Wie Ransomware-Angreifer denken

Illustration: Absmeier Geralt

Hacker passen ihre Strategien ständig an und entwickeln diese weiter. Eine der effektivsten Maßnahmen, um sie zu bekämpfen ist, sich in sie hineinzuversetzen und zu versuchen, ihre Perspektive zu verstehen. Ist die Absicht der Angreifer erst einmal verstanden, lassen sich Strategien zur Abwehr entwickeln um den Kriminellen den Wind aus den Segeln nehmen.

 

 

2022 war bisher sicherlich das profitabelste Jahr für Hacker auf dem Spezialgebiet Ransomware, deren kontinuierlicher Erfolg wohl auch auf die zunehmende Verbreitung von Ransomware-as-a-Service-Plattformen zurückzuführen ist. Für Unternehmen bedeutet dies nicht nur, dass sie früher oder später selbst Opfer eines erfolgreichen Angriffs werden, sondern dass dies zukünftig regelmäßig der Fall sein wird. Entsprechend wird die Abwehr gegen Ransomware und deren Folgen für die IT-Sicherheit immer wichtiger. Um sich effektiver gegen Cyberkriminelle verteidigen zu können, ist es hilfreich zu verstehen, worauf es die Angreifer eigentlich abgesehen haben. Denn erst mit diesem Wissen ausgestattet, kann man eine erfolgreiche Abwehrstrategie entwickeln.

 

Lösegeldzahlungen hängen mit der Geschwindigkeit der Wiederherstellung zusammen

Das Verschlüsseln von Daten ist für spezialisierte Hacker natürlich nur Mittel zum Zweck. Worauf sie es abgesehen haben, sind meist jedoch nicht die Daten selbst, sondern das Geld, das sie für die Entschlüsselung erpressen können. Um dieses zu bekommen, arbeiten Ransomware-Gruppen wie normale Unternehmen: Sie entscheiden anhand des zu erwartenden Ertrags, ob und wie sie ein Ziel angreifen. Denn je größer ein Unternehmen ist, desto höher sind die Sicherheitshürden, die das Unternehmen um sich herum aufgebaut hat. Entsprechend aufwendig, müssen die Kriminellen ihren Angriff gestalten – und auch dies kostet Zeit und Geld. Ein anderer wichtiger Grund für Angreifer, Unternehmen zu attackieren ist die Wahrscheinlichkeit, dass diese auch bezahlen. Diese Wahrscheinlichkeit hängt nicht unbedingt mit der Wiederherstellbarkeit der Daten im Allgemeinen zusammen – denn das bekommt früher oder später jede Organisation hin – sondern eher damit, wie schnell es möglich ist, die darauf aufbauenden Applikationen wieder zu starten.

 

Backups bieten Schutz für weniger wichtige Daten

So gut wie alle Unternehmen nutzen seit Jahrzehnten Werkzeuge zur Datensicherung, die sich für die Wiederherstellung eignen. Backup-Strategien nach dem 3-2-1-Prinzip, insbesondere mit Airgap, bieten so gut wie immer die Möglichkeit, verschlüsselte Daten irgendwann wiederherzustellen. Das Problem bei der Wiederherstellung sind jedoch nicht »kalte« Daten, wenig genutzte unstrukturierte Daten oder Archivdaten, sondern die mit »heißen« Daten verbundenen produktiven Applikationen, die das Rückgrat eines jeden Unternehmens darstellen. Der Anteil der mit diesen Anwendungen verbundenen Daten am Gesamtvolumen ist zwar gering, doch sind diese wichtigen Daten erst einmal verschlüsselt, stehen alle Räder still. Und Produktionsstillstand kostet unter Umständen viel Geld. IDC schätzt, dass jede Stunde Stillstand branchenübergreifend im Schnitt circa 250.000 US-Dollar kostet. Auch bei Unternehmen, die am unteren Ende des Kostenspektrums stehen, geht ein vollständiger Produktionsstillstand schnell ins Geld – und man kann per Dreisatz ausrechnen, ab wann es billiger wäre, das Lösegeld für die Daten zu bezahlen.

 

Kritische Daten und produktive Workloads benötigen besonderen Schutz

Um die Chance zu erhöhen, Lösegeld zu erhalten, suchen die Hacker gezielt nach Unternehmen, die es sich nicht leisten können oder wollen, ihre wichtigen Produktionsdaten und -applikationen für längere Zeit offline zu haben. Ist dies erst einmal verstanden, so kann eine Abwehrstrategie erstellen, die sich auf den Schutz der produktiven Workloads eines Unternehmens fokussiert. Denn der Großteil aller heutzutage gespeicherten Daten, sind weniger wichtige unstrukturierte Daten, die tatsächlich eher selten genutzt werden, wenn überhaupt. Diese weniger wichtigen Daten sind mit Backups auch adäquat abgesichert, weil sie nicht mit produktiven Workloads verknüpft sind und es daher nicht dringend ist, sie so alsbald wiederhergestellt zu haben. Diese Daten lassen sich über Backups einfach in den Tagen oder Wochen nach dem Vorfall wiederherstellen. Anders sieht es mit den kritischen Daten für die produktiven Workloads aus. Backups helfen hier nur bedingt, da Backups nur einzelne Server schützen aber keine kompletten Applikationen. Entsprechend kann die Wiederherstellung der Daten und das Erstellen der Applikationen mit Backups sehr lange dauern. Eine bessere Strategie zur Wiederherstellung sollte neben Backups für weniger wichtige Daten eine schnellere Möglichkeit zur Wiederherstellung produktiver Applikationen bieten. Diese Möglichkeit bieten Lösungen aufbauend auf Continuous Data Protection (CDP, kontinuierliche Datensicherung).

 

CDP – der Stand der Dinge bei der schnellen Wiederherstellung von Daten und Workloads

CDP ist die aktuellste und derzeit beste Technologie zur Wiederherstellung von kritischen Daten und Workloads. CDP erfasst alle Datenänderungen direkt, wenn sie geschrieben werden, und setzt Wiederherstellungspunkte nach jedem Schreibvorgang. So ermöglicht es CDP, mit nur wenigen Klicks und ohne nennenswerten Datenverlust zu einem Zeitpunkt zurückzukehren, der nur wenige Sekunden vor einem Angriff oder einer Störung lag, vollkommen unabhängig von der jeweiligen Ursache. Periodische Backups haben im Vergleich dazu sehr lange Sicherungsintervalle, die bei der Wiederherstellung zu Datenverlust führen. CDP lässt sich darüber hinaus automatisieren und orchestrieren, was die Absicherung ganzer Standorte ermöglicht. So lässt sich mit CDP sogar ein komplettes Rechenzentrum mit Tausenden aktiver Workloads und Applikationen wiederherstellen – und das mit nur wenigen Mausklicks.

 

Fazit: Mit CDP abgesicherte Unternehmen nehmen Hackern den Wind aus den Segeln

Angreifer arbeiten analytisch und schädigen Unternehmen, die für sie einen hohen »Return on Investment« (ROI) bieten. Ein verwundbares Unternehmen, das eine hohe Rendite verspricht, hat eine hohe Anzahl kritischer Daten und Workloads, die alle mit der gleichen Wichtigkeit abgesichert sind, wie unwichtige kalte Daten. Denn mit dieser Strategie allein lassen sich kritische Applikationen nicht schnell wiederherstellen. So steigt für die Erpresser die Wahrscheinlichkeit Lösegeld zu erhalten. Analog sollten Unternehmen auf proaktive Abwehrmaßnahmen setzen, die ihre kritischen Daten und Workloads so absichern, dass sich produktive Applikationen in kürzester Zeit wiederherstellen lassen. Wenn dann das fast schon Unvermeidliche eintritt, werden die Auswirkungen auf diese Weise auf ein Minimum reduziert und der Geschäftsbetrieb kann bei sehr geringen Serviceunterbrechungen und minimalem Datenverlust fortgesetzt werden. Die ganzen weniger wichtigen Daten können anschließend in Ruhe über Backups wiederhergestellt werden.

Nils Engelbert, Zerto