Backup in Zeiten der Cryptolocker

Seit Cryptoviren (oder auch Cryptolocker) vermehrt um sich greifen und immer professioneller werden, bekommt ein recht “altbackener” Teil des Backups wieder mehr Aufmerksamkeit: Die Auslagerung einer oder mehrerer Sicherungsstände.

Cryptolocker – Der Hintergrund

Unter Cryptolockern versteht man eine Schadsoftware, die auf dem befallenen System Dateien verschlüsselt und so für den Nutzer unlesbar macht, solange er oder sie den passen Schlüssel nicht kennt.
Waren es in den Anfangszeiten noch recht simple Konstrukte mit nur schwacher Verschlüsselung, häufig eher auf schlichte Zerstörung von Daten ausgelegt, greifen vermehrt Schadprogramme um sich, die nicht nur stark verschlüsseln, sondern auch eine professionelle Erpressung- und Zahlungsinfrastruktur mitbringen.
Früher war die Aufforderung zu zahlen meist nur eine plumpe Abzocke, denn auch nach einer Zahlung bekam man natürlich seine Daten nicht wieder. Inzwischen gibt es Exemplare, die nicht nur starke Kryptographie (AES256) verwenden, sondern auch einen ausgefeilten Payment- und Entschlüsselungsprozeß mitbringen. So wird per Bitcoin bezahlt und man erhält direkt nach Zahlungseingang ein Tool mit passendem Key zur Entschlüsselung.
Positiv betrachtet hat man so zumindest eine reale Chance seine Daten wieder zu bekommen, wenn auch gegen einen Teils schmerzhaften Preis.

Zwar gelang es 2014 die erste große cryptolocker-Plattform vom Netz zu nehmen und die Keys zu Entschlüsselung zu extrahieren, aber seitdem gibt vermehrt Ableger und Nachfolger, die vergleichbar arbeiten.

Cryptolocker – Wie kann man sich schützen?

Nachdem man sich die bekannte IT-Plattitüde “Es gibt keinen 100% Schutz” noch einemal ins Gedächtnis gerufen hat (Denn leider stimmt sie hier wieder), sollte man die klassischen Punkte zur Verbesserung der IT-Sicherheit durchgehen.

  • Windows-Updates vollständig und aktuell?
  • Anwendungsupdates vollständig und aktuell?
  • Die üblichen Verdächtigen (Java, Flash, Reader) aktuell und gepatcht?
  • Java, Flash & Co wirklich aktuell?
  • lokaler Virenscanner aktuell und aktiv?
  • Mailanhänge, Links und Websites mit gesundem Misstrauen angeklickt?

Wenn man hier für alle Arbeitsplätze in seinem Netzwerk, und die Betonung liegt wirklich auf ALLE, einen Haken machen kann, ist schon viel gewonnen. Wer sich unsicher ist, kann gerne mit uns über schlanke und preiswerte Lösungen zum Patchmanagement und Monitoring sprechen. Denn diese üblen Zeitgenossen machen nicht auf einem Arbeitsplatz halt, sondern verschlüsseln mehr oder minder alles was in ihrer Reichweite liegt und das kann in einem Netzwerk eine ganze Menge sein.

In der nächsten Stufe kann man sich der Filterung des Netzwerkverkehrs (Mail, Web & Co) an den Außengrenzen seines Netzwerks widmen. UTM und deep packet inspection sind hier die Stichworte.

Leider haben alle diese Maßnahmen eine unschöne Gemeinsamkeit: sie reagieren nur auf bekannte Bedrohungen und können neue Angriffe erst erkennen, wenn sie bereits ausgeführt wurden. Es kann also trotz bester Vorkehrungen passieren, dass so ein Cryptolocker sein Unwesen treibt, auch wenn das Risiko deutlich geringer ist.

Und so sieht es aus, wenn es zu spät ist:

cryptolocker

Letzter Schutzwall mit Löchern: Disk-Backup

Hat man sich nun doch einen Crytolocker eingefangen schlägt die große Stunde des Backup (hoffentlich). Denn neben den üblichen Fragen

  • Ist das Backup überhaupt gelaufen?
  • Kann ich aus dem Backup etwas wiederherstellen?
  • Habe ich die fraglichen Daten überhaupt im Backup?

kommt hier wohlmöglich noch ein böses Erwachen: Wenn der Cryptolocker nämlich auch gleich noch die Backup-Daten verschlüsselt hat!

Mit der Verfügbarkeit günstiger und leistungsfähiger NAS-Systeme haben sich diese rasant als Backup-Ziele verbreitet, zusätzlich befeuert durch snapshot-basierte Backups aus XenServer, VMWare oder Hyper-V.
So elegant und preiswert diese Lösung auch ist, sie hatte schon immer den Nachteil, dass sie in der Regel in den selben Räumen wie die Originaldaten, zumindest aber im gleichen Netzwerk, steht. Und wenn es jetzt dem Cryptolocker gelingt auch diese Daten zu verschlüsseln, ist das ganze Backup Makulatur. Auch ganz ohne die bekannten Elementar-Gefahren Feuer, Wasser und Strom. Und das gilt leider auch für die vorletzte Bastion, die Replikation auf ein anderes NAS, z.B. an einem anderen Standort. Diese wird die verschlüsselten Backups brav replizieren, das ist ja auch ihre Aufgabe. Einzige der Strohhalm der geringen Bandbreite und großen Datenmengen bleibt dann noch.

Damit helfen gegen Cryptolocker letztlich sicher nur zwei Methoden:

Offline-Medien wie LTO-Tapes oder Wechselplatten-Systeme sind nach dem Backupvorgang offline und möglichst an einem anderen Standort. So kann nach dem Auffinden des Cryptolockers der letzte unbefallene Stand wiederhergestellt werden.

Remote- oder Online-Backups sichern die Daten an einen entfernten Speicherort, der immer außerhalb des Zugriffs lokaler Schadsoftware bleiben wird. Und verschlüsselte Daten sieht die Backup-Software als 100%ige Änderung und sichert sie komplett neu, ohne die alten Daten zu überschreiben.

Womit wir wieder am Anfang sind: Backup ist oft lästig (außer beim Online-Backup) und kostet als vernünftige und sichere Lösung einfach Geld. Aber dafür hat man am Ende auch die Sicherheit, dass die eigenen Daten bei Bedarf wiederhergestellt werden können.

Und ein vermeintlich billiges Backup, das am Ende nichts wiederherstellen kann, war in doppelter Hinsicht viel zu teuer.

Sprechen Sie uns an und wir überprüfen gemeinsam Ihr Backup, um zu sehen wie sicher Ihre Daten sind.