Datenleck bei Shimano 4,5 TB Daten von russischen Hackern gestohlen

Zur Auflösung des Dilemmas:

Wie hier einige schon geschrieben haben:
Attacken zu 100% zu verhindern geht nicht.

Was aber geht:
Seine Daten so wegsichern, dass man keinen Verlust erleidet.. und ein Konzept parat haben, womit man nach Verlust/Verschlüsselung/etc. der Produktivsysteme schnell aus der Sicherung wieder an den Start kommt.

Engstirnig ist es, dies nicht zu haben/zu machen/aufzubauen/etc. -> "ach.. uns passiert sowas schon nicht"

Oder auch: Kein Backup, kein Mitleid

p.s. bei uns im Unternehmen gibt es zwar inkrementelle appending backups in kurzen Intervallen, die das Thema ransomware quasi aushebeln.. uns fehlt es nur aktuell an den Kapazitäten um das Wiederherstellen der Produktivsysteme zeitlich zu optimieren.. =(
Naja.. und ohne Windows-Server, Active-Directory, Outlook, MS-Cloud-kram, etc.. sind wir auch nicht so attraktiv für scriptkiddies =)

und wie verhinderst Du ein komprommitiertes Backup bzw wie ist sichergestellt, dass da die Sch.... nicht von vorne anfängt, nach dem das Backup wieder hergestellt ist? Über die Sinnhaftigkeit eines Backups müssen wir nicht diskutieren, aber einfach mal eben Daten zurück spielen ist es auch nicht...

Die müßte doch insoferne geschützt sein, als dass man keine (fremden, von außen) Programme zulässt; egal ob Excel, Word oder eine exe Datei.
Selbst bei Windows 10/11 wird man als Privatperson gefragt, ob man dies und jenes Programm installieren möchte...

Es gibt Wege ausführbare Dateien an den gängigen Schutzmaßnahmen vorbeizuschmuggeln. Braucht es nicht viel für, ist praktisch kaum zu verhindern und hat gute Erfolgschancen. Leider klicken viele Benutzer auf alles was sich anklicken lässt. Dazu gehört auch ein "JA, ich weiß, dass das was ich hier gerade mache unsicher ist aber das mache ich immer so weil in Prozess x kommt auch immer diese Abfrage und deshalb klicke ich hier auch auf Ja, weil ich muss die Arbeit ja machen und die Bewerbung muss ich ja aufmachen nicht das wer traurig ist und die Rechnung von der Firma die ich nicht kenne muss ich auch noch ansehen, wie soll ich das denn sonst machen?"

und wie verhinderst Du ein komprommitiertes Backup bzw wie ist sichergestellt, dass da die Sch.... nicht von vorne anfängt, nach dem das Backup wieder hergestellt ist? Über die Sinnhaftigkeit eines Backups müssen wir nicht diskutieren, aber einfach mal eben Daten zurück spielen ist es auch nicht...

Darum appending Backups.. ich kann jederzeit auf das backup "davor" zurückgreifen.. ransomware kann dort nicht greifen.*

"Backup" ist ein Konzept.. das Sichern von Daten ist nur ein Teil davon.. Wenn ich gesicherte Daten nicht zurückspielen kann, habe ich kein Backup.
Ein weiterer Teil wäre z.B., dass das Produktivsystem während dem zurückspielen der Daten nur durch den Admin erreichbar ist und der sich dann direkt um Updates und Zugangsdaten kümmert -> Das Einfallstor schließt, bevor jemand anderes als er selber wieder mit dem Produktivsystem kommunizieren kann.
Noch besser ist, wenn credentials und Daten getrennt sind.. und ein Update bei credentials zu erst stattfindet und dann die Daten eingespielt werden.

Konteptionell sind sichere Systeme (relativ) schnell zusammengeschrieben.. es hapert meist an der Umsetzung. Sowohl bei dem Willen, der Kompetenz aber auch wegen komplexer Integration. Gründe gibt es viele. Aber viele davon sind auch handlebar - wenn man es möchte.

Genauso ist auch das Thema "Firewall" ein Konzept und nicht einfach nur ein Stück Hardware oder Software..


*
Zur Erklärung für die, die nicht wissen was das ist:
"to append" = hinzufügen. Bei einem Appending Backup wird einer vorhandenen Datensicherung immer nur in einer eigenen Session etwas hinzugefügt und altes wird zur Löschung nur markiert. Dabei sind die bereits vorhandenen Daten zur Bearbeitung gesperrt. Wenn also Rechner A Daten auf Rechner B sendet um sie dort im "Backup" zu sichern, hat Rechner A keine Möglichkeit ransomware über das ganze Backup laufen zu lassen, sondern nur über die aktuelle hinzugefügte Sicherung.

Wenn man dann noch Platz sparen will, macht man das ganze "inkrementell". Das heißt, dass nicht jedesmal alle Daten hinzugefügt werden, sondern nur die Daten, die sich von der letzten Sicherung unterscheiden.

Und beim Wiederherstellen kann man dann jede einzelne Sicherungssession auch einzeln ansteuern/auslesen.

Wir verwenden dazu z.B. restic + restic-rest-server
Und zusätzlich noch eine redundante Kopie des ganzen auf einem komplett entkoppelten System

Nach wohin?
Auf dem Server der angegriffenen Firma?
Die müßte doch insoferne geschützt sein, als dass man keine (fremden, von außen) Programme zulässt; egal ob Excel, Word oder eine exe Datei.
Selbst bei Windows 10/11 wird man als Privatperson gefragt, ob man dies und jenes Programm installieren möchte...

Erstmal auf den Client auf dem die Datei ausgeführt wurde. Brauchst ja einen "Einsprungpunkt" ins Netz auf dem man sich einnisten und gemütlich machen kann.

Danach kann erstmal beobachtet werden was passiert so im Netz und auf dem Rechner.
Und ja müsste eigentlich alles geschützt sein...aaaaber....

Es gibt Wege ausführbare Dateien an den gängigen Schutzmaßnahmen vorbeizuschmuggeln. Braucht es nicht viel für, ist praktisch kaum zu verhindern und hat gute Erfolgschancen. Leider klicken viele Benutzer auf alles was sich anklicken lässt.