Cyber Recovery Ransomware ist der Angstgegner Nummer 1

Autor Dr. Stefan Riedl

Wo die Ransomware-Verschlüsselung zuschlägt, wächst (zunächst) kein Gras mehr. Das ­Systemhaus GID trifft für seine Kunden Vorsorgemaßnahmen. Der Geschäftsführer ­berichtet aus der Praxis, wo die Schad-Software mitunter einschlägt wie eine Bombe.

Firmen zum Thema

Ransomware ist in den Augen vieler IT-Akteure die Cyber-Bedrohung schlechthin.
Ransomware ist in den Augen vieler IT-Akteure die Cyber-Bedrohung schlechthin.
(Bild: zephyr_p - stock.adobe.com)

Vier von fünf (83 %) Opfern von Ransomware-Angriffen haben Lösegeld gezahlt, um ihre Daten wiederherzustellen, geht man nach dem „2021 State of Ransomware Survey & Report“. Der Bericht basiert auf den Antworten von 300 IT-Entscheidungsträgern in den USA. Andere Studien kamen zu geringeren Ergebnissen, aber unstrittig ist, dass sich viele nicht anders zu helfen wissen, obwohl Behörden wie das FBI in den USA nicht zur Zahlung raten.

Vielerorts gelten Angriff und Verschlüsselung nur als eine Frage der Zeit. Friedrich Förster, Geschäftsführer Vertrieb beim ­Systemhaus GID, kennt sich mit dem Phänomen und Wiederherstellungsstrategien jenseits von Lösegeldzahlungen aus. „Durch die vielen Fälle, die quasi täglich in den Medien zu hören oder zu lesen sind, steigt die Sensibilität. Waren die Kunden vor zwei bis drei Jahren oberflächlich interessiert, so kann man heute eine intensive Diskussion mit den IT-Verantwortlichen führen. Budgets werden geplant und erste Projekte erfolgreich umgesetzt“, sagt der GID-Chef.

Angriff und Reaktion

Das Strickmuster ist unterschiedlich. Oftmals werden die Kundendaten zunächst im Backup verschlüsselt, und dann geht der Angreifer systematisch auf die Primärsysteme über. „Je nachdem, wann der Kunde die Attacke bemerkt, kann er retten, was zu retten ist“, sagt Förster und skizziert die dann einsetzende Dynamik: Stecker ziehen, Notfallhandbuch, Schaden feststellen, Equipment beschaffen, System neu aufbauen. Oft muss eine Meldung an das BSI (Bundesamt für Sicherheit in der Informationstechnik) erfolgen, die dann dazu führt, dass die betroffenen Systeme zur ­Täter-Ermittlung zunächst untersucht werden müssen und bis zum Abschluss nicht genutzt werden dürfen. Das kann mehrere Tage dauern.

Produktivsystem verschlüsselt

Friedrich Förster, Geschäftsführer Vertrieb, GID
Friedrich Förster, Geschäftsführer Vertrieb, GID
(Bild: GID)

„In einem konkreten Fall bei einem unserer Kunden wurde ebenfalls das komplette Produktivsystem verschlüsselt. Das Backup befand sich auf zwei Data-Domain-­Systemen, die von der Verschlüsselung aber nicht betroffen waren“, so der Manager. GID setzt die Software „Cyber Recovery“ von Dell EMC bei den Kunden ein. Förster ­beschreibt: „Dank des Boost-Protokolls war der Backupspeicher für die Angreifer nicht zugänglich. Durch Auswertung der Datenmenge der Roh- und Nettodaten konnte ­ermittelt werden, ab wann die Daten auch im Backup verschlüsselt waren.“ Die gesicherten Daten vor diesem Zeitpunkt waren nicht betroffen und konnten zurückgesichert werden. Insgesamt war der Kunde nach sieben Tagen wieder voll operabel. „In einem vergleichbaren Fall bei einem anderen Unternehmen, bei dem aber Tape als Backup-Medium eingesetzt wurde, hat diese Wiederherstellung der Operabilität sechs Monate gedauert“, betont System­integrator-Chef Förster.

Die Herangehensweise von „Cyber Recovery“

Der Hauptsitz von Global Information Distribution (GID) ist in Köln.
Der Hauptsitz von Global Information Distribution (GID) ist in Köln.
(Bild: Global Information Distribution)

„Cyber Recovery“ besteht aus mehreren Komponenten, darunter „Data Domain“ und „Cyber Vault“. In einer ersten Ausbaustufe dient Data Domain als Zielspeicher für das Backup, mit zwei Erschwernissen, die Systeme zu verschlüsseln. Das sogenannte Boost-Protokoll, das bisher nicht angegriffen werden konnte, sowie die Funktion „Retention Lock“, bei der die ­Daten in einem „WORM-Modus“ (Wright once read many) weggeschrieben werden und somit von Haus aus nicht verschlüsselt werden können. „Noch besser sind die Kunden geschützt, die eine zweite oder dritte Data Domain in einen Cyber Vault stellen, der hinter einer weiteren Firewall steht und nur über ein Air Gap zu erreichen ist“, so Förster. Air Gap (englisch für „Luftspalt“) bezeichnet einen Prozess, der zwei IT-Systeme physisch und logisch von­einander trennt, aber dennoch die Übertragung von Daten zulässt. In der maxi­malen Ausbaustufe steht auch ein Backup-Server hinter dieser Firewall und kann für eine Wiederherstellung der Daten verwendet werden, wenn die Primärsysteme nicht mehr nutzbar sind.

Der Tresor-Gedanke

Moderne Ransomware zielt zunehmend auf die Backup-Systeme in den Unternehmen ab. Dann versucht der Schadcode, Schutzmaßnahmen zu deaktivieren oder zu kontrollieren. So entstand der Tresor-Gedanke, beschreibt der GID-Chef. „Dieser Cyber ­Recovery Vault (CR Vault) speichert eine Art Goldkopie der Unternehmensdaten, sodass sich der vorherige Datenstand jederzeit wiederherstellen lässt.“

Der „Cyber-Recovery-Vault“ kann dabei auch den Backup-Server selbst aufnehmen und so die Funktionsfähigkeit der Wiederherstellungsroutinen sicherstellen. Dieser Vorgang lässt sich automatisieren, sodass es im Angriffsfall möglich ist, nicht nur die von der Malware blockierten Datensätze, sondern auch den fertig konfigurierten Server zurückzuspielen.

Budget ist vorhanden

Folgt man den Umfrageergebnissen vom ­Juli dieses Jahres aus dem eingangs angeführten Ransomware-Report, den ­Thycotic Centrify bei Censuswide in Auftrag gegeben hat, ist Ransomware eine Bedrohung für Unternehmen jeder Größe und ­Sicherheitsstufe. Thycotic Centrify ist ein Anbieter von Cloud-Identity-Sicherheitslösungen. Die erste Verteidigungslinie sollten laut Thycotic Centrify Lösungen sein, die den privilegierten Zugang sichern, einschließlich Multi-Faktor-Authentifizierung (MFA) und anderer Methoden zur Durchsetzung von Zero Trust, um Möchtegern-Cyberkriminelle in Schach zu halten und mögliche Schäden zu begrenzen. Budget ist aufgrund der fortschreitenden Sensibilisierung für Ransomware-Gefahren vorhanden.

Demnach haben:

  • 72 Prozent ihre Budgets für Cybersicherheit aufgrund von Ransomware-Bedrohungen erhöht,
  • 93 Prozent ein spezielles Budget zur Bekämpfung von Ransomware-Bedrohungen bereitgestellt,
  • 50 Prozent durch einen Angriff bereits Umsatzeinbußen und Rufschädigung erlitten und
  • 42 Prozent infolge eines Angriffs Kunden verloren.

(ID:47751080)