Sathya Sankaran, Head of Cloud-Products HYCU at IT Press Tour
HYCU stellt mit R-Score unter getrscore.org eine kostenlose Selbsteinschätzung bereit, mit der Unternehmen ihre Ransomware-Wiederherstellungsfähigkeit prüfen und konkrete Verbesserungsvorschläge erhalten können.

Nur wenige Unternehmen erfüllen die Backup-Voraussetzungen für eine Ransomware-Wiederherstellung ohne Lösegeldzahlung. Ein neuer Leitfaden von HYCU zeigt, woran es hakt und welche fünf Schritte im Ernstfall zählen.

Warum sich Zahlen selten auszahlt

Die Überweisung des Lösegelds erscheint vielen betroffenen Unternehmen als schnellster Weg zurück zur Normalität. Die Zahlen, die HYCU in einem aktuellen Leitfaden zur Wiederherstellung nach Ransomware-Angriffen zusammengetragen hat, zeichnen ein anderes Bild: Von den Unternehmen, die eine erste Lösegeldforderung begleichen, erhalten zunächst 60 Prozent wieder Zugriff auf ihre Daten. 32 Prozent müssen weitere Zahlungen leisten, bevor eine Wiederherstellung gelingt, und 8 Prozent erhalten ihre Daten überhaupt nicht zurück. Selbst wenn ein Entschlüsselungsschlüssel eintrifft, dauert die Wiederherstellung der Systeme laut HYCU in der Regel mehrere Wochen.

Hinzu kommen laut dem Anbieter vier weitere Kostenfaktoren: Viele Cyberversicherungen schließen den Schutz aus, sobald ein Lösegeld fließt, während die US-Prämien im Schnitt bereits um rund 35 Prozent gestiegen sind. Das US-Finanzministerium warnt zudem vor OFAC-Strafen bei Zahlungen an sanktionierte Akteure, unabhängig von der Absicht. Zahlende Unternehmen geraten außerdem ins Visier des kriminellen Ökosystems und werden oft erneut angegriffen, teils von derselben Gruppe – und finanzieren mit jeder Zahlung die nächste Angriffswelle mit.

Weltweit haben sich nach Angaben von HYCU 84,5 Prozent der betroffenen Unternehmen ohne Zahlung wieder erholt. Voraussetzung dafür sei allerdings eine Vorbereitung, die lange vor einem Angriff beginnt.

Drei Bedingungen für widerstandsfähige Backups

Ein Backup, das eine von drei Voraussetzungen nicht erfüllt, kann laut HYCU zusammen mit der übrigen Infrastruktur verschlüsselt werden. Erstens muss der Speicher unveränderlich sein: Daten dürfen bis zum Ablauf der Aufbewahrungsfrist von niemandem geändert oder gelöscht werden, auch nicht von Administratoren – HYCU setzt dafür auf WORM-Speicher mit aktivierter Object-Lock-Funktion auf S3-kompatiblen Systemen. Zweitens müssen Backups über einen Air Gap von der Produktionsumgebung isoliert sein, getrennt durch Netzwerksegmentierung, ohne gemeinsame Anmeldedaten oder Vertrauensbeziehungen; die virtuelle Appliance des Anbieters nutzt dafür ein gehärtetes Linux-Basisimage ohne Root-Zugriff und mit deaktiviertem SSH. Drittens soll der Zugriff eingeschränkt sein: Rollenbasierte Zugriffskontrolle, Mandantenfähigkeit und Aufgabentrennung sollen verhindern, dass selbst Superadministratoren Backups manuell löschen können.

Vorbereitung bleibt Ausnahme

Gemeinsam mit ActualTech Media hat HYCU IT-Führungskräfte zum Stand ihrer Ransomware-Vorbereitung befragt. 65 Prozent äußerten kein volles Vertrauen in ihre bestehenden Backup-Lösungen. Unter den Betroffenen verzeichneten 52 Prozent messbare Datenverluste, 63 Prozent Betriebsstörungen. Nur 41 Prozent isolieren ihre Backups per Air Gap, nur 47 Prozent testen sie regelmäßig, und lediglich 35 Prozent halten ihre aktuellen Werkzeuge für ausreichend. Gleichzeitig befassen sich mittlerweile 77 Prozent der Unternehmensvorstände aktiv mit dem Thema Ransomware-Prävention – das Interesse ist vorhanden, die technische Umsetzung hinkt jedoch häufig hinterher.

„Angesichts der mit Ransomware-Angriffen verbundenen Kosten in Millionenhöhe – ganz zu schweigen von den Auswirkungen auf Marke und Mitarbeitermoral – können es sich Unternehmen nicht leisten, keinen Plan zu haben“, wird HYCU-Gründer und CEO Simon Taylor in der Mitteilung zitiert.

Fünf Stufen der Wiederherstellung

HYCU beschreibt die Wiederherstellung als Abfolge von fünf Stufen, deren Geschwindigkeit den Schaden bestimmt: Erkennen ungewöhnlicher Dateiänderungen und Backup-Anomalien, Eindämmen durch sofortige Isolierung betroffener Systeme und Stopp der Replikation, Bewerten des Schadens und des letzten intakten Wiederherstellungspunkts, die eigentliche Wiederherstellung anwendungsweise nach Abhängigkeiten sowie abschließend die Absicherung durch das Schließen der Schwachstelle, die Überprüfung der Zugriffsrichtlinien und eine Nachbesprechung des Vorfalls.

Kostenlose Selbsteinschätzung

Mit R-Score bietet HYCU unter getrscore.org eine kostenlose Bewertung an, die die Ransomware-Wiederherstellungsfähigkeit von Unternehmen nach einem Modell ähnlich einer Bonitätsbewertung einstuft. Bewertet werden Backup-Architektur, Wiederherstellungsprozess, Testhäufigkeit und organisatorische Bereitschaft. Nach Angaben von HYCU schneiden die meisten Unternehmen dabei schlechter ab, als sie selbst erwartet hätten.

 

 

Von Jakob Jung

Dr. Jakob Jung ist Chefredakteur Security Storage und Channel Germany. Er ist seit mehr als 20 Jahren im IT-Journalismus tätig. Zu seinen beruflichen Stationen gehören Computer Reseller News, Heise Resale, Informationweek, Techtarget (Storage und Datacenter) sowie ChannelBiz. Darüber hinaus ist er für zahlreiche IT-Publikationen freiberuflich tätig, darunter Computerwoche, Channelpartner, IT-Business, Storage-Insider und ZDnet. Seine Themenschwerpunkte sind Channel, Storage, Security, Datacenter, ERP und CRM. Kontakt – Contact via Mail: jakob.jung@security-storage-und-channel-germany.de

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

WordPress Cookie Hinweis von Real Cookie Banner