Von Edwin Weijdema, Field CTO EMEA and Lead Cybersecurity Technologist bei Veeam
Ransomware, die es auf Privatpersonen, Unternehmen und Regierungen gleichermaßen abgesehen hat, ist zu einer der größten Bedrohungen der IT-Sicherheit geworden. Wenn Hacker wertvolle Daten verschlüsseln und saftige Lösegelder fordern, legt dies den Betrieb lahm und verursacht schwere finanzielle Einbußen und enormen Reputationsschaden. Es gibt Angriffe, die in der Vergangenheit für große Schlagzeilen gesorgt haben, doch die Ransomware-Bedrohung ist für praktisch jedes Unternehmen zu einer bedauerlichen Realität geworden. Laut dem Veeam Data Protection Trends Report 2023 waren 85 Prozent der Unternehmen im vergangenen Jahr von mindestens einem Ransomware-Angriff betroffen, und knapp die Hälfte, nämlich 48 Prozent, sogar von zwei oder drei Attacken.
Da Hacker ihre Taktik ständig ändern und neue Wege finden, um Sicherheitsmaßnahmen zu umgehen, ist es bloß eine Frage der Zeit, wann ein Angriff erfolgreich sein wird. Herkömmliche Prävention, wie durch Firewalls und Antiviren-Software, ist nach wie vor wichtig, reicht aber nicht aus. Unternehmen müssen robuster Datensicherheit den Vorrang einräumen, um die Auswirkungen auf den Betrieb, die Geschäftskontinuität und den Ruf zu minimieren. Viele erkennen zwar die Bedeutung dieses Wandels, doch um sich gegen Ransomware-Angriffe zu wappnen, muss mehr Gewicht auf die Stärkung der Notfall- und Wiederherstellungspläne und -prozesse gelegt werden.
Lösegeld zu zahlen entspricht nicht erfolgreicher Wiederherstellung von Daten
Die Zahlung des Lösegelds ist keine Option und ein einfaches Backup der Daten ebenso wenig. Unser Veeam Ransomware Trends Report 2023 zeigte, dass sich die Mehrheit (80 Prozent) der Unternehmen im vergangenen Jahr für die Zahlung des Lösegelds entschieden hat, um einen Angriff zu beenden und ihre Daten wiederherzustellen, ein Anstieg von 4 Prozent im Vergleich zum Vorjahr, obwohl 41 Prozent der Unternehmen eine „Do-Not-Pay“-Richtlinie (aka „Zahlen-Verboten“-Richtlinie) in Bezug auf Ransomware eigentlich einhalten müssen. Von denjenigen, die das Lösegeld bezahlt haben, konnten nur 59 Prozent ihre Daten wiederherstellen, während 21 Prozent ihre Daten trotzdem verloren. Warum ein einfaches Backup nicht ausreicht, beantwortet der Report auch: Es zielen über 93 Prozent der Angreifer auch auf Backups ab und waren in 75 Prozent der Fälle erfolgreich darin, die Wiederherstellungsmöglichkeiten ihrer Opfer zu beeinträchtigen. Aus diesem Grund muss eine durchdachte Strategie für die Notfallwiederherstellung vorhanden sein.
Ein zuverlässiger Disaster Recovery-Prozess besteht aus drei Phasen: Vorbereitung, Reaktion und Wiederherstellung. Zur Vorbereitung gehören unveränderliche Backups und ein vorbereiteter Wiederherstellungsort. Daran denken viele Unternehmen erst, wenn es zu spät ist. Die ursprüngliche Umgebung kann nicht wiederhergestellt werden, sie ist gefährdet und ein aktiver Tatort. Es ist nicht empfehlenswert zum ersten Mal eine neue Cloud-Umgebung vorzubereiten und diese erst in die Gänge bekommen zu müssen, wenn ein Ransomware-Angriff schon im Gange ist. Zu einer wirksamen Katastrophenhilfe gehören die Meldung und Eindämmung des Vorfalls, eine definierte operative Reaktion und forensische Untersuchungen, um sicherzustellen, dass man weiß, was wirklich betroffen ist und welche Umgebungen oder Backups beschädigt worden sind.
Die richtige Basis finden
Die Vorbereitung auf die Wiederherstellung im Katastrophenfall ist nur dann effektiv, wenn die Sicherungskopien quasi „kugelsicher“ sind. Wenn eine Firma nur eine einzige Kopie besitzt und diese während des Angriffs beschädigt wird, stehen die Verantwortlichen vor dem Nichts bzw. wieder ganz am Anfang. Vor diesem Hintergrund müssen Unternehmen stattdessen ein paar goldene Regeln befolgen, um ihre Cyber-Resilienz zu erhöhen.
- Sicherheitsteams brauchen eine unveränderliche Kopie der kritischen Daten, damit Hacker sie nicht verändern oder verschlüsseln können.
- Die Datenverschlüsselung ist von entscheidender Bedeutung, um gestohlene oder beschädigte Daten für Cyberkriminelle unzugänglich und unbrauchbar zu machen.
- Der wichtigste Aspekt bei der Stärkung Ihrer Strategie ist die Einhaltung der 3-2-1-1-0- Backup–Regel. Diese ist für die Gewährleistung einer zuverlässigen Datensicherung und Datenwiederherstellung von entscheidender Bedeutung. Sie besagt, dass mindestens drei Kopien der Daten aufbewahrt werden müssen, um sicherzustellen, dass selbst dann, wenn zwei Kopien gefährdet sind oder ausfallen, eine zusätzliche Kopie zur Verfügung steht. Denn die Wahrscheinlichkeit, dass drei Speichergeräte gleichzeitig ausfallen, ist gering. Unternehmen sollten diese Sicherungskopien auf zwei verschiedenen Medien speichern, beispielsweise eine Kopie auf einer internen Festplatte und eine weitere in der Cloud. Eine Kopie sollte immer an einem sicheren, externen Ort gelagert werden, während eine andere Kopie offline (air-gapped) ohne Verbindung zur primären IT-Infrastruktur aufbewahrt werden sollte. Schlussendlich ist die Null von entscheidender Bedeutung: Die Backups sollten keine Fehler bei der Wiederherstellung verursachen. Um dies zu erreichen, müssen regelmäßige Tests durchgeführt werden, die idealerweise durch eine ständige Überwachung des Wiederherstellungsprozesses und die Schulung der Fachkräfte ergänzt werden sollten.
Dem Würgegriff der Ransomware entkommen
Es besteht kein Zweifel daran, dass sich Ransomware-Angriffe immer weiterentwickeln und an Umfang, Raffinesse und Auswirkungen zunehmen werden. Es geht nicht mehr um die Frage, wann ein Unternehmen zum Ziel eines Cyber-Angriffs wird, sondern wie oft. Diese Entwicklung hat dazu geführt, dass sich die Schutzmaßnahmen gegen Ransomware von der Prävention zur Wiederherstellung verlagern.
Sicherheit und Vorbeugung sind zwar nach wie vor wichtig, aber eine fehlerfreie und somit schnelle Wiederherstellung ist das Trumpf-Ass im Kampf gegen Ransomware. Es ist von entscheidender Bedeutung, dass jede Firma über einen durchdachten Notfallwiederherstellungsplan verfügt. Indem IT-Entscheider in moderne Datensicherungs- und Wiederherstellungstechnologien investieren und robuste Disaster Recovery-Pläne aufstellen, können Organisationen ihre Widerstandsfähigkeit signifikant stärken, sich schneller von Angriffen erholen und der Würgeschlange namens Ransomware entfliehen.