Backups im Visier Die perfiden Methoden der Hacker

Autor / Redakteur: Christoph Storzum* / Dr. Jürgen Ehneß

Die Wiederherstellung von Daten über Backups gehört zu den ersten Antworten eines Unternehmens auf einen Cyberangriff. Die Hacker haben aber längst aufgerüstet und spezielle Malware entwickelt, die in der Lage ist, auch die Sicherungskopien zu zerstören. Unternehmen müssen angesichts dieser Bedrohung Gegenmaßnahmen treffen, um ihr wertvollstes Gut, sprich ihre Daten, zu schützen.

Firma zum Thema

Ein zusätzlicher „Cyber Vault“, der neben der regulären Backup-Umgebung die wichtigsten Daten und Anwendungen in einer abgeschotteten Umgebung vorhält, schützt Unternehmen vor Hackern.
Ein zusätzlicher „Cyber Vault“, der neben der regulären Backup-Umgebung die wichtigsten Daten und Anwendungen in einer abgeschotteten Umgebung vorhält, schützt Unternehmen vor Hackern.
(Bild: gemeinfrei / Pixabay )

Die Zunahme von Cyberattacken in den vergangenen Jahren ist gravierend, und fast jedes Unternehmen ist inzwischen ins Visier von Hackern geraten. Haben sich Kriminelle früher auf Denial-of-Service-Angriffe und Datendiebstahl spezialisiert, geht es jetzt vor allem darum, gezielt Daten zu vernichten, um den Geschäftsbetrieb zu stören, oder durch Verschlüsselung hohe Lösegeldforderungen zu stellen.

Ransomware, bis vor ein paar Jahren eher ein Thema für Insider, ist inzwischen in aller Munde. Der Angriff mit der Erpresser-Software Petya/NotPetya, die eine bekannte Schwachstelle in Microsoft ausgenutzt hat, so dass sich der Wurm selbstständig über das Netzwerk ausbreiten konnte, infizierte 2017 binnen weniger Tage die IT-Systeme von kleinen Unternehmen bis hin zu denen von Großkonzernen. Seither folgten in regelmäßigen Abständen weitere Angriffe mit Ransomware – heute führt eine Cyberattacke viel wahrscheinlicher zu einem Ausfall der IT und des Unternehmens als irgendeine Naturkatastrophe. Unternehmen müssen deshalb ihre Daten mit modernsten Technologien sichern und zusätzlich die Backups vor Ransomware und anderen Sicherheitsrisiken schützen.

Kein hundertprozentiger Schutz

Noch immer konzentrieren sich die meisten Unternehmen auf die klassischen Schutz- und Aufdeckungsmaßnahmen. Aber selbst bekannte Security-Anbieter müssen zugeben, dass es keine hundertprozentige Sicherheit gibt – ein bestimmter Prozentsatz von Angriffen wird immer erfolgreich sein. Für Unternehmen, die keinen soliden Wiederherstellungsplan für den Fall einer Ransomware-Attacke aufgestellt haben, mag die Lösegeldzahlung daher wie die einzig verbleibende Option erscheinen. Denn eine Wiederherstellung der Daten ist nicht nur ein zeitaufwändiger Prozess, ohne zu wissen, wie es um die Qualität der Daten und Systeme bestellt ist.

Oftmals besteht auch die Gefahr, dass die Backups selbst beschädigt oder verschlüsselt wurden. Viele Unternehmen gehen deshalb lieber auf die Lösegeldforderung ein, selbst wenn nicht garantiert ist, dass die Kriminellen die Daten wirklich freigeben oder nicht sogar einen weiteren Angriff fahren. Dabei reicht Hackern bereits eine einzige Schwachstelle: Menschliches Versagen, Phishing mit täuschend echt aussehender E-Mail-Kommunikation oder absichtliche Manipulationen durch einen verärgerten Mitarbeiter können die Lücke sein, die Datendiebe benötigen.

Weiterentwickelte Verbrecher

Trotzdem gelten Backups bei Dateiverschlüsselung, Datenmanipulation, Änderungen der Directory Services oder Manipulationen an den Zugangsberechtigungen zunächst einmal als „last resort“, falls alle anderen Security-Maßnahmen einen Angriff nicht verhindern konnten. Mit dieser auf den ersten Blick sicheren Methode soll die IT-Umgebung wieder in den Ausgangsstatus zurückversetzt werden.

Das Problem: Die Methoden der Hacker haben sich weiterentwickelt. Zunehmend setzen sie Malware ein, mit deren Hilfe sie sich auf die Suche nach gespeicherten Backups und die Identifizierung von Backup-Dateien machen können sowie gleichzeitig alle Mittel zerstören, mit denen sich ein Unternehmen erholen kann. Die Scripts und ausführbare Dateien sind so programmiert, dass sie bestimmte Dateitypen finden, APIs von Backup-Anwendungen ausnutzen und alles versuchen, um Zugang zu den Backups zu bekommen und sie dann zu zerstören. Wenn ein Unternehmen nach einer Verschlüsselung oder Zerstörung der primären Storage-Umgebung auch garantiert keine Restore-Möglichkeiten mehr zum Recovery heranziehen kann, entfaltet die Attacke ihre volle Wirkung.

Die drei folgenden Ransomware-Beispiele zeigen, wie die Hacker dabei vorgehen: Zenis beispielsweise deaktiviert den Dienst Volume Shadow Copy, also den Systemdienst zur Erzeugung und Bereitstellung von Versionsständen, löscht die temporären Sicherungsdateien und beendet die Reparatur der Inbetriebnahme sowie den Windows-Backup-Prozess. CryptoWall wiederum löscht unter Nutzung von API-Calls Restore-Punkte von virtuellen Maschinen.

SamSam schließlich ist ein besonders gründliches Verschlüsselungswerkzeug, das nicht nur Arbeitsdateien unbenutzbar machen kann, sondern auch Programme, die für den Betrieb eines Windows-Computers nicht essentiell sind und von denen die meisten daher nicht routinemäßig gesichert werden. Dabei sieht sich SamSam nach mehr als 40 spezifischen File-Typen um. Sobald alle Laufwerke aufgelistet sind, mit denen der angegriffene Computer verbunden ist, werden die entsprechenden Dateien gelöscht.

Offline reicht nicht – Hacker greifen gezielt Backups an

Ein reines Offline-Medium, also ein externes Band, das irgendwo verstaut wird, reicht mittlerweile nicht mehr aus. Die Attacken laufen inzwischen so gezielt ab, dass selbst die Backup-Repositories und -Datenbanken, die wissen, wo welche Daten wie gesichert sind, um diese wieder herstellen zu können, zerstört oder selbst mit verschlüsselt werden. Daher ist es notwendig, eine komplette Backup-Umgebung inklusive der Managementtools zum Recovery in einer abgeschotteten Umgebung vorzuhalten.

Viele der heute erhältlichen Backup-Produkte verfügen über ein gewisses Maß an Analysefunktionen, um festzustellen, ob bestimmte Daten beschädigt wurden. Jedoch basieren die meisten nur auf Metadaten und betrachten lediglich grundlegende Informationen über eine Datei oder Datenbank. Andere verwenden die Metadatenanalyse beim ersten Durchgang und verfolgen verdächtige Ergebnisse dann mit inhaltsbasierten Analysen weiter.

Dieser Ansatz ist jedoch fehlerhaft und kann kompliziertere Angriffsvektoren übersehen, wodurch bei Unternehmen ein trügerisches Sicherheitsgefühl entsteht. Ein umfassender inhaltsbasierter analytischer Scan, der von Anfang an eingesetzt wird, validiert die Integrität der Daten und stellt so sicher, dass selbst fortgeschrittene oder versteckte Angriffe gefunden und neutralisiert werden.

Goldkopie im Backup-Tresor

Als sozusagen letzte Verteidigungslinie gegen Cyberangriffe benötigen Unternehmen neben der regulären Backup-Umgebung einen zusätzlichen „Cyber Recovery Vault“. In diesem Tresor liegt, physisch und logisch von anderen Systemen und Standorten isoliert, eine sogenannte „Goldkopie“ wichtiger Daten. Diese sauberen, nicht veränderbaren Backups sind in der abgeschotteten Umgebung für etwaige Angreifer unerreichbar, und zwar selbst dann, wenn sie es schon in das Netzwerk geschafft haben.

Intern sind die Kopien nur über einen autorisierten Zugriff verfügbar, was Saboteure im eigenen Unternehmen blockiert. Eine begleitende Sicherheitsanalyse sucht nach Indikatoren für kompromittierte Daten und hilft so, das Wer, das Wie und das Wo zu ermitteln, damit sich Unternehmen schnell von einer Cyberattacke erholen können. Wichtig sind in diesem Umfeld automatisierte Workflow-, Analyse- und Wiederherstellungstools, um manuelle Fehler, insbesondere in der Stresssituation eines Angriffs, ausschließen zu können. Genauso entscheidend ist es, dass die eingesetzten Sicherheitslösungen sämtliche Hardware- und Software-Komponenten, von physikalischen Umgebungen und Applikationsintegrationen über Cloud-Deployments bis hin zur Automation eines abgeschotteten Cyber Vaults, unterstützen.

Christoph Storzum, Dell Technologies: „Cyberkriminelle haben es auf Backups abgesehen. Eine reine Offline-Haltung von Daten reicht allerdings nicht aus, um gegen die immer raffinierteren Methoden der Hacker geschützt zu sein.“
Christoph Storzum, Dell Technologies: „Cyberkriminelle haben es auf Backups abgesehen. Eine reine Offline-Haltung von Daten reicht allerdings nicht aus, um gegen die immer raffinierteren Methoden der Hacker geschützt zu sein.“
(Bild: Dell)

Unternehmen müssen heute stärker als jemals zuvor ein modernes Backup-Konzept als ergänzenden Bestandteil einer umfassenden Security-Strategie etablieren. Eine reine Offline-Haltung reicht nicht aus. Vielmehr braucht es einen kompletten Security-Layer auch im Backup, um gegen alle Bedrohungen gewappnet zu sein.

*Der Autor: Christoph Storzum ist Director Commercial Sales Data Protection Solutions bei Dell Technologies

Das neue Storage-Kompendium zum kostenfreien Download

Die Zeiten, in denen Backups ausschließlich auf Tape angefertigt wurden, sind vorbei. Heute stellt sich die Situation bezüglich Backup-Medien und -Strategien deutlich vielfältiger dar, was auch zu Unsicherheiten führt.

Backup & Archivierung – gestern, heute und morgen

Storage-Kompendium Backup & Archivierung
Storage-Kompendium Backup & Archivierung
(Bildquelle: Storage-Insider)

Die Hauptthemen sind:
# Auf dem Weg zur passenden Backup-Strategie
# Cloud-Backup und Hybrid-Backup
# Tape – der wehrhafte Dinosaurier
# Datensicherheit und Storage: Welche gesetzlichen Vorgaben gelten?
# Langzeitarchivierung mit Objektspeicherung
# Unstrukturierte Daten ohne Backup schützen
# Erstklassige Backup- und Archivierungsstrategie


>>> Storage-Kompendium „Backup & Archivierung“ downloaden

(ID:47085521)