Infinidat Blog

DSGVO-Konformität: Datenverlust aufgrund Ransomware-Angriffen?

Mit dem endgültigen Inkrafttreten der Datenschutzgrundverordnung (DSGVO) Ende Mai 2018 hat das Thema Datenschutzverletzungen den allgemeinen Diskurs bestimmt. Alle Unternehmen, die personenbezogene Daten speichern, gehen hier ein hohes Risiko ein und sollten ihre Aufmerksamkeit verstärkt dieser Frage widmen (siehe mein vorheriger Blog-Eintrag zu diesem Thema).

 

Der Fokus auf Datenschutzverletzungen – obwohl hier zu Recht – hat aber eine weitere kritische Anforderung des DSGVO verdrängt: Datenverlust. Worin liegt hier der Unterschied? Eine Datenschutzverletzung liegt vor, wenn sich ein unbefugter Dritter Zugang zu personenbezogenen Daten verschafft, auf die sonst nur das Unternehmen zugreifen sollte. Datenverlust jedoch tritt dann auf, wenn das Unternehmen keinen Zugriff mehr auf Daten nehmen kann. In den letzten Jahren gab es namhafte Ransomware-Angriffe, etwa WannaCry, Petya (und anschließend NotPetya) oder CryptoLock. Im Jahr 2017 waren Ransomware-Angriffe mit über 70 Prozent in einigen Bereichen wie dem Gesundheitswesen die häufigste Malware-Kategorie.

Hat Ihr Unternehmen bereits eine robuste Strategie für Ransomware-Angriffe entwickelt, die zugleich mehrere Herausforderungen zu bewältigen hat?

 

Herausforderung 1 - Erkennung eines Ransomware-Angriffs

Um so viele Daten wie möglich verschlüsseln zu können, bleiben moderne Ransomware-Angriffe oft lange verborgen bevor sie erkannt werden. Wenn die Ransomware einen kritischen Schwellenwert erreicht, sperrt es den Benutzer aus und fordert eine Zahlung in einer Kryptowährung. Dieses Verhalten ist sehr effizient – aber auch die Achillesferse dieses Angriffsvektors. Da sich die von der Malware erzeugten Veränderungen mit der Zeit ansammeln, können sie erkannt werden, wenn es einen Mechanismus gibt, der Veränderungen verfolgt. Dieser Mechanismus ist bei jeder modernen Speicherlösung kostenlos - Snapshots!

Snapshots, die in der Regel nur einen minimalen Prozentsatz der Größe eines Datensatzes verbrauchen, beginnen anzuwachsen, indem sie Kapazität verbrauchen. Wenn Ihr Speicher-Array eine Überwachung beziehungsweise Alarmierung bei Kapazitätsverbrauch bereitstellt, kann das Unternehmen diesen Kapazitätsanstieg leicht erkennen und darauf reagieren, lange bevor die Angreifer die Benutzer aussperren.

 

Herausforderung 2 - Schnelle Reaktion auf einen Ransomware-Angriff

Falls der „stille“ Ransomware-Angriff in der Lage war, 100 Terabyte (TB) Daten zu verschlüsseln, beispielsweise während des Verlaufs einer Woche, sind auch die Backups dieser Woche gefährdet und können nicht zur Wiederherstellung der Daten verwendet werden. So sind die Administratoren nun gezwungen, 100 TB von einem Backup-Ziel über das Netzwerk wiederherzustellen, was Stunden dauern wird – und ohne jegliche Garantie, dass die Wiederherstellung keine beschädigten Dateien enthält.

Die Größe eines Snapshots gibt jedoch sofort Aufschluss darüber, ob er verschlüsselte Daten enthält.

Wenn also ein Unternehmen, welches Snapshots verwendet, auf diese zugreift, die enthaltenen Daten testen und sofort den richtigen Snapshot wiederherstellen kann, reduziert dies die Wiederherstellungszeit von Tagen auf Minuten.

 

Herausforderung 3 - Verhinderung des rasanten Anstiegs der Storage-Array-Auslastung

Ein Risiko, das im Rahmen eines Ransomware-Angriffs typischerweise nicht erwähnt wird, besteht darin, dass die zusätzliche Kapazität, die über die Zeit ihrer "stillen" Nutzung verbraucht wird, die Auslastung bestehender Speicher-Arrays von 80% auf 100% erhöhen kann, wodurch Anwendungen häufig abstürzen.

 

Ein größeres Speicher-Array bietet daher mehr Freiraum, damit Administratoren Zeit haben, den Ransomware-Angriff zu identifizieren und darauf zu reagieren. Gleichzeitig bedeutet es mehr Konsolidierung und damit ein höheres Risiko. Die von vielen heutigen Storage-Anbietern angebotene Dual-Controller-Architektur ist nicht zuverlässig genug, um mit solchen Datenmengen umzugehen.

 

 

Die exklusive InfiniBox-Lösung gegen Ransomware-Angriffe

Während die Hardware in einer InfiniBox zwischen den Verbrauchern geteilt und gebündelt wird, bietet sie auch Kapazitätspools, die es Kunden ermöglichen, kritische Anwendungen voneinander zu trennen. Auf diese Weise können die Kapazitätspools der InfiniBox den Kunden garantieren, dass der explosionsartige Anstieg der Auslastung in einem durch Ransomware betroffenen Bereich keine Anwendungen in anderen Pools beeinträchtigen kann.

 

Dies ähnelt der der Art und Weise, in der Kunden ihr Netzwerk segmentieren, um das Risiko dass Angreifer zwischen den Hosts wechseln, zu minimieren.

Andererseits passt der Vorrat an Puffern mit größerer Kapazität, um Ransomware-Angriffe zu identifizieren und auf sie zu reagieren, ohne dass die Auslastung explosionsartig ansteigt, gut zum hohen Kapazitäts- Design der InfiniBox. Damit ist die InfiniBox ideal für jede IT-Umgebung, die ein potenzielles Ransomware-Opfer ist.

Zusätzliche Vorteile, die Kapazitätspools zum Schutz vor Ransomware-Angriffen bieten:

  • Kapazitätsgarantien : Trennung von vorab zugeordneter (garantierter) Kapazität von nicht gebundener, gemeinsam genutzter Kapazität, die nur bei Bedarf genutzt wird.
  • Warnung : Echtzeit-Überwachung und sofortige Benachrichtigungsfunktion der Administratoren bei Bedrohungen.
  • Automatische Antwort : Wenn ein Pool vollständig ausgelastet ist, reagiert das System auf der Grundlage der für diesen Pool festgelegten Wachstums-Policy. Richtlinien können den Pool daran hindern:
    • Automatisches Wachstum - gilt in der Regel für unkritische Anwendungen
    • Beschränkt – erlaubt Wachstum nur in bestimmten Parametern - gilt in der Regel nur für wichtigere Anwendungen
    • Unbeschränkt – erlaubt es dem Pool, so viel wie nötig zu wachsen - unternehmenskritische Anwendungen, die nicht abstürzen dürfen, auch wenn sie sehr schnell wachsen

 

Der Schutz vor Ransomware-Angriffen (und Datenverlust im Allgemeinen) erfordert einen facettenreichen Ansatz. Snapshots bieten sowohl Erkennung als auch schnelle Wiederherstellung nach Angriffen, Kapazitätspools bieten die notwendige Trennung zum Schutz unternehmenskritischer Anwendungen und ein dynamisches Kapazitätsmanagement verhindert den Zwang zur Allokation von Kapazität vor der eigentlichen Bereitstellung.

 

Laden Sie das White Paper herunter: Die Auswirkungen umfassender Datensicherheit verstehen

Über Eran Brown
Eran Brown is the EMEA CTO at INFINIDAT.
Over the last 14 years, Eran has architected data center solutions for all layers — application, virtualization, networking and most of all, storage. His prior roles include Senior Product Management, systems engineering and consulting roles, working with companies in multiple verticals (financials, oil & gas, telecom, software, and web) and helping them plan, design and deploy scalable infrastructure to support their business applications.