Datensicherung

Backup-Sicherheit: Kein leichtes Spiel für Erpresser

Datensicherungen sind bei Cyberkriminellen ein beliebtes Ziel für Ransomware-Angriffe. Unternehmen sollten daher nicht nur die Effizienz ihrer Backup-Mechanismen im Blick behalten, sondern auch deren Sicherheit.

Mann im Rechenzentrum

Wichtige Unternehmensdaten müssen immer ausreichend gesichert sein - auch im Rahmen von Backupprozessen.

Daten sind in der heutigen Zeit eine der wertvollsten Ressourcen, die ein Unternehmen haben kann – vor allem im Hinblick auf Automatisierung, digitale Transformation und KI. Deshalb ist es wichtig, diese Daten nicht nur nutzbar zu machen, sondern gleichzeitig bestmöglich abzusichern. Denn die Gefahr durch Hacker-Angriffe ist größer denn je, und immer häufiger nehmen sie über Ransomware-Angriffe Daten ins Visier. Laut einer Untersuchung von Gartner aus dem Jahr 2018 stiegen Ransomware-Angriffe um 700 Prozent an. Auch in den kommenden Jahren ist mit einer enormen Zunahme dieser Angriffe zu rechnen: Den Prognosen des Marktforschungsunternehmens Cybersecurity Ventures zufolge wird die Schadensumme durch Ransomware-Attacken bis Ende des kommenden Jahres 20 Mrd. US-Dollar betragen. Besonders herausfordernd ist hier, dass sich der Fokus der Cyberkriminellen von den aktiven Daten als Angriffsziel immer mehr entfernt. Stattdessen geht der Trend immer mehr in Richtung einer Ransomware-Verschlüsselung der Backups, die eine Wiederherstellung verhindert und Betroffene zur Zahlung immer höherer Lösegelder zwingt.

 

Moderne Data-Management-Infrastruktur

Veraltete Backup- und Wiederherstellungsstrukturen, die aus Einzellösungen verschiedenster Anbieter bestehen, sind ein einfaches Ziel für Ransomware-Erpresser. Gleichzeitig führen solche Legacy-basierten Technologien zu einer Massenfragmentierung von Daten und der Entstehung von komplexen und kostspieligen Silos. Umso wichtiger sind Backups und Sicherungen, die ganzheitlich geschützt sind, aber auch innerhalb kürzester Zeit wiederhergestellt werden können. Dafür müssen Silos und Fragmentierung verhindert werden.

Für Backup-Dienstleister ist es deshalb unerlässlich, ihren Kunden eine Infrastruktur anzubieten, die nicht nur die effiziente Nutzung von Daten, sondern auch deren maximale Sicherheit gewährleistet. Von zentraler Bedeutung sind hier beispielsweise eine Datalock- bzw. Worm-Funktion (Write Once Read Many). Vor dem Ablauf der Aufbewahrungspflicht kann dieses Backup nicht gelöscht, überschrieben oder verändert werden, auch nicht intern von Systemadministratoren. Damit ist gewährleistet, dass die Backups in einem sicheren und vor allem abgeschotteten Bereich aufbewahrt werden – ein bisschen so, als hätte man eine Offline-Kopie.

Dabei sollten die Daten im Ruhezustand verschlüsselt werden und während der Übertragung einen AES-256-Standard und optional eine FIPS-Zertifizierung nutzen. Dieses Vorgehen macht es für den Kunden auch möglich, sich effektiv vor den Folgen von Ransomware-Angriffen zu schützen, indem er häufige Backups, beispielsweise alle fünf Minuten, durchführen kann.

Backups werden dabei in unveränderlichen Snapshots gesichert. Das ursprüngliche Backup wird somit in einem unveränderlichen Zustand gehalten und unzugänglich gemacht. So wird verhindert, dass es von einem externen System gemountet wird. Obwohl Ransomware-Software durchaus in der Lage sein kann, Dateien im gemounteten Backup zu löschen, kann sie einen unveränderlichen Snapshot nicht beschädigen.

Dies ist ein Artikel aus unserer Print-Ausgabe 10/2020. Bestellen Sie ein kostenfreies Probe-Abo.

Die Suche nach Anomalien

Mit den ausgeklügelten Angriffsstrategien, die von Cyberkriminellen eingesetzt werden, wird es wahrscheinlich nie eine zu 100 Prozent sichere Lösung geben, aber Cohesity hat festgestellt, dass sich entsprechende Technologien bei den Kunden bewähren und bisher noch kein Backup erfolgreich angegriffen wurde.

Vor allem in Hinblick auf unbemerkte Infizierungen durch Malware ist es für eine moderne Backup-Lösung wichtig, dass die Veränderungswerte der einzelnen Backups analysiert werden. So können mögliche Ransomware-Angriffe anhand auffälliger Anomalien festgestellt werden. Diese Auffälligkeiten werden auf der Grundlage des Abgleichs größerer Datenänderungen mit den normalen Mustern erkannt. Dazu werden die tägliche Änderungsrate bei logischen Daten, die tägliche Änderungsrate bei gespeicherten Daten – nach der Deduplizierung – und die musterbasierte Erkennung bei historischen Daten analysiert.

Zusätzlich ist es von Vorteil, auch die Häufigkeit von Dateizugriffen, also die Anzahl von Dateien, die von einem bestimmten Benutzer oder einer Anwendung geändert, hinzugefügt oder gelöscht werden, zu analysieren, um sicherzustellen, dass ein entsprechender Angriff schnell erkannt wird. Auch hier handelt es sich nicht um eine „Wunderwaffe“, die Ransomware-Angriffe stoppen kann, sondern um eine intelligente Früherkennungsmethode, die Probleme aufzeigen kann, bevor sie sich in etwas Schlimmeres verwandeln, sei es eine interne Bedrohung oder ein externer Cyberangriff.

Eine moderne Backup-Lösung muss im Falle eines Angriffs oder anderen Datenverlusten auch eine schnelle Wiederherstellung ermöglichen. Deshalb sollte die genutzte Plattform eine hohe Skalierbarkeit aufweisen, damit viele Snapshots und Klone ohne Leistungseinbußen vor Ort gespeichert werden. Zudem sollten die Snapshots nicht von ihrem Standort aus verschoben werden, was die Wiederherstellung beschleunigt.

Darüber hinaus kann eine Google-ähnliche globale, verfolgbare Suche die Wiederherstellung noch effektiver und gezielter möglich machen. Mit einer Indexierungsfunktion ist dies auf zwei verschiedenen Ebenen realisierbar.

Dies schafft die Möglichkeit, nach infizierten oder gefährdeten Dateien zu suchen und Korrekturmaßnahmen zu ergreifen, so dass beispielsweise nicht versehentlich eine infizierte Kopie wiederhergestellt wird. So können IT-Administratoren den Wiederherstellungsprozess viel detaillierter steuern und die Suchergebnisse sind mit einem sauberen Snapshot verknüpft, wodurch die Wiederherstellungszeit verkürzt wird.

Doppelter Mehrwert

Auch neue Gesetze und behördliche Anforderungen wie die DSGVO oder die PCI DSS (Payment Card Industry Data Security Standard) zum Schutz vor Betrügereien bei Kreditkartenzahlungen haben die Anforderungen im Bereich der Datenspeicherung weiter erhöht. Wer einerseits Informationen richtlinienkonform speichern und andererseits seine Fähigkeit verbessern möchte, die Geschäftserkenntnisse aus diesen Daten zu ziehen, der kommt an einer Modernisierung seiner Datenmanagement-IT nicht vorbei. Sonst drohen an zwei Stellen teure Risiken: sowohl bei eventuellen Bußgeldern als auch beim entgangenen Umsatz.

Es kann immer vorkommen, dass Unternehmen an der einen oder anderen Stelle eine Sicherheitslücke übersehen, sei es im Hinblick auf Richtlinien oder den Zugang. Umso wichtiger ist es für Unternehmen, die Backups für Lösegeldforderungen unantastbar zu machen und sie so gut wie möglich zu schützen. Eine moderne Backup- oder Recovery-Infrastruktur kann diese Sicherheit bieten und darf bei der Entwicklung einer Sicherheitsstrategie nicht vernachlässigt werden.

Bildquelle: Gettyimages/iStock

©2020Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok