Backupstrategien gegen Ransomware

Bereits ohne aktive Angreifer sind Backups ein wichtige Maßnahme, um Datenverlust vorzubeugen. Im klassischen Bereich der Safety versucht man mit Backups Daten gegen Gefahren wie die Fehlfunktion von Datenträgern, Brand im Bürogebäude, Diebstahl des Rechners, sowie bloßer Schusseligkeit im Umgang mit PCs vorzubeugen.

Was ist Ransomware?

Mittlerweile ist Ransomware ein beliebtes und lukratives Motiv für einen Hackingangriff. Dabei installiert sich eine Schadsoftware unter Ausnutzung einer Sicherheitslücke auf einem Desktoprechner oder Server. Im Hintegrund verschlüsselt die Software alle Dateien auf der Festplatte mit einem Schlüssel, der nur dem Angreifer bekannt ist. Gegen ein Lösegeld (meist zahlbar in Bitcoin) werden die Dateien ggf. wieder entschlüsselt. Manche Lösegelderpresser löschen Daten jedoch trotz Zahlung unwiederbringlich. Der allgemeine Rat in einem solchen Fall ist es nicht zu zahlen, sondern Backups einzuspielen.

Backups ohne Konzept genügen nicht

Man kann sich durch das regelmäßig anfertigen von Backups schützen. Dabei ist es wichtig, dass die Backups nicht ständig vom potenziell betroffenen PC (mit Schreibzugriff) zugänglich sind, da diese sonst auch von der Ransomware verschlüsselt werden. Werden Backups z.B. auf einer externen Festplatte angefertigt, darf diese nicht dauerhaft mit dem PC verbunden sein. Werden Backups auf einem NAS oder in der einem Cloudlaufwerk gespeichert, darf dieses nicht dauerhaft vom PC erreichbar sein, d.h. die Logindaten für einen Account mit weitreichenden Schreibrechten dürfen nicht lokal auf dem PC gespeichert werden.

Wie schützt man sich?

Berechtigungsmanagement

Um regelmäßige Backups anzufertigen eignet sich ein NAS, bzw. eine interne Cloud. Bei der Wahl von Berechtigungen sollte man darauf achten, dass jeder PC einen Zugang mit stark einschränkten Nutzerrechten hat, der nur Schreibzugriff auf einen kleinen Teil des Speichers erlaubt und keinen (Schreib)Zugriff auf vormalig anfertigte Backups enthält. Die Kopie des zugreifbaren Bereichs in den geschützten Bereich übernimmt in diesem Szenario ein Hintergrundprozess auf dem NAS.

Physische Trennung

Das obige Prinzip des Berechtigungsmanagements bietet keine 100% Sicherheit. Es könnte z.B. eine Sicherheitslücke im verwendeten NAS geben, sodass auch die dortigen Backups überschrieben werden könnten. Es bietet sich daher an zusätzlich von alle Daten, die für die Unternehmensexistenz essenziell sind, ein Backup anzufertigen und dieses physisch getrennt aufzubewahren. Im einfachsten Fall ist dies eine Sicherung auf einer externen Festplatte, die verschlossen aufbewahrt wird.

Weitere Aspekte

Zeitabstände von Backups

Die Frage in welchen zeitlichen Abständen man Backups anfertigen sollte, lässt sich nicht pauschal beantworten. Eine andere Formulierung hilft jedoch klarer darüber nachzudenken: Wie viele Stunden/Tage/Wochen an Arbeitsleistung kann ihr Unternehmen gefahrlos verlieren?

Desaster Recovery

Es ist wichtig sich auf seine Backups verlassen zu können. Daher sollte die IT-Abteilung regelmäßig Backups probeweise einspielen, um zu sehen ob wirklich alle erwarteten Dateien und Programme daraus rekonstruiert werden können.

Verschlüsselung

Hinterlegt man Backups auch auf externen Servern, z.b. Cloud-Anbietern, so würde ich diese verschlüsseln, da sonst ggf. eine Weitergabe personenbezogener Daten stattfindet. Beim Verschlüsseln von Backups gibt es das prinzipielle Risiko selbst den Schlüssel zu verlieren, daher plädiere ich für mindestens ein intern gespeichertes, sehr sicher aufbewahrtes unverschlüsseltes Backup wichtiger Daten.

Schlusswort

Im Bereich Ransomware ist Prävention das A und O. Ohne ausreichende Backups, die einer systematischen Backup-Policy mit Rechtemanagement und physischer Trennung folgen, kann massiver Datenverlust drohen.