Backup-Software – Schutzwall oder Einfallstor?

Damit der Schutz gegen Ransomware nicht zum Trojaner wird

Zu den aktuellen Bedrohungen für die Datensicherheit und -verfügbarkeit gehört längst auch Ransomware. Eine gute Backup-Software gilt dabei als Schutzwall, als letzte Verteidigungslinie für die Daten. Dabei wird leicht übersehen, dass die Backup-Software selbst zu einem Einfallstor für den Missbrauch der Daten werden kann: Aus dem Schutzwall gegen Ransomware wird dann auf einmal ein Trojaner.

Nehmen wir als Beispiel dieses Szenario: Ein Staat nutzt eine Backup-Software als Werkzeug und Tarnung, um auf Daten zugreifen zu können – eine staatlich unterstützte Industriespionage. Attraktive Features, ein gutes Marketing und ein guter Preis sorgen dafür, dass die Software in der ganzen Welt verbreitet wird. Die Tarnung ist ideal: Schließlich wird die Software legal verkauft, Malware-Schutzprogramme werden sie also nicht als schädlich melden.

Die Möglichkeiten zur Manipulation sind nahezu unbegrenzt, da die Backup-Software sowohl Zugriff auf die Original- als auch auf die Backup-Daten hat und auf allen Systemen gezielt Befehle ausführen kann. Sie reichen von einer subtilen Sabotage durch gezielte Änderung einzelner Datensätze oder Programme über das Ausspähen von Daten für Industrie- oder Staats-Spionage bis zum kompletten Verlust aller Original- und Backup-Daten – und damit zum Stillstand der gesamten Infrastruktur.

Was macht die Backup-Software zu einem idealen Trojaner?
Natürlich ist das gezeigte Beispiel ein extremes Szenario, aber es macht klar: Die eigene Backup-Software muss sorgfältig ausgewählt werden. Was dabei alles zu beachten ist, zeigt die Checkliste am Ende des Artikels. Aber zunächst zur Backup-Software selbst: Wieso kann sie überhaupt zum Trojaner werden?

1. Die primäre Aufgabe einer Backup-Software ist es, durch Erstellung von Kopien die Daten des Unternehmens zu schützen. Sie hat damit per Definition Zugriff auf alle Daten des Unternehmens. Sie läuft privilegiert auf allen Systemen mit relevanten und kritischen Daten, um den uneingeschränkten Zugriff sicherzustellen.
2. Es ist der Administrator selbst, der im Rahmen der Installation die Verteilung der Agenten und die Privilegierung der Anwendung vornimmt – und der Software somit volle Kontrolle übergibt.
3. Um ihre Aufgaben zu erfüllen, kann die Backup-Software auf allen Systemen Befehle und Skripte ausführen. Auch dies im privilegierten Modus.
4. Es gibt üblicherweise ein zentrales Management, an dem alle Daten zusammenlaufen und alle Komponenten zentral gesteuert werden können. Dort laufen alle wichtigen und interessanten Daten und Metadaten zusammen:
   o eine Liste aller Server im Netz, mit Netzwerkkonfiguration, Betriebssystem, Patchständen und Anwendungen
   o ein Katalog aller gesicherten Daten
   o eine Kopie aller Daten mit Versionsständen, Aufbewahrungszeiten und der Möglichkeit eines verdeckten Zugriffs auf die Datenkopien
   
   

Was noch hinzukommt, ist die direkte Verbindung: Üblicherweise kommuniziert Software heute mit dem Hersteller. Updates werden vom Lizenzserver übermittelt, Diagnoseinformationen oder Marketingdaten fließen direkt an ihn zurück. Meist wird diese Kommunikation nicht offengelegt. Es wäre ein Leichtes, hier unbemerkt zusätzliche Informationen oder Kommandos einzubauen. Das Mitloggen der Informationen schützt den Anwender kaum, denn die zusätzlichen Informationen oder Kommandos werden unter Umständen nicht permanent übertragen – oder sie sind verschlüsselt. Es genügt schließlich, wenn die Schadfunktionen bei Bedarf verdeckt aktiviert werden können.
Aber es gibt auch eine gute Nachricht: Gegen diesen Missbrauch der Backup-Software kann man sich schützen. Der erste Schritt ist, sich des Problems bewusst zu werden und eine kurze Gefährdungsanalyse zu machen. Kriterien dabei sind beispielweise:

• Wie sehen mögliche Angriffsszenarien auf die Infrastruktur aus?
• Welche Folgen hätte ein Stillstand oder eine Sabotage der Infrastruktur?
• Wie wichtig sind die Daten für das Unternehmen und wer könnte an ihnen Interesse haben – Stichwort Industriespionage?
• Was würde ein Verlust der Daten für das Unternehmen bedeuten?

Backup-Software – aber sicher
Natürlich ist zuverlässige Datensicherung ein Muss für alle Organisationen. Denn im Ernstfall ist das Backup die letzte Verteidigungslinie. Mit der richtigen Software und dem passenden Konzept wird die Datensicherung ein wirklicher Schutzwall gegen Ransomware – ohne gleichzeitig mögliches Einfallstor für Trojaner zu sein.
Die folgende Checkliste kann helfen, bei der Auswahl, Installation und Konfiguration der Backup-Software für maximale Sicherheit zu sorgen.

• Ist der Hersteller vertrauenswürdig?
  o Hat das Unternehmen seinen Sitz in Deutschland oder der EU?
  o Besteht die Möglichkeit, dass ein fremder Staat Einfluss auf den Hersteller hat?
  o Könnte es Interesse an staatlich unterstützter Industriespionage geben?
• Unterstellt sich der Hersteller klar deutschem oder EU-Recht?
• Welche Rechte sichert sich der Hersteller zu?
  o Prüfung der AGBs in Bezug auf Datenzugriffe
  o Mit welchen Mitteln und von welchem Standort erhält der Support Zugriff auf das System?
• Legt der Hersteller die Kommunikation zwischen der Backup-Software und seinen Servern offen?
• Ist der Zugriff auf die Backups zusätzlich vor Ransomware geschützt – sind die Medien physikalisch von der Infrastruktur getrennt, durch das sogenannte „Air-Gap“?
• Kann die Software, mit vollem Herstellersupport, in einer isolierten Umgebung ohne Kommunikation nach außen betrieben werden?
  
  

Mit einer Backup-Software allein ist es aber nicht getan, zumal veraltete Backup-Produkte große Risiken für die Geschäftskontinuität bergen. Für die Datensicherung und -verfügbarkeit ist vielmehr eine Komplettlösung gefragt: von der Erst-Beratung, der Erstellung eines passgenauen Backup-Konzepts, der Software-Implementierung, der regelmäßigen Überprüfung der Funktionalitäten bis hin zum Support. Die passende Backup-Strategie ist der entscheidende Aufschlag für erfolgreiche Datensicherung. Denn dass die Risiken für Datensicherheit steigen, ist kein Szenario, sondern Realität. Die beinahe täglichen Meldungen über Cyber-Bedrohungen machen deutlich, dass Unternehmen das Know-how von Experten brauchen, um geschäftskritische Daten professionell zu sichern. Bei begrenzten internen Ressourcen können Backup-Spezialisten hier wichtige Unterstützung leisten. Aber es ist sorgfältig zu prüfen, ob das eigene Backup-Konzept den umfangreichen Anforderungen auch standhält. Schließlich soll der Schutzwall nicht zur Angriffsfläche werden.