“In vielen Fällen haben die Unternehmen zwar Backups, aber sie haben noch nie versucht, ihr Netzwerk anhand von Backups wiederherzustellen, so dass sie keine Ahnung haben, wie lange es dauern wird”, sagt Fabian Wosar, Chief Technology Officer bei Emsisoft. “Plötzlich bemerkt das Opfer, dass es einige Petabytes an Daten über das Internet wiederherstellen muss und stellt fest, dass es selbst mit einer schnellen Verbindung drei Monate dauern wird, um all diese Backup-Dateien herunterzuladen. Viele IT-Teams machen nicht einmal eine Rückwärtsrechnung, wie lange die Wiederherstellung aus Sicht der Datenrate dauern würde.
Wosar sagte, dass das nächste häufigste Szenario Opfer betrifft, die verschlüsselte Backups ihrer Daten außerhalb des Standorts haben, aber entdecken, dass der digitale Schlüssel, der zum Entschlüsseln ihrer Backups benötigt wird, auf demselben lokalen File-Sharing-Netzwerk gespeichert wurde, das von der Ransomware verschlüsselt wurde.
Das dritte häufige Hindernis, das die Opfer daran hindert, sich auf ihre Backups zu verlassen, ist, dass die Ransomware-Angreifer es schaffen, auch die Backups zu beschädigen.
“Das ist immer noch eher selten”, so Wosar. “Es kommt zwar vor, aber es ist eher die Ausnahme als die Regel. Leider ist es immer noch recht häufig, dass Backups in irgendeiner Form vorhanden sind und einer dieser drei Gründe verhindert, dass sie von Nutzen sind.”
Bill Siegel, CEO und Mitbegründer von Coveware, einem Unternehmen, das Ransomware-Zahlungen für Opfer aushandelt, sagte, dass die meisten Unternehmen, die zahlen, entweder nicht über ordnungsgemäß konfigurierte Backups verfügen oder ihre Ausfallsicherheit bzw. die Fähigkeit zur Wiederherstellung ihrer Backups gegen das Ransomware-Szenario nicht getestet haben.
“Oder es gibt viele Softwareanwendungen, die Sie für die Wiederherstellung verwenden, und einige dieser Anwendungen befinden sich in Ihrem Netzwerk, das verschlüsselt wurde”, so Siegel weiter. “Also denkt man sich: ‘Na toll. Wir haben Backups, die Daten sind da, aber die Anwendung für die eigentliche Wiederherstellung ist verschlüsselt”. Es gibt also all diese kleinen Dinge, die einen daran hindern können, eine Wiederherstellung durchzuführen, wenn man keine Übung hat.”
Wosar sagte, dass alle Unternehmen sowohl ihre Backups testen als auch einen Plan für die Priorisierung der Wiederherstellung kritischer Systeme entwickeln müssen, die für den Wiederaufbau ihres Netzwerks erforderlich sind.
Wosar sagte, es sei wichtig, dass Unternehmen ihre Pläne für die Reaktion auf Sicherheitsverletzungen in regelmäßigen Testszenarien erproben und ihre Pläne zu verfeinern. Wenn das Unternehmen beispielsweise physischen Zugang zu seinem Remote-Backup-Rechenzentrum hat, könnte es sinnvoller sein, Prozesse für den physischen Transport der Backups an den Wiederherstellungsort zu entwickeln, sagte er.
Viele Opfer sehen sich damit konfrontiert, ihr Netzwerk auf eine Art und Weise wiederherstellen zu müssen, mit der sie nicht gerechnet haben. Und das ist normalerweise nicht der beste Zeitpunkt, um diese Art von Plänen zu entwickeln. Aus diesem Grund sind Testszenarien wichtig und am besten durch die Unterstützung von IT-Sicherheitsexperten. Wir empfehlen, einen vollständigen
Notfallplan zu erstellen, damit Sie wissen, was Sie tun müssen, um sich von einem Ransomware-Angriff zu erholen.