Ein potenzieller Neukunde berichtete mir kürzlich von seinem Ransomware-Vorfall. Und davon, dass die Backups mitverschlüsselt wurden. Das hat mich nachdenklich gemacht, denn leider höre ich solche und ähnliche Geschichten immer öfters. Das Backup ist das Fallnetz in jeder IT. Es muss 4 Qualitätskriterien erfüllen, wenn es das Schlimmste vermeiden können soll.
Wie schon im letzten Artikel «Wenn ein CEO hofft statt handelt» geht es mir nicht darum, mit dem Finger auf jemanden zu zeigen. Ich will Bewusstsein schaffen, indem ich solche bewegende Gespräche hier an die Öffentlichkeit trage. Wir alle sollen daraus lernen und unsere Unternehmen dadurch resilienter machen.
In diesem konkreten Fall war es so, dass sich in einer Herstellersoftware eine Schwachstelle befand. Der Patch dazu war verfügbar. Doch weil das betroffene Unternehmen nur in quartalsweisen Intervallen die Patches und Updates einspielt, stand das Einfallstor offen.
Eine kritische Lücke, die monatelang offensteht? Ein absolutes Security No-Go!
So kam es, dass der Verschlüsselungstrojaner zuschlug und die komplette IT-Infrastruktur unbrauchbar machte. Das ganze Unternehmen stand auf einen Schlag still.
Als sie die Backups zur Wiederherstellung nutzen wollten, folgte der zweite Schlag: sie waren mitverschlüsselt.
Je mehr ich nachfragte, desto klarer wurde mir, was schiefgelaufen ist: Sie haben das Backup selbst gemacht und auf einem NAS im gleichen Netzwerk abgespeichert gehabt. Keine Offline-Kopie, keine Trennung der Zugriffe, keine zweite Sicherheitsdomäne.
Es reicht eben nicht, einfach eine Kopie der Daten zu machen und irgendwo zu speichern.
Der Punkt ist der: Für Cyberkriminelle haben die Datensicherungen der Opfer höchste Priorität. Gelingt es ihnen, die Backups unbrauchbar zu machen, steigt der Leidensdruck für die Opferorganisation massiv und damit auch die Chance, an das gewünschte Lösegeld heranzukommen.
Der Schock war gross, aber der Schaden war noch viel grösser.
Es war nur vermeintlich eine kostengünstige Variante. Auf dem Prüfstand eines echten Cybervorfalles wird aus «günstig» sehr schnell «sehr teuer».
Die Lösegeldforderung ist nicht der einzige kostspielige Effekt eines Cyberangriffes. Das Bundesamt für Cybersicherheit BACS rät ganz grundsätzlich von der Zahlung von Lösegeldern ab. Das hat zwei Gründe:
Noch im ersten Satz auf der Themenhauptseite zu Ransomware-Angriffen erwähnt das BACS das erhebliche Schadenpotenzial von Ransomware-Angriffen, wenn zusätzlich die Datensicherung davon betroffen ist:
Nein, die wirklich teuren Effekte sind die Disruption der Geschäftstätigkeit und der Reputationsschaden:
Leider kann ein solcher Schlag noch schlimmere Folgen haben und ein Unternehmen in den Konkurs treiben.
Darum ist es wichtig, dass Datensicherungen professionell und gemäss der folgenden 4 Qualitätskriterien erstellt werden:
Backups werden unveränderbar gespeichert, damit Angreifer sie nicht nachträglich verschlüsseln oder löschen können.
Sonst kann Ransomware Backups mitverschlüsseln oder löschen.
Backup-Umgebung und reguläre Umgebung sind getrennt, damit ein kompromittiertes System nicht auch die Backups mitreisst.
Sonst reicht ein gehackter Admin-Account und die Produktiv-Umgebung und die Backups sind weg.
3 Kopien, 2 Medien, 1 extern, 1 offline bzw. immutable und 0 Fehler nach konsequenter Verifikation.
Sonst hast du im Ernstfall keine saubere und verfügbare Kopie.
Restores werden regelmässig getestet, damit Recovery-Zeit und Datenintegrität im Ernstfall verlässlich sind.
Sonst merkst du den Backup-Fehler erst, wenn es zu spät ist.
Was es zum «immutable Backup» zu wissen gilt, liest du hier.
Ein professioneller Backup-Service kostet mehr als ein NAS im Serverraum. Er sichert Existenzen. Er schützt Arbeitsplätze. Und er verhindert, dass ein Unternehmen im schlimmsten Moment alleine dasteht.
Was viele erst nach einem Vorfall verstehen: Du bezahlst nicht fürs Backup. Du bezahlst für Sicherheit, Verfügbarkeit und das ruhige Schlafen.
Wenn du unsicher bist, ob dein Backup einen Angriff wirklich überlebt: Ich schaue es mir gerne unverbindlich mit dir an. Und wenn du willst, bauen wir es danach professionell in unserer Cloud auf. Manchmal ist eine einzige Erkenntnis der Unterschied zwischen Weiterarbeiten oder Stillstehen.