Erfolgreiche Ransomware-Angriffe sind heutzutage leider eine alltägliche Schreckensmeldung. Gefährdet sind generell alle Unternehmen, die wichtige Daten für ihre Arbeit benötigen. Zwar gibt es an sich keinen guten Zeitpunkt, um Opfer eines Ransomware-Angriffes zu werden, doch es gibt sehr wohl äußerst ungünstige Zeitpunkte. Nämlich dann, wenn ein Unternehmen am verwundbarsten ist.
Die Hauptreisezeit wäre für einen Reiseveranstalter beispielsweise ein eher schlechter Zeitpunkt, der im schlimmsten Fall das Bestehen des Unternehmens gefährden kann. Auch für Online-Händler gibt es den Zeitpunkt eines Ransomware-Super-GAUs: Die Vorweihnachtszeit etwa, wenn sehr viele Kunden ihre Weihnachtseinkäufe erledigen.
Wann Unternehmen aufgrund ihres Geschäfts am verwundbarsten sind, wissen natürlich auch die Hacker – und warten mitunter auf den richtigen Moment, um ihren Angriff zu starten. Im schlimmsten Fall sind die Hacker bereits in einer Umgebung verankert und warten nur auf den besten Zeitpunkt, um die Daten zu verschlüsseln. Sind die Daten für das Unternehmen zum ungünstigsten Zeitpunkt erst einmal verschlüsselt, erhöht das die Wahrscheinlichkeit, dass das Unternehmen das erpresste Lösegeld bezahlt, um die dringend benötigten Systeme schnell wieder zum Laufen zu bringen.
Wiederherstellung kann Tage bis Wochen dauern
Idealerweise sind die Abwehrmaßnahmen eines Unternehmens so gut, dass es erst gar nicht Opfer einer erfolgreichen Ransomware-Attacke wird. Die tagtäglichen Meldungen über erfolgreiche Attacken lehren uns jedoch, dass es eine hundertprozentige Abwehr gegen die gewieften Angreifer derzeit noch nicht gibt. Damit sollten Unternehmen auf die zweitbeste Abwehr setzen: Denn Unternehmen, die ihre Systeme schnell wiederherstellen können, nehmen den Angreifer den Wind aus den Segeln. In der Realität ist die schnelle Wiederherstellung in vielen Unternehmen jedoch nicht so einfach.
Der Hauptgrund hierfür ist, dass Unternehmen auch für ihre kritischen Anwendungen auf veraltete Backup-Technologien setzen. Das mag bei sehr kleinen Umgebungen vielleicht noch funktionieren. Bei größeren Umgebungen kann die Wiederherstellung jedoch Tage oder Wochen dauern. Wie kommt es jedoch dazu, dass gehackte Unternehmen eine derart lange Zeit benötigen, um ihre IT wieder ans Laufen zu bringen?
Dauer der Wiederherstellung muss Work Recovery Time enthalten
Das grundlegende Problem bei der Wiederherstellung liegt im Unterschied zwischen Anwendungen und Servern. Legacy-Backuptools schützen nur einzelne Server. Eventuell können zwar Servergruppen gebildet werden, nichtdestotrotz wird innerhalb des Backupjobs jeder Server einzeln zu einem anderen Zeitpunkt geschützt. Damit ist das Problem bei der Wiederherstellung schon zum Zeitpunkt des Backups vordefiniert.
Wenn der Backupadministrator mit dem Restore der Server fertig ist, geht die eigentliche Arbeit erst richtig los. Denn jetzt muss man aus der Ansammlung einzelner VMs wieder eine funktionierende Anwendung schaffen. Dazu sind je nach Anwendung unterschiedliche Verfahren notwendig, die meist nur sehr wenige Personen im Unternehmen durchführen können beziehungsweise dürfen. Der Prozess, eine komplette Anwendung wiederherzustellen umfasst die Zeitspanne RTO + WRT (Recovery Time Objective + Work Recovery Time).
Dieser komplette Prozess kann je nach Größe und Komplexität der wiederherzustellenden Anwendungen einige Stunden in Anspruch nehmen. Und genau hier liegt das Problem, wenn durch einen Ransomware-Angriff sämtliche Applikationen eines Unternehmens lahmgelegt werden. Die Anzahl der Mitarbeiter, die imstande sind, die Daten wiederherzustellen und die Anwendungen neu zu starten, ist sehr gering.
Man kann sich leicht ausrechnen, wie lange es brauchen würde, 200 kritische Anwendungen wiederherzustellen, wenn die mittlere Wiederherstellungszeit pro Anwendung sechs Stunden beträgt und zwei Teams mit den nötigen Kenntnissen und Berechtigungen zur Verfügung stehen, 18 Stunden am Tag arbeiten: exakt 33 Tage. Genau dieser Problematik sind sich erschreckend viele Unternehmen leider nicht bewusst. Sie lernen die Eigendynamik eines solchen Systems erst im Ernstfall kennen – dann aber ist es zu spät.
Warum wird das Risiko unterschätzt?
Im Alltag der meisten Unternehmen kam es in den letzten Jahren meist nur zu Ausfällen einzelner Applikationen. Für die Wiederherstellung stand dann immer die ganze Aufmerksamkeit sowohl der Backup- als auch der Applikationsfachleute zur Verfügung und die Wiederherstellung erfolgte entsprechend akzeptabler Zeit von wenigen Stunden.
Erfahrungen mit Ausfällen im großen Stil gibt es aus der Praxis meist nicht. Und die sogenannten DR- oder K-Fall-Tests werden regelmäßig nach Prüfung bestanden, was Unternehmen in Sicherheit wiegt. Aber diese Tests haben kaum Aussagekraft im Falle eines groß angelegten Ransomware-Angriffs. Denn diese werden typischerweise nur auf Basis eines HA-Tests durchgeführt und die Backup-Umgebungen generell keine Recovery-Tests von mehr als 100 Applikationen erlauben. Also geht man davon aus, dass die Standardmaßnahmen, die beim normalen Restore praktiziert werden, notfalls auch im großen Stil funktionieren. Dieser Irrglaube bleibt hartnäckig bestehen, weil nahezu alle namhaften Backupanbieter ihre Produkte auch als Lösung für Disaster Recovery anpreisen.
Wiederherstellung in wenigen Minuten mit ein paar Klicks
Die Lösung dieses Problems ist sowohl theoretisch als auch praktisch relativ einfach: Man sollte statt Server von Beginn an Anwendungen als Konsistenzgruppen schützen. Entsprechend moderne Lösungen, die kontinuierliche Datensicherung, kurz CDP, anstatt von periodischen Backups für Backup nutzen, gibt es am Markt bereits.
Diese Lösungen führen Disaster Recovery, Backup, und Cloud-Mobilität in einer einzigen, einfachen und skalierbaren Lösung zusammen. Sie bieten die Grundlage für eine kontinuierliche Datenreplikation ohne Beeinträchtigung der Performance und ermöglicht die konsistente Wiederherstellung von Anwendungen von vor wenigen Sekunden bis von vor Jahren. Ein Journal vereint die kurz- als auch die langfristige Speicherung der Daten und ermöglicht dank Orchestrierung die Wiederherstellung von Dateien, VMs, Anwendungen oder ganzen Rechenzentren in einem benutzerfreundlichen Workflow mit nur wenigen Klicks.
Diese Workflows sind plattformübergreifend konsistent und erlauben ein einfaches Failover auf einen sekundären Standort – und die einfache Wiederherstellung einer Datei, VM oder einer gesamten Anwendung. Diese Orchestrierung und Automatisierung ermöglicht es Unternehmen, alles vorzudefinieren, um Workloads wie Boot-Reihenfolgen, die Verknüpfung von IPs oder Netzwerk erfolgreich mit wenigen Klicks wiederherzustellen.
Backups werden überschätzt und reichen als Schutz nicht aus
In der heutigen Bedrohungslandschaft wissen Ransomware-Angreifer genau, wann ein Angriff den größten Schaden anrichten kann. Um den schlimmsten Fall zu verhindern, verlassen sich viele Unternehmen zu sehr auf Backups und vergessen dabei, dass es dann im Ernstfall Wochen dauern kann, um alle kritischen Anwendungen wieder herzustellen.
Um ein mögliches Ransomware-Worst-Case-Szenario zu verhindern, ist ein schneller Wiederanlauf jedoch absolut entscheidend. Moderne Lösungen ermöglichen die Wiederherstellung komplexer Anwendungen in sehr kurzer Zeit und senken damit die Ausfallzeit dramatisch auf nur wenige Minuten.
Reinhard Zimmer