:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/20/ac20783291a95cf067da1ec768834933/0110551872.jpeg "Der Threat Report von Arctic Wolf Labs für 2023 zeigt, dass Cyberangriffe immer raffinierter werden und Unternehmen zunehmend Schwierigkeiten haben, mit der Bedrohung durch Ransomware, Social Engineering und Supply-Chain-Angriffe umzugehen. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/47/21/4721b85a3c99b2a726f2c14f10595d75/0110512209.jpeg "Eavesdropping-Angriffe zielen darauf ab, während einer Datenübertragung, Informationen wie Passwörter, Kartendetails und andere sensible Daten zu erbeuten. (Bild: Thaut Images - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/93/e9/93e95863466ebeeb1c1f44322f9429e0/0110510164.jpeg "Für ihr Projekt haben die Forschenden Tausende von mikroskopischen Aufnahmen von Mikrochips gemacht. Hier ist ein solcher Chip in einem goldenen Chipgehäuse zu sehen. Die untersuchte Chipfläche ist nur etwa zwei Quadratmillimeter groß. (Bild: RUB, Marquard)")
:quality(80)/p7i.vogel.de/wcms/6c/65/6c65a1a9648d14f9555e7e8e008a7f9c/0109735694.jpeg "Mit dem App Traffic Optimizer von Bitdefender können Nutzer jeder Anwendung Bandbreite auf Wunsch zuteilen. (Bild: Bitdefender)")
:quality(80)/p7i.vogel.de/wcms/ea/cb/eacb9148689dcc0aff98ad0fde8f3d1a/0110383284.jpeg "Das Wachstum des Internets der Dinge wird in den nächsten Jahren weitergehen. Die Kombination aus Netzwerk- und Sicherheitsfunktionen macht SASE interessant für Unternehmen, die über eine große Zahl an IoT-Devices verfügen. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d6/32/d63226d47fb28c9e31bd3b019621723f/0110317549.jpeg "Mit dem Aufkommen des vernetzten Internet of Medical Things (IoMT) nehmen auch Cyberbedrohungen zu (© MQ-Illustrations - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/39/2b39615bb59330a79c5721ff23b0e3de/0110385480.jpeg "Verschlüsselung ist als Mittel zur Datensicherheit gerade beim Transport oder Versand sensibler Daten unverzichtbar. Wir zeigen in diesem Beitrag zehn praktische Verschlüsselungstools für Dateien und USB-Sticks. (Bild: JustSuper - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/87/4c/874c0af5c15ec80f0d2e20afd9ca476b/0109840850.jpeg "Open-Source-Software birgt Risiken. Synopsys untersucht jährlich, welche das sind. (Bild: © – Words Collage Cloud – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5c/9e/5c9ee5f6c2154429c4adebfebd62c98b/0110293361.jpeg "Um Angriffe auf die Software-Supply-Chain und Cloud-Native-Infrastrukturen zu verhindern, brauchen Unternehmen den richtigen Sicherheitsansatz, basierend auf Best-Practice-Methoden. (Bild: thodonal - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fe/90/fe90d3face7af97b97babf86c0001d32/0110317541.jpeg "Privileged-Access-Management-Lösungen unterstützen Unternehmen bei der Abwehr von Cyberangriffen. Doch IT-Verantwortliche bemängeln, dass die PAM-Lösungen häufig zu komplex für einen nutzerfreundlichen Einsatz sind. (Bild: magele-picture - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc3f3ceb1b8e33ad874eb0fd6d3e225/0110390941.jpeg "So knacken Hacker Passwörter und das kann man als Schutz dagegen tun. (Bild: jariyawat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4c/b9/4cb9d66fafd8d20bf909bfd236e254b6/0110382436.jpeg "Zwar existiert heute noch kein Quantencomputer, der aktuelle Verschlüsselungsmethoden knacken kann, aber Unternehmen sollten dennoch schon heute entsprechende Vorbereitungen für den Tag treffen, wenn der Fall eintritt. (Bild: Siarhei - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/89/8d/898dc2faf5f0568d3672ac9179f4d906/0110552705.jpeg "Neue Leitlinien des Europäischen Datenschutzausschusses (EDSA) erläutern die praktische Anwendung der Zertifizierung als Instrument für Übermittlungen personenbezogener Daten in Drittländer. Allerdings können Datenschutzzertifikate allein das Datenschutzniveau in einem Drittland nicht garantieren und sind kein Ausweg bei Datentransfers. (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5a/ae/5aae0faab5e96030eec56fbdc19b5876/0110368604.jpeg ""Mit nachhaltiger Security gegen zukünftige Bedrohungen", ein Interview von Oliver Schonschek, Insider Research, mit Alexander Werkmann von IBM. (Bild: Vogel IT-Medien / IBM / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/b1/68/b168e398bcf5fb44337e5a40214e5f56/0109580616.jpeg "Eine API ist eine Schnittstelle zum strukturierten Austausch von Befehlen und Informationen zwischen Programmen oder Programmteilen, mit vorgegebener Syntax. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/67/31/673143fd658b9c7cf226919bfd404398/0109123296.jpeg "ISA-99 ist ein in der Normenreihe IEC 62443 aufgegangener Cybersecurity-Standard für industrielle Automatisierungs- und Steuerungssysteme (IACS). (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Backups im Visier Die perfiden Methoden der Hacker
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/118100/118185/65.jpg "VIT_Logo_Akademie.jpg ()")
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/p7i.vogel.de/companies/60/50/60506ac0f0156/cohesity-2-color-black-logo.png "Cohesity_2_Color_Black_Logo.png (Cohesity)"){kind=logo}
Die Wiederherstellung von Daten über Backups gehört zu den ersten Antworten eines Unternehmens auf einen Cyberangriff. Die Hacker haben aber längst aufgerüstet und spezielle Malware entwickelt, die in der Lage ist, auch die Sicherungskopien zu zerstören. Unternehmen müssen angesichts dieser Bedrohung Gegenmaßnahmen treffen, um ihr wertvollstes Gut, sprich ihre Daten, zu schützen.
Die Zunahme von Cyberattacken in den vergangenen Jahren ist gravierend, und fast jedes Unternehmen ist inzwischen ins Visier von Hackern geraten. Haben sich Kriminelle früher auf Denial-of-Service-Angriffe und Datendiebstahl spezialisiert, geht es jetzt vor allem darum, gezielt Daten zu vernichten, um den Geschäftsbetrieb zu stören, oder durch Verschlüsselung hohe Lösegeldforderungen zu stellen.
Ransomware, bis vor ein paar Jahren eher ein Thema für Insider, ist inzwischen in aller Munde. Der Angriff mit der Erpresser-Software Petya/NotPetya, die eine bekannte Schwachstelle in Microsoft ausgenutzt hat, so dass sich der Wurm selbstständig über das Netzwerk ausbreiten konnte, infizierte 2017 binnen weniger Tage die IT-Systeme von kleinen Unternehmen bis hin zu denen von Großkonzernen. Seither folgten in regelmäßigen Abständen weitere Angriffe mit Ransomware – heute führt eine Cyberattacke viel wahrscheinlicher zu einem Ausfall der IT und des Unternehmens als irgendeine Naturkatastrophe. Unternehmen müssen deshalb ihre Daten mit modernsten Technologien sichern und zusätzlich die Backups vor Ransomware und anderen Sicherheitsrisiken schützen.
Kein hundertprozentiger Schutz
Noch immer konzentrieren sich die meisten Unternehmen auf die klassischen Schutz- und Aufdeckungsmaßnahmen. Aber selbst bekannte Security-Anbieter müssen zugeben, dass es keine hundertprozentige Sicherheit gibt – ein bestimmter Prozentsatz von Angriffen wird immer erfolgreich sein. Für Unternehmen, die keinen soliden Wiederherstellungsplan für den Fall einer Ransomware-Attacke aufgestellt haben, mag die Lösegeldzahlung daher wie die einzig verbleibende Option erscheinen. Denn eine Wiederherstellung der Daten ist nicht nur ein zeitaufwändiger Prozess, ohne zu wissen, wie es um die Qualität der Daten und Systeme bestellt ist.
Oftmals besteht auch die Gefahr, dass die Backups selbst beschädigt oder verschlüsselt wurden. Viele Unternehmen gehen deshalb lieber auf die Lösegeldforderung ein, selbst wenn nicht garantiert ist, dass die Kriminellen die Daten wirklich freigeben oder nicht sogar einen weiteren Angriff fahren. Dabei reicht Hackern bereits eine einzige Schwachstelle: Menschliches Versagen, Phishing mit täuschend echt aussehender E-Mail-Kommunikation oder absichtliche Manipulationen durch einen verärgerten Mitarbeiter können die Lücke sein, die Datendiebe benötigen.
Weiterentwickelte Verbrecher
Trotzdem gelten Backups bei Dateiverschlüsselung, Datenmanipulation, Änderungen der Directory Services oder Manipulationen an den Zugangsberechtigungen zunächst einmal als „last resort“, falls alle anderen Security-Maßnahmen einen Angriff nicht verhindern konnten. Mit dieser auf den ersten Blick sicheren Methode soll die IT-Umgebung wieder in den Ausgangsstatus zurückversetzt werden.
Das Problem: Die Methoden der Hacker haben sich weiterentwickelt. Zunehmend setzen sie Malware ein, mit deren Hilfe sie sich auf die Suche nach gespeicherten Backups und die Identifizierung von Backup-Dateien machen können sowie gleichzeitig alle Mittel zerstören, mit denen sich ein Unternehmen erholen kann. Die Scripts und ausführbare Dateien sind so programmiert, dass sie bestimmte Dateitypen finden, APIs von Backup-Anwendungen ausnutzen und alles versuchen, um Zugang zu den Backups zu bekommen und sie dann zu zerstören. Wenn ein Unternehmen nach einer Verschlüsselung oder Zerstörung der primären Storage-Umgebung auch garantiert keine Restore-Möglichkeiten mehr zum Recovery heranziehen kann, entfaltet die Attacke ihre volle Wirkung.
Die drei folgenden Ransomware-Beispiele zeigen, wie die Hacker dabei vorgehen: Zenis beispielsweise deaktiviert den Dienst Volume Shadow Copy, also den Systemdienst zur Erzeugung und Bereitstellung von Versionsständen, löscht die temporären Sicherungsdateien und beendet die Reparatur der Inbetriebnahme sowie den Windows-Backup-Prozess. CryptoWall wiederum löscht unter Nutzung von API-Calls Restore-Punkte von virtuellen Maschinen.
SamSam schließlich ist ein besonders gründliches Verschlüsselungswerkzeug, das nicht nur Arbeitsdateien unbenutzbar machen kann, sondern auch Programme, die für den Betrieb eines Windows-Computers nicht essentiell sind und von denen die meisten daher nicht routinemäßig gesichert werden. Dabei sieht sich SamSam nach mehr als 40 spezifischen File-Typen um. Sobald alle Laufwerke aufgelistet sind, mit denen der angegriffene Computer verbunden ist, werden die entsprechenden Dateien gelöscht.
Offline reicht nicht – Hacker greifen gezielt Backups an
Ein reines Offline-Medium, also ein externes Band, das irgendwo verstaut wird, reicht mittlerweile nicht mehr aus. Die Attacken laufen inzwischen so gezielt ab, dass selbst die Backup-Repositories und -Datenbanken, die wissen, wo welche Daten wie gesichert sind, um diese wieder herstellen zu können, zerstört oder selbst mit verschlüsselt werden. Daher ist es notwendig, eine komplette Backup-Umgebung inklusive der Managementtools zum Recovery in einer abgeschotteten Umgebung vorzuhalten.
Viele der heute erhältlichen Backup-Produkte verfügen über ein gewisses Maß an Analysefunktionen, um festzustellen, ob bestimmte Daten beschädigt wurden. Jedoch basieren die meisten nur auf Metadaten und betrachten lediglich grundlegende Informationen über eine Datei oder Datenbank. Andere verwenden die Metadatenanalyse beim ersten Durchgang und verfolgen verdächtige Ergebnisse dann mit inhaltsbasierten Analysen weiter.
Dieser Ansatz ist jedoch fehlerhaft und kann kompliziertere Angriffsvektoren übersehen, wodurch bei Unternehmen ein trügerisches Sicherheitsgefühl entsteht. Ein umfassender inhaltsbasierter analytischer Scan, der von Anfang an eingesetzt wird, validiert die Integrität der Daten und stellt so sicher, dass selbst fortgeschrittene oder versteckte Angriffe gefunden und neutralisiert werden.
Goldkopie im Backup-Tresor
Als sozusagen letzte Verteidigungslinie gegen Cyberangriffe benötigen Unternehmen neben der regulären Backup-Umgebung einen zusätzlichen „Cyber Recovery Vault“. In diesem Tresor liegt, physisch und logisch von anderen Systemen und Standorten isoliert, eine sogenannte „Goldkopie“ wichtiger Daten. Diese sauberen, nicht veränderbaren Backups sind in der abgeschotteten Umgebung für etwaige Angreifer unerreichbar, und zwar selbst dann, wenn sie es schon in das Netzwerk geschafft haben.
Intern sind die Kopien nur über einen autorisierten Zugriff verfügbar, was Saboteure im eigenen Unternehmen blockiert. Eine begleitende Sicherheitsanalyse sucht nach Indikatoren für kompromittierte Daten und hilft so, das Wer, das Wie und das Wo zu ermitteln, damit sich Unternehmen schnell von einer Cyberattacke erholen können. Wichtig sind in diesem Umfeld automatisierte Workflow-, Analyse- und Wiederherstellungstools, um manuelle Fehler, insbesondere in der Stresssituation eines Angriffs, ausschließen zu können. Genauso entscheidend ist es, dass die eingesetzten Sicherheitslösungen sämtliche Hardware- und Software-Komponenten, von physikalischen Umgebungen und Applikationsintegrationen über Cloud-Deployments bis hin zur Automation eines abgeschotteten Cyber Vaults, unterstützen.
Unternehmen müssen heute stärker als jemals zuvor ein modernes Backup-Konzept als ergänzenden Bestandteil einer umfassenden Security-Strategie etablieren. Eine reine Offline-Haltung reicht nicht aus. Vielmehr braucht es einen kompletten Security-Layer auch im Backup, um gegen alle Bedrohungen gewappnet zu sein.
*Der Autor: Christoph Storzum ist Director Commercial Sales Data Protection Solutions bei Dell Technologies
(ID:47085521)
:quality(80)/images.vogel.de/vogelonline/bdb/1942500/1942512/original.jpg "Rubrik gibt seinen Kunden eine Garantie für Ransomware-Recovery in Microsoft Azure. (gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1934600/1934609/original.jpg "Der schlechteste Zeitpunkt, um festzustellen, dass Backups nicht funktionieren, ist unmittelbar nach einem Cyber-Angriff – deshalb muss die Datensicherung vorher getestet werden. (Gorodenkoff Productions OU)")