Kürzlich habe ich auf einer Veranstaltung folgende Aussage gehört: «Ein funktionierendes Backup/Restore-Verfahren, das innert der notwendigen Frist die Daten und Dienste priorisiert wiederherstellen kann, ist die beste Verteidigung gegen Ransomware-Attacken».

Nun beschäftige ich mich seit über 20 Jahren mit IT-Sicherheit und für mich reicht diese Sichtweise nur bis zum Tellerrand und nicht darüber hinaus. Wer dank dem Backup beruhigt schläft, der sollte besser rasch aufwachen.


Neuere Ransomware verschlüsselt nicht nur

Heutzutage werden ja nicht mehr einfach nur Dateien verschlüsselt, sondern sie werden zuerst terabyteweise abgesaugt, um dann mit der Drohung, die Daten zu veröffentlichen, mehr Lösegeld zu fordern. Nun sind das erst die zwei ersten Schritte in der „Multi Extortion Ransomware“. Die weiteren Schritte können je nach Angreifer und Opfer unterschiedlich aussehen. Mal werden Kunden oder Partner des Opfers mithilfe der erbeuteten Daten angegangen, mal folgen simplere DDos-Attacken. Im Extremfall wird das Opfer mit einer Anzeige beim Staat erpresst, weil es die Informationspflicht bei Cyber-Angriffen verletzt hat. Wir leben in einer Welt, in welcher Täter den Staat und die Gesetzgebung instrumentalisieren, um ihre Opfer zu erpressen. Das muss man erst einmal verdauen.


Die Grenzen von Backups

Ihr seht schon, worauf ich hinaus will. Ein funktionierendes Backup/Restore gehört ganz sicher zu den wichtigsten Assen in einem Unternehmens-IT-Ärmel. Insbesondere auch das Backup von Schlüsselmaterial, SaaS-/Cloud-Informationen und Konfigurationen sowie das Trumpf-Ass: priorisiertes Restore, das regelmässig getestet wird. Und gut ist?

So einfach kommen wir dann doch nicht zum Jass-Match. Was ist mit den weiteren Erpressungsschritten, dem Veröffentlichen der Daten, DDos-Attacken, Anzeigen, etc.? Diese Risiken können wir auch durch eine raffinierte Backup-Strategie nicht reduzieren oder gar eliminieren. Es braucht weiterhin die Überwachung und Verteidigung im Regelfall und unmittelbare Response im Angriffsfall. Mit nur einem oder zwei Assen ist es schwierig, zu gewinnen.

Ransomware ist ein grosses, aber lange nicht das einzige Cyber-Security-Risiko. Sicher sind viele Firmen kein Ziel für staatlich finanzierte Spionage. Aber auch unbedeutendere Firmen sind interessant – Stichwort Supply-Chain-Attacke – und womöglich auch mit begrenzten finanziellen Mitteln einfache Opfer für Industriespionage, CxO-Frauds und viele weitere Angriffe.


Was dann, wenn nicht Backup/Restore?

Vielleicht ist hier die Essenz, das, was ich mache, richtig zu machen? Effizient und effektiv, nicht entweder oder. «Undenufe» oder «Obenabe», aber kein Slalom-Jass.

Monitoring ist eine der Disziplinen, mit denen sich viele Firmen noch, andere bereits wieder, schwertun. Entweder sehe ich zu viel oder zu wenig. Wir bewegen uns zwischen den Extremen einer kaum bewältigbaren Flut an Alerts und mangelnder Visibilität. Das Richtige zu sehen ist die Essenz, und dazu brauche ich einen starken Partner – alleine schaffen das heutzutage nur noch wenige.

Mit einer Analyse die wichtigsten Punkte identifizieren und priorisieren, und diese Liste dann konsequent abzuarbeiten. Patchen ist gut, aber ich muss auch den businesskritischen SQL Server patchen. Segmentierung ist gut, aber ich muss auch restriktive Zugriffsregeln bauen. Multi-Faktor-Authentisierung ist gut, aber ich sollte auch an meine Administratoren und Lieferanten denken und nicht nur an die Büromitarbeiter. Perimeter schützen, aber auch mit aktivem IPS. Webverkehr untersuchen, aber auch für die Entwickler und IT-Admins unter uns. Und so weiter.

Response gehört sehr stark zum Monitoring und wird in der Regel auch als MDR-Services gemeinsam angeboten. Die Response muss so unmittelbar wie möglich geschehen und ist eine Disziplin für sich. Gewiefte Angreifer rechnen damit, irgendwann entdeckt zu werden, und haben möglicherweise während der Informationsbeschaffung die entsprechenden Dienste, Accounts oder Maschinen entdeckt, welche die Verteidiger nutzen werden. Sie haben das Blatt der Verteidiger auskundschaftet. Da wird es schwierig zu gewinnen. All das braucht Partner die wissen, mit solchen Situationen umzugehen.


Fazit

Das Backup ist nur ein Bruchteil der Lösung. Ein Sicherheitskonzept muss zwingend ganzheitlicher daherkommen.


Weiterführende Links