Backup-Strategie: Wie Ransomware-Angreifer vorgehen

Hacker passen ihre Strategien ständig an. Eine der effektivsten Maßnahmen, um sie zu bekämpfen ist, liegt darin, ihre Perspektive zu verstehen. Ist die Absicht der Angreifer erst einmal verstanden, lässt sich eine effektive Abwehr- und Backup-Strategie entwickeln.

2022 war bisher sicherlich das profitabelste Jahr für Hacker auf dem Gebiet Ransomware. Deren kontinuierlicher Erfolg wohl auch auf die zunehmende Verbreitung von Ransomware-as-a-Service-Plattformen zurückzuführen ist. Für Unternehmen bedeutet dies nicht nur, dass sie früher oder später selbst Opfer eines erfolgreichen Angriffs werden, sondern dass dies zukünftig regelmäßig der Fall sein wird. Entsprechend wird die Abwehr gegen Ransomware und deren Folgen für die IT-Sicherheit immer wichtiger. Um sich effektiver gegen Cyberkriminelle verteidigen zu können, ist es hilfreich zu verstehen, worauf es die Angreifer eigentlich abgesehen haben. Denn erst mit diesem Wissen ausgestattet, lässt sich eine erfolgreiche Abwehr- und Backup-Strategie entwickeln.

Backup-Strategie: Wovon Lösegeldzahlungen abhängen

Das Verschlüsseln von Daten ist für spezialisierte Hacker natürlich nur Mittel zum Zweck. Worauf sie es abgesehen haben, sind meist jedoch nicht die Daten selbst, sondern das Geld, das sie für die Entschlüsselung erpressen können. Um dieses zu bekommen, arbeiten Ransomware-Gruppen wie Unternehmen. Sie entscheiden anhand des zu erwartenden Ertrags, ob und wie sie ein Ziel angreifen. Denn je größer ein Unternehmen ist, desto höher sind die Sicherheitshürden, die das Unternehmen um sich herum aufgebaut hat. Entsprechend aufwendig, müssen die Kriminellen ihren Angriff gestalten – und auch dies kostet Zeit und Geld.

Ein anderer wichtiger Grund für Angreifer, Unternehmen zu attackieren ist die Wahrscheinlichkeit, dass diese auch bezahlen. Diese Wahrscheinlichkeit hängt nicht unbedingt mit der Wiederherstellbarkeit der Daten im Allgemeinen zusammen, denn das bekommt früher oder später jede Organisation hin. Sondern eher damit, wie schnell es möglich ist, die darauf aufbauenden Applikationen wieder zu starten.

Backup-Strategie bietet Schutz für weniger wichtige Daten

So gut wie alle Unternehmen nutzen seit Jahrzehnten Werkzeuge zur Datensicherung, die sich für die Wiederherstellung eignen. Eine Backup-Strategie nach dem 3-2-1-Prinzip, insbesondere mit Airgap, bietet so gut wie immer die Möglichkeit, verschlüsselte Daten irgendwann wiederherzustellen. Das Problem bei der Wiederherstellung sind jedoch nicht „kalte“ Daten, wenig genutzte unstrukturierte Daten oder Archivdaten. Sondern die mit „heißen“ Daten verbundenen produktiven Applikationen, die das Rückgrat eines jeden Unternehmens darstellen.

Der Anteil der mit diesen Anwendungen verbundenen Daten am Gesamtvolumen ist zwar gering, doch sind diese wichtigen Daten erst einmal verschlüsselt, stehen alle Räder still. Und Produktionsstillstand kostet unter Umständen viel Geld. IDC schätzt, dass jede Stunde Stillstand branchenübergreifend im Schnitt circa 250.000 US-Dollar kostet. Auch bei Unternehmen, die am unteren Ende des Kostenspektrums stehen, geht ein vollständiger Produktionsstillstand schnell ins Geld – und man kann per Dreisatz ausrechnen, ab wann es billiger wäre, das Lösegeld für die Daten zu bezahlen.

Kritische Daten benötigen besonderen Schutz

Um die Chance zu erhöhen, Lösegeld zu erhalten, suchen die Hacker gezielt nach Unternehmen, die es sich nicht leisten können oder wollen, ihre wichtigen Produktionsdaten und -applikationen für längere Zeit offline zu haben. Ist dies erst einmal verstanden, so kann eine Abwehrstrategie erstellen, die sich auf den Schutz der produktiven Workloads eines Unternehmens fokussiert. Denn der Großteil aller heutzutage gespeicherten Daten, sind weniger wichtige unstrukturierte Daten, die tatsächlich eher selten genutzt werden, wenn überhaupt.

Diese weniger wichtigen Daten werden mit einer Backup-Strategie auch adäquat abgesichert, weil sie nicht mit produktiven Workloads verknüpft sind und es daher nicht dringend ist, sie so alsbald wiederhergestellt zu haben. Diese Daten lassen sich über Backups einfach in den Tagen oder Wochen nach dem Vorfall wiederherstellen. Anders sieht es mit den kritischen Daten für die produktiven Workloads aus. Eine Backup-Strategie hilft hier nur bedingt, da Backups nur einzelne Server schützen aber keine kompletten Applikationen. Entsprechend kann die Wiederherstellung der Daten und das Erstellen der Applikationen mit Backups sehr lange dauern. Eine bessere Strategie zur Wiederherstellung sollte neben Backups für weniger wichtige Daten eine schnellere Möglichkeit zur Wiederherstellung produktiver Applikationen bieten. Diese Möglichkeit bieten Lösungen aufbauend auf Continuous Data Protection (CDP, kontinuierliche Datensicherung).

Mit CDP Daten und Workloads schnell wiederherstellen

CDP ist die aktuellste und derzeit beste Technologie zur Wiederherstellung von kritischen Daten und Workloads. CDP erfasst alle Datenänderungen direkt, wenn sie geschrieben werden, und setzt Wiederherstellungspunkte nach jedem Schreibvorgang. So ermöglicht es CDP, mit nur wenigen Klicks und ohne nennenswerten Datenverlust zu einem Zeitpunkt zurückzukehren, der nur wenige Sekunden vor einem Angriff oder einer Störung lag, vollkommen unabhängig von der jeweiligen Ursache.

Periodische Backups haben im Vergleich dazu sehr lange Sicherungsintervalle, die bei der Wiederherstellung zu Datenverlust führen. CDP lässt sich darüber hinaus automatisieren und orchestrieren, was die Absicherung ganzer Standorte ermöglicht. So lässt sich mit CDP sogar ein komplettes Rechenzentrum mit Tausenden aktiver Workloads und Applikationen wiederherstellen – und das mit nur wenigen Mausklicks.

Backup-Strategie: CDP nimmt Hackern den Wind aus den Segeln

Angreifer arbeiten analytisch und schädigen Unternehmen, die für sie einen hohen „Return on Investment“ (ROI) bieten. Ein verwundbares Unternehmen, das eine hohe Rendite verspricht, hat eine hohe Anzahl kritischer Daten und Workloads, die alle mit der gleichen Wichtigkeit abgesichert sind, wie unwichtige kalte Daten. Denn mit dieser Strategie allein lassen sich kritische Applikationen nicht schnell wiederherstellen. So steigt für die Erpresser die Wahrscheinlichkeit Lösegeld zu erhalten.

Entsprechend sollten Unternehmen auf proaktive Abwehrmaßnahmen setzen, die ihre kritischen Daten und Workloads so absichern, dass sich produktive Applikationen in kürzester Zeit wiederherstellen lassen. Wenn dann das fast schon Unvermeidliche eintritt, lassen sich die Auswirkungen auf ein Minimum reduzieren. Und der Geschäftsbetrieb kann bei sehr geringen Serviceunterbrechungen und minimalem Datenverlust fortgesetzt werden. Die weniger wichtigen Daten lassen sich anschließend in Ruhe über Backups wiederherstellen.

Über den Autor: Nils Engelbert ist Regional Sales Manager für die DACH-Region bei Zerto. Er hat mehr als 16 Jahre Ingenieurs- und Vertriebserfahrung aus verschiedenen Bereichen der IT. Zerto, ein Unternehmen von Hewlett Packard Enterprise, ermöglicht das Betreiben eines Always-on-Geschäfts, indem es den Schutz, die Wiederherstellung und die Mobilität von On-Premises- und Cloud-Anwendungen vereinfacht. Die Cloud-basierte Datenmanagement- und -Sicherungslösung von Zerto beseitigt die Risiken und die Komplexität der Modernisierung in privaten, öffentlichen und hybriden Implementierungen. Die Software-Plattform nutzt kontinuierliche Datensicherung, um Disaster Recovery, Ransomware-Recovery und Multi-Cloud-Mobilität miteinander zu verbinden. (sg)

Lesen Sie auch: IT-Sicherheit: 5 Entwicklungen, die Unternehmen 2023 beachten sollten

Aufmacherbild: Murrstock - Adobe Stock