// 40 jahre erfahrung

// +49 (0) 89 74 51 58-0

Menu
Menu
IT-Products
IT-Services
Cybersecurity Überblick
Cybersecurity Lösungen
Cybersecurity Portfolio
Über uns

Blog

Serviceportal

+49 (0) 89 74 51 58-0
hello@microcat.de
Pentest anfragen
Unverbindliches Erstgespräch
Illustration von Ransomware-resilienten Backups: Ein digitales Schloss schützt wichtige Daten auf einem Server-Rack gegen Cyberangriffe.

Newsletter abonnieren. Immer up-to-date. Immer auf den Punkt.

//

Ransomware-resiliente Backups: Ein Praxisleitfaden

Avatar
Markus Stinner

Letzte Aktualisierung des Beitrags:

Ein Cyberangriff ist für Unternehmen in Deutschland längst keine theoretische Gefahr mehr. Die eigentliche Bedrohung ist nicht nur der temporäre Datenverlust, sondern die drohende Lösegeldzahlung und die katastrophalen Ausfallzeiten, die eine Ransomware-Verschlüsselung nach sich zieht. Cyberkriminelle wissen das: Moderne Ransomware-Attacken zielen daher nicht mehr nur auf Ihre aktiven Produktionsdaten ab. Sie haben ein primäres Ziel: Ihre Datensicherung und Backup-Systeme.

Cyberkriminelle infiltrieren Netzwerke und löschen oder verschlüsseln als Erstes die Backup-Daten – bevor der eigentliche Cyberangriff sichtbar wird. Eine herkömmliche Backup-Strategie bietet hier keinen ausreichenden Ransomware-Schutz mehr. Sie benötigen Ransomware-resiliente Backups als fundamentalen Baustein Ihrer gesamten Cybersecurity-Strategie.

Dieser Praxisleitfaden zeigt Ihnen die Strategien und Technologien, die Ihre Datenwiederherstellung (Disaster Recovery) auch im Ernstfall sicherstellen und Sie vor Lösegeldzahlungen bewahren.

Die typischen Schwachstellen: Warum herkömmliche Backup-Systeme versagen

Viele Unternehmen wiegen sich mit einer nächtlichen Sicherung auf ein NAS (Network Attached Storage) oder einen sekundären Backup-Server in falscher Sicherheit. Für moderne Cyberkriminelle sind diese “Online-Backups” ein leichtes Ziel, da sie oft im selben administrativen Netzwerk (und derselben Domäne) wie die Workloads liegen.

Der Angriffsvektor zur Kompromittierung ist fast immer identisch:

1

// Infiltration

Ein Angreifer verschafft sich Zugriff, meist über Social Engineering wie Phishing oder das Ausnutzen bekannter Sicherheitslücken in der Angriffsfläche.

2

// Eskalation

Der Angreifer erlangt administrative Rechte (z.B. Domain Admin).

3

// Zerstörung

Mit diesen Rechten greift er auf die Backup-Software (z.B. Veeam Konsole) und die Speichersysteme (das NAS oder den Backup-Speicher) zu. Er löscht die Backup-Jobs, formatiert die Volumes oder verschlüsselt die Backup-Daten.

4

// Verschlüsselung

Erst danach wird die Schadsoftware auf den Produktionssystemen aktiviert und die Ransomware-Verschlüsselung gestartet.

Das Ergebnis: Sie stellen den Datenverlust fest, wollen auf Ihre Datensicherung zugreifen und müssen feststellen, dass auch diese zerstört wurde. Die Forderung nach Lösegeld ist die logische Konsequenz.

Please select a post to display.

Die Säulen einer Ransomware-resilienten Backup-Strategie

Um diesem Szenario vorzubeugen, muss Ihre Backup-Strategie auf mehreren Säulen ruhen, die den Angreifern den Zugriff auf die Sicherungskopien technisch unmöglich machen oder zumindest extrem erschweren.

Säule 1: Unveränderlichkeit (Immutable Backups)

Dies ist der wichtigste technische Baustein für Ransomware-resiliente Backups. Immutable Backup (unveränderliche Backups) bedeutet, dass gespeicherte Daten nach dem Schreiben für einen definierten Zeitraum nicht mehr verändert oder gelöscht werden können – nicht einmal von einem Administrator.

Selbst wenn ein Angreifer volle Admin-Rechte auf Ihrem Backup-Server erlangt, kann er die Immutable Backups nicht löschen.

  • Technische Umsetzung (WORM): Die zugrundeliegende Technologie heißt WORM (Write-Once, Read-Many). Die Daten werden einmal geschrieben und können danach nur noch gelesen werden.
  • Speicher-Typ: Dies wird am effizientesten über Objektspeicher (Object Storage) realisiert, nicht über traditionelle Datei- oder Block-Speicher. Objektspeicher ist ideal für Datenspeichern im Petabyte-Bereich und oft die Basis für Cloud-Speicher.
  • Protokoll-Beispiel: Die gängigste Methode hierfür ist die Nutzung von S3 Object Lock. Diese Technologie, die von vielen Cloud-Anbietern (wie AWS, Azure oder kompatiblen Anbietern) und modernen Storage-Systemen angeboten wird, versiegelt die Daten im WORM-Modus.

Säule 2: Die 3-2-1-1-0 Regel (Offline, Air-Gap & Test)

Die klassische 3-2-1-Regel (3 Kopien, 2 verschiedene Medien, 1 Kopie extern/Offsite) ist eine wichtige Grundlage, reicht aber für modernen Ransomware-Schutz nicht mehr aus. Die Best Practice ist heute die 3-2-1-1-0 Regel.

Was bedeutet diese Erweiterung?

  • 3 Kopien Ihrer Daten.
  • 2 verschiedene Medientypen (z.B. Festplatte und Objektspeicher/Tape).
  • 1 Kopie extern (Offsite).
  • 1 Kopie offline (Air-Gap) oder immutable (unveränderlich). Dies ist der entscheidende, spezifische Ransomware-Schutz.
  • 0 Fehler (Zero Errors), was die Notwendigkeit von regelmäßigen, verifizierten Restore-Tests unterstreicht.

Der entscheidende Faktor ist diese “1” für Offline/Immutable, auch bekannt als Air-Gap. Ein Air-Gap ist eine physische oder logische Trennung zwischen Ihren Produktionssystemen und Ihrem Backup-Speicher.

  • Physischer Air-Gap: Die “klassische” Methode. Daten werden auf Medien wie Tapes (Magnetbänder) geschrieben und physisch vom Netzwerk getrennt und extern (Offsite) gelagert (Offline-Backup).
  • Logischer Air-Gap: Moderne Technologien wie S3 Object Lock (Immutability) fungieren als logischer Air-Gap. Obwohl das Backup-Ziel “online” ist, ist es durch die Unveränderbarkeit von Löschbefehlen isoliert.
Schematische Grafik einer modernen, resilienten Backup-Architektur zur Datenwiederherstellung

Die 3-2-1 Backup-Regel war gestern: So sieht moderne, resiliente Backup-Architektur aus

Backup//03.10.2025
Die klassische 3-2-1 Backup-Regel bietet oft nur trügerische Sicherheit vor Ransomware. Experte Markus Stinner erklärt, warum die erweiterte 3-2-1-1-0-Regel mit einer unveränderlichen Kopie (+1) und fehlerfreien Wiederherstellungen (+0) heute der einzige Weg ist, um eine wirklich resiliente Backup-Architektur aufzubauen.
Beitrag lesenArrow

Säule 3: Zero-Trust-Architektur & Zugriffskontrolle

Ihre Backup-Infrastruktur muss ein Hochsicherheitstrakt sein. Das Prinzip von Zero-Trust (“Never trust, always verify”) ist hier entscheidend und ein Kernkonzept moderner IT-Security für Unternehmen. Gehen Sie davon aus, dass Ihr primäres Netzwerk bereits kompromittiert ist.

  • Netzwerk-Segmentierung: Trennen Sie das Backup-Netzwerk strikt vom restlichen Produktionsnetzwerk (eigene VLANs, Firewalls).
  • Minimale Berechtigungen (PoLP): Kein normaler Admin-Account (schon gar kein Domain Admin) darf Zugriff auf die Backup-Systeme oder den Backup-Speicher haben. Nutzen Sie dedizierte, stark gesicherte Konten nur für das Backup-System.
  • Multi-Faktor-Authentifizierung (MFA): Sichern Sie alle Zugänge zur Backup-Software und den Speichersystemen zwingend mit MFA ab.
  • Backup-Verschlüsselung: Alle Backup-Daten müssen “at rest” (auf dem Speicher) und “in transit” (während der Übertragung) stark verschlüsselt werden.

Säule 4: Moderne Backup-Software

Ihre Backup-Strategie ist nur so gut wie die Backup-Lösungen, die sie umsetzen. Moderne Backup-Software wie z.B. von Veeam ist darauf ausgelegt, diese Resilienz-Funktionen zu unterstützen. Sie ermöglicht die einfache Anbindung von Objektspeicher (Immutability), automatisiert regelmäßige Backups und bietet granulare Wiederherstellungsoptionen, z.B. für Microsoft 365 Workloads oder virtuelle Maschinen.

Microsoft 365 Backup – jetzt lesen

Praxisleitfaden: Datenwiederherstellung nach einem Angriff

Ein Ransomware-Backup ist nutzlos, wenn der Wiederherstellungsprozess (Disaster Recovery) scheitert oder die Backup-Daten selbst infiziert sind. Wenn Sie ein Ransomware-Vorfall trifft, ist Hektik Ihr größter Feind.

  1. Isolation: Trennen Sie die betroffenen Systeme sofort vom Netzwerk. Isolieren Sie auch Ihre Backup-Systeme.
  2. Verifizierung (Der entscheidende Restore-Test): Dies ist der kritischste Schritt. Sie müssen sicherstellen, dass Ihr Backup sauber ist (wiederherstellbar). Angreifer verstecken sich oft wochenlang im System (Dwell-Time). Ihr Backup von gestern könnte die Schadsoftware bereits enthalten.
    • Stellen Sie die Daten aus einem unveränderlichen Backup in einer isolierten Sandbox-Umgebung (Quarantäne-Netzwerk) wieder her.
    • Scannen Sie diese wiederhergestellten Systeme intensiv auf Malware.
    • Gehen Sie zu älteren Backup Versionierung (Wiederherstellungspunkten) zurück, bis Sie einen sauberen Datenstand finden.
  3. Wiederherstellung: Bauen Sie eine saubere, neue Produktionsumgebung auf. Patchen Sie alle Systeme und schließen Sie die Sicherheitslücken, die für den Angriff genutzt wurden. Erst dann darf der verifizierte, saubere Wiederherstellungspunkt zurückgespielt werden.

Dieser Prozess unterstreicht die Wichtigkeit klar definierter RPO und RTO-Werte (Recovery Point & Time Objectives) und regelmäßige Tests Ihres Notfallplans.

Fazit: Resilienz ist eine Strategie, kein Produkt

Ransomware-Resilienz ist kein einzelnes Produkt. Sie ist das Ergebnis einer ganzheitlichen IT-Security- und Data Protection-Strategie, die Datensicherheit auf Speicher-, Zugriffs- und Prozessebene kombiniert.

Die Kombination aus unveränderlichen Backups (via WORM/S3 Object Lock), einer strikten 3-2-1-1-0 Regel mit Air-Gap, einer Zero-Trust-Architektur und regelmäßige Tests ist der Goldstandard, um der Bedrohung durch Cyberangriffen vorausschauend zu begegnen und eine schnelle Wiederherstellung zu garantieren.

Als erfahrener Full-Service-Provider mit 40 Jahren Expertise im Bereich IT-Security und Cybersecurity versteht microCAT diese Komplexität. Wir spannen Ihr Sicherheitsnetz. Unsere Experten konzipieren und implementieren eine kosteneffiziente, skalbare Backup-Architektur, die Ihre Datensicherung schützt und Ihre Wiederherstellungsfähigkeit im Ernstfall sicherstellt.

Sprechen Sie mit uns, um Ihre Ransomware Backup Strategie auf den Prüfstand zu stellen.

Jetzt die Strategie auf den Prüfstand stellen

FAQ – Häufige Fragen zu Ransomware-Backups

Was ist der Unterschied zwischen WORM und einem Immutable Backup?

Immutable Backup (Unveränderliches Backup) ist das Ziel – die Unveränderlichkeit der Daten. WORM (Write-Once, Read-Many) ist eine Technologie, um dieses Ziel zu erreichen. S3 Object Lock ist wiederum ein Protokoll, das WORM-Funktionalität auf Objektspeicher anwendet.

Reicht mein Cloud-Sync (z.B. OneDrive) als Ransomware-Schutz?

Nein, absolut nicht. Dienste wie OneDrive oder Google Drive sind File-Sync-Dienste, keine Backup-Lösungen. Wenn eine Ransomware-Attacke Ihre lokale Datei verschlüsselt, wird die verschlüsselte Version sofort in die Cloud synchronisiert und überschreibt die saubere Datei. Sie benötigen eine echte Backup-Software, die Offsite-Sicherungskopien mit Versionierung und Unveränderlichkeit erstellt.

Ist ein NAS-Backup unsicher?

Ein NAS, das als einfacher Netzwerk-Share im Admin-Netzwerk hängt, ist extrem unsicher und oft das erste Ziel von Ransomware-Angriffen. Ein NAS kann Teil einer sicheren Strategie sein, wenn es in einem isolierten Backup-Netzwerk (mit Zero-Trust-Zugriff) betrieben wird und idealerweise selbst Immutability-Funktionen (z.B. Snapshots) bietet, die vom Netzwerk aus nicht manipulierbar sind.

Wie oft sollte ich einen Restore-Test durchführen?

Regelmäßig. Ein Backup-Wiederherstellungstest sollte mindestens vierteljährlich, bei kritischen Systemen monatlich, durchgeführt werden. Ein Backup, das nie getestet wurde, ist kein Data Protection, sondern eine Hoffnung.

// Beitrag teilen

Link kopieren
Avatar

Markus Stinner

Markus Stinner ist ein erfahrener Cybersecurity-Experte und Teil der Unternehmensleitung bei der microCAT Gruppe. Er unterstützt Unternehmen dabei, ihre IT-Sicherheitsstrategien mit durchdachten Konzepten, die technische Wirksamkeit mit regulatorischer Sicherheit verbinden, zu optimieren.

Newsletter abonnieren. Immer up-to-date. Immer auf den Punkt.

Diese Artikel könnten Sie auch interessieren

Cookie-Einstellungen