Das Einmaleins der Ransomware-Wiederherstellung

In der Praxis testen Unternehmen die Wiederherstellung kritischer VMs regelmäßig – und können diese in wenigen Stunden wieder zum Laufen bringen. Was sie eher nicht testen, ist die Wiederherstellung aller VMs, wie sie etwa nach einem erfolgreichen Ransomware-Angriff notwendig sein kann. Derartige Angriffe sind heute jedoch allgegenwärtig – und mit ihnen die Meldungen über Unternehmen, die teils wochenlang nicht arbeitsfähig sind. Dies liegt zum einen an veralteten Backup-Technologien, wie etwa Snapshots, und zum anderen daran, dass die menschlichen Ressourcen zur Wiederherstellung von Applikationen sehr begrenzt sind. Kennt man diese Ressourcen, so lässt sich die Dauer der Wiederherstellung einer kompletten Umgebung relativ einfach berechnen.

Dauer der Wiederherstellung muss Work-Recovery-Time beinhalten

Die Wiederherstellung einer Anwendung besteht prinzipiell aus zwei Teilen: Der Wiederherstellung der Daten via Backup und der Wiederherstellung der Anwendungen inklusive aller benötigten Workloads, Beachtung der Boot-Reihenfolgen und die Verknüpfung von IPs oder Netzwerk. Beide Bestandteile können zeitaufwändig sein, je nachdem wie groß die Datenmenge des Backups oder wie komplex die Anwendung ist. Die Zeit, die Anwendung wieder funktionsfähig zusammenzubauen, wird als Work-Recovery-Time (WRT) bezeichnet. Für die Wiederherstellung der Daten gibt es im Allgemeinen eine maximal tolerierbare Zeitspanne: Recovery-Time-Objectice (RTO). Dieses ist zwar nicht immer aber doch meistens grob bekannt. Die Work-Recovery-Time (WRT) ist dagegen unbekannt und wird nie getestet. Eine komplette Anwendung wiederherzustellen, dauert folglich RTO plus WRT. Sind diese Kennzahlen bekannt, lässt ich relativ einfach ausrechnen, wie lange es dauern würde, alle Anwendungen nach einem Ransomware-Angriff wiederherzustellen. Ist der Schaden beziffert, den der Ausfall der IT anrichtete, stellt sich die Frage, ob es nicht günstiger wäre, die Cyberkriminellen zu bezahlen.

Für ein Rechenbeispiel liegen folgende Zahlen zugrunde:

·      Das von Ransomware betroffene Unternehmen betreibt 1000 VMs und 200 Anwendungen, die als kritisch gelten und bei einer Wiederherstellung so schnell wie möglich wieder laufen sollen.
·      Die mittlere Wiederherstellungszeit RTO+WRT pro Anwendung beträgt drei Stunden.
·      Das Unternehmen beschäftigt fünf Teams, die imstande und berechtigt sind, Anwendungen wiederherzustellen.
·      Die Arbeitszeit pro Team beträgt während der Wiederherstellungsperiode 12 Stunden pro Tag.


Fragen
a) Wie viele Tage werden benötigt, bis das Unternehmen alle kritischen Anwendungen wiederhergestellt hat?
b) Wie viele Tage würden benötigt, wenn das Unternehmen mittels Überstunden seinen Teams das Maximum abverlangte und diese 16 Stunden am Tag arbeiteten?

Bonusfrage: Nach wieviel Tagen intensiver Arbeit haben die IT-Kräfte ihren Lebenslauf aktualisiert und an Unternehmen verschickt, die moderne Wiederherstellungslösungen im Einsatz haben, mit denen man Dateien, VMs, Anwendungen und sogar ganze Rechenzentren in einem benutzerfreundlichen Workflow mit nur wenigen Klicks in Minutenschnelle wiederherstellen kann?

Antworten
a) Fünf Teams arbeiten 12 Stunden täglich. Das sind 60 Arbeitsstunden für die Wiederherstellung. Pro Tag werden demnach 20 Anwendungen wiederhergestellt. 200 kritische Anwendungen durch 20 ist gleich 10 Tage.
b) Dank Überstunden verdoppelt sich die Zeit der wiederhergestellten Anwendungen auf 40. Damit halbiert sich die Zeit auf fünf Tage Wiederherstellungsdauer.

Bonusantwort: Je nachdem wie weit die Kaffeemaschine und der Snack-Automat vom Schreibtisch entfernt sind, zwischen zwei und drei Tagen.

Fazit: Warum wochenlang wiederherstellen, wenn es auch in Stunden geht?

Reinhard Zimmer, Zerto

Im Alltag der meisten Unternehmen fallen in der Regel nur einzelne Applikationen aus. Für die Wiederherstellung steht dann immer die ganze Aufmerksamkeit, sowohl der Backup- als auch der Applikationsfachleute zur Verfügung, und die Wiederherstellung erfolgt entsprechend in akzeptabler Zeit von wenigen Stunden. Groß angelegte Ransomware-Angriffe verschlüsseln jedoch die Daten der kompletten Umgebung und machen damit die Wiederherstellung sämtlicher Anwendungen notwendig. Das übersteigt die Ressourcen der Teams und lässt die Wiederherstellung der gesamten Umgebung Wochen bis Monate dauern. Auch die Fragen, wie teuer ein solcher Angriff für das Unternehmen ist, und ob es nicht wirtschaftlicher wäre, die Lösegeldforderung zu bezahlen, lassen sich relativ einfach errechnen. Egal wie man es dreht und wendet: Früher oder später werden sich die Verantwortlichen betroffener Organisationen, folgende Frage stellen müssen: Warum mein Unternehmen zehn Tage zur Wiederherstellung benötigt, wenn es doch in wenigen Stunden geht?

Von Reinhard Zimmer, Zerto