Backups in der Post Locky Era

Wie macht man normalerweise ein automatisches Backup ?

Ganz grob gesagt, packt man mit einem Archivprogramm wie TAR seine Dateien zusammen und speichert sie auf eine andere Festplatte. Der Speicherort könnte auch ein anderer Server sein, weil dann die Gefahr, daß wenn dem lokalen Rechner was passiert, die Daten weg sind, gebannt ist.

Jetzt die schlechte Nachricht: das Konzept ist so leider überholt.

Spielverderber: Ransomware

Seit Locky’s Linux Verwandte unterwegs sind, reicht so eine Backupstrategie nicht mehr aus, denn sie hat einen gravierenden Nachteil und der ist nicht mal auf Linux beschränkt:

Malware wie Locky verschlüsselt die Dateien, verzögert aber die Meldung, das die Daten verschlüsselt wurden, um gerne mal vier Wochen und mehr.

Die Folge

Auf dem oben beschriebenen Backupweg sichert man die verschlüsselten Dateien, löscht irgendwann die alten Backups aus Platzmangel und vermutlich erst danach kommt (zufällig) die Ransomwaremeldung.

Für den backupenden Rechner war das nicht erkenntlich, weil die Malware das verhindert, indem sie wochenlang den Zugriff auf die Dateien durchleitet (on-the-fly Entschlüsselung).

Außerdem könnte die Malware nach genau so einer Backuplösung suchen, das Ziellaufwerk einhängen und dann einfach die Backups auch verschlüsseln.

Fazit: Backup gemacht, Daten trotzdem weg.

Eine Lösung

Ein autarker Backupserver mounted den zusichernden Rechner bei sich,
prüft bestimmte Dateien, ob die noch den richtigen Type und Namen haben,
macht dann erst das inkrementelle Backup und lagert die Daten bei sich ein.

Statt Daten aktiv zu senden, werden diese gepollt.

Auf dem Weg kann eine Infektion gefunden werden, wenn ein Cryptotrojaner bereits am Werk ist. Mit etwas Glück sind die Dateien noch für ein händisches Inhaltsbackup verfügbar, aber auf jeden Fall sind die alten Backups sicher vor Überschreibung. Damit erleidet man maximal nur einen partiellen Verlust.

Natürlich hat das andere Ansprüche an die heimische Infrastruktur, also eine „Ich sichere auf die lokale NAS“ Lösung.
Beide Computer müssen an und im Netz verfügbar sein, damit das überhaupt klappen kann.

Ob das von privaten Anwendern so angenommen wird, ist fraglich, weil die Bequemlichkeit oft über Sicherheit stellen. Siehe : Facebook, kein TLS im Emailprogramm, WhatsApp, Google+, LinkedIn und wie der ganze Überwachungskram so heißt.

5 thoughts on “Backups in der Post Locky Era

  1. Bei der heutigen Preisgestaltung externer Speichermedien erscheint es mir einfacher eine neue externe Festplatte für eine Datensicherung anzuschaffen, wenn der bisher verwendete Datenträger voll ist. Das auch unter der Berücksichtigung, dass man eine Strategie für Datensicherungen auch Anwendern erläutern muss, die oftmals weniger versiert sind.

    Das aber mal unabhängig davon, dass das Konzept den zu sichernden Datenträger an einem System für die Datensicherung einzuhängen anstatt den Datenträger für die Sicherung am zu sichernden (und möglicherweise kompromitierten) System, ansich eine gute Idee ist. Nur halt schwer umsetzbar für die eigentliche Zielgruppe von Ransomware wie Locky. Das sind Leute, die a) eh schon wenig oder gar keine Datensicherung machen und b) mit begeisterter Fahrlässigkeit jeden E-Mail-Anhang öffnen müssen … Also eben jene weniger versierten Anwender.

    Und das eigentlich Problem ist sowie so nicht, dass es Schadsoftware wie Locky gibt, sondern mangelnde Sensibilisierung der Anwender und – meiner Meinung nach – schlechte bis katastrophale Administration betroffener IT-Umgebungen. Wobei eigentlich die Sensibilisierung der Anwender als Teil der IT-Adiminstration selbstverständlich sein sollte. Aber hey, wenn man als Stadtverwaltung meint, man müsste keine Schulung der Mitarbeiter machen, keine digitalen Arbeitsrichtlinien einführen, grundsätzlich HTML-Ansicht für E-Mails verwenden, jedes x-beliebige Dateiformat als Anhang auf seinem Mailserver akzeptieren und sich einen Scheiß um die Makrosicherheit der Büroanwendungen kümmern … Da hilft es dann auch nicht als Antwort auf Locky nur noch PDF- und Office-Dokumente im Anhang zu akzeptieren, damit man dann 8 Wochen nach der Daten-/Systemwiederherstellung gleich die nächste Infektion in der betreuten Umgebung hat.

  2. > Wobei eigentlich die Sensibilisierung der Anwender als Teil der IT-Adiminstration selbstverständlich sein sollte.
    Hilft nicht, die User klicken trotzdem auf den verdammten Anhang. Und theoretisch müsste man alles blocken docx xlsx pdf… Alles hat in regelmäßigen Abständen Zero-Days, praktikabel? Nö! Durch Virenscanner abfangbar auch: Nö! Lösung: keine Ahnung, außer asap patchen und „hoffen“.

    >Auf dem oben beschriebenen Backupweg sichert man die verschlüsselten Dateien, löscht irgendwann die alten Backups aus Platzmangel >und vermutlich erst danach kommt (zufällig) die Ransomwaremeldung.
    Määhh, leute die Backups machen fangen sich wohl in den seltensten Fällen Locky Zeug ein. Abgesehen davon: Backups müssen validiert werden, egal ob Push oder Pull. Und dann wäre da ja noch:
    https://de.wikipedia.org/wiki/Generationenprinzip
    wenn wir das noch mit:
    https://www.veeam.com/blog/de/how-to-follow-the-3-2-1-backup-rule-with-veeam-backup-replication.html
    kombinieren, ist es plötzlich egal ob push oder pull

Schreibe einen Kommentar