25.01.2023

Daten nach einem Ransomware-Vorfall sicher wiederherstellen

Ransomware-Attacken können personenbezogene Daten gegen den Willen der Opfer verschlüsseln. Ohne Backup sind die Daten nicht mehr verfügbar, der Datenschutz ist verletzt. Damit die schnelle Wiederherstellung funktioniert, reicht eine einfache Datensicherung nicht. Lesen Sie, was DSB dazu wissen müssen.

Daten nach einem Ransomware-Vorfall sicher wiederherstellen

Darum ist Ransomware so gefährlich

Cyber-Erpressung bleibt eine der größten Bedrohungen, so das Bundesamt für Sicherheit in der Informationstechnik (BSI) in seinem Lagebericht zur IT-Sicherheit 2022.

Insbesondere das sogenannte Big Game Hunting, also die Erpressung umsatzstarker Unternehmen mit verschlüsselten und gestohlenen Daten, hat weiter zugenommen. Sowohl die Lösegeld- und Schweigegeld-Zahlungen, die IT-Sicherheitsdienstleister berichten, als auch die Anzahl der Opfer, deren Daten die Angreifer etwa wegen ausbleibender Zahlungen auf Leak-Seiten veröffentlicht haben, sind weiter gestiegen, berichtet das BSI.

Dass nicht nur Unternehmen Ziel von Ransomware-Angriffen sind, zeigt eindrücklich der folgenschwere Angriff auf eine Landkreisverwaltung in Sachsen-Anhalt: Erstmals wurde wegen eines Cyber-Angriffs der Katastrophenfall ausgerufen. Bürgernahe Dienstleistungen waren über 207 Tage lang nicht oder nur eingeschränkt verfügbar.

Deshalb müssen Datenschutzbeauftragte aktiv werden

Obwohl die Gefahr durch Ransomware schon lange bekannt ist, sind viele Unternehmen immer noch unzureichend davor geschützt. Das zeigt sich bereits daran, dass Unternehmen auf Lösegeldforderungen eingehen, obwohl alle Sicherheitsbehörden eindringlich davon abraten.

Zudem sind von Ransomware betroffene Unternehmen häufig tagelang in ihrer Datenverarbeitung eingeschränkt, mitunter sogar für Wochen und Monate.

DS Praxis Newsletter

Ein Muss: Offline-Backups

Das beweist, dass Verantwortliche die wichtigste Empfehlung des BSI im Ransomware-Schutz nicht zuverlässig umsetzen. Denn ein Backup ist die wichtigste Schutzmaßnahme, um bei einem Ransomware-Vorfall die Verfügbarkeit der Daten zu gewährleisten.

Raten Sie als Datenschutzbeauftragte/-r (DSB) dazu, die Daten in einem Offline-Backup zu sichern. Diese Backups werden nach dem Backupvorgang von den anderen Systemen des Netzwerks getrennt und sind daher vor Angriffen und Verschlüsselung geschützt (Air Gapping).

Ein weiteres Muss: Den Ernstfall testen

Zu einem Backup gehört immer, den Wiederanlauf und die Rücksicherung der Daten zu planen und vorzubereiten. Empfehlen Sie, diese Planungen einem Praxistest zu unterziehen, um Komplikationen und Herausforderungen in der Rücksicherung vor einem Ernstfall zu erkennen.

Das sind die Risiken einfacher Backups

Weisen Sie darauf hin, dass Unternehmen, die glauben, ihr Backup sei ausreichend, trotz Backup eine Datenpanne erleiden können, wenn es zu einem Ransomware-Vorfall kommt:

  • Ungeschützte Backups sind inzwischen das erste Ziel von Angreifern, die sie mit Ransomware verschlüsseln.
  • Unvollständige und nicht aktuelle Backups machen eine komplette Wiederherstellung unmöglich.
  • Backups, die nicht geprüft sind, können selbst bereits Schadsoftware enthalten.
  • Ohne Übung kann die Wiederherstellung misslingen und sogar weitere Daten gefährden.

So gelingt die Wiederherstellung nach einem Ransomware-Vorfall

Unternehmen haben Schwierigkeiten damit, sich auf Ransomware-Angriffe und andere Cybervorfälle vorzubereiten und entsprechend auf diese zu reagieren.

Basierend auf der ersten Auflage des „State of Data Security“-Report der Forschungseinheit für Cybersicherheit Rubrik Zero Labs befürchten 92 Prozent der IT- und Sicherheitsverantwortlichen weltweit, die Geschäftskontinuität während eines Angriffs nicht aufrechterhalten zu können. Fast ein Drittel der befragten Vorstandsmitglieder vertraut kaum bis gar nicht darauf, geschäftskritische Daten und Anwendungen nach einem Cyberangriff wiederherstellen zu können.

Deshalb brauchen Organisationen eine einfache Möglichkeit, ihre Wiederherstellungspläne schnell zu testen und die Bedrohungslage zu analysieren – ohne dabei die Wiederherstellung unternehmenskritischer Prozesse zu verzögern.

Drängen Sie als DSB darauf, geeignete Lösungen für Backup und Recovery anzuschaffen. Sie müssen es ermöglichen, auf eine einfache Art Notfallpläne zu testen, zu validieren und zu dokumentieren. Gleichzeitig sollten sie Leistungsmetriken erfassen und sicherstellen, dass sie Recovery-SLAs (interne Vorgaben zur Wiederherstellung) erfüllen. Anwender können mit der passenden Lösung nicht nur testen, ob ihr Notfallplan funktioniert. Sie haben auch Abläufe, Zeitpläne und Fehlerquellen im Blick.

Wichtig sind darüber hinaus forensische Analysen während Backup und Wiederherstellung: IT- und Sicherheitsverantwortliche können in isolierten Umgebungen infizierte Backup-Elemente forensisch untersuchen, während sie gleichzeitig die Geschäftskontinuität über die geprüften Backups schnell wiederherstellen können.

Autor*in: Oliver Schonschek (Diplom-Physiker, IT-Analyst und Fachjournalist)