Erholung nach der Ransomware-Attacke

Bei Ransomware-Angriffen geht es längst nicht mehr um die Frage, ob oder wann, sondern wie oft sie passieren. Alle elf Sekunden fällt ein Unternehmen einer solchen Attacke zum Opfer. Damit ist Ransomware die am schnellsten wachsende Form der Internet-Kriminalität. Es reicht daher nicht, über Strategien zur Vermeidung von Ransomware nachzudenken. Firmen müssen sich auch überlegen, wie sie ihre Daten schützen und wiederherstellen können, wenn sie einer Attacke zum Opfer gefallen sind. Denn es geht nicht nur um die Sicherheit ihrer Daten, sondern des gesamten Unternehmens.

Der jüngste Angriff auf die schottische Umweltschutzbehörde (SEPA) ist ein Beispiel dafür, welche Bedeutung eine angemessene Sicherungs- und Wiederherstellungsstrategie hat. Hacker hatten der SEPA mehr als 4.000 digitale Dateien gestohlen. Obwohl die Behörde über Backup-Systeme verfügte, war sie nicht in der Lage, alle Datensätze wiederherzustellen. Es kann Jahre dauern, bis sie sich von dem Angriff vollständig erholt hat.

Die Wiederherstellung von Daten nach einem Ransomware-Angriff muss nicht kostspielig sein. Mit den richtigen Strategien können sich Unternehmen schnell und sicher von einer Ransomware-Attacke erholen und ihren Betrieb ohne größere Ausfallzeiten wieder aufnehmen. Im Folgenden sind die wichtigsten Schritte aufgeführt, die dabei beachtet werden sollten.

Wiederherstellung der Daten

Bei einem Ransomware-Angriff sollten zunächst die Restore-Optionen geprüft werden. Das kann entweder eine komplette Neuinstallation der Systeme und die Wiederherstellung der Daten bedeuten. Oder Unternehmen beschränken sich auf kleinere Datensätze, die sich schnell zurückgewinnen lassen. Je nachdem, welches Ergebnis angestrebt wird, gibt es einige wichtige Aspekte zu berücksichtigen:

• Bare-Metal-Restore: Wurde der gesamte Server verschlüsselt, muss ein Bare-Metal-Restore durchgeführt werden. Hierbei werden die Daten aus dem Backup auf ein völlig neues, leeres System mit unbeschriebener Festplatte wieder aufgespielt. Das Zurücksetzen in den Bare-Metal-Zustand sollte jedoch keine Neuinstallation von Betriebssystemen oder eine manuelle Konfiguration der Hardware erfordern.
• Granulare Wiederherstellung: Diese Option eignet sich für den Fall, dass Firmen bestimmte Daten so schnell wie möglich wiederherstellen wollen, während der große Rest im Backup erst später gebraucht wird. Dieser granulare Restore reicht meist aus, um das Unternehmen schnell wieder zum Laufen zu bringen, selbst wenn noch nicht alle Systeme vollständig wiederhergestellt wurden.
• Unmittelbarer Rollback von VMs: Diese Option bietet sich an, wenn Unternehmen so schnell wie möglich ein Backup brauchen und anschließend nach der Ransomware suchen wollen. Mit Instant Rollbacks lassen sich Daten innerhalb von Minuten aus virtuellen Maschinen wiederherstellen, unabhängig davon, wo sie in der Infrastruktur abgelegt sind.
• Rechenzentrum on Demand: In diesem Szenario wird vorab eine Kopie der wichtigsten Daten über ein öffentliches, geschütztes Netzwerk an einen Offsite-Server gesendet. Der Server wird in der Regel von einem Drittanbieter gehostet, der auf der Grundlage von Bandbreite, Kapazität oder Anzahl der Nutzer eine Gebühr berechnet. Mit einer Datenmanagement-Software kann sichergestellt werden, dass die Kosten im Rahmen bleiben. Nach einem Angriff lassen sich sämtliche Daten auf dem Server des Drittanbieters wiederherstellen.

Die jeweils beste Wiederherstellungsoption hängt davon ab, wie schwerwiegend die Folgen des Angriffs sind und wie gut Unternehmen sich auf den Ernstfall vorbereitet haben. Wichtig ist, dass sich schon vorab mit den verschiedenen Wiederherstellungsoptionen vertraut gemacht wurde. Auf diese Weise können Firmen schnell handeln und sicherstellen, dass sie nach einem Angriff weiterarbeiten kann.

Verbesserung der Schutzmaßnahmen

Der optimale Zeitpunkt, um sich gegen Ransomware zu wappnen, ist vor dem Angriff. Allerdings kann es dafür bereits zu spät sein. Es gibt aber Maßnahmen, die verhindern, dass ein Unternehmen erneut in Gefahr gerät. Mit den folgenden fünf Schritten kann die Ransomware-Resilienz eines Unternehmens verbessert werden:

• Daten verteilen: Wichtig sind gute Tools zur Endpunkt-Datensicherung für Desktops und Laptops. Damit gewährleisten Unternehmen, dass die Daten an allen Standorten, auch von Mitarbeitern, die von unterwegs arbeiten, kontinuierlich gesichert werden. Bewährt hat sich der 3-2-1-1-Backup-Ansatz: Mindestens drei Kopien der Daten auf werden auf zwei verschiedenen Medien bewahrt, wobei mindestens eine Kopie vor Ort und eine Kopie extern gespeichert werden sollte.
• Daten sicher speichern: Das Verschlüsseln von Daten kann dazu beitragen, Angriffe zu verzögern. Denn dadurch kann die Ransomware nicht so leicht erkennen, welche Daten gespeichert wurden. Wird der Speicher angegriffen, ist es außerdem für die Angreifer wesentlich schwieriger, verschlüsselte Daten online zu veröffentlichen, um auf diese Weise mehr Lösegeld zu erpressen.
• Zugriff auf Sicherungskopien begrenzen: Die häufigste Form von Ransomware-Attacken sind Phishing-Angriffe. Durch eine begrenzte Anzahl von Personen, die im Besitz von Sicherungsdaten sind, lässt sich dieses Risiko minimieren.
• Regelmäßige Backups planen: Durch häufige Backups mit einem klaren Ziel vor Augen lässt sich die Wiederherstellungszeit verkürzen – um Sekunden, Minuten oder gar Stunden.
• Datenwiederherstellungspläne testen: Um die Pläne zur Datenwiederherstellung zu überprüfen, müssen Unternehmen ihre Produktionssysteme für kurze Zeit offline stellen. Diese Maßnahme ist jedoch wichtig, um sicherzustellen, dass die Pläne während und nach einem Angriff wirklich wirksam sind.

Zusätzliche Unterstützung

Ransomware-Attacken sind auf dem Vormarsch und keine Organisation ist mehr sicher vor ihnen. Behörden und die gesamte Sicherheitsbranche arbeiten daher fieberhaft daran, die wachsende Bedrohung zu bekämpfen.

Mit der Hilfe von Branchenexperten können Firmen sich schneller von einem Ransomware-Angriff erholen und weitere Attacken verhindern. Spezialisierte Anbieter schützen Unternehmen und unterstützen diese bei der Entwicklung von Sicherheitsmaßnahmen und Wiederherstellungsstrategien. Auch wenn Unternehmen viele Fragen haben – die Experten haben die Antworten.

Es wird womöglich nie eine klare Ziellinie geben, also einen Punkt, an dem man sagen kann: „Wir haben es geschafft, wir haben die Bedrohung durch Ransomware beseitigt.“ Aber wenn solide und sichere Strategien zur Datenspeicherung verfolgt werden, können Unternehmer nachts mit der Gewissheit schlafen, dass sie die richtigen Maßnahmen ergriffen haben, um Verluste zu minimieren, die Wiederherstellung zu beschleunigen und ihre Firma am Laufen zu halten.