Der aktuelle Ransomware-Angriff WannaCry legt weltweit Zehntausende Rechner lahm. Die Gründe sind vielfältig: nicht beseitigte Fehler bei Microsoft, Ausnutzung durch Geheimdienste, geleakte NSA-Angriffswerkzeuge, professionelle Cyber-Kriminelle auf der einen Seite, veraltete Betriebssysteme, nicht eingespielte Sicherheitspatches, fehlende Viren- und Malwareabwehr, mangelnde Ausbildung und Aufmerksamkeit der Anwender, unzureichende Datensicherheit und nicht ausreichende Datensicherung bei den Anwenderunternehmen.

Wir wollen uns nicht an der – teilweise bereits wieder hysterischen – Diskussion beteiligen, sondern auf die Möglichkeiten der Schaffung gesicherter Informationsbestände durch revisionssichere Archivierung nochmals hinweisen. Bereits vor zwei Jahren bei der Diskussion um Tempora, Keyscore & Co. hatten wir versucht, hierauf aufmerksam zu machen. Eine Reaktion der Information-Management-Branche hat es aber nicht gegeben.

Revisionssichere Archivierung kontra Ransomware: eine zweite Hürde einbauen

Revisionssichere Archivierung dient zur langfristigen, sicheren und unveränderbaren Aufbewahrung von elektronischen Informationen wie Dateien, Dokumenten, E-Mails, Datensätze usw. Sie stellen eigenständige geschlossene Systemumgebungen dar, die eigene Speicher mit speziellen Eigenschaften nutzen. Für die Arbeitsfähigkeit und für das Unternehmen überlebenswichtige Informationen, sogenannte “Authoritive” oder “Vital Records” gehören in eine Lösung, die sicher ist und mehrfach an verschiedenen Orten die notwendigen Informationen vorhält. Die Grundprinzipien der revisionssicheren Archivierung basieren unter anderem auf einem separaten, nur einmal beschreibbaren Speicher, kontrolliertem Archivieren von Objekten, wahlfreiem Zugriff auf einzelne Objekte und der Nachweisfähigkeit aller Aktionen durch Audit-Trails. Die Möglichkeiten dieser vier Eigenschaften als Schutz vor Ransomware sollen im Folgenden betrachtet werden.

Sichere Speicherung

Die revisionssichere Archivierung nutzt Repositories (Speichersysteme), die die archivierten Informationsobjekte unveränderbar speichern. Die Information wird gegen unkontrolliertes Löschen und Manipulation durch dedizierte Hardware, besondere Subsysteme oder durch Softwareschutz abgesichert. Dieses Prinzip wird WORM – Write Once, Read Many – bezeichnet. Die Verwaltung dieser Speicher erfolgt separat von anderen veränderbaren Speichern durch die spezielle Archivsystemsoftware. Ein nachträgliches Modifizieren von Dateien in diesem Speicher durch eine Ransomware wird durch das System verhindert und dedektiert. Ein vorhandenes Objekt kann durch eine Ransomware nicht mit einem veränderten Objekt überschrieben werden. Löschen und Ersetzen sind kontrollierte Vorgänge im revisionssicheren Archiv, die durch die Anwendung und die Datenbank gesteuert werden und externe Veränderungen auf Datei- und Speicherebene ausschließen. 

Eingangskontrolle

Bei der Übergabe von Informationsobjekten an ein revisionssicheres Archiv erfolgt eine Eingangskontrolle. in einem geordneten Archivbetrieb kann man nicht einfach Daten und Dokumente ins Archiv “wegschreiben”. Bei der Eingangskontrolle wird unter anderen geprüft, ob alle obligatorischen Metadaten vollständig und korrekt vorhanden sind und ob das Format des Informationsobjektes den Archivkonventionen. Hier wird der Dateityp geprüft. Dürfen z.B. keine E-Mails im MSG-Format archiviert werden sondern ist nur das PDF/A2a-Format zugelassen, würde hier ein Formatkonvertierungsprozess angestoßen. Auch kann hier eine Überprüfung auf Viren, ausführbaren Code, Signaturen, Verschlüsselung und andere Eigenschaften durchgeführt werden. Lässt sich das Dokument nicht interpretieren, weil es von einer Ransomware “gekapert” wurde, würde es nicht archiviert sondern in einen Prüfungsprozess ausgesteuert. So würde bereits beim ersten Auftreten einer verschlüsselten Ransomware-Datei diese beim Archivierungseingang identifiziert. Die Archivierung wird verhindert und es können in den bereitstellenden Systemen entsprechende Gegenmaßnahmen eingeleitet werden. Die Prüfung schützt so zumindest gegen Ransomware, die einzelne Dateien angreift (solche, die ganze Speicher verschlüsselt, natürlich nicht).

Wahlfreier Zugriff

Das Problem von Ransomware bei Datensicherungen ist, dass bei einem bereits länger zurückliegendem Angriff auch die Datensicherung bereits “gekapert” ist. Beim Zurückspielen würden ältere verschlüsselte Dateien zurückgeladen werden. Das Problem ließe sich dann auch durch eine komplette Neuinstallation der Softwareumgebung nicht beheben lassen. Bei der revisionssicheren Archivierung werden anders als bei der Datensicherung einzeln identifizierbare Informationsobjekte gespeichert, die über die Datenbank verwaltet werden. Sollten – bei mangelnder Eingangskontrolle – doch bereits gekaperte Objekte gespeichert worden sein, lassen sich diese ermitteln und von weiterer Nutzung ausschließen. Nicht-infizierte Informationsobjekte können ungefährdet weitergenutzt und auch wieder in die Anwendungsumgebung exportiert werden. Voraussetzung ist, das Zeitpunkt der “Infektion” und infizierte Objekte ermittelbar sind.

Audit-Trail

Revisionssichere Archivsysteme führen Journale, Logs, Protokolle und Audit-Trails, die die Nachvollziehbarkeit aller Transaktionen und Aktivitäten im Archivsytem ermöglichen. So lässt sich über den Audit-Trail des Archiveingangsjournals feststellen, wann welche Datei mit welchen Eigenschaften ins Archiv gelangt ist. Auch Angriffe mit Malware schlagen sich hier, z.B. in der Liste der zur Archivierung abgelehnten Informationsobjekte, nieder. Veränderungsversuche werden sichtbar und die Software/Anwender, von denen die Veränderungsversuche ausgehen, können identifiziert werden. Eine Veränderung dieser Protokolle selbst ist nicht möglich, da auch sieh archiviert werden.

Die Mechanismen der revisionssicheren Archivierung unterstützen den Schutz vor Veränderung, die Speicherung veränderter Objekte, die Identifikation von Veränderungen und Veränderungsversuchen. Ein besonders geschütztes und auch auf Ebene der Berechtigungen gesichertes revisionssicheres Archivsystem kann so auch die wichtigen Informationen des Unternehmens gegen Malware und Ransomware schützen. Aber es sichert auch die Verfügbarkeit und Richtigkeit von Informationen gegen andere Arten von Verlusten, Katastrophen, Beeinträchtigen, Betrugsversuchen etc. ab. Mit elektronischen Archiven können innerhalb der Informationslandschaft noch einmal extra abgegrenzte, geschützte Bereiche eingerichtet werden. Immerhin lässt sich so zumindest eine zweite Hürde aufbauen, wenn der Angreifer bereits im Unternehmensnetz unterwegs ist. Elektronische Archivsysteme in der Ausprägung der revisionssicheren Archivierung werden daher auch aus Datensicherheitsgründen immer wichtiger und bedeutender. Dennoch – auch sie bieten nur Schutz für bestimmte Bedrohungsszenarien und “absolute Sicherheit” gibt es in der Welt der Informations- und Kommunkationstechnologie nicht.

Ulrich Kampffmeyer

P.S. kann man WannaCry stoppen – ein Artikel im Guardian meint “ja”: ‘Accidental hero’ finds kill switch to stop spread of ransomware cyber-attack
P.P.S. … und Microsoft liefert Sicherheits-Patches gegen #WannaCry für ältere Betriebssystem-Versionen
P.P.P.S. … und “Nein”, wir sind nicht betroffen 😉