München, Starnberg, 24. Juli 2020 - Remote-Working hat die Anfälligkeit erhöht; das National Institute of Standards and Technology (NIST) und Veritas mit Hinweisen...

Zum Hintergrund: Interpol warnt**, dass Cyberkriminelle die Corona-Krise ausnutzen und die Daten von Firmen gezielt mit Ransomware angreifen. Unternehmen sind derzeit noch anfälliger, da sie unter hohem Zeitdruck Remote-Working-Szenarien erweitert oder neu aufgesetzt haben. Cyberkriminelle nehmen somit gezielt Firmendaten ins Visier, da sie dort höheres Lösegeld erpressen können. Die Forderungen liegen oft bei mehreren Millionen Euro, hinzu kommen mögliche Folgekosten, da infizierte Geräte gesäubert und ausgetauscht werden müssen. Im Schnitt vergehen demnach 16 Tage, bis das betroffene Unternehmen wieder vollständig am Netz ist. Auch der Ruf der Firma nimmt dabei erheblichen Schaden und verschreckt Kunden. ** https://www.interpol.int/Crimes/Cybercrime

Raffinierte Ransomware trifft auf komplexe Datenverwaltung

Die jüngsten Ransomware-Attacken belegen, wie die Angreifer ihre Methoden und Werkzeuge verfeinerten und bei der Wahl ihrer Opfer selektiver vorgingen. Vor allem Gesundheitseinrichtungen, Behörden und Unternehmen, die mit sensiblen Informationen hantieren, waren und sind begehrte Ziele. Das National Institute of Standards and Technology NIST und Veritas geben Tipps, wie sich Unternehmen vor Lösegeld-Angriffen schützen können.

1. Daten identifizieren und klassifizieren:

• Firmen sollten die Architektur ihrer IT-Infrastruktur ‑ ob On-Premise, Cloud oder Multi-Cloud – und alle dortigen Datenquellen und ihre Beziehung untereinander genau kennen. Und sie brauchen eine detaillierte Übersicht über ihre Daten: Wo sind sie gespeichert? Wie wird auf sie zugegriffen, und wie lange werden sie vorgehalten? Anhand solcher Informationen lassen sich potenzielle Schwachstellen und damit Angriffsziele schnell aufspüren. Um diese Übersicht zu erreichen, empfiehlt sich eine hardwareunabhängige Plattform für zentralisiertes Datenmanagement. Diese sollte für den Einsatz in hybriden Umgebungen geeignet sein und möglichst viele Datenquellen und Technologien zum Schutz der Infrastruktur, zur Erkennung von Angriffen und zur Datenwiederherstellung einbinden. Wichtig für die Risikobewertung sind zudem Klassifizierungsfunktionen, die einen Überblick über die Daten liefern und ihre effektive Verwaltung auch unter Sicherheitsaspekten abwickeln.

2. Regelmäßig Backups anlegen:

• Nur wer in der Lage ist, seine kompromittierten Daten zuverlässig wiederherzustellen, wird trotz erfolgreichem Ransomware-Angriffs Lösegeldforderungen abwehren können. Voraussetzung ist, dass Unternehmen ihre kritischen Daten auf einer hoch skalierbaren Backup-Plattform sichern, die zudem automatisierte Recovery-Mechanismen bereithält. Damit ist ausgeschlossen, dass der Geschäftsbetrieb durch die Attacke vollständig lahmgelegt wird. Unternehmen sind nach Ansicht von Veritas jedenfalls gut beraten, sich an die 3-2-1-Regel zu halten. Sie besagt, dass jede Organisation drei Kopien ihrer Daten haben sollte. Zwei davon auf verschiedenen Speichermedien und eine Offline-Kopie. Mit einer Offsite-Datensicherungslösung haben Unternehmen die Möglichkeit, ihre Daten einfach wiederherzustellen.

3. Angriffe erkennen und richtig darauf reagieren:

• IT-Sicherheitslösungen können Angriffe von außen identifizieren und sind daher unverzichtbar. Um schnell reagieren zu können, sollten IT-Verantwortliche auf typische Anzeichen einer Attacke achten – etwa einer plötzlich sinkenden Netzwerkleistung oder ein erhöhtes Spam-Aufkommen. Ein plötzlicher Anstieg der Datenmenge ist typisch für einen gerade erfolgten Ransomware-Angriff, da die verschlüsselten Dateien viel Platz benötigen. Wer solche Signale erkennt, kann sofort Gegenmaßnahmen ergreifen – etwa eine Zugriffssperre, das automatische Failover für kritische Dienste sowie Disaster-Recovery-Maßnahmen.

4. Identifikation beschädigter Daten:

• Durch die Replizierung von Backups und ihrer Aufbewahrung in einer Offline-Umgebung ist sichergestellt, dass wieder frei zugängliche Dateien im System wiederhergestellt werden, nachdem die Attacke erkannt und abgewehrt wurde. Das Ausmaß eines Angriffes zu erkennen, ist von größter Bedeutung – sowohl für die Wiederherstellung der Daten als auch für künftige Audits.

5. Regelmäßige Mitarbeiterschulungen:

• Mit technischen Lösungen lässt sich der Status von Servern zwar effizient wiederherstellen. Doch ein Sicherheitsrisiko bleibt: das Verhalten der eigenen Mitarbeiter. Allein der Fehler einer einzigen Person reicht aus, um das gesamte System zu gefährden. Aus diesem Grund sollten Unternehmen ihre Mitarbeiter für das Thema IT-Sicherheit sensibilisieren und regelmäßig Schulungen organisieren, um sie im Umgang mit bewährten Methoden vertraut zu machen.

Abb. 1: Wichtige Grundregeln für zuverlässige Backups: Einfache Maßnahmen, um Backup-Images vor Ransomware zu schützen (Bildquelle: Veritas)

Firmen müssen einen detaillierten Überblick über ihre Daten gewinnen, unabhängig davon, wo sie abgespeichert sind. Denn nur eine solche Landkarte der Daten zeigt, dass alle wichtigen Daten bekannt, in einer Sicherheitsstrategie erfasst und daher auch per Backup gesichert sind. Ein funktionierendes Backup ist dabei das stärkste Mittel gegen jeden Ransomware-Erpressungsversuch. Firmen sollten daher nicht nur Anti-Malware-Lösungen als erste, sondern Backup als letzte Verteidigungslinie einsetzen. Denn selbst wenn alle technischen Abwehrmaßnahmen scheitern, den Schadcode auf seinem Weg zu den Firmendaten aufzuhalten, so lassen sich die gekaperten Daten aus den Backups wiederherstellen. Das betroffene Unternehmen kann weiterarbeiten und sich darauf konzentrieren, den Eintrittsweg der Ransomware zu finden und zu sperren.

Querverweise mit weiteren Beiträgen zum Themenfeld:

• Unser Beitrag > Public Clouds und Datensicherung: Was Bildungseinrichtungen beachten sollten
• Unser Beitrag > Speicherstrategien zur Unterstützung von Backup- und Wiederherstellungsanforderungen
• Unser Beitrag > Commvault B/R-Lösung zur sicheren und schnellen Wiederherstellung nach IT-Katastrophen
• Unser Beitrag > Veraltete Backup-Infrastrukturen mit Hilfe der Cohesity DataPlatform modernisieren
• Unser Beitrag > Rubrik Immutable-Architektur zur schnellen Wiederherstellung nach Ransomware-Angriffen
• Unser Beitrag > IT-Sicherheitsentscheider derzeit uneins über mögliche Bedrohung durch Quantencomputing