Wiederherstellung nach einem Ransomware-Angriff: Der umfassende Leitfaden

Was ich aus meiner Erfahrung bei Notrufeingängen im Falle eines Ransomware-Angriffs gelernt habe und welche Fehler die meisten Teams begehen, noch bevor sie überhaupt eine Wiederherstellung vornehmen müssen.
Senior Product Marketing Manager
Image
Learn how to recover from ransomware without paying attackers. Discover the backup strategies, recovery stages, and incident response practices that reduce downtime and protect critical data.

Der Anruf am Sonntagmorgen

An einem Sonntag Anfang 2021 rief der COO eines Beratungsunternehmens im Südosten der USA den HYCU-Support an. Zwei Stunden zuvor hatte die Ransomware „RYUK“ in ihrer gesamten Infrastruktur zugeschlagen. Jeder Arbeitsplatzrechner. Jeder Server. Die Sicherungsdateien auf ihren Netzlaufwerken. Die replizierte Kopie an ihrem 100 Meilen entfernten DR-Standort, da die Produktionsdaten einwandfrei repliziert worden waren, während die Malware die Dateien an der Quelle verschlüsselte. 

Es waren 50 Server, 10 Millionen Dateien und 30 Terabyte an medizinischen Daten, die den HIPAA-Vorschriften unterliegen, ausgefallen. Die Angreifer forderten 92 Bitcoins, was zu diesem Zeitpunkt etwa einer Million Dollar entsprach. Der COO hatte bis Mittwoch Zeit.

Was sie rettete, war eine Cache-Datei auf der virtuellen HYCU-Appliance, die die Ransomware nicht erreicht hatte. Unser Team arbeitete bis Sonntagabend daran. Am Montagmorgen war jede virtuelle Maschine wieder einsatzbereit. Der COO sagte uns anschließend: „Es war ein Wunder, dass wir alle unsere Systeme und Daten zurückbekommen haben.“ 

Ich denke oft an diesen Anruf zurück, denn fast alles, was für die Wiederherstellung entscheidend war, wurde bereits Wochen vor dem Angriff festgelegt. Das ist der Aspekt, den die meisten Teams vernachlässigen.

Warum ich den Leuten rate, nicht zu zahlen

Eine Zahlung scheint der schnellste Weg zurück zur Normalität zu sein. Meiner Erfahrung nach ist dies jedoch selten der Fall, und die Daten belegen dies.

Von den Unternehmen, die die erste Lösegeldforderung bezahlen, erhalten 60 % wieder ersten Zugriff auf ihre Daten. 32 % müssen weitere Lösegeldzahlungen leisten, bevor sie ihre Daten wiederherstellen können. 8 % können ihre Daten überhaupt nicht wiederherstellen. Selbst wenn die Entschlüsselungsschlüssel eintreffen, dauert die Wiederherstellung der Systeme in der Regel Wochen.

Vier weitere Kostenfaktoren machen eine Zahlung ungünstiger, als es auf den ersten Blick erscheint. Viele Cyberversicherungen schließen den Versicherungsschutz aus, wenn Lösegeld gezahlt wird, und die Prämien in den USA sind im Durchschnitt um etwa 35 % gestiegen, sodass eine Zahlung den Versicherungsschutz genau dann ungültig machen kann, wenn Sie ihn am dringendsten benötigen. Das US-Finanzministerium hat davor gewarnt, dass Zahlungen an sanktionierte Einrichtungen unabhängig von der Absicht Strafmaßnahmen der OFAC auslösen können. Unternehmen, die zahlen, werden im kriminellen Ökosystem markiert und erneut ins Visier genommen – oft von derselben Gruppe. Und jede Zahlung subventioniert die nächste Kampagne.

Weltweit konnten 84,5 % der Unternehmen, die Ransomware-Angriffe erlitten haben, ihre Daten ohne Zahlung wiederherstellen. Dieser Weg existiert. Er muss lediglich vor dem Angriff geschaffen werden.

Die drei Dinge, die jedes Backup benötigt, um Ransomware zu überstehen

Unser Entwicklerteam hat die Maßnahmen, die sich in der Praxis bewährt haben, in drei Grundsätze zusammengefasst. Ein Backup, das auch nur eines dieser Kriterien nicht erfüllt, kann ebenso wie alle anderen Daten verschlüsselt werden. 

Unveränderlicher Speicher

Backups müssen auf einem Speicherort abgelegt werden, auf dem Daten bis zum Ablauf der Aufbewahrungsfrist weder geändert noch gelöscht werden können. Nicht einmal von einem Administrator. Das bedeutet WORM auf S3-kompatiblem Objektspeicher mit aktivierter Object Lock-Funktion. WORM-Speicher ist mathematisch nicht in der Lage, einer Löschanforderung vor Ablauf der Aufbewahrungsfrist nachzukommen. Ransomware, die an Administrator-Zugangsdaten gelangt, kann unveränderliche Backups dennoch nicht antasten.

Isolierte Backups

Die Backup-Umgebung muss durch einen Air Gap von der Produktionsumgebung getrennt sein. Getrennt durch Netzwerksegmentierung, ohne gemeinsam genutzte Anmeldedaten, ohne gemeinsam genutzte Dienste und ohne gemeinsame Vertrauensbeziehungen. Sollte die Produktionsumgebung kompromittiert werden, muss das Backup unerreichbar bleiben. Unsere virtuelle Appliance wird standardmäßig gehärtet ausgeliefert – mit einem sicherheitsgehärteten Linux-Basisimage, ohne Root-Zugriff und mit deaktiviertem SSH. 

Eingeschränkter Zugriff

Selbst autorisierte Superadministratoren sollten Backups nicht manuell löschen können. Eine in AD und LDAP integrierte rollenbasierte Zugriffskontrolle, Mandantenfähigkeit und eine strikte Aufgabentrennung schützen Backups sowohl vor Malware als auch vor Insider-Bedrohungen. Wir deaktivieren das manuelle Löschen von Backups bewusst. Dies war ein Kompromiss, über den wir intern diskutiert haben, und wir haben uns dafür entschieden, die Wiederherstellung der Flexibilität vorzuziehen.

Was die Untersuchung von HYCU gemeinsam mit ActualTech tatsächlich zeigt

Gemeinsam mit ActualTech Media haben wir IT-Führungskräfte in Unternehmen zum Stand der Ransomware-Vorbereitung befragt. Die Zahlen erzählen eine Geschichte, die die meisten Vorstände noch nicht verinnerlicht haben.

65 % haben kein volles Vertrauen in ihre veralteten Backup-Lösungen. Unter den Ransomware-Opfern erlitten 52 % messbare Datenverluste und 63 % Betriebsstörungen. Nur 41 % speichern ihre Backups in einem Air-Gap. Nur 47 % testen diese regelmäßig. Nur 35 % glauben, dass ihre aktuellen Tools für ihre Umgebung ausreichend sind.

Unterdessen beteiligen sich mittlerweile 77 % der Unternehmensvorstände aktiv an Diskussionen zur Ransomware-Prävention. Das Interesse des Vorstands ist vorhanden. Die architektonischen Abhilfemaßnahmen fehlen jedoch größtenteils.

„Angesichts der mit Ransomware-Angriffen verbundenen Kosten in Millionenhöhe – ganz zu schweigen von den negativen Auswirkungen auf die Marke und die Mitarbeitermoral – können es sich Unternehmen nicht leisten, keinen Plan parat zu haben.“ — Simon Taylor, Gründer und CEO, HYCU

Das 5-Stufen-Konzept, das tatsächlich funktioniert

Die Wiederherstellung ist kein einmaliger Vorgang. Es handelt sich um eine Abfolge von Schritten, und je schneller jede Phase abläuft, desto geringer sind Ihre Verluste. 

Phase 1: Erkennen. Identifizieren Sie den laufenden Angriff. Achten Sie auf ungewöhnliche Muster bei Dateiänderungen, unerwartete Verschlüsselungsvorgänge und unregelmäßiges Backup-Verhalten. Cybersicherheits-Tools weisen auf einige dieser Anzeichen hin. Die Erkennung von Backup-Anomalien erfasst den Rest – oft sogar früher.

Phase 2: Eindämmung. Isolieren Sie betroffene Systeme unverzüglich. Trennen Sie kompromittierte Endgeräte vom Netzwerk. Stoppen Sie die Replikation zu DR-Standorten. Wenn die Replikation noch läuft, kopieren Sie verschlüsselte Daten über Ihre intakten Backups.

Phase 3: Bewertung. Ermitteln Sie den Umfang. Welche Systeme sind verschlüsselt? Welche Backups sind noch intakt? Was ist der letzte bekannte intakte Wiederherstellungspunkt? Hier verändert die Visualisierung der Datenlandschaft die Wiederherstellungszeit. Was Sie nicht sehen können, können Sie auch nicht wiederherstellen.

Phase 4: Wiederherstellung. Führen Sie die Wiederherstellung aus dem neuesten unbeschädigten Backup durch. Anwendung für Anwendung, in der Reihenfolge der Abhängigkeiten. Überprüfen Sie jede Wiederherstellung, bevor Sie zur nächsten übergehen.

Phase 5: Absicherung. Schließen Sie den Angriffsvektor. Patchen Sie die ausgenutzten Schwachstellen. Überprüfen Sie die Zugriffsrichtlinien. Führen Sie eine Tabletop-Übung zu den gerade erfolgten Ereignissen durch. Der nützlichste Plan zur Reaktion auf Vorfälle ist derjenige, der nach dem tatsächlichen Vorfall überarbeitet wurde.

Warum die meisten Pläne zur Reaktion auf Vorfälle scheitern

Eine Ponemon-Studie ergab, dass 77 % der Unternehmen über keinen formellen Plan zur Reaktion auf Vorfälle verfügen. Von denjenigen, die über einen solchen Plan verfügen, bezeichnen nur 32 % ihn als ausgereift. 57 % geben an, dass die Zeit bis zur Behebung von Cybervorfällen immer länger wird. 65 % stellen fest, dass die Schwere der Angriffe zunimmt.

Fünf Komponenten unterscheiden Pläne, die sich in der Praxis bewähren, von solchen, die auf dem Papier gut aussehen. Namentlich benannte Rollen und Entscheidungsbefugnisse – nicht nach Titel. Ein Kommunikationsbaum mit vorformulierten Vorlagen für die Benachrichtigung von Mitarbeitern, Kunden und Aufsichtsbehörden. Eine Wiederherstellungssequenz, bei der Tier-1-Systeme an erster Stelle stehen und Abhängigkeiten abgebildet sind. Ein Protokoll zur Überprüfung, ob der gewählte Wiederherstellungspunkt fehlerfrei ist, bevor die Wiederherstellung beginnt. Und mindestens eine vierteljährliche Tabletop-Übung. Pläne, die Sie nicht üben, sind reine Dokumentation, kein Schutz.

Wie lange die Wiederherstellung tatsächlich dauert

Drei Faktoren bestimmen die Wiederherstellungszeit: der Stand der Datensicherung, das Ausmaß der Auswirkungen und die Vorbereitung durch Übungen. Hier sind meine Beobachtungen aus dokumentierten Angriffen.

Szenario Typische Wiederherstellungszeit
Unveränderliche Backups, isoliert, getestetes IRP Stunden bis zu einem Tag
Backups vorhanden, kein Air-Gap, kein IRP Ein bis vier Wochen
Verschlüsselte Backups, ausschließlich auf Band Vier bis zwölf Wochen, oft nur teilweise
Keine sauberen Backups Oft nicht wiederherstellbar, Neuinstallation erforderlich

Colonial Pipeline zahlte ein Lösegeld in Höhe von 5 Millionen Dollar und benötigte dennoch Tage, um wieder online zu gehen. Die Zahlung beschleunigt die Wiederherstellung nicht. Die Architektur hingegen schon.

So messen Sie Ihre eigene Bereitschaft

Dafür haben wir den R-Score entwickelt. Es handelt sich um eine kostenlose Bewertung, die unter getrscore.org verfügbar ist und die Bereitschaft zur Wiederherstellung nach einem Ransomware-Angriff nach einem Modell bewertet, das einer Bonitätsbewertung ähnelt. Es bewertet die Backup-Architektur, den Wiederherstellungsprozess, die Testhäufigkeit und die organisatorische Bereitschaft und gibt Ihnen anschließend konkrete Empfehlungen zur Verbesserung.

Die meisten Unternehmen erzielen eine niedrigere Punktzahl als erwartet. Genau diese Lücke zwischen der wahrgenommenen und der tatsächlichen Bereitschaft macht Angriffe am Sonntagmorgen so verheerend. 

Häufige Fragen, die mir zur Wiederherstellung nach Ransomware-Angriffen gestellt werden

Sollte ich das Lösegeld zahlen, wenn ich keine andere Wahl habe?

Nein. Die Daten zeigen: 60 % erhalten den Zugriff zurück, 32 % zahlen erneut, 8 % erholen sich nie wieder. Eine Zahlung setzt Sie zudem OFAC-Sanktionen aus, kann Ihre Cyberversicherung ungültig machen, macht Sie zur Zielscheibe für wiederholte Angriffe und finanziert die nächste Kampagne. Wenn Sie keine andere Wahl haben, liegt der Fehler in Ihrer Backup-Architektur, und eine Zahlung wird das Problem nicht beheben.

Wie schnell kann die Wiederherstellung mit der richtigen Konfiguration erfolgen? 

Mit unveränderlichen Backups, einer „Air-Gapped“-Wiederherstellungsinfrastruktur und einem getesteten Plan zur Reaktion auf Vorfälle dauert die Wiederherstellung in der Regel einige Stunden bis zu einem Tag. In dem Fall am Sonntagmorgen, mit dem ich eingeleitet habe, wurden über Nacht 30 TB auf 50 Servern aus einer einzigen unverschlüsselten Cache-Datei wiederhergestellt. 

Was unterscheidet ein Backup von einem ransomware-sicheren Backup?

Ein Standard-Backup kann verschlüsselt werden, wenn es von der Produktionsumgebung aus erreichbar ist. Ein ransomware-sicheres Backup ist unveränderlich, isoliert und vor Zugriff geschützt. Der Unterschied besteht darin, ob Ihr Backup den Angriff übersteht, der Ihre Produktionsdaten getroffen hat. 

Deckt eine Cyberversicherung Lösegeldzahlungen ab?

Manchmal, doch viele Policen schließen die Deckung aus, wenn Lösegeld gezahlt wird, und die Prämien in den USA sind stark gestiegen. Einige Policen erfordern eine Vorabgenehmigung. Lesen Sie Ihre Police sorgfältig durch, bevor ein Vorfall eintritt – nicht erst währenddessen. 

Beginnen Sie mit der Bewertung

Wenn Sie nach der Lektüre dieses Artikels nichts anderes tun, führen Sie bitte die R-Score-Bewertung unter getrscore.org durch. Sie ist kostenlos, dauert etwa 15 Minuten und zeigt Ihnen auf, wo tatsächlich Lücken bestehen. Von da an sind die Abhilfemaßnahmen konkret.