:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/76/f07608d8d7a5b66c68dd962e652507ac/0115101668.jpeg "Das Bezahlen von Lösegeld im Falle einer erfolgreichen Ransomware-Attacke ist zu kurz gedacht. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/be/01bea1dcac017ca8dddcd85afd19ace1/0115184943.jpeg "Nathan Howe und Kevin Schwarz von Zscaler wagen den Blick in die Glaskugel und stellen zehn Prognosen für die IT-Sicherheit 2024 auf. (Bild: overrust - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7b/a4/7ba4275545a8dd842d7b5bfcadbf633c/0115184197.jpeg "Moderne Remote Support-Tools mit erweiterten Sicherheitslösungen bieten eine starke Ressource für IT-Teams, die aktuellen Sicherheitsanforderungen mit begrenzter Manpower zu meistern. (Bild: Deemerwha studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/11/db/11db72379b5c9331464c8b43a5330d5c/0115183494.jpeg "„KI klug einsetzen heißt: nicht zu technikgläubig sein. Denn ein KI-Werkzeug allein kann keine bestehende Sicherheitslösung ersetzen.“ sagt Jacques Boschung, CEO von Kudelski Security. (Bild: sdecoret - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/80/42/8042ab77a61420b1a5260486ba7224ab/0115183146.jpeg "Veritas 360 Defense soll Funktionen aus den Bereichen Datenschutz, Datensicherheit und Datenmanagement vereinen. (Bild: ©metamorworks, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/16/02/160267d3ecd7f3907f4f3ebe249e7b5b/0115143018.jpeg "Unternehmen sollten die Pro- und Contra-Argumente für On-Premise und Cloud bei E-Mail-Sicherheitslösungen für ihren individuellen Bedarf genau prüfen. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/c3/99c34cbcb787fb7e2effec09a190bb17/0114907624.jpeg "Bei der Überwachung und dem Auditing von Active Directory kommt man um den Einsatz spezialisierter Werkzeuge nicht herum. Wir haben uns 15 der besten Tools angesehen. (Bild: © Delta Amphule - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ab/24/ab24d00d76562a2b1ca0e7d9d06923f2/0115142429.jpeg "Totgesagte leben länger – das gilt wohl auch für Passwörter. Aber der Hype um MFA als hundertprozentige Sicherheitslösung ist ebenfalls übertrieben. (Bild: Alexander - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/a6/f6a621103ea58427487396f7d383509b/0115102621.jpeg "Die Implementierung einer User Lifecycle Management-Software vereinfacht und beschleunigt den Prozess der Benutzer- und Rechteverwaltung erheblich. (Bild: geniusstudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/00/540011b42c1b5fca2484ee1744887de5/0115185522.jpeg "Metriken bzw. KPIs sind für die IT-Security unerlässlich, um die Performance zu messen und somit effektiver auf Risiken zu reagieren. (Bild: Artem - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/30/34/3034da6c1f49a32546346fabf995ba62/0115184592.jpeg "Open Source-Projekte waren für Unternehmen früher eher eine Notlösung, jetzt sind sie oft eine bewusste strategische Entscheidung. (Bild: cacaroot - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Anomalien erkennen, Backups schützen Ransomware und die Renaissance des Backups
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/63/db/63dbd1915b7af/2023-fastlta-logo-square-positive.jpeg "2023-fastlta-logo-square-positive (FAST LTA GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/50/60506ac0f0156/cohesity-2-color-black-logo.png "Cohesity_2_Color_Black_Logo.png (Cohesity)"){kind=logo}
Angesichts der steigenden Anzahl an Ransomware-Attacken konzentrieren sich immer mehr Unternehmen auf den Schutz ihrer IT-Systeme. Über den Erfolg entscheidet auch eine saubere Datensicherung.
Ransomware ist auf dem Vormarsch: Seit mehr als drei Jahren in Folge ist diese Art der Schadsoftware der am häufigsten beobachtete Angriffstyp, wie aus dem IBM X-Force Threat Intelligence Index hervorgeht. Jede fünfte bemerkte Cyber-Attacke war ein Ransomware-Angriff.
Welche Auswirkungen das in Deutschland hat, zeigt eine Studie von IDC, in der Security-Verantwortliche von 200 Unternehmen befragt wurden. Demnach haben mehr als zwei von fünf Firmen bereits Daten aufgrund einer Ransomware-Attacke verloren – und damit einen enormen wirtschaftlichen Schaden erlitten. Um dieses Risiko möglichst gering zu halten, gilt es, Ransomware schnell aufzuspüren und unschädlich zu machen.
Im Kampf gegen Ransomware nimmt das Backup, das lange Zeit nur eine untergeordnete Rolle im Bereich der Informationssicherheit spielte, mittlerweile einen entscheidenden Part ein. Denn durch die schiere Masse an Ransomware-Attacken und ihrem teilweise perfiden Vorgehen hat sich die allgemeine Sichtweise auf die Datensicherung grundlegend verändert. Zumal ein Großteil der in der IDC-Studie befragten Unternehmen, die ihre Daten nach einem Angriff retten konnten, angibt, dass dies nur aufgrund sauberer Backups möglich war.
Ransomware entwickelt sich stetig weiter
Um den gestiegenen Stellenwert des Backups zu verstehen, lohnt sich ein Blick auf die Ransomware „Emotet“. Der Trojaner wurde zum ersten Mal im Jahr 2014 entdeckt und hat zum Ziel, die gesamte IT von Behörden und Unternehmen lahmzulegen. Dafür dringt die Malware über unachtsame User unbemerkt ins System ein und erlangt Zugriff.
Das Besondere an „Emotet“: Die Schadsoftware kann nicht nur Daten verschlüsseln, sondern auch eigene Botnets etablieren und durch nachgeladene Hilfsprogramme sogar Brut-Force-Attacken durchführen. Bei dieser Angriffsmethode werden mithilfe des Einsatzes hoher Rechenleistung abgesicherte Zugänge aufgebrochen, indem Nutzer-Passwort-Varianten und -Kombinationen wiederholt und systematisch eingegeben werden.
„Emotet“ arbeitete schon 2014 sehr effektiv. Seitdem haben Hacker die Schadsoftware stetig weiterentwickelt: Die neueste Version soll ein ausgebautes Botnet haben, das Installer auf 64-Bit-Basis verteilt. Laut Kaspersky „feiert“ die Ransomware aktuell ein Comeback – und das ein Jahr nach ihrer Zerschlagung. Allein im Februar und März dieses Jahres soll sich die Zahl der Angriffe verdreifacht haben.
Schädliche Schnipsel verteilen sich überall
Neben „Emotet“ gibt es zahlreiche weitere Ransomware. Dabei ist nicht nur die schiere Masse zu beachten, sondern vor allem die Raffiniertheit der Hacker: Neuere Schadsoftwares wie Conti oder Sodinokibi agieren noch weitaus intelligenter als „Emotet“. Sobald sie in einem System sind, können sie sich für eine gewisse Zeit auf einem oder mehreren Rechnern, Servern oder Speichergeräten verstecken – und dort auf den perfekten Angriffszeitpunkt warten.
Das Perfide daran: Die Ransomware kann sich fragmentieren und ist so mit Big Data-Auswertungen von SIEM-Systemen kaum zu erkennen. Selbst im defragmentierten Zustand – also, wenn sie sich nach teils mehrmonatigem Versteckspiel aktiviert – taucht diese Schadsoftware in der Big-Data-Wolke aus Alerts, Logs und Scan-Daten einfach unter. So kann sie teilweise hunderte oder gar tausende Status-Logs pro Sekunde erzeugen.
Sichtbar werden die kleinen Datenfragmente der Ransomware nur mithilfe einer gezielten Untersuchung in einem „Clean Room“, in dem nach dem Angreifer gesucht wird. Je später die Schadsoftware entdeckt wird, desto verheerender können die Auswirkungen sein. Und genau hier, als Teil eines Cyber Incident Recovery-Konzepts, erlebt das Backup seine Renaissance.
Backup sauber halten und Schäden minimieren
Bei einem Cyber Incident Recovery-Konzept, kurz CIR-Konzept, werden die Daten-Snapshots von Produktions- und Konfigurationsdaten am besten täglich in einer Schutzzone abgelegt (siehe Bild 1). Bei dieser Zone handelt es sich um einen unveränderbaren Speicher mit Air-Gap-Funktion, die die Daten räumlich von der Produktionsumgebung trennt. Im darauffolgenden „Clean Room“ werden die Dateien auf Ransomware untersucht.
Um Schadsoftware zu entdecken, werden zum einen „Pattern“ – also Muster auf Basis des Referenziersystems CVE – mit den aktuellen Daten verglichen (siehe Bild 2). Zum anderen werden mithilfe von Machine Learning neue Muster zur Analyse erzeugt, um noch unbekannte Ransomware aufzuspüren.
So können untypische Datenstrukturen und andere Anomalien erkannt und infizierte Daten mit hoher Wahrscheinlichkeit entdeckt werden. Stellt sich im „Clean Room“ heraus, dass Daten infiziert sind, gilt es, die betroffenen Komponenten in der Produktion zu überprüfen, sie eventuell auszuschalten und sie mit den sauberen Daten aus dem Backup zu überschreiben.
Dieses Konzept stellt sicher, dass Anomalien schnellstmöglich erkannt werden. Und es sorgt dafür, dass die im Backup enthaltenen Dateien immer sauber sind und im Ernstfall ohne Probleme wieder in die Produktionsumgebung zurückgespielt werden können. Dadurch können Unternehmen und Behörden Schäden an ihren Systemen minimieren und sich vor erfolgreichen Ransomware-Angriffen schützen.
Über den Autor: Torsten Domfeld ist Managing Consultant bei Kyndryl Deutschland. Er beschäftigt sich seit über 30 Jahren mit ganzheitlichen Lösungen für die Bereiche Information Security, Safety, Regulatorik und Security Organisation. Zudem blickt er auf eine langjährige Zusammenarbeit mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) und weiteren relevanten Organisationen zum Thema Cyberraum und Angriffsszenarien zurück.
(ID:48608631)
:quality(80)/p7i.vogel.de/wcms/f7/26/f726535908ec4b53add16352d9aa7415/0110161786.jpeg "IBM und Cohesity bündeln in Zuge von IBM Storage Defender ihr Know-how. (Bild: PublicDomainPictures)")
:quality(80)/p7i.vogel.de/wcms/2f/7d/2f7d673266888738b8a63ac93ac791f9/0110645747.jpeg "Und wieder ist Murmeltiertag – Pardon: Backup-Tag. Punxsutawney Phil lässt trotzdem grüßen. (Bild: frei lizenziert)")