Meldung

Getestet: Backup-Software gegen Ransomware

Zu einem guten Sicherheitskonzept gehört neben Virenschutz auch eine Backup-Software. Gerade in Zeiten immer ausgefuchsterer Ransomware-Angriffe können neue und spezialisierte Datensicherungsprogramme helfen, Zeit, Geld und Nerven zu sparen. AV-TEST stellte vier Backup-Programme auf den Prüfstand.
Wie gut schützt Backup-Software vor Ransomware? AV-TEST hat vier Kandidaten getestet.
Ist der Virenschutz überwunden und blockiert ein Sperrbildschirm den Zugriff auf das System und wichtige Dateien, teilt sich die Gruppe von Windows-Anwendern in zwei Lager: in das der Ransomware-Opfer und das der Nutzer von Backup-Programmen. Letztere können Angriffen durch Erpresser-Trojaner deutlich gelassener entgegensehen. Denn sie verfügen über eine zusätzliche Schutzstufe zur Verteidigung gegen aggressive Malware-Attacken.

Im Idealfall erkennt ein Datensicherungsprogramm die Attacke, stoppt sie und stellt das System oder angegriffene Dateien auf den letzten sicheren Speicherstand zurück. Geht das nicht, lassen sich immerhin die letzten sicheren Speicherstände wiederherstellen. Die Experten von AV-TEST [1] überprüften in diesem Test neben klassischen Backup-Funktionen die Bedienbarkeit und Geschwindigkeit von Sicherung und Wiederherstellung als auch die Reaktion der Programme auf Angriffe mit aktueller Malware.

Während viele Hersteller ihre Datensicherungsprogramme ebenso wenig wie viele PC-Nutzer als Bestandteil einer solchen zweistufigen Sicherheitsstrategie begreifen, gehen andere Hersteller neue Wege: Mit „Acronis True Image 2017 New Generation Premium“ 21.0.0.6106, „Carbonite Personal PLUS“ 6.2.1 build 6804, „CrashPlan for Home“ 4.8.0 1435813200480 und „IDrive“ 6.5.1.23 werben vier Backup-Programme einer neuen Generation um das Vertrauen der Nutzer. All diese Backup-Angebote beherrschen konventionelle Backup-Methoden, etwa Sicherungskopien einzelner Dateien, sowie komplette Speicherabbilder eines kompletten Systems (Image) auf Datenträger, z. B. externe Festplatten.

Echtheitsprüfung in der Cloud
Über den in den Kaufangeboten enthaltenen Cloud-Speicher hinaus bieten die Programme noch weitere Funktionen. Dazu gehört etwa die „Echtheitsprüfung“ von Dateien über digitale Erkennungsmuster, die in einer geschützten Online-Datenbank gespeichert sind. So lässt sich feststellen, ob eine Datei im gespeicherten Ursprungszustand vorliegt oder nachträglich verändert wurde.

Mit dieser Cloud-Technologie lässt sich ebenfalls erkennen, ob Dateien durch eine Malware-Attacke verändert wurden, wie es etwa bei einer ungewollten Verschlüsselung durch Erpresser-Trojaner der Fall wäre. Stellt die Software beim Online-Abgleich im Hintergrund eine solche wahrscheinlich ungewollte Veränderung fest, kann sie den Nutzer warnen und eine womöglich infizierte Datei gegen deren letzten sicheren Speicherstand ersetzen.

Nur ein Programm mit aktiver Schädlingserkennung
Im Test mussten die Backup-Programme Test-PCs unter Windows 7 und deren Datenbestand gegen aktuelle Ransomware-Versionen verteidigen. Darunter waren unter anderem zwei brandaktuelle Versionen des weit verbreiteten Kryptotrojaners Cerber, der sich über schädliche Mail-Anhänge sowie infizierte Websites verbreitet.

Zur Abwehr von Verschlüsselungstrojanern bedienten sich die Programme unterschiedlicher Methoden. True Image von Acronis war dabei das einzige Produkt im Test, das mit einer aktiven Schädlingserkennung punkten konnte: Über eine verhaltensbasierte Schädlingserkennung über die Acronis-Cloud wurden Ransomware-Samples erkannt und blockiert, sobald sie ihr schädliches Potential auf den Testsystemen entfalteten. Solche Schutzfunktionen lassen sich auch über eigenständige Anti-Ransomware-Software ergänzen.

Alle anderen Testkandidaten boten solch aktive Erkennung zwar nicht, wussten im Test aber durch meist sichere Wiederherstellung der Backups infizierter Dateien zu punkten. Um auf diesem Wege guten Schutz zu bieten, ist eine kurze Sicherungsfrequenz entscheidend. Je kürzer das Sicherungsintervall, desto aktueller sind die zurückspielbaren Rettungsdateien. In diesem Testpunkt konnte IDrive punkten. Die Software sicherte Daten auf den Testsystemen in den überprüften Standardeinstellungen alle 20 Sekunden. Ganz anders Carbonite: Die Software erstellte die erste Sicherungskopie nach zehn Minuten Arbeitseinsatz. Die nächste Sicherung ist jedoch erst am Folgetag, nämlich exakt nach 24 Stunden, möglich und damit deutlich zu lange, um effektiv beim Schutz vor Ransomware zu unterstützen.

Große Geschwindigkeitsunterschiede
Einen weiteren entscheidenden Punkt im Test von Backup-Programmen stellt die Geschwindigkeit bei Datensicherung und Wiederherstellung dar. Im Labor wurden dazu die diversen Datensicherungseinstellungen mit unterschiedlichen Datensätzen überprüft. Dabei galt es unter anderem, die Komplettsicherung eines 50 GByte großen Testdatensatzes, bestehend aus 56 CD-Abbildern und Filmdateien, zu splitten und zu sichern. Kopiert wurden die Daten von einer SSD- auf eine HDD- Festplatte.

In diesem, wie auch bei den folgenden Geschwindigkeitstests, ließ Acronis die Konkurrenz weit abgeschlagen hinter sich. Für einen solchen Datensatz benötigte die Software nicht ganz 12 Minuten, während IDrive mit etwas über 53 Minuten an zweiter Stelle folgte. CrashPlan brauchte für den Datensatz eine Stunde und drei Minuten. Auch bei der Zeitprüfung für die Sicherung unterschiedlicher Daten sowie beim Erstellen inkrementeller Backups lag die Acronis-Software zeitlich immer deutlich vor den anderen Testprodukten.

Bei Wiederherstellung und Zurückspielen des gesicherten Datensatzes erwies sich Acronis ebenfalls am flinksten: Nach 10 Minuten und 39 Sekunden war das gesicherte System wiederhergestellt. CrashPlan benötigte mit 20 Minuten und 40 Sekunden etwa doppelt so lange. IDrive meldete das wiederhergestellte Testsystem nach 17 Minuten und 17 Sekunden zurück. Beim Zurückspielen inkrementeller Backups überholte Acronis beide Produkte mit nahezu zehnfacher Geschwindigkeit. Da die Carbonite-Software rein Cloud-basierte Datensicherung anbietet, wurde sie im Performance-Test nicht berücksichtigt.

Zertifikat für Acronis
Der Test zeigt eindeutig, dass sinnvoller Malware-Schutz den Einsatz von Backup-Software beinhalten sollte. Als einzige Backup-Lösung im Test kann „Acronis True Image 2017 New Generation Premium“ Ransomware stoppen. Darum sowie aufgrund hervorragender Testergebnisse im Prüfpunkt Backup-Funktionalität erhält das Programm das Zertifikat „Approved Backup & Data Security Software“ des AV-TEST Institutes. Es unterstützt Nutzer klar bei der Verteidigung des eigenen PC-Systems und wichtiger Daten, ohne allzu viel Einsatz zu verlangen.
13.04.2017/dr

Tipps & Tools

Zusätzliche PIN-Abfrage für Bitlocker [17.08.2017]

Sicherheitsbewusste Anwender sichern ihre Systemlaufwerke zusätzlich mit dem in Windows enthaltenen Bitlocker. Allerdings werden die Daten nach der Systemanmeldung mit dem auf dem TPM-Chip des Rechners gespeicherten Schlüssel automatisch entsperrt. Somit muss ein Angreifer nur das Windows-Passwort in die Hand bekommen und schon sind die Daten verfügbar. Mit einem kleinen Eingriff in die Policy können Sie eine zusätzliche PIN-Abfrage für Bitlocker beim Windows-Start einrichten. [mehr]

Passwort auf Unversehrtheit überprüfen [9.08.2017]

Nahezu wöchentlich werden Cyberattacken sowie Data Breaches im großen Stil gemeldet. Vor der Wahl von neuen Passwörtern sollten Sie deshalb sicherstellen, dass sich keines der von Ihnen ins Auge gefassten Kennwörter möglicherweise schon lange in den Händen von Hackern befindet. Bei derartigen Nachforschungen hilft Ihnen die Webseite von 'haveibeenpawned.com'. Security-Experte Troy Hunt hat einen Cyber-Hacking-Prüfdienst mit einigen nützlichen Funktion integriert. [mehr]

Fachartikel

Flash-basierte Exploits analysieren und verstehen [16.08.2017]

Browser-Plug-ins sind immer noch ein attraktives Ziel für Angreifer. In den letzten Jahren war das beliebteste Ziel Flash. Allein 2016 fanden sich mehr als 250 sogenannte Common Vulnerabilities and Exposures. Angriffe auf Flash sind Bestandteil von fast jedem Exploit Kit. Im Beitrag stellen wir dar, wie sie bei der Analyse von Exploits mit Debugging Tools schneller und einfacher an Informationen wie ROP Chains, Shellcode und Payload – also die interessanten Bestandteile des Exploits – kommen. [mehr]

Buchbesprechung

Citrix XenMobile 10

von Thomas Krampe

Anzeigen