Über unsMediaKontaktImpressum
Vladimir Doroch 18. Januar 2022

Cyber-Angriffe erfordern die richtige Backup- und Desaster-Recovery-Strategie

Gleich mehrere bekannte Konzepte und Verfahren haben sich als hilfreich bei der Absicherung vor Ransomware-Angriffen erwiesen. © Adobe: canjoena / stock.adobe.com / 112209300
© Adobe: canjoena

Unternehmen sehen sich einer ständigen Bedrohung durch Cyber-Angriffe ausgesetzt. Unentdeckte Sicherheitslücken und neuartige Attacken eröffnen immer wieder neue Angriffs-Vektoren, die Kerben in die eigene IT-Sicherheit schlagen. Durchbrüche sind nur eine Frage der Zeit und auf Dauer kaum zu verhindern. Ransomware-Angriffe stechen durch ihr Schadenspotential besonders hervor und können neben einzelnen Organisationen ganze Lieferketten lahmlegen. Unternehmen müssen dies antizipieren und bereits im Vorfeld Strategien und Verfahren einrichten, um eine zeitnahe Wiederherstellung des IT-Betriebs sicherzustellen. Mit vorausschauenden Backup- und Desaster-Recovery-Strategien können die notwendigen Werkzeuge zurechtgelegt werden, um Schäden zu minimieren.

Die ständige Gefahr durch Cyber-Angriffe führt bereits heute zu Schäden für die deutsche Wirtschaft in beträchtlicher Höhe. In einer Befragung des Bitkom haben 9 von 10 Unternehmen angegeben, bereits Opfer von Cyber-Angriffen geworden zu sein. Die entstandenen Schäden für die deutsche Wirtschaft schätzt der Bitkom auf über 220 Milliarden Euro für 2021 – mehr als doppelt so viel wie noch in den Vorjahren 2018/2019 [1].

Als besonders lukrativ für Kriminelle haben sich Ransomware-Angriffe herausgestellt. Das BKA stellt in seinem Bundeslagebericht Cybersecurity fest, dass diese Art des Angriffs das größte Schadenspotential aufweist. Dabei hat sich dieses Angriffsmuster bereits als neues Geschäftsfeld für Kriminelle etabliert, in dem Hacker Ransomware-as-a-Service als Cloud-Dienstleistung im Darknet beziehen können [2].

Ransomware-Angriffe sind im Trend und entwickeln sich stetig weiter. In seinem Lagebericht zur IT-Sicherheit in Deutschland äußert sich das BSI besorgt über diesen Trend und beobachtet einen deutlichen Anstieg an Erpressungen [3]. In von Bitkom und Hornetsecurity unabhängig voneinander durchgeführte Befragungen gab jedes fünfte Unternehmen an, bereits Opfer eines Ransomware-Angriffs geworden zu sein [4]. Es ist davon auszugehen, dass dieser Anteil in Zukunft deutlich ansteigen wird. Die Schäden, die durch Ransomware entstehen, sind vielfältiger Natur: vom Imageverlust, über Umsatzeinbußen bis hin zum kompletten Betriebsstillstand. Sie können auch über die Grenzen der eigenen Organisation hinausgehen. Dadurch versuchen sich Angreifer eine gute Ausgangslage zur Lösegelderpressung zu schaffen. Um sich möglichst wenig erpressbar zu machen, ist es extrem wichtig, auf solche Angriffe gut vorbereitet zu sein.

Warum ein Backup allein nicht vor Ransomware schützt

Regelmäßige Backups gehören definitiv zu den grundlegenden Bausteinen, um kompromittierte IT wiederherzustellen. Damit ist es allerdings nicht getan, wenn Angreifer sensible Daten erbeuten oder gar das Backup selbst kompromittieren können. In Verbindung mit Ransomware beobachtete die ENISA einen deutlichen Trend hin zu doppelten Erpressungen (Double Extortion) bis hin zu mehrfachen Erpressungen (Multiple Extortion). Dabei handelt es sich um Schweigegelderpressungen die in Kombination mit Lösegeldforderungen auftreten [5].

Bei der doppelten Erpressung zielen Kriminelle darauf ab, mit der Androhung einer Veröffentlichung erbeuteter Daten Schweigegeldzahlungen zu erhalten. Damit können Angreifer auf der einen Seite zusätzliche Einnahmen neben der reinen Lösegeldzahlung generieren und auf der anderen Seite Unternehmen angreifen, die sich mit Backups zumindest zum Teil abgesichert haben [6].

Erst kürzlich wurde Mediamarkt-Saturn Opfer eines Ransomware-Angriffs. Trotz der Erkennung und Einleitung von Maßnahmen zur Eindämmung sowie Wiederherstellung, haben Hacker potenziell sensible Daten abgezogen. Nach Medienberichten drohten die Angreifer diese Daten zu veröffentlichen und forderten ein Schweigegeld in Höhe von 240 Millionen US-Dollar [7].

CheckPoint hat die Ausweitung der Schweigegelderpressung auf Kunden und Partner des Opfers als nächste Evolutionsstufe identifiziert (Triple Extortion) [8]. Damit können Angriffe auf Geschäftspartner direkte Konsequenzen auf das eigene Unternehmen haben. Beispielsweise wurde die Supermarktkette Coop und andere Kunden indirekt Opfer eines Ransomware-Angriffs, weil der gemeinsame Lieferant für Fernwartungslösungen Kaseya von Angreifern lahmgelegt wurde [9]. Ähnliche Vorfälle sind erst kürzlich im Gesundheitswesen bekannt geworden [10].

Die Beispiele verdeutlichen, dass Backups allein nicht vor Ransomware schützen – mit potenziell fatalen Auswirkungen. Entsprechend müssen sich Unternehmen darauf vorbereiten und Strategien zur Wiederherstellung der Infrastruktur im Desaster-Fall festlegen.

Die richtige Backup-Strategie

Für die Absicherung von Ransomware-Angriffen muss das Rad nicht neu erfunden werden. Gleich mehrere bekannte Konzepte und Verfahren haben sich als hilfreich bei der Absicherung vor Ransomware-Angriffen erwiesen.

Die bewährte 3-2-1-Regel

Die 3-2-1-Regel gilt im Bereich der Datensicherung als Best Practice. Die Regel besagt, dass zu jederzeit drei Kopien, auf mindestens zwei unterschiedlichen Medien und mindestens einem weiteren Standort vorgehalten werden müssen. Die drei Kopien sollten dabei unabhängig voneinander abgelegt auf drei unterschiedlichen Systemen wie NAS, SAN, Tape oder in der Cloud abgelegt werden. Um Korrumpierungen vorzubeugen, sollten keine ständigen Synchronisationen zwischen den Kopien hergestellt, sondern unabhängig voneinander geschrieben oder gelesen werden.

Durch die Nutzung unterschiedlicher Medien-Typen können zusätzliche Hürden für Ransomware-Angriffe entstehen. Echten Schutz können WORM-Geräte wie Tape Libraries bieten, die Sicherungen auf Bänder schreiben und offline ablegen. Aber auch revisionssichere Speichersysteme, VLTs oder Objekt-Speicher in der Cloud lassen sich heutzutage problemlos in moderne Backup-Lösungen integrieren.

Das Vorhalten der Daten an einem zusätzlichen Standort ist ebenfalls eine wichtige Maßnahme. Dies macht der Fall des französischen Cloud Service Providers OVH deutlich, dessen Kunden bei einem Brand gleich mehrerer Rechenzentren an einem Standort sämtliche Daten verloren [11]. Das BSI empfiehlt einen Mindestabstand von mindestens 200 Kilometern, um Auswirkungen auf georedundanten Rechenzentren bei lokalen Ereignissen zu minimieren [12].

Richtig umgesetzt erweist sich diese Regel als äußerst effektiv. Auch zur Wiederherstellung nach Ransomware-Angriffen. Dementsprechend werben diverse führende Hersteller von Backup-Software für diese Regel [13]. In der Praxis wird diese Regel gern als Ideal abgetan und eine vollständige Umsetzung der Regel als Rolls-Royce-Lösung abgetan. Diese Einschätzung kann fatale Folgen haben, sodass eine differenzierte Betrachtung definitiv notwendig ist.

Gezielte Trennung von Verantwortlichkeiten

Benutzerkonten mit umfangreichen Berechtigungen können bei einer Kompromittierung ein unglaubliches Schadenspotential entfalten. Konzepte zur Trennung und Begrenzung von Berechtigungen, also die Handlungsfähigkeit eines Rogue Users zu beschränken, haben sich in der Praxis bewährt.

Die Verantwortlichkeiten über das Backup sollten möglichst von der Produktion getrennt sein. Unterschiedliche Medien sollten durch unterschiedliche Personengruppen oder zumindest mittels unterschiedlicher Zugangsinformationen verwaltet werden, damit eine Benutzerkennung nicht gleich mehrere oder alle Medien zeitgleich kompromittieren kann. Dies können beispielsweise individuelle CHAP-Zugänge für jedes exportierte iSCSI-Volume auf einem Storage-System sein.

Effektives Berechtigungsmanagement

Grundsätzlich sollten für Individuen personalisierte Konten verwendet und die Vergabe von Berechtigungen protokolliert werden. Es sollte jederzeit nachvollziehbar sein, wer welche Berechtigungen hält und ausübt. Verzeichnisdienste, wie Active Directory, können genutzt werden, um Konten, Gruppen und Richtlinien zentral zu verwalten und im Notfall zu deaktivieren. Dies kann es Hackern erschweren, Zugang zu kritischen Berechtigungen zu erhalten.

Kritische Berechtigungen, die über Regeltätigkeiten hinaus gehen, sollten mit zusätzlichen Verfahren geschützt werden. Dazu bieten sich separate Administrator-Konten oder Systeme zur Verwaltung privilegierter Berechtigungen an, um Berechtigungen über zusätzliche Faktoren abzusichern.

Bei der Nutzung spezieller Backup-Software sollten Zugriffe auf Dateisysteme für Individuen nur indirekt möglich sein. Moderne Lösungen können eigene technische Benutzerkennungen einsetzen, um im Hintergrund Backups zu lesen und zu schreiben, während Benutzer im Frontend Vorgänge durchführen.

Absicherung von Root-Accounts

Nicht personalisierte Root-Accounts sollten nur in Ausnahmefällen benutzt und besonders abgesichert werden. Eine Nutzung sollte immer mit einem Anlass verknüpft sein und die Anmeldung überwacht werden. Im Cloud-Umfeld ist es seit jeher Best Practice, den Root-Account nach der initialen Erstellung des Unternehmenskontos operativ nicht mehr zu benutzen und mit MFA, Alarmen und anderen Vorkehrungen abzusichern. Dadurch können unbefugte Zugriffe von vornherein erschwert und leichter erkannt werden.

Nur ausgewählten Personenkreisen sollten die Passwörter bekannt sein und regelmäßig rotieren, insbesondere wenn sich Verantwortlichkeiten verändern. Dafür können Passwörter verschlüsselt abgelegt und für Teams in zentralisierten Passwort-Managementsystemen verwaltet werden. Aber auch Offlinekopien auf Papier und USB können sinnvoll sein. Diese stehen auch beim Verlust digitaler Originale zur Verfügung und können in einem Safe sicher aufbewahrt werden.

Kapselung der Backup-Infrastruktur

Um unkontrollierte Zugriffe zu vermeiden, können Unternehmen gängige Konzepte zur Kapselung der Backup-Infrastruktur verwenden. Ein erster Ansatzpunkt ist die Nutzung eigener physischer Systeme, die dediziert für das Backup eingesetzt werden. Dies können Server, Storage, Switche oder Kabel sein. Aber auch Cloud-Services, die über separate Accounts verwaltet werden, kommen hierfür in Betracht.

Ein weiterer Ansatzpunkt ist die logische Trennung der Backup-Infrastruktur durch die Nutzung eigener Netzwerksegmente, beispielsweise eigener V(x)LANs, IP-Subnetze und DNS-Zonen. Zur Absicherung der Segmente können Firmen Zugriffe mit MFA-Verfahren absichern. Zudem können sie Firewalls einsetzen, um den Netzwerkverkehr zu filtern. Moderne Firewalls bieten hierzu eine Vielzahl an Möglichkeiten, wie etwa die Nutzung identitätsbasierter oder gruppenbasierter Filter oder klassische Filter-Regeln unter Angabe von Quellen, Zielen, Ports und Protokollen. Entsprechende Verfahren zur Kapselung sollten auch dazu genutzt werden, um unterschiedliche Storage-Medien voneinander zu isolieren.

Der richtige Desaster-Recovery-Plan

Die Backup-Strategie allein genügt nicht, um im Fall eines breiten Ransomware-Angriffs effektiv und effizient entgegenzusteuern. Aufgrund des Schadenpotentials und der damit verbundenen Tragweite ist es eine übergreifende organisatorische Aufgabe, Angriffe zu erkennen und Maßnahmen organisiert einzuleiten. Dementsprechend empfiehlt es sich, Ransomware-Angriffe als zusätzliche potenzielle Schadensereignisse in das übergreifende Business-Continuity-Management aufzunehmen und spezifische Desaster-Recovery-Pläne bereitzustellen.

Die Festlegung eines Desaster-Recovery-Plans ist ein bewährter Ansatz, um die Reaktionsfähigkeit eines Unternehmens auf etwaige Notfallsituationen zu verbessern. Dieser hat zum Ziel, die IT eines Unternehmens nach Eintritt eines "Notfalls", wie einem Ransomware-Angriff, schnellstmöglich wiederherzustellen. Dazu werden Zielvorgaben spezifiziert, Ablaufpläne definiert und Desaster-Szenarien einstudiert.

Spezifikation von Zielvorgaben

Durch die Spezifikation von Kennzahlen wie der Recovery Time Objective (RTO) und der Recovery Point Objective (RPO) können verbindliche Zielvorgaben hergestellt und die Leistungsfähigkeit eines Plans messbar gemacht werden. Dabei sollten sich die Vorgaben an den Geschäftsanforderungen einer Organisation orientieren, um potenzielle Schäden für den Geschäftsbetrieb zu minimieren.

Die RTO gibt einen für die Organisation akzeptablen Zeitrahmen vor, in dem Daten und Systeme wiederhergestellt werden müssen. Häufig werden kurze RTO für kritische Systeme gewählt, die sich von Minuten bis zu wenigen Stunden bewegen können. Bei Test- und Entwicklungssystemen bewegen sich RTOs meist zwischen mehreren Stunden oder gar Tagen.

Die RPO gibt den für die Organisation akzeptablen Datenverlust an. Dieser bezieht sich auf den Zeitraum zwischen einem Schadensereignis und der letzten Sicherung. Bei kritischen transaktionalen Datenbanken, in denen sich Datenbestände häufig ändern, können RPOs wenige Minuten betragen. Bei Daten, die sich selten verändern, reichen häufig RPO-Vorgaben von mehreren Stunden bis hin gar zu Monaten.

Darüber hinaus ist es üblich, mit der RPO die Anzahl der Sicherungen festzulegen, sodass mehrere Sicherungspunkte zur Verfügung stehen, um noch weiter in der Zeit zurück gehen zu können. Besonders wenn Schäden spät erkannt werden, kann es nützlich sein, ältere Datenbestände zu haben, die beispielsweise noch nicht durch Ransomware manipuliert wurden.
Anspruchsvolle RTOs und RPOs haben direkte Auswirkungen auf die benötigte Backup-Infrastruktur und können sehr kostspielig werden. Entsprechend sind Kosten und Nutzen abzuwägen.

Definition von Ablaufplänen

Bei Eintritt eines Desaster-Falls – wie einem Ransomware-Angriff – ist es entscheidend, möglichst effektiv und effizient Gegenmaßnahmen einzuleiten. Dabei ist es von entscheidender Bedeutung, dass jeder Handgriff sitzt und in der richtigen Reihenfolge umgesetzt wird. Verzögerungen können zu höheren Schäden durch einen Angriff selbst oder zu zusätzlichem Aufwand in der Wiederherstellung führen.

Dazu bieten sich Ablaufpläne an, aus denen hervorgeht, wer welchen Handgriff wann ausführt. Dies kann in Form von Tabellendokumenten, Flussdiagrammen oder auch Aushängen erfolgen. Entscheidend ist, dass ein potenzieller Delegierter in der Lage ist, die Handlungsanweisungen eindeutig zu verstehen und umzusetzen. Besonders bei Ransomware-Angriffen ist es sinnvoll, entsprechende Pläne wortwörtlich in der Schublade bereitzuhalten.

Verfahren zur Automatisierung von Abläufen können in diesem Zusammenhang von besonderem Nutzen sein. Die Interpretation schriftlicher oder bildlicher Handlungsanweisungen entfallen, sodass die Fehleranfälligkeit sinkt. Gleichzeitig können Abläufe beschleunigt und auch bei mehreren Durchläufen konsistent abgearbeitet werden. Entsprechende Produkte sind für On-Premise-Bereitstellungen, aber auch als Cloud-Service verfügbar.

Regelmäßige Trainings

Um sicherzustellen, dass die vorgegebenen RTOs und RPOs erreicht werden können und die Ablaufpläne tatsächlich funktionieren, sollten Übungen stattfinden. Die im Notfall zuständigen Mitarbeitenden sollten in regelmäßigen Abständen wiederholt geschult werden. Dadurch können Unternehmen sicherstellen, dass ihre Mitarbeiter und Mitarbeiterinnen aktuelle Pläne und Ablageorte kennen.

Außerdem sollten regelmäßige Desaster-Recovery-Simulationen stattfinden, in denen reale Katastrophenfälle nachgestellt und bewältigt werden. Damit kann die Qualität der definierten Pläne hinsichtlich der Erfüllung der Zielvorgaben überprüft und – bei Bedarf – nachjustiert werden. Gleichzeitig können Routinen einstudiert und Vertrauen bei ausführenden Mitarbeitenden sowie Führungskräften oder anderen Stakeholdern hergestellt werden.

Alle Werkzeuge parat haben

Cyber-Angriffe, insbesondere Ransomware, sind im Trend. Der nächste Angriff ist eine Frage der Zeit und erfordert, dass Unternehmen sich bereits heute alle notwendigen Werkzeuge zurechtlegen, um im Notfall nicht vom Regen in die Traufe zu kommen. Bereits bekannte Konzepte und Ansätze können Hilfestellung leisten und dazu beitragen, die Schäden nach einem Angriff zu minimieren. Unternehmen dürfen jedoch nicht hoffen, dass der Kelch an ihnen vorbeizieht, sondern müssen jetzt die richtigen Weichen für ihre künftige Sicherheit stellen.

Quellen
  1. Bitkom: Angriffsziel deutsche Wirtschaft: mehr als 220 Milliarden Euro Schaden pro Jahr
  2. Bundeskriminalamt: Bundeslagebild Cybercrime 2020
  3. BSI: Die Lage der IT-Sicherheit in Deutschland 2021
  4. Hornetsecurity: 1 von 5 Unternehmen war bereits Opfer eines Ransomware-Angriffs, zeigt eine Umfrage
  5. ENISA: ENISA Threat Landscape 2021
  6. Handelsblatt: Cyberangriff auf Accenture: Hacker veröffentlichen Daten von IT-Berater und kündigen weitere Leaks an
  7. Bleepingcomputer: MediaMarkt hit by Hive ransomware, initial $240 million ransom
  8. Checkpoint: Check Point Software’s Mid-Year Security Report Reveals a 29% Increase in Cyber-attacks Against Organizations Globally
  9. Kaseya: Important Notice August 4th, 2021
  10. heise online: Ransomware-Attacke auf Medatixx: Großalarm im Gesundheitswesen
  11. Handelsblatt: Brand im Rechenzentrum: Warum eine Cloud-Strategie so wichtig ist
  12. BSI: Kriterien für die Standortwahl höchstverfügbarer und georedundanter Rechenzentren
  13. Gartner: Enterprise Backup and Recovery Software Solutions Reviews and Ratings

Autor

Vladimir Doroch

Vladimir Doroch ist Technologie-Berater bei Detecon International mit Fokus auf Cloud und IT-Infrastrukturen sowie die Themenbereiche Datacenter-Virtualisierung, Storage und Netzwerke.
>> Weiterlesen
Das könnte Sie auch interessieren
Cyber-Security-Budget

Cyber-Security-Budget: Mit Strategie zur Kostenoptimierung

Ransomware-Angriffe – Erfolgreiches Krisenmanagement und Mythen

Schwachstellen erkennen und bewerten

FIDO Passkeys 3 – In Zukunft ohne Passwort

FIDO Passkeys 2 – In Zukunft ohne Passwort

FIDO Passkeys – In Zukunft ohne Passwort

Kommentare (0)

Neuen Kommentar schreiben