Thought Leadership
Für die Abwehr von Cyberattacken und die Sicherheit der Daten benötigen Unternehmen eine umfassende Sicherheitsstrategie. Diese umfasst nicht nur die klassische Security, bestehend aus Endpoint-Protection oder Firewalls, sondern insbesondere auch den Schutz der Backups.
Denn im Fall einer „erfolgreichen“ Ransomware-Attacke ist das nicht kompromittierte Backup die letzte Verteidigungslinie, um Lösegeldzahlungen sowie größeren Schaden vom Unternehmen abzuwenden. Aus diesem Grund hat Systemair dem bedingungslosen Schutz der Backups höchste Priorität eingeräumt und seine Veeam Datensicherungsumgebung mit dem Blocky for Veeam Ransomware-Schutz von GRAU DATA ausgestattet.
Die schwedische Systemair-Gruppe feierte 2024 ihr 50-jähriges Jubiläum und beschäftigt weltweit über 6.600 Mitarbeiter. Mehr als 90 Unternehmen in 51 Ländern gehören der Gruppe an und produzieren und vertreiben unter anderem innovative Lüftungs- und Klimasysteme.
Die weltweite Präsenz des Unternehmens und die stetige Zunahme und Raffinesse der Cyberattacken waren wesentliche Gründe dafür, dass Systemair seine Backups vor Ransomware schützen wollte.
„Es ist bei aller Vorsicht nicht die Frage, ob man mit Ransomware angegriffen wird, sondern wann und mit welchen Auswirkungen“, sagt Tino Lahs, IT Technical Engineer bei Systemair. „Unsere internationale Struktur mit lokalen Servern und unserem Hauptrechenzentrum in Stockholm musste vor den Gefahren der Cyberkriminalität mit Ransomware maximal abgesichert werden. Anfang 2024 entschlossen wir uns zu handeln, und speichern unsere Backups jetzt in einem nicht kompromittierbaren Repository.“
Schutzniveau gut aber noch nicht perfekt
Systemair setzt bei seiner weltweiten Backup-Infrastruktur seit über zehn Jahren auf die Backup- und Recovery-Lösungen von Veeam. Die Datensicherungen von 47 weltweiten Niederlassungen werden zentral in Schweden über Veeam gemanagt.
Mit dem Backup-Konzept von Systemair werden die Datensicherungen in der Firmenzentrale sowie in jeder Geschäftsstelle auf den dort befindlichen Windows-Servern erstellt. Die Geschäftsstellen überspielen anschließend die Backup-Sätze in das zentrale Rechenzentrum in Stockholm. Damit folgt das Unternehmen der gängigen Regel, die Datensicherungen lokal sowie an einem entfernten Ort aufzubewahren, um die Datensicherungen bei technischen Ausfällen der Systeme oder bei Naturkatastrophen zuverlässig zur Verfügung zu haben.
Die für das Backup zuständigen Windows-Server wurden zudem betriebssystemseitig mit wirkungsvollen Security-Lösungen geschützt, um ein hohes Maß an Cyberschutz zu gewährleisten. Und dennoch blieben den IT-Verantwortlichen gewisse Zweifel, ob der Schutz der Backup-Repositoris, die als letzte Verteidigungslinie gegen Ransomware dienen, bei der großen Angriffsfläche von Windows-Maschinen schlussendlich gut genug ist. Denn laut den weltweiten Erhebungen von Veeam, richten sich 96 Prozent der Ransomware-Attacken auch gegen Backups, wobei 43 Prozent der kompromittierten Daten nach dem Angriff nicht wiederherstellbar sind. Zudem können laut der Studie 27 Prozent der Unternehmen, deren Backups von Ransomware betroffen waren, ihre Daten trotz der Lösegeldzahlungen nicht vollständig wiederherstellen.
Mit diesem Risikopotenzial war es für Tino Lahs klar, dass ein zuverlässiger Ransomware-Schutz speziell für die Backup-Repositories gefunden werden musste, der sich gleichzeitig nahtlos in die existierende Backup-Infrastruktur integriert. Eine Abkehr von der sehr zufriedenstellenden Backup- und Recovery-Lösung von Veeam kam bei diesen Überlegungen nicht in Frage. Bei der Recherche nach einer geeigneten Lösung stieß der IT-Profi auf eine Ransomware-Schutzlösung, die speziell für Veeam-Umgebungen entwickelt wurde: Blocky for Veaam vom deutschen Spezialisten für Datenarchivierung, Data Protection & metadatengetriebene Datensuche GRAU DATA.
Wirkungsvoller Backupschutz mit bewährter Technologie
Blocky for Veeam schützt Windows NTFS oder ReFS Volumes der Veeam Server gegen Verschlüsselung durch Ransomware. Der Ransomware-Schutz baut auf einem Derivat der bewährten WORM (Write Once Read Many)-Technologie von GRAU DATA auf. Der WORM-Schutz integriert sich nahtlos in die Veeam-Backupsoftware und sorgt eigenständig für den Ransomwareschutz. Um den Zugriff von unautorisierten Anwendungen – auch von Ransomware – auf das Backup zu unterbinden, kann sich ausschließlich die Backupanwendung selbst mit ihrem digitalen Fingerabdruck gegenüber der Filterschicht eindeutig ausweisen. Damit sind unautorisierte Zugriffe auf die Backup-Repositories per se unterbunden. Allerdings bereiten Cyberkriminelle ihre Angriffe teils wochenlang unbemerkt im Netz vor und erlangen gelegentlich Zugang zur Administratorenebene. Mit einer weiteren Sicherheitsfunktion ist auch dieses Risiko eliminiert. In Blocky for Veeam werden unberechtigte Aktionen an der Blocky-Konfiguration auf Administratorenebene mit einer integrierten Passwortsicherheit verhindert. Selbst nach dem Einloggen des Administrators können kritische Kernfunktionen, wie die Deinstallation oder das Abschalten des Ransomware-Schutzes, nicht ohne ein weiteres, unabhängiges Passwort ausgelöst werden.
„Damit hatten wir genau die Schutzfunktion gefunden, die für unsere Backup-Recovery-Infrastruktur ideal ist. Es bedarf keinerlei Anpassungen am existierenden System und der Ransomware-Schutz läuft geräuschlos im Hintergrund“, bestätigt Tino Lahs. „Kurz hatten wir auch über die Möglichkeit von immutable Storage mit der Version 12 von Veeam nachgedacht. Da diese Funktion jedoch keine Windows-Umgebungen unterstützt, ist Blocky for Veeam für uns die ideale Lösung.“
Schnelle Einrichtung der last Line of Defense
Nachdem die Tests durchweg zufriedenstellend verliefen, organisierte Systemair eine schrittweise Implementierung von Blocky for Veeam. In den Tests hatte sich das Versprechen von GRAU DATA bestätigt, dass die Installation und Einrichtung des Ransomware-Schutzes schnell und einfach vonstatten geht. Innerhalb von rund einer Stunde war im Juni der Backup-Ransomware-Schutz in der Testumgebung aufgesetzt. Im Juli 2024 wurde bereits die erste Installationen auf dem Haupt-Repository im Schweden mit rund 70 Terabyte ähnlich schnell abgeschlossen. Im Anschluss erfolgte schrittweise der Rollout von Blocky for Veeam auf den Servern der 47 weltweit verteilten Geschäftseinheiten.
Da die Funktion der Veeam Backup-Software vom Ransomware-Schutz nicht beeinträchtigt wird, änderte sich bei Systemair nichts an den festgelegten Prozessen des Backup-Konzepts. Heute werden neben den Backups im Hauptrechenzentrum auch die Datensicherungen in den Geschäftsstellen mit Veeam und dem Ransomware-Schutz lokal erstellt und anschließend in das Rechenzentrum repliziert. Nach Abschluss aller lokalen Installationen schützt Blocky for Veeam den weltweiten Backup-Bestand von rund 160 Terabyte vor unberechtigten Zugriffen und Ransomware.
Die Sicherung der Backups mit Blocky for Veeam ist bei Systemair ein elementarer Teil der unternehmensweiten Sicherheitsstrategie, die neben dem technischen Schutz auch Vorgaben wie der DSGVO oder die Regeln von NIS2 berücksichtigt.
„Stillstandzeiten durch Ransomware ist bei Systemair ein Szenario, das wir unbedingt verhindern müssen. Kritische Systeme, wie beispielsweise das CRM dürfen nach heutigem Ermessen maximal vier Stunden stillstehen. Daher werden derartige Systeme mit einer hohen Frequenz gesichert und über Blocky for Veeam geschützt. Bei anderen, weniger kritischen Systemen haben wir eine etwas höhere Toleranz“, sagt Tino Lahs. „Auch unsere Restore-Tests, die wir regelmäßig durchführen, bestanden die Lösungskombination aus Veeam und Blocky for Veeam fehlerfrei. Mit dieser Lösung haben wir ein Schutzniveau erreicht, das uns keine Sorgen mehr bereitet.“
Autor: GRAU DATA
