EIN SICHERER TRESOR FÜR IHRE UNTERNEHMENSDATEN
Das Strickmuster ist unterschiedlich. Oftmals werden die Unternehmen zunächst im Backup verschlüsselt und dann geht der Angreifer systematisch auf die Primärsysteme über. Je nachdem, wann die Attacke bemerkt wird, kann das Unternehmen retten, was zu retten ist: Stecker ziehen, Notfallhandbuch, Schaden feststellen, Equipment beschaffen, System neu aufbauen usw. Vielfach muss eine Meldung an das BSI (Bundesamt für Sicherheit in der Informationstechnik) erfolgen, die dann dazu führt, dass die betroffenen Systeme zwecks Täterermittlung zunächst untersucht werden müssen und bis zum Abschluss nicht genutzt werden dürfen. Das kann mitunter mehrere Tage dauern.
Die Erfahrungen mit Cyber Recovery von Dell Technologies sind sehr positiv. Kunden, die die Lösung bestehend aus PowerProtect Data Domain bis hin zu einem Cyber Vault einsetzen, hatten eine große Chance, sehr schnell wieder online zu sein. Nutzen Unternehmen in einer ersten Ausbaustufe eine Data Domain als Zielspeicher für das Backup, so konnten sie zwei Vorteile nutzen, die es dem Angreifer erschwert, die Systeme zu verschlüsseln. Das eine ist das sogenannte BOOST-Protokoll, das bisher nicht angegriffen werden konnte, das zweite ist die Funktion „Retention Lock“, bei der die Daten in einem „WORM-Modus“ (write once read many) weggeschrieben werden und damit nicht verschlüsselt werden können. Noch besser sind jene Firmen geschützt, die eine zweite oder dritte Data Domain in einen Cyber Vault stellen, der hinter einer weiteren Firewall steht. Dabei ist der Cyber Vault nur über ein Air Gap – also einen Prozess, der zwei IT-Systeme physisch und logisch voneinander trennt, aber dennoch die Übertragung von Daten zulässt – zu erreichen. In der maximalen Ausbaustufe steht auch ein Backup-Server hinter dieser Firewall und kann unmittelbar für eine Recovery/Wiederherstellung der nicht verschlüsselten Daten genutzt werden, wenn die Primärsysteme nicht mehr nutzbar sind.
EINMALIGE SCHUTZ-SOFTWARE
Aufgrund der steigenden Bedrohung durch Ransomware-Angriffe hat Dell Technologies eine Schutz-Software entwickelt, die in ihrem Konzept und den Möglichkeiten derzeit einmalig ist. Cyber Recovery gehört zum Lieferumfang der neueren Data-Domain-Systeme und bildet eine Art letzter Verteidigungslinie gegen Malware-Angriffe aller Art. Retention Lock kann als Governance- oder Compliance-Modus angewendet werden. Für den in der Aufbewahrungssperre festgelegten Zeitraum können diese Daten nicht geändert, überschrieben oder gelöscht werden. Der Compliance-Modus wird für strenge regulatorische Standards des Unternehmens verwendet und sichert das Data-Domain-System über einen Security Officer gegen innere und äußere Angriffe ab. Wenn der Security Officer einmal angelegt ist, haben alle weiteren Benutzer nur noch operative Rechte und können weder Benutzer ausschließen, Daten löschen, verändern oder verschlüsseln.
Ausgehend von der Beobachtung, dass moderne Ransomware zunehmend auf die Backup-Systeme in den Unternehmen abzielt und danach trachtet, sie zu deaktivieren oder zu kontrollieren, entstand bei Dell Technologies das Konzept für einen Vault, also einen Tresor, der für Angreifer absolut unzugänglich ist. Dieser Cyber Recovery Vault speichert eine Art Goldkopie der Unternehmensdaten, sodass sich der vorherige Datenstand jederzeit wiederherstellen lässt. Mehr noch: Der Cyber-Recovery-Vault kann auch den Backup-Server selbst aufnehmen und auf diese Weise die Funktionsfähigkeit der Wiederherstellungsroutinen sicherstellen. Bei den Backup-Lösungen Dell NetWorker und Data Manager lässt sich dieser Vorgang sogar automatisieren, bei anderen Sicherungsprodukten muss der Administrator den Server manuell aufsetzen. Dann ist es möglich, nicht nur die von der Malware blockierten Datensätze, sondern auch den fertig konfigurierten Server zurückzuspielen und auf diese Weise innerhalb kürzester Zeit wieder eine saubere und funktionierende Produktionsumgebung herzustellen.