Neustart aus der Cloud: Nach einem Ransomware-Angriff schnell wieder arbeitsfähig werden.

Sie dachten, es würde ein ganz normaler Tag im Büro werden, doch dann kommt alles anders: Eine Ransomware-Attacke trifft Ihr Unternehmen – alle Daten sind verschlüsselt, Ihre geschäftskritischen Systeme lahmgelegt. Auch die Kommunikation per E-Mail oder Telefon ist nicht mehr möglich. Doch auch ein Feuer in Ihrem Rechenzentrum oder ein Hochwasser können IT-Infrastrukturen mit einem Schlag auslöschen und Ihr Business abrupt unterbrechen. Die Wahrscheinlichkeit, dass ein solches Szenario auch Ihr Unternehmen trifft, ist hoch. Denn weltweit findet alle 11 Sekunden ein Ransomware-Angriff auf ein Unternehmen statt, wie eine Untersuchung von Cybersecurity Ventures herausgefunden hat. Die Täter werden dabei immer raffinierter, benutzen automatisierte Tools und haben den deutschen Mittelstand längst ins Visier genommen.

Plötzlich keine Hardware mehr.

„Alles halb so wild“, wird jetzt der eine oder andere sagen und denkt an seine Backups, die an vermeintlich sicheren Orten lagern. Was viele Unternehmen jedoch nicht wissen: Infolge eines Ransomware-Angriffs kann die eigene Hardware für einige Zeit unbrauchbar sein, wenn infizierte Rechenzentren beispielsweise heruntergefahren werden müssen, bis die polizeilichen Ermittlungen abgeschlossen sind. In seltenen Fällen wird die Hardware sogar von der Polizei beschlagnahmt und mitgenommen. Unternehmen haben dann zwar ihre Backups, jedoch keine Systeme mehr, um diese aufzuspielen. Bekommen sie ihre Hardware dann Tage oder Wochen später wieder zurück, können sie nicht sicher sein, dass diese frei von Malware ist. Denn die Polizei sichert Spuren und verfolgt die Täter, sie fungiert jedoch nicht als IT-Dienstleister.

Wenn das Backup zur Falle wird.

Ein noch größeres Problem als unbrauchbar gewordene Hardware sind jedoch infizierte Backups. Cyber-Kriminelle lauern meist wochen- oder monatelang in den von ihnen infiltrierten Systemen, bevor sie zuschlagen. Sie verhalten sich zunächst unauffällig, versuchen, weitere Systeme in den Griff sowie Admin-Rechte in die Finger zu bekommen, und schalten Abwehrmaßnahmen aus. Während dieser Zeit laufen die regelmäßigen Backups in den Unternehmen weiter und kopieren Verschlüsselungstrojaner unwissentlich mit. Wird ein solches Backup dann nach einem Ransomware-Angriff auf die neue Unternehmenshardware aufgespielt, kommt es zu einer erneuten Verschlüsselung oder zu einer Datenzerstörung – und das Problem beginnt von vorn. Aus diesem Grund müssen Unternehmen nach einem Ransomware-Angriff üblicherweise neue Sandbox-Umgebungen aufbauen, um ihre Systeme und Backups darin auf Viren zu überprüfen. Das erzeugt für die IT-Mitarbeitenden zusätzlichen Stress – insbesondere, wenn sich dann tatsächlich herausstellt, dass etwa Backups durch Malware unbrauchbar geworden sind und unter Hochdruck nach Lösungen gesucht werden muss.

Infrastruktur neu hochfahren – aus der Cloud!

Wie aber können Unternehmen nach einem Ransomware-Angriff schnell wieder arbeitsfähig werden? Unser Partner VMware hat dafür einen Service namens VMware Cloud Disaster Recovery (VCDR) geschaffen. Über eine SaaS-Oberfläche können User ihre kritische IT-Infrastruktur und ihre Daten in der Cloud sichern und automatisierte Replikationsintervalle festlegen. Die Kopien in der Cloud sind „air gapped“, was bedeutet, dass niemand sie löschen oder verändern kann – nicht einmal VMware-Mitarbeitende –, bis ein vom Kunden definiertes Ablaufdatum erreicht ist, an dem die Kopie ersetzt wird. Ferner ist es möglich, mehrere Sicherheitskopien, die zu verschiedenen Zeitpunkten erstellt wurden, über viele Monate aufzubewahren. Nach einer Ransomware-Attacke können Unternehmen auf diese Sicherungen zugreifen und ihren Betrieb leicht wieder hochfahren. Die Mitarbeitenden arbeiten dann innerhalb der Cloud-Umgebung wie gewohnt weiter – im Büro oder aus dem Homeoffice. Auf diese Weise sind Unternehmen nach einem Ransomware-Angriff binnen kürzester Zeit wieder geschäftsfähig. In den meisten Fällen beträgt die maximale Ausfallzeit dank VCDR nur noch ein oder zwei Arbeitstage.

Aus einer Hand und mit integriertem Sicherheitscheck.

Ein großer Vorteil für zahlreiche VMware-Kunden ist, dass bei VCDR kein Drittanbieter involviert ist. VMware liefert alles aus einer Hand, wodurch bestehende VMware-Workloads nicht erst für die Umgebung eines Cloud-Anbieters konvertiert werden müssen, sondern direkt gespeichert werden können. Durch ein integriertes Ransomware-Recovery wird zudem sichergestellt, dass für die Wiederherstellung im Ernstfall eine nicht infizierte Speicherung vorliegt. Die VMware-Lösung erfasst nämlich automatisch die Change Rates und Entropieraten der verschiedenen Sicherungskopien und vergleicht sie miteinander. Zeigen sich an einer Sicherungskopie Auffälligkeiten, wird diese vor Beginn eines Wiederherstellungsprozesses erst in einer isolierten Umgebung gestartet und durch das Anti-Malware-Programm VMware Carbon Black analysiert. So kann schnell festgestellt werden, ob eine Sicherungskopie nutzbar oder infiziert ist und daher eine ältere Version zur Wiederherstellung verwendet werden sollte.

Es lohnt sich, jetzt zu handeln.

Als Ihr kompetenter Partner zu allen IT-Themen berät Sie Bechtle gern umfassend zu VCDR und setzt die Lösung für Sie auf. Es lohnt sich für Unternehmen, eine Cloud Disaster Recovery in ihr Sicherheitskonzept zu integrieren. Denn die Bedrohungslage durch Ransomware nimmt Tag für Tag zu, worauf mittlerweile auch die Versicherungsgesellschaften reagieren. Viele versichern Unternehmen nur noch dann gegen die Folgen eines Ransomware-Angriffs, wenn bestimmte Sicherheitsstandards nachgewiesen werden können. Denkt man dann noch an den wirtschaftlichen Schaden, den ein Verlust der Hardware sowie tage- oder wochenlange Downtimes in der Produktion oder im ERP-System bedeuten, kommt man relativ schnell zu dem Ergebnis, dass Cloud Disaster Recovery eine wirklich lohnende Investition ist.