Laut dem Veeam Ransomware Trends Report 2022 verlieren Unternehmen die Schlacht, wenn es darum geht, sich gegen Ransomware-Angriffe zu verteidigen. 72 Prozent der Unternehmen waren teilweise oder vollständig von Angriffen auf ihre Backup-Repositories betroffen, was die Möglichkeit der Datenwiederherstellung ohne Zahlung des Lösegelds drastisch beeinträchtigt.
Nach Angaben von Veeam Software, die Backup-, Recovery- und Datenmanagement-Lösungen zur Datensicherung bieten, zielten dabei 80 Prozent der erfolgreichen Angriffe auf bekannte Schwachstellen ab. Dies unterstreiche die Bedeutung von Patches und Software-Upgrades. Fast alle Angreifer versuchten demnach , Backup-Repositories unbrauchbar zu machen, um das Opfer daran zu hindern, die Daten ohne Zahlung des Lösegelds wiederherzustellen.
Empfehlung: Verpflichtung zum Nichtzahlen
„Eines der Markenzeichen einer starken modernen Datenschutzstrategie ist die Verpflichtung zu einer klaren Richtlinie, dass das Unternehmen niemals Lösegeld zahlen wird, sondern alles in seiner Macht stehende tut, um Angriffe zu verhindern, Zwischenfälle zu beheben und sich davon zu erholen“, so Allan.
Und weiter: „Trotz der allgegenwärtigen und unvermeidlichen Bedrohung durch Ransomware ist die Behauptung, dass Unternehmen ihr hilflos gegenüberstehen, nicht zutreffend. Klären Sie Ihre Mitarbeiter auf und stellen Sie sicher, dass sie eine tadellose digitale Hygiene praktizieren; führen Sie regelmäßig strenge Tests Ihrer Datenschutzlösungen und -protokolle durch und erstellen Sie detaillierte Business Continuity-Pläne, welche die wichtigsten Beteiligten auf Worst-Case-Szenarien vorbereiten.“
Prävention erfordert Sorgfalt seitens der IT und den Benutzern
Die „Angriffsfläche“ für Kriminelle sei vielfältig. Cyber-Bösewichte verschafften sich am häufigsten zuerst Zugang zu Produktionsumgebungen, indem sie ihre Opfer dazu brachten, auf bösartige Links zu klicken, unsichere Websites zu besuchen oder schlicht auf versendete Phishing-E-Mails zu reagieren – was wiederum zeigt, dass viele Vorfälle vermeidbar gewesen wären.
Nachdem sie sich erfolgreich Zugang zur Umgebung verschafft hatten, habe es kaum einen Unterschied in den Infektionsraten zwischen Servern in Rechenzentren, Remote-Office-Plattformen und in der Cloud gehosteten Servern gegeben. In den meisten Fällen nutzten die Eindringlinge bekannte Schwachstellen aus, darunter gängige Betriebssysteme und Hypervisoren sowie NAS-Plattformen und Datenbankserver, wobei sie nichts unversucht ließen und jede ungepatchte oder veraltete Software und Schwachstelle ausnutzten, die sie finden konnten.
Bemerkenswert sei gewesen, dass Sicherheitsexperten und Backup-Administratoren deutlich höhere Infektionsraten meldeten als IT-Betriebsleiter oder CISOs, was darauf hindeutet, dass „diejenigen, die näher am Problem dran sind, auch mehr von den Problemen mitbekommen“.
Abhilfe schaffen beginnt mit Unveränderlichkeit
Die Teilnehmer an der Umfrage bestätigten, dass 94 Prozent der Angreifer versuchten, Backup-Repositories zu zerstören und in 72 Prozent der Fälle war diese Strategie zumindest teilweise erfolgreich. Dieses „Kappen der Rettungsleine“ eines Unternehmens ist eine beliebte Angriffsstrategie, da sie die Wahrscheinlichkeit erhöht, dass die Opfer keine andere Wahl haben, als das Lösegeld zu zahlen.
Die einzige Möglichkeit, sich gegen dieses Szenario zu schützen, besteht darin, mindestens eine unveränderliche oder physisch und logisch isolierte Schutzebene als teil der Infrastruktur der Datensicherung verankert zu haben – was 95 Prozent der befragten Unternehmen nach eigenen Angaben inzwischen tun. Viele Unternehmen gaben sogar an, dass sie ein gewisses Maß an Unveränderlichkeit oder Air-Gap-Medien in mehr als einer Ebene ihrer Festplatten-, Cloud- und Tape-Strategie haben.
Weitere wichtige Erkenntnisse:
Orchestrierung ist wichtig: Um die Wiederherstellbarkeit ihrer Systeme proaktiv zu gewährleisten, automatisiert eines von sechs IT-Teams der Studie zufolge (16 Prozent) die Validierung und Wiederherstellbarkeit ihrer Backups, um sicherzustellen, dass ihre Server wiederherstellbar sind. Bei der Behebung eines Ransomware-Angriffs verwenden 46 Prozent der Befragten eine isolierte Sandbox oder einen Testbereich, um zu gewährleisten, dass die wiederhergestellten Daten „sauber“ sind, bevor sie die Systeme wieder in Betrieb nehmen.
Die Ausrichtung der Organisation muss einheitlich sein: 81 Prozent glauben, dass die Cyber- und Business Continuity-/Disaster Recovery-Strategien ihrer Unternehmen aufeinander abgestimmt sind. Allerdings sind 52 Prozent der Befragten der Meinung, dass die Interaktion zwischen diesen Teams verbessert werden muss.
Der Schlüssel liegt in der Diversifizierung der Repositories: Nahezu alle Unternehmen (95 Prozent) verfügen über mindestens eine unveränderliche oder eine physisch und logisch isolierte Datensicherungsebene. 74 Prozent nutzen Cloud-Repositories, die Unveränderlichkeit bieten; 67 Prozent verwenden lokale Festplatten-Repositories mit Unveränderlichkeit oder Locking-Funktion; und 22 Prozent verwenden Bänder, die unveränderlich sind. Doch, ob unveränderbar oder nicht, die Unternehmen stellten fest, dass zusätzlich zu den Festplatten-Repositories 45 Prozent der Produktionsdaten immer noch auf Tape gespeichert werden und 62 Prozent zu irgendeinem Zeitpunkt im Datenlebenszyklus in eine Cloud wandern. (sg)
