Disaster Recovery: Ransomware-Angriffe schnell überwinden

Disaster Recovery: Ransomware-Angriffe schnell überwinden

Könnte man eine Metropole auf dem Reißbrett planen, würde man wohl kaum eine Gegend mit Erdbeben, Tsunamis, Vulkanen und Taifunen wählen, die küstennah, aber teils unter dem Meeresspiegel liegt. Eben dies ist der Fall beim Großraum Tokio, der bevölkerungsreichsten Metropolregion der Welt. Entsprechend großen Wert legt man in Japan auf Notfallprävention und Disaster Recovery, also die Wiederherstellung des Normalbetriebs nach einem Ernstfall. Angesichts steigender Anforderungen an das Risikomanagement (Stichwort: NIS2) müssen auch hiesige Unternehmen mehr in Disaster Recovery investieren – Backups allein genügen nicht, um z.B. nach einem Ransomware-Angriff schnell wieder arbeitsfähig zu sein.

Japans Hochhäuser sind erdbebensicher gebaut, gegen Tsunamis gibt es Wellenbrecher, ein gigantisches Tunnelsystem soll Tokio vor Hochwasser schützen. Melden Sensoren ein drohendes starkes Beben, informiert ein Frühwarnsystem die Bevölkerung per App und Medien, die Shinkanzen-Schnellzüge stoppen dann automatisch. Kinder lernen das Verhalten bei Erdbeben schon in der Schule und üben es regelmäßig. Denn in Japan weiß man: Notfallvorsorge und -management erfordern nicht nur technische Hilfsmittel, sondern auch eingespielte Prozesse.

Hierzulande müssen Unternehmen weder Tsunamis noch Vulkanausbrüche fürchten. Doch die Flut im Ahrtal und eine Angriffswelle mit Erpressersoftware (Ransomware) zeigten: Katastrophen können Betriebe ebenso zum Stillstand bringen wie Cyberkriminalität. Für die IT – heute das Herzstück vieler Unternehmen – bildet Ransomware laut dem aktuellen Lagebericht des BSI (Bundesamt für Sicherheit in der Informationstechnik) die Hauptbedrohung – zumal Cyberkriminelle heute sehr professionell agieren: Angreifergruppen beziehen Erpressersoftware gegen Gebühr von „Ransomware as a Service“-Anbietern und kaufen im Darknet Zugangsdaten, die entsprechende „Dienstleister“ per Phishing oder Hacking erbeutet haben. Die Frage lautet somit nicht, ob ein Unternehmen Ziel eines Cyberangriffs wird, sondern nur wann.

NIS2 legt Messlatte höher

So ist es nur konsequent, dass die EU die Vorschriften für das Risikomanagement verschärft: Mit der kommenden NIS2-Gesetzgebung dehnt sie die Anforderungen, die für Betreiber kritischer Infrastrukturen (KRITIS) längst gelten, auf weitere Branchen und Unternehmen aus, deren Stillstand der Bevölkerung schaden könnte. Volkswirtschaftlich relevante Unternehmen müssen künftig ein solides Risikomanagement für ihre IT (und gegebenenfalls ihre industrielle Betriebstechnik, kurz OT) vorweisen – und Geschäftsführer haften, falls sie dies vernachlässigen.

NIS2 wird zahlreiche Unternehmen und Organisationen zwingen, ihr Risikomanagement zu hinterfragen: Von welchen Naturkatastrophen könnten wir betroffen sein? Wie resilient sind wir aufgestellt, wie schnell können wir z.B. nach einer Flut unsere Kernaufgabe wieder erfüllen? Wie schnell bei einem großflächigen Stromausfall, Sabotage oder einem Cyberangriff? Dass diese Fragen brisant sind, veranschaulicht folgende Zahl: Laut Statista-Umfrage fallen die IT-Systeme eines Unternehmens bei einem Ransomware-Angriff im Durchschnitt 24 Tage aus. Mehr als drei Wochen Stillstand – manch ein Unternehmen übersteht so etwas nicht.

Viele unterschätzen dabei zwei Aspekte: Erstens können Betriebe ihre Produktivsysteme nach einem Cyberangriff oft tage- oder wochenlang nicht nutzen, weil diese Gegenstand forensischer Ermittlungen sind. Zweitens sind selbst aktuelle Backups kein Garant für das schnelle Wiederanlaufen des Betriebs, wenn man die Prozesse nicht getestet hat und somit nicht weiß, ob das Rückspielen der Datenbestände überhaupt funktioniert.

Backup vs. Disaster Recovery

Die Faustregel Nr. 1 der Informationssicherheit lautet zurecht: Backups, Backups, Backups! Laut der bekannten „3-2-1“-Regel sollte ein Unternehmen drei Backups auf zwei verschiedenen Medientypen und eines davon in sicherer Distanz zum Firmengelände („offsite“) aufbewahren. Die Medienvielfalt beugt dem Risiko vor, dass ein Medientyp korrumpiert ist, das Offsite-Backup hilft z.B. bei Brand oder Flut. Im Hinblick auf Ransomware sollte ein Backup offline vorliegen, da die Kriminellen alle Online-Backups mitverschlüsseln; alternativ lässt sich ein Backup mit geeigneter Software oder Hardware (Stichwort: WORM Tape) vor nachträglicher Veränderung schützen. Doch Backups allein bilden noch keine Disaster-Recovery-Strategie, sie legen lediglich den Grundstein dafür.

Im Rahmen einer DR-Strategie legt ein Unternehmen Ziele, Prioritäten und Abläufe für Notfälle fest. Kritisch mit Blick auf die IT ist es dabei, möglichst aktuelle Daten möglichst schnell aus Backups wiederherstellen zu können. Hier ist stets von den Kernparametern RPO und RTO die Rede: Das Wiederherstellungsziel (Recovery Point Objective, RPO) definiert die maximale Datenmenge, die bei einem Systemausfall verloren gehen darf, ausgedrückt als Zeitfenster, also z.B. „ein Datenverlust von maximal 30 Minuten“. Die Wiederherstellungszeit (Recovery Time Objective, RTO) wiederum benennt die angestrebte maximale Dauer vom Auftreten eines Fehlers bis zur Wiederherstellung der Daten.

Doch neben diesen Backup-Standardparametern müssen DR-Verantwortliche noch zwei weitere Kenngrößen im Blick haben: MTD (Maximum Tolerable Downtime) beschreibt die Zeitspanne, die ein Unternehmen ohne die betroffene Geschäftsfunktion überleben kann. Dieser Wert variiert je nach Geschäftsbereich und Applikation. Nicht zu unterschätzen ist die Relevanz des vierten Werts: Als Work Recovery Time (WRT) bezeichnet man die maximal tolerierbare Zeitspanne, die ein DR-Team nach der Wiederherstellung der Daten hat, um die Systeme wieder betriebsbereit zu machen. RTO und WRT dürfen somit in Summe die maximal tolerierbare Downtime (MTD) nicht überschreiten, sonst droht dem Unternehmen das Aus, so geschehen z.B. Ende 2022 einem Fahrradhersteller nach einem Ransomware-Angriff.

Hürden der Disaster Recovery

Die Herausforderung: DR erfordert das Abarbeiten einer Fülle oft manueller Einzelschritte, noch dazu in der korrekten Reihenfolge. Insbesondere bei mangelnder Übung erweist sich manches als unerwartet zeitraubend – und plötzlich wird das WRT-Zeitfenster beklemmend klein. Zudem sind manuelle Schritte stets fehleranfällig. Einen Ausweg bieten hier– und damit kommen wir zum letzten der vielen IT-typischen Kürzel – Lösungen für die kontinuierliche Datensicherung (Continuous Data Protection, CDP).

Eine DR-Lösung mit CDP-Funktionalität sollte dabei unbedingt folgenden Kniff beherrschen: Sie sollte das Disaster-Recovery-Handbuch der Unternehmens-IT in Software abbilden können. Denn viele Unternehmen verschwenden im Ernstfall wertvolle Tage oder Wochen damit, zunächst zu ermitteln, wer denn nun für was zuständig ist . Die Automation des DR-Handbuchs beschleunigt hier die Wiederherstellung, vermeidet Fehler und stellt sicher, dass RTO und WRT dem roten Bereich fernbleiben. Zugleich liegt das Wiederherstellungsziel (RPO) bei kontinuierlicher Sicherung im Sekundenbereich. Die Systeme lassen sich mittels CDP also nicht nur schneller und verlässlicher rekonstruieren, sondern zugleich verringern sich die Datenverluste – eine Win-Win-Win-Situation .

Auswahl einer DR-Lösung

Bei der Auswahl einer Disaster-Recovery-Lösung sollten Verantwortliche auf mehrere Punkte achten: Die Lösung sollte die DR-Abläufe weitestgehend automatisieren und orchestrieren, damit RTO und WRT möglichst klein ausfallen. Auch einfach durchführbare DR-Testläufe sind ein Muss.
Die Software sollte CDP nicht auf Speicher-, sondern auf VM-Ebene (Virtual Machine) bieten und auch mit VM-Gruppen umgehen können. Denn Unternehmensapplikationen laufen heute oft in mehreren VMs, die Abhängigkeiten aufweisen – und letztlich geht es um das Wiederanlaufen der Applikationen, nicht allein der Datenspeicher. Die DR-Lösung sollte speicher- und hypervisorunabhängige Replikation liefern, also VMware vSphere wie auch Microsoft Hyper-V unterstützen, ohne Snapshots zu erfordern.

Ihre Architektur sollte hoch skalieren, um selbst Tausende VMs reibungslos wiederherstellen zu können. Zudem sollte die Software sich im Produktions- oder Ausweich-Rechenzentrum des Anwenderunternehmens ebenso betreiben lassen wie in einer Cloud-Umgebung. Gegenüber einem Ausweich-RZ bietet die Cloud den Vorteil, dass Kosten im Wesentlichen erst entstehen, wenn das Unternehmen die Cloud-Ressourcen tatsächlich nutzt. Wichtig dabei: „Cloud“ heißt nicht automatisch „US-Hyperscaler“ – Cloud-basierte Ausweichressourcen können auch beim lokalen Managed Service Provider oder Colocation-Anbieter des Vertrauens gehostet sein.

Auf dieser Basis sollte die DR-Lösung Applikationen oder auch ganze Standorte in einer Failover-Umgebung in wenigen Minuten wiederherstellen können, wie dies bei Zerto von Hewlett Packard Enterprise der Fall ist. So kann das Unternehmen nach einer Naturkatastrophe oder einem Ransomware-Angriff den Regelbetrieb nach kurzer Unterbrechung fortführen – ohne nennenswerte Einbußen befürchten zu müssen.

Gute Nachrichten trotz Ernstfall

Auf japanischen Smartphones findet sich auch eine App, um dem Familien- und Freundeskreis bei Katastrophen auf Knopfdruck mitzuteilen, dass es einem gut geht. Denn im Ernstfall ist Kommunikation enorm wichtig. Das gilt auch bei Flut oder Ransomware-Angriff. Wie japanische Familien aufatmen, wenn sie Angehörige in Sicherheit wissen, so werden auch Kunden, Partner und Börsenanalysten erleichtert sein zu lesen: „Nach einem Ransomware-Angriff haben wir unseren Betrieb schnell wieder aufgenommen – dank eingespielter Disaster-Recovery-Prozesse, getesteter Failover-Umgebung und Continuous Data Protection.“

Weitere Informationen zu Zerto finden Sie hier . Warum die Schwarz Gruppe – die sich derzeit anschickt, als deutscher Cloud-Provider Azure und AWS Paroli zu bieten – für Disaster Recovery auf Zerto setzt, beschreibt dieser Anwenderbericht. Übrigens erkennt Zerto auch verdächtige Verschlüsselungsprozesse, wie Ransomware sie anstößt – eine sehr nützliche Ergänzung zu CDP. Dies werden wir in Kürze in einem Folgebeitrag näher erläutern.