Viele Maßnahmen zur Wiederherstellung nach einem Ransomware-Angriff beginnen auf dieselbe Weise. Jemand greift auf einen Notfallplan zurück. Ein anderer ruft den Anbieter der Backup-Lösung an. Und dann trifft der Plan, der wahrscheinlich für Naturkatastrophen oder versehentliches Löschen konzipiert wurde, auf die Realität und scheitert.

Die Lücken in der Wiederherstellungsbereitschaft sind bemerkenswert und hartnäckig gleichbleibend in allen Unternehmen, selbst in solchen, die massiv in Erkennung und Abwehr investiert haben. Dies deutet auf ein strukturelles Problem hin. Unternehmen haben Jahrzehnte damit verbracht, Sicherheitsprogramme aufzubauen und ihre Fähigkeit zu verbessern, Bedrohungen frühzeitig zu erkennen. Nur ein Bruchteil dieser Zeit wurde für die Wiederherstellungsfähigkeit aufgewendet, und wegweisende KI-Modelle wie Mythos machen deutlich, warum dies ein kostspieliger Fehler ist.

Die ohnehin schon niedrige Eintrittsbarriere für Ransomware-Betreiber wird bald praktisch nicht mehr vorhanden sein. Heutzutage können Angreifer fast jede Verteidigung durchbrechen, wenn sie nur motiviert genug sind. In einem Jahr, wenn das richtige KI-Modell Schwachstellen selbstständig aufspürt, müssen sie vielleicht nicht einmal mehr besonders motiviert sein.

Die Kosten eines ungetesteten Notfallplans steigen. Wenn Ihr Unternehmen diese Veränderungen nur unter dem Gesichtspunkt betrachtet, wie sich Bedrohungen schneller erkennen lassen, bleibt die Hälfte des Problems ungelöst.

Was Organisationen immer wieder falsch machen

Die unten aufgeführten Fehler treten nicht nur in Organisationen mit unzureichenden Sicherheitsprogrammen auf. Sie kommen auch in Unternehmen vor, die über ausgereifte Erkennungsmechanismen, kompetente Teams und beträchtliche Sicherheitsbudgets verfügen. Der gemeinsame Nenner ist, dass in die Wiederherstellungsfähigkeiten weniger investiert und diese weniger getestet wurden als die Erkennungsfähigkeiten.

Die Vertrauenslücke bei der Datensicherung

Das ist der gefährlichste Fehler, weil man glaubt, das Problem sei gelöst.

Sie haben Backups. Die Jobs werden ausgeführt. Das Dashboard zeigt „grün“ an. Sie berichten dem Vorstand, dass die Backups funktionieren. Sie haben das Häkchen gesetzt und sind weitergegangen – wahrscheinlich schon vor Jahren.

Dann kommt es zum Angriff. Können diese Backups einem Angreifer standhalten, der die Umgebung genau kennt, über privilegierte Zugangsdaten verfügt und gezielt die Backup-Infrastruktur ins Visier nimmt?

In der Praxis stellt Fenix24 häufig fest, dass sich die Backup-Infrastruktur im selben Netzwerksegment wie die Produktionsumgebung befindet. Wir finden „unveränderliche“ Repositorys, bei denen das Dienstkonto weiterhin über Löschberechtigungen verfügt. Wir finden Backup-Jobs, die seit Jahren erfolgreich abgeschlossen werden, ohne dass jemand eine vollständige Wiederherstellung überprüft hat.

Ransomware-Betreiber haben es auf Backups abgesehen, da diese es den Opfern ermöglichen, ohne Zahlung davonzukommen. Frontier-KI-Modelle, die Umgebungen selbstständig abbilden können, werden diese Angriffe präziser machen. Wenn ein Modell Schwachstellen im gesamten Betriebssystem aufspüren kann, findet es auch den Backup-Server, den Ihr Team vor drei Jahren eingerichtet und seitdem nie verlegt hat.

Zuverlässige Backups erfordern Unveränderlichkeit (ein Angreifer mit Administratorrechten kann sie dennoch nicht ändern oder löschen), Segmentierung (die Backup-Umgebung ist vom kompromittierten Netzwerk aus nicht erreichbar) und eine validierte Wiederherstellung (eine vollständige Wiederherstellung wurde getestet und nicht nur als abgeschlossener Vorgang bestätigt). Viele Unternehmen verfügen über eine dieser drei Eigenschaften. Weitaus weniger verfügen über alle drei. Und diejenigen, die alle drei erfüllen, sind in der Regel zu diesem Ergebnis gelangt, weil sie auf die harte Tour gelernt haben, was passiert, wenn man dies nicht tut.

Die RTO-Fiktion

Ihr RTO sieht 48 Stunden vor. Der Plan wurde ausgearbeitet, dem Vorstand vorgelegt und wurde Teil des gemeinsamen Risikobewusstseins der Organisation.

Großartig, aber… niemand hat jemals die Dauer einer vollständigen Wiederherstellung in einem Szenario gemessen, in dem die Identität kompromittiert ist, der Zugriff auf Backups eingeschränkt ist und das Team unter eingeschränkten Kommunikationsbedingungen arbeitet. Eine Tabletop-Übung, bei der jeder Notizen hat und das SIEM-System funktioniert, zählt nicht. Ein geplantes Wartungsfenster, in dem ein System aus dem Backup wiederhergestellt wird, zählt ebenfalls nicht.

Ein aussagekräftiger Wiederherstellungstest geht vom schlimmsten Fall aus. Das Identitätsmanagementsystem ist ausgefallen. Der Zugriff auf Backups ist eingeschränkt. Die Kommunikationsverbindungen sind beeinträchtigt. Die Hälfte des Teams trifft Entscheidungen, obwohl sie keine Nacht geschlafen hat. Der CISO ist auf Safari und hat kein Handy dabei.

In fast jedem Projekt sehen wir die Folgen von nicht getesteten RTOs. Die Zahlen auf dem Papier und die Realität vor Ort stimmen selten überein. Wenn sie voneinander abweichen, summieren sich die Folgen: Umsatzverluste, Betriebsstörungen, Kundenabwanderung, Reputationsschäden und regulatorische Risiken, die das Unternehmen nie in seine Risikostrategie einkalkuliert hat, weil es sich auf eine Zahl verlassen hat, die niemand getestet hatte.

Identitätswiederherstellung

Active Directory spielt bei Angriffen fast immer eine zentrale Rolle. Es sollte daher auch im Wiederherstellungsplan eine zentrale Rolle einnehmen. In der Praxis sehen wir ausgereifte, gut organisierte Pläne für die Wiederherstellung von Anwendungen und Datenbanken, doch sobald das Thema auf die Wiederherstellung von AD kommt, herrscht Schweigen. Keine Offline-Backups. Kein dokumentierter Wiederherstellungsprozess. Keine getesteten Schätzungen zur Wiederherstellungsdauer. Keine klare Antwort darauf, welche Domänencontroller nicht kompromittiert sind, welchen Dienstkonten man vertrauen kann oder wie privilegierter Zugriff sicher wiederhergestellt werden kann.

Dies ist von größerer Bedeutung, als in den meisten Wiederherstellungsplänen berücksichtigt wird. Nichts in den nachgelagerten Systemen ist vertrauenswürdig, solange die Identität nicht wiederhergestellt und als einwandfrei verifiziert wurde. Anwendungen, Datenbanken, Endgeräte, Dateifreigaben, Administratorzugriff, Dienstkonten, Cloud-Integrationen, privilegierte Arbeitsabläufe – all dies hängt auf die eine oder andere Weise von der Identität ab. Ist die Identität kompromittiert, ist im Umkehrschluss auch alles kompromittiert, was sich anhand dieser Identität authentifiziert.

Die Unternehmen, die die Wiederherstellung der Identitätsdaten gut bewältigen, haben dies bereits in der Praxis erprobt. Sie verfügen über Offline-Sicherungen des Active Directory. Sie haben einen dokumentierten und getesteten Prozess für die Wiederherstellung aus einem sauberen Zustand. Sie wissen, wie lange dies dauert, weil sie es gemessen haben. Alle anderen finden die Antwort erst in der schlimmsten Woche ihrer Karriere heraus.

Blindheit gegenüber Abhängigkeiten

Wenn die Umgebung ausfällt, stellt immer jemand die Frage, die über die Geschwindigkeit der Wiederherstellung entscheidet: „Was kommt als Erstes wieder?“

In viel zu vielen Unternehmen steckt die Antwort im Kopf eines einzigen Ingenieurs. Manchmal gibt es sie gar nicht.

Die Wiederherstellung ist keine Auflistung von Systemen. Es handelt sich um einen Ablauf. Man kann ein ERP-System nicht wieder in Betrieb nehmen, wenn die Datenbank, auf die es angewiesen ist, noch immer ausgefallen ist. Man kann Anwendungen nicht online schalten, wenn die Identitätsinfrastruktur, über die sie authentifiziert werden, noch nicht wiederhergestellt wurde. Man kann kritische Arbeitsabläufe nicht wiederherstellen, wenn das zugrunde liegende Netzwerk, der Speicher, das DNS, die Geheimnisse und die Dienstkonten fehlen oder kompromittiert sind.

Ohne ein aktuelles Abhängigkeitsmodell verlieren Wiederherstellungsteams wertvolle Zeit, weil sie die Wiederherstellung in der falschen Reihenfolge durchführen. Sie nehmen Anwendungen in Betrieb, bevor die Infrastruktur, von der diese Anwendungen abhängen, bereit ist. Sie entdecken fehlende Abhängigkeiten mitten in der Wiederherstellung, unter Zeitdruck, während das Unternehmen Verluste erleidet. Eine Wiederherstellung, die eigentlich nur Tage dauern sollte, zieht sich über Wochen hin, weil die Reihenfolge von Anfang an falsch war.

In den meisten Unternehmen sind die Daten zu den IT-Ressourcen über Dutzende von Tools verstreut. Sie sind veraltet. Sie widersprechen sich. Die CMDB sagt das eine, das Netzwerkteam sagt etwas anderes, und der Anwendungsverantwortliche, der den Überblick hatte, hat das Unternehmen vor acht Monaten verlassen. Unter normalen Betriebsbedingungen ist diese Fragmentierung lästig. Während einer aktiven Wiederherstellung ist sie verheerend.

Die Organisationen, die sich am schnellsten erholen, lösen dieses Problem nicht erst während des Vorfalls. Sie wissen es bereits. Tier-0-Systeme sind identifiziert. Abhängigkeiten werden anhand von Live-Daten und nicht anhand statischer Diagramme abgebildet. Wiederherstellungsabläufe werden auf der Grundlage realer Beziehungen erstellt und getestet, bevor sie benötigt werden. Alle anderen erstellen den Plan von Grund auf neu, unter Zeitdruck und ohne den nötigen Überblick.

Die Kluft zwischen Friedens- und Kriegszeiten

Sicherheitsprogramme werden in Friedenszeiten entwickelt und dokumentiert. In Friedenszeiten funktioniert das SIEM. Das SOC ist besetzt. Der Forensik-Partner ist nur einen Anruf entfernt. Die Mitarbeiter sind ausgeruht. Die Kommunikationswege stehen zur Verfügung. Entscheidungen können über Tage oder Wochen hinweg besprochen werden.

In Kriegszeiten ist es genau umgekehrt.

Die Organisationen, die in Kriegszeiten gut zurechtkommen, haben dies in der Regel bereits in Friedenszeiten geübt. Sie führten Simulationen durch, in denen Rettungsmaßnahmen, Koordination, Ablaufplanung und Entscheidungsfindung unter erschwerten Bedingungen getestet wurden. So fanden sie heraus, was im Ernstfall versagen würde.

Die betroffenen Organisationen gingen davon aus, dass der Plan funktionieren würde, sobald alles in Flammen stünde. Durch KI optimierte Angriffsabläufe werden dieses Feuer noch weiter anfachen.

Resilienz und Erholung in einer Welt nach der Pionierphase der KI

Die meisten Annahmen bezüglich Ausfallsicherheit und Wiederherstellbarkeit erweisen sich bei einem tatsächlichen Angriff als falsch.

• „Unveränderliche Backups“ erweisen sich letztendlich doch als nicht unveränderlich.
• Nicht nur Daten gehen verloren, sondern auch die Infrastruktur.
• Eine unzureichende Bestands- und Abhängigkeitserfassung führt zu Ausfallzeiten von mehreren Tagen oder Wochen.
• RTOs und RPOs sind unrealistisch.

Analysten legen alle Karten auf den Tisch, wenn es um die Zukunft der Resilienz geht. Möchten Sie einen Leitfaden für die Konzeption und Umsetzung echter Cyber-Resilienz? Laden Sie den neuen technischen Validierungsbericht von Omdia herunter: „Architect and Execute Resilience with Fenix24“.

Was entscheidet darüber, ob man überlebt

Drei Faktoren unterscheiden Unternehmen, die sich schnell erholen, von solchen, die wochenlang im Dunkeln tappen (oder sich gar nicht erholen). Frontier AI verändert nicht die Mechanismen. Es verändert die Geschwindigkeit. Dadurch wird jeder dieser Faktoren noch entscheidender, nicht weniger.

Die Identitätssicherung muss an erster Stelle stehen. Das ist nicht verhandelbar und der Schritt, den die meisten Unternehmen am wenigsten umgesetzt haben. Active Directory und die Identitätsinfrastruktur gehören zu den ersten Zielen eines modernen Ransomware-Angriffs. Sie müssen auch zu den ersten Dingen gehören, die wiederhergestellt werden. Nichts, was nachgelagert ist, kann als vertrauenswürdig angesehen werden, bis die Identität wiederhergestellt und als sicher verifiziert wurde. Anwendungen, Datenbanken, Dienstkonten, privilegierte Workflows, Cloud-Integrationen – all dies wird auf die eine oder andere Weise anhand der Identität authentifiziert. KI-gestützte Angriffe ändern nichts an dieser Abhängigkeitskette. Sie verkürzen lediglich die Zeit, die Ihnen zur Reaktion darauf bleibt.

Backups müssen nicht nur einen Hardwareausfall überstehen, sondern auch Angriffe abwehren. Die meisten Unternehmen verfügen über Backups. Doch die meisten haben keine Backups, die einem Angreifer standhalten, der über gültige Zugangsdaten verfügt, Ihre Umgebung kennt und genau weiß, wo sich die Backup-Infrastruktur befindet. Eine Backup-Strategie, die auf Hardwareausfälle oder versehentliches Löschen ausgelegt ist, ist nicht dasselbe wie eine Backup-Strategie, die für einen intelligenten Angreifer mit privilegiertem Zugriff konzipiert ist.

Die Wiederherstellung muss der tatsächlichen Abhängigkeitskette folgen, nicht der angenommenen. Man kann ein ERP-System nicht wieder in Betrieb nehmen, wenn die Datenbank, von der es abhängt, noch immer ausgefallen ist. Man kann kritische Arbeitsabläufe nicht wiederherstellen, wenn die zugrunde liegende Infrastruktur fehlt oder beeinträchtigt ist. Die Wiederherstellung ist ein Ablauf, und dieser Ablauf muss stimmen. In den meisten Unternehmen sind nicht erfasste Abhängigkeiten eine der Hauptursachen für Verzögerungen bei der Wiederherstellung. Eine automatisierte Abhängigkeitszuordnung auf Basis von Live-Telemetriedaten, die mit den Veränderungen der Umgebung Schritt hält, macht den Unterschied zwischen einem Wiederherstellungsplan, der die Realität widerspiegelt, und einem, der den Stand zum Zeitpunkt der letzten Aktualisierung einer Tabelle widerspiegelt.

Diese drei Faktoren galten bereits vor fünf Jahren. Und sie werden auch in fünf Jahren noch gelten. Was Mythos und die neuesten Entwicklungen in der KI verändern, sind die Kosten, die entstehen, wenn man hier Fehler macht. Wenn sich der Zeitablauf eines Angriffs so weit beschleunigt, dass er die menschliche Reaktionsgeschwindigkeit unterschreitet, wird jede Lücke in der Wiederherstellungsbereitschaft teurer und deutlicher sichtbar.

Berichtswürdige Kennzahlen zur Wiederherstellung

Wenn Ihre Berichterstattung an den Vorstand zwar die Erkennung, aber nicht die Behebung abdeckt, ist jetzt der richtige Zeitpunkt, dies zu ändern. Dies sind Kennzahlen, die ein CISO mit derselben Genauigkeit wie Erkennungskennzahlen ausweisen kann, und sie verändern die Diskussion.

Getestete Wiederherstellungszeit. Nicht die dokumentierte RTO. Die tatsächlich gemessene Zeit während einer Wiederherstellungsübung unter realistischen Sicherheitsverletzungsszenarien. Geben Sie die Anzahl und das Datum des letzten Tests an.

Überlebensrate der Backups. Prozentsatz der Backup-Speicherorte, die alle drei Kriterien erfüllen: unveränderlich, segmentiert und durch vollständige Wiederherstellung validiert. Eine einzige Kennzahl, die der Vorstand im Zeitverlauf verfolgen kann.

Abdeckung der Abhängigkeiten der Stufe 0. Prozentsatz der kritischen Anwendungen mit vollständig abgebildeten Abhängigkeitsketten und dokumentierten Wiederherstellungsabläufen. Dies gibt Aufschluss darüber, inwieweit die Wiederherstellung geplant ist und inwieweit sie improvisiert erfolgt.

Zeit für die Identitätswiederherstellung. Wie lange es dauert, Active Directory aus einem leeren Zustand wiederherzustellen. Wenn dieser Wert nicht getestet wurde, geben Sie ihn als „nicht getestet“ an.

Was in den nächsten 90 Tagen zu tun ist

Sie müssen die Frage der Wiederherstellungsbereitschaft nicht auf einen Schlag lösen, aber die Gefahr, dass die Gelegenheit verpasst wird, ist real. Die Aufmerksamkeit der Führungskräfte gilt derzeit den Bedrohungen durch KI. Nie wird es einfacher sein, Investitionen in die Wiederherstellung zu begründen, als im nächsten Quartal.

Überprüfen Sie die Ausfallsicherheit der Backups. Testen Sie, ob die Backups einem Angreifer standhalten, der gezielt darauf abzielt. Prüfen Sie die Unveränderlichkeit, die Segmentierung und die vollständige Wiederherstellung. Wenn Sie dies intern nicht mit der nötigen Sicherheit durchführen können, beauftragen Sie ein auf Ransomware-Wiederherstellung spezialisiertes Unternehmen, das sich beruflich damit befasst.

Erfassen Sie die Abhängigkeitsketten, die die Reihenfolge der Wiederherstellung bestimmen. Identifizieren Sie Tier-0-Systeme. Dokumentieren Sie, welche Anwendungen von welcher Infrastruktur abhängig sind. Erstellen Sie Wiederherstellungsabläufe auf der Grundlage tatsächlicher Zusammenhänge und nicht auf der Grundlage von Annahmen. Wenn Ihre Umgebung komplex genug ist, erfordert dies Tools, die Live-Telemetriedaten aus Ihrer gesamten Infrastruktur miteinander verknüpfen – und keine manuelle Tabelle, die schon veraltet ist, bevor Sie überhaupt auf „Speichern“ klicken.

Ermitteln Sie eine bewährte Wiederherstellungszeit. Führen Sie eine Wiederherstellungsübung durch, bei der Sie vom schlimmsten Fall ausgehen: Kompromittierung von Identitäten, gezielte Angriffe auf Backups, Beeinträchtigung der Kommunikation. Stoppen Sie die Zeit. Ermitteln Sie, an welchen Stellen das Team ins Stocken gerät. Diese Messung dient als Ihre Ausgangsbasis und ist die Zahl, die Sie Ihrem Vorstand vorlegen.

Berichten Sie über die Wiederherstellung parallel zur Erkennung. Nehmen Sie die oben genannten Kennzahlen in Ihre nächste Dashboard-Aktualisierung auf. Stellen Sie Erkennung und Wiederherstellung als zwei Hälften desselben Ganzen dar. Der Kontrast wird wahrscheinlich für sich selbst sprechen.

Wiederherstellungslücken sind keine statischen Risiken, mit denen man sich befassen kann, wann immer es gerade passt. Es handelt sich um Vermögenswerte, die an Wert verlieren. Mit jedem Quartal, das man wartet, wird es schwieriger, das Umfeld zu erfassen, werden die Abhängigkeiten komplexer und rückt die Leistungsfähigkeit des Angreifers Ihrer Wiederherstellungsfähigkeit immer weiter voraus.

CISOs haben sich über Jahre hinweg einen Platz am Tisch erkämpft, indem sie bewiesen haben, dass sie Risiken mindern können. Das nächste Jahrzehnt wird davon geprägt sein, zu beweisen, dass man den Betrieb auch während eines Sicherheitsvorfalls aufrechterhalten kann. Das erfordert andere Kompetenzen, andere Investitionen und andere Gespräche mit der Unternehmensleitung. Die Unternehmen, die dies frühzeitig erkennen, werden sich davon erholen. Diejenigen, die dies nicht tun, werden Wochen damit verbringen, Lektionen zu lernen, die sie in ruhigen Zeiten hätten lernen können.

Starten Sie mit einer Resilienzbewertung

Werden Ihre Backups einem entschlossenen Angreifer standhalten? Die Ausfallsicherheitsprüfung von Fenix24 stellt Ihre Umgebung auf die Probe, bevor dies durch einen Vorfall geschieht.

Die Ausfallsicherheitsbewertung basiert auf Argos99, unserer Ausfallsicherheitsplattform für Unternehmen, die Echtzeit-Telemetriedaten aus Ihrer gesamten Infrastruktur miteinander verknüpft, um alle Ressourcen, Abhängigkeiten und Lücken abzubilden. Das bedeutet, dass die Ausfallsicherheitsbewertung von Fenix24 die Backup-Abdeckung auf Anwendungsebene bewertet und nicht nur den Status einzelner Jobs. Sie ermittelt, was von was abhängt, und generiert aus diesen Beziehungen eine Wiederherstellungsreihenfolge. Alle unsere Bewertungen basieren auf den Erkenntnissen aus Hunderten von realen Wiederherstellungen nach Sicherheitsverletzungen.

Verzichten Sie auf Checklisten-Audits. Diese dienen oft nur dazu, das zu bestätigen, was Sie ohnehin schon zu wissen glauben – und nicht die Wahrheit. Vereinbaren Sie noch heute einen Termin für Ihre Resilienz-Bewertung. Kontaktieren Sie uns unter 423.305.7890 oder per E-Mail an info@fenix24.com.