Report: Die Ransomware Protection der Zukunft

Die bekannten Ransomware-Attacken sind nur die Spitze des Eisberges, warnt die EU-Agentur für Cybersicherheit ENISA (Bild: ENISA)

Ransomware-Attacken nutzen neue Strategien. Dadurch könnten viele Konzepte zum Schutz der Backups ausgehebelt werden, auch Immutability.

Die Kreativität der Angreifenden

Es war zu befürchten: 93 Prozent aller Cyber-Angriffe zielen auf Backup-Speicher ab, um Lösegeldzahlungen zu erzwingen, so der neue Veeam Ransomware Trends Report 2023. Für die Fokussierung der Angriffe auf die Backup-Speicher gibt es bekanntlich einen Grund: Backups gelten als die wichtigste Maßnahme, um Ransomware-Attacken überstehen zu können.

Wurden die Daten kriminell verschlüsselt, aber es gibt die betroffenen Daten noch unverschlüsselt in der Datensicherung, dann ist die Attacke weitaus weniger schädlich. Es kommt dann auf eine schnelle Wiederherstellung an, um den Schaden zu minimieren. Ransomware verliert so viel von ihren Schrecken, entsprechend sinken die Erfolgsquoten der Angreifenden, es kommt zu keinen Lösegeldzahlungen.

Können aber die Backups auch kriminell verschlüsselt werden, dann ist erst einmal keine schnelle Hilfe in Sicht. Ohne Backup ist kein vollständiges Recovery möglich. So manches Unternehmen denkt dann an die Zahlung von Lösegeld, obwohl Sicherheitsbehörden strikt davon abraten, weil dies die Angreifenden noch anspornt und weitere Attacken finanziert.

Wer sich die Entwicklung der Ransomware-Attacken ansieht, weiß, dass die Angriffe auf die Backups nur eine der neueren Strategien der Internetkriminellen ist. Zum Beispiel stehlen sie die Daten vor der Verschlüsselung und drohen damit, die danach kriminell verschlüsselten Daten öffentlich zu machen. Dies soll den Druck erhöhen und die Bereitschaft, Lösegeldzahlungen zu leisten, steigern. Aber die Entwicklung bei Ransomware geht weiter.

Wie in der Cybersicherheit üblich, reagieren die Angreifenden auf neue Abwehrstrategien und umgekehrt, die Abwehr auf neue Angriffstaktiken. Hier zeigt sich eine neue Entwicklung, die Unternehmen in ihrer Ransomware Protection beachten sollten.

Die bisherigen Schutzkonzepte der Cyberabwehr

Ransomware-Angriffe gelten als eine der größten Herausforderungen für die Cybersecurity. So berichtete IDC, dass 52 Prozent der Unternehmen bereit wären, die Erpresser zu bezahlen. Unter bereits Angegriffenen sei die Bereitschaft besonders hoch. „Ärgerlich ist, dass viele bezahlen, weil sie wollen, dass die Systeme schneller wieder funktionieren und nicht, weil sie Angst vor einer Veröffentlichung exfiltrierter Daten haben oder sich mangelnde Schutzmaßnahmen eingestehen“, so IDC. „Das ist aus einer Business-Continuity-Perspektive auch grundsätzlich richtig, aber hier ist IDC der Meinung, dass mehr Anstrengungen und Investitionen für eigene dauerhafte Schutz- und Backupmaßnahmen sinnvoller und nachhaltiger wären – zumal eine Bezahlung kein Garant für erfolgreiche Entschlüsselung ist“.

Zu den Schutzkonzepten gehören auch zunehmend Cyberversicherungen, um die finanziellen Risiken mindern zu können. Zu einer Ransomware Protection sollte aber neben der möglichst frühzeitigen Erkennung und Abwehr und der Schadensminimierung auch noch deutlich mehr Prevention gehören.

Danny Allan, CTO bei Veeam, erklärte dazu: „Wir müssen uns auf eine effektive Ransomware-Prävention konzentrieren, indem wir uns auf die Grundlagen besinnen, das heißt starke Sicherheitsmaßnahmen sowie Testen der Originaldaten und der Backups. Dabei muss sowohl der Fortbestand der Backup-Lösungen als auch die Abstimmung zwischen den Backup- und Cyber-Teams sichergestellt werden, um eine einheitliche Haltung im Unternehmen zu erreichen.“

Ransomware Protection muss sich breiter aufstellen

Internetkriminelle versuchen auf vielen Weg, die Erpresserviren bei den Opfern zu platzieren. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) berichtete von Spam-Mails mit Links zu Ransomware, Drive-By-Infektionen über den Browser, ungeschützte Fernzugänge und von Schwachstellen in Servern.

Eine Ransomware Protection muss deshalb alle diese Angriffswege in den Blick nehmen und zusätzlich die Daten und die Backups schützen. Die EU-Agentur für Cybersicherheit ENISA rät deshalb: „Halten Sie Ihr Sicherheitsbewusstsein, Ihre Sicherheitsrichtlinien und Ihre Datenschutzrichtlinie auf dem neuesten Stand und arbeiten Sie an Ihren Informationssystemen und Ressourcen, um die gewünschte Hygiene durch bewährte Branchenpraktiken wie Netzwerksegmentierung, aktuelle Patches, regelmäßige Backups und geeignete Identitäts-, Anmeldedaten-, und Zugriffsverwaltung (ICAM) vorzugsweise mit Unterstützung von MFA (Mehr-Faktor-Authentifizierung). Dies führt grundsätzlich zu einer guten Sicherheitshygiene.“

Angriffe auch gegen Immutability

Ratschläge wie die von ENISA sind mehr als begründet, denn die Internetkriminellen suchen nun nach Wegen, um gegen Konzepte wie Immutability vorgehen zu können. Die Idee hinter Immutability ist, die Daten unveränderlich zu machen. Dann können sie auch nicht manipuliert und verschlüsselt werden, so der Ansatz. Doch in der Praxis muss man Daten in aller Regel eines Tages verändern und löschen können. Deshalb schränkt man die Unveränderlichkeit ein, befristet sie zum Beispiel.

Genau hier setzen neue Angriffsformen an. Backuplösungen, die Immutability herstellen wollen, werden selbst zum Ziel der Attacken. Finden die Angreifenden Schwachstellen in den Software- oder Servicelösungen für Backup und Recovery, versuchen sie darüber die Unveränderlichkeit auszuhebeln.

Nach den Attacken auf die Backups folgen also die Angriffe gezielt auf Backuplösungen und deren Einstellungen.

Das Ziel lautet Cybersicherheit, nicht Ransomware Protection

Die neue Ransomware Protection muss deshalb weiter reichen und auch die Lösungen für Backup und Recovery besser schützen. Ein Beispiel aus der Praxis: Auf der Technology Live 2023 in München hat Scality die neue Version von Scality ARTESCA angekündigt. Mehr als ein Dutzend Innovationen in ARTESCA 2.0 stärken die Ausfallsicherheit bei Cyberangriffen, so der Anbieter. Die neue Version soll Sicherheitsrisiken durch eine gehärtete, reduzierte Angriffsfläche reduzieren und besseren Ransomwareschutz bieten.

Ein wesentlicher Punkt dabei: Ein neues integriertes, sicherheitsgehärtetes und minimales Linux-Betriebssystem verhindert den Zugriff auf das Betriebssystem, reduziert die Gefährdung durch kritische Sicherheitslücken (CVEs), die in Linux-Paketen endemisch sind, und begrenzt eine Vielzahl möglicher bösartiger Angriffe, erklärt der Anbieter.

Es wird also deutlich: Ransomware Protection muss als Teil der Cybersicherheit gesehen werden und nicht alleine in den Fokus. Wer sich vor Ransomware schützen will, muss auch das Betriebssystem der Backuplösung besser absichern. Die Ransomware Protection der Zukunft ist die Cybersicherheit insgesamt und kein Teilaspekt mehr.