Locky & Co • Schutz für die IT in Unternehmen • Teil II

Der zweite Teil beschäftigt sich damit, wie eine angemessene Datensicherung aussehen muss, damit im Schadensfall die Daten wiederhergestellt werden können.

Locky und ähnliche Krypto-Trojaner bedrohen die IT in Unternehmen. Kommt es zu einem Befall, dann werden alle für den Trojaner erreichbaren Dokumente verschlüsselt. Die Schadprogramme nutzen keine neuen Sicherheitslücken, sondern verbreiten sich über bekannte Schwachstellen. Die schlechte Nachricht ist, dass es für PCs mit Internetzugang keinen hundertprozentigen Schutz gibt. Die gute Nachricht dagegen ist, dass mit überschaubarem Aufwand die Gefahr auf ein Minimum reduziert werden kann.

Da der Befall mit einem Krypto-Trojaner nie ganz ausgeschlossen werden kann, liegt das erste Augenmerk auf der Frage, wie man nach einem Befall wieder an die Daten kommt.

Teil 2: Die Datensicherung als Rettungsanker bei Krypto-Trojanern

Eine regelmäßige und vollständige Datensicherung ist ein Muss für jedes Unternehmen. Schließlich sind die Daten nicht nur durch Krypto-Trojaner bedroht, sondern auch durch Festplattenausfälle, Überspannungsschäden und vieles mehr.

Datensicherung, eine Übersicht

Umfang: Alle Computer mit geschäftskritischen Daten werden gesichert.

Werden etwa Briefe, Tabellen etc. lokal auf dem Arbeitsplatz abgelegt, dann wird auch dieser gesichert
Oder
Die Daten werden auf einen Server verschoben
Schattenkopien (s.u.) auf allen Server-Partitionen sind aktiviert.
Kein regulärer Benutzer hat die Rechte eines Domänen-Administrators, Server-Administrators oder Sicherungs-Administrators.
Es erfolgt eine tägliche Sicherung aller Server-Daten auf ein externes Medium.

Sind die Server virtualisiert, dann wird zum Zweck der Datensicherung die gesamte virtuelle Maschine gesichert (etwa über Veeam Backup).

Wenn auf ein externes Laufwerk gesichert wird (USB Platte, NAS etc.), dann darf kein Benutzer schreibenden Zugriff auf diese Sicherung haben.
Kann man auf die Datensicherung von den Servern aus zugreifen (etwa über einen Laufwerksbuchstaben), dann werden diese Medien regelmäßig gewechselt oder es wird eine regelmäßige Kopie der Sicherung angefertigt.
Diese Sicherungskopie ist im normalen Betrieb nicht an den Server angeschlossen.

Der Wechsel bzw. die Erstellung einer weiteren Kopie erfolgt spätestens nach einer Woche.
Das Protokoll der Sicherung wird per Mail an den Systembetreuer gesendet und dort täglich geprüft.
Das Ausbleiben des täglichen Protokolls wird bemerkt.
Die Rücksicherung wird regelmäßig (mindestens 1 x pro Jahr) getestet.

Datensicherung – Details

Schattenkopien
Schattenkopien sind eine besonders einfache Möglichkeit, um eine laufende, kleine Datensicherung sicherzustellen. Jeder Windows Server bietet diese Funktion. Dabei werden zu einem festgelegten Zeitpunkt Kopien von allen Daten des Servers angelegt und können über den Datei-Explorer wieder hergestellt werden. Der Platzbedarf ist im Vergleich zu den Originaldaten minimal. Ideal ist eine Konfiguration, bei der zweimal täglich Schattenkopien erstellt werden (z.B. 12:00 Uhr und 18:00 Uhr).
Wichtig: Schattenkopien sind dennoch kein Ersatz für eine echte Datensicherung. Schattenkopien sind sehr platzsparend, benötigen aber dennoch Plattenplatz. Im Idealfall sind die Server-Platten nur bis zu 60% mit Daten belegt. Krypto-Trojaner versuchen in der Regel Schattenkopien zu löschen. Das gelingt ihnen nicht, wenn kein Benutzer beim normalen Arbeiten administrative Rechte für den Server hat (Server-Administrator, Domänen-Administrator oder Sicherungs-Administrator)

Schattenkopien

Schattenkopien sind eine besonders einfache Möglichkeit, um eine laufende, kleine Datensicherung sicherzustellen. Jeder Windows Server bietet diese Funktion. Dabei werden zu einem festgelegten Zeitpunkt Kopien von allen Daten des Servers angelegt und können über den Datei-Explorer wieder hergestellt werden. Der Platzbedarf ist im Vergleich zu den Originaldaten minimal. Ideal ist eine Konfiguration, bei der zweimal täglich Schattenkopien erstellt werden (z.B. 12:00 Uhr und 18:00 Uhr).

Wichtig:

Schattenkopien sind dennoch kein Ersatz für eine echte Datensicherung.
Schattenkopien sind sehr platzsparend, benötigen aber dennoch Plattenplatz. Im Idealfall sind die Server-Platten nur bis zu 60% mit Daten belegt.

Krypto-Trojaner versuchen in der Regel Schattenkopien zu löschen. Das gelingt ihnen nicht, wenn kein Benutzer beim normalen Arbeiten administrative Rechte für den Server hat (Server-Administrator, Domänen-Administrator oder Sicherungs-Administrator)

Tägliche Sicherung des Servers auf externe Medien
Eine Datensicherung sichert täglich alle Daten der Server auf externe Medien. Am wirtschaftlichsten sind dabei Backup-Server, NAS Geräte oder USB-Festplatten. Am sichersten sind Bänder und Ähnliches.
Wichtig: Es wird täglich eine vollständige Sicherung des Datenbestandes durchgeführt; diese darf inkrementell sein Idealerweise wird eine Sicherung gewählt, mit der eine sogenannte „Bare Metal Recovery“ möglich ist. Das bedeutet, dass das Server-Betriebssystem mitsamt seiner Daten wiederherstellbar ist (die Rücksicherung von Domänen Controllern, Exchange Servern etc. ist sehr aufwändig, wenn nur die Daten gesichert wurden).

Tägliche Sicherung des Servers auf externe Medien

Eine Datensicherung sichert täglich alle Daten der Server auf externe Medien. Am wirtschaftlichsten sind dabei Backup-Server, NAS Geräte oder USB-Festplatten. Am sichersten sind Bänder und Ähnliches.

Wichtig:

Es wird täglich eine vollständige Sicherung des Datenbestandes durchgeführt; diese darf inkrementell sein
Idealerweise wird eine Sicherung gewählt, mit der eine sogenannte „Bare Metal Recovery“ möglich ist. Das bedeutet, dass das Server-Betriebssystem mitsamt seiner Daten wiederherstellbar ist (die Rücksicherung von Domänen Controllern, Exchange Servern etc. ist sehr aufwändig, wenn nur die Daten gesichert wurden).

Wenn Server virtualisiert sind
Sind die Server virtualisiert (Hyper-V, Vmware etc.), dann wird täglich die gesamte virtuelle Maschine gesichert. Produkte wie Veeam Backup ermöglichen inkrementelle Sicherungen von gesamten Systemen. Die Wiederherstellung solcher Sicherungen ist denkbar einfach.

Wenn Server virtualisiert sind

Sind die Server virtualisiert (Hyper-V, Vmware etc.), dann wird täglich die gesamte virtuelle Maschine gesichert.

Produkte wie Veeam Backup ermöglichen inkrementelle Sicherungen von gesamten Systemen. Die Wiederherstellung solcher Sicherungen ist denkbar einfach.

Sicherung auf Backup-Server, NAS Geräte und USB-Festplatten
In Unternehmen kommen zur Sicherung verstärkt Backup-Server und NAS Geräte, aber auch USB-Festplatten zum Einsatz. Sie bieten ein hohes Datenvolumen und kurze Sicherungszeiten zu niedrigen Kosten. Da sie aber in der Regel dauerhaft mit den Servern verbunden sind, besteht die Gefahr, dass diese Sicherung ebenfalls durch einen Krypto-Trojaner verschlüsselt wird.
Wichtig: Kein regulärer Benutzer hat von seinem PC aus Schreibzugriff auf die Sicherungsdaten. Ist die Sicherung über einen Laufwerksbuchstaben von den Servern aus erreichbar, dann wird von der Sicherung eine regelmäßige Kopie erstellt und danach vom Server getrennt. Erfolgt die primäre Sicherung auf ein Plattensystem (Backup-Server, NAS etc.), dann sind die Platten mindestens mit einem RAID1 gegen Ausfall gesichert. Einzelne USB Festplatten sind daher wegen ihrer mangelnden Redundanz eher nicht für die primäre Sicherung geeignet

Sicherung auf Backup-Server, NAS Geräte und USB-Festplatten

In Unternehmen kommen zur Sicherung verstärkt Backup-Server und NAS Geräte, aber auch USB-Festplatten zum Einsatz. Sie bieten ein hohes Datenvolumen und kurze Sicherungszeiten zu niedrigen Kosten. Da sie aber in der Regel dauerhaft mit den Servern verbunden sind, besteht die Gefahr, dass diese Sicherung ebenfalls durch einen Krypto-Trojaner verschlüsselt wird.

Wichtig:

Kein regulärer Benutzer hat von seinem PC aus Schreibzugriff auf die Sicherungsdaten.
Ist die Sicherung über einen Laufwerksbuchstaben von den Servern aus erreichbar, dann wird von der Sicherung eine regelmäßige Kopie erstellt und danach vom Server getrennt.
Erfolgt die primäre Sicherung auf ein Plattensystem (Backup-Server, NAS etc.), dann sind die Platten mindestens mit einem RAID1 gegen Ausfall gesichert.

Einzelne USB Festplatten sind daher wegen ihrer mangelnden Redundanz eher nicht für die primäre Sicherung geeignet

Kontrolle der Sicherung
Sicherungen sind der letzte Anker, der Unternehmen vor einem Datenverlust schützt. Ob eine Sicherung aber tatsächlich funktioniert hat, stellt sich erst dann heraus, wenn sie benötigt wird. Eine regelmäßige Prüfung der Datensicherung ist wichtig ebenso die tägliche Prüfung der Ergebnisse der Sicherungsläufe.
Wichtig: Jeder Sicherungslauf protokolliert seine Tätigkeit und eventuelle Fehler. Dieses Protokoll wird per Mail an den Systembetreuer geschickt und täglich kontrolliert. Die Kontrolle ist so organisiert, dass der Systembetreuer auch das Fehlen des täglichen Protokolls registriert. In regelmäßigen Abständen – mindestens einmal jährlich – wird eine testweise Rücksicherung der Systeme und Daten durchgeführt

Kontrolle der Sicherung

Sicherungen sind der letzte Anker, der Unternehmen vor einem Datenverlust schützt. Ob eine Sicherung aber tatsächlich funktioniert hat, stellt sich erst dann heraus, wenn sie benötigt wird. Eine regelmäßige Prüfung der Datensicherung ist wichtig ebenso die tägliche Prüfung der Ergebnisse der Sicherungsläufe.

Wichtig:

Jeder Sicherungslauf protokolliert seine Tätigkeit und eventuelle Fehler.
Dieses Protokoll wird per Mail an den Systembetreuer geschickt und täglich kontrolliert.
Die Kontrolle ist so organisiert, dass der Systembetreuer auch das Fehlen des täglichen Protokolls registriert.

In regelmäßigen Abständen – mindestens einmal jährlich – wird eine testweise Rücksicherung der Systeme und Daten durchgeführt

Meine Kollegen und ich stehen Ihnen bei Fragen gerne zur Verfügung.

Robert Sappert-Ernst

<< Zurück zum Teil 1 der Serie (Allgemeine Fragen)
>> Weiter zum Teil 3 der Serie (Mit einmaligen Maßnahmen die Gefahr senken)

Locky & Co • Schutz für die IT in Unternehmen • Teil II

Teil 1: Die wichtigsten Fragen

Teil 2: Die Datensicherung als Rettungsanker bei Krypto-Trojanern

Teil 3: Präventive, einmalige Maßnahmen - die Infektion verhindern

Teil 4: Sonstige präventive Maßnahmen - die Infektion verhindern (in Vorbereitung)

Schutz vor Locky - Kennenlern-Angebot
Sie möchten wissen ob Sie einen ausreichenden Schutz vor Locky & Co haben? Wir helfen Ihnen kostenlos und unverbindlich!
So gehen wir vor: Telefonische Vorbesprechung Untersuchung per Fernwartung Abschlussbericht mit konkreten Handlungsempfehlungen Abschlussgespräch
Umfang: 4 Stunden. Kostenlos und ohne weitere Verpflichtungen. Für: Unternehmen mit mindestens 10 Arbeitsplätzen

Schutz vor Locky - Kennenlern-Angebot

Sie möchten wissen ob Sie einen ausreichenden Schutz vor Locky & Co haben?

Wir helfen Ihnen kostenlos und unverbindlich!

So gehen wir vor: