Anti-Ransomware-Plan – Das Unvermeidliche überstehen

Ein gelungener Ransomware-Angriff verschlüsselt wichtige Daten und nimmt somit Unternehmen in Geiselhaft. Früher oder später wird eine Organisation von einem Ransomware-Angriff betroffen sein. Darin sind sich alle IT-Security-Experten einig. Wie sollen Entscheidungsträger auf diese Tatsache reagieren?

Um sich auf das Unvermeidliche vorzubereiten, müssen sich Entscheidungsträger darüber im Klaren sein, dass die »Täter« nicht immer kriminelle Akteure von außen sind. Häufig kommt die Gefahr von innen, durch Mitarbeiter, die vorsätzlich oder aus Unkenntnis die Sicherheit der Unternehmensdaten kompromittieren. Beispielsweise kann ein Mitarbeiter versehentlich auf die falsche Schaltfläche klicken und sensible Daten löschen oder preisgeben. So etwas passiert selbst Profis. So hat einer der Ingenieure eines bekannten Cloud-Anbieters versehentlich seine eigenen Passwörter und kryptografischen Schlüssel für verschiedene Umgebungen preisgegeben. Andererseits kann ein Leak auch mutwillig geschehen, beispielsweise, wenn einem Mitarbeiter gekündigt wird und er mutwillig kritische Informationen veröffentlicht. Auch darauf müssen sich Unternehmen vorbereiten. 

Mit Plan zum Erfolg. Letztlich bedarf es eines umfassenden Anti-Ransomware-Plans. Er verringert das Risiko eines erfolgreichen Angriffs, mindert dessen Auswirkungen und verkürzt die Ausfallzeit kritischer Systeme. 

1. Planerstellung

Bei einem laufenden Angriff ist keine Zeit für Improvisation oder Ad-hoc-Maßnahmen. Ein wirksamer Plan ist die Grundlage für eine vollständige und schnelle Wiederaufnahme des normalen Betriebs. Die wesentlichen Elemente eines Anti-Ransomware-Plans sind das Was, das Wann und das Wer.

  • Was: Identifizieren und Priorisieren der kritischen Anwendungen.
  • Wann: Definieren der Wiederherstellungspunktziele (RPO), Wiederherstellungszeitziele (RTO) und Service Level Agreements (SLAs) für die eigenen Systeme, Daten und Anwendungen.
  • Wer: Welche – internen und externen – Akteure werden an der Datenwiederherstellung beteiligt sein? Wie werden sie benachrichtigt? Unter welchen Bedingungen wird eine Eskalation ausgelöst, und wer wird alarmiert?

2. Schulung

Der Mensch ist der häufigste Eintrittspunkt für Ransomware. Es gilt also, die Belegschaft mit regelmäßigen Schulungen für Cybergefahren zu sensibilisieren und ihnen die Verantwortung bewusst zu machen, die sie für die IT-Sicherheit des Unternehmens tragen. Die Schulungen sollten kurz, interaktiv und einprägsam sein und auf konkrete Bedrohungsszenarien eingehen. 

3. Überwachung der Unternehmensumgebung 

Unabhängig davon, wie konsequent und wirksam die Gegenmaßnahmen sind, müssen Unternehmen davon ausgehen, dass irgendwann Ransomware in die eigene Umgebung eindringen wird. Es gilt, den Angriff so schnell wie möglich aufzuspüren und somit die Auswirkungen in Grenzen zu halten. Manuelle Kontrollen auf Anomalien, so regelmäßig sie auch durchgeführt werden, reichen in der gegenwärtigen Bedrohungssituation nicht aus. Vielmehr benötigen Unternehmen eine weitgehend automatisierte Überwachung ihrer Infrastruktur. Insbesondere Systeme, die Machine Learning nutzen, können dabei eine wesentliche Rolle spielen. Nach einem Training mit historischen Daten sind solche Systeme in der Lage, den Unterschied zwischen legitimen Aktivitäten und wahrscheinlichen Angriffen zuverlässig und schnell zu erkennen.

Einige Systemlösungen bieten als zusätzlichen Schutz eine Reihe von potenziellen Angriffszielen, die nur für kriminelle Akteure sichtbar sind und echte Datenbestände simulieren, um die Hacker in eine Falle zu locken. Für die Hacker sehen die »Fake Daten« wie echte, wertvolle Daten aus und sie können den Unterschied zwischen echten Daten und Attrappen kaum erkennen.

4. Wiederherstellung der Daten

Optimalerweise verfügen Unternehmen nicht nur über eine intakte Kopie ihrer Daten, sondern können diese auch schnell für Systeme und Benutzer verfügbar machen, sodass sie den normalen Geschäftsbetrieb wieder aufnehmen können. Es gibt drei Arten der Datenwiederherstellung:

  • Die traditionelle Sicherung erfolgt auf Dateiebene. Das System geht alle Dateien und Verzeichnisse auf dem Volume durch, um festzustellen, ob sie sich geändert haben und Teil des aktuellen Backups sein müssen. Dieser Ansatz kann jedoch zeit- und ressourcenaufwändig sein, da das System jeden Teil des Indexes durchlaufen muss – ein so genannter »Tree Walk«.
  • Bei der Sicherung auf Blockebene werden die Leistungseinbußen der herkömmlichen Sicherung vermieden, indem blockweise gearbeitet wird. Der Anwendung ist es egal, wie viele Dateien es gibt oder wie ihr Index aussieht. Dies ermöglicht schnellere und effizientere Backups, was wiederum die Möglichkeit eröffnet, Backups häufiger durchzuführen.
  • Die Replikation verfolgt einen kontinuierlichen Ansatz bei der Datensicherung. Eine Möglichkeit ist die kontinuierliche Datenreplikation (Continuous Data Replication), bei der alle Schreibvorgänge auf dem Quellcomputer protokolliert werden, dieses Protokoll an die Datenwiederherstellungsplattform übertragen und erneut abgespielt wird, um eine Kopie nahezu in Echtzeit zu erstellen. Eine weitere Option ist die inkrementelle Replikation, bei der Änderungen aus einem Quell-Backup kontinuierlich auf eine synchronisierte Kopie des Backups übertragen werden. Die Volume-Block-Level-Replikation (VBR) ist häufig der beste Ansatz, da sie die Effizienz der Block-Level-Sicherung mit den Vorteilen der Replikation nahezu in Echtzeit kombiniert. Dies ermöglicht eine granulare Point-in-Time-Wiederherstellung, absturzsichere Wiederherstellungspunkte, anwendungssichere Wiederherstellungspunkte und eine effektive Verwaltung des Lebenszyklus von Wiederherstellungspunkten.

5. Den Plan testen

Sobald der Plan sowie die Verfahren und Technologien für seine Ausführung festgelegt wurden, müssen die Verantwortliche sicherstellen, dass er wie gewünscht funktioniert. Unternehmen sollten häufige Tests durchführen, um zu überprüfen, ob sie die SLAs einhalten können, die sie für kritische Daten und Anwendungen mit hoher Priorität definiert haben. Das System sollte in der Lage sein, Metriken wie RPO, tatsächlichen Wiederherstellungspunkt, RTO und geschätzte Wiederherstellungszeit für jedes der geschützten Systeme zu melden. Die Repetition hilft im Ernstfall auch dabei, dass die Verantwortlichen mit den zuständigen Tools vertraut sind. Somit erhöht sich im Ernstfall die Reaktionsgeschwindigkeit. Zudem verringert sich die Fehlerquote beim zuständigen Team. 

Jetzt handeln. Unternehmen, die sich frühzeitig mit der Gefahr durch Ransomware auseinandersetzen und einen für die eigene Organisation passenden Plan erstellen und testen, haben eine deutlich höhere Chance, einen gelungenen Ransomware-Angriff ohne großen Schaden zu überstehen. Für die Erstellung eines Anti-Ransomware-Plans gilt: Genau jetzt ist der beste Zeitpunkt zu handeln.

 


Christopher Knörle,
Principal Sales Engineer, Metallic.io
bei Commvault

 

 

 

Illustrationen: © Ian Dikhtiar, meimei studio /shutterstock.com