Backups sind ein unerlässlicher Bestandteil in jedem Ransomware-Notfallplan. Sollte Ihr Unternehmen Opfer des Schädlings werden, können Sie Ihre Systeme schlicht mit den Sicherungen wiederherstellen, ohne den Gaunern auch nur einen Cent bezahlen zu müssen.
Es gibt da nur ein Problem: Auch Sicherungen sind nicht gegen Ransomware immun. Fortschrittliche Ransomware-Familien enthalten Funktionen, die speziell darauf ausgelegt sind, nach lokal und in der Cloud gespeicherten Sicherungen zu suchen und diese ebenfalls zu verschlüsseln. Wenn das eintritt, bleibt einem Unternehmen mitunter keine andere Wahl, als das Lösegeld zu bezahlen.
In diesem Artikel zeigen wir Ihnen, wie Unternehmensbackups von Ransomware getroffen werden können und wie Sie diese davor schützen können.
Wie verschlüsselt Ransomware Sicherungen?
Ransomware kann über viele Wege auf Ihre Systeme gelangen: per E-Mail-Anhang, bösartigem Link, Drive-by-Downloads, RDP-Angriffen, MSP-Tools oder Software von Drittanbietern. Ist ein Endpunkt erst einmal infiziert, kann die Schadsoftware theoretisch auf jegliche Sicherungen zugreifen, die über reguläre Protokolle mit Schreibzugriff zugänglich sind – auf lokalen Speichern, NAS-Laufwerken und USB-Geräten ebenso wie in lokal installierten Cloud-Diensten.
Dazu hat sie verschiedene Möglichkeiten:
Verbreitung über das Netzwerk
Viele KMU-Eigentümer sind sich durchaus bewusst, wie wichtig Sicherungen sind. Dennoch haben sie mitunter schlicht nicht die Möglichkeiten oder Erfahrung, um eine umfassende kontinuierliche Strategie umzusetzen. Stattdessen verfolgen sie häufig einen bedarfsorientierten Einzeleinsatz, bei dem wichtige Dateien von Hand auf externe Laufwerke kopiert oder vielleicht sogar automatisch regelmäßig auf einem Netzwerkserver gesichert werden.
Lokale Sicherungen sind natürlich wichtig. Jedoch sind sie als Einzellösung unwirksam. Viele Ransomware-Versionen können sich auf andere Computer oder zugeordnete Geräte im Netzwerk verbreiten. Sollte ein System infiziert werden, wird sich der Schädling höchstwahrscheinlich innerhalb des Netzwerks weiterverbreiten und auch das Laufwerk mit den gesicherten Unternehmensdaten verschlüsseln.
Synchronisation mit dem Cloud-Speicher
Cloud-Speicher sind eine bequeme Methode, um Dateien zu speichern. Doch auch sie sind keine vollkommen wirksame Option, um Sicherungen aufzubewahren – insbesondere bei Ransomware.
Viele Cloud-Speicherdienste wie Dropbox, OneDrive oder Google Drive synchronisieren automatisch die lokalen Dateien mit denen in der Cloud. Werden dann die Dateien in Ihrem Unternehmensnetzwerk durch Ransomware verschlüsselt, werden folglich auch die Dateien in der Cloud mit den verschlüsselten überschrieben.
Verfügt ein Cloud-Dienst über eine Versionsverwaltung, werden mehrere Versionen der Dateien gespeichert. Verschlüsselte Dateien können dann mit einer vorherigen, unverschlüsselten Version wiederhergestellt werden. Diese Funktion wird allerdings nicht von allen Anbietern unterstützt und ist möglicherweise nicht standardmäßig aktiviert.
Löschen von Systemwiederherstellungspunkten
Mit der in Windows integrierten Systemwiederherstellung können Administratoren aktuelle Änderungen an einem Betriebssystem rückgängig machen. Das ist nützlich, um beispielsweise Treiber oder Systemdateien auf eine vorherige Version zurückzusetzen. Leider werden von dem Tool keine Kopien von persönlichen Dateien wie Dokumenten, Fotos oder Videos angelegt. Es lässt sich also nicht zur Wiederherstellung nutzen, wenn diese verschlüsselt wurden.
Doch selbst wenn mit der Systemwiederherstellung persönliche Dateien wiederhergestellt werden könnten, sind einige Ransomware-Familien – wie WannaCry, Cryptolocker oder Locky – darauf ausgelegt, mithilfe von Befehlszeilenbefehlen Schattenkopien (also die von der Systemwiederherstellung genutzten Systemabbilder) aufzuspüren und zu löschen.
Sicherungen vor Ransomware schützen
Zum Schutz Ihrer Sicherungen vor Ransomware ist ein mehrstufiger Ansatz die beste Lösung.
Lokale Backups sind schnell, effizient und bei Bedarf jederzeit leicht zugänglich. Wie jedoch schon erwähnt sind gerade lokale Sicherungen anfällig für Ransomware, da sie sich auch über das Netzwerk verbreiten kann.
Externe Speicherlösungen sind zwar langsamer und weniger bequem, dafür aber vom Unternehmensnetzwerk weitestgehend getrennt und folglich weniger anfällig. Mit einer Mischung aus lokalen und externen Sicherungen nutzen Sie die Vorteile beider Optionen.
Daher ist die sogenannte 3-2-1-Regel die einfachste Möglichkeit, um Sicherungen vor Ransomware zu schützen. Diese sieht wie folgt aus:
- Legen Sie mindestens drei Kopien Ihrer Dateien an.
- Zwei Kopien sollten dabei auf unterschiedlichen Speichermedien abgelegt sein.
- Mindestens eine Kopie ist außerdem extern zu speichern.
Denken Sie außerdem daran, immer einzigartige Anmeldedaten und Kennwörter für alle Sicherungssysteme (und auch alle sonstigen Konten) zu verwenden.
Mindestens 3 Kopien anlegen
Je mehr Sicherungen ein Unternehmen hat, umso geringer ist das Risiko eines Datenverlustes. Wie bereits erwähnt ist es empfehlenswert, mindestens drei Kopien der Daten anzulegen. Sollte eine Kopie aufgrund von Ransomware, Diebstahl, technischem Versagen oder Naturkatastrophen verloren gehen, können Geschäftsführer beruhigt auf die weiteren Kopien zurückgreifen.
Mindestens 2 Kopien auf unterschiedlichen Geräten
Jedes Gerät wird früher oder später versagen. Indem Sie unterschiedliche Speichermedien nutzen, minimieren Sie das Risiko, dass alle gleichzeitig ausfallen. Verwenden Sie zur lokalen Speicherung beispielsweise lokale Laufwerke, Dateiserver, NAS-Geräte oder Bandspeichersysteme.
Mindestens eine Kopie extern speichern
Für maximalen Schutz sollte eine Kopie der Sicherungen vollständig vom Netzwerk getrennt und am besten offline gespeichert werden, damit sie wirklich vor Ransomware geschützt ist.
Es gibt unterschiedliche Optionen, um Unternehmenssicherungen extern zu speichern. Bandspeichersysteme mögen zwar etwas veraltet erscheinen, sind aber aufgrund ihrer Kosteneffizienz, Skalierbarkeit und Archivierungsstabilität weiterhin eine beliebte Option. Derartige Systeme sind in der Regel auch nicht mit Netzwerken verbunden und daher nicht für Ransomware anfällig.
Cloud-Backupdienste sind eine modernere Lösung zum Erstellen und Verwalten von externen Sicherungen. Die entsprechenden Backupserver sind in sicheren und angemessen ausgelegten Einrichtungen untergebracht, die meistens mit Umweltkontrollen, Notstromversorgung, Brandunterdrückungsanlagen und dergleichen ausgestattet sind. Werden die lokalen Sicherungen Ihres Unternehmens etwa durch Ransomware oder Naturkatastrophen zerstört, können Sie den Geschäftsbetrieb mithilfe der Cloud-Sicherungen wiederherstellen.
Cloud-Speicher im Vergleich zu Cloud-Backups
Es muss beachtet werden, dass Cloud-Speicherdienste und Cloud-Backupdienste nicht dasselbe sind. Wie der Name schon sagt, sind Speicherdienste genau dafür da: zum Speichern von Dateien. Bei ihnen gibt es in der Regel keine Versionsverwaltung, wodurch die Sicherungen für Ransomware anfällig bleiben. Meisten bleibt auch die Ordnerstruktur nicht erhalten. Sollten Sie also einmal Ihr System wiederherstellen wollen, müssen alle Dateien von Hand wieder organisiert werden.
Cloud-Backupdienste sind hingegen auf Notfälle und einen kontinuierlichen Geschäftsbetrieb ausgelegt. Sie bieten die Möglichkeit, die Ordnerstruktur beizubehalten, und häufig auch Optionen für Versionsverwaltung, Statusberichte, Zeitpläne sowie erweiterte Verschlüsselungsmethoden zur Datenübertragung. Wenn Sie Ihre Sicherungen vor Ransomware schützen möchten, sind Cloud-Backupdienste die bessere Lösung.
Zugriffsverwaltung
Unabhängig von den in Ihrem Unternehmen genutzten Speichermedien, sollte der Zugriff auf Daten außerdem unbedingt auf jene beschränkt werden, die diese benötigen. Dazu gehört auch eine sorgfältige Auswahl der Personen, die Anmeldedaten für die Dateiserver und Backupdienste erhalten sowie direkten Zugang zu lokalen Sicherungsgeräten haben. Legen Sie am besten eine entsprechende Strategie zur sicheren Speicherzugriffs- und -zugangsverwaltung fest. Indem Sie den Zugriff auf Sicherungen beschränken, minimieren Sie die Angriffsfläche für Ransomware sowie die Gefahr, dass wichtige Unternehmensdaten in die falschen Hände gelangen könnten.
Ransomware-Auswirkungen abschwächen
Eine starke Sicherungsstrategie ist unerlässlich, um die Auswirkungen von Ransomware abzuschwächen.
Doch wie bei allen Daten, sind auch Sicherungen nicht vollständig gegen Ransomware gefeit. Durch eine Kombination aus lokalen und externen Backups lässt sich das Risiko einer Ransomware-Infektion Ihrer geschäftlichen Datensicherungen senken. Gleichzeitig können Sie die Ausfallzeiten für Ihr Unternehmen im Falle einer Infektion minimieren.
Übersetzung: Doreen Schäfer