Sicherungen von Firmendaten sind aktuell ein Hauptziel von Cyberkriminellen. Drei Experteneinschätzungen der Gefahrenlage zum World Backup Day am 31. März.
Foto: Bitdefender
Jörg von der Heydt, Regional Director DACH bei Bitdefender: „Cyberkriminelle nehmen verstärkt mit koordinierten und fokussierten Manövern Backups ins Visier.“
"Backups sind lästig – daran ändert auch der World Backup Day nichts. Dennoch sollte dieser weltweite Reminder IT-Entscheidern nicht nur die Notwendigkeit von Datensicherung, sondern auch die tatsächlichen Gefahren für ihre Datensicherung bewusst machen: Backups, die auf Datenverlust durch technische Störungen, logische und Hardware-Ausfälle, eine unterbrochene Stromversorgung oder Naturkatastrophen ausgerichtet sind, greifen mittlerweile zu kurz. Orchestrierte Malware-Attacken, die aktiv nach den Sicherungen fahnden, um sie dann zu verschlüsseln, sind die aktuell relevanten und folgenschweren Gefahren. Ransomware-Akteure wissen, dass Unternehmen nach der Ausführung eines Angriffs nicht mehr über eine Rückversicherung durch den Zugriff auf ihre Backups verfügen und damit höchstwahrscheinlich schneller ein hohes Lösegeld zahlen werden.
Cyberkriminelle nehmen daher verstärkt mit sehr koordinierten und fokussierten Manövern auch die Backups von Organisationen ins Visier: Einen Hinweis liefert die Attacke auf zwei Mitglieder einer Unternehmensgruppe durch die Ransomware-Bande CACTUS, welche auch gleich die Zugänge eines für Sicherung und Recovery zentralen Backup-Servers kompromittierte.
Dieser Beleg für die Tatsache, dass Backups immer häufiger selbst zur Angriffsfläche werden, zeigt, dass diese Sicherungen einen expliziten Schutz und ein neues Maß an Isolation – bei gleichzeitig hinreichender Verfügbarkeit im Wiederherstellungsfall - benötigen. Erst eine Air-Gap-Isolation, eine hinreichende Betriebssicherheit und Cyber-Resilienz schützen Backups gegen die Angreifer von außen. Dabei dürfen die IT-Sicherheitsverantwortlichen aber niemals vergessen, dass die Verschlüsselung des Backups immer nur einer von vielen Schachzügen der Angreifer ist. Eine mehrstufige Cybersicherheit ist unverzichtbar. Sie hilft einerseits, Attacken auf das Backup bereits bei ersten möglichen Anzeichen präventiv abzuwehren, sowie andererseits die weiteren Pläne der Eindringlinge zu unterbinden.
Und abschließend gefragt: Wann haben Sie zuletzt die Funktionsfähigkeit Ihres Backups getestet?“
Foto: Commvault
Nicolas Veltzé, Regional Sales Senior Director and General Manager Austria, Switzerland bei Commvault: „Malware-freie Backups ergeben nur dann Sinn, wenn man auch eine saubere Umgebung für die Recovery hat."
„Wenn Unternehmen heutzutage versuchen, sich von einem Cyberangriff zu erholen, erweisen sich die traditionellen Ansätze zum Schutz von Daten mittlerweile als unzureichend. Denn während Cyberkriminelle immer raffinierter vorgehen, infiltrieren und beschädigen sie nicht mehr nur Produktionsdaten und -systeme, sondern infizieren auch Backups mit Malware. Bei der Recovery geraten Unternehmen dadurch in einen Teufelskreis, in dem der Virus und oft auch der ursprüngliche Zugriff des Angreifers wiederhergestellt werden. Das macht eine saubere Wiederherstellung bisweilen sogar fast unmöglich.
Backups sind nach wie vor entscheidend für Unternehmen, um nach einem Angriff schnell zu einem minimal funktionsfähigen Betrieb zurückzukehren und die Kontinuität der Geschäftsprozesse aufrechtzuerhalten. Da Backups mittlerweile jedoch ein Hauptangriffsziel für Cyberkriminelle sind, sollte das Hauptaugenmerk auf sauberen Backups und einer rückstandslosen Wiederherstellung liegen. Hierfür sind Frühwarnsysteme und ein Erkennen von Anomalien unerlässlich. Nur so können Datensicherheit und Datensicherung Cyberkriminellen einen Schritt voraus sein und verhindern, dass Angreifer Backups infiltrieren können. Gerade bei unternehmenskritischen Datensätzen sollte jede ungewöhnliche Aktivität – wie das Verschlüsseln einer Datei – bemerkt, analysiert und, falls es sich um Malware handelt, gestoppt werden können, bevor sie die Chance hat, sich in der IT weiter zu verbreiten.
Malware-freie Backups ergeben jedoch nur dann Sinn, wenn man auch eine saubere Umgebung für die Recovery hat. Zudem benötigt ein Unternehmen einen ausgearbeiteten und getesteten Wiederherstellungsplan. In der Vergangenheit war aber das ordnungsgemäße Testen und Wiederherstellen in einer sauberen Umgebung – einem sogenannten Cleanroom – sehr teuer und komplex. Dank der Ressourcen von Cloud und KI ist dies jedoch heutzutage kostengünstig und skalierbar möglich. Mit der Cloud können virtuelle Umgebungen geschaffen werden, die garantiert frei von Malware sind, so dass sich saubere Backups und Datensätze sicher wiederherstellen und testen lassen. Solche Umgebungen können hoch- und runtergefahren werden, um regelmäßige Tests zu ermöglichen und zugleich die Kosten niedrig zu halten. In kritischen Situationen ist eine schnelle, reibungslose und zuverlässige Recovery gewährleistet. Unterm Strich steht als Ergebnis die Cyber-Resilienz: die Fähigkeit, Angriffe abzuwehren und den Betrieb auch im Notfall aufrechtzuerhalten.“
Foto: Semperis
Guido Grillenmeier, Principal Technologist bei Semperis: „Active Directory-Backups stärken die Cyber-Resilienz.“
„Die anhaltende Bedrohung durch Ransomware macht die Bedeutung von Cyber-Resilienz deutlich. Um selbst nach einem erlittenen Angriff schnell den Normalbetrieb wieder aufnehmen zu können, benötigen Unternehmen robuste Wiederherstellungsprozesse mit zuverlässigen Backups. Eine entscheidende Rolle spielt in diesem Zusammenhang Active Directory (AD), der zentrale Verzeichnisdienst von Microsoft, mit dem alle Netzwerkressourcen und die damit verbundenen Rechte und Rollen verwaltet werden. AD-Backups können die Wiederherstellung und damit eine schnelle Rückkehr zum Normalbetrieb nach einem Ransomware-Angriff beschleunigen, erfordern jedoch spezifische Maßnahmen.
Denn gewöhnliche Sicherungsverfahren, wie beispielsweise Snapshots der AD-Domaincontroller (DCs) greifen zu kurz. Wenn sich zum Zeitpunkt der Snapshots Malware auf den DCs befand, besteht die Gefahr, erneut ein beschädigtes System aufzusetzen. Dazu können Snapshots nur für einzelne Systeme und nicht für die Wiederherstellung einer kompletten AD Gesamtstruktur, dem Forest, genutzt werden. Wenn sie nach einem Ransomware-Angriff überhaupt zur Verfügung stehen – denn das Löschen aller verfügbaren Snapshots ist ein Standardverfahren der Angreifer, um die Wiederherstellung von Systemen zu erschweren.
Ähnlich suboptimal ist die AD-Wiederherstellung durch Bare Metal Recovery, da auch diese Methode das Risiko der Wiedereinführung der Malware aus den Backups in sich birgt und zusätzlich wenig Flexibilität für die Zielsysteme bei der Wiederherstellung erlaubt – es muss die gleiche Hardware sein, welche für das Backup genutzt wurde. Außerdem folgt mit der anschließenden Wiederherstellung der Forest-Struktur ein weiterer Arbeitsschritt, der große Sorgfalt verlangt und viel Zeit in Anspruch nimmt.
Um ihre Wiederherstellungszeit signifikant zu verkürzen, benötigen Unternehmen eine gesonderte Backup-Strategie für Active Directory. Dazu gehören beispielsweise spezifische Lösungen, die AD-Backups in separaten, von der Betriebsumgebung getrennten Containern erstellen, vollautomatisiert die Rekonstruktion der gesamten Forest-Struktur ermöglichen und sicherstellen, dass Malware nach einem Angriff nicht erneut ins System eingeführt wird. Auf diese Weise stärken Unternehmen ihre organisatorische und betriebliche Resilienz, da sie nach Cyberkatastrophen wie einem Ransomware-Angriff deutlich schneller ihren Geschäftsbetrieb wieder aufnehmen können.“
Foto im Teaser: stock.adobe.com/DEEP
