Zum Inhalt springen

Services, Wiki-Artikel, Blog-Beiträge und Glossar-Einträge durchsuchen

↑↓NavigierenEnterÖffnenESCSchließen

Backup und Disaster Recovery: Ransomware-sichere Datensicherung

Backups sind die letzte Verteidigungslinie gegen Ransomware und Datenverlust. Dieser Artikel erklärt die 3-2-1-1-0-Regel, Immutable Storage, Recovery-Tests und moderne Backup-Architekturen für Unternehmen aller Größen.

Inhaltsverzeichnis (8 Abschnitte)

"Wir haben Backups." - Das sagen fast alle Unternehmen. Aber: Werden die Backups regelmäßig auf Wiederherstellbarkeit getestet? Sind sie vom primären Netzwerk getrennt (damit Ransomware sie nicht erreicht)? Wurde jemals ein vollständiges Disaster-Recovery-Szenario durchgespielt?

Laut Veeam Data Protection Trends Report 2024 hatten 76% der Unternehmen im letzten Jahr mindestens einen Ransomware-Angriff. Von denen die Lösegeld zahlten, konnten trotzdem 24% ihre Daten nicht vollständig wiederherstellen. Die häufigste Ursache: Backups waren ebenfalls verschlüsselt.

Die Evolution der Backup-Regeln

Klassisch: 3-2-1-Regel

Die klassische 3-2-1-Regel schreibt vor: 3 Kopien der Daten auf 2 verschiedenen Medientypen (z. B. Disk und Tape), davon 1 Offsite-Kopie außerhalb des Unternehmens.

Diese Regel ist ein guter Start - aber für Ransomware-Schutz nicht ausreichend, weil alle 3 Kopien vom selben Angriff erreicht werden können, wenn sie alle online sind.

Modern: 3-2-1-1-0-Regel

Die erweiterte Regel fügt zwei entscheidende Anforderungen hinzu: eine Air-Gapped, Offline oder Immutable Kopie sowie die Anforderung, dass Backups verifikationsfähig sind (regelmäßige Restore-Tests mit 0 Fehlern). Die Offline- oder Immutable-Kopie ist der entscheidende Zusatz für Ransomware-Resilienz.

Immutable Backups: Was bedeutet das?

Immutable (unveränderlich) bedeutet: Einmal geschrieben, kann das Backup nicht mehr geändert oder gelöscht werden - auch nicht von Admins oder Ransomware.

Implementierungsoptionen

Object Storage mit WORM (Write Once Read Many): AWS S3 Object Lock bietet zwei Modi - Governance Mode (nur Root-User kann vor Ablauf löschen) und Compliance Mode (niemand kann vor Ablauf löschen, besser für kritische Backups). Azure Blob Storage Immutability Policies ermöglichen zeitbasierte Retention und Legal Holds. Wasabi ist eine S3-kompatible Alternative mit sehr gutem Preis-Leistungs-Verhältnis und aktivierbarem Object Lock.

Tape und Offline-Storage: Klassisches Tape Offline (LTFS, LTO-9) ist physisch getrennt - Ransomware kommt nicht ran. Moderne Tape-Libraries mit Air Gap trennen sich nach dem Backup automatisch.

Dedizierte Backup-Appliances: Dell PowerProtect (PowerScale, EMC DataDomain), HPE StoreOnce Catalyst und Veeam Hardened Repository (Linux mit immutable flags) bieten Immutability als eingebaute Funktion.

Backup-Architekturen für verschiedene Unternehmensgrößen

KMU (bis 50 Mitarbeiter)

Primäre Daten auf NAS im Büro werden täglich per Veeam oder Acronis auf eine lokale Backup-NAS gesichert (30 Tage Retention). Automatisches Backup in die Cloud (Wasabi oder Backblaze B2) mit aktiviertem Immutable Object Lock ergänzt die lokale Kopie. Kosten: ca. 200 Euro pro Monat für 5 TB Cloud-Storage plus Backup-Software.

Mittelstand (50-500 Mitarbeiter)

Drei Backup-Tier ergänzen die primären Daten auf SAN/NAS, VMware-VMs und M365: Tier 1 ist ein Veeam Hardened Linux Repository (immutable, 30 Tage) im selben Rechenzentrum für schnelle Recovery. Tier 2 ist ein Backup-Standort 20 km entfernt (täglich, 90 Tage). Tier 3 ist Azure oder AWS S3 Object Lock (wöchentlich, 1 Jahr). M365-Daten (E-Mails, SharePoint, Teams, OneDrive) werden separat mit Veeam for M365 oder Acronis Cyber Protect Cloud gesichert.

Enterprise (über 500 Mitarbeiter)

Multi-Site-Setup mit synchroner Replikation für Tier-1-Daten, Backup mit Veeam Enterprise, Commvault oder Zerto, Air-Gapped Tape-Library für kritische Daten (jährlich, 10 Jahre Aufbewahrung), dedizierte Recovery Site oder Cloud DR (Azure Site Recovery, Zerto) sowie eine separate Backup-AD-Infrastruktur, damit ein kompromittiertes Produktions-AD nicht das Backup-AD gefährdet.

Microsoft 365 Backup - Oft vergessen

Microsoft garantiert nur Verfügbarkeit - kein echtes Backup. Standardmäßig sind gelöschte E-Mails 30-90 Tage wiederherstellbar, gelöschte Teams-Nachrichten 30 Tage und SharePoint-Versioning auf 500 Versionen oder 30 Tage begrenzt. Nicht abgedeckt sind Ransomware-Angriffe die SharePoint oder OneDrive verschlüsseln, böswilliges Löschen durch Insider, versehentliche Massenlöschungen und Daten nach Ablauf der Retention-Periode.

M365-Backup-Lösungen: Veeam Backup for Microsoft 365, Acronis Cyber Protect Cloud, Druva inSync und NAKIVO for M365.

Recovery-Tests: Das Wichtigste wird am häufigsten vergessen

Ungetestete Backups sind wertlos. Häufige Gründe für scheiternde Restores: Backup-Job lief fehl aber niemand prüfte die Alerts, Restore-Tool ist auf dem Recovery-System nicht installiert, Backup enthält nur inkrementelle Daten ohne zugehöriges Basis-Backup, physischer Defekt (Bit Rot bei Tapes) oder fehlende Dokumentation des Recovery-Prozesses.

Backup-TypRestore-Test-Frequenz
Kritische Systeme (DC, ERP)Monatlich
Wichtige Systeme (File Server)Quartalsweise
Standard-SystemeHalbjährlich
Vollständiger DR-TestJährlich

Veeam SureBackup startet das Backup täglich automatisch in einer isolierten Sandbox, führt einen Boot-Test durch und prüft ob die Datenbank auf Queries antwortet. Das Ergebnis kommt per E-Mail als "Backup OK" oder "Restore fehlgeschlagen".

Disaster Recovery: Mehr als Backup

Disaster Recovery (DR) ist der Prozess zur Wiederherstellung nach einem Komplettausfall.

Recovery Time Objective (RTO) und Recovery Point Objective (RPO)

Unternehmen A definiert für das ERP-System: RTO = 4 Stunden (System muss in maximal 4 Stunden wieder laufen) und RPO = 1 Stunde (maximaler Datenverlust, stündliche Backups nötig). Synchrone Replikation erzielt RPO nahe Null bei hohen Kosten, stündliche Snapshots RPO von 1 Stunde bei günstigen Kosten, tägliches Backup RPO von 24 Stunden bei sehr günstigen Kosten.

DR-Szenarien für Ransomware

Bei einem Ransomware-Angriff der 80 % der Systeme verschlüsselt stellen sich vier kritische Fragen:

Welche Systeme zuerst wiederherstellen? Priorität 1: Active Directory (alles andere hängt davon ab). Priorität 2: VPN und E-Mail (Kommunikation und Remote-Zugang). Priorität 3: ERP und Kerngeschäft.

Aus welchem Backup? Ein Backup aus der Zeit vor der Ransomware-Infektion wird benötigt - das kann Wochen zurückliegen. Eine forensische Analyse ist nötig: Wann war der "clean state"?

In welche Umgebung wiederherstellen? Nicht in die infizierte Umgebung zurückspielen. Eine saubere, frische Infrastruktur aufbauen und dann aus dem Backup restaurieren.

Wie lange dauert das? 100 Server mal 2 Stunden Restore geteilt durch 10 parallele Restores ergibt 20 Stunden. RTO-Planung muss realistische Restore-Zeiten berücksichtigen.

Backup-Checkliste

  • 3-2-1-1-0-Regel implementiert?
  • Mindestens eine Immutable- oder Offline-Kopie vorhanden?
  • M365 (E-Mail, SharePoint, Teams) separat gesichert?
  • Backup-Infrastruktur vom primären Netzwerk getrennt (eigene AD-Domäne, eigene Credentials)?
  • Backup-Jobs täglich auf Erfolg überwacht?
  • Restore-Tests quartalsweise durchgeführt und dokumentiert?
  • RTO und RPO für kritische Systeme definiert?
  • Disaster Recovery Plan dokumentiert und bekannt?
  • Jährlicher DR-Test durchgeführt?
  • Aufbewahrungsfristen eingehalten (GoBD: 10 Jahre für Buchungsbelege)?

Compliance-Anforderungen

GoBD: 6-10 Jahre steuerrelevante Unterlagen. Backup muss unveränderliche Aufbewahrung gewährleisten (WORM oder revisionssichere Archivierung).

BSI IT-Grundschutz CON.3: Detailliertes Datensicherungskonzept als Anforderung.

NIS2 Art. 21: Business Continuity und Backup explizit als Pflichtmaßnahme.

ISO 27001 A.8.13: Datensicherung - regelmäßige Tests der Wiederherstellbarkeit.

DSGVO Art. 32: Wiederherstellbarkeit personenbezogener Daten als technische Maßnahme.

Quellen & Referenzen

  1. [1] NIST SP 800-34 Rev. 1: Contingency Planning Guide - NIST
  2. [2] BSI IT-Grundschutz CON.3: Datensicherungskonzept - BSI

Fragen zu diesem Thema?

Unsere Experten beraten Sie kostenlos und unverbindlich.

Erstberatung

Über den Autor

Chris Wojzechowski
Chris Wojzechowski

Geschäftsführender Gesellschafter

E-Mail
PGP 465C26E1AF161AFA

Geschäftsführender Gesellschafter der AWARE7 GmbH mit langjähriger Expertise in Informationssicherheit, Penetrationstesting und IT-Risikomanagement. Absolvent des Masterstudiengangs Internet-Sicherheit an der Westfälischen Hochschule (if(is), Prof. Norbert Pohlmann). Bestseller-Autor im Wiley-VCH Verlag und Lehrbeauftragter der ASW-Akademie. Einschätzungen zu Cybersecurity und digitaler Souveränität erschienen u.a. in Welt am Sonntag, WDR, Deutschlandfunk und Handelsblatt.

10 Publikationen
  • Einsatz von elektronischer Verschlüsselung - Hemmnisse für die Wirtschaft (2018)
  • Kompass IT-Verschlüsselung - Orientierungshilfen für KMU (2018)
  • IT Security Day 2025 - Live Hacking: KI in der Cybersicherheit (2025)
  • Live Hacking - Credential Stuffing: Finanzrisiken jenseits Ransomware (2025)
  • Keynote: Live Hacking Show - Ein Blick in die Welt der Cyberkriminalität (2025)
  • Analyse von Angriffsflächen bei Shared-Hosting-Anbietern (2024)
  • Gänsehaut garantiert: Die schaurigsten Funde aus dem Leben eines Pentesters (2022)
  • IT Security Zertifizierungen - CISSP, T.I.S.P. & Co (Live-Webinar) (2023)
  • Sicherheitsforum Online-Banking - Live Hacking (2021)
  • Nipster im Netz und das Ende der Kreidezeit (2017)
IT-Grundschutz-Praktiker (TÜV) IT Risk Manager (DGI) § 8a BSIG Prüfverfahrenskompetenz Ausbilderprüfung (IHK)
Vollständiges Profil ansehen
Dieser Artikel wurde zuletzt am 04.03.2026 bearbeitet. Verantwortlich: Chris Wojzechowski, Geschäftsführender Gesellschafter bei AWARE7 GmbH. Lizenz: CC BY 4.0 - freie Nutzung mit Namensnennung: „AWARE7 GmbH, https://a7.de