Ransomware: So schützen Sie sich effektiv vor Angriffen

Ransomware-Angriffe sind zu einer der größten Bedrohungen für Unternehmen im digitalen Umfeld geworden und betreffen Organisationen jeder Größe und Branche.

Angesichts der ständigen Weiterentwicklung von Bedrohungen durch Cyberkriminalität, insbesondere durch Ransomware, ist es heute für Unternehmen nicht mehr eine Frage, ob sie von einem Angriff betroffen sein werden, sondern wann. Selbst wenn die gezahlten Lösegelder in letzter Zeit gesunken sind, hat die Zahl der gemeldeten Vorfälle ein Allzeithoch erreicht. Alleine in Deutschland haben mehr als 30 Prozent der Unternehmen schon Schäden durch Ransomware-Attacken erlitten.

Mangelnder Schutz vor Ransomware birgt hohe Risiken

Unternehmen, die ihre Daten nicht effektiv vor Ransomware schützen oder keinen schnellen Wiederherstellungsprozess implementieren, gehen ein hohes Risiko ein. Dazu gehören Datenverlust und Ausfallzeiten, der Verlust von Kunden- und Mitarbeitervertrauen, finanzielle Risiken, behördliche Bußgelder wegen Nichteinhaltung von Vorschriften und insgesamt ein erheblicher Wettbewerbsnachteil.

Die Verfügbarkeit von Ransomware as a Service (RaaS) hat es Angreifern erleichtert, ausgeklügelte Attacken durchzuführen, was die Häufigkeit von Angriffen dramatisch erhöht. Unternehmen müssen sich deshalb verstärkt darauf vorbereiten, ihre Daten zu verteidigen, nicht nur ihre Infrastruktur.

Ransomware Recovery

Die Wiederherstellung nach einem Ransomware-Angriff (Ransomware Recovery) sorgt dafür, dass ein Unternehmen nach einem solchen Vorfall seine Geschäftstätigkeit wieder aufnehmen kann. Der Prozess beinhaltet nicht nur die Bereinigung des Netzwerks von der Bedrohung, sondern auch die Einrichtung zusätzlicher Sicherheitsmaßnahmen für besseren zukünftigen Schutz. Im Idealfall können Unternehmen nach Ransomware-Angriffen ihre Daten und Systeme schnell und umfassend wiederherstellen, ohne Ausfallzeiten oder Datenverlust zu erleiden. Dazu braucht es wirksame Recovery Pläne.

Die Dauer der Wiederherstellung nach einem Ransomware-Angriff kann sehr unterschiedlich ausfallen. Während einzelne Dateien oder Datenbanken mit einer modernen Datenmanagement-Lösung nahezu sofort wiederhergestellt werden können, können größere Beeinträchtigungen Stunden oder Tage an Arbeit erfordern. Der gesamte Prozess kann mehrere Wochen dauern, lässt sich aber durch vorbereitende Maßnahmen und verbesserte Sicherheitsvorkehrungen erheblich beschleunigen, insbesondere durch einen Notfallwiederherstellungsplan (Disaster Recovery, DR). Ein solcher Plan ist der erste Schritt, um Netzwerke und Dienste nach einem Angriff wieder funktionsfähig zu machen.

Zwei entscheidende Messgrößen in der Planung zur Wiederherstellung sind das Recovery Time Objective (RTO) und das Recovery Point Objective (RPO). Das RTO gibt an, wie schnell der Betrieb wiederhergestellt werden muss, um schwerwiegende Störungen zu vermeiden. In einer optimierten Umgebung ist dies typischerweise eine Frage von Stunden.
Das RPO hingegen beschreibt hingegen, wie viel Datenverlust akzeptabel ist.

Organisationen müssen über traditionelle Backups hinausgehen und Lösungen für moderne Cyberbedrohungen nutzen, um die niedrigsten möglichen RTOs und RPOs zu erreichen.

Das Erstellen eines effektiven Notfallwiederherstellungsplans beginnt damit, die wichtigsten Daten und Anwendungen zu identifizieren und SLAs und SLOs festzulegen. Sie bestimmen, wie schnell Systeme wieder betriebsbereit sein müssen und wie viel Ausfallzeit akzeptabel ist.

Ein modernes Datenmanagement-System ist das Herzstück eines effektiven Ransomware-Wiederherstellungsprogramms. Es sollte erweiterte Datenschutzfunktionen wie unveränderliche Snapshots, robuste Datensicherheit einschließlich Verschlüsselung und Write-Once-Read-Many-Eigenschaften (WORM) sowie die Fähigkeit zur schnellen Datenwiederherstellung umfassen.

HPE bietet dazu beispielsweise mit HPE GreenLake und HPE Zerto Lösungen an, die fortlaufenden Datenschutz und schnelle Wiederherstellung ermöglichen.

Bedrohung durch Ransomware ist komplexer geworden

Die Bedrohung durch Ransomware hat sich im Laufe der Zeit weiterentwickelt. Ransomware 1.0 zielte hauptsächlich auf die Verschlüsselung von Produktionsdaten ab, wobei robuste Backups als ausreichende Abwehrmaßnahme galten. Mit Ransomware 2.0 begannen Angreifer jedoch, gezielt Backup-Datensätze und traditionelle Datenmanagement-Lösungen anzugreifen, um diese unbrauchbar zu machen und so die Zahlung eines Lösegelds zu erzwingen.

Die neueste Entwicklung, Ransomware 3.0, geht noch weiter und beinhaltet nicht nur die Verschlüsselung von Daten und Systemen, sondern auch den Diebstahl der Daten mit der Drohung, diese zu veröffentlichen, falls das Lösegeld nicht bezahlt wird.

Ein wirksamer Plan zur Vorbereitung auf Ransomware sollte fünf Schlüsselaktionen umfassen:

1. den Schutz von Backup-Daten und -Systemen
2. die Reduzierung des Risikos unbefugten Zugriffs/li>
3. das Erkennen von Angriffen, um deren Ausbreitung zu stoppen
4. die Stärkung der Sicherheitslage durch Integrationen und APIs
5. die Sicherstellung einer schnellen Wiederherstellung von Daten im großen Maßstab.

Unveränderliche Datenspeicher und isolierte Wiederherstellungsumgebungen

Eine entscheidende Verteidigungslinie bilden unveränderliche Datenspeicher (Immutable Storage) und isolierte Wiederherstellungsumgebungen (IREs). Bei unveränderlichem Speicher können Daten nach dem Schreiben nicht mehr verändert, verschlüsselt oder gelöscht werden, selbst von Administratoren nicht. Dadurch wird sichergestellt, dass immer eine saubere, unmanipulierte Kopie verfügbar ist. Anstatt sich auf nächtliche Backups zu verlassen, erstellen unveränderliche Datenlösungen mehrere Snapshots während des Tages. Dadurch können Daten von einem genauen Punkt vor einem Angriff wiederhergestellt werden. Das reduziert das RPO deutlich.

Isolierte Wiederherstellungsumgebungen ergänzen das, indem sie eine sichere, vom primären Netzwerk getrennte Umgebung schaffen. In dieser Umgebung können Backups getestet, validiert und kritische Systeme wiederhergestellt werden, ohne dass die Gefahr einer erneuten Infektion besteht.

Ein zentraler Fehler vieler Organisationen ist, ihren Incident-Response-Plan auf internen Systemen zu speichern, die nach einem Angriff verschlüsselt und unzugänglich sind; eine einfache Lösung ist eine „Lockbox“-Kopie kritischer Dokumente an einem sicheren, Ort, der offline ist, wie eine IRE.

Die Kombination von unveränderlichem Speicher und IRE führt zu einer erheblichen Erhöhung der Sicherheit. Ausfallzeiten lassen sich damit deutlich reduzieren. Die Resilienz gegen Angriffe wird gestärkt.

Mit den passenden Datenmanagement-Lösungen, die Funktionen zur Wiederherstellung nach Ransomware-Angriffen anbieten, können Unternehmen die Zahlung eines Lösegelds umgehen und ihre Daten selbständig wiederherstellen. Das bedeutet auch kontinuierlichen Datenschutz anstelle periodischer Snapshots, was ein Zurücksetzen auf einen Zeitpunkt nur wenige Sekunden vor einem Vorfall ermöglicht. Maschinelles Lernen ermöglicht es, den letzten bekannten sauberen Datenstand zu erkennen und sicherzustellen, dass wiederhergestellte Daten frei von Anomalien sind.

Lösungen wie beispielsweise HPE Zerto Software ermöglichen eine Wiederherstellung mit Granularität auf die Sekunde genau und die Flexibilität, nur das wiederherzustellen, was für die Wiederaufnahme des Betriebs erforderlich ist.

Bewertung

Ransomware ist nach wie vor eine allgegenwärtige Bedrohung; aber es gibt inzwischen gute Möglichkeiten vorzubeugen und im Notfall effektiv zu reagieren. Unternehmen müssen dazu aber über traditionelle Backup-Strategien hinausgehen und moderne Ansätze für die Cyber-Wiederherstellung implementieren. Ein umfassender Plan, der den Schutz von Backup-Daten, die Reduzierung des Zugriffsrisikos, die Erkennung von Angriffen, die Stärkung der Sicherheit und die schnelle Wiederherstellung im großen Maßstab umfasst, ist unerlässlich.

Schlüsseltechnologien wie unveränderliche Datenspeicher und isolierte Wiederherstellungsumgebungen, unterstützt durch kontinuierlichen Datenschutz und KI-gesteuerte Analysen, bieten die beste Verteidigungslinie.