Mit Bandsicherung gegen Ransomware? Was Experten und Nutzer sagen

By Michele Hope

Für die Sicherung von Daten gibt es heute eine Fülle von Möglichkeiten. Können da Sicherungsbänder als letzte Verteidigungslinie gegen Ransomware überhaupt noch mitspielen? Experten und Nutzer leisten einen Beitrag zur Debatte um die Bandsicherung.

Wenn sich Unternehmen und Institutionen die Frage stellen, was sie wohl tun würden, wenn Ransomware-Hacker eines Tages ihre System lahmlegen würden, brauchen sie nicht lange nach guten Ratschlägen zu suchen. Das Internet ist voll davon. Viele dieser guten Ratschläge kommen natürlich von Anbietern von Backup-Software oder Cloud-Backup-Diensten, die nicht müde werden zu betonen wie wichtig im Angesicht solcher Angriffe eine digitale Backup-Lösung sei.

Bei Möglichkeiten zur Datensicherung herrscht also kein Mangel. Sollten sich Unternehmen und Institutionen also durch Bandsicherung schützen? Es mag für manche überraschend klingen, aber viele Experten und Nutzer bringen nach wie vor überzeugende Argumente für die Datensicherung und -wiederherstellung mit Hilfe von Sicherungsbändern vor.

Vorsicht ist besser als Nachsicht

Im typischen Fall nimmt das Unheil seinen Lauf, wenn ein argloser Nutzer in einer Spearphishing-Mail einen hinterlistigen Link anklickt. Sofort beginnt die Ransomware, die Dateien in dem infizierten Computer zu verschlüsseln, und infiziert unter Umständen auch gleich die anderen, am gleichen Netzwerk angeschlossenen Rechner. Die Kaskade kann sich bis zu den mit dem Netzwerk verbundenen NAS-Servern, Webservern, Netzlaufwerken, angeschlossenen Backup-Dateien und sogar Dateisynchronisierungs- und Austauschdiensten und sonstigen gemeinsam genutzten Cloud-Speichern fortsetzen. Auch vor Smartphones macht Ransomware keinen Halt.

Wie Dan Jan, Produktmanagement-Chef bei Iron Mountain, versichert, besteht die beste Abwehrstrategie gegen Ransomware darin, es gar nicht erst zu Attacken kommen zu lassen. Denn hat ein Angriff erst begonnen, ist es für das Unternehmen schwer, seiner Daten wieder habhaft zu werden.

Ransomware: Was kommt danach?

Sobald die IT-Abteilung eines Unternehmens hört, dass eines oder mehrere ihrer Systeme Opfer eines Ransomware-Angriffs geworden sind, lautet der erste, bewährte Ratschlag: Alle infizierten Systeme sofort vom Netzwerk trennen!

Aber dann kommt die wirklich knifflige Frage: Was macht man mit den verschlüsselten Computern? Das Unternehmen oder die Institution kann entweder das Lösegeld an die Cyberkriminellen zahlen und hoffen, dass die ihr Versprechen einlösen werden, die Systeme wieder zu entschlüsseln. Oder man löscht die infizierten Systeme vollständig und spielt die Daten aus dem Backup wieder auf.

Leider sind beide Lösungen nicht ganz einfach umzusetzen. Die Behörden raten üblicherweise vom Zahlen des Lösegeldes ab. Manche Unternehmen mussten feststellen, dass die erwartete Entschlüsselung der Systeme nie zustande kam. Lösungsweg zwei setzt voraus, dass die Daten überhaupt in einer brauchbaren Form mit bekanntem Datum gesichert worden sind.

Denn in vielen Fällen sind die Backup-Medien mit dem Netzwerk verbunden und können ihrerseits mit der Ransomware infiziert und somit verschlüsselt und unbrauchbar werden. Wie eine Umfrage des Sicherheitssoftware-Anbieters Barkly unter von Ransomware-Attacken betroffenen Unternehmen zeigte, waren nur 42 % dieser Unternehmen in der Lage, ihre Systeme mit Hilfe von Daten-Backups wiederherzustellen. Der Hauptgrund: Auch die Sicherungslaufwerke waren verschlüsselt worden.

Das rettende Backup: Alle Stecker ziehen!

Ransomware wird uns noch eine Weile beschäftigen. Einen zuverlässigen Schutz davor wird es wohl nie geben, und auch Backup-Laufwerke sind davor nicht sicher, wenn sie am Netzwerk angeschlossen sind. Was soll man also tun? Die Antwort führt uns zurück zum Grundgedanken der Datensicherung. Und genau da rückt auch die Bandsicherung wieder ins Bild.

Dan Jan verweist auf die gute alte 3-2-1-Regel für Daten-Backups: "Man sollte immer drei komplette Kopien haben: zwei lokale auf unterschiedlichen Medien (meistens Festplatte und Band), und eine dritte Kopie an einem externen Standort völlig ohne Anbindung an das Netzwerk," meint er. "Auch heute, wo alles mit allem vernetzt ist, muss man immer eine Kopie seiner Daten haben, die völlig von allen Netzen getrennt ist." In der Regel stimmt ihm da jeder zu, merkt er an, aber viele Unternehmen handhaben die Datensicherung in dieser Hinsicht nicht konsequent genug.

Der Wert der isolierten Kopie

Dan Jan nennt die abgekoppelte Kopie "Offline-Kopie", eben weil sie völlig von allen Netzwerken getrennt ist. Ein Memorandum des Branchenverbandes für Bandspeichertechnik Tape Storage Council erläutert: "Bei der Bandspeicherung besteht eine physische Trennung zwischen der Speicherbandkassette und den Computersystemen. Andere Laufwerke sind immer online und dadurch verwundbar." Das Memorandum weiter: "Die Bandspeichertechnologie verhindert, dass Cyberattacken auf die gesicherten Daten überspringen können, denn eine Bandkassette, die aus dem System genommen wurde, ist elektronisch unzugänglich."

Erfahrene Nutzer reden mit

An einem Backup-Software-Forum teilnehmende Administratoren scheinen sich beim Thema Ransomware über die Wichtigkeit der Bandsicherung einig zu sein. "Ich empfehle immer, als letzte Verteidigungslinie Speicherbänder zu nutzen," meint etwa ein Poster. "Ich habe persönlich viele Fälle miterlebt, in denen Datensicherungsbänder Unternehmen vor dem Desaster gerettet haben ... und in vielen anderen Fällen musste ich mit ansehen, wie Backup-Strategien mit normalen Festplatten jämmerlich scheiterten und wichtige Daten unwiederbringlich verloren gingen."

Ein anderer Poster stimmt zu und konkretisiert: "Offsite-Kopien auf Speicherbändern. Nur das garantiert, dass Ransomware die Sicherungsdaten nicht in Mitleidenschaft zieht."

Gute Vorausplanung lohnt sich

Dan Jan betont, dass vom Netzwerk getrennte Sicherungskopien am besten auf Offsite-Speicherbändern in einem Sicherheitsarchiv, auf optischen Speichermedien oder sogar in Cloud-Speichern abgelegt werden sollten, sofern die Letzteren physisch vom primären Rechenzentrum getrennt sind. Für welches Offsite-Medium sich ein Unternehmen auch immer entscheide, es sei von enormer Wichtigkeit, Notfallübungen durchzuführen und die Wiederherstellungsmaßnahmen nach einem Ransomware-Angriff mit Hilfe eines Dienstleistungspartners genau vorauszuplanen. "Eine gute Idee ist es auch, ein Audit durchzuführen. So kann man feststellen, wie lange man im Falle eines Falles braucht, um die Systeme wiederherzustellen," so der Experte. "Dabei kann man sich auch gleich vergewissern, dass man den richtigen Partner gewählt hat, der einem im entscheidenden Augenblick kompetent zur Seite steht."