Ganz schön kniffelig: Ransomware-Wiederherstellung

Ein Artikel von Reinhard Zimmer ist Regional Sales Manger bei Zerto. | 02.05.2022 - 10:43

Die Wiederherstellung einer Anwendung besteht prinzipiell aus zwei Teilen: Der Wiederherstellung der Daten via Backup und der Wiederherstellung der Anwendungen inklusive aller benötigten Workloads, Beachtung der Boot-Reihenfolgen und die Verknüpfung von IPs oder Netzwerk. Beide Bestandteile können zeitaufwändig sein, je nachdem wie groß die Datenmenge des Backups oder wie komplex die Anwendung ist. Die Zeit, die Anwendung wieder funktionsfähig zusammenzubauen, wird als Work Recovery Time (WRT) bezeichnet.

Für die Wiederherstellung der Daten gibt es im Allgemeinen eine maximal tolerierbare Zeitspanne: Recovery Time Objectice (RTO). Dieses ist zwar nicht immer aber doch meistens grob bekannt. Die Work Recovery Time (WRT) ist dagegen unbekannt und wird nie getestet. Eine komplette Anwendung wiederherzustellen, dauert folglich RTO plus WRT. Sind diese Kennzahlen bekannt, lässt ich relativ einfach ausrechnen, wie lange es dauern würde, alle Anwendungen nach einem Ransomware-Angriff wiederherzustellen. Ist der Schaden beziffert, den der Ausfall der IT anrichtete, stellt sich die Frage, ob es nicht günstiger wäre, die Cyberkriminellen zu bezahlen.

Für ein Rechenbeispiel liegen folgende Zahlen zugrunde:

  • Das von Ransomware betroffene Unternehmen betreibt 1000 VMs und 200 Anwendungen, die als kritisch gelten und bei einer Wiederherstellung so schnell wie möglich wieder laufen sollen.
  • Die mittlere Wiederherstellungszeit RTO+WRT pro Anwendung beträgt drei Stunden.
  • Das Unternehmen beschäftigt fünf Teams, die imstande und berechtigt sind, Anwendungen wiederherzustellen.
  • Die Arbeitszeit pro Team beträgt während der Wiederherstellungsperiode 12 Stunden pro Tag.

Diese Fragen sollten sich Banken und Versicherungen stellen

  • Wie viele Tage werden benötigt, bis das Unternehmen alle kritischen Anwendungen wiederhergestellt hat?
  • Wie viele Tage würden benötigt, wenn das Unternehmen mittels Überstunden seinen Teams das Maximum abverlangte und diese 16 Stunden am Tag arbeiteten?
  • Bonusfrage: Nach wieviel Tagen intensiver Arbeit haben die IT-Kräfte ihren Lebenslauf aktualisiert und an Unternehmen verschickt, die moderne Wiederherstellungslösungen im Einsatz haben, mit denen man Dateien, VMs, Anwendungen und sogar ganze Rechenzentren in einem benutzerfreundlichen Workflow mit nur wenigen Klicks in Minutenschnelle wiederherstellen kann?

Mögliche Antworten

  • Fünf Teams arbeiten 12 Stunden täglich. Das sind 60 Arbeitsstunden für die Wiederherstellung. Pro Tag werden demnach 20 Anwendungen wiederhergestellt. 200 kritische Anwendungen durch 20 ist gleich 10 Tage.
  • Dank Überstunden verdoppelt sich die Zeit der wiederhergestellten Anwendungen auf 40. Damit halbiert sich die Zeit auf fünf Tage Wiederherstellungsdauer.
  • Bonusantwort: Je nachdem wie weit die Kaffeemaschine und der Snack-Automat vom Schreibtisch entfernt sind, zwischen zwei und drei Tagen.

Fazit: Warum wochenlang wiederherstellen, wenn es auch in Stunden geht?

Reinhard Zimmer Zerto.jpg

Autor: Reinhard Zimmer ist Regional Sales Manger bei Zerto und Spezialist für die Absicherung virtueller Infrastrukturen. Zerto, ein Unternehmen von Hewlett Packard Enterprise, ermöglicht es Kunden, ihr Geschäft "Always-on" zu betreiben, indem es den Schutz, die Wiederherstellung und die Mobilität von On-Premises- und Cloud-Anwendungen vereinfacht.  © Valerija Ecker

Im Alltag der meisten Unternehmen fallen in der Regel nur einzelne Applikationen aus. Für die Wiederherstellung steht dann immer die ganze Aufmerksamkeit, sowohl der Backup- als auch der Applikationsfachleute zur Verfügung, und die Wiederherstellung erfolgt entsprechend in akzeptabler Zeit von wenigen Stunden.

Groß angelegte Ransomware-Angriffe verschlüsseln jedoch die Daten der kompletten Umgebung und machen damit die Wiederherstellung sämtlicher Anwendungen notwendig. Das übersteigt die Ressourcen der Teams und lässt die Wiederherstellung der gesamten Umgebung Wochen bis Monate dauern. Auch die Fragen, wie teuer ein solcher Angriff für das Unternehmen ist, und ob es nicht wirtschaftlicher wäre, die Lösegeldforderung zu bezahlen, lassen sich relativ einfach errechnen. Egal wie man es dreht und wendet: Früher oder später werden sich die Verantwortlichen betroffener Organisationen, folgende Frage stellen müssen: Warum mein Unternehmen zehn Tage zur Wiederherstellung benötigt, wenn es doch in wenigen Stunden geht?