:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/76/f07608d8d7a5b66c68dd962e652507ac/0115101668.jpeg "Das Bezahlen von Lösegeld im Falle einer erfolgreichen Ransomware-Attacke ist zu kurz gedacht. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/03/64/0364674fa2ee58d04060445081ce3037/0115211734.jpeg "Mit aktuellen KI-Tools und Sicherheitsplattformen lassen sich shcon heute bis zu 70 Prozent aller Security-Vorfälle automatisiert abwickeln. Bleiben noch 30 Prozent der wirklich schwierigen Fälle, bei denen der Mensch nach wie vor selbst Hand anlegen muss. (Bild: Kaikoro - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/be/01bea1dcac017ca8dddcd85afd19ace1/0115184943.jpeg "Nathan Howe und Kevin Schwarz von Zscaler wagen den Blick in die Glaskugel und stellen zehn Prognosen für die IT-Sicherheit 2024 auf. (Bild: overrust - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7b/a4/7ba4275545a8dd842d7b5bfcadbf633c/0115184197.jpeg "Moderne Remote Support-Tools mit erweiterten Sicherheitslösungen bieten eine starke Ressource für IT-Teams, die aktuellen Sicherheitsanforderungen mit begrenzter Manpower zu meistern. (Bild: Deemerwha studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/77/24/772400bfb4a54a4d354988011ec4a914/0115198224.jpeg "Der Bericht nach dem Scannen zeigt die Verwundbarkeiten jedes einzelnen Kubernetes-Clusters. (Bild: Aqua Security)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/80/42/8042ab77a61420b1a5260486ba7224ab/0115183146.jpeg "Veritas 360 Defense soll Funktionen aus den Bereichen Datenschutz, Datensicherheit und Datenmanagement vereinen. (Bild: ©metamorworks, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/16/02/160267d3ecd7f3907f4f3ebe249e7b5b/0115143018.jpeg "Unternehmen sollten die Pro- und Contra-Argumente für On-Premise und Cloud bei E-Mail-Sicherheitslösungen für ihren individuellen Bedarf genau prüfen. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/c3/99c34cbcb787fb7e2effec09a190bb17/0114907624.jpeg "Bei der Überwachung und dem Auditing von Active Directory kommt man um den Einsatz spezialisierter Werkzeuge nicht herum. Wir haben uns 15 der besten Tools angesehen. (Bild: © Delta Amphule - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ab/24/ab24d00d76562a2b1ca0e7d9d06923f2/0115142429.jpeg "Totgesagte leben länger – das gilt wohl auch für Passwörter. Aber der Hype um MFA als hundertprozentige Sicherheitslösung ist ebenfalls übertrieben. (Bild: Alexander - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/a6/f6a621103ea58427487396f7d383509b/0115102621.jpeg "Die Implementierung einer User Lifecycle Management-Software vereinfacht und beschleunigt den Prozess der Benutzer- und Rechteverwaltung erheblich. (Bild: geniusstudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/00/540011b42c1b5fca2484ee1744887de5/0115185522.jpeg "Metriken bzw. KPIs sind für die IT-Security unerlässlich, um die Performance zu messen und somit effektiver auf Risiken zu reagieren. (Bild: Artem - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/30/34/3034da6c1f49a32546346fabf995ba62/0115184592.jpeg "Open Source-Projekte waren für Unternehmen früher eher eine Notlösung, jetzt sind sie oft eine bewusste strategische Entscheidung. (Bild: cacaroot - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Backups im Visier Die perfiden Methoden der Hacker
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/63/db/63dbd1915b7af/2023-fastlta-logo-square-positive.jpeg "2023-fastlta-logo-square-positive (FAST LTA GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/p7i.vogel.de/companies/60/50/60506ac0f0156/cohesity-2-color-black-logo.png "Cohesity_2_Color_Black_Logo.png (Cohesity)"){kind=logo}
Die Wiederherstellung von Daten über Backups gehört zu den ersten Antworten eines Unternehmens auf einen Cyberangriff. Die Hacker haben aber längst aufgerüstet und spezielle Malware entwickelt, die in der Lage ist, auch die Sicherungskopien zu zerstören. Unternehmen müssen angesichts dieser Bedrohung Gegenmaßnahmen treffen, um ihr wertvollstes Gut, sprich ihre Daten, zu schützen.
Die Zunahme von Cyberattacken in den vergangenen Jahren ist gravierend, und fast jedes Unternehmen ist inzwischen ins Visier von Hackern geraten. Haben sich Kriminelle früher auf Denial-of-Service-Angriffe und Datendiebstahl spezialisiert, geht es jetzt vor allem darum, gezielt Daten zu vernichten, um den Geschäftsbetrieb zu stören, oder durch Verschlüsselung hohe Lösegeldforderungen zu stellen.
Ransomware, bis vor ein paar Jahren eher ein Thema für Insider, ist inzwischen in aller Munde. Der Angriff mit der Erpresser-Software Petya/NotPetya, die eine bekannte Schwachstelle in Microsoft ausgenutzt hat, so dass sich der Wurm selbstständig über das Netzwerk ausbreiten konnte, infizierte 2017 binnen weniger Tage die IT-Systeme von kleinen Unternehmen bis hin zu denen von Großkonzernen. Seither folgten in regelmäßigen Abständen weitere Angriffe mit Ransomware – heute führt eine Cyberattacke viel wahrscheinlicher zu einem Ausfall der IT und des Unternehmens als irgendeine Naturkatastrophe. Unternehmen müssen deshalb ihre Daten mit modernsten Technologien sichern und zusätzlich die Backups vor Ransomware und anderen Sicherheitsrisiken schützen.
Kein hundertprozentiger Schutz
Noch immer konzentrieren sich die meisten Unternehmen auf die klassischen Schutz- und Aufdeckungsmaßnahmen. Aber selbst bekannte Security-Anbieter müssen zugeben, dass es keine hundertprozentige Sicherheit gibt – ein bestimmter Prozentsatz von Angriffen wird immer erfolgreich sein. Für Unternehmen, die keinen soliden Wiederherstellungsplan für den Fall einer Ransomware-Attacke aufgestellt haben, mag die Lösegeldzahlung daher wie die einzig verbleibende Option erscheinen. Denn eine Wiederherstellung der Daten ist nicht nur ein zeitaufwändiger Prozess, ohne zu wissen, wie es um die Qualität der Daten und Systeme bestellt ist.
Oftmals besteht auch die Gefahr, dass die Backups selbst beschädigt oder verschlüsselt wurden. Viele Unternehmen gehen deshalb lieber auf die Lösegeldforderung ein, selbst wenn nicht garantiert ist, dass die Kriminellen die Daten wirklich freigeben oder nicht sogar einen weiteren Angriff fahren. Dabei reicht Hackern bereits eine einzige Schwachstelle: Menschliches Versagen, Phishing mit täuschend echt aussehender E-Mail-Kommunikation oder absichtliche Manipulationen durch einen verärgerten Mitarbeiter können die Lücke sein, die Datendiebe benötigen.
Weiterentwickelte Verbrecher
Trotzdem gelten Backups bei Dateiverschlüsselung, Datenmanipulation, Änderungen der Directory Services oder Manipulationen an den Zugangsberechtigungen zunächst einmal als „last resort“, falls alle anderen Security-Maßnahmen einen Angriff nicht verhindern konnten. Mit dieser auf den ersten Blick sicheren Methode soll die IT-Umgebung wieder in den Ausgangsstatus zurückversetzt werden.
Das Problem: Die Methoden der Hacker haben sich weiterentwickelt. Zunehmend setzen sie Malware ein, mit deren Hilfe sie sich auf die Suche nach gespeicherten Backups und die Identifizierung von Backup-Dateien machen können sowie gleichzeitig alle Mittel zerstören, mit denen sich ein Unternehmen erholen kann. Die Scripts und ausführbare Dateien sind so programmiert, dass sie bestimmte Dateitypen finden, APIs von Backup-Anwendungen ausnutzen und alles versuchen, um Zugang zu den Backups zu bekommen und sie dann zu zerstören. Wenn ein Unternehmen nach einer Verschlüsselung oder Zerstörung der primären Storage-Umgebung auch garantiert keine Restore-Möglichkeiten mehr zum Recovery heranziehen kann, entfaltet die Attacke ihre volle Wirkung.
Die drei folgenden Ransomware-Beispiele zeigen, wie die Hacker dabei vorgehen: Zenis beispielsweise deaktiviert den Dienst Volume Shadow Copy, also den Systemdienst zur Erzeugung und Bereitstellung von Versionsständen, löscht die temporären Sicherungsdateien und beendet die Reparatur der Inbetriebnahme sowie den Windows-Backup-Prozess. CryptoWall wiederum löscht unter Nutzung von API-Calls Restore-Punkte von virtuellen Maschinen.
SamSam schließlich ist ein besonders gründliches Verschlüsselungswerkzeug, das nicht nur Arbeitsdateien unbenutzbar machen kann, sondern auch Programme, die für den Betrieb eines Windows-Computers nicht essentiell sind und von denen die meisten daher nicht routinemäßig gesichert werden. Dabei sieht sich SamSam nach mehr als 40 spezifischen File-Typen um. Sobald alle Laufwerke aufgelistet sind, mit denen der angegriffene Computer verbunden ist, werden die entsprechenden Dateien gelöscht.
Offline reicht nicht – Hacker greifen gezielt Backups an
Ein reines Offline-Medium, also ein externes Band, das irgendwo verstaut wird, reicht mittlerweile nicht mehr aus. Die Attacken laufen inzwischen so gezielt ab, dass selbst die Backup-Repositories und -Datenbanken, die wissen, wo welche Daten wie gesichert sind, um diese wieder herstellen zu können, zerstört oder selbst mit verschlüsselt werden. Daher ist es notwendig, eine komplette Backup-Umgebung inklusive der Managementtools zum Recovery in einer abgeschotteten Umgebung vorzuhalten.
Viele der heute erhältlichen Backup-Produkte verfügen über ein gewisses Maß an Analysefunktionen, um festzustellen, ob bestimmte Daten beschädigt wurden. Jedoch basieren die meisten nur auf Metadaten und betrachten lediglich grundlegende Informationen über eine Datei oder Datenbank. Andere verwenden die Metadatenanalyse beim ersten Durchgang und verfolgen verdächtige Ergebnisse dann mit inhaltsbasierten Analysen weiter.
Dieser Ansatz ist jedoch fehlerhaft und kann kompliziertere Angriffsvektoren übersehen, wodurch bei Unternehmen ein trügerisches Sicherheitsgefühl entsteht. Ein umfassender inhaltsbasierter analytischer Scan, der von Anfang an eingesetzt wird, validiert die Integrität der Daten und stellt so sicher, dass selbst fortgeschrittene oder versteckte Angriffe gefunden und neutralisiert werden.
Goldkopie im Backup-Tresor
Als sozusagen letzte Verteidigungslinie gegen Cyberangriffe benötigen Unternehmen neben der regulären Backup-Umgebung einen zusätzlichen „Cyber Recovery Vault“. In diesem Tresor liegt, physisch und logisch von anderen Systemen und Standorten isoliert, eine sogenannte „Goldkopie“ wichtiger Daten. Diese sauberen, nicht veränderbaren Backups sind in der abgeschotteten Umgebung für etwaige Angreifer unerreichbar, und zwar selbst dann, wenn sie es schon in das Netzwerk geschafft haben.
Intern sind die Kopien nur über einen autorisierten Zugriff verfügbar, was Saboteure im eigenen Unternehmen blockiert. Eine begleitende Sicherheitsanalyse sucht nach Indikatoren für kompromittierte Daten und hilft so, das Wer, das Wie und das Wo zu ermitteln, damit sich Unternehmen schnell von einer Cyberattacke erholen können. Wichtig sind in diesem Umfeld automatisierte Workflow-, Analyse- und Wiederherstellungstools, um manuelle Fehler, insbesondere in der Stresssituation eines Angriffs, ausschließen zu können. Genauso entscheidend ist es, dass die eingesetzten Sicherheitslösungen sämtliche Hardware- und Software-Komponenten, von physikalischen Umgebungen und Applikationsintegrationen über Cloud-Deployments bis hin zur Automation eines abgeschotteten Cyber Vaults, unterstützen.
Unternehmen müssen heute stärker als jemals zuvor ein modernes Backup-Konzept als ergänzenden Bestandteil einer umfassenden Security-Strategie etablieren. Eine reine Offline-Haltung reicht nicht aus. Vielmehr braucht es einen kompletten Security-Layer auch im Backup, um gegen alle Bedrohungen gewappnet zu sein.
*Der Autor: Christoph Storzum ist Director Commercial Sales Data Protection Solutions bei Dell Technologies
(ID:47085521)
:quality(80)/p7i.vogel.de/wcms/1a/38/1a387f520d063eb3c1e63094ed6738b8/0109350652.jpeg "Neben der Online- und Offline-Sicherung mit Bordmitteln lassen sich IBM-Db2-Datenbanken auch auf anderen Wegen sichern. (Bild: bluebay2014 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e5/0f/e50f3478e3e1d50e6785b5989363af5a/0111527874.jpeg "Nach erfolgreichen Cyber-Angriffen drängt die Zeit. Die Backup-Strategie muss sich deshalb an der Wiederherstellung orientieren – und nicht an der Sicherung. (Bild: frei lizenziert)")