Ransomware-Attacken, denen meist ein monetärer Erpressungsversuch folgt, ist ein „beliebtes“ Angriffsszenario, zumindest aus der Sicht von Cyber-Akteuren. Für Unternehmen hingegen ist solch ein krimineller Akt nur eins: Der Worst Case. Denn damit geht nicht nur eine mögliche Zahlung an den Erpresser einher (wovon zuständige Stellen allerdings abraten), sondern zieht weitere, aufwändige Arbeiten nach sich. Das betrifft vor allem das Wiederherstellen des Status Quo, und zwar den vor dem Angriff mit all seinen Konsequenzen.
Besser ist es daher, es gar nicht so weit kommen zu lassen. Hierfür bieten wir mit unserem Ransomware-Service die hierfür passenden Schritte, die wir gemeinsam mit unseren Kunden erarbeiten und durchführen. Ein Teil davon ist das Backup- und Recovery-Konzept, von dem heute die Rede sein soll. Denn diese Vorgehensweise ist immer sinnvoll, egal, ob zu Vorbeugung von Datenverlusten und gegen mögliche Ransomware-Attacken. Wobei das eine mit dem anderen eng verwoben ist.
Ransomware-Angreifer haben zwei Dinge im Visier: Daten und Geld
Ein Ransomware-Angriff weist oft dieselben Muster auf: Der Angreifer erlangt Zugriff auf das Netzwerk eines Unternehmens und platziert dort einen Krypto-Trojaner, der sämtliche Daten verschlüsselt, die ihm „in die Quere“ kommen. Das können lokale Datenbanken genauso sein wie Daten auf dem Cloud-Server oder anderen Instanzen.
Will man diese Daten weiterhin nutzen können, gelingt dies nur mithilfe des geeigneten Schlüssels, in dessen Besitz der Cyber-Akteur ist. Und den er natürlich nur dann herausrückt, sobald die Erpressungssumme auf seinem Bitcoin-Konto gelandet ist. Und an der Stelle kommt das passende Backup- und Restore-Konzept ins Spiel.
Backup und Restore mit IBM-Speichersystemen
Nehmen wir einmal an, das angegriffene Unternehmen speichert seine Daten im Rechenzentrum auf einer IBM-Storage-Anlage vom Typ FlashSystem 5200, einer All-Flash-Maschine neueren Datums. Dort liegen sämtliche Daten, also die der Anwender:innen, der Geschäftsleitung, und so fort. Wenn ein Hacker in den unerlaubten Besitz dieser Daten käme, wäre das Desaster groß.
Es sei denn, die Firma nutzt eine der IBM-Speicherfunktionen namens Flashcopy. Damit lassen sich nämlich sehr einfach und sehr automatisiert Momentaufnahmen des aktuellen Datenbestands erstellen und gleichzeitig auf andere Speicherkomponenten transferieren. Das kann die primäre Backup-Maschine wie eine IBM Storwize V3700 sein, aber auch eine sekundäre Komponente.
Mit IBM Cloud Object Storage Daten in der Cloud sichern
In diesem Fall handelt es sich oft um eine Cloud-Instanz, die per AWS S3-Schnittstelle und IBM Cloud Object Storage adressierbar ist. Dort landen dann automatisch die per Flashcopy erzeugten Datenschnappschüsse. Sehr praktisch und sehr schützend ist hierbei eine Funktion der Cloud-basierten Storage-Umgebung, mit der eine sogenannte unveränderliche Objektspeicherung erfolgt. Damit sind die Daten in diesem Speicherbereich vollkommen geschützt gegenüber möglichen Ransomware-Attacken, da sie vom Trojaner nicht verschlüsselt werden können. Darüber hinaus steht der Objektspeicher auch zu Wiederherstellungszwecken zur Verfügung.
Übrigens: Der lokale Backup-Speicher steht meist für eher kurzfristige Sicherungszwecke bereit, also nur für ein bis zwei Wochen. Der IBM Cloud Objektspeicher hingegen wird für eher langfristiges Sichern von Daten eingesetzt. Die Rede ist hierbei von Tagen oder Wochen oder Monaten oder sogar Jahren.