Herkömmliche Backups sind vor Cyberangriffen nicht ausreichend geschützt. Unternehmen machen sich dadurch erpressbar. Obwohl es so einfach wäre, die Daten für einen Angreifer unsichtbar zu machen. Der Berliner IT-Spezialist BvL.com hat eine Lösung entwickelt, damit Dateien und Verzeichnisse im Backup nicht mehr manipuliert oder verschlüsselt werden. Wir sprachen mit den IT-Brüdern aus Berlin.
Interview von Stephen Paul
AIZ-Magazin: Dass die deutsche Wirtschaft inzwischen die Bedrohung erkannt hat, daran gibt es keinen Zweifel. Dennoch wird viel zu wenig unternommen. Woran liegt das?
Ralph von Loesch: Viele glauben einfach, dass sie genügend abgesichert sind, und sehen daher für sich keinen Handlungsbedarf. Statt einmal kritisch intern zu hinterfragen, ob dem wirklich so ist, lassen viele es so, wie es ist. Sie können noch so viele Firewalls und Antivirenprogramme bei sich installieren, wenn ein Mitarbeiter nur eine falsche E-Mail öffnet, ist das Problem da. Und wenn es dann nicht sofort bemerkt wird, was bei vielen prominenten Beispielen in der Vergangenheit der Fall war, ist es eine Katastrophe für das Unternehmen. Deswegen ist ein Backup die wichtigste Schutzmaßnahme, mit der im Falle eines Vorfalls die Verfügbarkeit der Daten und eine schnelle Wiederaufnahme des Betriebs gewährleistet sind. So weit, so gut. Nur muss man wissen, dass die meisten Backups heute vor solchen Vorfällen eben gerade nicht schützen. Die Daten in einem klassischen Backup (Fileserver, Bandlaufwerke, Festplatten, NAS-Systeme, Cloudspeicher wie OneDrive usw.) sind definitiv nicht ausreichend geschützt. Dafür benötigt man spezielle Backuptechnologie. Auch Cloudspeicher sind nicht sicher, weil die Daten nur woanders liegen, aber die Technologie dieselbe ist wie bei lokalen Systemen.
Aber warum schützt ein klassisches Backup nicht?
Das ist schnell erklärt: Ihre Daten werden bei einem Angriff im führenden System heimlich und meistens unerkannt manipuliert, verändert, zerstört oder verschlüsselt. Der Angreifer tobt sich unbemerkt tagelang oder gar wochenlang aus. Ihr heutiges klassisches Backupsystem reagiert und aktualisiert logischerweise die Daten im Backup ganz brav, egal ob Ihre Aktualisierung automatisch oder händisch erfolgt, weil die Daten sich im führenden System geändert haben. Genau im Augenblick der Aktualisierung werden zerstörte oder verschlüsselte Dateien aufgrund der Aktualisierungsvorgabe ins Backup übertragen und dabei werden intakte Dateien im Backup mit korrupten Daten überschrieben. Mit anderen Worten: Bei einem klassischen Backup ist die Aktualisierung selbst das Problem. Auch wenn man mehrere Kopien seiner Backups hat, reicht es meistens nicht aus. Irgendwann ist auch das letzte Backup einmal wieder an der Reihe, aktualisiert zu werden, und wenn man bis dahin nicht mitbekommen hat, dass der Angriff läuft, wird auch dieses Backup zerstört. Angreifer verstecken sich manchmal mehrere Monate, ohne bemerkt zu werden.
Was ist denn der entscheidende Unterschied zu anderen Systemen?
Die meisten Anbieter haben reine Softwarelösungen. Der Kunde muss diese auf einer Hardware installieren und dafür auch das Betriebssystem zur Verfügung stellen. Der Kunde oder sein IT-Admin macht das und hat somit auch den Zugang zum Betriebssystem, auf dem die Backupdaten gespeichert werden. Und hier ist der Unterschied. Der IT-Admin wird jetzt gehackt, der Angreifer hat direkten Zugang zum Betriebssystem und somit auch zu allen Daten im führenden System und in allen Backups. Bei uns kommt ein Komplettsystem zum Einsatz. Hardware, Software und Betriebssystem werden von uns gestellt und sind geschützt, damit gibt es keinen Zugang zum Betriebssystem und somit auch keinen Zugriff auf die Daten im Backup. Die Daten im Backup bleiben unerreichbar für den Angreifer.
Dirk von Loesch: Die heutigen Backups in den Unternehmen sind für die Wiederherstellung nach Hardwareausfällen gemacht, man kann ganz schnell alles aus diesen Backups wiederherstellen. Kein Mensch hat damals bei der Entwicklung dieser Backups an Cyberangriffe gedacht, denn da gab es diese ja noch nicht. Jedes Unternehmen muss sich heute möglichst schnell neben einem klassischen Backup als Schutz vor Hardwareausfällen auch ein Backup zum Schutz vor Datenmanipulation zulegen. Anders geht es nicht.
Ralph von Loesch: Der Unterschied zwischen einem klassischen Backup und unserem S-Backup ist entscheidend, um sich vor Datenmanipulation zu schützen. Eine Aktualisierung der Daten im BvLArchivio S-Backup führt nicht dazu, dass eine vorhandene Datei überschrieben wird. Ist eine Änderung an einer Datei vorgenommen worden, wird automatisch eine neue Version dieser Datei ins BvLArchivio S-Backup übertragen. Eine vorhandene Datei im Backup kann nicht mehr überschrieben werden. Der wichtigste Schritt, um sich vor Angriffen und deren Folgen durch Schadsoftware (zum Beispiel Ransomware, Viren, Trojanern) zu schützen, sind also automatische Backups in einen unveränderlichen und geschützten Speicher. Damit ist ein Unternehmen in der Lage, seine Daten nach erfolgreichen Angriffen, Beschädigungen oder Löschungen sicher und schnell wiederherzustellen. Mit dem BvLArchivio S-Backup Server hat man einen unveränderlichen und geschützten Speicher für Backupdaten zum Schutz vor Schadsoftware, mutwilligem Löschen oder versehentlichem Fehlverhalten. Und wir sprechen hier von Daten, die das Know-how einer Firma spiegeln: nicht die Betriebssysteme, sondern das Wissen und die Daten eines Unternehmens. BvLArchivio ist ein komplett installierter S-Backup Server, der nur noch an Strom und Netzwerk angeschlossen werden muss.
Warum bemerken Unternehmen es erst sehr viel später, dass da ein Angriff läuft?
Weil zwar alle ihre Kontostände täglich im Blick haben, ihre offenen Rechnungen überwachen usw., aber keiner überwacht die Dateien. Sie müssen sich nur diese eine Frage stellen: „Wissen Sie, wie viele Dateien sich bei Ihnen täglich ändern?“ Wenn Sie es nicht wissen, werden Sie es auch nicht merken, wenn große Mengen an Dateien verändert wurden, z. B. durch einen Angriff mit Ransomware. Eine einfache tägliche Information per E-Mail warnt unsere Kunden frühzeitig. Wurden gestern 8 Prozent oder 80 Prozent aller Dateien geändert? Unser Überwachungsprogramm BvLArchivio Hashcontrol ist eine Alarmanlage für Dateien. Legen Sie fest, welche Ihrer wichtigen Verzeichnisse und Dateien täglich auf Dateiveränderungen überwacht werden sollen. Jede Änderung wird nicht anhand der Dateiattribute, sondern anhand des kryptografischen Hashwerts ermittelt. Hashfunktionen bilden eine Art digitalen Fingerabdruck. Sie erstellen einen eindeutigen Prüfwert. Damit lässt sich die Integrität digitaler Daten sicherstellen. Sobald ein Angreifer im großen Stil Veränderungen an Dateien vornimmt, die Sie nicht täglich im Blick haben, werden Sie aufgrund der prozentualen Veränderung informiert. Und zusätzlich können Sie unabhängig vom Prozentwert informiert werden. Stellen Sie dem Angreifer zusätzlich Fallen. In jedem Verzeichnis können Sie Kontrolldateien speichern; werden diese geändert oder gelöscht, werden Sie auch benachrichtigt. Ihre Kontrolldateien können jedes beliebige Format haben, sodass diese sich nicht von den anderen Dateien in einem Verzeichnis unterscheiden. Egal ob Datenbanken, PDFs, Bilder, Word, Excel – jede Art von Dateien und Verzeichnissen bzw. alles, was wichtig ist, kann überwacht werden.
Kennen Sie persönlich Firmen, die erpresst wurden?
Leider zu viele. Es trifft inzwischen jede Größe. Denn die Cyberkriminellen fischen mit dem Gießkannenprinzip. Hängt dann einer an der Angel, wird bei den Auskunfteien und öffentlichen Registern nachgeschaut, wie groß das Unternehmen ist, und danach richtet sich dann die Lösegeldforderung. Auch Kleinvieh macht Mist. Ich hatte neulich einen Psychologen für Privatpatienten, der dachte, dass er sicherheitshalber alle Daten nur auf seinem persönlichen Laptop speichert, persönliche Daten von Patienten. Irgendwann war dann mal eine E-Mail wohl die falsche. Alles war verschlüsselt auf seinem Laptop. Er sollte nur 15.000 Euro bezahlen für die Entschlüsselung. Er hat es nicht gemacht. Seine Daten waren verloren. Selbst nach Lösegeldzahlungen können nur in unter 10 Prozent der Fälle die Daten wiederhergestellt werden, so eine offizielle Statistik. Man muss immer daran denken, es sind Kriminelle.
Wo steht der S-Backup-Server?
Dirk von Loesch: In den vier Wänden des Kunden. Der BvLArchivio S-Backup Server ist bereits komplett installiert und muss nur noch an Strom und Netzwerk angeschlossen werden. Sie allein bestimmen, was mit Ihren Daten passiert und wer Zugriff hat. Keine Cloud kann diese Datenhoheit bieten, die ein eigenes S-Backup von BvLArchivio in den eigenen vier Wänden hat.
Zum Schluss bitte drei Argumente, warum ein Kunde sich für BvLArchivio entscheiden sollte.
Ralph von Loesch: Es gibt viele Argumente, aber gerne jetzt nur drei:
Erstens dank einer speziell von uns entwickelten neuen Backup-Technologie haben Verschlüsselungstrojaner, Schadsoftware und Ransomware keine Möglichkeit mehr, Daten im BvLArchivio S-Backup zu manipulieren oder anzugreifen.
Zweitens: Wir überwachen die Dateien und Verzeichnisse nicht anhand der Dateiattribute, sondern anhand des kryptografischen Hashwerts. Hashwerte bilden eine Art digitalen Fingerabdruck, womit keine Veränderung und kein Angriff unbemerkt bleibt. Damit lässt sich die Integrität digitaler Daten in jedem Fall sicherstellen.
Drittens ist es kostengünstig und lässt sich ohne großen IT-Aufwand in nur zehn Minuten vollständig einrichten.
Foto: Depositphotos7maxkabakov