Fünf Schritte, um die Gefahr eines Datenverlusts zu verringern

Von einer technischen Pre-Sales-Perspektive aus spricht man im Bereich Data Protection täglich mit existierenden oder potentiellen Kunden über Server- und Daten-Backup und Recovery. Während solcher Unterhaltungen kommt man schnell auf Datenverluste oder Serverausfälle zu sprechen. Über die Jahre häufen sich dann die Geschichten über CryptoLocker oder Ransomware-Viren, die zum Verlust von Daten führen.

Dieser Blog erklärt, was ein CryptoLocker oder ein Ransomware-Virus ist und wie man sie sich einfängt. Mit den fünf Schritten, die ich danach erläutere, können Sie Ihren Datenverlust und die Gefahr solcher Angriffe verringern.

CryptoLocker oder Ransomware sind Computerprogramme, die nach Dokumenten (im Prinzip jede Art von Dateien) suchen, auf die Sie Zugriff haben, und diese verschlüsseln. Damit diese Dateien wieder verwendbar werden, muss entweder ein „Lösegeld“ (ransom) bezahlt werden und man erhält einen Key, der die Blockierung aufhebt oder man löscht die Dateien und stellt sie aus einem Backup wieder her.

So funktioniert das konkret:

Paul arbeitet in der Finanzabteilung eines Unternehmens in Berlin und hat einen Standard Windows-PC. Bei der morgendlichen Anmeldung werden automatisch als Teil des Login-Skripts gemeinsam genutzte Laufwerke verbunden. In diesem Fall gibt es ein Home-Laufwerk (h:), auf dem er die eigenen Dateien ablegt, ein Group-Laufwerk (g:), das vom gesamten Unternehmen genutzt wird und ein Finanz-Laufwerk (f:), das er sich mit anderen Leuten seiner Abteilung teilt.

Vor einigen Tagen hat Paul etwas über das Internet bestellt und nun wartet er auf die Lieferung des Pakets. Er bekommt eine Mail von DHL mit dem Hinweis, dass das Paket versendet wurde, und einem Link, mit dem man die Sendung verfolgen kann. Paul klickt auf den Link, lädt den Anhang runter und startet ihn, weil er denkt, es wäre eine normale PDF-Datei.

Leider war diese E-Mail nicht von DHL und der Link enthielt ein Crypto-Locker-Programm, das jetzt auf seinem Computer läuft und auf die verbundenen Laufwerke zugreift, um die Dateien, auf die Paul Zugriff hat, zu verschlüsseln. Damit kann niemand mehr auf diese Dateien zugreifen.

Wie gesagt, ist der einzige Weg aus diesem Dilemma, den Key zu kaufen oder alle Dateien zu löschen und aus einem Backup wiederherzustellen.

Dieses Szenario ist durchaus üblich. Man hört sogar von Fällen, in denen Mitarbeiter entlassen wurden, weil sie auf solche Links klicken, auch wenn ich das für ein wenig überzogen halte, da so etwas schnell passieren kann.

Mit diesen fünf Schritten minimieren Sie nun die Gefahr und den Einfluss, den ein solcher Virus hat.

  1. Emails, bevor sie im Posteingang landen, aufhalten.
    Installieren Sie eine Lösung zur E-Mail-Security. Damit werden alle Mails, die an Ihr Unternehmen gesendet werden, gescannt. Diese Lösungen werden mit neuen Signaturen „aktualisiert“, sobald neue Viren entdeckt werden. Enthält eine E-Mail dann einen Virus, wird sie entweder automatisch gelöscht oder in den Junk-Ordner verschoben.
  2. Administrator- oder generelle Privilegien einschränken.
    Hat der Mitarbeiter, der aus Versehen einen CryptoLocker installiert hat, keinen Zugriff auf gewisse Dateien, können diese auch nicht blockiert werden. Stellen Sie also sicher, dass Ihre Nutzer nur Zugriff zu Dateien haben, die sie auch brauchen. Produkte wie Enterprise Reporter untersuchen Ihr Dateiensystem und geben Ihnen hilfreiche Einblicke dazu, wer auf was zugreifen kann.
  3. Kontinuerlich die Berechtigungen neu festlegen
    In einem Unternehmen ändert sich immer irgendetwas: manche verlassen das Unternehmen, neue Leute fangen an, andere wechseln auf eine neue Position. Vielleicht hat jemand übergangsweise mehr Zugriffe bekommen, ohne dass sie wieder reduziert wurden. Mit der Zeit ändern sich die Zugriffsberechtigungen, daher müssen sie überwacht werden. Mit einem Produkt wie dem Change Auditor können Sie überwachen, dass Ihre Nutzer nur die Zugriffe haben, die Sie auch wirklich brauchen.
  4. Verdächtiges Verhalten überwachen und Endgeräte verwalten
    Bringen auch die größten Bemühungen nichts und Ransomware gelangt ins System, hindern Sie sie daran, sich weiter unbemerkt zu verbreiten. Richten Sie Alarme ein und überwachen Sie die Dateiaktivitäten. Ändert sich eine große Anzahl an Dateien, ist das ein frühes Anzeichen, dass Sie unter Umständen ein Problem haben.
  5. Backup, Backup, Backup!
    Letzter, aber wichtigster Schritt. Stellen Sie sicher, dass Sie ein gutes Backup haben und vor allem die Daten auch wiederherstellen können. Testen Sie diesen Prozess regelmäßig – ein Backup ohne funktionierenden Restore macht keinen Sinn. Sollte sich dann Ransomware bei Ihnen breit machen und Sie bezahlen am Ende doch das Lösegeld, um den Schlüssel zu erhalten, können Sie nicht sicher sein, dass die Dateien in der Zukunft erneut verschlüsselt werden und das Spiel von vorne beginnt. Die meisten Kunden verlassen sich auf Ihr Backup für Wiederherstellungen. Rapid Recovery ist eine Backup und Recovery Lösung für Unternehmen, die in kleinen inkrementellen Segmenten im Verlauf des Tages sichert. Dadurch verlieren Sie im Falle einer Wiederherstellung keine Dateien, die sich im Laufe des Tages während der Arbeit verändert haben. Außerdem können Sie damit auch größere Server schnell wiederherstellen.

Das sind unsere fünf Schritte – generell sind das gute IT-Standard-Praktiken. Ich hoffe, dass Ihnen das ein wenig weiter hilft.

Anonymous