Daten als Geisel Ransomware-Super-GAU: Warum Backups nicht ausreichen

Ein Gastbeitrag von Reinhard Zimmer*

Anbieter zum Thema

Erfolgreiche Ransomware-Angriffe auf Unternehmen gehören leider zu den täglichen Schreckensmeldungen. Die Wirkung von Backups wird dabei oft überschätzt und reicht als Schutz gegen Ransomware nicht aus, da die Wiederherstellung sehr lange dauern kann.

In der heutigen Bedrohungslandschaft wissen Ransomware-Angreifer genau, wann ein Angriff den größten Schaden anrichten kann.
In der heutigen Bedrohungslandschaft wissen Ransomware-Angreifer genau, wann ein Angriff den größten Schaden anrichten kann.
(Bild: gemeinfrei / Pixabay )

Ransomware-Angriffe sind eine Gefahr für alle Unternehmen, die Daten für ihre Arbeit benötigen. Und häufig werden Unternehmen zu einem denkbar ungünstigen Zeitpunkt Opfer eines Ransomware-Angriffs. Nämlich dann, wenn ein Unternehmen am verwundbarsten ist. Die Hauptreisezeit wäre für einen Reiseveranstalter beispielsweise ein eher schlechter Zeitpunkt, der im schlimmsten Fall das Bestehen des Unternehmens gefährden kann. Auch für Onlinehändler gibt es den Zeitpunkt für einen Ransomware-Super-GAU: Die Vorweihnachtszeit etwa, wenn sehr viele Kunden ihre Weihnachtseinkäufe erledigen. Wann Unternehmen Cyberangriffe am schlechtesten wegstecken können, wissen die Hacker ebenfalls – und warten mitunter auf den richtigen Moment, um ihren Angriff zu starten. Im schlimmsten Fall sind die Hacker bereits in einer Umgebung verankert und passen nur den besten Zeitpunkt ab, um Daten zu verschlüsseln. Sind die Daten zum ungünstigsten Zeitpunkt erst einmal verschlüsselt, erhöht das die Wahrscheinlichkeit, dass Unternehmen Lösegelder bezahlen, um die dringend benötigten Systeme schnell wieder zum Laufen zu bringen.

Wiederherstellung kann Tage bis Wochen dauern

Idealerweise sind die Abwehrmaßnahmen eines Unternehmens so gut, dass es erst gar nicht Opfer einer erfolgreichen Ransomware-Attacke wird. Die täglichen Meldungen über erfolgreiche Attacken lehren uns allerdings, dass es eine hundertprozentige Abwehr gegen die gewieften Angreifer derzeit noch nicht gibt. Damit sollten Firmen auf die zweitbeste Abwehr setzen: Lassen sich Systeme schnell wiederherstellen, nimmt das den Angreifer den Wind aus den Segeln. In der Realität ist die schnelle Wiederherstellung jedoch nicht so einfach. Der Hauptgrund dafür ist, dass Unternehmen auch für ihre kritischen Anwendungen auf veraltete Backup-Technologien setzen. Das mag bei sehr kleinen Umgebungen vielleicht noch funktionieren. Bei größeren kann die Wiederherstellung jedoch Tage oder Wochen dauern. Wie kommt es jedoch dazu, dass gehackte Unternehmen eine so lange brauchen, um ihre IT wieder zum Laufen zu bringen?

Dauer der Wiederherstellung muss Work Recovery Time beinhalten

Das grundlegende Problem bei der Wiederherstellung liegt im Unterschied zwischen Anwendungen und Servern. Legacy Backup Tools schützen nur einzelne Server. Eventuell können zwar Servergruppen gebildet werden, nichtsdestotrotz wird innerhalb des Backup-Jobs jeder Server einzeln zu einem anderen Zeitpunkt geschützt. Damit ist das Problem bei der Wiederherstellung schon zum Zeitpunkt des Backups vordefiniert. Wenn der Backup-Administrator mit dem Wiederherstellen der Server fertig ist, geht die eigentliche Arbeit erst richtig los. Denn dann gilt es, aus der Ansammlung einzelner VMs wieder eine funktionierende Anwendung zu schaffen. Dazu sind je nach Anwendung unterschiedliche Verfahren notwendig, die meist nur sehr wenige Personen im Unternehmen durchführen können oder dürfen. Der Prozess, eine komplette Anwendung wiederherzustellen, umfasst die Zeitspanne RTO + WRT (Recovery Time Objective + Work Recovery Time).

Dieser komplette Ablauf kann je nach Größe und Komplexität der wiederherzustellenden Anwendungen einige Stunden in Anspruch nehmen. Genau dort liegt das Problem, wenn durch einen Ransomware-Angriff sämtliche Applikationen eines Unternehmens lahmgelegt werden. Die Anzahl der Mitarbeiter, die imstande sind, die Daten wiederherzustellen und die Anwendungen neu zu starten, ist sehr gering. Man kann sich leicht ausrechnen, wie lange es dauern würde, 200 kritische Anwendungen wiederherzustellen, wenn die mittlere Wiederherstellungszeit pro Anwendung sechs Stunden beträgt und zwei Teams mit den nötigen Kenntnissen und Berechtigungen zur Verfügung stehen, 18 Stunden am Tag arbeiten: exakt 33 Tage. Genau dieser Problematik sind sich erschreckend viele Unternehmen leider nicht bewusst. Sie lernen die Eigendynamik eines solchen Systems erst im Ernstfall kennen – dann aber ist es zu spät.

Warum wird das Risiko unterschätzt?

Im Alltag der meisten Unternehmen kam es in den letzten Jahren meist nur zu Ausfällen einzelner Applikationen. Für die Wiederherstellung stand dann immer die ganze Aufmerksamkeit sowohl der Backup- als auch der Applikationsfachleute zur Verfügung und die Wiederherstellung erfolgte in einer entsprechend akzeptablen Zeit von wenigen Stunden. Erfahrungen mit Ausfällen im großen Stil gibt es aus der Praxis in der Regel nicht. Und die sogenannten DR- oder K-Fall-Tests werden regelmäßig in Prüfung bestanden. Das wiegt Unternehmen in Sicherheit. Aber diese Tests haben kaum Aussagekraft für den Fall eines groß angelegten Ransomware-Angriffs. Denn diese werden typischerweise nur auf Basis eines HA-Tests durchgeführt und auf Backup-Umgebungen, die generell keine Recovery-Tests von mehr als 100 Applikationen erlauben. Also geht man davon aus, dass die Standardmaßnahmen, die beim normalen Restore praktiziert werden, notfalls auch im großen Stil funktionieren. Dieser Irrglaube bleibt hartnäckig bestehen, weil nahezu alle namhaften Backup-Anbieter ihre Produkte auch als Lösung für Disaster Recovery anpreisen.

Wissen, was läuft

Täglich die wichtigsten Infos aus dem ITK-Markt

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

Wiederherstellung in wenigen Minuten mit ein paar Klicks

Die Lösung dieses Problems ist sowohl theoretisch als auch praktisch relativ einfach: Man sollte statt Server von Beginn an Anwendungen als Konsistenzgruppen schützen. Entsprechend moderne Lösungen, die kontinuierliche Datensicherung, kurz CDP, anstatt von periodischen Backups für Backup nutzen, gibt es am Markt bereits. Diese Lösungen führen Disaster Recovery, Backup, und Cloud-Mobilität in einer einzigen, einfachen und skalierbaren Lösung zusammen. Sie bieten die Grundlage für eine kontinuierliche Datenreplikation ohne Beeinträchtigung der Performance und ermöglicht die konsistente Wiederherstellung von Anwendungen von vor wenigen Sekunden bis vor Jahren. Ein Journal vereint die kurz- und langfristige Speicherung der Daten und erlaubt dank Orchestrierung die Wiederherstellung von Dateien, VMs, Anwendungen oder ganzen Rechenzentren in einem benutzerfreundlichen Workflow mit nur wenigen Klicks. Diese Workflows sind plattformübergreifend konsistent und beinhalten ein einfaches Failover auf einen sekundären Standort – und die einfache Wiederherstellung einer Datei, VM oder einer gesamten Anwendung. Diese Orchestrierung und Automatisierung ermöglicht es Unternehmen, alles vorzudefinieren, um Workloads wie Boot-Reihenfolgen, die Verknüpfung von IPs oder Netzwerk erfolgreich mit wenigen Klicks wiederherzustellen.

Backups reichen als Schutz nicht aus

In der heutigen Bedrohungslandschaft wissen Ransomware-Angreifer genau, wann ein Angriff den größten Schaden anrichten kann. Um den schlimmsten Fall zu verhindern, verlassen sich viele Unternehmen zu sehr auf Backups und vergessen dabei, dass es dann im Ernstfall Wochen dauern kann, um alle kritischen Anwendungen wieder herzustellen. Um ein mögliches Ransomware-Worst-Case-Szenario auszuschließen, ist ein schneller Wiederanlauf jedoch entscheidend. Moderne Lösungen ermöglichen die Wiederherstellung komplexer Anwendungen in sehr kurzer Zeit und senken damit die Ausfallzeit dramatisch auf nur wenige Minuten.

Dieser Artikel erschien zuerst auf unserem Partnerportal Industry of Things.

* Reinhard Zimmer ist Regional Sales Manager bei Zerto.

(ID:48488115)