München, Starnberg, 30. März 2021 - Nicht erst agieren, wenn es bereits zu spät ist; Backup-Daten mit Write Once, Read Many (WORM) gegen Bedrohungen absichern...
Zum Hintergrund: Wie wichtig Ransomware-Schutz wirklich ist, zeigt sich meist, wenn es bereits zu spät ist... Die schweren Sicherheitslücken im Microsoft Exchange Server haben das schmerzlich vor Augen geführt, denn allein in Deutschland wurden 11.000 Server kompromittiert; in Österreich wurde danach die IT-Sicherheitsbranche durch Angriffe komplett überlastet. Doch unabhängig davon haben über das vergangene Jahr hinweg Ransomware-Angriffe enorm zugenommen. So beschrieb beispielsweise Bitdefender in seinem „Mid-Year Threat Landscape Report 2020” einen Angriffs-Anstieg von 715 Prozent im Vergleich zu dem ersten Halbjahr 2019. Sicherheitsforscher von Check Point wiederum stellten fest, dass in Q3 2020 der Tagesdurchschnitt an Ransomware-Attacken im Vergleich zum ersten Halbjahr 2020 um 50 Prozent gestiegen ist.
Angesichts solcher Zahlen ist ziemlich sicher, dass Ransomware auch in 2021 eine der Top-Herausforderungen bleiben wird. Das Bundeskriminalamt nannte in seinem Bericht zum Bundeslagebild Cybercrime "Ransomware sogar als die größte Bedrohung für Unternehmen". Besonders durch die Zunahme von Remote-Arbeit und Remote-Schooling während der Pandemie hat sich die Anzahl der Angriffe gehäuft. Nach Ansicht von Sascha Uhl, Object Storage Technologist bei Cloudian, ist die WORM-Speichertechnologie derzeit eine der effektivsten Möglichkeiten, die Backup-Daten im Unternehmen vor Ransomware-Angriffen zu schützen. (1) Hier sein Beitrag dazu:
"Die Methoden der „Phishing“-Versuche werden immer innovativer: Neue Betrugsversuche wirken persönlicher und authentischer. Darüber hinaus sind "Do-it-yourself"-Phishing-Kits problemlos im Dark Web erhältlich, während Ransomware as-a-Service (RaaS) weiter zunimmt. Bei einer so niedrigen Einstiegshürde, die keine besonderen technischen Kenntnisse erfordert, ist es nicht verwunderlich, dass immer mehr Cyberkrimelle auf Phishing setzen. Einige dieser gängigen Ransomware-Varianten, wie z. B. Lockbit, die im Darknet vertrieben werden, bieten sogar Rückerstattungen an, wenn ihre Waren nicht wie beworben funktionieren. Es reicht ein einzelner Nutzer, der auf eine gefälschte E-Mail hereinfällt, um sich für Ransomware angreifbar zu machen. Obwohl regelmäßige Schulungen dazu beitragen können, dass Bewusstsein für die Gefahr von Phishing zu steigern, wird es schwierig sicherzustellen, dass die angebotenen Schulungen tatsächlich für jeden Benutzter ausreichend umgesetzt werden.
Das Erkennen von Bedrohungen ist wichtig, um das Eindringen von Ransomware zu verhindern. Doch die Bedrohungen und die Signaturen, die diese identifizieren, werden mit der Zeit immer raffinierter und entwickeln sich ständig weiter. Selbst für die fortschrittlichsten Sicherheitslösungen wird es immer schwieriger vollständig Schritt zu halten. Ein weiteres nützliches Werkzeug zum Schutz vor Cyberkriminalität stellen Backups dar. Doch auch Backups sind nicht vor Manipulation geschützt. Viele Ransomware-Stämme, wie z. B. der EKANS-Stamm, haben es genauso auf die Backups von Unternehmen abgesehen wie auf die Primärdaten. Selbst sicher aufbewahrte Backups können also von Kriminellen verschlüsselt und Ransom genommen werden. Demnach benötigen auch Backups das höchstmögliche Maß an Schutz.
Eine der besten Möglichkeiten, Backup-Daten vor Ransomware-Angriffen zu schützen, ist die WORM-Speichertechnologie (Write Once, Read Many). WORM-Technologie existiert bereits seit einiger Zeit und wurde ursprünglich hauptsächlich für Wechseldatenträgern wie Tape und optischen Medien eingesetzt. Sie sperrt die Daten ab Zeitpunkt der Speicherung für alle weiteren Änderungen. Über eine Richtlinie wird festgelegt, wie lange diese Daten unveränderbar sind. Innerhalb dieses Zeitraums können die Daten weder verändert noch gelöscht werden. Nach Ablauf der Aufbewahrungsfrist wird der WORM-Schutz aufgehoben, und die Daten können wie gewohnt verwaltet werden. Durch diese Unveränderbarkeits-Funktion schützt WORM die Daten vor Manipulationen. Für Ransomware ist es so unmöglich, Daten an Ort und Stelle zu ändern.
Weil sich zwischen dem externen Medienspeicher und den Computersystemen, die auf die Daten zugreifen, ein physischer Raum befindet, wird diese Technik oft als Air Gapped Storage bezeichnet.
Obwohl Air-Gapping als der ultimative Schutz für Daten angesehen wird, hat es auch viele Nachteile, wie z. B. hohe Kosten für das Betriebsmanagement, unflexibler Zugriff auf Daten und langsamere Datenabrufzeiten. In modernen 24/7 Betrieben, die Effizienz und sofortigen Datenzugriff benötigen, sind Wechselmedien deshalb zunehmend unpraktikabel.
Anfängliche Implementierungen von WORM waren nur entweder auf der Ebene des gesamten Speichersystems oder über ein ganzes Dateisystem konfigurierbar. Doch heute gibt es Möglichkeiten, dies zu umgehen. Die S3 Object Lock API bietet eine sehr elegante Implementierung von WORM, die granulare WORM-Richtlinien ermöglicht, die auf individueller Objektebene angewendet werden.
Dadurch entfällt die Notwendigkeit, ein ganzes Speichersystem einzig der Bedienung der erforderlichen WORM-Anwendungsfälle zu widmen. Stattdessen setzt Object Lock bei der Client-Server-Kommunikation zwischen der Anwendung, die die Daten verwaltet, und dem Speichersystem an. Die Anwendung konfiguriert die Daten mit einer Aufbewahrungsfrist, die durch definierte Datenschutzstufen bestimmt wird, und aktualisiert die Metadaten für das Objekt. Sobald das Speichersystem das Datenobjekt empfängt, liest es die Metadaten zur Object Lock Policy aus und speichert die Daten mit der angewendeten Schutzrichtlinie. Diese Daten können nicht verändert werden, bis die Aufbewahrungsfrist abgelaufen ist.
Zusätzlich muss unbedingt sichergestellt werden, dass die Daten vor internen Angriffen, wie z. B. einem Phishing-Angriff mit Administrator-Anmeldeinformationen, geschützt sind. Das Speichersystem muss einen angemessenen Schutz bieten, um zu verhindern, dass ein berechtigter Nutzer den WORM-Prozess umgeht und Daten durch eine Admin-Backdoor löscht. Systeme mit sicherer Shell, die den Zugriff von Root-Benutzern verhindern, sind der Schlüssel, um vollständige Manipulationssicherheit zu gewährleisten.
Da sich WORM perfekt für den Schutz von Backup Daten eignet, bieten heute alle großen Hersteller von Backup-Software S3 Object-Lock-Unterstützung in ihren Produkten an oder planen dies zumindest für die naher Zukunft. Einige Anbieter bieten ihren Kunden durch gezielte Partnerschaften noch weitere Vorteile. So können beispielsweise Veeam-Kunden dank der Implementierung von Cloudian Backup-Daten S3-kompatibel im eigenen Rechenzentrum schützen. Da die Sicherheitskopien lokal auf einem Festplatten-basierten Objektspeicher gespeichert werden, können im Falle eines Angriffs unverschlüsselte Dateien deutlich schneller wiederhergestellt werden als z.B. bei einem Backup in der Public Cloud. Bestimmte Objektspeicherlösungen bieten zudem eine serverseitige 256-Bit-AES-Verschlüsselung für die Datenspeicherung und SSL für die Verschlüsselung der Daten während der Übertragung.
Eine weitere Möglichkeit, um die Schwere eines Ransomware-Angriffs zu reduzieren ist die Versionierung von Daten. Bei diesem Verfahren wird bei jeder Änderung eine neue Version der Datei erstellt, die für einen bestimmten Zeitraum aufbewahrt wird. Im Falle eines Ransomware-Angriffes haben Unternehmen also jederzeit Zugriff auf eine ältere, aber unverschlüsselte Version der Datei. Im Gegensatz zu WORM bietet Versionisierung allerdings weniger Schutz, da die Malware theoretisch auch die noch unverschlüsselte Originaldatei löschen könnte. Allerdings passiert dies in Realität sehr selten.
Fazit
Cyberkriminalität entwickelt sich viel schneller weiter als das technische Verständnis und Wissen sowie die Cyber-Hygiene der einzelnen Nutzer. Für moderne Unternehmen mit tausenden Stakeholdern, die sich tagtäglich auf ihre Systeme verlassen müssen, ist es daher einfach unrealistisch, eine perfekte Einhaltung der Best Practices für Cybersicherheit zu erwarten. Folglich liegt es in der Verantwortung der Unternehmensführung die Lücken mit Technologien wie WORM/Object Lock zu schließen, die die endgültige Antwort zur Bekämpfung von Ransomware bieten".
(1) Das Foto zeigt Sascha Uhl, Object Storage Technologist bei Cloudian (Bildquelle: Cloudian)
Querverweis: