Backup-Recovery & Resilienz: Wie sich die Widerstandsfähigkeit von IT-Systemen stärken lässt

München, Starnberg, 20. Mai 2020 - Weshalb Backup- und Instant Recovery bei Cyberangriffen eine wichtige Rolle zukommt; Rubrik Multi-Cloud Data Control verspricht Abhilfe...

Zum Hintergrund: Angesichts der wachsenden Raffinesse von Ransomware-Angriffen ist die Bedeutung der Resilienz, also der Widerstandsfähigkeit von IT-Systemen höher denn je. Backups sind oft die letzte Option, um sich Lösegeldforderungen zu entziehen. Dies gilt jedoch nur, insofern eine zuverlässige Wiederherstellungsstrategie nach einem Angriff umsetzbar ist. Tatsächlich zielt neuere Ransomware bereits auf Backup-Dateien ab. Die Angreifer spekulieren darauf, dass Unternehmen das Lösegeld zahlen, wenn ihr Backup als letzter Rettungsanker ebenfalls kompromittiert wurde. Aktuell bedroht die Maze-Ransomware zahlreiche Unternehmen, eine besonders aggressive und skrupellose Ransomware-Variante, so das Ergebnis einer Analyse der Sophos Labs. Im folgenden Beitrag hat Roland Rosenau, SE Manager EMEA Central and West bei Rubrik (1) für uns zusammengefasst, wie eine intelligente Backup-Restore-Strategie aus seiner Sicht beschaffen sein sollte.


"Backups sind oft die letzte Option, um sich den Lösegeldforderungen der Cyberkriminellen entgegenzustellen. Dies gilt jedoch nur, insofern eine zuverlässige Wiederherstellungsstrategie nach einem Angriff umsetzbar ist . Ist das Backup nicht betroffen, heißt das aber auch nicht, dass die Sache erledigt ist. Um den Geschäftsbetrieb bald wieder aufnehmen zu können, kommt es auf eine schnelle Wiederherstellung an. Mittels herkömmlicher Methoden kann die Wiederherstellung jedoch langwierig und zudem fehleranfällig sein. Einschließlich der Identifizierung betroffener Speicherziele und Daten, dem Auffinden der letzten intakten Backups kann sich die Sache empfindlich in die Länge ziehen.

Unveränderliche Backups und schnelle Wiederherstellung

Wie können Unternehmen dafür sorgen, dass ihre Backups nicht durch Ransomware kompromittiert werden? Es gilt sicherzustellen, dass alle Daten und Anwendungen in einem unveränderlichen Format gespeichert werden. In Kombination mit einer sofortigen Wiederherstellung, auch bezeichnet als Instant Recovery, ist eine ebenso zuverlässige wie schnelle Wiederaufnahme des Produktivbetriebs möglich.

Multi-Cloud Data Control ist ein vielversprechender Ansatz für eine zeitgemäße Datenmanagementplattform, die genau diesen Anforderungen gerecht wird. Eine Lösung dieser Art basiert auf einem unveränderbaren Dateisystem zusammen mit einem Zero-Trust-Cluster-Design, in dem Operationen nur über authentifizierte APIs durchgeführt werden können. Die von einer entsprechenden Plattform verwalteten Daten sind niemals in einem Lese-/Schreibformat verfügbar, so dass sie auch nicht von einem böswilligen Akteur gelesen, geändert oder gelöscht werden können. Ebenso kann Ransomware niemals auf die Backups zugreifen und diese verschlüsseln.

Das größte Problem für die meisten Ransomware-Opfer ist die Wiederherstellung. Eine moderne Multi-Cloud-fähige Datenplattform rationalisiert den Prozess der Identifizierung und Wiederherstellung auf die aktuellste saubere Version der Daten. Mit einer Live-Mount-Funktionalität lassen sich sofortige Wiederherstellungen auf Dateiebene durchführen, ohne dass eine zu steigern, können Benutzer im Idealfall mit RESTful-APIs auch Automatisierungsframeworks wie ServiceNow Incident Response nutzen.

Eine Live-Mount-Funktion liefert RTOs von nahezu null, um den Datenzugriff auf die letzte saubere Version zu beschleunigen. Benutzer können Dateien, Objekte und Tabellen in verschiedenen Speicherzielen, also sowohl VMs als auch aus physischen SQL Server- und Oracle-Datenbanken, durchsuchen und wiederherstellen. Ein modernes Cloud-Scale-Dateisystem verfügt dabei über integrierte Zero-Byte-Klonierungsfunktionen, die den Speicherverbrauch minimieren und gleichzeitig die Erstellung einer beliebigen Anzahl von Mounts ermöglichen.

Granulare Sichtbarkeit zur Reduzierung von Datenverlusten

Um den Datenverlust durch einen Ransomware-Angriff zu minimieren, müssen IT-Teams in der Lage sein, die betroffenen Anwendungen und Dateien schnell zu identifizieren. Die Identifizierung von kompromittierten Anwendungen und Dateien ist auf herkömmliche Weise meist ein sehr zeitaufwändiger manueller Prozess. Zeitgemäßer ist der Einsatz einer SaaS-App, die bei Erkennung eines Angriffs eine aktuellen Snapshot mit dem Snapshot unmittelbar vor dem Angriff vergleicht. So wird sichtbar, was hinzugefügt, gelöscht, geändert oder verschlüsselt wurde. In der auf einer Managementkonsole dargestellten Analyse ist für die Benutzer genau ersichtlich, wie groß der Schaden ist, was sie wiederherstellen müssen und wo sich verschlüsselte Dateien befinden.

Durch die Analyse der Metadaten mittels maschinellem Lernen können Benutzer bei ungewöhnlichen Aktivitäten in Echtzeit alarmiert werden. Der gesamte Umfang des Angriffs lässt sich visualisieren. Benutzer können die gesamte Ordnerhierarchie durchsuchen und jeden Ordner mit der Anzahl der hinzugefügten, gelöschten oder geänderten Dateien markieren. Dies ermöglicht eine präzisere schnellere Wiederherstellung auf Dateiebene, anstatt auf Verdacht in großem Stil vorzugehen, wodurch intakte Daten verlorengehen können.

Resilienz gegenüber Cyberangriffen wie Ransomware erfordert einen ganzheitlichen, mehrschichtigen Schutz. Eine moderne Multi-Cloud-fähige Datenplattform in Verbindung mit einer SaaS-basierten Analyse-App ermöglicht die Wiederaufnahme des Geschäftsbetriebs innerhalb von Minuten oder Stunden statt mitunter erst nach mehreren Tagen. Entscheidend ist, dass die Daten in einem unveränderlichen Format vorgehalten werden, so dass Cyberangreifer nicht die Backups unbrauchbar machen können."

(1) Das Foto zeigt Roland Rosenau, Rubrik SE Manager EMEA Central and West (Bildquelle: Rubrik)


Weitere Querverweise zum Thema: