Deutschland
 

16 Maßnahmen

So schützen Sie Backup-Server vor Ransomware

Kompromittierte Backup-Server können die Wiederherstellung nach einem Ransomware-Angriff sabotieren. So verhindern Sie, dass es dazu kommt.
Von 
CSO | 30. Dezember 2022 05:59 Uhr
Wenn Ransomware auch ihre Backups betrifft, haben Sie schlechte Karten. Eine Datensicherung auf Tape ist nur eine von 16 Maßnahmen, die Sie dagegen ergreifen können.
Wenn Ransomware auch ihre Backups betrifft, haben Sie schlechte Karten. Eine Datensicherung auf Tape ist nur eine von 16 Maßnahmen, die Sie dagegen ergreifen können.
Foto: David S. Baker - shutterstock.com

Backup- und Recovery-Systeme werden durch zwei Arten von Ransomware-Angriffen gefährdet: Encryption und Exfiltration. Leider sind die meisten On-Premises-Systeme für beides anfällig. Einige Ransomware-Gruppen nehmen auch ganz gezielt Backup-Systeme ins Visier, weil sie wissen, dass diese oft unzureichend geschützt sind und von unerfahrenem Personal gemanagt werden. Mitunter scheint es so, als würde sich auch niemand darum kümmern wollen, um nicht selbst zum neuen Backup-Server-Sicherheitsexperten ernannt zu werden.

Ransomware beißt Backup-Server

Um es klar zu sagen: Backup-Server sollten die aktuellsten und sichersten Systeme im Rechenzentrum sein und für Admin-, Root- und Remote-Zugriffe besonders hohe Hürden aufwerfen. Auch, weil Backup-Server eine wichtige Rolle spielen, wenn es darum geht, sich von einem Ransomware-Angriff zu erholen (ohne das Lösegeld bezahlt zu haben): Sie enthalten die Daten, die benötigt werden, um die Rechner wiederherzustellen. Darum versuchen Cyberkriminelle auch, sie zu ebenfalls zu verschlüsseln. Backups sind also die letzte Verteidigungslinie der Unternehmen. Sie sollte unbedingt gehalten werden.

Im Fall einer Datenexfiltration ist die Situation besonders schwierig: Wenn Kriminelle Ihre Unternehmensgeheimnisse über den Backup-Server exfiltrieren und entschlüsseln können, sind Sie erpressbar. Die Angreifer drohen dann damit, die Daten im Netz zu veröffentlichen. Unternehmen können in solchen Fällen nur noch das Lösegeld bezahlen und darauf hoffen, dass die Angreifer ihre Erpressungen nicht fortsetzen oder die Informationen trotz Bezahlung veröffentlichen.

Aus Sicht der Ransomware-Gruppen ist es eine plausible Strategie, Backup-Server anzugreifen. Hier befinden sich im Regelfall sensible Daten - was auf anderen Servern nicht der Fall sein muss. Die Chancen auf eine erfolgreiche Erpressung steigen also. Dabei gehen die Cyberkriminellen folgendermaßen vor: Sobald eine Malware in das Rechenzentrum des Opfers eindringt, kontaktiert diese den Command-and-Control-Server, damit weitere Schritte eingeleitet werden können. Oft gehört dazu herauszufinden, welche Art von Backup-System verwendet wird, um dieses im Anschluss gezielt anzugreifen.

Die Angreifer könnten auch versuchen, via NFS oder SMB über das Netzwerk direkt auf Ihre Backup-Daten zuzugreifen. Wenn diese unverschlüsselt vorliegen, haben die Kriminellen ihr Ziel erreicht. Andernfalls greifen sie über einen System-Exploit oder mit kompromittierten Anmeldedaten direkt auf das Betriebssystem des Backup-Servers zu, um die Verschlüsselung aus den Angeln zu haben.

Sie wollen weitere interessante Beiträge rund um das Thema IT-Sicherheit lesen? Unser kostenloser Newsletter liefert Ihnen alles, was Sicherheitsentscheider und -experten wissen sollten, direkt in Ihre Inbox.

Jetzt CSO-Newsletter sichern

Backups vor Ransomware schützen

Die beste Möglichkeit, sich gegen das eben beschriebene Szenario zu wappnen: Halten Sie Ransomware-Banden davon ab, Ihre Backup-Server zu kompromittieren. Das funktioniert folgendermaßen:

  • Betriebssystem und Anwendungen sind auf dem neuesten Stand zu halten;

  • Schalten Sie alle Inbound Ports ab, außer den für die Backup-Software erforderlichen;

  • Aktivieren Sie die nötigen Management-Ports (zum Beispiel SSH oder RDP) über ein privates VPN;

  • Verwenden Sie ein Local Host File, um zu verhindern, dass Malware mit Command-and-Control-Servern Kontakt aufnehmen kann;

  • Führen Sie ein separates Passwort-Management-System für Backup- und Anwendungsserver;

  • Verwenden Sie Multifaktor-Authentifizierung;

  • Limitieren Sie Root/Administrator-Rechte und konfigurieren Sie Alarmmeldungen, wenn dieser Zugriff genutzt wird;

  • Statt einen Backup-Server selbst zu managen können Sie alternativ auch auf ein SaaS-Backup zurückgreifen;

  • Setzen Sie, wo möglich, auf das Least-Privilege-Prinzip.

Um die Sicherungsdaten selbst vor Erpressung oder Verschlüsselung zu schützen, sollten Sie Ihr Backup-System wie folgt konfigurieren:

  • Verschlüsseln Sie alle Backup-Daten, egal wo diese gespeichert sind;

  • Verwenden Sie Drittanbieter, um die Encryption Keys zu managen;

  • Speichern Sie Backups nicht als Dateien über DAS oder NAS und fragen Sie Ihren Anbieter nach sichereren Methoden;

  • Speichern Sie die Backups auf einem anderen Betriebssystem als dem Ihres Backup-Servers;

  • Verwenden Sie On-Premises Storage mit unveränderlichen Merkmalen (beispielsweise Linux);

  • Erstellen Sie eine zusätzliche Sicherungskopie auf Band/RDX und bewahren Sie sie an einem sicheren Ort außerhalb des Unternehmens auf;

  • Erstellen Sie eine Sicherungskopie auf einem unveränderlichen Cloud-Speicher.

Für die allermeisten Umgebungen bedeutet es einen großen Aufwand diese Maßnahmen umzusetzen. Der lohnt sich aber, wenn Sie sich vergegenwärtigen, welche Risiken durch ungeschützte Backup-Server entstehen. (fm)

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation Network World.

W. Curtis Preston ist Experte in Sachen Backup, Storage und Recovery und schreibt unter anderem für unsere US-Schwesterpublikation Network World.
Folgen: