Ransomware und Backup – Worauf kommt es an?

05.10.2021 / Dr. Markus Ermes

Markus Ermes

Ransomware ist momentan das Schreckgespenst der IT. Wenn man sich umsieht, wer in den letzten Jahren betroffen war und wie groß die Schäden waren, muss man sagen: zu Recht! Doch gibt es auch Beispiele, bei denen Ransomware zwar durchaus Schaden angerichtet hat, die Folgen aber überschaubar geblieben sind. Woran liegt das?

Backup – mehr als nur eine Kopie ablegen

Natürlich ist die Grundidee zur Absicherung recht einfach: Wenn Daten auf einem System verschlüsselt werden, braucht man „nur“ eine intakte Kopie der Daten, also ein Backup. Reicht also eine Kopie an einer anderen Stelle, an die man schnell herankommt? So einfach ist es leider nicht. Denn wenn der Nutzer leicht an die Kopie herankommt, dann auch die Ransomware.

Das heißt zunächst: Die Sicherung muss an einer Stelle erfolgen, die von einem mit Ransomware infizierten System nicht erreichbar ist.

Auch hier gibt es einfache Methoden, die in den meisten Fällen schon nutzbar sind, z.B. die Snapshot- und Versionierungsfunktionen zentraler Storage-Systeme. Damit ist der Zugriff auf die Kopien nur durch Administratoren möglich. Hier ergibt sich allerdings die nächste Herausforderung: Eine Ransomware wird üblicherweise versuchen, sich im Netzwerk auszubreiten. Somit besteht die Gefahr, dass die Workstation eines Administrators ebenfalls befallen wird und dann ist auch die Kopie im Storage-System nicht mehr sicher!

Doch es gibt Abhilfe: Es können schreibgeschützte Sicherungen angelegt werden, bei denen ein Löschen oder eine Manipulation unmöglich ist. Im optimalen Fall nutzt man sogar ein zusätzliches System von einem anderen Hersteller, um Software-Fehler oder Schwachstellen ebenfalls ausschließen zu können. Solche Systeme können viele Formen haben: Ein weiteres Storage-System, eine Virtual Tape Library oder sogar ein Bandroboter. Damit ergibt sich ein annehmbarer Schutz gegen Ransomware. Wichtig hierbei: Eine sinnvolle Definition von Sicherungsintervall und Anzahl gesicherter Versionen der fraglichen Daten. Denn entdeckt man die Ransomware erst, wenn auch die älteste Sicherung längst infiziert ist, ist es zu spät.

Und je intelligenter die Ransomware und je motivierter der Angreifer hinter der Ransomware, desto langsamer geht die Ransomware vor, um genau dieses Ziel zu erreichen.

Gehen wir davon aus, dass Sicherungsintervall und Aufbewahrungszeit sinnvoll gewählt sind: Eine ausreichend dimensionierte Lösung für eine Sicherung vor Ort kann schnell sehr kostenintensiv werden, für manche kleine und mittelständische Unternehmen vielleicht sogar zu kostenintensiv. Dann kann man über eine Sicherung in die Cloud nachdenken. Cloud-Storage ist schließlich billig, oder?

Backup to the Cloud

Prinzipiell ist Cloud-Speicher relativ günstig. Gerade Objekt-Speicher wie AWS S3 oder Azure Blob Storage sind preislich sehr attraktiv. Doch wenn man sich für eine Sicherung in die Cloud entscheiden, sollte man zwei Punkte beachten:

  1. Nicht jeder Object Storage ist mit jeder Backup-Software und jeder Backup-Architektur kompatibel. Eine genaue Planung ist hier die Lösung.
  2. Man sollte regelmäßig vollständige Sicherungen anfertigen, die dann um inkrementelle Sicherungen erweitert werden. Jedoch ist ein solches Vollbackup bei einer geringen Internet-Bandbreite nicht immer möglich. Um diese Herausforderung anzugehen, gibt es Appliances, die per Post zugeschickt, befüllt und wieder zurückgeschickt werden können.

Fazit

Ransomware ist aktuell eine große Gefahr, doch kann man sich mit einem durchdachten Sicherungskonzept schützen. Die Umsetzung eines solchen Konzepts kann viele Formen annehmen − von großen lokalen Backup-Lösungen, ggf. sogar mit großen Tape-Libraries bis hin zur Sicherung in die Cloud mithilfe der Post.

RZ-Design: von Storage bis zur Virtualisierung
15.05.-16.05.2024 Aachen | online

Der Netzwerk Insider gehört mit seinen Produkt- und Markt-Bewertungen rund um IT-Infrastrukturen zu den führenden deutschen Technologie-Magazinen. Der Bezug des Netzwerk Insiders ist kostenlos.