„Das Wichtigste ist, dass Unternehmen widerstandsfähige Backups anlegen, die vor Ransomware geschützt sind“
Nahezu jedes Unternehmen hat inzwischen eine Ransomware-Attacke erlebt – mit teils gravierenden Folgen. Um Ransomware-Angriffe erfolgreich zu unterbinden, müssen Firmen mehrere Themen berücksichtigen. Welche das sind, zeigt Thomas Sandner (Senior Regional Technical Sales Director bei Veeam) im Interview auf. Zudem führt er aus, inwiefern Backups eine wichtige Rolle spielen, um Ransomware-Attacken entgegenzutreten.
CANCOM.info: Als Veeam haben Sie jüngst den „Veeam Data Protection Trends Report 2023“ veröffentlicht. Demnach haben 85 Prozent der Unternehmen im vergangenen Jahr mindestens einen Ransomware-Angriff erlebt. Wie wirken sich diese Angriffe auf das Business aus?
Thomas Sandner: Das kommt darauf an, wie breit die Angriffe angelegt sind und wie stark sie das Unternehmen tangieren. Es macht zum Beispiel einen Unterschied, ob Cyberkriminelle den kompletten Betrieb oder „nur“ eine Außenstelle attackieren. Unabhängig davon verursachen Ransomware-Angriffe unmittelbar, dass die Systeme ausfallen – sodass man nicht mehr arbeiten kann. Und es kann einige Zeit vergehen, bis die Systeme wieder online sind.
CANCOM.info: Woran liegt das?
Thomas Sandner: Dies liegt besonders daran, dass Unternehmen ihre Systeme nicht sofort mittels Datenwiederherstellung wieder hochfahren können. Sie müssen zunächst analysieren, wie weit die Angreifer das Firmennetzwerk vor der Attacke infiltriert haben. Nur dann können sie feststellen, ab welchem Datenstand eine Wiederherstellung überhaupt vertretbar ist. Schließlich möchte man ja keine kompromittierten Daten wiederherstellen. Eine solche Analyse nimmt in der Regel viel Zeit in Anspruch. Wenn beispielsweise kritische Systeme, wie ein Active Directory, attackiert wurden, kann es Wochen dauern, bis die Systeme wieder laufen. Im schlimmsten Fall muss das Unternehmen also mehrere Wochen ohne IT auskommen – was sogar in die Insolvenz führen kann. Neben diesen unmittelbaren Folgen kommt hinzu, dass Ransomware-Angriffe häufig Nachwehen beim betroffenen Unternehmen verursachen. Zum Beispiel kann es vorkommen, dass eine Firma aus dem produzierenden Gewerbe wegen des Systemausfalls keine Bestellungen aufgeben kann – und die negativen Folgen, angesichts der Lieferengpässe, noch Monate später spürt.
CANCOM.info: Sie sagen, dass sich Ransomware-Angriffe unterschiedlich auf Unternehmen auswirken. Aus der Praxis gesprochen: Zielen die Angriffe tendenziell auf den kompletten Betrieb ab oder stehen bestimmte Unternehmensbereiche im Fokus?
Thomas Sandner: In der Tendenz zielen die Angriffe auf den kompletten Betrieb ab – um Unternehmen auf der vollen Breitseite zu erwischen. Schließlich möchte man möglichst viel Geld aus seinen Opfern herauspressen. Tatsächlich ist Ransomware heute ein Business. So sind gerade professionelle Angreifer in Banden organisiert, die wie kleine mittelständische Unternehmen arbeiten. Unter anderem gibt es eine Geschäftsführung, eine Personalabteilung sowie Mitarbeiter, die entsprechend bezahlt werden. Diese Banden versuchen häufig, kritische Systeme wie Active Directory oder Backup-Kopien zu erwischen. Um eben möglichst viel Geld zu erpressen. Damit das erreicht wird, schrecken sie auch vor perfiden Methoden nicht zurück.
CANCOM.info: Zum Beispiel?
Thomas Sandner: Ein Beispiel ist die Ansage, wichtige Daten bei ausbleibender Lösegeldüberweisung nicht nur zu verschlüsseln, sondern auch im Darknet zu veröffentlichen. Eine weitere Methode ist, zu drohen, im nächsten Schritt auch die Kunden des jeweiligen Unternehmens anzugreifen. Denn durch die gestohlenen Daten wissen die Angreifer genau, mit welchen Kunden das Unternehmen Geschäfte macht.
CANCOM.info: Wie sollen Unternehmen auf solche Drohungen reagieren? Das Lösegeld überweisen?
Thomas Sandner: In der Theorie müsste man sagen: auf keinen Fall. Dann würden sich Ransomware-Attacken nicht mehr lohnen und das Business kollabieren. In der Praxis ist es schwer, diese Frage zu beantworten. Wenn man selbst betroffen ist – und schlimme Folgen wie eine mögliche Insolvenz nur mit einer Lösegeldzahlung verhindern kann – wird man die Zahlung tätigen. Das kann ich ein Stück weit auch nachvollziehen. Unternehmen sollten sich allerdings bewusst sein: Nur weil man Geld auf den Tisch legt, heißt das nicht, dass die Angreifer nicht trotzdem Daten leaken oder verkaufen. Es gibt keine Garantie.
CANCOM.info: Was können Firmen nun tun, um die Wahrscheinlichkeit erfolgreicher Ransomware-Angriffe zu reduzieren?
Thomas Sandner: Ganz wichtig ist, dass man sich zunächst eines vor Augen führt: Für die Abwehr von Ransomware-Angriffen ist ein ganzheitlicher Ansatz nötig, der mehrere Themenbereiche umfasst. Dazu gehören präventive Maßnahmen wie Rechteverwaltung, Software Lifecycle-Management, Netzwerksegmentierung, Firewalls, Endpoint Security-Lösungen, Backup und, ganz wichtig, Mitarbeiterschulungen. So werden viele Ransomware-Attacken bis heute über Phishing E-Mails durchgeführt. Da ist es natürlich essenziell, dass Mitarbeiter Phishing E-Mails als solche erkennen. Zusätzlich müssen Firmen eine Notfallplanung aufsetzen – damit jeder weiß, was zu tun ist, wenn tatsächlich der Ernstfall eintritt.
CANCOM.info: Also eine Art Guideline?
Thomas Sandner: Genau. Eine Notfallplanung muss Fragen beantworten wie: Welche Daten lassen sich noch wiederherstellen beziehungsweise welche Backups noch einspielen? Wer muss zu welchem Zeitpunkt mit wem sprechen? Wer muss über die Ransomware-Attacke informiert werden? Über diese und weitere Fragen müssen sich Firmen frühzeitig Gedanken machen – optional mit Unterstützung professioneller Dienstleister wie CANCOM. Dann fällt es auch leichter, im Angriffsfall ruhig zu bleiben und Fehler zu vermeiden.
CANCOM.info: Als Veeam decken Sie mit dem Thema Backup einen wichtigen Bereich ab. Was müssen Unternehmen bei diesem Thema berücksichtigen – gerade im Kontext der Ransomware-Abwehr?
Thomas Sandner: Das Wichtigste ist, dass Unternehmen widerstandsfähige Backups anlegen, die vor Ransomware geschützt sind. Damit kein Angreifer die Backup-Kopien löschen, verschlüsseln oder verändern kann. Gemäß der 3-2-1-Regel für die Datensicherung müssen zudem immer drei Kopien auf zwei verschiedenen Medien gespeichert werden – wobei eine Kopie davon an einen anderen, externen Standort auszulagern ist. Nicht zuletzt ist es wesentlich, die einzusetzende Backup-Software ausgiebig zu testen. Nur so lässt sich feststellen, wie schnell die Software in der Lage ist, die Daten im Ernstfall wiederherzustellen.
CANCOM.info: Sie haben von widerstandsfähigen Backups gesprochen, die sich weder löschen, verschlüsseln noch verändern lassen. Wie können Unternehmen solche Backups erstellen?
Thomas Sandner: Der traditionelle Weg ist die Nutzung von Bandlaufwerken bzw. Tapes: Zunächst speichert man ein Offline-Backup auf Bandlaufwerken ab. Anschließend lässt man dieses abholen und an einen externen Standort bringen. Dieser Weg ist sehr sicher, aber auch aufwendig – zumal Unternehmen abklären müssen, wie häufig die Abholung stattfindet. Meistens findet diese nur einmal pro Woche statt. Das heißt: Es besteht die Gefahr, dass Firmen die Daten einer kompletten Woche verlieren, wenn sie attackiert werden. Außerdem ist die Wiederherstellung der Daten umständlich. Denn um diese einspielen zu können, muss man die Bandlaufwerke erst vom externen Standort zurückholen.
CANCOM.info: Das heißt, Sie würden Firmen tendenziell vom Bandlaufwerk abraten?
Thomas Sandner: Nein, Bandlaufwerke sind immer noch eine gute und kostengünstige Methode, um widerstandsfähige Backups zu erstellen. Es ist nur wichtig, auch die Nachteile zu kennen. Eine, ebenfalls günstige, Alternative zum Tape mit einem hohen Schutzniveau ist das Veeam Hardened Linux Repository. Hier dient ein regulärer x86-Standardserver, der gemäß unserer Anleitung abgesichert wird, als Backupspeicher. Die Unveränderlichkeit der so gespeicherten Backups haben unter anderem die US-Börsenaufsicht SEC sowie die Genehmigungsbehörde FINRA zertifiziert.
Weiterhin bieten sich geschützte Cloud-Speicher als alternative Option zum Bandlaufwerk an. Diese ermöglichen es, die Backups bequem extern auszulagern. Als Veeam treiben wir hier das Thema Object Storage sehr stark – wobei Objektspeicher neben der Cloud auch On-Premises verfügbar sind. So enthalten Objektspeicher ein Feature, die sie für den Bereich Backup prädestinieren: die sogenannte Object-Lock-Funktionalität. Damit können Unternehmen diejenigen Objektspeicher, auf denen die Backup-Kopien gesichert sind, mit einem Schreibschutz versehen. Daraufhin wird es unmöglich, die dort gespeicherten Kopien zu löschen oder zu ändern. Außerdem lassen sich Objektspeicher nahezu unbegrenzt skalieren. Eine zusätzliche Option, widerstandsfähige Backups zu erstellen, bieten wir gemeinsam mit unserem Partner CANCOM unter dem Namen „Cloud Connect“ an. Dabei handelt es sich um einen Managed Service: Unternehmen können ihre Backups in einem sicheren CANCOM-Rechenzentrum ablegen – und bei Bedarf wiederherstellen. Durch die integrierte Funktion „Cloud Connect Insider Protection“ sind die Backups hier besonders geschützt: Diese können nicht einmal vom Administrator selbst und entsprechend auch nicht von Angreifern gelöscht werden.
CANCOM.info: Welche der genannten Methoden würden Sie bevorzugen, wenn es um die Erstellung widerstandsfähiger Backups geht?
Thomas Sandner: Das sollte man nicht pauschalisieren. Grundsätzlich hängt es komplett vom Unternehmen bzw. von der Bedeutung der zu sichernden Daten ab, welche Methode am sinnvollsten ist. Wichtig ist, dass Firmen eine der genannten Methoden durchführen. Und dass dahinter ein durchdachtes Backup-Konzept steckt. Bei der Erarbeitung können Experten wie CANCOM helfen.
CANCOM.info: Erst kürzlich wurde die Veeam Data Platform mit „Backup & Replication“ in der zwölften Version als Grundlage veröffentlicht. Diese soll Firmen unter anderem bei der Ransomware-Abwehr unterstützen. Welche Funktionen der Backup-Software sind dafür essenziell?
Thomas Sandner: Einerseits können Unternehmen ihre Backups nun sofort, ohne Umwege, auf Objektspeichern ablegen – und bei Bedarf schnell wiederherstellen. Dies war zuvor nicht möglich. Folglich können Firmen Ransomware-geschützte Backups von Beginn an erstellen. Schließlich lässt sich die Object-Lock-Funktionalität ab dem ersten Backup aktivieren. Andererseits haben wir, neben zusätzlichen Features wie einer erweiterten Multi-Faktor-Authentifizierung, den sogenannten Best Practice-Analyzer integriert. Mit dem Tool können Firmen überprüfen, ob alle Voraussetzungen erfüllt sind, um Ransomware-Angriffe erfolgreich zu vermeiden.
CANCOM.info: Veeam Backup & Replication v12 bildet den Kern der neuen Veeam Data Platform. Welche zusätzlichen Mehrwerte im Bereich Ransomware bietet diese Plattform an – also abgesehen von Backup & Replication?
Thomas Sandner: Die Veeam Data Platform ist in drei Editionen verfügbar: Foundation, Advanced und Premium. Gerade in der Premium-Version sind weiterführende Funktionen für die Ransomware-Abwehr enthalten. Darunter fallen insbesondere der Recovery Orchestrator für die automatisierte Datenwiederherstellung sowie die optional erhältliche Veeam Ransomware Warranty – wobei letztere den Bezug der Premium Edition voraussetzt. Konkret handelt es sich um eine Garantie, mit der wir dem Kunden gewährleisten, dass wir nach einem Ransomware-Angriff die Kosten für die Datenwiederherstellung in Höhe von bis zu 5 Millionen US-Dollar übernehmen.
CANCOM.info: Lassen Sie uns zum Abschluss auf CANCOM eingehen. Sie haben CANCOM ja, etwa im Kontext von „Cloud Connect“, bereits erwähnt. Wieso sollten Kunden auf Veeam und CANCOM setzen, wenn es um Backup und die Ransomware-Abwehr geht?
Thomas Sandner: Neben unseren führenden Backup-Lösungen, wie Veeam Backup & Replication v12, profitieren Kunden mit CANCOM von einem Partner, der über eine breite Expertise im Veeam-Umfeld verfügt. Tatsächlich ist CANCOM einer von nur fünf offiziellen Veeam Accredited Service Partner, kurz VASP, in Deutschland. Diesen Status bekommen ausschließlich Partner, die eine spezielle Expertise sowie umfangreiche Erfahrung in größeren Projekten vorweisen können. Entsprechend kann CANCOM die Kunden umfassend dabei unterstützen, Backup-Lösungen wie von Veeam erfolgreich im Betrieb einzuführen. Hinzu kommt, dass Kunden mit CANCOM nicht nur für den Backup-Bereich einen kompetenten Ansprechpartner haben. Sondern auch für Themen wie Endpoint Security, Software Lifecycle Management, Netzwerksegmentierung oder Notfallplanung. Wenn Kunden auf CANCOM setzen, profitieren sie also von einer Anlaufstelle für zahlreiche Bereiche rund um die Ransomware-Abwehr.
Sie möchten sich näher zur Lösung Veeam Backup & Replication sowie den CANCOM Services informieren? Dann besuchen Sie gerne die offizielle Themenseite.
Hintergrund zum Experten
Thomas Sandner arbeitet als Senior Director Technical Sales bei Veeam. In seiner Position leitet er das Pre-Sales-Team von Veeam in Deutschland. Er und sein Team beschäftigen sich täglich mit Themen wie Backup, Ransomware, Multi Cloud und Kubernetes.
Quelle Titelbild: © Suttipun/stock.adobe.com