Blogpost: Die Datensicherung alleine kann weder monetäre Verluste durch Ausfallzeiten noch Reputationsverluste von Firmen ungeschehen machen, aber sie bildet eine der zentralen Säulen und Schutzmaßnahme gegen Cyberangriffe. Allerdings können Backups gegen Ransomware nur begrenzt erfolgreich sein, und dies aus mehreren Gründen…
1. Latenz zwischen Infektion und Aktivierung
- Oftmals bleibt Ransomware länger unbemerkt im Netzwerk und infiziert schrittweise Dateien, bevor sie aktiv wird. Dadurch können auch ältere Backups bereits kompromittierte Daten enthalten, was die Wiederherstellung erschwert.
2. Gezielte Verschlüsselung oder Löschen von Backupdaten
-
Ransomware greift gezielt Backups an. Angreifer versuchen damit, Backup-Systeme zu kompromittieren, indem sie Netzwerklaufwerke oder direkt angebundene Backup-Speicher verschlüsseln, Cloud-Backups durch gestohlene Zugangsdaten löschen-/überschreiben sowie die
Versionierung in Cloud-Speichern deaktivieren, um den Restore zu verhindern.
3. Datenexfiltration und Doppelerpressung
- Angriffe kombinieren Verschlüsselung mit Datendiebstahl. Selbst wenn ein Unternehmen seine Systeme aus Backups wiederherstellen kann, drohen Angreifer damit, sensible Daten zu veröffentlichen, um dennoch Lösegeld zu erpressen.
4. Langsame Wiederherstellung und Betriebsunterbrechungen
- Abhängig von der Datenmenge und Infrastruktur kann eine Wiederherstellung oft Tage oder Wochen dauern. Unternehmen erleiden währenddessen finanzielle und operationale Schäden, was ebenfalls ein Ziel dieser Angriffe sein kann.
5. Fehlende Backup-Strategie oder Tests
- Backups sind nur so gut wie ihre Umsetzung. Gerade kleinere und auch mittlere Organisationen testen ihre Backup- und Wiederherstellungsprozesse nicht immer regelmäßig oder verwenden keine immutable (unveränderlichen) und air-gapped (physisch getrennten) Backups, die gegen Manipulation geschützt sind.
Best Practice-Strategien zur Verbesserung der Backup-Sicherheit gegen Ransomware
- Immutable und Air-gapped Backup nutzen (WORM-Storage, Offline-Backups)
- Mehrstufige Backup-Strategie > 3-2-1-1-(0) Regel
- Zero-Trust-Prinzipien anwenden, um unautorisierten Zugriff auf Backups zu verhindern
- Regelmäßige Backup-Tests und Disaster-Recovery-Pläne durchführen
- Erweiterte KI-gestützte Bedrohungserkennung für verdächtige Aktivitäten im Backup-System einsetzen.
Datenschutz (Bildquelle: pixabay).
Cyber-Resilienz geht über klassische Backup-Strategien hinaus
Sie umfasst einen pro-aktiven und ganzheitlichen Ansatz zur Widerstandsfähigkeit gegen Angriffe, insbesondere bei Ransomware. Unternehmen sollten hier mehrere Schutzmaßnahmen kombinieren, um Angriffe zu verhindern bzw. Penetrationen frühzeitig zu erkennen und auch Systeme schnell wiederherstellen zu können.
1. Prävention: Angriffe verhindern
- Zero-Trust-Sicherheitsmodell für Netzwerke, Identitäten und Zugriffe
- Multi-Faktor-Authentifizierung (MFA) für alle kritischen Systeme, insbesondere für Admin-Zugänge.
- Least Privilege-Prinzip über Minimierung von Berechtigungen auf das unbedingt Notwendige, um laterale Bewegungen von Angreifern zu verhindern.
- Patch-Management: Regelmäßige Updates von Betriebssystemen, Anwendungen und Firmware zur Schließung von Sicherheitslücken.
- E-Mail- und Web-Sicherheit: Phishing-Filter, sichere Web-Gateways und Sensibilisierung der Mitarbeiter für Social-Engineering-Angriffe.
2. Früherkennung: Angriffe rechtzeitig erkennen
-
Endpoint Detection & Response (EDR) / Extended Detection & Response (XDR): Erfassung und Analyse verdächtiger Aktivitäten auf Endpunkten.
Security Information and Event Management (SIEM): Zentrale Überwachung von Log-Daten zur frühzeitigen Identifikation von Angriffen. - Anomalie-Erkennung: KI-gestützte Systeme, die ungewöhnliche Muster im Datenverkehr oder untypische Dateiaktivitäten erkennen können.
- Deception-Technologie: sog. Honeypots und andere Täuschungstechniken, um Angreifer in kontrollierte Umgebungen zu lenken und deren Verhalten zu analysieren.
3. Schadensbegrenzung: Auswirkungen minimieren
- Segmentierung des Netzwerks: Begrenzung der Ausbreitung von Malware durch Trennung von IT- und OT-Netzen sowie internen Bereichen
- Sicherer Zugriff auf kritische Systeme: Verwendung von Remote-Desktop-Gateways und isolierten Verwaltungsnetzen.
- Immutable und Air-Gapped-Backups: Backups, die weder verändert noch gelöscht werden können und offline gespeichert sind.
- Disaster Recovery & Incident Response Pläne: Klare Protokolle für den Notfall, regelmäßige Simulationen und Krisenkommunikation.
4. Wiederherstellung: Schnelle Rückkehr zum Normalbetrieb
- Orchestrierte Wiederherstellungsprozesse: Automatisierte und priorisierte Wiederherstellung kritischer Systeme.
- Cyber-Versicherung: optionaler Schutz gegen finanzielle Schäden durch Cyberangriffe.
- Regelmäßige Tests der Backup- und Notfallpläne: Sicherstellen, dass Wiederherstellungen schnell und effektiv durchgeführt werden können.
Wie kann sich der Einsatz von KI-Technologien für Backup-Recovery und Datenschutz lohnen?
1. Anomalieerkennung durch KI
- Zweck: Frühzeitige Erkennung ungewöhnlicher Aktivitäten wie Ransomware-Angriffe, Datenmanipulation oder unbefugte Zugriffe.
- Technologie: Machine Learning-Modelle, die „normales“ Nutzer- und Systemverhalten lernen und bei Abweichungen Alarm schlagen.
- Anwendung: Überwachung von Backup-Datenströmen, File-Access-Mustern, Storagesystemen und weiterer Speicheraktivitäten.
2. Beispiele zum Einsatz von KI bei Backup-/Datenschutz Anbieter-Tools:
- Machine Learning zur Erkennung von Anomalien in Backup-Daten.
- Integrierte Anomalieerkennung auf File-Ebene.
3. Technische Umsetzung über:
- Algorithmen: Unsupervised Learning (kein Labeling erforderlich):
- Isolation Forest: Identifikation von Ausreißern in hochdimensionalen Daten z. B. ungewöhnliche Dateiänderungen.
- Autoencoder (Neural Networks): Komprimieren Input-Daten und lernen „normale“ Muster, Anomalien verursachen hohe Rekonstruktionsfehler.
- Time Series Models: LSTM (Long Short-Term Memory): Für sequenzielle Backup-Logs, erkennt zeitbasierte Anomalien in Zugriffsmustern.
- Input-Daten: Backup-Metadaten, Änderungsraten, Zugriffszahlen, Dateigrößen, File-Hashes etc.
4. KI-gestützte Ransomware-Erkennung und -Reaktion
- Aufgabe: Schutz von Backup-Daten vor Verschlüsselung durch Ransomware.
- Technologie: KI-Modelle analysieren Datenzugriffe und Dateiänderungen in Echtzeit.
- Anwendung: Automatisches Sperren betroffener Systeme, Isolieren von infizierten Daten, sofortige Wiederherstellung sicherer Versionen.
5. KI-gestützte Ransomware Detection-Tools:
- Ransomware Detection über verhaltensbasierte Erkennung.
- Deep Learning Modelle zur Erkennung von Ransomware-Indikatoren.
6. Technische Umsetzung mit Algorithmen:
- Supervised Learning: Random Forests / Gradient Boosted Trees (z. B. XGBoost): Klassifikation von Dateien oder Zugriffen als „malicious“ oder „clean“.
- Deep Learning: CNNs für Dateistruktur-Analyse (z. B. zur Erkennung manipulierten Inhalts).
- Graph Neural Networks (GNNs): Für Beziehungsanalysen zwischen Benutzern, Dateien und Systemen.
- Feature Engineering: Änderungsraten pro Datei, Entropie-Analyse (Verschlüsselungsmuster), untypische Dateinamensänderungen, Prozesskettenanalyse.
Fazit
Resilienter Cyber-Schutz kombiniert technische Maßnahmen, organisatorische Prozesse und eine starke, fest im Unternehmen verankerte Sicherheitskultur (people / mindset...). Unternehmen sollten neben Backup-Restore sich darauf fokussieren, Angriffe durch Zero-Trust, Erkennungssysteme, Netzwerksegmentierung und robuste Notfallpläne möglichst pro-aktiv zu verhindern und beherrschbarer zu machen. Der Fokus liegt primär auf Resilienz und den Möglichkeiten, Angriffe möglichst frühzeitig eindämmen zu können.
Querverweis:
Unser Beitrag > Maßnahmen gegen Ransomware: Vier Säulen zur Abwehr erpresserischer Attacken
Unser Beitrag > Schutz von kritischen Backupdaten mit Falcon Next-Gen SIEM von CrowdStrike
Unser Beitrag > Kubernetes-native Backup: Veeam Kasten for Kubernetes v7.5 Ankündigung