Hintergrund.

01. März 2016

Versiegelter Speicher: Keine Chance für Locky & Co

TCEin neues Schreckgespenst geht um: Viren, die den Zugriff auf gespeicherte Daten verhindern, indem sie ganze Speichermedien oder einzelne Dateitypen verschlüsseln.

Für die Entschlüsselung ist ein Kennwort erforderlich, für das die Hacker stattliche Summen fordern. Die neue Form der Erpressung.

Zunächst waren nur Privatanwender und Selbständige betroffen, die keinen aufwändigen Schutz gegen den Angriff so genannter RansomWare aufsetzen konnten.

Jetzt hat es allein in NRW schon 5 Krankenhäuser erwischt.

Die Dunkelziffer dürfte weitaus höher sein, da nur staatliche Einrichtungen Angriffe melden müssen. Wer betroffen ist und zahlt, verschweigt dies meist.

Der wirksamste Schutz gegen solche Angriffe ist natürlich, von vornherein eine Infektion auszuschließen. Firewalls, Virenscanner und strenge Auflagen können helfen. Jedoch ist die gesamte Welt inzwischen dermaßen digitalisiert, dass sich in den meisten Fällen nicht alle denkbaren Quellen für eingeschleppte Schadsoftware ausschließen lassen. Private Emails aufzurufen ist sowieso in den meisten Unternehmen normal. BYOD ist die Abkürzung für den weitaus größeren Alptraum besorgter ITler: Bring Your Own Device. Mitarbeiter haben private Smartphones, Tablets, USB-Sticks, Festplatten, und bringen diese ganz selbstverständlich mit zur Arbeit. Was zu Hause meist zumindest keine wirtschaftlichen Folgen hat, wird dann im Unternehmen schnell zur echten Bedrohung.

RansomWare

Als RansomWare (aus dem englischen: to hold somebody ransom = jemanden erpressen) wird eine Schadsoftware bezeichnet, die Dateien oder Datenträger verschlüsselt und so den Zugriff unmöglich macht. Der Hacker verlangt dann eine bestimmte Summe für die Entschlüsselung. Natürlich hat man keine Garantie, dass man nach Zahlung auch die notwendige Software zur Entschlüsselung bekommt. Zudem werden bei der üblichen Zahlung per Kreditkarte weitere sensible Daten an den Hacker übermittelt.

Das FBI rät betroffenen Personen oder Firmen dennoch, auf Forderungen einzugehen. Zu gut wären die Algorithmen (obwohl inzwischen einige davon entschlüsselt werden konnten), man könne da nicht viel tun. Anders das BKA, in Deutschland wird grundsätzlich von einer Zahlung abgeraten. Was aber bedeutet: Die Daten sind futsch.

Kalte Backups

Die Viren-Experten von Bitdefender empfehlen unter anderem explizit: "Kalte Backups sind immer noch der beste Weg, um proaktiv Daten zu schützen." Ist man von so einem Virus betroffen, kann man aus diesen Backups die Daten zuverlässig wieder herstellen. Der Begriff "kalt" bedeutet in dem Zusammenhang, dass die Backups keine aktive Verbindung zu einem der Systeme haben, die betroffen sind oder sein könnten. Wenn also ein Backup auf einem herausnehmbaren Medium liegt und dieses offline gelagert wurde, kann man ausschließen, dass der Virus dieses Backup nachträglich infizieren kann.

Lineare Speicherung

Zunehmend werden Backups allerdings nicht mehr auf Bandspeichern abgelegt, sondern auf Disk-Systemen. Herkömmliche Disk-Systeme sind aber generell nicht "kalt". Vor allem im Mittelstand und Enterprise-Bereich werden sogar Festplatten eingesetzt, die niemals abgeschaltet werden dürfen. Grundsätzlich ist jeder Datenträger, der ein sofortiges Überschreiben von Daten erlaubt, gefährdet.

Anders sieht die Sache bei linear genutzten Datenträgern aus. Die bekanntesten sind Tapes. Hier werden Daten hintereinander - linear - auf Magnetbänder gespeichert. Soll eine neue Version gespeichert werden, wird diese im Allgemeinen hinten angehängt, da eine Fragmentierung durch Aufteilung von Speicherbereichen bei Bändern ein ständiges Umspulen erfordern würde. Die praktische Konsequenz dieses Vorgehens: ältere Versionen sind weiterhin physikalisch auf dem Datenträger vorhanden, halt nur "weiter vorne". Selbst wenn also eine neue - im Fall der RansomWare dann verschlüsselte - Version der Datei es bis zum linearen Backup-Datenträger schaffen würde, ist die vorherige - unverschlüsselte - Version nach wie vor vorhanden.

Allerdings hat auch diese Sache einen Haken: Die Daten werden bei herkömmlichen Speichern, auch bei linearen, unabhängig von den zugehörigen Meta-Daten gespeichert. Diese Meta-Daten sind aber sozusagen der Schlüssel für die Daten, nur damit "weiß" ein lesendes System, wie die gespeicherten Daten zusammenzufügen und zu interpretieren sind. Mit anderen Worten: Ohne diese Meta-Daten nutzen auch kalte Backups und lineare Datenträger nichts.

COLD Storage mit Struktursicherheit

FAST LTA bietet mit Silent Brick Library und Silent Cubes zwei Speichersysteme an, die lineare Speicherung auf Festplatten verwenden. Die Speichersysteme vereinen so die Vorteile linearer Speichertechnologie mit schnellen Festplatten- bzw. SSD-Speichern.

Wie oben beschrieben würde das alleine jedoch nicht vollständig schützen. Deswegen sind COLD Storage (COLD steht für Cost Optimized Linear Disk, also kostenoptimierte Speicher mit linearer Sicherung) Systeme von FAST LTA struktursicher konzipiert. Das eigens entwickelte Dateisystem arbeitet dabei anders als herkömmliche Ansätze und schreibt zu jeder Sicherung sämtliche Meta-Daten zusätzlich mit zu den Nutzdaten. Für schnellen Zugriff sind alle Meta-Daten auch, wie in herkömmlichen Speichersystemen, in Datenbanken und im Cache gesichert. Die Struktursicherheit garantiert aber, dass auch beim kompletten Ausfall der Steuereinheiten (Head Unit beim Silent Cube bzw. Controller bei der Silent Brick Library) und wenn nur noch die reinen Speichermedien intakt sind, alle Daten wieder hergestellt werden können ("Restore from Raw").

Die lineare Speicherung mit Struktursicherheit ermöglicht dazu ein "Zurückgehen" zu Vorversionen, etwa wenn die neueste Version einer Datei eben doch schon vom Virus infiziert sein sollte - und das selbst dann, wenn das gesamte System ausgetauscht und komplett neu aufgesetzt werden muss.

Nur die Kombination aus linearer Speicherung und Struktursicherheit garantiert eine vollständige Integrität der gesicherten Daten.

Silent Cubes: Doppelt abgesichert durch WORM-Versiegelung

Zusätzlich zum inherenten Schutz dirch lineare Speicherung und Struktursicherheit bieten SILENT CUBES über die WORM-Versiegelung eine nochmals höhere Sicherheit. Ein nachträgliches Verändern oder Löschen von Daten wird über den eigens entwickelten Festplatten-Controller, der nur linear schreiben und nicht löschen kann, verhindert. Selbst wenn es eine über Schadsoftware verschlüsselte Kopie eines Datensatzes bis auf den Silent Cube schaffen sollte, ist die Vorversion prinzipbedingt nach wie vor vorhanden und kann - je nach Volumentyp und Einstellungen - einfach wieder hergestellt werden.

Fazit

IT-Experten empfehlen mehere Maßnahmen zum Schutz gegen Schadsoftware. Ist der Ernstfall jedoch einmal eingetreten und relevante Daten verschlüsselt, helfen nur so genannte "kalte Backups", um den Status vor der Verschlüsselung wieder herzustellen.

Die lineare Datenstruktur und die eingebaute Struktursicherheit der FAST LTA Speicherprodukte bietet von Haus aus Schutz, da Änderungen nie alte Daten überschreiben. So kann im Schadfall der vorherige, unbeschadete Datensatz wieder hergestellt werden.

Die Silent Cubes bieten darüber hinaus über die WORM-Versiegelung zusätzlichen Schutz, da Daten, die auf Silent Cubes gespeichert sind, nie verändert oder gelöscht werden können.

Quellen und interessante Links:

Heise über Locky: http://www.heise.de/newsticker/meldung/Erpressungs-Trojaner-Locky-schlaegt-offenbar-koordiniert-zu-3104069.html

Heise über Angriffe auf Krankenhäuser: http://www.heise.de/newsticker/meldung/Ransomware-Neben-deutschen-Krankenhaeusern-auch-US-Klinik-von-Virus-lahmgelegt-3103733.html

Der WDR über diese Angriffe: http://www1.wdr.de/themen/aktuell/cyberattacken-auf-kliniken-100.html

Die Tagesthemen berichten auch darüber (ab 17:55): http://www.ardmediathek.de/tv/Tagesthemen/tagesthemen/Das-Erste/Video?documentId=33451218&bcastId=3914&mpage=page.info

Hintergrund über Ransomware in Security-Insider: http://www.security-insider.de/themenbereiche/bedrohungen/viren-wuermer-trojaner/articles/509579/

Das KH IT Journal berichtet: http://www.medizin-edv.de/modules/AMS/article.php?storyid=3890

Computer Weekly über Angriffe in den USA (in Englisch): http://www.computerweekly.com/news/4500273343/US-hospital-pays-12000-to-ransomware-attackers?

Der SPIEGEL: Stadtverwaltung Dettelbach muss Lösegeld bezahlen: http://www.spiegel.de/netzwelt/web/ransomware-teslacrypt-stadtverwaltung-dettelbach-zahlt-loesegeld-a-1080528.html

Themen: RansomWare, Datensicherung, Silent Cubes

Autor: Hannes Heckel | Director Marketing bei FAST LTA

 

White Paper: Sicherer Speicher schützt vor Datenverlustjetzt White Paper lesen: Schutz gegen Erpressungs-Trojaner

NEWSLETTER

Melden Sie sich zu unserem Newsletter an: