Ransomware-Schutz

1. Was ist Ran­som­wa­re — und war­um reicht End­point-Schutz nicht? #

Ran­som­wa­re ist Schad­soft­ware, die Daten ver­schlüs­selt und ein Löse­geld für die Ent­schlüs­se­lung for­dert. Was als ein­fa­che Erpres­sungs­tro­ja­ner begann — Cryp­to­Lo­cker (2013), Wan­naCry (2017) — hat sich zu einer hoch­pro­fes­sio­na­li­sier­ten Indus­trie ent­wi­ckelt: Ran­som­wa­re-as-a-Ser­vice (RaaS), bei der spe­zia­li­sier­te Grup­pen Angriffs­werk­zeu­ge ver­mie­ten und am Löse­geld betei­ligt werden.

War­um End­point-Schutz allein nicht reicht #

End­point Detec­tion and Respon­se (EDR), Fire­walls und Intru­si­on-Detec­tion-Sys­te­me sind not­wen­di­ge Schutz­schich­ten — aber sie adres­sie­ren nur die Prä­ven­ti­on. Das Pro­blem: Kei­ne Prä­ven­ti­ons­maß­nah­me bie­tet 100 % Schutz. Laut dem Vee­am Ran­som­wa­re Trends Report 2023 wur­den 76 % der befrag­ten Unter­neh­men min­des­tens ein­mal Opfer eines Ran­som­wa­re-Angriffs — trotz vor­han­de­ner Schutzmaßnahmen.

Die ent­schei­den­de Fra­ge lau­tet nicht: Kann ich einen Angriff ver­hin­dern? Son­dern: Kann ich mich nach einem erfolg­rei­chen Angriff wiederherstellen?

Und genau hier beginnt das eigent­li­che Problem.

Die Kos­ten eines Ran­som­wa­re-Angriffs #

Die Zah­len zei­gen: Zah­len ist kei­ne Stra­te­gie. Die Wie­der­her­stel­lung bleibt oft unvoll­stän­dig. Die ein­zi­ge ver­läss­li­che Stra­te­gie ist die Fähig­keit, Sys­te­me und Daten eigen­stän­dig wie­der­her­zu­stel­len — aus einem Back­up, das der Angrei­fer nicht errei­chen konnte.

2. Wie Ran­som­wa­re Ihre Back­ups angreift #

Moder­ne Ran­som­wa­re-Kam­pa­gnen fol­gen einem metho­di­schen Ablauf, der gezielt auf die Zer­stö­rung Ihrer Wie­der­her­stel­lungs­fä­hig­keit abzielt. Seit 2018 domi­nie­ren soge­nann­te Big-Game-Hun­ting-Kam­pa­gnen: pro­fes­sio­nel­le Grup­pen wie Lock­Bit, BlackCat/​ALPHV und Cl0p, die sys­te­ma­tisch gro­ße Orga­ni­sa­tio­nen ins Visier nehmen.

Der typi­sche Angriffs­ver­lauf #

Pha­se 1 — Initia­ler Zugriff (Tag 0) Phis­hing-E-Mails, kom­pro­mit­tier­te VPN-Zugän­ge oder unge­patch­te öffent­lich erreich­ba­re Sys­te­me lie­fern den ers­ten Zugang. Die­ser wird nicht sofort aus­ge­nutzt — Angrei­fer war­ten und beobachten.

Pha­se 2 — Erkun­dung und Aus­brei­tung (Tag 1 – 21) Angrei­fer blei­ben oft wochen­lang, teils mona­te­lang unent­deckt im Netz­werk. Sie bewe­gen sich metho­disch durch Ihr Netz­werk, eska­lie­ren Berech­ti­gun­gen, steh­len Domä­nen-Admi­nis­tra­tor-Cre­den­ti­als und kar­tie­ren die gesam­te Infra­struk­tur — ein­schließ­lich aller Back­up-Sys­te­me. Die­ser Schritt ist der ent­schei­den­de: Die Angrei­fer iden­ti­fi­zie­ren jedes Back­up-Repo­si­to­ry, jeden Snapshot-Spei­cher, jede Cloud-Verbindung.

Pha­se 3 — Back­up-Zer­stö­rung (vor der Verschlüsselung) Erst wenn das voll­stän­di­ge Lage­bild erstellt ist, grei­fen Angrei­fer ein:

• Back­up-Daten­ban­ken wer­den gelöscht
• Snapshots wer­den entfernt
• Back­up-Agen­ten wer­den deinstalliert
• Shadow Copies wer­den vernichtet
• Cloud-Back­up-Cre­den­ti­als wer­den ver­wen­det, um Off-Site-Kopien zu löschen

Pha­se 4 — Ver­schlüs­se­lung und Erpressung Mit zer­stör­ten Back­ups steht das Opfer vor einer binä­ren Wahl: Zah­lung oder Totalausfall.

War­um Ihr aktu­el­les Back­up gefähr­det ist #

Die kri­ti­sche Fra­ge für jede IT-Orga­ni­sa­ti­on: Kann ein Angrei­fer mit kom­pro­mit­tier­ten Admi­nis­tra­tor-Cre­den­ti­als Ihr Back­up vernichten?

Wenn Ihre Back­ups über das­sel­be Acti­ve Direc­to­ry, die­sel­ben Netz­werk­seg­men­te oder die­sel­ben Cloud-Cre­den­ti­als erreich­bar sind wie Ihre Pro­duk­tiv­um­ge­bung — dann lau­tet die Ant­wort: Ja.

3. Back­up-Stra­te­gien im Ran­som­wa­re-Kon­text #

Die 3 – 2‑1-Regel — und war­um sie nicht mehr aus­reicht #

Die 3 – 2‑1-Regel galt jahr­zehn­te­lang als Gold­stan­dard: drei Kopien, zwei Medi­en­ty­pen, ein Off-Site-Stand­ort. Das Pro­blem: Alle drei Kopien kön­nen netz­wer­ker­reich­bar sein. Ein Angrei­fer mit Domä­nen­ad­mi­nis­tra­tor-Rech­ten ver­nich­tet sie in Stunden.

Die Erwei­te­rung: 3−2−1−1−0 #

Sicher­heits­ar­chi­tek­ten und das BSI emp­feh­len die Erwei­te­rung um zwei kri­ti­sche Elemente:

• +1 (off­line/air-gap­ped): Min­des­tens eine Kopie muss phy­sisch vom Netz­werk getrennt sein — nicht nur logisch iso­liert, nicht nur durch eine Fire­wall geschützt, son­dern phy­sisch nicht adressierbar.
• +0 (zero errors after veri­fi­ca­ti­on): Back­ups müs­sen regel­mä­ßig auf Wie­der­her­stell­bar­keit geprüft wer­den. Ein Back­up ohne veri­fi­zier­ten Res­to­re ist kein Back­up — es ist eine Hoffnung.

Back­up-Iso­la­ti­on im Ver­gleich #

Die Tabel­le zeigt: Ech­ter Ran­som­wa­re-Schutz erfor­dert phy­si­sche Iso­la­ti­on. Die Fra­ge ist nur, ob auto­ma­ti­siert (Hard­ware Air Gap) oder manu­ell und langsam.

4. Air Gap: Der ein­zi­ge phy­si­sche Schutz #

Was ist ein ech­ter Air Gap? #

Der Begriff ​„Air Gap” wird infla­tio­när ver­wen­det. Cloud-Anbie­ter ver­mark­ten Object Lock als ​„Vir­tu­al Air Gap”, Back­up-Soft­ware-Her­stel­ler bezeich­nen Netz­werk­seg­men­tie­rung als ​„logi­schen Air Gap”. Bei­des ist kein Air Gap.

Defi­ni­ti­on: Ein Air Gap ist die phy­si­sche Unter­bre­chung der Netz­werk­ver­bin­dung zwi­schen einem Back­up-Sys­tem und der übri­gen IT-Infra­struk­tur — so, dass das Sys­tem im Off­line-Zustand kei­ne adres­sier­ba­re Netz­werk­schnitt­stel­le besitzt.

Die drei Anfor­de­run­gen an einen ech­ten Air Gap:

1. Kei­ne akti­ve Netz­werk­ver­bin­dung nach dem Back­up. Das Sys­tem muss nach dem Back­up-Fens­ter phy­sisch vom Netz­werk getrennt sein.
2. Kei­ne adres­sier­ba­re Netz­werk­schnitt­stel­le im Off­line-Zustand. Ein Sys­tem mit IP-Adres­se hin­ter einer Fire­wall hat kei­nen Air Gap — es ist segmentiert.
3. Hard­ware-erzwun­gen, nicht soft­ware-kon­trol­liert. Die Tren­nung muss durch phy­si­sche Mecha­nis­men erfol­gen, die von einem kom­pro­mit­tier­ten Sys­tem nicht auf­ge­ho­ben wer­den können.

Wie funk­tio­niert ein auto­ma­ti­sier­ter Hard­ware Air Gap? #

1. Back­up-Fens­ter öff­net sich: Die Back­up-Soft­ware adres­siert das Air-Gap-Sys­tem über Stan­dard-Schnitt­stel­len (FC, iSCSI, NFS, SMB, S3)
2. Daten wer­den geschrie­ben: Siche­rungs­job läuft wie bei jedem ande­ren Backup-Target
3. Hard­ware-Tren­nung: Nach Abschluss des Schreib­vor­gangs trennt ein inte­grier­ter Hard­ware-Con­trol­ler die Netz­werk­ver­bin­dung phy­sisch — auto­ma­tisch, ohne manu­el­len Eingriff
4. Off­line-Zustand: Das Sys­tem ist uner­reich­bar. Kei­ne IP-Adres­se, kei­ne Netz­werk­schnitt­stel­le, kein Angriffsvektor
5. Nächs­tes Back­up-Fens­ter: Das Sys­tem stellt die Ver­bin­dung auto­ma­tisch wie­der her

Die­ser Zyklus läuft voll­au­to­ma­tisch — kein manu­el­ler Pro­zess, kein Risi­ko mensch­li­cher Fehler.

FAST LTA Silent Brick Sys­tem: Hard­ware Air Gap in der Pra­xis #

Das Silent Brick Sys­tem imple­men­tiert die­sen auto­ma­ti­sier­ten Hard­ware Air Gap:

• Phy­si­sche Netz­tren­nung durch inte­grier­ten Hard­ware-Con­trol­ler, unab­hän­gig vom Host-Betriebssystem
• Fest­plat­ten­ba­siert: Wie­der­her­stel­lungs­ge­schwin­dig­keit in Stun­den, nicht Tagen
• Kom­pa­ti­bel mit allen gän­gi­gen Back­up-Lösun­gen: Vee­am, Commv­ault, Veri­tas, IBM Spec­trum Protect
• Revi­si­ons­si­che­re Pro­to­kol­lie­rung aller Ver­bin­dungs­zei­ten — für Compliance-Nachweis
• Made in Ger­ma­ny: Ent­wick­lung und Fer­ti­gung in München

→ Mehr zum Silent Brick System

5. BSI-Emp­feh­lun­gen und regu­la­to­ri­sche Anfor­de­run­gen #

BSI IT-Grund­schutz CON.3: Daten­si­che­rungs­kon­zept #

Das BSI IT-Grund­schutz-Kom­pen­di­um defi­niert im Bau­stein CON.3 ver­bind­li­che Anfor­de­run­gen für Daten­si­che­rung. Die für Ran­som­wa­re-Schutz rele­van­ten Maßnahmen:

BSI-Emp­feh­lun­gen zu Ran­som­wa­re #

Das BSI hat in sei­nen ​„Emp­feh­lun­gen zum Schutz vor Ran­som­wa­re” expli­zit fol­gen­de Maß­nah­men benannt:

• Off­line-Back­ups: Siche­rungs­ko­pien, die nicht über das Netz­werk erreich­bar sind
• Regel­mä­ßi­ge Wie­der­her­stel­lungs­tests: Nach­wei­sen, dass ein Res­to­re tat­säch­lich funktioniert
• Getrenn­te Admi­nis­tra­tor­kon­ten: Back­up-Sys­te­me nicht mit Pro­duk­ti­ons-Cre­den­ti­als verwalten
• Netz­werk­seg­men­tie­rung: Back­up-Infra­struk­tur in dedi­zier­ten VLANs betreiben

Die­se Emp­feh­lun­gen decken sich mit der Air-Gap-Archi­tek­tur: phy­si­sche Iso­la­ti­on, getrenn­te Cre­den­ti­als, nach­ge­wie­se­ne Wiederherstellbarkeit.

6. KRI­TIS und NIS2: Pflich­ten für betrof­fe­ne Unter­neh­men #

NIS2-Richt­li­nie: Neue Back­up-Pflich­ten seit 2024 #

Die NIS2-Richt­li­nie (EU ²⁰²²⁄₂₅₅₅), umge­setzt durch das NIS2UmsuCG, ver­pflich­tet wesent­li­che und wich­ti­ge Ein­rich­tun­gen zu kon­kre­ten Maß­nah­men im Bereich Busi­ness Con­ti­nui­ty. §30 BSIG-neu fordert:

• Back­up-Manage­ment und Wie­der­her­stel­lung: Doku­men­tier­te Stra­te­gien und Verfahren
• Kri­sen­ma­nage­ment: Plä­ne für den Umgang mit Ransomware-Vorfällen
• Sicher­heit der Lie­fer­ket­te: Bewer­tung von Back­up-Soft­ware und ‑Hard­ware-Her­stel­lern
• Schwach­stel­len­ma­nage­ment: Back­up-Sys­te­me in Vul­nerabi­li­ty-Manage­ment einbeziehen

Wer ist betrof­fen? #

• Wesent­li­che Ein­rich­tun­gen: Ener­gie, Trans­port, Bank­we­sen, Gesund­heits­we­sen, Trink­was­ser, digi­ta­le Infra­struk­tur, öffent­li­che Verwaltung
• Wich­ti­ge Ein­rich­tun­gen: Post, Abfall­wirt­schaft, Che­mie, Lebens­mit­tel, ver­ar­bei­ten­des Gewer­be, Forschung
• Grö­ßen­schwel­le: Ab 50 Mit­ar­bei­ter UND 10 Mio. EUR Umsatz — für bestimm­te Sek­to­ren größenunabhängig

Buß­geld­rah­men #

Was NIS2 für Ihre Back­up-Archi­tek­tur bedeu­tet #

NIS2 macht eine resi­li­en­te Back­up-Archi­tek­tur zur Rechts­pflicht. Orga­ni­sa­tio­nen, die kei­ne nach­weis­bar funk­tio­nie­ren­de Back­up- und Reco­very-Stra­te­gie vor­wei­sen kön­nen, ris­kie­ren Buß­gel­der — und im Ernst­fall per­sön­li­che Haf­tung der Geschäftsleitung.

7. Ran­som­wa­re Reco­very: Was im Ernst­fall zählt #

Die ers­ten 72 Stun­den nach einem Angriff #

Wenn Ran­som­wa­re zuge­schla­gen hat, ent­schei­den die ers­ten Stun­den über die Scha­dens­bi­lanz. Das Worst-Case-Sze­na­rio: Sie stel­len fest, dass Ihre Back­ups eben­falls kom­pro­mit­tiert sind.

Reco­very-Ablauf mit Air-Gap-Backup:

1. Stun­de 0 – 4: Schadensbegrenzung

   • Infi­zier­te Sys­te­me vom Netz­werk isolieren
   • Aus­maß des Angriffs kartieren
   • Inci­dent-Respon­se-Team aktivieren

2. Stun­de 4 – 8: Backup-Verifikation

   • Air-Gap-Back­up-Sys­tem prü­fen: Daten­in­te­gri­tät verifizieren
   • Letz­ten sau­be­ren Wie­der­her­stel­lungs­punkt identifizieren
   • Reco­very-Rei­hen­fol­ge fest­le­gen (kri­ti­sche Sys­te­me zuerst)

3. Stun­de 8 – 24: Wie­der­her­stel­lung kri­ti­scher Systeme

   • Acti­ve Direc­to­ry und DNS wiederherstellen
   • Kri­ti­sche Geschäfts­an­wen­dun­gen starten
   • Kom­mu­ni­ka­ti­ons­sys­te­me wiederherstellen

4. Tag 2 – 7: Voll­stän­di­ge Wiederherstellung

   • Alle Sys­te­me schritt­wei­se wiederherstellen
   • Daten­in­te­gri­tät verifizieren
   • Root Cau­se Ana­ly­sis beginnen

War­um RTO kei­ne Wunsch­vor­stel­lung sein darf #

Reco­very Time Objec­ti­ve (RTO) ist die maxi­mal akzep­ta­ble Aus­fall­zeit. Die­se Kenn­zahl muss durch Tests belegt sein — nicht durch Annah­men. Typi­sche RTOs nach Backup-Architektur:

8. Imple­men­tie­rung: Schritt für Schritt zum Schutz #

Ihr 8‑Schrit­te-Plan #

Die häu­figs­ten Feh­ler ver­mei­den #

• Logi­schen Air Gap für ech­ten hal­ten: Cloud WORM ist kein Air Gap — wenn ein Angrei­fer mit Admin-Cre­den­ti­als Ihr Back­up löschen kann, ist es kein Schutz.
• Back­up-Tests ver­nach­läs­si­gen: Ein Back­up ohne Res­to­re-Test ist ein Hoffnungssystem.
• RTO nicht veri­fi­zie­ren: Ihr RTO muss durch Tests belegt sein, nicht durch Wunschdenken.
• Glei­che Cre­den­ti­als ver­wen­den: Back­up-Sys­te­me brau­chen eige­ne, getrenn­te Administratorkonten.