Zum Inhalt springen

Test von Backup-Software: die Anti-Ransomware-Versicherung

Zu einem durchdachten Sicherheitskonzept gehört neben Virenschutz seit eh und je eine Backup-Software. Und gerade in Zeiten immer ausgefuchsterer Ransomware-Angriffe können die neuen und spezialisierten Datensicherungsprogramme helfen, Zeit, Geld und Nerven zu sparen. Das AV-TEST Institut stellte vier neue Backup-Programme auf den Prüfstand, doch nur eines erhält das Zertifikat „Approved Backup & Data Security Software“.

Backup-Software der nächsten Generation gegen Ransomware-Attacken im Test.

Die Next-Generation-Features setzen den Einsatz der zugehörigen Cloud-Speicher voraus.

Die Ransomware-Erkennung als letzte Verteidigungslinie bei versagendem Virenschutz.

Nur eines von vier Programmen im Test stoppt Ransomware-Angriffe.

Das AV-TEST Zertifikat „Approved Backup & Data Security Software“.

Ist der Virenschutz überwunden und blockiert ein Sperrbildschirm den Zugriff auf das System und wichtige Dateien, teilt sich die Gruppe von Windows-Anwendern in zwei Lager: in das der Ransomware-Opfer und das der Nutzer von Backup-Programmen. Letztere können Angriffen durch Erpresser-Trojaner deutlich gelassener entgegensehen. Denn sie verfügen über eine zusätzliche Schutzstufe zur Verteidigung gegen aggressive Malware-Attacken. Im Idealfall erkennt ein Datensicherungsprogramm die Attacke, stoppt sie und stellt das System oder angegriffene Dateien auf den letzten sicheren Speicherstand zurück. Geht das nicht, lassen sich immerhin die letzten sicheren Speicherstände wiederherstellen. Die Experten von AV-TEST überprüften in diesem Test neben klassischen Backup-Funktionen die Bedienbarkeit und Geschwindigkeit von Sicherung und Wiederherstellung als auch die Reaktion der Programme auf Angriffe mit aktueller Malware.

Ransomware-Angriffe: Zeit ist Geld!

Erpresser-Trojaner lassen Antiviren-Software oft alt aussehen. Es dauert generell mehrere Stunden, bis aktuelle Schädlinge durch Initialfunde einzelner Antiviren-Programme in die neuste Virendefinition aufgenommen werden. Ein Zeitraum, der Cyber-Erpressern einen gefährlichen Vorsprung bietet. Denn je nach Verbreitung solcher Malware kann schon der Klick auf den Link in einer E-Mail zum falschen Zeitpunkt eben noch sorglose Nutzer von einer Sekunde auf die andere in Opfer einer hunderte Euro teuren Online-Erpressung verwandeln. Darum ergänzt in einem guten Sicherheitskonzept eine Backup-Software immer ein ständig aktualisiertes Virenschutzprogramm.

Die neue Backup-Generation

Während viele Hersteller ihre Datensicherungsprogramme ebenso wenig wie viele PC-Nutzer als Bestandteil einer solchen zweistufigen Sicherheitsstrategie begreifen, gehen andere Hersteller neue Wege: Mit „Acronis True Image 2017 New Generation Premium“ 21.0.0.6106, „Carbonite Personal PLUS“ 6.2.1 build 6804, „CrashPlan for Home“ 4.8.0 1435813200480 und „IDrive“ 6.5.1.23 werben vier Backup-Programme einer neuen Generation um das Vertrauen der Nutzer. All diese Backup-Angebote beherrschen konventionelle Backup-Methoden, etwa Sicherungskopien einzelner Dateien, sowie komplette Speicherabbilder eines kompletten Systems (Image) auf Datenträger, z. B. externe Festplatten.

Cloud-Schutz gegen Erpresser

Über den in den Kaufangeboten enthaltenen Cloud-Speicher hinaus bieten die Programme noch weitere Funktionen. Dazu gehört etwa die „Echtheitsprüfung“ von Dateien über digitale Erkennungsmuster, die in einer geschützten Online-Datenbank gespeichert sind. So lässt sich feststellen, ob eine Datei im gespeicherten Ursprungszustand vorliegt oder nachträglich verändert wurde. Mit dieser Cloud-Technologie lässt sich ebenfalls erkennen, ob Dateien durch eine Malware-Attacke verändert wurden, wie es etwa bei einer ungewollten Verschlüsselung durch Erpresser-Trojaner der Fall wäre. Stellt die Software beim Online-Abgleich im Hintergrund eine solche wahrscheinlich ungewollte Veränderung fest, kann sie den Nutzer warnen und eine womöglich infizierte Datei gegen deren letzten sicheren Speicherstand ersetzen.

Aktiver Schutz längst nicht Standard

Im Test mussten die Backup-Programme Test-PCs unter Windows 7 und deren Datenbestand gegen aktuelle Ransomware-Versionen verteidigen. Darunter waren unter anderem zwei brandaktuelle Versionen des weit verbreiteten Kryptotrojaners Cerber, der sich über schädliche Mail-Anhänge sowie infizierte Websites verbreitet. Zur Abwehr von Verschlüsselungstrojanern bedienten sich die Programme unterschiedlicher Methoden. True Image von Acronis war dabei das einzige Produkt im Test, das mit einer aktiven Schädlingserkennung punkten konnte: Über eine verhaltensbasierte Schädlingserkennung über die Acronis-Cloud wurden Ransomware-Samples erkannt und blockiert, sobald sie ihr schädliches Potential auf den Testsystemen entfalteten. Solche Schutzfunktionen lassen sich auch über eigenständige Anti-Ransomware-Software ergänzen.

Alle anderen Testkandidaten boten solch aktive Erkennung zwar nicht, wussten im Test aber durch meist sichere Wiederherstellung der Backups infizierter Dateien zu punkten. Um auf diesem Wege guten Schutz zu bieten, ist eine kurze Sicherungsfrequenz entscheidend. Je kürzer das Sicherungsintervall, desto aktueller sind die zurückspielbaren Rettungsdateien. In diesem Testpunkt konnte IDrive punkten. Die Software sicherte Daten auf den Testsystemen in den überprüften Standardeinstellungen alle 20 Sekunden. Ganz anders Carbonite: Die Software erstellte die erste Sicherungskopie nach zehn Minuten Arbeitseinsatz. Die nächste Sicherung ist jedoch erst am Folgetag, nämlich exakt nach 24 Stunden, möglich und damit deutlich zu lange, um effektiv beim Schutz vor Ransomware zu unterstützen.

Einfach einzurichten

Im Test bot keines der Programme die Ausrede, Backup-Software sei zu kompliziert. Über gut strukturierte Bedienmenüs erlaubten alle vier Testkandidaten die Auswahl zu sichernder Daten, das Festlegen von Sicherungsorten und -intervallen sowie den Zugriff auf weitere Funktionen. Dabei unterschieden sich die Programme zwar deutlich in der Anzahl der zur Einrichtung benötigten Schritte, dies ist allerdings dem unterschiedlichen Aufbau der Programmoberflächen geschuldet und erlaubt keine negative Aussage über deren Bedienbarkeit. Den geringsten Aufwand bei der Ersteinrichtung verlangte Carbonite seinen Nutzern ab. Ebenso wie die Auswahl angebotener Zusatz-Features liegt die Bedienbarkeit allerdings im Auge des Betrachters und jeder Nutzer hat hier unterschiedliche Ansprüche.

Daten statt Warten

Einen weiteren entscheidenden Punkt im Test von Backup-Programmen stellt die Geschwindigkeit bei Datensicherung und Wiederherstellung dar. Im Labor wurden dazu die diversen Datensicherungseinstellungen mit unterschiedlichen Datensätzen überprüft. Dabei galt es unter anderem, die Komplettsicherung eines 50 GB großen Testdatensatzes, bestehend aus 56 CD-Abbildern und Filmdateien, zu splitten und zu sichern. Kopiert wurden die Daten von einer SSD- auf eine HDD- Festplatte. In diesem, wie auch bei den folgenden Geschwindigkeitstests, ließ Acronis die Konkurrenz weit abgeschlagen hinter sich. Für einen solchen Datensatz benötigte die Software nicht ganz 12 Minuten, während IDrive mit etwas über 53 Minuten an zweiter Stelle folgte. CrashPlan brauchte für den Datensatz eine Stunde und drei Minuten. Auch bei der Zeitprüfung für die Sicherung unterschiedlicher Daten sowie beim Erstellen inkrementeller Backups lag die Acronis-Software zeitlich immer deutlich vor den anderen Testprodukten. 

Bei Wiederherstellung und Zurückspielen des gesicherten Datensatzes erwies sich Acronis ebenfalls am flinksten: Nach 10 Minuten und 39 Sekunden war das gesicherte System wiederhergestellt. CrashPlan benötigte mit 20 Minuten und 40 Sekunden etwa doppelt so lange. IDrive meldete das wiederhergestellte Testsystem nach 17 Minuten und 17 Sekunden zurück. Beim Zurückspielen inkrementeller Backups überholte Acronis beide Produkte mit nahezu zehnfacher Geschwindigkeit! Da die Carbonite-Software rein Cloud-basierte Datensicherung anbietet, wurde sie im Performance-Test nicht berücksichtigt.

Fazit

Der Test zeigt eindeutig, dass sinnvoller Malware-Schutz den Einsatz von Backup-Software beinhalten sollte. Als einzige Backup-Lösung im Test kann „Acronis True Image 2017 New Generation Premium“ Ransomware stoppen. Darum sowie aufgrund hervorragender Testergebnisse im Prüfpunkt Backup-Funktionalität erhält das Programm das Zertifikat „Approved Backup & Data Security Software“ des AV-TEST Institutes. Es unterstützt Nutzer klar bei der Verteidigung des eigenen PC-Systems und wichtiger Daten, ohne allzu viel Einsatz zu verlangen. Die umfangreiche Sicherheitsstudie zum Test lässt sich auch in dieser PDF-Datei (in Englisch) nachlesen, die das Labor ausgearbeitet hat. 

Ransomware – eine wachsende Gefahr

David Walkiewicz,
Leiter Test Research

Die Zahl der Erpresser-Trojaner steigt stetig an. Kein Wunder, denn diese Form der Malware erlaubt Kriminellen rund um den Globus anonym Kasse zu machen. 

Bereits 2015 meldeten die Malware-Erkennungssysteme von AV-TEST mit „Virlock“ den ersten Erpresser-Trojaner in den Top 10 der weltweit meistverbreiteten Schadprogramme (siehe Security Report 2015/16, Seite 5). Der Kryptotrojaner, bei dem die sich ständig verändernden Code-Schutzprogrammen die Erkennung erschweren, fand sich auf hunderttausenden angegriffenen PCs und verschlüsselte unter anderem EXE-Dateien, Archivdateien, Audio-, Video- und Bilddateien sowie dem Ordner „Eigene Dateien“.

 Seither hat die Anzahl von Ransomware-Samples massiv zugenommen. Gab es 2015 noch knapp 35 unterschiedliche Ransomware-Familien, liegt deren Zahl Anfang 2017 bereits weit über 300. Das verwundert kaum, denn diese Form der digitalen Erpressung ist ein Millionen-Geschäft, bei dem die Täter so gut wie kein Risiko eingehen: Sie können die Malware weltweit streuen und über das Internet mit Online-Zahlungsmitteln anonym abkassieren. 

Während gängige Ransomware-Trojaner Rechner und Dateien ihrer Opfer meist wirkungsvoll über asymmetrische RSA-Verschlüsselungsverfahren und AES sperren, bedienen sich Erpresser-Trojaner der neusten Generation wie Sage 2.0 schon der neusten aktuellen Verschlüsselungsverfahren wie Curve25519 und ChaCha20. Für die Attacken einiger Verschlüsselungstrojaner existieren bereits spezielle „Entschlüsselungs-Tools“. Allerdings knacken diese nicht die von der Ransomware genutzten Verschlüsselungsverfahren, sondern nutzen Implementierungsfehler der Krypto-Algorithmen. Sie bedienen sich also wiederum der Software-Lücken, die Kriminellen beim Programmieren der Trojaner unterlaufen sind. 

Um der wachsenden Gefahr mit bestmöglichem Schutz zu begegnen, sollten Nutzer eine zweigleisige Sicherheitsstrategie einsetzen. Und die beinhaltet neben der Schädlingsabwehr durch ein ständig aktualisiertes Antiviren-Produkt eben auch den Schutz durch eine gute Backup-Lösung – für den Fall, dass es ein Verschlüsselungstrojaner doch einmal durch die engen Maschen der Viren-Erkennung schafft.

Beitrag teilen: