Backup- und Desaster-Recovery

Krypto-Trojaner aussperren: Rettungsanker Cloud-Backup?

Wenn regelmäßige Patches und ein aktueller Antivirenschutz alleine keine Garantie mehr für ausreichenden Schutz sind, werden Backup- und Desaster-Recovery zum Sicherheitsthema. Insbesondere, wenn sich Erpresser­trojaner heimlich unter die Backup-Daten gemischt haben.

Sie heißen Cryptowall, Teslacrypt oder Locky – dabei ist der Name Programm, denn inzwischen vergeht kaum noch ein Tag, ohne dass eine noch perfidere Version der Erpresser-Trojaner bekannt wird. Unabhängig von der jeweiligen Variante ist das grundsätzliche Prinzip der sogenannten Ransomware (engl. Ransom = Lösegeld) stets das gleiche: Das Opfer erhält eine unscheinbare E-Mail mit einem angehängten Office-Dokument, das sich als Rechnungsanschreiben oder Faxdokument tarnt. Wird der Anhang geöffnet, lädt ein verstecktes Makroskript den eigentlichen Schädling herunter. Dieser beginnt nun unbemerkt Dokumente, Bilder, CAD-Datensätze und andere wichtige Dateien auf dem Rechner des Opfers sowie auf Netzlaufwerken und externen Festplatten zu verschlüsseln. Schnell können dem Krypto-Trojaner dabei zehntausende von Dateien pro Stunde in die Hände fallen. Will der Anwender nun auf eine der betroffenen Dateien zugreifen, erscheint eine Lösegeldaufforderung – zahlbar in der anonymen Krypto-Währung Bitcoin. Nur wer die üblicherweise rund 400 Euro zahlt, erhält den Schlüssel zur Rettung seiner Daten – eine Garantie gibt es indessen weder für den Erhalt des Schlüssels noch für die vollständige Entschlüsselung.

Was schon für Privatpersonen mehr als unangenehm ist, kann für betroffene Unternehmen schnell existenzbedrohende Ausmaße annehmen. Ist kein intaktes Backup vorhanden, drohen als Folge eines Crypto-Trojaner-Befalls schlimmstenfalls tagelange IT-Ausfälle sowie hohe Kosten für IT-Forensiker und Antivirenspezialisten. Denn der Krypto-Trojaner muss zum Teil mühselig manuell aus einem befallenen Firmennetzwerk entfernt werden. Angesichts der drohenden Kosten für Datenrettung und Wiederherstellung steigt die Zahlungsbereitschaft vieler Unternehmen. Und genau dieser Umstand macht die Erpressersoftware zu einem gut funktionierenden Geschäftskonzept für Internetkriminelle, das inzwischen hunderte von Millionen abwirft. Ursprünglich für die Verteilung von Banking-Trojanern berüchtigte Botnetze wie Dridex steigen deshalb ebenfalls auf das lukrative Geschäft mit Ransomware um.

Kein Lösegeld bezahlen, denn zahlungswillige Unternehmen geraten erst Recht in den Fokus von Cyber-Kriminellen.

Mit den hohen Gewinnaussichten erklärt sich auch die neue Qualität in der Vorbereitung einzelner Spam-Kampagnen zur Verbreitung der Trojaner. Inzwischen arbeiten Cyber-Kriminelle nicht mehr mit verdächtigen E-Mail-Betreffzeilen in schlechtem Englisch, sondern mit professionellen Anschreiben, die auf die jeweiligen Unternehmen zugeschnitten sind. Die dazu notwendigen Informationen werden vorher gezielt durch IT-Ausspähung oder Social Engineering ergaunert. So hat es der  kürzlich aufgetauchte Krypto-Trojaner Petya  auf die Personalabteilungen deutscher Firmen abgesehen und versendet seine Malware getarnt als Bewerbungsanschreiben. Durch den personalisierten Aufbau fällt es Anwendern immer schwerer, die Fake-Anschreiben von echter Firmenkorrespondenz zu trennen. Eine kurze Unaufmerksamkeit genügt indessen, um dem Schädling mit einem Klick den Weg auf den eigenen Rechner und eventuell sogar zum kompletten Firmennetz zu öffnen.

Inwieweit schützen Antivirenlösungen?


Wie gut die Taktik des Social Hackings funktioniert, zeigen auch die zuletzt öffentlich gewordenen Fälle von Krankenhäusern, Stadtverwaltungen und wissenschaftlichen Einrichtungen – allesamt Institutionen mit an sich schon gehobenen IT-Sicherheitsstandards. Auf internationaler Ebene wurden Fälle von Banken bekannt, deren IT-Budgets in Millionenhöhe letztlich nicht vor einem Ransomware-Befall schützen konnten. Denn die Cyber-Kriminellen arbeiten mit modernen Software-Techniken wie Obfuskierung, um den eingebetteten Schadcode geschickt an Virenscannern vorbei zu schleusen.

Auch wenn die Hersteller von Sicherheits-Software momentan mit Decryptor-Modulen und speziellen Anti-Ransomware-Technologien nachlegen, bieten diese Lösungen noch keinen umfassenden Schutz. Dies gibt den Erpressertrojanern die Gelegenheit sich mit nahezu exponentieller Geschwindigkeit zu verbreiten: So lag die Infektionsrate des Krypto-Trojaners Locky, der vor allem im Februar dieses Jahres sein Unwesen trieb, zeitweise bei mehreren tausend Rechnern pro Stunde. Der so entstandene Schaden für deutsche Unternehmen lässt sich in seinem Gesamtausmaß kaum beziffern. Betroffene Firmen und Krankenhäuser berichten jedoch von IT-Schäden durch Ransomware, die sich bis in den hohen sechsstelligen Bereich bewegen.

Trennung von Datensicherung und Produktivsystemen


Sind Unternehmensdaten erst einmal in die Hand der Erpresser-Software gelangt, ist zahlen meist die einzige Chance auf Wiederherstellung – doch davor raten Sicherheitsbehörden im Allgemeinen ab, da man als zahlungswilliges Unternehmen erst recht in den Fokus von Cyber-Kriminellen gerät. Als letzter Rettungsanker bleibt dann nur noch das Einspielen einer funktionierenden Datensicherung. Wie wichtig eine angemessene Backup-Strategie zur Schadensvermeidung ist, bestätigt auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) in seinem aktuellen Leitfaden für Unternehmen „Ransomware – Bedrohungslage, Prävention & Reaktion“. Darin heißt es u.a., ein Backup sei die wichtigste Schutzmaßnahme, mit der sich bei einem Ransomware-Vorfall die Verfügbarkeit der Daten gewährleisten lässt.

Da sich die Krypto-Trojaner über die Schreibrechte von Benutzern auch auf Datei­server oder NAS-Systeme verbreiten, empfiehlt das BSI die Datensicherung getrennt von Produktivsystemen an einem geschützten Ort aufzubewahren. Hybride Datensicherungskonzepte unterstützen diesen Ansatz. Hierbei wird die lokale Datensicherung durch ein zusätzliches Cloud-Backup ergänzt. Wichtige Firmendaten liegen also niemals nur an einem Ort, sondern werden zusätzlich in der Cloud gespiegelt. Dort werden sie in einem Rechenzentrum vorgehalten und sind damit sicher vor dem Zugriff von Ransomware, aber auch vor weiteren Bedrohungen wie Feuer, Diebstahl oder Vandalismus.

Zusätzliche Sicherheitsebene


Ein Vorteil von Backup-Lösungen wie Carbonite Server Backup ist, dass sie mit proprietären Archivformaten arbeiten. Diese sind bisherigen Krypto-Trojaner-Varianten nicht bekannt und fallen damit, Stand heute, der Verschlüsselungsattacke nicht zum Opfer. Sollte es dennoch zu einem Befall kommen, muss zunächst der genaue Zeitpunkt der Attacke festgestellt und die betroffenen Systeme identifiziert werden. Dank detaillierter Backup-Pläne und inkrementeller Datensicherung können anschließend befallene Dateien mit den unversehrten Versionen aus dem Cloud-Backup einer früheren Datensicherung ersetzt werden.

Wie lang die Wiederherstellung dauert, hängt von mehreren Faktoren ab: Kurze Backup-Inkremente, z.B. eines firmenweiten Arbeitsordners für die zentrale Bearbeitung von Office-Dokumenten, können leicht im 15-Minuten-Takt in die Cloud gesichert werden. Da das Datenaufkommen hierbei recht überschaubar ist, bleibt so selbst bei einem Befall die Arbeitsleistung der Mitarbeiter erhalten. Stimmt die Bandbreite der Internetanbindung, lassen sich turnusmäßig auch die Systemfestplatten von Mail- oder Datei-Servern in der Cloud speichern. Das erleichtert im Desaster-Fall eine schnelle Wiederherstellung und minimiert die IT-Ausfallzeiten bei einem Befall. Wichtige Kerndaten wie Kundenlisten, Konstruktionsdateien oder steuerrelevante Unterlagen sollten ohnehin vor dem Zugriff von Krypto-Malware geschützt, langfristig in der Cloud archiviert werden. Manche Anbieter wie Carbonite bieten hierzu sichere Übertragungswege in ein deutsches Rechenzentrum sowie zusätzliche Verschlüsselungsoptionen nach dem Private-Key-Verfahren an. 

Bildquelle: Thinkstock / Ingram

©2019Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok