News Details

Cybererpressung kann man vorbeugen

Mit einer geeigneten Backup- und Disaster Recovery-Strategie können auch Daten nach unentdeckten Cyberangriffen wiederhergestellt werden. Nach den erpresserischen Trojaner-Angriffen erkennen die Virenscanner die Gefahr erst langsam – das ist für viele Unternehmen jedoch zu spät. Erste betroffene Krankenhäuser lassen sich auf Lösegeldzahlung ein, um auf Daten wieder zugreifen zu können. Sicheres Auslesen selbst von befallen Daten und die Wiederherstellung der Systeme sollten in der Backup- und Disaster Recovery-Strategie verankert sein

Weyarn, 19.02.2016 – Die Internetkriminalität nimmt immer neue Formen an. Die aktuellen Cyberattacken auf Krankenhäuser und Unternehmen, bei denen mittels des Trojaners „Locky“ Daten verschlüsselt und von den Kriminellen nur gegen Lösegeld wieder freigegeben werden, sind ein neues Niveau auf das sich die IT-Abteilungen einstellen müssen. Selbst mehrere Tage nach Bekanntwerden hatten laut Googles Virenwarndienst „VirusTotal“ nur drei von 54 Virenscannern diesen neuen Trojaner erkannt, dabei treibt der Trojaner schon seit Wochen sein Unwesen und verschlüsselte im Hintergrund unbemerkt Daten. In den USA haben sich schon erste betroffene Krankenhäuser auf die Zahlung eingelassen, um auf wichtige Patientendaten wieder zugreifen zu können. Die SEP AG, deutscher Hersteller von plattformunabhängigen Hybrid Backup- und Disaster Recovery-Lösungen, gibt als Experte auf diesem Gebiet folgende Ratschläge, wie Unternehmen den Erpressungen durch eine Datensicherungsstrategie vorbeugen können. Dadurch können selbst infizierte Daten sicher ausgelesen und der laufende Betrieb zügig wederhergestellt werden.

Vorbeugende Maßnahmen

Neben den klassisch einzuhaltenden Backup-Szenarien, also wöchentliche Komplettsicherung aller Daten (Full-Backup) und täglichen Sicherung der zwischenzeitlich geänderten Daten (Inkrementelles Backup) sind weitere Maßnahmen nötig. Der Backup-Server und die Backup-Speichermedien sollten zudem vom Internet getrennt sein, damit ein externer Angriff erschwert wird. Dies ist beispielsweise auch durch eine Vervielfältigung (Replizierung) der Backup-Sätze durch Migration auf Offlinemedien wie Bandspeicher oder verteilten (Cloud-)Standorten möglich. Noch sicherer ist es, wenn ein Medienbruch stattfindet, also die Backup-Daten auf einem separaten Medium und wenn möglich, an einem anderen Ort aufbewahrt werden und die Backup-Infrastruktur in einem eigens dafür, logisch vom Internet abgetrennten Netzwerk (VLAN) betrieben wird.

Schritte nach dem Angriff

Ist, wie im aktuellen Fall, ein Angriff passiert und möglicherweise infizierte Daten in den Sicherungsdatensatz gelangt, besteht zügiger Handlungsbedarf. So muss zunächst der Zeitpunkt des Angriffs eingegrenzt werden. Dann setzt die Datenwiederherstellung an. Die Lösung von SEP ist in der Lage einzelne Backups eines beliebigen Sicherungszeitpunktes auf einem abgeschotteten System wiederherzustellen. Im sogenannten Read-Only-Modus können die Daten gelesen und analysiert werden, ob darin doch noch ein Befall zu verzeichnen ist. Wenn der Verschlüsselungsbefehl der Cyberkriminellen noch nicht zur Ausführung gekommen ist, lassen sich so zumindest die Daten lesen. SEP sesam unterstützt dabei Forensik Linux-Distributionen wie beispielsweise KALI, die speziell für die Analyse nach einem Cyber-Angriff entwickelt wurden. So ist es möglich, dass jedes Backup, egal von welcher Quelle, auf einem Linux- oder Windows Backup-Server oder auch Remote-Device-Server geöffnet werden kann und überprüfbar ist. Die Schadsoftware hat während der Forensik-Analyse keine Möglichkeit, das integrere System zu infizieren. Ist der letzte sichere Datensatz gefunden, werden die Systeme damit sauber wiederhergestellt und der Betrieb der IT-Systeme kann wieder normal anlaufen. Vorher sollten die Abwehrmechanismen nochmals überprüft werden, um einen neuerlichen Angriff auszuschließen.


Zurück
2