Stellen Sie sich vor, Ihr Unternehmen wird Opfer einer Cyberattacke – und das Backup versagt.
Genau das passiert häufiger, als man denkt: Laut einer Studie von Sophos (2024) wurden bei 94 % aller Ransomware-Angriffe gezielt die Backups attackiert – und in 57 % der Fälle war dieser Versuch erfolgreich. Gleichzeitig geben nur 20 % der Unternehmen weltweit an, dass sie nach einem Cyberangriff in der Lage wären, den Geschäftsbetrieb aufrechtzuerhalten. Das bedeutet: Vier von fünf Unternehmen wären im Ernstfall faktisch lahmgelegt. Auch Schweizer KMU sind betroffen – jedes 25. wurde in den letzten drei Jahren Opfer eines schwerwiegenden Cyberangriffs, von denen 73 % erhebliche finanzielle Schäden erlitten.
Blogserie: Cyberresilienz und Backup-Strategien
In dieser Artikelserie zeigen wir, wie Unternehmen ihre Datensicherung gegen moderne Bedrohungen absichern können – von Schutzlevels über Cloud-Backups bis hin zur Wiederherstellungsstrategie.
Diese Blogserie umfasst drei Teile.
Dies ist Teil 1 von 3 der Serie über Ransomware-Schutz und Datensicherung.
Teil 2: Detaillierte Schutzmassnahmen (vier Levels, Cloud-Plattformen)
Teil 3: Vertiefung zu RPO und RTO, also zu den konkreten Auswirkungen auf die Wiederherstellung
Immer mehr Unternehmen sind von Ransomware-Angriffen betroffen. Im Falle einer Verschlüsselung oder Zerstörung der Primärdaten ist es wichtiger denn je, über eine Backup-Umgebung mit hoher Cyber-Resilienz zu verfügen, deren Backups vor Verschlüsselung geschützt sind. Dies gilt umso mehr, als Backup-Lösungen heute in der Regel diskbasiert arbeiten und daher relativ manipuliert werden können. Backups sind die letzte Möglichkeit zur Wiederherstellung betroffener Daten und zur Wiederaufnahme des Betriebs und daher wichtiger denn je.
Vor diesem Hintergrund stellt sich eine zentrale Frage: Welche Massnahmen sind zu treffen?
Um die richtige Schutzstufe für Ihr Unternehmen zu bestimmen, ist es wichtig, zunächst die Schutzlevel zu definieren. Nach unserer Erfahrung unterscheiden wir vier Stufen, die wir als „Baseline“, „Good Practice“, „Sophisticated“ und „Sophisticated Plus“ bezeichnen.
| Schutzlevel 4 Sophisticated + |
|||
| Schutzlevel 3 Sophisticated |
|||
| Schutzlevel 2 Good Practice |
|||
| Schutzlevel 1 Baseline |
|||
|
|
|
|
Die Schutzlevel bauen, beginnend mit den grundlegenden Massnahmen bei „Baseline“ bis zu den umfangreicheren Schutzmechanismen bei „Sophisticated Plus“ aufeinander auf.
Zielsetzung der Datensicherung: Wovor gilt es sich zu schützen?
Im Fokus steht der Schutz vor Angriffen, die darauf abzielen, eine schnelle Wiederherstellung Ihrer IT und Anwendungen zu verhindern. Cyber-Bedrohungen wie Ransomware oder Malware sowie potenziell gefährliche interne Akteure („Bad Actors“) gehören zu den zentralen Risiken. Besonders kritisch: Das Ziel vieler Angriffe ist die Zerstörung oder Verschlüsselung von Backup-Daten, um eine Wiederherstellung zu verhindern oder Lösegeld zu fordern.
Schutzlevel und Massnahmen: Welches Level ist adäquat?
Ich möchte vorab klarstellen, dass das erste Sicherheitslevel auf physische Ausfälle abzielt und sich auf grundlegende Datensicherung sowie Datenwiederherstellung bezieht. So trivial es auch klingen mag: Ohne regelmäßige Datensicherungen gibt es keine Backup-Daten, die geschützt oder wiederhergestellt werden können.
Schutzlevel 1: Baseline
Der Schutzlevel «Baseline» bezieht sich auf physische Ausfälle und die grundlegende Datensicherung und -wiederherstellung ohne spezifische Ransomware-Schutzmassnahmen für die Sicherung selbst. So trivial es klingen mag: Ohne regelmäßige Datensicherung gibt es keine Backup-Daten, die geschützt oder wiederhergestellt werden können.
Wir empfehlen tägliche Backups mit einer Aufbewahrungsdauer von mindestens drei Monaten. Besonders wichtig ist die räumliche Trennung von Originaldaten und Backups, diese dürfen nicht zusammen nur einer Lokation aufbewahrt werden. Regelmässige – idealerweise tägliche – Kontrollen der gesicherten Systeme, des Backup-Erfolgs und des -Volumens halten wir neben regelmässigen technischen Wiederherstellungstests (sind die Daten technisch wiederherstellbar) für essenziell, um die Datenintegrität zu gewährleisten.
Schutzlevel 2: Good Practice
Wenn die Basisschutzmaßnahmen umgesetzt sind, empfehlen wir, den Schutz weiter auszubauen.
Ein WORM-Backup (Überschreibschutz) mit Retention Lock (Löschschutz bis zum Ablaufen der Backups) verhindert, dass Backups manipuliert oder gelöscht werden können – eine Massnahme, die wir insbesondere als Schutz gegen Ransomware für unverzichtbar halte. Backup Daten sollten zudem beim Transport und bei der Speicherung möglichst verschlüsselt werden, um den Datenschutz zu gewährleisten.
Zusätzlich setzen wir auf Mechanismen zur Erkennung von Anomalien im Backupverhalten. Die Sicherheit wird zudem deutlich erhöht, wenn Backup- und Produktivsysteme getrennt administriert werden (Gewaltentrennung) und für die Backupsysteme eine Multi-Faktor-Authentifizierung (MFA) eingeführt wird.
Um sicherzustellen, dass alles reibungslos funktioniert, erachten wir regelmäßige applikatorische Tests für wichtige Applikationen (lassen sich Applikationen auf einen gesicherten Stand wiederherstellen) für notwendig.
Schutzlevel 3: Sophisticated
Ab dieser Schutzstufe wird es anspruchsvoller, aber auch effektiver. Die Isolation der Backupdaten mittels einer virtuellen oder physischen Air-Gap-Lösung stellt einen zusätzlichen wirksamen Schutz der Backupdaten dar, indem mindestens eine Backupkopie räumlich, netzwerktechnisch und administrativ bestmöglich von den Produktivsystemen isoliert wird.
Eine Fast-Recovery Option bietet die Möglichkeit, Datensicherungen direkt aus Backupspeicher für auf den Zielsystemen verfügbar zu machen, ohne dass die Backupdaten überschrieben werden können. Damit können sehr schnell verschiedene Backup-Zeitpunkte auf Ransomware-Befall untersucht und die Systeme sehr schnell wieder in Betrieb genommen werden.
Kritische Änderungen im Backup-System (z.B. Aufbewahrungsfristen oder gesicherte Systeme) werden idealerweise mit Multi-Personen-Autorisierung als 4-Augen-Prinzip abgesichert. Ab diesem Schutzlevel empfehlen wir auch eine wirksame Ransomware-Erkennung im Sinne eines Malware-Scanners, der auch ältere Backups laufend auf neu bekanntwerdende Bedrohungen untersucht.
Durch regelmässige Restore-Tests mehrerer verknüpfter Applikationen wird sichergestellt, dass auch Applikationen mit zeitlich unterschiedlichen Datenbeständen wieder zusammen funktionieren (Delta-Handling). Ergänzend sollte ein umfassender Cyber-Recovery-Plan existieren, der das Vorgehen im Falle eines grossflächigen Ransomware Befalls definiert.
Schutzlevel 4: Sophisticated Plus
Die höchste Schutzstufe, die wir für besonders kritische Umgebungen empfehle, beinhaltet ein Isolated Recovery Environment (IRE). Dieses trennt kritische IT-Dienste und Backup-Umgebungen vollständig voneinander, was im Notfall entscheidend Zeit spart. So sind die Systeme sofort für die Wiederherstellung bereit und müssen nicht erst untersucht und bereinigt werden. Weiterhin kann ein Clean Room für forensische Analysen und Tests bereitgestellt werden.
Die automatisierte, orchestrierte Wiederherstellung verschiedener Anwendungsgruppen in der richtigen Reihenfolge beschleunigt den Wiederherstellungsprozes und macht ihn weniger fehleranfällig und besser testbar. Einige Backup Lösungen oder externe Werkzeuge bieten hier bereits entsprechende Möglichkeiten.
Abgerundet werden die Massnahmen durch eine komplexe (KI-basierte) Anomalie-Erkennung zur Detektion von ungewöhnlichem Verhalten und durch eine ausgefeilte Suchfunktion in den Backup-Daten, um den Zeitpunkt des Ransomware-Befalls und damit das letzte Backup unverschlüsselten Daten besser bestimmen zu können.
Schliesslich sind vollständige Restore Tests sehr aufwendig aber auch die Gewährleistung, dass im Falle eines Falles alle Daten vorhanden sind und die Applikationen mit den komplexen Abhängigkeiten und teilweise unterschiedlichen Datenbeständen aufgrund des unterschiedlichen Infektionszeitpunkte wieder in definierter Zeit betrieben werden können.
Welcher Aufwand ist angemessen?
Während aus finanzieller Sicht oft das Prinzip «weniger ist mehr» vertreten wird, empfehlen wir für den Schutz vor Ransomware das Prinzip «mehr ist mehr». Jede zusätzliche Maßnahme bringt einen weiteren Schutz, erhöht die Qualität oder verkürzt die Wiederherstellungszeit. Dabei müssen die Schutzlevel nicht vollständig umgesetzt werden, sie sollen nur eine Orientierung für typische Kombinationen von Maßnahmen geben.
Schutzlevel 1 (Baseline) ist das Minimum und definiert eine für jedes Unternehmen die angemessene Datensicherung ohne spezifischen Schutz vor Ransomware. Oft vergessen werden regelmäßige Kontrollen und Tests, die unbedingt in jedem Unternehmen etabliert werden sollten.
Für Unternehmen mit normalen und nicht speziell erhöhten Anforderungen empfehlen wir die Schutzstufe 2 (Good Practice). Diese beinhaltet verschiedene wirksame Massnahmen gegen Ransomware-Angriffe auf Backup-Systeme, insbesondere Überschreibschutz, Gewaltentrennung und MFA. Die Umsetzung von Schutzlevel 2 ist noch mit moderaten Kosten verbunden.
Unternehmen mit höheren Anforderungen oder einer höheren Gefährdung sollten sich in Richtung Schutzlevel 3 (Sophisticated) bewegen, auch wenn dies bereits mit deutlichen Mehrkosten und höherem Aufwand verbunden ist, erhöht sich das Schutzniveau nochmals deutlich. Dazu können auch einzelne Maßnahmen aus Stufe 3 umgesetzt werden.
Für besonders kritische und exponierte Unternehmen empfehlen wir einen maximalen Schutz, auch wenn dieser mit einem höheren finanziellen und personellen Aufwand verbunden ist. Die Schutzstufe 4 (Sophisticated+) definiert zusätzliche Massnahmen, deren Umsetzung in einem solchen Kontext sinnvoll ist.
«Zusammenfassend sollte heute jede Unternehmung zum Schutz vor Ransomware mindestens den Schutzlevel 2 (Good Practice) erreichen oder schnellstmöglich anstreben.»
Als Sofortmassnahme empfehlen wir, Massnahmen aus Level 1 und 2 zu prüfen und wenn möglich sofort umzusetzen, um das Schutzniveau zu erhöhen.
Sind wesentliche Maßnahmen des angestrebten Schutzniveaus nicht umsetzbar, sollte die Backup-Strategie neu definiert bzw. überarbeitet und ggf. entsprechende Backup-Lösungen neu beschafft oder ergänzt werden.
Wenn wesentliche Maßnahmen des angestrebten Schutzlevels nicht umsetzbar sind, muss die Backup-Strategie neu definiert oder überarbeitet werden. Wenn nötig, müssen die entsprechenden Backup-Lösungen neu beschafft oder ergänzt werden.
Zu bedenken ist, dass Backup und Restore die letzte Schutzoption bei einer Ransomware-Attacke ist. Es ist unbedingt notwendig in Massnahmen zu investieren, die die Abwehr von Ransomware bevor sie in ihr Unternehmen gelangt und die schnelle Erkennung von Ransomware auf den primären Systemen zum Ziel hat.
Regelmässige Wiederherstellungsübungen spielen eine Schlüsselrolle
Datensicherung allein reicht nicht aus, um effektiv auf Cyber-Angriffe zu reagieren. Entscheidend ist die regelmässige Übung der Datenwiederherstellung im Normalbetrieb. Nur so können Routine und Erfahrung aufgebaut werden, die im Ernstfall den Unterschied ausmachen.
Welche Schutzlevel bieten die Standard Werkzeuge in den Cloud Lösungen Microsoft Azure, AWS und Google Cloud? Dies beleuchten wir im nächsten Artikel.
Bleiben Sie geschützt, und sorgen Sie dafür, dass Ihre Datensicherungen nicht nur gespeichert, sondern in Krisensituationen schnell aktiviert werden können.
