Malware entfernen Teil-7: Backup einspielen
25. Oktober 2016Falls die Systeme in den Unternehmen Opfer von Malware werden, können unterschiedliche Wege beschritten werden. Neben dem Beenden der Viren-Dienste, dem Scan mit Analysetools zur Bestimmung der jeweiligen Schadsoftware-Typen, der Entfernung von Werbe-Adware, oder einem Tiefen-Scan sowie Suchdurchlauf im externen System sollten die Systembetreuer auch immer eine kompletten Löschvorgang ins Auge fassen.
Denn nur wenn alle Daten auf der Festplatte entfernt werden, können die Systembetreuer (beinahe) sicher sein, alle Schädlinge „erwischt“ zu haben. Allerdings ist dabei noch eine gewisse Einschränkung zu beachten: Schließlich ist es denkbar. Dass sich Schadsoftware noch in anderen Teilen der Hardware „versteckt“.
Beispielsweise wäre es denkbar, dass sich Schadsoftware über UEFI-Funktionen (Unified Extensible Firmware Interface) auch auf der Hauptplatine (im EPROM der BIOS-Firmware) breitgemacht hat. Daher sollten die Systembetreuer auch immer ein Auge auf nicht-flüchtige Speicher in den Systemen haben, die auf den ersten Blick nicht gerade offensichtlich sind. Etwa SD-Speicherkarten für Hypervisoren in Server-Systemen, die bereits angesprochenen Möglichkeit einer „BIOS-Infektion“ oder M.2-Speicherriegel, die direkt auf dem Mainboard aufgesteckt werden.
In der Regel genügt es allerdings, die „normalen“ Massenspeicher wie SSDs oder HDDs des befallenen Systems neu zu formatieren, und beispielsweise eine Neuinstallation oder ein Backup einzuspielen. Eine Wiederherstellung mit einem entsprechenden Datensicherungs-Programm stellt dabei meist die effizientere Wahl dar. Schließlich ist dies ja eine der Hauptaufgaben für die Datensicherungs-Strategien in den Unternehmen: Bei Problemen mit der Software oder einem Datenverlust soll ein bereits gesicherter Systemzustand samt Betriebssystem, Treiber, Applikationen und Nutzdaten schnell wiederherstellbar sein.
Wenn das Sicherungskonzept entsprechend durchdacht wurde, und die einzelnen Sicherungen korrekt ausgeführt wurden, helfen Backups weiter, um die betroffenen Systemen schnell und effizient wiederherzustellen. Allerdings gilt es auf einige Details zu achten:
- Backups sollten regelmäßig erstellt und geprüft werden,
- zudem muss sichergestellt werden, dass die Wiederherstellungen einwandfrei ablaufen, am besten durch regelmäßige Tests der Restore-Funktion,
- dann müssen die Backup-Datensätze an unterschiedlichen Standorten auf unterschiedlichen Medien verteilt werden, etwa um der Verschlüsslung des einzigen Backup-Mediums durch Ransomware zu verhindern,
- um auf „Nummer sicher zu gehen“ können die Systembetreuer „verseuchte“ Massenspeicher auch sicher löschen, um alle Spuren definitiv zu beseitigen,
- der Backup-Datensatz muss taktisch klug gewählt werden, denn ansonsten kann es sein, dass sich der Schädling zum Zeitpunkt des Backup-Jobs schon auf dem System befunden hat, und mit dem Restore-Vorgang wiederhergestellt wird.
Entsprechend vorbereitet können die Systembetreuer Vireninfektionen, Malware-Attacken, Dive-by-Downloads oder Verschlüsselungstrojaner relaxed entgegen sehen, denn eine zuverlässige Backup-Strategie und deren korrekte Durchführung hilft zwar nicht gegen eine Infektion mit Schadsoftware, aber um die Folgen müssen sich die Administratoren (fast) keine Sorgen mehr machen. So heißt es dann für die Malware „Rien ne va plus“, und nicht für die Systeme der Mitarbeiter.