· Mehdi Aroui · cybersecurity  · 2 min read

EKING-Ransomware: Backups sichern mit Zugriffstrennung

Der EKING-Trojaner verschlüsselte 2021 Dateien, Netzlaufwerke und NAS-Sicherungen eines Unternehmens. Der Angriff zeigt, warum Backup-Konzepte mit Zugriffstrennung entworfen werden müssen.

Auch vier Jahre nach dem Vorfall bleibt er lehrreich, weil der beschriebene Konfigurationsfehler (gemeinsame Zugangsdaten für Betrieb und Backup) in der Praxis häufig anzutreffen ist. Im April 2021 traf der EKING-Crypto-Trojaner ein Unternehmen und verschlüsselte systematisch lokale Dateien, Netzlaufwerke und den NAS-Speicher. Besonders gravierend: Auch die Backups auf dem NAS waren betroffen. Schattenkopien und frühere Dateiversionen existierten nach dem Angriff nicht mehr.

Der Grund war ein klassischer Konfigurationsfehler, der sich in der Praxis häufig findet.

Das zentrale Problem: Shared Credentials für Arbeit und Backup

Der gleiche Benutzeraccount wurde sowohl für die tägliche Arbeit als auch für den Backup-Zugriff auf die NAS verwendet. Dieses Muster sehen wir regelmäßig in Hamburger KMU. Als EKING den Nutzerkontext übernahm, hatte die Schadsoftware denselben Zugriff wie das Backup-System. Die Sicherung war für den Trojaner genauso erreichbar wie für den Mitarbeitenden.

Das ist kein Einzelfall. Viele Backup-Konfigurationen wachsen organisch und werden nie auf Zugriffstrennung geprüft.

Was ein angreifbares Backup-Konzept kennzeichnet

  • Backup-Dienst läuft unter demselben Konto wie der Benutzer
  • NAS oder Backup-Speicher ist dauerhaft als Laufwerk eingebunden
  • Keine Offline-Komponente im Backup-Konzept
  • Shadow Copies als einzige Wiederherstellungsoption
  • Keine regelmäßige Wiederherstellungstests

Was ein robustes Backup-Konzept erfordert

Getrennte Benutzerkonten

Das Backup-System verwendet ein eigenes Dienstkonto mit minimalen Rechten, das keine Verbindung zu aktiven Nutzerkonten hat. Ein Trojaner, der einen Benutzeraccount übernimmt, kommt an das Backup-Konto nicht heran.

Offline-Komponente nach dem 3-2-1-Prinzip

Mindestens eine Backup-Kopie muss physisch oder logisch vom laufenden System getrennt sein. Das bedeutet entweder ein Wechselmedium, das nicht dauerhaft angeschlossen ist, oder Cloud-Backup mit eigenem Zugangssystem, das nicht über dasselbe Konto erreichbar ist.

Keine dauerhaft eingebundenen Backup-Laufwerke

Ein NAS-Laufwerk, das als Netzlaufwerk dauerhaft verbunden ist, gilt für Ransomware als erreichbares Ziel. Backup-Verbindungen sollten nur während des Backup-Prozesses aktiv sein.

Regelmäßige Wiederherstellungstests

Ein Backup, das nie getestet wurde, ist kein Backup. Netzleiter führt im Rahmen des Managed Service regelmäßige Restore-Tests durch und dokumentiert die Ergebnisse.

Was Veeam hier leistet

Veeam Backup mit korrekter Konfiguration trennt Backup-Konten, verschlüsselt Backup-Daten und kann immutable Backups in der Cloud ablegen, auf die auch Trojaner mit Administratorrechten keinen Schreibzugriff haben. Netzleiter setzt Veeam für Unternehmen und Praxen in Hamburg ein.

Fragen zur Backup-Sicherheit: Hotline 040 25 499 500 oder support@netzleiter.com.

Share:
Back to Blog

Related Posts

View All Posts »
NotPetya 2017: Supply-Chain-Lessons für KMU

NotPetya 2017: Supply-Chain-Lessons für KMU

NotPetya war kein gewöhnlicher Ransomware-Angriff, sondern ein staatlicher Sabotageakt mit weltweitem Kollateralschaden. Die Verschlüsselungsfehler waren damals Hoffnungsschimmer. Heute sind die Lehren daraus Pflichtlektüre für jeden KMU-Entscheider.

WannaCry 2017: Lessons Learned für KMU 2026

WannaCry 2017: Lessons Learned für KMU 2026

WannaCry befiel im Mai 2017 über 200.000 Systeme in 150 Ländern in 72 Stunden. Der Angriff war technisch nicht neu, aber die Ausbreitung war rekordschnell. Was KMU daraus heute noch lernen können.