Dem Thema Backup und Recovery fällt in Zeiten von Ransomware-Angriffen eine sehr wichtige Rolle zu. Dazu spricht das Midrange-Team (MM) mit Sergei Serdyuk, Mitbegründer und Vice President im Bereich des  Product Managements von NAKIVO.

Quelle: NAKIVO

Sergei Serdyuk ist Mitbegründer und VP Product Management von NAKIVO.

MM: Warum ist Ransomware eine Bedrohung für heutige IT-Umgebungen?
Serdyuk: Ransomware-Angriffe auf Unternehmen sind inzwischen ein krimineller Geschäftszweig geworden. Security-Experten sprechen in dem Zusammenhang von arbeitsteiligen Prozessen und „Ransomware as a Service“. Entsprechend ausgeklügelt sind die Angriffe, die technische und organisatorische Abwehr der Unternehmen entwickelt sich aber nicht zwingend genauso schnell mit. Die Folgen eines Angriffs sind nicht nur Datenverlust und Betriebsausfälle, sondern häufig ist die Kaperung von Geschäftsdaten ein Druckmittel für Lösegeldforderungen. All dies kann zu einem immensen wirtschaftlichen Schaden führen – vom Image-Schaden ganz zu schweigen.

MM: Welche technischen Ansätze helfen, die Bedrohung durch Ransomware zu reduzieren?
Serdyuk: CIOs und IT-Administratoren sollten an zwei Fronten Maßnahmen treffen: Um die Angriffe bereits an der vordersten Front abzuwehren, ist eine ausgereifte Anti-Malware-Lösung Pflicht. Es gilt jedoch auch, im Hintergrund Vorsorge zu treffen, etwa in Form einer zuverlässigen Backup- und Replication-Lösung. Backups sollten dabei auch außerhalb der Produktivumgebung vorgehalten werden. Denn ist die Schadsoftware erst ins System gelangt, hilft oft nur ein Neuaufbau der Anwendungen und Datenbanken aus einem geschützten Backup. Dafür müssen die Daten verlässlich und über mehrere Standorte hinweg wiederherstellbar sein.

MM: Wie können organisatorische Vorkehrungen die Möglichkeit einer Ransomware-Attacke reduzieren?
Serdyuk: Neben der richtigen technischen Ausstattung ist es wichtig, sein Team für mögliche Sicherheitsrisiken zu sensibilisieren. Zudem bedarf es eines klar definierten Plans, wie im Falle einer Attacke die Abläufe aussehen. Je gewissenhafter die Vorbereitung, umso effektiver ist die Reaktion im Ernstfall. Laut einer Bitkom-Studie zur Lage der IT-Sicherheit in der deutschen Wirtschaft verfügt derzeit jedoch rund die Hälfte (44 Prozent) der hiesigen Firmen nicht über konkret definierte Prozesse für eine solche Lage.

MM: Welche Rolle spielt das Thema „verifiziertes Backup“ im Kontext von Ransomware-Angriffen?
Serdyuk: Sich auf eine Malware-Software zu verlassen, reicht nicht aus. Es müssen ausgereifte Backup- und Replication-Lösungen mit automatisierten Sicherungsprozessen zum Einsatz kommen, um im Angriffsfall gelöschte oder infizierte Daten wieder – sauber – herstellen zu können. Ein Backup muss im Tagesgeschäft absolut zuverlässig laufen, sich aber auch einfach konfigurieren und handhaben lassen. Die Software muss nicht zwingend viel Kosten, um gut zu sein, aber kann im Schadensfall viel Geld sparen. „Verifiziertes Backup“ bedeutet, dass die Backup-Software automatisch prüft, ob die gerade gesicherten Daten auch tatsächlich wiederherstellbar sind. Das ist ganz unabhängig vom Ransomware-Risiko eine sinnvolle Funktion. Denn was nützt eine erfolgreiche Datensicherung, wenn sie nicht ebenso erfolgreich wiederhergestellt werden kann?

MM: Welche Funktionalitäten sollte eine Backup-Recovery-Lösung aufweisen, um die Auswirkungen derartiger Angriffe möglichst gering zu halten?
Serdyuk: Die Lösung sollte klar definierte Recovery Time Objectives (RTO) und Recovery Point Objectives (RPO) ermöglichen. Denn davon hängt maßgeblich die Business Continuity ab: Je schneller die lückenlose Wiederherstellung, umso geringer die Ausfallzeit und die Folgekosten – sowohl weil der Betrieb weiterlaufen kann, aber auch weil man so weniger erpressbar ist. Darüber hinaus sollte eine Rollenzuweisung möglich sein, um den Zugriff auf bestimmte Funktionen zu beschränken und nur autorisierten Personen die Änderung relevanter Routinen zu ermöglichen.

MM: Wie lässt sich sicherstellen, dass die Backups „sauber“ bleiben?
Serdyuk: Dabei können insbesondere eine Immutable-Repository-Funktion sowie eine Zwei-Faktor-Authentifizierung helfen, wie NAKIVO sie bietet. Die Immutable-Repository-Funktion schützt Backups sicher vor unerwünschter Manipulation. Backup-Daten sind so nicht mehr veränderbar und vor Beschädigung und Verschlüsselung durch Ransomware geschützt, können aber weiterhin zur Wiederherstellung genutzt werden. Nur noch ein „Superuser“ kann diese Einstellungen anschließend verändern. Mit der Zwei-Faktor-Authentifizierung verbessert sich die Sicherheit der Backups, da sie einen Authentifizierungscode für den Zugriff auf die zugrundeliegende Backup- und Replication-Software erfordert.

Rainer Huttenloher

NAKIVO