist alles andere als neu. Bereits 1989 wurde ein Verschlüsselungstrojaner auf einer Diskette eingesetzt, um Lösegeld zu erpressen.

Wer die gesperrten Daten nicht in Blockchain-Währungen wie Bitcoin freikaufen möchte, der muss auf Disaster-Recovery-Pläne zurückgreifen. Und die Bedrohung bleibt akut, denn es tauchen immer wieder neue Varianten auf, die inzwischen sogar Bilddateien in Social Media-Plattformen nutzen, um sich auszubreiten. Das Perfide an dieser Art der Malware ist, dass der Programmcode ganz gezielt nach verletzlichen Dateien sucht und diese verschlüsselt. Nach einer Studie von IBM X-Force beliefen sich die Schätzungen von bezahlten Lösegeldern im Jahr 2016 auf eine Milliarde US-Dollar und das nur in den USA.

NAS-Systeme gefährdet

Das BSI rät in seinem Themenpapier zum Aspekt Ransomware, dass Datensicherungskonzepte zum Schutz vor Schadsoftware in der Lage sein sollten, Daten zusätzlich auf Offline-Medien zu sichern. Denn bei einer Infektion seien auch NAS-Systeme nicht sicher, heißt es zumindest im Themenpapier. Allerdings können Unternehmen in Zeiten von Big Data nicht einfach alles auf externen Festplatten speichern, schon gar keine granularen Backups.

Die schiere Datenmenge würde die Systeme überlasten und die Kosten für Hardware und Räumlichkeiten würden jeglichen Rahmen sprengen. Die betreffenden Systeme vom Netz zu trennen ist auch keine Lösung. Dies führt dazu, dass viele Unternehmen sich darauf verlassen, dass schon nichts passiere und im Zweifel – wie die Stadtverwaltung Dettelbach – das Lösegeld bezahlen.

Backup als Ziel von Ransomware

Cyberkriminelle wissen, welche Datenarchivierungsstrategien (Disk, Band oder Cloud) Administratoren einsetzen und haben sich darauf eingestellt und ihre Schadsoftware entsprechend programmiert. Viele der derzeit im Umlauf befindlichen Ransomware-Bedrohungen können gezielt nach Backup-Servern suchen, um diese zu infizieren. Vielfach wird in Unternehmen für eine Disaster-Prevention-Strategie eine synchrone Spiegelung eingesetzt.

Dies mag für den Schutz vor Hardwareausfällen in Produktionsumgebungen etc. viele Vorteile bringen, bei einer Infektion mit Ransomware verwandeln sich viele dieser Vorzüge allerdings ins Gegenteil. Denn durch die ständige Synchronisierung beziehungsweise die Kommunikation zwischen den beiden Storage-Systemen ist es nur eine Frage der Zeit, wann sich die Infektion über das Netzwerk auch auf diese Speichersysteme ausbreitet. Eine synchrone Spiegelung, zum Beispiel bei Rechenzentren, allein reicht also als Schutz längst nicht mehr aus, denn Schadsoftware kann sogar inaktiv mitgesichert werden und selbständig – nach einer bestimmten Zeit – aus der Ferne über einen C&C Server aktiviert werden. Damit sind dann sogar „normale“ Backups korrumpiert und diese Daten folgend verschlüsselt.

Snapshots vs. Ransomware

Doch es gibt Alternativen zu bisherigen Disaster-Prevention-Strategien. Ein Beispiel sind regelmäßig erstellte Snapshots, die in kurzer Abfolge erzeugt und an einem entfernten Standort repliziert werden. Mit dieser Disaster-Recovery-Strategie in Verbindung mit der synchronen Spiegelung lassen sich bei den bisher bekannten Ransomware-Bedrohungen kurze RPO/RTO -Werte (Recovery Point Objective/Recovery Time Objective) realisieren.

Mit Snapshots lässt sich der „gesunde“ Zustand ohne Infektion schnell und mit kurzer RPO wiederherstellen, während bei einer Infektion durch synchrone Spiegelung beide Rechenzentren ausfallen würden und ein kompletter Restore erforderlich wäre. Produktionsunternehmen stehen beispielsweise vor der Herausforderung, dass sie auf permanent synchrone Datenhaltung angewiesen sind, um im Problemfall ohne Stillstand weiter produzieren zu können.

„Verschlüsselungstrojaner sind nicht in der Lage, auf Snapshots zuzugreifen und diese zu verändern.“

Thomas Becker, Nimble Storage

xxx

Mit ihren Referenz-Markierungen sind Snapshots wie eine detaillierte Tabelle von Inhalten, die aber von IT-Systemen wie ein komplettes Backup behandelt werden. Gegen Bedrohungen wie Ransomware sind Snapshots grundsätzlich geschützt, denn Snapshots können nur gelesen (read-only) und nicht verändert werden. Snapshots nutzen auch keine CIFS-Protokolle (Common Internet File System), die wiederum TCP/IP-Protokolle benutzen und dadurch bei einer Infektion ebenfalls von Schadcode befallen würden. Ähnlich verhält es sich mit Network File-Systemen wie SAMBA, die ebenfalls nicht von Snapshots genutzt werden, um Speicherstände zu archivieren.

Handlungsempfehlungen

Veeam, Spezialist für Datensicherung und Virtualisierung, empfiehlt zusätzlich zum Backup Offline-Medien wie Tape, Festplatten oder eben Snapshots für primären Storage zur Sicherung von Daten zu verwenden. Die Nutzung verschiedener File-Systeme und Protokolle kann ebenfalls für das Backup von besonders kritischen Bereichen wie dem Domain Controller als zusätzliche Absicherung genutzt werden. Darüber hinaus ist die Übersicht über alle Vorgänge im Netzwerk und alle Veränderungen ein wichtiges Werkzeug, um die Ausbreitung von Infektionen zu verhindern, hier empfehlen sich automatisierte Analyse-Tools.

Fazit

Snapshots sind im Gegensatz zu synchronen Spiegelungen eine gute Wahl, wenn ein neues Disaster-Prevention-Konzept eingeführt werden soll, oder aber eine gute Ergänzung, wenn Unternehmen aus den vorher aufgeführten Gründen darauf angewiesen sind. Verschlüsselungstrojaner sind nicht in der Lage, auf Snapshots zuzugreifen und diese zu verändern. Eines ist nämlich jetzt schon sicher: Die Bedrohung durch Ransomware wird auch 2017 nicht geringer werden, deshalb sollten Administratoren und IT-Verantwortliche ihre Disaster-Prevention-Strategien überdenken und der Gefährdung entsprechend anpassen.

Über den Autor:
Thomas Becker ist Account Executive bei Nimble Storage.

Folgen Sie SearchStorage.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Ransomware: Das Infektionsrisiko für Unternehmen bleibt hoch

Ransomware mit alternativen Ansätzen begegnen

Netzwerksicherheit: Fünf Maßnahmen gegen eine Infektion mit Ransomware

Best Practices: Ransomware verhindern oder eindämmen

Artikel wurde zuletzt im März 2017 aktualisiert

Erfahren Sie mehr über Disaster Recovery

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchSecurity.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close