Datensicherheit: Cloud gegen Ransomware

Durch Ransomware verschlüsselte Daten lassen sich dank permanenter Cloud-Kopien einfach wiederherstellen. [...]

(c) pixabay.com

In Studien zu den größten Sicherheitsgefahren für Unternehmen stehen Ransomware-Angriffe auf einem vorderen Platz. Es kann jede Firma treffen. Wie schwer der Schaden ist, hängt davon ab, wie gut ein Unternehmen auf einen solchen Angriff vorbereitet ist. Eine gute Endpoint-Security-Software ist ein Muss, hinzu kommen weitere Sicherheits­module, etwa Endpoint Detection and Response (EDR), Security Information and Event Management (SIEM) oder Data Loss Prevention.

All diese Lösungen helfen zwar bei der Abwehr von Eindringlingen, nicht aber bei einer erfolgreichen Ransomware-Attacke und verschlüsselten Daten. Hier sind Datensicherungen gefragt, klassische Backups haben allerdings ein zu großes Zeitfenster.

Im Fall des Falles

Wie sieht der Notfall in einem Unternehmen typischerweise aus, wenn eine Ransomware ausgeführt wurde? Meist gelangt die Ransomware auf die Workstation eines Mitarbeiters und führt sich zunächst dort aus. Vor einer Verschlüsselung der Daten sucht die Malware weitere lokale und Netzlaufwerke, um auch dort alle vorhandenen Daten zu verschlüsseln und sich weiterzuverbreiten. Im schlimmsten Fall kann auf diese Weise ein gesamtes Netzwerk überrollt und es können Daten auf allen Systemen verschlüsselt werden.

In der Regel trifft es aber nur einen Teil der genutzten PCs. Eine Neueinrichtung wäre eigentlich kein größeres Problem. Die nötigen Windows-Systeme haben fähige Administratoren als Images immer bereitliegen. Und für alle weiteren Einstellungen stehen fertige Systemregeln und Profile zur Verfügung. Selbst alle E-Mails sind noch vorhanden, da sie auf gesonderten Servern liegen.

Das große Problem sind die aktiven Daten – mit Anschreiben, Rechnungen, Bestellungen, Berichten und so weiter. Diese hat die Ransomware verschlüsselt, sie stecken nicht tages- oder stundenaktuell in Backups.

Wiederherstellung aus der Cloud

Kommt an einem Mitarbeiter-PC hingegen ein Cloud-Service zum Einsatz, zum Beispiel OneDrive for Business oder Dropbox Business, dann sichern und synchronisieren diese Services alle aktiv genutzten Daten eines definierten physischen Laufwerks permanent mit der Cloud.

Bei einer Ransomware-Attacke passiert dann Folgendes: Auch die zu synchronisierenden Daten werden durch die Ransomware verschlüsselt, in die Cloud transportiert und die dort vorhandenen Daten werden ersetzt. Damit ist einem Unternehmen natürlich noch nicht geholfen. Aber die Cloud verfügt über weitere Lösungsmöglichkeiten, im Fall einer Attacke reagiert sie manchmal sogar mit.

https://itwelt.at/news/was-ist-observability/

Mehr Sicherheit durch Cloud-Services

Sind die Daten bereits in der Cloud, lassen sich weitere Sicherheits-Services nutzen, um Ransomware- und andere Attacken zu bekämpfen. Ein Statement von Richard Werner, Business Consultant bei Trend Micro.

„Die Cloud spielt für die Security eine zentrale Rolle, gerade wenn es um Technologien wie Detection and Response oder andere Anwendungsformen von Künstlicher Intelligenz geht, mit denen Ransom­ware wirksam bekämpft werden kann. Damit diese schnell und effektiv arbeiten können, müssen Milliarden unterschiedlicher Datensätze miteinander korreliert werden, um daraus nützliche Zusammenhänge zu extrahieren.

So sind wir in der Lage, auch komplett neuartige Angriffe, selbst wenn sie nur einen einzelnen Kunden betreffen, als solche zu identifizieren und zu behandeln. Je mehr Informationen die Lösungen erhalten, desto besser. Unsere Datenbanken dafür umfassen inzwischen fast 3 Petabyte an Daten – solche Mengen können nur in der Cloud sinnvoll verarbeitet werden.

Und noch ein weiterer Aspekt der Cloud dürfte für Unternehmen interessant werden: In Deutschland denken derzeit viele Firmen darüber nach, eigene Workloads in die Cloud zu migrieren. Die Erfahrungen aus anderen Ländern zeigen, dass Cloud-Systeme oftmals seltener von Ransomware befallen werden als andere Infrastrukturen. Das hängt damit zusammen, dass man für die Cloud ein neues Security-Konzept erarbeiten muss, während man On-Premise häufig einfach weitermacht wie bisher. Deswegen wird in der Cloud schlicht die modernere Sicherheitstechnologie verwendet. Bedingt dadurch, dass man in der Cloud eben nicht die Hardware darunter kontrolliert, schützt man die einzelnen Systeme zudem auch gegen Angriffe von benachbarten Systemen.

Bei OneDrive for Business sieht das beispielsweise so aus: Alle von der Ransomware verschlüsselten aktiven Daten werden in die Cloud übertragen. Die Dateien sind dabei umbenannt und tragen in der Regel eine einheitliche Datei­endung. So wird zum Beispiel bei einer Attacke durch die Ransomware  Dharma aus der Datei „arch7101.ntx“ die Datei „arch7101.ntx.id-4A25516F.[adobepay@airmail.cc].adobe“.

Auf dem Cloud-Speicher wird die alte Datei durch die neue ersetzt. Diesen massenhaften Vorgang erkennt das System als Ransomware-Attacke – und stoppt das Ersetzen der Dateien. In den meisten Fällen wird der Anwender sogar gefragt, ob er den Vorgang rückgängig machen will. Ist die Ransomware-Attacke aber voll im Gang, hat er oft keinen Zugriff mehr auf den PC. Das macht aber nichts, da die Cloud-Umgebung davon unabhängig per Browser erreichbar ist.

Datenrettung aus der Versionierung

Alle in den Business-Cloud-Services gespeicherten Daten unterliegen einer automatisierten Versionierung. Das bedeutet, dass das System von einer bearbeiteten Datei normalerweise bis zu 30 Versionen, sortiert nach der Bearbeitungszeit, aufbewahrt. Je nach Definition hebt das System die geänderten Daten 90 Tage bis hin zu keinem Löschdatum auf. Eine erste Dateiversion ist nach einer Attacke immer vorhanden, da die Ransomware die letzte Version überschreibt und sie somit als geändert gesichert wird.  Nach einer Ransomware-Attacke lassen sich auch einzelne Dateien auf Wunsch wiederherstellen.

Da die Wiederherstellung für alle aktiven Daten eines Nutzers oder einer Abteilung zu umständlich wäre, bieten die Business-Cloud-Services eine Wiederherstellung der Daten nach Datum und Uhrzeit – teilweise sogar für den gesamten Datenbestand.

OneDrive for Business hat dafür einen Zeitstrahl, auf dem sich das genaue Datum und die Uhrzeit wählen lassen. Nach einer Bestätigung wird der gesamte Datenbestand in den Zustand vor der Ransomware-Attacke zurückversetzt. Wenn also ganze Abteilungen oder Teams statt eines Datei-Servers im Unternehmen eine Business-Cloud nutzen, dann bedeutet eine Ransomware-Attacke zwar immer noch viel Aufwand für den Support. Das Thema Verlust unersetzlicher Daten und die Konfrontation mit einer Erpressung und den damit einhergehenden, oft horrenden Lösegeldforderungen sind aber meist schnell vom Tisch.

Welche Business-Cloud bietet Sicherheit?

Die gute Nachricht: Jede Business-Cloud arbeitet mit einer Dateiversionierung, was die Daten im Notfall schützt. Die weniger gute: Jeder Service gestaltet das Retten beziehungsweise Wiederherstellen der Daten anders und bietet unterschiedliche Optionen.Bei der Auswahl eines passenden Business-Cloud-Services sollten Unternehmen im Hinblick auf die Sicherheit selbstverständlich noch weitere Punkte berücksichtigen, etwa die Einhaltung der DSGVO, Authentifizierungsverfahren, Session-Security, verschlüsselte Kommunikation, Sicherheitszertifikate und vieles mehr.

Bei unserem Blick auf die Services haben wir diese klassischen Sicherheits-Features außer Acht gelassen und uns auf die Datenwiederherstellung konzen­triert. Im Fokus: OneDrive for Business, Dropbox Business, Strato HiDrive Business Cloud, Luckycloud pro Enterprise, Ionos HiDrive Business, Leitz-Cloud by vBoxx und Dracoon Enterprise Cloud. All diese Anbieter fungieren zwar als Business-Cloud, haben aber teils sehr unterschiedliche Ausrichtungen. So ist etwa Luckycloud ein umfangreicher Datenraum, der auch Filesharing für Teams und ganze Unternehmen erlaubt. OneDrive und Dropbox dagegen sind klassische Cloud-Storage-Anbieter, die kombinierbare Zusatzservices bereitstellen, etwa Microsoft Teams oder Dropbox Paper.

Zusatzfunktionen der Cloud-Business-ServicesDas Sichern wichtiger Daten in Cloud-Speichern erhöht nicht nur den Schutz gegen Ransomware. Cloud-Services bringen weitere Funktionen mit, die mehr Sicherheit ins Unternehmen bringen.

Die Nutzung eines durch Administratoren gelenkten Cloud-Speichers eröffnet Mitarbeitern weitere sichere Möglichkeiten im Umgang mit Dateien. Das beginnt beim Versenden großer Dateien, die sich nicht per
E-Mail verschicken lassen. Hat ein Mitarbeiter kein anderes Tool zur Verfügung, besteht die Gefahr, dass er zur Eigeninitiative greift und damit die Sicherheitsregeln verletzt. Cloud-Services helfen zum Beispiel immer beim gesicherten Versenden großer Datenmengen.

Dabei wird nicht die Datei per E-Mail verschickt, sondern ein gesicherter Zugang zu dieser Datei. Das ist in der Regel ein generierter Download-Link, der auf die zu versendenden Daten verweist. Diese Links lassen sich per Passwort schützen und es lässt sich auch ein Zeitfenster definieren, wie lange sie gültig sein sollen. Auf einem zweiten Weg, per E-Mail oder SMS, bekommt der Empfänger das Passwort. So ist sichergestellt, dass nur der richtige Ansprechpartner die Daten empfangen kann und der Zugangskanal zur Datei automatisiert wieder geschlossen wird.

Zusätzlich lassen sich auch Dateiablagen zum Empfangen von Daten anbieten. Dabei bekommt der Kunde oder Partner einen Link per E-Mail (auch samt Passwort), der ihm dann die Dateiablage via Browser erlaubt. Dort abgelegte Daten können auch automatisch auf Malware gescannt werden. Das Beste bei diesem Vorgang: Der Empfänger muss weder Kunde beim Cloud-Service sein noch eine Software installieren – auch nicht bei einer externen Dateiablage.

Darüber hinaus stellen die Services weitere sichernde Dienste bereit, etwa Datensicherung, E-Mail-Client-Anbindungen, Verschlüsselung oder Datenräume mit Zugangsverwaltung für interne und externe Mitarbeiter oder Kunden.

Dracoon Enterprise Cloud

Im Cloud-Angebot von Dracoon für Unternehmen stecken neben dem klassischen Cloud-Speicher als Fileserver mit Teamfunktionen auch noch die Funktionalitäten von Datenräumen. Jegliche Datensynchronisation erfolgt in Echtzeit mit der Cloud. Der Service ersetzt nahtlos einen Datei-Server, der sonst im Unternehmen stehen würde. Jede neue oder bearbeitete Dateiversion wird je nach Konfiguration gesichert – auch ohne ein Limit.

Die maximal Aufbewahrungszeit ist ebenfalls frei wählbar und richtet sich wohl nur nach dem verfügbaren Storage. Dracoon kann keine Ransomware-Angriffe erkennen. Aber nach einem massenhaften Überschreiben von Daten helfen interne Funktionen bei der Wiederherstellung ganzer Speicherbereiche, Ordner oder auch einzelner Dateien.

Dropbox Business

Dropbox Business ist wie OneDrive primär ein Cloud-Storage, der als Datei-Server für Workstations oder Teams dient. Auch hier sichert ein installierter Client pro Workstation die aktiven Daten in Echtzeit in die Cloud. Dropbox setzt zwar kein Limit bei der gespeicherten Anzahl veränderter Versionen einer Datei, speichert sie aber standardmäßig maximal 180 Tage. Mit dem Hinzubuchen eines erweiterten Versionsverlaufs lässt sich die Speicherzeit auf bis zu zehn Jahre erhöhen.

Dropbox Business kann zwar keine Ransomware-Angriffe erkennen, bietet aber für den Notfall die Funktion Dropbox Rewind. Damit lässt sich ein ganzer Speicherbereich eines Teams oder Unternehmens oder auch nur ein Ordner auf einen gewünschten Zeitpunkt zurücksetzen.

Ionos HiDrive Business

Der Cloud-Service von Ionos benutzt zwar die Cloud-Farm von Strato, ist aber ein anders strukturierter Service. Ionos bietet wie OneDrive einen Client für Mitarbeiter-PCs, der automatisiert in Echtzeit die zuvor definierten Datenbereiche synchronisiert. Die Nutzung gemeinsamer Ablagen und Freigaben erlaubt auch Teamarbeit. Ein Einbinden des Service als klassischer Datei-Server ist nur bedingt möglich. Jede veränderte Datei speichert das System als wiederherstellbare Version über einen Zeitraum von 30 Tagen. Diese Versionen lassen sich dann unverändert bis zu 90 Tage aufbewahren, dann löscht sie das System.

Leitz-Cloud by vBoxx

Die Leitz-Cloud bietet mit ihrem Cloud-Storage ein sehr flexibles Modell für Unternehmen an. So ist die Nutzung für kleine Firmen mit wenigen Mitarbeitern bis hin zum Enterprise möglich. Die Anzahl der Nutzer lässt sich frei wählen. In Sachen Cloud-Speicher-Verwaltung ist der Service ebenfalls flexibel: Die veränderten Dateiversionen sind in der Anzahl nicht limitiert und lassen sich von 30 Tagen bis unbegrenzt lange speichern.

Auch eine Wiederherstellung nach Ordnern oder Dateien ist möglich. Eine Funktion, die einen kompletten Cloud-Speicher zurücksetzt, gibt es zwar nicht, aber große Bereiche und Teams lassen sich manuell in Schritten wiederherstellen. Die Leitz-Cloud erkennt keine Ransomware und kann sie auch nicht stoppen. Allerdings hilft das System mit einer Snapshot-Funktion. Mit ihr lassen sich beschädigte oder gelöschte Daten auf einem gewünschten Stand wiederherstellen.

Luckycloud pro Enterprise

Der Cloud-Service von Luckycloud ist mehr ein Daten­raumservice, der mithilfe von Software-Clients auch zur sicheren Datenplattform für Mitarbeiter wird. Die Software Sync-Client dient dabei zur Synchronisation einer lokal definierten Ordnerstruktur. So arbeitet der Mitarbeiter in einem Verzeichnis auf seiner Festplatte und bekommt vom Datenabgleich in Echtzeit nichts mit. Per Drive-Client arbeitet man auf einer Art virtuellen Festplatte. Die Daten liegen dann nicht permanent auf dem PC, sondern nur in der Cloud.

Diese Technik ersetzt den klassischen Datei-Server. Den Angriff einer Ransomware erkennt das System nicht. Allerdings lassen sich Daten recht einfach wiederher­stellen, denn die veränderten Versionen einer Datei sichert Luckycloud pro Enterprise ohne Limit und bewahrt sie auf Wunsch auch ohne Verfallsdatum auf.Nach einer Attacke besteht die Möglichkeit eines Storage-Rollbacks für einen gewünschten Zeitpunkt. Es lassen sich aber auch Ordner oder Einzeldateien schnell aus der Versionssicherung wiederherstellen.Wird bei einer Attacke auch eine schädliche Komponente auf dem Speicher abgelegt, so kann in der Enterprise-Version der integrierte Antivirus-Service seine Scan- und Schutzfunktion ausführen.

OneDrive for Business

Mit am bekanntesten ist Microsofts Cloud-Service One­Drive. Die Business-Variante lässt sich in verschiedenen Stufen als reiner Cloud-Service buchen. Kombiniert mit Office wird das Produkt dann zu Microsoft 365.Durch Microsofts-Anknüpfungspunkte zu Azure-Anwendungen oder Aktive-Server-Verwaltungen im Netzwerk lässt sich OneDrive for Business leicht im Unternehmen nutzen und ersetzt den klassischen Datei-Server, ohne dass die  Mitarbeiter dies bemerken. Teams arbeiten wie gewohnt, während die Aktualisierung mit dem Cloud-Server in Echtzeit abläuft.

Einzelne oder Team-OneDrives lassen sich im Notfall mithilfe einer Zeitleiste komplett zurücksetzen. Je nach Einstellung speichert OneDrive die Versionen von Dateien ohne Limit. Microsoft hat in OneDrive eine Erkennung für Ransomware-Attacken eingebaut und reagiert im Notfall mit einer Synchronisierungssperre und dem automatischen Zurücksetzen verschlüsselter Dateien.

Strato HiDrive Business Cloud

Der Cloud-Speicher-Service von Strato richtet sich an eher kleinere Teams. Die Pro-Variante startet bei 20 Nutzern und lässt sich um 5, 10, 20 oder 50 Nutzer erweitern. Die Clients eines Teams nutzen ähnlich wie OneDrive oder Dropbox einen integrierten Windows-Client für den Zugriff auf die Daten. Allerdings synchronisiert HiDrive die Daten nicht in Echtzeit, sondern nur alle vier Stunden. Die Anzahl der zu speichernden Versionen von Dateien ist frei wählbar, die maximale Aufbewahrungszeit aber auf zwei Jahre limitiert. Im Fall einer Verschlüsselung der PC-Dateien werden diese bei HiDrive nicht erkannt, sondern einfach weiter synchronisiert. Ein Zurücksetzen der gespeicherten Daten ist aber jederzeit möglich. Dabei lassen sich Ordner oder Dateien nach ihrer Speicherzeit frei auswählen.

Cloud-Services als Backup-Lösung (Auswahl)
Wer Kopien wertvoller Daten in der Cloud hinterlegt hat, kann Angreifer ins Leere laufen lassen.
Anbieter / ProduktDracoon / Dracoon Enterprise CloudDropbox / Dropbox BusinessIonos / HiDrive BusinessLeitz / Leitz-Cloud by vBoxxLuckycloud / Luckycloud pro EnterpriseMicrosoft / Onedrive for BusinessStrato / HiDrive Business Cloud
Sicherungszeit veränderter Daten 1)SofortSofortSofortSofortSofortSofortAlle 4 Stunden
Versionierung: Anzahl SicherungenFrei wählbarKein Limit30 Tage 3)Frei wählbar Kein LimitFrei wählbarFrei wählbar
Maximale AufbewahrungszeitFrei wählbar bis unendlich180 Tage 2)90 TageFrei wählbar bis unendlichFrei wählbar bis unendlichFrei wählbar bis unendlichBis 2 Jahre
WiederherstellungEinzelne Snapshots, Ordner oder EinzeldateienStorage-Rollback, Ordner oder EinzeldateienEinzelne Snapshots, Ordner oder EinzeldateienEinzelne Snapshots, Ordner oder EinzeldateienStorage-Rollback, Ordner oder EinzeldateienStorage-Rollback, Ordner oder EinzeldateienEinzelne Backups, Ordner oder Einzeldateien
Ransomware-Schutz / Erkennung

● ja; ○ nein1) Online-Verbindung vorausgesetzt 2) erweiterter Versionsverlauf speichert 10 Jahre


Mehr Artikel

News

Public Key Infrastructure: Best Practices für einen erfolgreichen Zertifikats-Widerruf

Um die Sicherheit ihrer Public Key Infrastructure (PKI) aufrecht zu erhalten, müssen PKI-Teams, sobald bei einer Zertifizierungsstelle eine Sicherheitslücke entdeckt worden ist, sämtliche betroffenen Zertifikate widerrufen. Ein wichtiger Vorgang, der zwar nicht regelmäßig, aber doch so häufig auftritt, dass es sich lohnt, PKI-Teams einige Best Practices für einen effektiven und effizienten Zertifikatswiderruf an die Hand zu geben. […]

News

UBIT Security-Talk: Cyberkriminalität wächst unaufhaltsam

Jedes Unternehmen, das IT-Systeme nutzt, ist potenziell gefährdet Opfer von Cyberkriminalität zu werden, denn die Bedrohung und die Anzahl der Hackerangriffe in Österreich nimmt stetig zu. Die Experts Group IT-Security der Wirtschaftskammer Salzburg lädt am 11. November 2024 zum „UBIT Security-Talk Cyber Defense“ ein, um Unternehmen in Salzburg zu unterstützen, sich besser gegen diese Bedrohungen zu wappnen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*