ProLion Team, Oktober 2022

Backups und Ransomware: Theorie gegen Praxis

Table of contents

Newsletter

Dieses Feld dient zur Validierung und sollte nicht verändert werden.

Die Ransomware Pandemie hat die Welt weiterhin fest im Griff. Seit 2020 steigt die Anzahl der Ransomware Angriffe signifikant an, und es gibt keinerlei Anzeichen dafür, dass die Gefahr die von den Hackergruppierungen ausgeht, bald abnimmt. Zwischen 2019 und 2020 wurde ein Anstieg der Attacken von nicht weniger als 150% registriert, 2021 waren es immer noch 105%. Zudem zeichnet sich auch eine Weiterentwicklung in den Methoden der Umsetzung dieser Ransomware Angriffe und dem Verhalten der Angreifer nach der Infiltration ab. 

Leider sind die meisten Organisationen immer noch nicht ausreichend gegen die neue Bedrohung gewappnet. Viele Unternehmen verlassen sich dabei in Hinblick auf ihr wertvollstes Gut, die Daten, übermäßig auf Backups. Allerdings bieten solche alleine nicht das Niveau an Schutz, welches eigentlich benötigt wäre. 

In einem realen Angriffsszenario kann es passieren, dass Backups nicht einmal bei den Wiederherstellungsmaßnahmen helfen können, was Unternehmen, die keine weiteren Schutzmechanismen zur Verfügung haben, einem hohen Risiko aussetzt. 

Wir werden aufzeigen, warum Organisationen einen proaktiveren und vor allem präventiveren Ansatz wählen sollten, um ihre Daten ausreichend vor Ransomware zu schützen.

Das Backup Versprechen: warum die Theorie nicht standhält 

Backups dienen Organisationen dazu, ihre Daten bei Bedarf schnell wiederherstellen zu können, sollten sie, zum Beispiel durch einen Ransomware Angriff, beschädigt worden sein. Dank der Backups, so die Theorie, können Unternehmen gelöschte oder beschädigte Dateien schnell wieder zurückbekommen, und somit Betriebsausfälle und Downtime vermeiden. Idealerweise verhindert dies auch, dass im Falle eine Ransomware Attacke Lösegeld gezahlt werden muss. 

Leider hält diese idyllische Vorstellung der Realität kaum Stand. 

Im Idealfall macht eine angegriffene Organisation alles richtig, die Wiederherstellung des Backups funktioniert, die Firma bekommt innerhalb weniger Stunden ihre Daten wieder und kehrt schnell zur Tagesroutine zurück – ohne nennenswerte Unterbrechung der Geschäftstätigkeit. 

Aber eine solche Situation hat wenig mit der Realität nach einem Ransomware Angriff zu tun. Wenn ein Angriff, speziell tatsächlich eine verheerende Ransomware Attacke, stattfindet, führt dies zwangsläufig zu Konfusion. Sowohl die Security Teams als auch das Management müssen sich, oft in einer durch Kommunikationssystemausfälle erschwerte Situation, gleichzeitig um unzählige Prioritäten und Pflichten kümmern, die ihre sofortige Aufmerksamkeit verlangen. Viel Zeit kann vergehen, bis das Thema Backup in ihren Fokus rückt. Durch diese Verzögerung wird ein Backup ein immer ineffizienteres Mittel.  

Ransomware Gruppen wissen um Backups bescheid 

Backups sind zudem alles andere als eine Geheimwaffe. Ransomware Angreifer wissen sehr gut über diese, sowie um Wege, diese zu umgehen, bescheid. Einer dieser Wege sind die so genannten Double und Triple Extortion Strategien, die das Stehlen und Veröffentlichen von Daten beinhalten, was Backups natürlich nicht zu verhindern wissen. 

So manche Ransomware Software wurde sogar spezifisch dazu entwickelt, Backups anzugreifen. Die berüchtigte Hacker Gruppe Conti ist bekannt dafür, Backups aktiv anzugreifen, und ist oftmals erfolgreich damit, diese nutzlos zu machen. Dieses Jahr wurden beispielsweise Schwachpunkte in der Backupsoftware von Veeam gefunden, welche von Ransomware ausgenutzt werden kann. Eine bekannte Sicherheitslücke wurde gleich mehrfach ausgenutzt, um verschiedene Unternehmen zu infizieren. 

Die Angreifer wissen nämlich genau, dass Backups ihrem Plan, die Daten einer Organisation unzugänglich zu machen, einen Strich durch die Rechnung machen können und greifen diese zuerst an. Wenn ein Unternehmen angegriffen wird, stellen kompetente Hacker sicher alle Backups unzugänglich zu machen oder zu löschen, bevor Daten verschlüsselt werden. 

Backups werden zu selten getestet 

Allzu oft hört man Geschichten rund um Backups, die während oder nach Ransomware Angriffen nicht funktionieren, und Teil des Problems sind oftmals Überkomplikation oder Vernachlässigung. Denn das Backup einer gesamten Organisation unterscheidet sich stark von jener eines einzigen Geräts. Nicht nur, dass es sehr viele Geräte und Abhängigkeiten zu berücksichtigen gilt, sondern auch dass die Verwaltung regelmäßiger Backups die Geschäftskontinuität beeinträchtigen können. 

Das kann zu ineffektiven Backups oder zu Backups, die nicht regelmäßig durchgeführt und auf ihre ordentliche Funktionstüchtigkeit getestet werden, führen. Wenn eine Organisation von Ransomware angegriffen wird, findet sie oftmals heraus, dass ihre Backups einfach nicht funktionieren oder das letzte Update zu lange zurückliegt, um nützlich zu sein. 

Organisationen sollten in präventive und proaktive Services investieren 

Wenn man sich nur auf Backups verlässt, verlässt man sich nicht nur auf etwas, dass möglicherweise nicht funktioniert, sondern verabsäumt es gleichzeitig, Maßnahmen zu setzen, die Ransomware Angriffe verhindern. Backups sind alles andere als nutzlos, aber sie sollten niemals die einzige oder wichtigste Verteidigungslinie gegen Ransomware sein. 

Wenn eine Organisation von Ransomware attackiert wird, ist das ein Zeichen von Angreifbarkeit, dass auch zu weiteren Cyberangriffen, oftmals auch wiederholte Ransomware Angriffen, führen kann. 80% der angegriffenen Unternehmen werden wiederholt attackiert.

Unternehmen sind daher gut beraten, in Technologie zu investieren, welche Bedrohungen erkennt und beseitigt, bevor Organisationen kompromittiert werden können. Diese Tools sollten zwar überall im Einsatz sein, sind aber speziell in hybriden Arbeitsumgebungen unabdinglich, wenn die Angriffsflächen besonders groß sind. Um Ransomware zu begegnen, sollten Unternehmen Erkennungsservices, die auf Mustererkennung basieren und zudem automatisiert eingreifen, nutzen. 

In Kombination mit anderen Erkennungs- und Präventionsservices, aber auch Backups, kann eine Organisation ein mehrschichtiges Verteidigungskonstrukt schaffen, das Ransomware effektiv bekämpfen kann, während die Menge an Schaden, die eine erfolgreiche Attacke anrichtet, im schlimmsten Fall zumindest reduziert wird. 

Durch die Platzierung von solch weiteren Schutzmechanismen, können Organisationen Zeit, Geld und Ressourcen sparen, indem Attacken eher verhindert werden. Selbst wenn ein Backup funktioniert, ist ein Unternehmen immer noch mit Wiederherstellungsmaßnahmen beschäftigt, bis die Schäden wieder beseitigt sind. Unabhängig von dem Backup dass genutzt wird, resultiert dies immer noch in verlorenen Ressourcen und möglicherweise Umsatz. 

Die guten Nachrichten? Unsere Lösung CryptoSpike erkennt und blockiert Ransomware Angriffe die versuchen auf ihre Daten zuzugreifen, und isoliert infizierte User unmittelbar.