Ransomware-Angriff auf Cloud Nordic

Am 18. August 2023 wurde Cloud Nordic Opfer eines Ransomware-Angriffs. Es kam zu einem regelrechten Katastrophenszenario.  Auf der Website legt Cloud Nordic unmissverständlich dar, wie kritisch die Lage ist: „Die Angreifer haben es geschafft, sämtliche Festplatten der Server sowie die primären und sekundären Backup-Systeme zu verschlüsseln. Dadurch wurden alle Systeme unbrauchbar, und der Zugriff auf alle Daten ging verloren. […] Eine Wiederherstellung war leider nicht möglich, die Mehrheit unserer Kunden hat ihre gesamten bei uns gespeicherten Daten verloren.”

Weiter erläutert das Team von Cloud Nordic: „Der Angriff passierte, nachdem wir unbewusst infizierte Systeme von einem Rechenzentrum in ein anderes verschoben hatten. Unglücklicherweise war das Zielrechenzentrum mit dem internen Netzwerk verbunden, über das alle unsere Server verwaltet werden. Über dieses interne Netzwerk konnten die Angreifer auf die zentralen Verwaltungssysteme und die Backup-Systeme zugreifen.“

Keine gehärteten und abgeschirmten Backup-Systeme

Aus der technischen Betrachtungsperspektive existieren Lösungskonzepte und Technologien, die das Backup, während eines Ransomware-Angriffs, vor Verschlüsselung, beziehungsweise Kompromittierung bestmöglich schützen können. Unsere Erfahrung zeigt jedoch auch, dass es in vielen Fällen keine gehärteten und abgeschirmten Backup-Systeme und häufig nicht im notwendigen Umfang getestete Wiederherstellungspläne gibt.

In der aktuellen Situation ist der Erfolg dieses Angriffs nicht überraschend. Organisationen auf der ganzen Welt sind mit immer häufigeren, ausgefeilteren und demnach auch professionelleren Angriffen konfrontiert. Cloud Nordic ist bei weitem nicht das einzige Opfer.

Daten in isolierter Umgebung sichern und steuern

Die Verwendung von Snapshots und ähnlichen Techniken schützt die wiederherzustellenden Daten nicht ausreichend, denn diese bleiben auf derselben Primär-Plattform – auch wenn Snapshots zusätzlich repliziert werden. Zur adäquaten Sicherung ist es unerlässlich, die Daten in einer isolierten Umgebung zu sichern und zu steuern. Hierfür stehen kombinierbare Lösungsbausteine zur Verfügung:

In einem ersten Schritt sollte ein besonderes Augenmerk auf die Möglichkeiten der Systemhärtung einer Backup- und Recovery-Lösung gelegt werden. Die Frage, die sich jeder und jede IT-Verantwortliche stellen muss, ist, ob das aktuell eingesetzte Backup- und Recovery-Tool tatsächlich die relevante Systemarchitektur ermöglicht, um die Angriffsvektoren zu dezimieren. Im nächsten Schritt ist abzuwägen, welchen Härtungsgrad das Unternehmen durch das eigene Personal tatsächlich gewährleisten kann und ob nicht der Einsatz von vollintegrierten Lösungen das Risiko für die eigene Organisation deutlich verringert.

Idealfall Isolated Recovery Environment (IRE)

Durch Air-Gapping steht eine Methode zur Verfügung, bei der die durchgeführten Backups unabhängig vom Produktionsnetzwerk gespeichert werden. Dies sollte mit der Unveränderlichkeit der Daten kombiniert werden, um einen WORM-Speicher (Write Once Read Many) zum Schutz der „Last Line of Defence“ zu erhalten.

Im Idealfall etabliert das Unternehmen eine sogenannte Isolated Recovery Environment (IRE), also eine abgeschirmte Umgebung, die nur zu bestimmten Zeiten einen Zugang zum produktionsnahen Backup-System öffnet, um die neuesten Backups zu übertragen, und sich dann wieder selbstständig vom Rest des Netzwerks abschottet. Gleichzeitig sollte eine IRE bestmöglich gehärtet sein und die Funktionalität eines unveränderlichen Backupspeichers nativ integriert haben, sowie die Möglichkeit der direkten und damit zeitoptimierten Wiederherstellung von Backups gewährleisten. Moderne Lösungen bieten gleichzeitig die Möglichkeit, Backups anhand typischer Risikoindikatoren zu bewerten, diese vollautomatisch mit Antivirentechnologie zu scannen und damit eine sichere Wiederherstellung auf Knopfdruck zu ermöglichen.

Genau über die Maßnahmen des Cloud-Anbieters informieren

Der Angriff auf Cloud Nordic erinnert eindringlich daran, wie wichtig es ist, dass Cloud-Kunden das in den Verträgen mit ihren Dienstleistern aufgeführte Prinzip des Shared-Responsibility-Modells genau bewerten. Demnach verpflichten sich die Cloud-Anbieter standardmäßig zur Verfügbarkeit ihrer Dienste, die Kunden tragen jedoch die Verantwortung für die Resilienz ihrer Daten, sowie für die regelmäßige Sicherung und die Wiederherstellungsfähigkeit. Sie sollten daher genau über die Maßnahmen des Anbieters informiert sein, diese professionell bewerten und gegebenenfalls Anpassungen oder Veränderungen des eigenen Datenmanagementkonzeptes, gemäß ihrer IT-Strategie und der Anforderungen der IT-Governance und ihres Risiko-Management-Systems planen und durchführen.

Patrick Englisch

ist Regional CTO DACH bei Veritas Technologies.

Roger Homrich

Recent Posts

KI auf dem Prüfstand

LLMs besitzen einerseits innovative neue Fähigkeiten, stellen Unternehmen allerdings auch vor diverse Herausforderungen: ob EU…

5 Stunden ago

Rechenzentren: Deutschland verliert Anschluss

Server-Ausbau in den USA und China macht große Fortschritte, deutscher Weltmarktanteil sinkt. Lichtblicke in Frankfurt…

9 Stunden ago

KI steigert Nachfrage nach hybriden Workplace-Umgebungen

Der Markt für Workplace Services gerät in Bewegung. Das bestmögliche digitale Nutzererlebnis gilt als Schlüssel…

10 Stunden ago

Hagebau erreicht E-Mail-Sicherheit mit der NoSpamProxy Cloud

Schutz für 10.000 Postfächer über rund 200 Domains: Private-Stack-Variante kombiniert Vorteile einer Cloud-Lösung mit Sicherheit…

1 Tag ago

Rechenzentrumsnetzwerke als Schlüssel für Desaster Recovery

Huawei Connect Paris: Innovationen rund um Data Center, Storage und IT-Sicherheit.

1 Tag ago

Cybersecurity mit KI: Strategischer Vorteil oder Sicherheitsrisiko?

Mit KI optimieren Hacker ihre Angriffsversuche. Ist CIAM eine Lösung, mit der sich Unternehmen vor…

1 Tag ago