Datensicherheit

Cloud gegen Ransomware

von - 12.10.2021
Foto: Shutterstock / MZinchenko
Durch Ransomware verschlüsselte Daten lassen sich dank permanenter Cloud-Kopien einfach wiederherstellen.

In Studien zu den größten Sicherheitsgefahren für Unternehmen stehen Ransomware-Angriffe auf einem vorderen Platz. Es kann jede Firma treffen.
 Wie schwer der Schaden ist, hängt davon ab, wie gut ein Unternehmen auf einen solchen Angriff vorbereitet ist. Eine gute Endpoint-Security-Software ist ein Muss, hinzu kommen weitere Sicherheits­module, etwa Endpoint Detection and Response (EDR), Security Information and Event Management (SIEM) oder Data Loss Prevention.
All diese Lösungen helfen zwar bei der Abwehr von Eindringlingen, nicht aber bei einer erfolgreichen Ransomware-Attacke und verschlüsselten Daten. Hier sind Datensicherungen gefragt, klassische Backups haben allerdings ein zu großes Zeitfenster.

Im Fall des Falles

Wie sieht der Notfall in einem Unternehmen typischerweise aus, wenn eine Ransomware ausgeführt wurde? Meist gelangt die Ransomware auf die Workstation eines Mitarbeiters und führt sich zunächst dort aus. Vor einer Verschlüsselung der Daten sucht die Malware weitere lokale und Netzlaufwerke, um auch dort alle vorhandenen Daten zu verschlüsseln und sich weiterzuverbreiten. Im schlimmsten Fall kann auf diese Weise ein gesamtes Netzwerk überrollt und es können Daten auf allen Systemen verschlüsselt werden.
In der Regel trifft es aber nur einen Teil der genutzten PCs. Eine Neueinrichtung wäre eigentlich kein größeres Problem. Die nötigen Windows-Systeme haben fähige Administratoren als Images immer bereitliegen. Und für alle weiteren Einstellungen stehen fertige Systemregeln und Profile zur Verfügung. Selbst alle E-Mails sind noch vorhanden, da sie auf gesonderten Servern liegen.
Das große Problem sind die aktiven Daten – mit Anschreiben, Rechnungen, Bestellungen, Berichten und so weiter. Diese hat die Ransomware verschlüsselt, sie stecken nicht tages- oder stundenaktuell in Backups.

Wiederherstellung aus der Cloud

Kommt an einem Mitarbeiter-PC hingegen ein Cloud-Service zum Einsatz, zum Beispiel OneDrive for Business oder Dropbox Business, dann sichern und synchronisieren diese Services alle aktiv genutzten Daten eines definierten physischen Laufwerks permanent mit der Cloud.
Bei einer Ransomware-Attacke passiert dann Folgendes: Auch die zu synchronisierenden Daten werden durch die Ransomware verschlüsselt, in die Cloud transportiert und die dort vorhandenen Daten werden ersetzt. Damit ist einem Unternehmen natürlich noch nicht geholfen. Aber die Cloud verfügt über weitere Lösungsmöglichkeiten, im Fall einer Attacke reagiert sie manchmal sogar mit.
Mehr Sicherheit durch Cloud-Services
Sind die Daten bereits in der Cloud, lassen sich weitere Sicherheits-Services nutzen, um Ransomware- und andere Attacken zu bekämpfen. Ein Statement von Richard Werner, Business Consultant bei Trend Micro.
„Die Cloud spielt für die Security eine zentrale Rolle, gerade wenn es um Technologien wie Detection and Response oder andere Anwendungsformen von Künstlicher Intelligenz geht, mit denen Ransom­ware wirksam bekämpft werden kann. Damit diese schnell und effektiv arbeiten können, müssen Milliarden unterschiedlicher Datensätze miteinander korreliert werden, um daraus nützliche Zusammenhänge zu extrahieren. So sind wir in der Lage, auch komplett neuartige Angriffe, selbst wenn sie nur einen einzelnen Kunden betreffen, als solche zu identifizieren und zu behandeln. Je mehr Informationen die Lösungen erhalten, desto besser. Unsere Datenbanken dafür umfassen inzwischen fast 3 Petabyte an Daten – solche Mengen können nur in der Cloud sinnvoll verarbeitet werden.
Und noch ein weiterer Aspekt der Cloud dürfte für Unternehmen interessant werden: In Deutschland denken derzeit viele Firmen darüber nach, eigene Workloads in die Cloud zu migrieren. Die Erfahrungen aus anderen Ländern zeigen, dass Cloud-Systeme oftmals seltener von Ransomware befallen werden als andere Infrastrukturen. Das hängt damit zusammen, dass man für die Cloud ein neues Security-Konzept erarbeiten muss, während man On-Premise häufig einfach weitermacht wie bisher. Deswegen wird in der Cloud schlicht die modernere Sicherheitstechnologie verwendet. Bedingt dadurch, dass man in der Cloud eben nicht die Hardware darunter kontrolliert, schützt man die einzelnen Systeme zudem auch gegen Angriffe von benachbarten Systemen.
Bei OneDrive for Business sieht das beispielsweise so aus: Alle von der Ransomware verschlüsselten aktiven Daten werden in die Cloud übertragen. Die Dateien sind dabei umbenannt und tragen in der Regel eine einheitliche Datei­endung. So wird zum Beispiel bei einer Attacke durch die Ransomware  Dharma aus der Datei „arch7101.ntx“ die Datei „arch7101.ntx.id-4A25516F.[adobepay@airmail.cc].adobe“. Auf dem Cloud-Speicher wird die alte Datei durch die neue ersetzt. Diesen massenhaften Vorgang erkennt das System als Ransomware-Attacke – und stoppt das Ersetzen der Dateien. In den meisten Fällen wird der Anwender sogar gefragt, ob er den Vorgang rückgängig machen will. Ist die Ransomware-Attacke aber voll im Gang, hat er oft keinen Zugriff mehr auf den PC. Das macht aber nichts, da die Cloud-Umgebung davon unabhängig per Browser erreichbar ist.

Datenrettung aus der Versionierung

Alle in den Business-Cloud-Services gespeicherten Daten unterliegen einer automatisierten Versionierung. Das bedeutet, dass das System von einer bearbeiteten Datei normalerweise bis zu 30 Versionen, sortiert nach der Bearbeitungszeit, aufbewahrt. Je nach Definition hebt das System die geänderten Daten 90 Tage bis hin zu keinem Löschdatum auf. Eine erste Dateiversion ist nach einer Attacke immer vorhanden, da die Ransomware die letzte Version überschreibt und sie somit als geändert gesichert wird.  
Nach einer Ransomware-Attacke lassen sich auch einzelne Dateien auf Wunsch wiederherstellen. Da die Wiederherstellung für alle aktiven Daten eines Nutzers oder einer Abteilung zu umständlich wäre, bieten die Business-Cloud-Services eine Wiederherstellung der Daten nach Datum und Uhrzeit – teilweise sogar für den gesamten Datenbestand.
OneDrive for Business hat dafür einen Zeitstrahl, auf dem sich das genaue Datum und die Uhrzeit wählen lassen. Nach einer Bestätigung wird der gesamte Datenbestand in den Zustand vor der Ransomware-Attacke zurückversetzt. Wenn also ganze Abteilungen oder Teams statt eines Datei-Servers im Unternehmen eine Business-Cloud nutzen, dann bedeutet eine Ransomware-Attacke zwar immer noch viel Aufwand für den Support. Das Thema Verlust unersetzlicher Daten und die Konfrontation mit einer Erpressung und den damit einhergehenden, oft horrenden Lösegeldforderungen sind aber meist schnell vom Tisch.
Seite
  1. Teil: Cloud gegen Ransomware
  2. Teil: Welche Business-Cloud bietet Sicherheit?
Verwandte Themen

Mehr zum Thema