Ransomware ist und bleibt die größte Cyberbedrohung. Um sich zu schützen, brauchen Unternehmen eine ganzheitliche Security-Strategie. Dabei spielt eine konsistente Storage-Infrastruktur mit integrierten Sicherheitsfunktionen eine entscheidende Rolle.
Laut dem Ransomware-Report 2023 des Cybersecurity-Anbieters Sophos waren im vergangenen Jahr 66 Prozent der Unternehmen von Ransomware betroffen – genauso viele wie im Vorjahr. In mehr als drei Vierteln der Fälle verschlüsselten die Angreifer die Daten ihrer Opfer. In 30 Prozent exfiltrierten sie zusätzlich Daten, um einen weiteren Erpressungsfaktor anzuwenden – eine duale Strategie, die immer beliebter wird. Das BSI stellt im aktuellen Lagebericht außerdem eine Verschiebung der Attacken fest: Nicht mehr nur große, zahlungskräftige Ziele standen im Mittelpunkt, sondern zunehmend auch KMUs sowie staatliche Institutionen und Kommunen. Angesichts der angespannten Bedrohungslage hat der Schutz vor Ransomware für 87 Prozent der Unternehmen hohe bis höchste Priorität, so der aktuelle NetApp Data Complexity Report. Aber wie gelingt das am besten?
Der Speicher als letzte Verteidigungslinie
Cyberresilienz erfordert eine ganzheitliche Security-Strategie, die auf den drei Säulen Prävention, Detektion und Backup/Recovery basiert. Zur Prävention gehören nicht nur moderne Security-Systeme wie Next Generation Firewalls, E-Mail- und Cloud-Security sowie ein Zero-Trust-Konzept. Ebenso wichtig ist es, die Mitarbeitenden zu sensibilisieren. Denn nach wie vor zählen Phishing und Schad-E-Mails zu den größten Einfallstoren für Cyberkriminelle, gefolgt von kompromittierten Anmeldedaten, so die Sophos-Studie.
Da trotz bester Vorsorge immer einmal ein Angriff erfolgreich sein kann, greift auf der nächsten Stufe die Detektion. Dabei spielt neben den Security-Systemen der Storage eine entscheidende Rolle. Er bildet die letzte Verteidigungslinie, wenn es Cyberkriminellen gelungen ist, alle anderen Abwehrmaßnahmen zu überwinden. Tatsächlich erstrecken sich moderne Ransomware-Angriffe häufig über mehrere Wochen oder gar Monate und bleiben lange Zeit unbemerkt. In vielen Fällen wird der Angriff erst erkannt, wenn es bereits zu spät ist. Denn nachdem die Akteure eingedrungen sind, verhalten sie sich erst einmal ruhig und möglichst unauffällig. Nach und nach dringen sie dann weiter vor, spionieren aus, wo die wertvollsten Daten liegen, und verschaffen sich mehr und mehr Rechte. Die eigentliche Verschlüsselung erfolgt meist erst ganz zum Schluss. Hier greift Ransomware-Schutz im Speicher: Er kann rechtzeitig eingreifen und größeren Schaden verhindern.
Wie gelingt Ransomware-Schutz auf Storage-Ebene?
Zunächst einmal müssen Unternehmen in der Lage sein, ihre Speicher-Systeme kontinuierlich zu überwachen – ganz gleich, ob sich diese On-Premises oder in der Cloud befinden. Dafür benötigen sie eine einheitliche Storage-Infrastruktur mit zentralem Datenmanagement, das für hybride Multi-Cloud-Umgebungen designt wurde. Entscheidend für den Ransomware-Schutz ist zudem eine automatisierte Angriffserkennung und die Abwehr direkt im Storage. Moderne Lösungen integrieren dafür KI und Machine Learning in den Primärspeicher. Die intelligenten Algorithmen scannen die Systeme kontinuierlich und greifen sofort ein, sobald sie verdächtiges Verhalten erkennen. Dies erfolgt nahezu in Echtzeit auf File-Ebene mit einer Erkennungsrate von über 99 Prozent. So stellen Unternehmen sicher, dass ihre Daten geschützt sind – unabhängig vom Speicherort. Anzeichen für einen Cyberangriff auf File-Ebene sind zum Beispiel Änderungen an der Datei-Entropie, Erweiterungen, Header-Manipulation oder partielle Verschlüsselung. Indem der Storage solche Kompromittierungen identifiziert und stoppt, können Unternehmen im Ernstfall schneller reagieren.
Eine zügige Wiederherstellung ist entscheidend
Um den Schaden eines Cyberangriffs möglichst gering zu halten, sind kurze Wiederherstellungszeiten wichtig. In der Praxis ist dies für Unternehmen sogar eine noch größere Herausforderung, als den Angriff zu stoppen, hat die NetApp-Studie herausgefunden. Eines der Probleme besteht häufig darin, dass auch Backups kompromittiert wurden. Moderne Flash-Systeme lösen diese Herausforderung, indem sie manipulationssichere Backup-Funktionen bieten. Sie erstellen automatisiert unveränderbare Snapshots und speichern diese in einem geschützten SnapLock-Volume. Dort bleiben die Daten für den angegebenen Zeitraum selbst bei einem Ransomware-Angriff sicher, da sie weder bearbeitet noch gelöscht werden können. Diesen Schutz gibt es auch für applikationsspezifische Backups und virtuelle Maschinen.
Wie wichtig eine fundierte Backup-Strategie für die Cyberresilienz ist, zeigt der Sophos-Report: Durchschnittlich betrugen die Wiederherstellungskosten nach einem Ransomware-Angriff auf Unternehmen, die Backups nutzten, nur knapp die Hälfte der Kosten im Vergleich zu Unternehmen, die Lösegeld zahlten. Die meisten (40 Prozent) konnten ihre Daten dank Backups in bis zu einer Woche wiederherstellen, fünf Prozent sogar in weniger als einem Tag. Unternehmen, die die NetApp Ransomware Recovery-Guarantee und den NetApp Ransomware Recovery Assurance Service in Anspruch nehmen, können sich besonders sicher fühlen: Denn damit gewährleistet NetApp die Wiederherstellung von Snapshot-Daten nach einem Ransomware-Angriff. Sollte dies nicht gelingen, erhält das Unternehmen eine Entschädigung.
Fazit
Solange Ransomware ein florierendes Geschäftsmodell für Cyberkriminelle bleibt, wird sich die Bedrohungslage nicht entspannen. Unternehmen müssen davon ausgehen, dass die Angreifer ihre Methoden immer weiterentwickeln. Umso wichtiger wird es, eine sichere, einheitliche Storage-Infrastruktur bereitzustellen und mit integrierten, KI-gestützten Abwehrfunktionen auszustatten. Das erhöht den Ransomware-Schutz, entlastet Security-Teams und steigert die Cyberresilienz.