Definitionen durchsuchen :
Definition

Ransomware Recovery

Ransomware Recovery ist der Prozess der Wiederaufnahme von Optionen nach einer Cyberattacke, die eine Zahlung im Austausch für die Entsperrung verschlüsselter Daten fordert. Es lässt sich nicht einfach als Ransomware-Wiederherstellung übersetzen, da dies falsch verstanden werden könnte. Vielmehr ist es eben die Wiederherstellung von Daten und Systemen und der Business Continuity nach einem Ransomware-Vorfall.

Fortsetzung des Inhalts unten

Gute Datensicherungen und ein solider Disaster-Recovery-Plan (DRP) sind die besten Möglichkeiten, wie sich ein Unternehmen erfolgreich von dieser Art von Angriffen erholen kann. Da Ransomware so weit verbreitet ist, raten Experten Unternehmen dringend, davon auszugehen, dass sie von einem Angriff betroffen sein werden, so dass Schutz und Wiederherstellung höchste Priorität haben.

Ransomware, eine Untergruppe von Malware, dringt in der Regel in ein System ein, wenn ein Benutzer einen infizierten E-Mail-Anhang oder eine Website öffnet. Mehrere große Angriffe haben weltweit für Schlagzeilen gesorgt:

  • Die Ransomware WannaCry hat im Mai 2017 mehr als 100.000 Unternehmen betroffen. Die Zahlungssumme war nicht hoch, wenn man das Ausmaß des Angriffs bedenkt, aber die Ausfallzeiten für Organisationen führten zu großen Verlusten.
  • Petya im Juni 2017 wurde zunächst in Regierungssystemen der Ukraine entdeckt, bevor es sich auf Organisationen auf der ganzen Welt ausbreitete.
  • Bad Rabbit Ransomware im Oktober 2017 verbreitete sich in Osteuropa.
  • Ein Ransomware-Angriff auf die Stadt Atlanta im März 2018 legte mehrere Abteilungen lahm. Die Kosten für die Wiederherstellung betrugen mehr als 5 Millionen US-Dollar.

Mittlerweile haben die Lösegeldsummen Rekordhöhen angenommen. So wurde Acer im Jahre 2021 um 50 Millionen Dollar erpresst.

Um anonym zu bleiben, verlangen die Angreifer oft eine Zahlung in Form einer virtuellen Währung wie Bitcoin. Es wird davon abgeraten, das Lösegeld zu zahlen, da der Zugriff auf verschlüsselte Dateien nicht garantiert werden kann und das Opfer dann als Organisation bekannt wird, die zahlt und sich damit für weitere Angriffe öffnet. Das Bezahlen fördert außerdem das Geschäftsmodell. Die Regierung empfiehlt, sich sofort an die Behörden zu wenden, zum Beispiel an die Polizei oder das BSI.

Die ordnungsgemäße Wiederherstellung nach einem Ransomware-Angriff ist wichtig, da ein Angriff ein Unternehmen schädigen oder sogar längerfristig lahmlegen kann. Selbst wenn ein Unternehmen das Lösegeld nicht zahlt, können die Kosten für die Ausfallzeit aufgrund von Umsatzeinbußen und Reputationsverlusten katastrophal sein. Daher ist es entscheidend, sich schnell von einem Ransomware-Angriff erholen zu können.

Die Planung für die Wiederherstellung von Ransomware ist für eine Organisation nicht nur für die Reaktion auf Angriffe hilfreich, sondern für die DR als Ganzes. Die Planungsphase ermöglicht es einer Organisation, zu prüfen, wo sie anfällig und anpassungsbedürftig sein könnte.

Da sich Ransomware ständig weiterentwickelt, ist es für Anbieter von Datensicherheitslösungen wichtig, den Angreifern einen Schritt voraus zu sein. Eine neue Entwicklung ist beispielsweise die Fähigkeit von Ransomware, zusätzlich zu den primären Workloads auch Datensicherungen anzugreifen, so dass ein Unternehmen sicherstellen muss, dass auch der sekundäre Speicher geschützt ist.

Wiederherstellung nach einem Ransomware-Angriff

Die Wiederherstellung nach einem Ransomware-Angriff beginnt, bevor der Angriff stattfindet. Unternehmen, die die 3-2-1-Regel für Backups befolgen, sind in einer guten Position, um sich zu erholen. Bei dieser Methode gibt es drei Kopien der Daten, auf mindestens zwei verschiedenen Medientypen, wobei eine Kopie Offsite oder Offline ist.

Beispielsweise bietet die Verwendung von Bandspeichern für eine der Sicherungskopien eine Offsite- und Offline-Option. Ein Speicher, der nicht mit einem Netzwerk verbunden ist, ist sicher vor Ransomware. Obwohl Bandlaufwerke in der Regel nicht über so aktuelle Backup-Daten wie Festplatten- oder Cloud-Speicher verfügen, bieten sie ein so genanntes Air Gap - die Isolierung durch fehlende Netzwerk- oder Internetverbindung - und stellen sicher, dass ein Unternehmen zumindest einige seiner Arbeitslasten wiederherstellen kann.

Im Falle eines Angriffs sollte die IT-Abteilung sofort die Kontrolle übernehmen, während die Benutzer vom Netzwerk getrennt bleiben. In der einfachsten Form würde die IT-Abteilung die betroffenen Systeme löschen, sicherstellen, dass sich die Ransomware nicht mehr im Netzwerk befindet, und den Betrieb vom letzten bekannten guten Backupwiederherstellen. Um das Unternehmen so schnell wie möglich wieder zum Laufen zu bringen, möchte die IT-Abteilung möglicherweise zuerst nur die kritischsten Daten und Abläufe wiederherstellen und dann die weniger wichtigen Workloads hochfahren. Die Cloud ist eine gute Option für Offsite-Backups, aber es kann lange dauern, bis eine große Datenmenge wiederhergestellt ist.

Als Teil seiner Backup- und DR-Pläne sollte ein Unternehmen ermitteln, welche Workloads für das Überleben des Unternehmens am wichtigsten sind, und sicherstellen, dass diese ordnungsgemäß und sicher gesichert werden. Im Idealfall sichert ein Unternehmen Dateien häufig über den Tag verteilt und verwendet dabei Methoden wie die Datenreplikation.


George Crump, Analyst bei Storage Switzerland IT, erklärt
warum eine Datenwiederherstellung nach einer
Ransomware-Attacke so schwierig ist.

Testen ist der Schlüssel zur Wiederherstellung von Ransomware. Ein Test kann so einfach sein wie das Durchspielen dessen, was jedes Teammitglied im Falle eines Angriffs tun wird. Die umfassendste Option ist ein umfassender Test von Backups und Failover-Operationen, als ob der Angriff tatsächlich stattgefunden hätte.

Auch Sicherheitstests sind notwendig. Die IT-Abteilung sollte sicherstellen, dass ihre Sicherheitsvorkehrungen - wie Antiviren-Software - auf dem neuesten Stand sind. DR- und Sicherheitsteams sollten, wenn sie getrennt sind, bei der Planung und Wiederherstellung auf derselben Seite stehen.

Es ist optimal, die Benutzer im Voraus zu schulen und zu trainieren, aber auch Erinnerungen unmittelbar nach einem Angriff sind gut, solange das Problem noch in den Köpfen aller Beteiligten präsent ist. Die Mitarbeiter sollten wissen, dass sie keine Anhänge öffnen oder Websites besuchen sollten, die sie nicht als sicher erkennen. Sie sollten auch wissen, dass sie die IT-Abteilung sofort informieren müssen, wenn sie etwas Verdächtiges bemerken.

Diese Funktionen sollte ein Tool offerieren

Anbieter von Backup- und Wiederherstellungslösungen können bei Ransomware-spezifischen Problemen auf verschiedene Weise helfen.

  • Da ein Ransomware-Angriff jeden Moment erfolgen kann, ist ein Tool, das die Häufigkeit von Backups erhöhen kann, hilfreich.
  • Die Erhöhung der Aufbewahrungsdauer von Backups hilft einer Organisation, die Dateien über einen längeren Zeitraum aufbewahren muss.
  • Datensicherungsprodukte, die sich in die Malware-Erkennung integrieren lassen, stellen eine wichtige Sicherheitsüberschneidung dar.
  • Backup-Software kann einen Administrator auf ungewöhnliche Änderungsraten von Daten aufmerksam machen, was ein Zeichen für mögliche Ransomware ist.

Die IT sollte sich bei der Wiederherstellung von Ransomware nicht auf ein Backup-Produkt verlassen. Eine umfassendere und proaktive Datenschutzplattform ist besser. Es ist jedoch wichtig, genau zu analysieren, was ein Anbieter anbietet, da die bloße Aussage, dass ein Unternehmen mit einem bestimmten Produkt nach einem Ransomware-Angriff Daten und Systeme wiederherstellen kann, etwas anderes ist als die Bereitstellung eines konkreten Mittels zur Wiederherstellung.

 

Diese Definition wurde zuletzt im April 2021 aktualisiert
ComputerWeekly.de
Close