Die ToDo-Liste gegen Ransomware-AngriffeRansomware-Attacken proaktiv begegnen
18. Mai 2022Vor zirka fünf Jahren kam mit WannaCry der „Urvater der Ransomware“ ins Spiel. Seitdem hat sich vieles geändert, denn die meisten Cyber-Kriminellen kommen wegen der Daten, die ein erfolgreiches Unternehmen antreiben. Die Lösegeldforderung ist dabei nur ein Aspekt in der „Wertschöpfungskette der Erpresser“. Daher sollten IT-Verantwortliche alle Bereiche kennen, die es abzusichern gilt.
Wie erfolgreich Angreifer beim Einsatz von Ransomware bei der Erpressung von Lösegeld sind, hängt davon ab, was IT-Verantwortliche tun, um ihre Umgebung zu stärken und die Reaktionsfähigkeit im Falle eines Angriffs zu verbessern. Denn Ransomware-Bedrohungen entwickeln sich weiter – die Ziele und Taktiken weiten sich aus. Mit Hilfe eines Bewertungsleitfaden zur Stärkung von Datensicherheit & Cyber-Resilienz sind IT-Verantwortliche darauf vorbereitet.
Wer sich nicht sicher ist, mit welcher Priorisierung er die verschiedensten Schutzmaßnahmen gegen Ransomware und für die Erhöhung der Cyber-Resilienz orchestrieren soll, der profitiert ebenfalls von diesem Leitfaden: Er enthält zahlreiche praktische Informationen und Bewertungskriterien darüber, worauf bei einer Datenmanagement-Lösung zu achten ist, um die bestehende Datensicherheits-Strategie zu stärken. Er lässt sich aber auch verwenden, um die Tools zu ergänzen, die ein SecOps-Team verwendet, wenn dabei sollte man aber beachten, dass sich die Bedrohungen durch Ransomware ständig ändern.
Deswegen enthält der Leitfaden auch eine Checkliste, auf die man beim Vergleich der Effektivität Ihrer bestehenden Lösungen mit „Next-Gen-Datenmanagement“-Lösungen zurückgreifen kann. Ein besserer Schutz der Daten und des Rufs des Unternehmens beginnt mit einem Verständnis, wie die entscheidenden Maßnahmen ein Unternehmen in die Lage versetzen, den Attacken durch Ransomware entgegenzuwirken:
- Schutz der Backup-Daten und der Systeme,
- verringern des Risikos eines unbefugten Zugriffs,
- erkennen von Angriffen, um Übergriffe zu stoppen,
- stärken der Sicherheitslage mit Integrationen und APIs sowie
- sicherstellen, dass sich Daten im großen Maßstab schnell wiederherstellen lassen.
Wenn es um den Schutz der Backup-Daten und der Systeme geht, sind die Sicherheitsvorkehrungen für die Daten einer Organisation von grundlegender Bedeutung, um das Vertrauen der Kunden und bestehende Wettbewerbsvorteile zu wahren. Sie wirken den immer ausgefeilteren Ransomware-Bedrohungen entgegen, einschließlich neuer Bedrohungen wie „Lockers“, die die IT-Verantwortlichen vollständig von ihren Systemdateien und Anwendungen ausschließen, während sie eine Countdown-Uhr mit Datum und Uhrzeit der erwarteten Lösegeldzahlung anzeigen.
Ohne die Verbesserung der Sicherheitsvorkehrungen hat ein Unternehmen keine Möglichkeit, die Daten vor einer Verschlüsselung – oder schlimmer noch, einem Diebstahl – durch Cyber-Kriminelle zu schützen. Für eine optimale Datenresilienz in Hybrid- und Multi-Cloud-Umgebungen gilt es, die Backup-Sicherheitsfunktionen, die Teil jeder Datenmanagement-Lösung sein sollten, bestmöglich umzusetzen. Dazu sind die folgenden Punkte zu beachten:
- Unveränderliche Snapshots: Software-basierte, native unveränderliche Backup-Snapshots errichten eine Mauer gegen Ransomware-Angriffe, da sie nicht verschlüsselt, geändert oder gelöscht werden können. Das ist äußerst wichtig, um die Authentizität von Daten zu schützen, insbesondere von großen Mengen unstrukturierter Daten wie Audio- und Videodateien sowie Bildern, die in bestimmten Branchen wie der Strafverfolgung und dem Gesundheitswesen benötigt werden. Im Gegensatz zur hardwarebasierten Unveränderlichkeit werden die nativen schreibgeschützten Snapshots, die vor Ort oder in Clouds gespeichert sind, niemals einer Anwendung ausgesetzt oder extern bereitgestellt. Sie können nicht manipuliert, verändert oder entfernt werden. Das erschwert es Malware, auf die Backup-Daten abzuzielen.
- WORM-Technologie: Mechanismen wie die WORM-Technologie (Write Once, Read Many) bieten eine weitere Schutzebene gegen Ransomware-Angriffe. Sie ermöglichen es Teams, Daten durch Richtlinien zeitgebunden zu sperren und anzuwenden und sie dann ausgewählten Jobs zuzuweisen, um die Unveränderlichkeit geschützter Daten zu verbessern. Da dies ein Schutz ist, den weder Sicherheitsbeauftragte noch Sicherheitsadministratoren ändern oder löschen können, müssen sich IT-Verantwortliche nicht so viele Gedanken über potenzielle Insider-Bedrohungen machen.
- Datenverschlüsselung: Im Bereich der Verschlüsselungsoptionen gilt derzeit eine software-basierte FIPS-validierte AES-256- Standardverschlüsselung als optimale Variante. Sie sollte sowohl für Daten, die übertragen werden, Verwendung finden, als auch für solche, die sich im Ruhezustand befinden. Dabei ist zu empfehlen, dass das kryptografische Modul vom National Institute of Standards and Technology (NIST) der Vereinigten Staaten gemäß dem Standard Federal Information Processing Standards (FIPS) 140-2 Level 1 validiert ist. FIPS 140-2 ist ein Standard der US-Regierung für kryptografische Module, der zusichert, dass das Moduldesign und die Implementierung kryptografischer Algorithmen sicher und korrekt sind. Die FIPS-validierte Verschlüsselung ist sicherer, da Produkte mit dieser Auszeichnung eine Reihe strenger Tests bestehen müssen, um weltweit anerkannt zu werden.
- Konfigurations-Audit und Scannen: Eine übliche IT-Umgebung besteht in der Regel aus vielen verschiedene Systemen und Tools – alle mit eigenen Setups, Richtlinien und Managementschnittstellen. Die manuellen Prozesse für deren Ausführung haben oft vermeidbare menschliche Fehler zur Folge. Wäre es nicht schön, wenn es einen effizienteren Weg gäbe? Etwa ein automatisiertes System mit geführtem Scannen, das verschiedene Datensicherheits- und Zugriffskontrolleinstellungen überprüft, und einem dabei hilft, menschliches Versagen zu vermeiden und gleichzeitig Ihre Datenoperationen von der Einrichtung über Richtlinien bis hin zu Managementprozessen zu vereinfachen.
- Fehlertoleranz: Da Datenresilienz immer ein leitendes Sicherheitsprinzip sein sollte, benötigt man auch ein fehlertolerantes System, das dazu beiträgt, die Datenintegrität und erfolgreiche Backups selbst unter härtesten Bedingungen sicherzustellen. Einige davon treten auf, wenn Systeme mit ihrer Rechen- oder Speicherkapazität nahezu ausgelastet sind; wenn Sie eine erhebliche Netzwerküberlastung vorliegt oder wenn unerwartet ein Hardwarefehler auftritt. Empfohlen wird daher eine fehlertolerante Lösung, die es ermöglicht, Backups trotz einer ausgefallenen Komponente/eines ausgefallenen Knotens fortzusetzen.
- Moderne und flexible Datenisolation: Eine wichtige Überlegung bei der Modernisierung des Datenmanagement-Ansatzes ist die Aktualisierung der Datenisolierungsstrategie. Traditionell haben sich Unternehmen auf Tape-Lösungen verlassen, um „Air-Gap-Kopien“ zu verwalten, aber diese Methode kann nicht mehr mit den heutigen anspruchsvollen Service-Level-Agreements (SLAs) mithalten, wenn es um Wiederherstellungszeiten geht – insbesondere nicht solche, die während eines weit verbreiteten Ransomware-Angriffs benötigt werden.
- Sofortige, skalierbare Wiederherstellung: Wenn Ransomware-Angreifer zuschlagen, haben sie es nicht mehr auf eine oder zwei virtuelle Maschinen (VMs) oder Datenbanken abgesehen. Vielmehr wollen sie in den Systemen so viele der Daten wie möglich unzugänglich machen. Daher benötigen Unternehmen heute eine Datenmanagement-Lösung, die Hunderte von Systemen schnell wiederherstellen kann.
In Bezug auf die Datenisolierung sei noch darauf verweisen, dass der Begriff „Air Gap“ inzwischen oftmals missbräuchlich genutzt wird, um Techniken zu beschreiben, die nicht wirklich für eine Isolierung sorgen. Deswegen sollte man sicherstellen, dass die nächste Datenmanagement-Lösung sowohl echten Air-Gap-Schutz als auch moderne Optionen zur Datenisolierung bietet. Diese gleichen moderne Anforderungen an das Zeitziel der Wiederherstellung und den Wiederherstellungspunkt (Recovery Time Objective, RTO / Recovery Point Objective, RPO) mit angemessenen Sicherheitskontrollen aus, indem Backup-Daten in der Cloud oder an einem anderen Ort mit einer temporären und hochsicheren Verbindung gespeichert werden.
Damit bekommt man eine manipulationssichere Umgebung, die Unterbrechungen durch Ransomware und Insider-Bedrohungen verhindert und gleichzeitig die Erfüllung der organisatorischen SLAs optimiert. Das Beste daran ist, dass man immer eine Kopie seiner Daten in einem unveränderlichen Format behält.
Rainer Huttenloher
Der Beitrag basiert auf dem Whitepaper „Ransomware-Bereitschaft: Ein ausführlicher Bewertungsleitfaden“.