cloudplan blog

Ransomware “verändert alles”

Schädlingssoftware wie Ransomware ist eine “andere” Art der Bedrohung, die nicht nur Daten verändert bzw. verschlüsselt, sondern ein ganz besonderes „Geschäftsmodell“ dahinter verbirgt. Man sollte den Fall eines Ransomware Befalls als realistisch annehmen und entsprechende Vorkehrungen treffen, wie man nach einer „Infektion“ diese Trojaner schnell wieder los wird.

 

Es muss den Umgang und den Einsatz mit Abwehrprodukten in Unternehmen verändern.

Ransomware installiert sich meist nach Aufruf einer erhaltenen Datei, email oder Webseite selbständig und verschlüsselt meist verfügbare Dateiinhalte, die dann nicht mehr nutzbar sind.

Die Software fordert den Nutzer auf einen bestimmten Geldbetrag zu zahlen, damit die Dateien wieder entschlüsselt werden. Das Geld wird oft über anonyme Zahlwege wie Bitcoins verlangt.

Zahlt der Nutzer nicht, so bleiben die Daten verschlüsselt oder werden gar gelöscht. Eine „Entschlüsselung“ ist so gut wie nicht möglich, wenn man nicht gerade über „Supercomputer“ und viel Fachwissen verfügt. Es gibt außerdem keine Garantie, dass die Daten wieder genutzt werden können auch wenn man zahlt, den ggf. werden die Daten gar nicht entschlüsselt oder das Programm funktioniert nicht oder nicht so wie es sollte. Reklamationen dürften nicht helfen.

 

 

Wie kann sich ein Unternehmen/ Organisation schützen?

Es ist fast unmöglich, sich komplett gegen Ransomware zu schützen, denn vieles hängt von dem Wissen und der Erfahrung des betreffenden Nutzers oder Mitarbeiters ab und natürlich von der eingesetzten Anti-Malware/ Virenscanner. Allerdings können Virenscanner und Co nur erkennen, was bereits bekannt ist, ein neues bislang unbekanntes Script wird meist nicht erkannt. Es reicht aus, dass ein einziger Nutzer in einem Unternehmen einem Ransomware Eindringlich Zugang verschafft, wenn dieser Nutzer z.B. Zugriffsrechte auf Firmenlaufwerker bzw. Server hat.

Hierdurch werden dann von sämtlichen Mitarbeitern genutzte Server mit Inhalten verschlüsselt und niemand kann die Dateien mehr nutzen.

 

Wie sollte sich eine Firma schützen?

Natürlich sollte man Anti-Viren bzw. Anti-Schadsoftware einsetzen und deren „Archive“ aktuell halten, damit die meisten Trojaner, wie die Ransomware Eindringlinge meist verpackt sind, erkannt und unschädlich gemacht werden können. Außerdem sollten Mitarbeiter im Umgang mit Anti-Malware und beim Öffnen von Emails, Anhängen, Links auf Webseiten sensibilisiert werden, um das Risiko eines Ransomware Befalls zu minimieren.

 

Was kann man zusätzlich tun?

Man sollte den Fall eines Ransomware Befalls als realistisch annehmen und entsprechende Vorkehrungen treffen, wie man schnell nach einer „Infektion“ diese Trojaner wieder los wird.

D.h. man nimmt an, dass Speicherlaufwerke von einzelnen Nutzern sowie größere gemeinsam genutzte Speichereinheiten wie File Server, NAS oder andere Geräte betroffen sind und deren Inhalte verschlüsselt wurden, im Prinzip also jedes Dateispeichergerät auf das Nutzer direkt oder indirekt Zugriff haben.

 

Was ist der beste Weg mit diesem katastrophalen Vorkommnis umzugehen?

Es sollte Backup Server geben, die die Inhalte der Nutzer Computer und/ oder Server, die sie direkt nutzen synchronisieren. Auf diese Backupserver sollten Nutzer keinen direkten operativen Zugriff haben, damit Ransomware sich nicht direkt auf diesen Geräten installiert, sondern nur die verschlüsselten Dateien auf diese Server synchronisiert werden.

Auf diesen Backup Servern sollte eine „Versionierungs-Software“ laufen, die von jeder veränderten Datei ein Backup anlegt. Im Falle einer Verschlüsselung und Synchronisation durch eine Ransomware wären dann die Originaldateien noch vorhanden.

 

Wie wird man die Ransomware wieder los und wie erhält man die alten Dateiinhalte zurück?

Man sollte davon ausgehen, dass ein mit Ransomware befallener Computer neu aufgesetzt werden muss, d.h. das Betriebssystem muss erneut aufgespielt werden und sämtliche Software. Dateiinhalte sind dann verloren.

Besitzt man durch die Backup Server angelegte Datei Versionen vor dem Ransomware Angriff, so kann man nach Wiederherstellung der Nutzercomputer die verschlüsselten Dateien mit den Originaldateien ersetzten.

Unser cloudplan Produkt unterstützt Versionierung und es können beispielsweise sämtliche Dateien wiederhergestellt werden, die innerhalb eines bestimmten Zeitfensters von der Schadsoftware verändert wurden. Über ein Webinterface können die einzelnen Schritte bequem per Fernzugriff erledigt werden.

 

Infrastruktur

Es ist empfehlenswert mehrere Server einzusetzen, die zum direkten Zugriff der Nutzer dienen. Dieses sollte entsprechend leistungsfähige Server sein, die ein Server Cluster bilden. Mit der cloudplan „clustering“ Lösung lässt sich so ein Serververbund mit ein paar Mausklicks einrichten.

Diese Server sollten möglichst räumlich getrennt oder nach Möglichkeit auf verschiedenen Stockwerken oder Gebäuden betrieben werden, um auch andere Gefahren wie Feuer usw. vorzubeugen.

Außerdem sollten Backup Server Teil dieses Clusters werden, die ebenso die Inhalte synchronisieren aber durch eine niedrigere Priorität nicht direkt von den Nutzern für einen Zugriff genutzt werden. Nach Möglichkeit sollten mehrere Backupserver parallel betrieben werden. Auf diesen Backup Geräten wird die cloudplan Versionierung eingeschaltet und damit jede Dateiveränderung oder Löschung als Historie erhalten bleibt.

Nach einer Ransomware Attacke dienen diese Backupserver dazu, die alten Originaldateien wiederherzustellen.

 

Welche alternative Backup Software gibt es im Markt?

Andere Backupprodukte sind meist darauf ausgelegt so festgelegten Zeitpunkten wie z.B. alle 24 Stunden ein Backup der veränderten Dateien anzulegen. Kommt es zu einem Ransomware Angriff und man möchte von dem letzten Backup zurück sichern, so fehlen immer die Dateiveränderungen, die nach dem letzten Backup durchgeführt wurden. Außerdem benötigen Rücksicherungen von Backups wie z.B. Bandbibliotheken teilweise viele Stunden oder gar Tage.

Die bessere Lösung wäre es wie beschrieben einen Backup Server in einen Clusterverbund aufzunehmen, der sämtliche Veränderung synchronisiert und Versionen anlegt, damit bei einer Wiederherstellung exakt die Dateien wiederhergestellt werden können, die z.B. nach einer Ransomware Attacke verschlüsselt worden sind. Außerdem kann die Wiederherstellung sehr bequem per Webinterface und dann sehr schnell von dem Server erfolgen.

Ransomware verliert damit den Schrecken und es entstehen keine Dateiverluste oder andere Schäden durch Ausfallzeiten, Ransomware Zahlungen oder unwiederbringliche Dateien.



zurück zur Übersicht
powered by webEdition CMS