Ransomware-Angriffe: Warum die Datenwiederherstellung Trumpf ist

Einige Ransomware-Angriffe haben in der Vergangenheit für große Schlagzeilen gesorgt. Doch die Ransomware-Bedrohung ist für praktisch jedes Unternehmen zu einer bedauerlichen Realität geworden. Laut dem aktuellen „Data Protection Trends Report 2023“ von Veeam waren 85 Prozent der Unternehmen im vergangenen Jahr von mindestens einem Ransomware-Angriff betroffen. Und 48 Prozent sogar von zwei oder drei Attacken.

Da Hacker ihre Taktik ständig ändern und neue Wege finden, um Sicherheitsmaßnahmen zu umgehen, ist es bloß eine Frage der Zeit, wann ein Angriff erfolgreich sein wird. Herkömmliche Prävention, wie durch Firewalls und Antiviren-Software, ist nach wie vor wichtig, reicht aber nicht aus. Unternehmen müssen der Datensicherheit den Vorrang einräumen, um die Auswirkungen auf den Betrieb, die Geschäftskontinuität und den Ruf zu minimieren. Viele erkennen zwar die Bedeutung dieses Wandels. Doch um sich gegen Ransomware-Angriffe zu wappnen, müssen Security-Teams mehr Gewicht auf die Stärkung der Notfall- und Wiederherstellungspläne und -prozesse legen.

Ransomware-Angriffe: Lösegeldzahlung führt nicht zur Datenwiederherstellung

Die Zahlung des Lösegelds ist keine Option und ein einfaches Backup der Daten ebenso wenig. Der „Ransomware Trends Report 2023“ von Veeam zeigte, dass sich eine Mehrheit von 80 Prozent der Unternehmen im vergangenen Jahr für die Zahlung des Lösegelds entschieden hat, um einen Angriff zu beenden und ihre Daten wiederherzustellen, ein Anstieg von vier Prozent im Vergleich zum Vorjahr, obwohl 41 Prozent der Unternehmen eine „Do-Not-Pay“-Richtlinie (aka „Zahlen-Verboten“-Richtlinie) in Bezug auf Ransomware eigentlich einhalten müssen.

Von denjenigen, die das Lösegeld bezahlt haben, konnten nur 59 Prozent ihre Daten wiederherstellen, während 21 Prozent ihre Daten trotzdem verloren. Warum ein einfaches Backup nicht ausreicht, beantwortet der Report auch: Es zielen über 93 Prozent der Angreifer auch auf Backups ab und waren in 75 Prozent der Fälle erfolgreich darin, die Wiederherstellungsmöglichkeiten ihrer Opfer zu beeinträchtigen. Aus diesem Grund muss eine durchdachte Strategie für die Notfallwiederherstellung vorhanden sein.

Ablauf eines Disaster-Recovery-Prozesses

Ein zuverlässiger Disaster Recovery-Prozess besteht aus drei Phasen: Vorbereitung, Reaktion und Wiederherstellung. Zur Vorbereitung gehören unveränderliche Backups und ein vorbereiteter Wiederherstellungsort. Daran denken viele Unternehmen erst, wenn es zu spät ist. Die ursprüngliche Umgebung kann nicht wiederhergestellt werden, sie ist gefährdet und ein aktiver Tatort. Es ist nicht empfehlenswert zum ersten Mal eine neue Cloud-Umgebung vorzubereiten und diese erst in die Gänge bekommen zu müssen, wenn Ransomware-Angriffe schon im Gange sind. Zu einer wirksamen Katastrophenhilfe gehören die Meldung und Eindämmung des Vorfalls, eine definierte operative Reaktion und forensische Untersuchungen. Nämlich um sicherzustellen, dass man weiß, was wirklich betroffen ist und welche Umgebungen oder Backups der Angreifer beschädigt hat.

Die richtige Basis für die Datenwiederherstellung finden

Die Vorbereitung auf die Wiederherstellung im Katastrophenfall ist nur dann effektiv, wenn die Sicherungskopien quasi „kugelsicher“ sind. Wenn eine Firma nur eine einzige Kopie besitzt und diese während des Angriffs beschädigt wird, stehen die Verantwortlichen vor dem Nichts bzw. wieder ganz am Anfang. Vor diesem Hintergrund sollten Unternehmen stattdessen folgende wichtige Regeln befolgen, um ihre Cyber-Resilienz zu erhöhen.

Sicherheitsteams brauchen eine unveränderliche Kopie der kritischen Daten, damit Hacker sie nicht verändern oder verschlüsseln können.

Die Datenverschlüsselung ist von entscheidender Bedeutung, um gestohlene oder beschädigte Daten für Cyberkriminelle unzugänglich und unbrauchbar zu machen.

Zur Stärkung der Sicherheitsstrategie gehört die Einhaltung der 3-2-1-1-0- Backup–Regel. Diese ist für die Gewährleistung einer zuverlässigen Datensicherung und Datenwiederherstellung von entscheidender Bedeutung. Sie besagt, dass mindestens drei Kopien der Daten aufbewahrt werden müssen, um sicherzustellen, dass selbst dann, wenn zwei Kopien gefährdet sind oder ausfallen, eine zusätzliche Kopie zur Verfügung steht. Denn die Wahrscheinlichkeit, dass drei Speichergeräte gleichzeitig ausfallen, ist gering. Unternehmen sollten diese Sicherungskopien auf zwei verschiedenen Medien speichern, beispielsweise eine Kopie auf einer internen Festplatte und eine weitere in der Cloud.

Eine Kopie sollten Unternehmen immer an einem sicheren, externen Ort lagern. Während eine andere Kopie offline (air-gapped) ohne Verbindung zur primären IT-Infrastruktur aufbewahrt werden sollte. Schlussendlich ist die Null von entscheidender Bedeutung: Die Backups sollten keine Fehler bei der Wiederherstellung verursachen. Um dies zu erreichen, lassen sich regelmäßige Tests durchführen, die Unternehmen idealerweise durch eine ständige Überwachung des Wiederherstellungsprozesses und die Schulung der Fachkräfte ergänzen sollten.

Dem Würgegriff der Ransomware-Angriffe entkommen

Es besteht kein Zweifel daran, dass sich Ransomware-Angriffe immer weiterentwickeln und an Umfang, Raffinesse und Auswirkungen zunehmen werden. Es geht nicht mehr um die Frage, wann ein Unternehmen zum Ziel eines Cyber-Angriffs wird, sondern wie oft. Diese Entwicklung hat dazu geführt, dass sich die Schutzmaßnahmen gegen Ransomware von der Prävention zur Wiederherstellung verlagern.

Sicherheit und Vorbeugung sind zwar nach wie vor wichtig. Aber eine fehlerfreie und somit schnelle Wiederherstellung ist das Trumpf-Ass im Kampf gegen Ransomware. Es ist von entscheidender Bedeutung, dass jede Firma über einen durchdachten Notfallwiederherstellungsplan verfügt. Indem IT-Entscheider in moderne Datensicherungs- und Wiederherstellungs-Technologien investieren und robuste Disaster-Recovery-Pläne aufstellen, können Organisationen ihre Widerstandsfähigkeit signifikant stärken, sich schneller von Angriffen erholen und der Würgeschlange namens Ransomware entfliehen.

Über den Autor: Edwin Weijdema ist Field CTO EMEA and Lead Cybersecurity Technologist bei Veeam Software. Die Lösungen erhöhen die Widerstandsfähigkeit durch Datensicherheit, Datenwiederherstellung und Datenfreiheit für hybride Cloud-Strukturen. Die Veeam Data Platform liefert eine Lösung für Cloud, virtuelle, physische, SaaS- und Kubernetes-Umgebungen, mit der Unternehmen ihre Anwendungen und Daten schützen können. (sg)

Lesen Sie auch: Veeam Backup: Neue Funktionen für die Datensicherung von Microsoft 365