Backup-Daten schützen Zwei Gefährten: Ransomware-Schutz und WORM-Technologie

Von Kai Hambrecht*

Anbieter zum Thema

Ransomware kann alle Unternehmen treffen, das steht außer Frage. Und dass ein Backup helfen kann, um zumindest die dramatischen Folgen eines erfolgreichen Angriffs auf ein Minimum zu reduzieren, ist logisch. Dass moderne Backup-Lösungen ein Unternehmen wirklich vor den Folgen vor Ransomware-Angriffen schützen, ist eine weit verbreitete Meinung, jedoch in vielen Fällen falsch. Fatal für Unternehmen, die das erst im Ernstfall bemerken.

Schutz vor Hacker-Angriffen für Backup-Daten mit Hilfe von WORM-Technologie.
Schutz vor Hacker-Angriffen für Backup-Daten mit Hilfe von WORM-Technologie.
(Bild: gemeinfrei / Pixabay)

Jüngste Hacker-Angriffe, beispielsweise mit Emotet, haben bewiesen, dass auch Backup-Daten kompromittiert werden, insbesondere wenn diese auf lokalen Plattensystemen gespeichert sind. Zusätzliche technische Barrieren können die Backup-Daten schützen. Eine dieser Möglichkeiten besteht in der Abwandlung der bekannten und seit vielen Jahren erprobten WORM-Technologie (Write Once Read Many).

Diverse Ransomware-Schutzmechanismen für Backups

Unternehmen, die Backup-Lösungen entwickeln, sind sich der Brisanz der Sicherheit von Backup-Daten durchaus bewusst, und es existieren unterschiedliche Herangehensweisen, für den Schutz zu sorgen. Eine Möglichkeit besteht darin, die Backup-Daten via Cloud-Tiering auf einen S3-kompatiblen Object-Store zu verlagern. Diese Variante ist auch aus Datenschutzsicht gut und funktioniert – vorausgesetzt, die Cloud selbst ist sicher. Eine solche Auslagerung ist jedoch nicht bei allen Unternehmen möglich oder gewünscht.

Eine andere Variante ist eine besondere Art von Snapshots. Der Schutz vor Veränderlichkeit der Snapshots basiert auf der objektorientierten Speicherarchitektur. Dabei wird jeder Snapshot als eigenständiges Objekt angelegt. Ransomware kann nur aktive Objekte verschlüsseln. Damit ist der vorherige Snapshot unangreifbar, was den maximalen Datenverlust auf wenige Sekunden reduziert.

Allerdings sind diese Lösungen entweder proprietär und binden Unternehmen unweigerlich an einen Hersteller oder benötigen zusätzliche Technologie oder Cloud-Instanzen, die mehr Budget erfordern und die Gesamtarchitektur dramatisch komplexer gestalten – inklusive der Administrationsaufwände und der Gefahren, die komplizierte Infrastrukturen mit sich bringen.

Eine alternative und universelle Lösungsvariante ist die WORM-Technologie. Diese kann abgewandelt relativ einfach und vor allem unabhängig vom Hersteller der Backup-Lösung oder des Speichers als Barriere zwischengeschaltet werden, um Ransomware effizient abzuwehren.

WORM-Technologie: eine alte Bekannte im Dienste der Security

WORM-Technologie existiert schon seit vielen Jahren. Die Ursprünge gehen auf Mitte der 1980er-Jahre zurück. Aus Sicht des Anwenders erlaubt WORM das einmalige Scheiben und das unbegrenzte Lesen, jedoch keinerlei Veränderung einer Datei. In früheren Zeiten war die WORM-Fähigkeit direkt mit dem Speichermedium in Einklang – beispielsweise CDs oder DVDs, die zwar beschrieben, jedoch physikalisch nicht verändert werden können. Mit der Verbreitung von Festplattenspeichern veränderte sich das WORM hin zu einer Software, welche den gleichen Schutz bietet.

WORM-Schutz für lokale Backup-Repositories: Blocky for Veeam.
WORM-Schutz für lokale Backup-Repositories: Blocky for Veeam.
(Bild: GRAU DATA)

In einer dedizierten Software-Schicht, welche im Betriebssystemkern implementiert ist, werden das Lesen und vor allem das Schreiben von Daten auf der Festplatte kontrolliert und überwacht. Mittels eines sogenannten Filters zwischen Dateisystem und physischer Festplatte werden alle schreibenden Zugriffe auf das Dateisystem gesteuert.

Zugelassen sind lediglich Schreibvorgänge für neue Dateien und das Lesen existierender Daten. Ein nachträgliches Verändern vorhandener Daten wird über den Filter verhindert. Und genau diese Technologie hilft, auch Backup-Daten zu schützen, indem das Schreiben und damit auch das Verschlüsseln von Daten unterbunden wird.

WORM-Derivat für den Backup-Schutz

Nun lässt sich das klassische Software-WORM nicht eins zu eins auf das Backup anwenden. Denn Backup-Lösungen müssen naturgemäß Daten nicht nur schreiben, sondern auch verändern können. Schließlich müssen sich die Änderungen am originalen Datenbestand auch im Backup niederschlagen. Beispielswiese sollten bewusst gelöschte Daten nach einer gewissen Vorhaltezeit auch im Backup gelöscht werden können. Bei Backup auf WORM-Technologie würde dies eine unüberwindbare Hürde darstellen.

Hierfür wird die Türe des Software-WORM ein kleines Stückchen geöffnet, damit ausschließlich der Backup-Lösung das Verändern der Daten gestattet wird. Das klingt gefährlich, und man könnte meinen, dass durch dieses Schlupfloch irgendwann eine clever designte Ransomware eindringen kann. Doch dies ist die Tür mit dem wohl härtesten Türsteher überhaupt: Ohne Fingerprint geht hier nichts. Die Backup-Anwendung muss sich mit ihrem Fingerabdruck gegenüber der Filterschicht ausweisen.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

Nur wenn der Fingerabdruck mit einer zuvor hinterlegten Referenz übereinstimmt, lässt die Filterschicht den schreibenden Zugriff der Backup-Anwendung auf die Daten zu. Alle anderen Anwendungen, insbesondere Schad-Software, können sich nicht mittels Fingerabdrucks ausweisen und werden somit durch den Filter blockiert. Die Ransomware trifft somit auf WORM-geschützte Backup-Daten und hat keine Chance.

GRAU DATA hat ein solches WORM-System für den Schutz von lokalen Backup-Repositories entwickelt, das beispielsweise bei Veeam als „Blocky for Veeam“ erhältlich ist. Voraussetzung hierfür ist ein lokales Backup-Repository am Backup-Server – entweder direkt auf dem Server bei Standalone-Installation oder separiert auf einem dedizierten Proxy-Server in verteilten Umgebungen. Das Repository liegt auf einem lokalen Block-Device, etwa als interne Disk, FC-LUN, iSCSI-LUN, welches aus Sicht des Windows-Betriebssystems als lokales Volume konfiguriert wird. Dabei werden sowohl NTFS- als auch ReFS-Dateisysteme unterstützt, was insbesondere für kritische Umgebungen eine zusätzliche Resilienz garantiert.

Kai Hambrecht, Leiter Service und Support bei der GRAU DATA GmbH
Kai Hambrecht, Leiter Service und Support bei der GRAU DATA GmbH
(Bild: Arpad Ikuma Csizmazia ikuma photo)

Schluss mit der Angst vor Ransomware

In der Geschäftswelt und in der IT ist es ja nicht so, als hätte man nichts Sinnvolleres zu tun, als sich Sorgen um nutzlose Hacker und Cyberkriminelle zu machen, die außer Gier und dem Willen, Schaden anzurichten, nichts zu bieten haben. Darum ist es das Beste, diesen unnötigen Ballast einfach von Bord zu werfen – zumindest an den Stellen, an denen es ganz einfach und für alle Unternehmen geht. Backup-Schutz mit bewährter WORM-Technologie ist eine dieser Möglichkeiten, den Internetgaunern und ihrer Ransomware eine lange Nase zu machen und in Ruhe viel wichtigeren Dingen die volle Aufmerksamkeit zu schenken. Ransomware ade.

*Der Autor: Kai Hambrecht, Leiter Service und Support bei der GRAU DATA GmbH

(ID:46639755)