Profitieren Angreifer mehr von Ihrer Backup-Strategie als Sie selbst?
Charles Smith, Consultant Solution Engineer, Data Protection, Barracuda
„Der Welt-Backup-Tag jährt sich heute zum zwölften Mal. Seit einem Dutzend Jahren wird immer wieder darauf hingewiesen, wie wichtig es ist, Daten zu sichern. Dennoch ist es für viele Unternehmen immer noch schwierig, Daten aus Sicherungskopien wiederherzustellen, egal ob es sich um einen versehentlichen Datenverlust oder einen ausgewachsenen Ransomware-Angriff handelt. Nur 52 Prozent der Ransomware-Opfer konnten die verschlüsselten Daten letztes Jahr durch Backups wiederherstellen, so unsere aktuelle Untersuchung.
Bei Angreifern beliebte Sicherungsstrategien sind ein breiter Zugriff auf die Backup-Software, mit dem Netzwerk verbundene Backup-Systeme, Fernzugriff auf Backup-Systeme, unregelmässige und ungeprüfte Backups.
Eine bei Angreifern weniger beliebte Strategie beinhaltet eine komplette Systemsicherung, den Backup-Manager nicht auf Windows laufen zu lassen, die Installation von Anti-Malware-Software auf dem Backup-Server, ein automatisierter Backup-Dienst, Trennen der Backup-Systeme von der Unternehmensdomäne, Multi-Faktor-Authentifizierung (MFA) und eine rollenbasierte Zugriffskontrolle (RBAC), Backup-Replikation, Backup in der Cloud speichern, Backup-Daten verschlüsseln, Anwenden des 3-2-1—Prinzips - drei Sicherungskopien auf zwei verschiedenen Medien, von denen eines offline ist. Eine robuste Backup-Strategie, die sowohl auf Security als auch auf Geschäftskontinuität ausgerichtet ist, sollte diese Best Practices erwägen.“
Backups sind bevorzugte Angriffsziele für Ransomware
Martin Zugec, Technical Solutions Director bei Bitdefender
„Professionelle erpresserische Hacker betreiben einen hohen Aufwand, um ihre Opfer an der Wiederherstellung der verschlüsselten Daten zu hindern. Dies geschieht etwa, indem sie Shadow Volume Copies routinemässig angreifen. Alternativ infizieren sie Backups: Beim Einspielen einer solchen Sicherung stellen die IT-Administratoren dann auch den Zugang der Hacker auf zuvor angegriffene Systeme wieder her.
IT-Sicherheitsverantwortliche müssen daher komplexe Angriffe frühzeitig erkennen, um Hacker abzuwehren, bevor sie auf das Backup zugreifen. Eine Extended Detection and Response (XDR) wird über das verdächtige Entfernen einer Shadow Volume Copy benachrichtigt, korreliert dann die vorherigen sowie die nachfolgenden Aktionen und visualisiert den Gesamtablauf der Attacke.
Darüber hinaus kommt es auf eine tiefgehende und gestaffelte IT-Sicherheit zum Schutz der Backups an. Eine geringstmögliche Angriffsfläche und automatisierte Kontrollen mit dem Ziel, die meisten Sicherheitsereignisse im Vorfeld zu blocken, sind wichtige Bausteine, um die Wiederherstellbarkeit der Daten zu gewährleisten. Besondere Verfahren zum Schutz gegen Ransomware erkennen den Versuch, Dateien zu randomisieren – also durch Codierung dem berechtigten Zugriff zu entziehen –, stellen diese dann automatisch aus einem Backup wieder her und alarmieren die Endpoint Detection and Response (EDR). Eine ebenso wichtige Rolle spielt ein Identity Access Management (IAM): Die IT-Administratoren sollten sich klarmachen, dass bereits ein einziges gekapertes Nutzerkonto sämtliche Backups kompromittieren kann, gleichgültig wo sie sich befinden: Ob in der Cloud oder On Premises auf beliebigen Datenträgern. Das ist ohne Zweifel auch im Sinne der klassischen und immer noch wichtigen 3-2-1-Regel, die aber eine Cyberabwehr für Backups nicht ersetzt.“
Mangelhafte Rückversicherung: Backups bedürfen Cybersicherheitsschutz
Paul Smit, Director Professional Services bei ForeNova
„Eine Studie von ForeNova und Cyber Security Insiders im Herbst 2022 verdeutlicht eine gefährliche Lage. 87 Prozent der Teilnehmer nannten das Sichern und Wiederherstellen von Daten als die effektivste Massnahme gegen Angriffe. Das ist ein verzerrter Blick auf die Realität. Denn Unternehmen brauchen viel Zeit, um geblockte Systeme im Ernstfall wieder hochzufahren oder verschlüsselte Daten zu entschlüsseln und wieder einzupflegen. Schon während des reparaturbedingten Systemausfalls entstehen enorme Umsatzeinbussen und ein unvermeidlicher Vertrauensverlust. Doch IT-Zuständige können ein Backup auch aus weiteren Gründen nicht als Hauptrettungsanker sehen. Professionelle Angreifer mit erpresserischen Absichten lokalisieren mittlerweile vor dem Versenden des Erpresserschreibens die Sicherungen, verschlüsseln oder löschen sie. Ein reiner Backup genügt daher nicht: Die IT sollte die 3-2-1-Regel beachten, wobei eine separate Kopie keinen Anschluss an das Unternehmensnetz hat. Zudem müssen Anwender Backups auf ihre Funktion überprüfen. Häufig sind diese im Ernstfall wertlos, weil die IT sie nicht einspielen kann. Lösegelderpresser der zweiten Generation drohen zudem mit dem Offenlegen von Daten – und dagegen hilft kein Backup.
Wer Backups als Hauptschauplatz der Abwehr oder letztes Auffangnetz gegen komplexe Angriffe sieht, gibt den professionellen Angreifern zu viel Raum. Komplexe, mehrstufige Angriffe mit einer zeitlich ausgedehnten Kill Chain erfordern ein umfassendes und kontinuierliches Monitoring des Cybergeschehens. IT-Administratoren sollten sowohl die Datenströme im Netzverkehr als auch das Verhalten von Nutzern und Endpunkten kontinuierlich erfassen, um Angriffe frühzeitig zu erkennen und die IT-Infrastruktur zu schützen. Nur wer bereits die ersten Indizien von Attacken erkennt, wird rechtzeitig Endpunkte – und damit auch den Backup-Server – schützen und blocken können. Nach dem Angriff folgt die forensische Analyse des Datenverkehrs, um Einfallstore für erneute Angriffe zu schliessen. Das sind anspruchsvolle Aufgaben, mit denen die meisten IT-Teams gerade in kleinen und mittelständischen Unternehmen überfordert sind. Auch der Schutz eines Backups erfordert mittlerweile die Expertise externer Sicherheitsexperten in einem SOC im Rahmen eines Managed-Detection-and-Response-Dienstes.“
Wenn Cyberangriffe die Existenz von Unternehmen bedrohen
Kornelius Brunner, CPO bei der FTAPI Software GmbH
„Regelmässige Backups sind für eine umfassende Sicherheitsstrategie unerlässlich: Die Zahl der Cyberangriffe steigt, die Lage der IT-Sicherheit in Deutschland ist nach Einschätzung des BSI weiterhin angespannt. Gerade im digitalen Zeitalter, in dem Unternehmen ihre Daten fast ausschliesslich digital speichern, kann das zu einem Risiko führen. Denn nur, wenn die Verfügbarkeit der Daten zu jeder Zeit sichergestellt ist, ist ein reibungsloser Betriebsablauf garantiert. Und nicht nur das: für Unternehmen kann ein totaler Datenverlust, beispielsweise durch einen Cyberangriff, bei dem mittels Ransomware die gesamte IT lahmgelegt wird, oder einen Brand im Serverraum, eine Bedrohung der Existenz bedeuten. Laut einer aktuellen Studie des Branchenverbands Bitkom fürchten 45 Prozent der befragten Unternehmen, dass Cyberattacken und der damit einhergehende Verlust kritischer Daten ihre geschäftliche Existenz bedrohen. Im Vorjahr waren es lediglich 9 Prozent. Diese Zahl verdeutlicht einmal mehr, wie stark sich die Bedrohungslage für Unternehmen zuspitzt. Aus Sicht von FTAPI ist es daher unerlässlich, Unternehmensdaten regelmässig zu sichern. Wichtiger Bestandteil unseres Sicherheitskonzepts sind aus diesem Grund auch automatische Backups, die wir täglich durchführen. Möglich ist das allerdings nur, wenn unsere Kunden auf den Cloud-Betrieb unserer Lösung in unseren Hochsicherheitsrechenzentren setzen. Kunden, die ihre Systeme noch on premises, also im eigenen Unternehmen hosten, müssen sich selbst um die Erstellung und Funktionstüchtigkeit von Backups kümmern - das kostet nicht nur Zeit, sondern auch wertvolle Ressourcen, die in Zeiten des Fachkräftemangels rar sind. Unserer Einschätzung nach sollten Unternehmen den World Backup Day 2023 also nutzen, um die Datensicherung in ihrem Unternehmen erneut zu bewerten und, falls noch nicht geschehen, gemeinsam mit einem erfahrenen IT-Dienstleister in die Cloud umzuziehen – und sich danach nie wieder Gedanken um das Thema ,Backup‘ machen zu müssen.“
Datensicherheit macht keine Pausen und kennt keine Grenzen
Gregor Greinke, CEO der GBTEC Software AG
„Bei GBTEC ist jeder Tag #WorldBackupDay – denn Datensicherheit macht keine Pausen und kennt keine Grenzen. Software-as-a-Service umfasst für uns selbstverständlich tägliche, verschlüsselte Backups in redundanten und ISO27001-zertifizierten Rechenzentren, auf Wunsch auch gerne eine Backup-Kopie am anderen Ende der Welt. Aufgrund der stetig steigenden Marktanforderungen und Datensicherheitsrisiken setzen wir ausschliesslich auf neuste Technologien wie Kubernetes oder Spring Cloud und stellen die Sicherheit und Skalierbarkeit unserer Software ins Zentrum aller Weiterentwicklungen. Wir schaffen einen sicheren, doch flexiblen Rahmen für unsere Kunden und werden damit den heutigen technologischen Ansprüchen mehr als gerecht. Unsere Cloud-first Strategie geht mit einem Sicherheitsstandard und Quality-of-Service einher, den nur wenige Unternehmen selbst erreichen können. Und das zu einem Preis, der deutlich unterhalb der Total-Cost-of-Ownership für on-Premises-Lösungen liegt. Eines ist klar: Die Zukunft liegt in der Cloud und regelmässige, automatisierte Backups gehören wie das Amen in der Kirche dazu.“
Eine mehrschichtige Sicherheitsstrategie ist nötig
Eugenio Carlon, Geschäftsführer RADAR Cyber Security
„Um sich gegen die vielfältigen Bedrohungen zu schützen, denen Unternehmen und Behörden tagtäglich ausgesetzt sind, bedarf es einer mehrschichtigen Strategie, die zwei wichtige Aspekte hat. Zum einen gilt es, die wichtigsten Unternehmens-Assets (auch bekannt als ,Kronjuwelen‘) zu identifizieren: geistiges Eigentum, Anmeldeinformationen, Kundendaten. Zum anderen sollten regelmässige – und getestete – Backups ein zentraler Bestandteil der Sicherheitsarchitektur sein. Dabei empfiehlt sich die bekannte 3-2-1-Strategie: Drei Kopien auf zwei verschiedenen Arten von Speichermedien, eine der Kopien offsite oder offline. Saubere Backups sind der Schlüssel zur Wiederherstellung, wenn man Opfer einer Ransomware-Infektion wird. Je schneller die Sicherheitsverantwortlichen eine Infektion bemerken, desto weniger Daten gehen seit dem letzten verwendbaren Backup verloren. Sie sind aber immer nur das „letzte Auffangnetz“, wenn bereits alle andere Mechanismen ausgehebelt wurden. Der Glaube, man sei mit der Pflege von Backups nicht erpressbar, ist zu kurz gedacht.
Was leider trotz vorhandenen Backup-Leitlinien für die meisten Organisationen immer noch gilt, ist, dass vor allem Expertise und Personal fehlen – Stichwort Fachkräftemangel. Betriebe sollten daher ein externes oder internes Security Operations Center (kurz SOC) in Betracht ziehen: Diese auch als Cyber Defense Center bekannte Sicherheitsleitstelle steht im Zentrum der bereits angesprochenen mehrschichtigen Strategie: Es lässt sich im Eigenbetrieb oder als ausgelagerte Dienstleistung nutzen und verbindet das Wissen der IT-Sicherheitsexperten mit Prozessen und Technologien.“
