Am Freitag, dem 18. August, wurde Cloud Nordic Opfer eines Ransomware-Angriffs. Der dänische Cloud-Dienstleister musste seinen Kunden mitteilen, dass ihre Daten unwiederbringlich verloren sind. Es kam zu einem regelrechten Katastrophenszenario.
Auf der Website wird unmissverständlich dargelegt, wie kritisch die Lage ist: „Die Angreifer haben es geschafft, sämtliche Festplatten der Server sowie die primären und sekundären Backup-Systeme zu verschlüsseln. Dadurch wurden alle Systeme unbrauchbar, und der Zugriff auf alle Daten ging verloren. […] Eine Wiederherstellung war leider nicht möglich, die Mehrheit unserer Kunden hat ihre gesamten bei uns gespeicherten Daten verloren.”
Weiter erläutert das Team von Cloud Nordic: „Der Angriff passierte, nachdem wir unbewusst infizierte Systeme von einem Rechenzentrum in ein anderes verschoben hatten. Unglücklicherweise war das Zielrechenzentrum mit dem internen Netzwerk verbunden, über das alle unsere Server verwaltet werden. Über dieses interne Netzwerk konnten die Angreifer auf die zentralen Verwaltungssysteme und die Backup-Systeme zugreifen.“
Aus der technischen Betrachtungsperspektive existieren Lösungskonzepte und Technologien, die das Backup, während eines Ransomware-Angriffs, vor Verschlüsselung, beziehungsweise Kompromittierung bestmöglich schützen können. Unsere Erfahrung zeigt jedoch auch, dass es in vielen Fällen keine gehärteten und abgeschirmten Backup-Systeme und häufig nicht im notwendigen Umfang getestete Wiederherstellungspläne gibt.
In der aktuellen Situation ist der Erfolg dieses Angriffs nicht überraschend. Organisationen auf der ganzen Welt sind mit immer häufigeren, ausgefeilteren und demnach auch professionelleren Angriffen konfrontiert. Cloud Nordic ist bei weitem nicht das einzige Opfer.
Isolierte Wiederherstellungsumgebungen mit Hardening, Air-Gap und unveränderlichem Speicher
Die Verwendung von Snapshots und ähnlichen Techniken schützt die wiederherzustellenden Daten nicht ausreichend, denn diese bleiben auf derselben Primär-Plattform – auch wenn Snapshots zusätzlich repliziert werden. Zur adäquaten Sicherung ist es unerlässlich, die Daten in einer isolierten Umgebung zu sichern und zu steuern. Hierfür stehen kombinierbare Lösungsbausteine zur Verfügung:
In einem ersten Schritt sollte ein besonderes Augenmerk auf die Möglichkeiten der Systemhärtung einer Backup- und Recovery-Lösung gelegt werden. Die Frage, die sich jeder und jede IT-Verantwortliche stellen muss, ist, ob das aktuell eingesetzte Backup- und Recovery-Tool tatsächlich die relevante Systemarchitektur ermöglicht, um die Angriffsvektoren zu dezimieren. Im nächsten Schritt ist abzuwägen, welchen Härtungsgrad das Unternehmen durch das eigene Personal tatsächlich gewährleisten kann und ob nicht der Einsatz von vollintegrierten Lösungen das Risiko für die eigene Organisation deutlich verringert.
Durch Air-Gapping steht eine Methode zur Verfügung, bei der die durchgeführten Backups unabhängig vom Produktionsnetzwerk gespeichert werden. Dies sollte mit der Unveränderlichkeit der Daten kombiniert werden, um einen WORM-Speicher (Write Once Read Many) zum Schutz der „Last Line of Defence“ zu erhalten.
Im Idealfall etabliert das Unternehmen eine sogenannte Isolated Recovery Environment (IRE), also eine abgeschirmte Umgebung, die nur zu bestimmten Zeiten einen Zugang zum produktionsnahen Backup-System öffnet, um die neuesten Backups zu übertragen, und sich dann wieder selbstständig vom Rest des Netzwerks abschottet. Gleichzeitig sollte eine IRE bestmöglich gehärtet sein und die Funktionalität eines unveränderlichen Backupspeichers nativ integriert haben, sowie die Möglichkeit der direkten und damit zeitoptimierten Wiederherstellung von Backups gewährleisten. Moderne Lösungen bieten gleichzeitig die Möglichkeit, Backups anhand typischer Risikoindikatoren zu bewerten, diese vollautomatisch mit Antivirentechnologie zu scannen und damit eine sichere Wiederherstellung auf Knopfdruck zu ermöglichen.
Aufgepasst beim Shared-Responsibility-Modell
Der Angriff auf Cloud Nordic erinnert eindringlich daran, wie wichtig es ist, dass Cloud-Kunden das in den Verträgen mit ihren Dienstleistern aufgeführte Prinzip des Shared-Responsibility-Modells genau bewerten. Demnach verpflichten sich die Cloud-Anbieter standardmäßig zur Verfügbarkeit ihrer Dienste, die Kunden tragen jedoch die Verantwortung für die Resilienz ihrer Daten, sowie für die regelmäßige Sicherung und die Wiederherstellungsfähigkeit. Sie sollten daher genau über die Maßnahmen des Anbieters informiert sein, diese professionell bewerten und gegebenenfalls Anpassungen oder Veränderungen des eigenen Datenmanagementkonzeptes, gemäß ihrer IT-Strategie und der Anforderungen der IT-Governance und ihres Risiko-Management-Systems planen und durchführen.