Immer mehr Unternehmen sind von Ransomware-Angriffen betroffen. Im Falle einer Verschlüsselung oder Zerstörung der Primärdaten ist es wichtiger denn je, über eine Backup–Umgebung mit hoher Cyber-Resilienz zu verfügen, deren Backups vor Verschlüsselung geschützt sind. Die Restorezeit und der Datenverlust sind aber in aller Regel deutlich grösser als bei normalen Ausfällen. Warum ist das so?
Blogserie: Cyberresilienz und Backup-Strategien
In dieser Artikelserie zeigen wir, wie Unternehmen ihre Datensicherung gegen moderne Bedrohungen absichern können – von Schutzlevels über Cloud-Backups bis hin zur Wiederherstellungsstrategie.
Diese Blogserie umfasst vier Teile.
Dies ist Teil 3 von 4 der Serie über Ransomware-Schutz und Datensicherung.
Nachdem wir im ersten Teil die Risiken von Ransomware für Backups beleuchtet und im zweiten Teil konkrete Schutzlevels für Cloud-Dienste wie MS 365, Azure und AWS vorgestellt haben, widmen wir uns im dritten und letzten Teil der Frage, warum es im Ernstfall oft zu erheblichen Datenverlusten (RPO) und langen Wiederherstellungszeiten (RTO) kommt – und wie Unternehmen diese Risiken gezielt reduzieren können.
Teil 1: Einführung ins Thema, Problemverständnis (Ransomware trifft Backups)
Teil 2: Detaillierte Schutzmassnahmen (vier Levels, Cloud-Plattformen)
Teil 4: Cloud-Backup-Modelle und deren Schutzwirkung
Zwei Begriffe von zentraler Bedeutung im Kontext von Ausfallszenarien
In der heutigen digitalen Welt sind Unternehmen zunehmend auf ihre IT-Infrastruktur angewiesen, um effizient arbeiten zu können. Im Zusammenhang mit Ausfallszenarien sind bisher zwei Begriffe von zentraler Bedeutung:
- RPO (Recovery Point Objective) = Wiederherstellungszeitpunkt bzw. Datenverlust
- RTO (Recovery Time Objective) = Wiederherstellungsdauer bzw. Ausfallzeit
Diese Begriffe geben an, wie viel Datenverlust toleriert werden kann und wie schnell ein System nach einem Ausfall wieder funktionsfähig sein muss. Der Fokus liegt dabei auf technischen Ausfällen, nach denen Systeme und Anwendungen aus dem (letzten) Backup wiederhergestellt werden oder auf einen anderen Standort umgeschaltet wird.
Die immer raffinierteren Cyber-Angriffe stellen jedoch eine erhebliche Bedrohung dar, da sie die Daten schrittweise logisch zerstören und eine andere Wiederherstellungsmethode erfordern. So ist z.B. eine schnelle Wiederherstellung aus dem letzten Backup oft nicht ohne weiteres möglich. Typischerweise werden die Systeme schrittweise über Tage und Wochen befallen und die Daten bereits verschlüsselt und damit auch die ab diesem Zeitpunkt angefertigten Datensicherungen. Wird am Tag-X der Schlüssel gelöscht sind die Daten (inkl. der Backups ab dem Zeitpunkt des Befalls) nicht mehr brauchbar.
Zur Abgrenzung gegenüber einem technischen Ausfallszenario erachten wir es als sehr hilfreich, für das Ausfallszenario Cyber-Attacke zwei neue Begriffe einzuführen:
- Cyber-RPO = Wiederherstellungszeitpunkt bzw. Datenverlust im Falle eines Cyber-Angriffs
- Cyber-RTO= Wiederherstellungsdauer bzw. Datenverlust im Falle eines Cyber-Angriffs
Cyber-RPO entspricht dem Datenverlust seit dem letzten guten (unverschlüsselten) Backup, der für die betroffenen Systeme jeweils unterschiedlich sein kann. Cyber-RTO ist die Zeit, die benötigt wird, um den Betrieb nach einer Cyber-Attacke wieder aufzunehmen.
Gründe, weshalb man in der Wiederherstellung mit grösseren Hindernissen rechnen muss
Aus folgenden Gründen sind Cyber-RPO und Cyber-RTO in der Regel deutlich grösser als bei normalen Ausfallszenarien:
1. Unvorhersehbarkeit des Angriffs
Im Gegensatz zu anderen IT-Störungen sind Cyber-Angriffe oft schwer vorhersehbar und können in ihrer Art und Weise variieren. Ransomware, DDoS-Angriffe oder Datendiebstahl – all diese verschiedenen Angriffsmethoden führen zu unterschiedlichen Herausforderungen bei der Wiederherstellung. Bei einem Ransomware-Angriff kann die Datenwiederherstellung beispielsweise durch verschlüsselte oder beschädigte Dateien erheblich erschwert werden. In einigen Fällen können auch Backups betroffen sein, was die Wiederherstellungszeit verlängert oder im schlimmsten Fall zu einem vollständigen Datenverlust führen kann, wenn die bestehenden Backups nicht ausreichend geschützt sind.
2. Erkennung und Forensik
Nach einem Cyber-Angriff müssen gründliche Untersuchungen (Forensik) durchgeführt werden, um die Ursache des Angriffs zu ermitteln und sicherzustellen, dass keine weiteren Hintertüren für zukünftige Angriffe bestehen. Ausserdem muss der genaue Umfang der betroffenen Systeme und des jeweiligen Zeitpunkt des Angridds ermittelt werden. Diese Analyse vor dem eigentlichen Wiederherstellungsprozess nimmt zusätzliche Zeit in Anspruch nimmt.
3. Angreifer können noch im System sein
In einigen Fällen ist es nach einem Cyber-Angriff nicht sicher, dass die Angreifer das Unternehmen vollständig verlassen haben. Angreifer hinterlassen oft Hintertüren oder verschlüsseln Teile der Infrastruktur, so dass nicht mit absoluter Sicherheit gesagt werden kannn, ob alle Zugangswege für zukünftige Angriffe versperrt wurden. Dies bedeutet, dass die IT-Abteilung möglicherweise zusätzliche Zeit für forensische Untersuchungen aufwenden muss, um alle Schwachstellen zu identifizieren und zu schliessen, bevor eine vollständige Wiederherstellung durchgeführt werden kann.
4. Regulatorische Anforderungen und Berichterstattung
In vielen Branchen, z.B. im Finanz- oder Gesundheitswesen, gibt es regulatorische Anforderungen, die vorschreiben, wie schnell und auf welche Weise Daten nach einem Cyber-Angriff wiederhergestellt werden müssen. Unternehmen können auch verpflichtet sein, den Vorfall den Behörden oder den betroffenen Kunden zu melden. Die Einhaltung dieser Vorschriften kann zusätzliche Zeit in Anspruch nehmen, was wiederum die Analysezeit verlängern kann.
5. Sicherstellung einer vollständigen Säuberung
Die IT-Abteilung muss zudem prüfen und sicherstellen, dass alle Systeme für die Wiederherstellung frei von Schadsoftware sind bzw. diese entsprechend bereinigen.
6. Letztes gutes Backup (last good backup)
Die Sicherstellung der Integrität der wiederhergestellten Daten ist von entscheidender Bedeutung. Ein Cyber-Angriff, insbesondere durch Ransomware oder Datenmanipulation, kann dazu führen, dass die Daten entweder unbrauchbar oder manipuliert sind. Daher ist es wichtig, die Daten aus sicheren Backups vor dem Zeitpunkt des Angriffs zu rekonstruieren. Es ist möglich, dass die Daten der Systeme bereits vor mehreren Tagen oder sogar Wochen verschlüsselt wurden und auch die Sicherung ab diesem Zeitpunkt nur noch die bereits verschlüsselten Daten sichert. Daher muss für jedes betroffene System, die letzte «gute» Sicherung unverschlüsselter Daten ermittelt werden. Im Zweifelsfall kann es dazu notwendig sein, die Restores pro betroffenem System im Trial-and-Error-Verfahren auf isolierten Systemen zurückzuspielen und forensisch auf den Befall zu untersuchen, was einen enormen Zeitaufwand bedeutet. Der Datenverlust ist somit nicht der Zeitraum bis zum letzten Backup (RPO, typischerweise maximal 1 Tag) sondern der Zeitraum bis zum letzten guten Backup vor dem Befall (Cyber-RPO, mehrere Tage bis mehrere Wochen).
7. Fehlende oder unzureichende Notfallpläne
Viele Unternehmen verfügen über Notfallpläne und Disaster Recovery (DR)-Strategien, die auf verschiedene Arten von IT-Ausfällen ausgelegt sind. Cyber-Angriffe erfordern jedoch häufig spezifischere und detailliertere Massnahmen. Nicht alle Unternehmen verfügen Wiederherstellungsprozesse, die speziell für Cyber-Angriffe optimiert und getestet wurden. Wenn ein Unternehmen nicht über robuste Cyber-Notfallpläne verfügt, können Cyber-RPO und Cyber-RTO durch unvorbereitete Reaktionen erheblich verlängert werden.
8. Menschlicher Faktor und Kommunikation
Der menschliche Faktor spielt eine wichtige Rolle bei der Wiederherstellung nach einem Cyber-Angriff. Die Reaktionsgeschwindigkeit kann durch die Notwendigkeit, alle Beteiligten zu koordinieren, die Kommunikation mit externen Experten (wie IT-Sicherheitsfirmen oder Strafverfolgungsbehörden) und das Management von externen Stakeholder verlangsamt werden. Dies kann sowohl die RPO als auch die RTO verlängern, da Entscheidungen in dieser kritischen Phase nicht immer schnell getroffen werden können.
9. Umfang der betroffenen Systeme
Im Normalfall kommt es zu Datenverlust auf einzelnen Systemen, z.B. bei entsprechenden Softwarefehlern, während Disaster Szenarien in der Regel über Datenreplikation ohne grösseren Datenverlust abgedeckt werden. Im Gegensatz dazu sind bei einem Cyber-Angriff eine Vielzahl von Systemen betroffen, die gleichzeitig wiederhergestellt werden müssen. Ein funktionierender Notfallplan definiert dabei Prioritäten und Applikationsgruppen, die nur gemeinsam funktionieren. Typischerweise müssen viel mehr Systeme gleichzeitig wiederhergestellt werden, bis zumindest ein Notbetrieb möglich ist. Die restlichen, weniger wichtigen Systeme werden dann schrittweise wiederhergestellt.
Fazit: Die Herausforderungen nach einer Cyber-Angriff
«Zusammenfassend lässt sich sagen, dass sowohl Cyber-RPO als auch Cyber-RTO nach einem Cyber-Angriff oft grösser ausfallen, da die Angriffe die IT-Systeme und Daten oft auf unerwartete und komplexe Weise beeinträchtigen.»
Die Unvorhersehbarkeit des Angriffs, die Notwendigkeit einer forensischen Analyse, die Sicherstellung der Datenintegrität sowie menschliche Faktoren und regulatorische Anforderungen können alle zu einer Verlängerung der Wiederherstellungszeit führen. Während der RPO (Datenverlust) für kritische Systeme in der Regel auf maximal 1 Tag ist, kann der Cyber-RPO je nach System und Dauer des Angriffs bis zur Entdeckung sehr schnell auf mehrere Wochen ansteigen. Für diesen Zeitraum müssen dann Daten, soweit möglich, aus anderen Quellen rekonstruiert werden.
Die Wiederherstellungszeit (RTO) bei einem Ausfall liegt in der Regel im Bereich von Stunden bis maximal 1 Tag. Im Falle eines Cyber-Angriffs kann allein die Analyse, Forensik und Bereinigung mehrere Tage bis mehrere Wochen in Anspruch nehmen, insbesondere wenn die letzte Sicherung von unverschlüsselten Daten erst noch per Trial-and-Error ermittelt werden muss. Die eigentliche technische Wiederherstellung dauert aufgrund der potenziell grossen Anzahl betroffener Systeme ebenfalls deutlich länger, ein typischer Wert liegt bei vielen Unternehmen in der Grössenordnung von 3 Tagen. Statt einem RTO von Stunden bis maximal 1 Tag bewegt sich der Cyber-RTO im Bereich von mehreren Tagen bis mehren WochenWochen (für Analyse und Säuberung) + 3 Tage (für die Wiederherstellung)
Um die Auswirkungen von Cyber-Angriffen zu minimieren, ist es für Unternehmen entscheidend, nicht nur präventive Massnahmen zu ergreifen, sondern auch Notfallpläne für Cyber-Angriffe zu entwickeln und regelmässig zu testen. Dadurch kann die Wiederherstellung im Ernstfall deutlich beschleunigt und die Auswirkungen auf das Unternehmen verringert werden.
Wie eingangs erwähnt, empfehlen wir, zwischen den Begriffen RPO und Cyber-RPO sowie RTO und Cyber-RTO für herkömmlichen und Cyber-Attacken zu unterscheiden. Dies hilft nicht nur bei der Differenzierung der verschiedenen Wiederanlaufmethoden, sondern auch bei der notwendigen Diskussion.
Regelmässige Wiederherstellungsübungen spielen eine Schlüsselrolle
Datensicherung allein reicht nicht aus, um effektiv auf Cyber-Angriffe zu reagieren. Entscheidend ist die regelmässige Übung der Datenwiederherstellung im Normalbetrieb. Nur so können Routine und Erfahrung aufgebaut werden, die im Ernstfall den Unterschied ausmachen.
Auch in Cloud Szenarien ist die Datensicherung von grosser Bedeutung. Im nächsten Artikel stellen wir verschiedene Ansätze zur Datensicherung in der Cloud vor.
Bleiben Sie geschützt, und sorgen Sie dafür, dass Ihre Datensicherungen nicht nur gespeichert, sondern in Krisensituationen schnell aktiviert werden können.
Weiterlesen in dieser Serie:
Teil 1: Einführung ins Thema, Problemverständnis (Ransomware trifft Backups)
Teil 2: Detaillierte Schutzmassnahmen (vier Levels, Cloud-Plattformen)
Teil 4: Cloud-Backup-Modelle und deren Schutzwirkung
