Obwohl sich Vorstände inzwischen intensiv mit Ransomware beschäftigen, fehlt es in den meisten Unternehmen an der technischen Grundlage, um nach einem Angriff ohne Lösegeldzahlung wieder auf die Beine zu kommen.
Wer nach einem Ransomware-Befall zahlt, kauft sich damit keineswegs eine sichere Rückkehr zum Normalbetrieb. Laut einer Untersuchung von von HYCU und ActualTech Media erhalten von den Firmen, die auf die erste Forderung eingehen, zwar 60 Prozent zunächst wieder Zugriff auf ihre Daten. Fast ein Drittel muss aber noch einmal nachzahlen, bevor überhaupt eine Wiederherstellung möglich ist, und bei 8 Prozent bleibt der Zugriff trotz Zahlung verwehrt. Auch wenn ein Schlüssel geliefert wird, zieht sich der technische Wiederaufbau der Systeme meist über mehrere Wochen.
Dazu kommen laut den Studienautoren finanzielle und rechtliche Risiken, die über den reinen Lösegeldbetrag hinausgehen. Cyberversicherungen schließen Zahlungen im Schadensfall häufig von der Deckung aus, während die Prämien in den USA im Schnitt bereits um rund 35 Prozent gestiegen sind. Das US-Finanzministerium warnt außerdem, dass Zahlungen an sanktionierte Gruppen unabhängig von der Absicht mit Strafen der Behörde OFAC geahndet werden können. Unternehmen, die einmal gezahlt haben, gelten in der kriminellen Szene zudem als zahlungsbereit und geraten Studienangaben zufolge häufiger erneut ins Visier, mitunter durch dieselbe Tätergruppe.
Dass ein anderer Weg möglich ist, zeigt eine Gegenzahl aus der Erhebung. Weltweit hätten sich 84,5 Prozent der betroffenen Unternehmen ohne jede Lösegeldzahlung wieder erholt.
Was ein Backup aushalten muss
Damit Backups im Ernstfall überhaupt nutzbar bleiben, müssen sie nach Einschätzung von HYCU gleichzeitig drei Bedingungen erfüllen. Fehlt nur eine davon, lässt sich ein Backup im Zweifel genauso verschlüsseln wie die eigentlichen Produktivsysteme.
Erstens braucht es unveränderlichen Speicher, auf dem sich Daten bis zum Ablauf einer festgelegten Frist von niemandem löschen oder verändern lassen, auch nicht von Administratoren. In der Praxis läuft das auf WORM-Speicher (Write Once, Read Many) auf S3-kompatiblem Objektspeicher mit aktivierter Object-Lock-Funktion hinaus. Ein Löschbefehl lässt sich dort vor Fristablauf technisch schlicht nicht ausführen, selbst mit erbeuteten Administratorrechten nicht.
Zweitens muss die Backup-Umgebung von der Produktivumgebung isoliert sein, durch Netzwerksegmentierung, ohne gemeinsame Zugangsdaten, ohne gemeinsame Dienste und ohne Vertrauensbeziehung zwischen beiden Seiten. Wird die Produktivumgebung kompromittiert, soll das Backup trotzdem unerreichbar bleiben.
Drittens braucht es eingeschränkten Zugriff über rollenbasierte Kontrollen, Mandantenfähigkeit und eine strikte Aufgabentrennung, sodass selbst autorisierte Superadministratoren Backups nicht manuell löschen können.
Vorstände reden mit, die Architektur hinkt hinterher
Die Befragung von IT-Verantwortlichen offenbart eine deutliche Lücke zwischen Problembewusstsein und tatsächlicher Umsetzung. 65 Prozent der Befragten haben demnach kein volles Vertrauen mehr in ihre bestehenden Backup-Lösungen. Von den Unternehmen, die bereits einen Angriff erlebt haben, berichten 52 Prozent von messbaren Datenverlusten und 63 Prozent von Betriebsunterbrechungen.
Bei der praktischen Umsetzung der drei genannten Grundprinzipien sieht es entsprechend dünn aus. Nur 41 Prozent der Unternehmen sichern ihre Backups tatsächlich isoliert, nur 47 Prozent testen sie regelmäßig, und nur 35 Prozent halten ihre aktuellen Werkzeuge überhaupt für ausreichend an die eigene Umgebung angepasst.
Dabei ist Ransomware in den Führungsetagen längst ein Thema. 77 Prozent der Unternehmensvorstände beteiligen sich der Studie zufolge inzwischen aktiv an Diskussionen zur Prävention. HYCU-Gründer und CEO Simon Taylor kommentiert das Auseinanderklaffen von Problembewusstsein und Umsetzung so:
„Angesichts der mit Ransomware-Angriffen verbundenen Kosten in Millionenhöhe, ganz zu schweigen von den negativen Auswirkungen auf Marke und Mitarbeitermoral, können es sich Unternehmen nicht leisten, keinen Plan zu haben.“
HYCU-Gründer und CEO Simon Taylor
Fünf Phasen bis zur Normalität
Für den Ernstfall beschreibt HYCU einen Ablauf in fünf Phasen. Je schneller jede davon durchlaufen wird, desto geringer fällt der Schaden aus.
In der Erkennungsphase sollen neben klassischen Security-Werkzeugen auch ungewöhnliche Muster bei Dateiänderungen, Verschlüsselungsereignissen und im Backup-Verhalten selbst auf einen laufenden Angriff hinweisen, teils früher als andere Warnsysteme.
In der Eindämmungsphase werden betroffene Systeme isoliert, kompromittierte Endgeräte vom Netz getrennt und die Replikation zu Ausweichstandorten gestoppt. Solange die Replikation noch läuft, lassen sich unverschlüsselte Daten über intakte Backups sichern.
In der Bewertungsphase folgt die Bestandsaufnahme: Welche Systeme sind betroffen, welche Backups funktionieren noch, welcher Wiederherstellungspunkt war zuletzt fehlerfrei. Eine gute Übersicht über die eigene Datenlandschaft wirkt sich hier unmittelbar auf die Dauer der Wiederherstellung aus.
In der Wiederherstellungsphase selbst erfolgt der Wiederaufbau Anwendung für Anwendung in Abhängigkeitsreihenfolge aus dem jeweils letzten unbeschädigten Backup. Jeder einzelne Schritt muss vor dem nächsten überprüft werden.
Am Ende steht die Absicherung: die ausgenutzte Schwachstelle wird geschlossen, Zugriffsrichtlinien werden überprüft, und der Vorfall wird in einer Tabletop-Übung nachbereitet. Die dabei gewonnenen Erkenntnisse sollen direkt in eine überarbeitete Reaktionsstrategie einfließen.
Das Bewusstsein für Ransomware ist in den Chefetagen längst angekommen, die dafür notwendigen technischen Grundlagen fehlen aber in den meisten Unternehmen noch. Unveränderlicher Speicher, echte Isolation und strikt eingeschränkter Zugriff sind Grundvoraussetzungen dafür, dass ein Backup im Ernstfall überhaupt noch etwas wert ist. Wer diese drei Punkte vor einem Angriff nicht abgesichert hat, steht am Ende genau vor der Wahl, die eigentlich vermieden werden sollte: zahlen und trotzdem nicht sicher wieder an die eigenen Daten kommen, oder wochenlang ohne funktionierende Systeme dastehen. Die eigentliche Arbeit an der Ransomware-Wiederherstellung passiert damit nicht während des Angriffs, sondern lange davor.
(red/HYCU)