Backup (Datensicherung)
Systematische Sicherung von Daten auf einem vom Primärsystem getrennten Medium - der letzte Schutzwall gegen Ransomware, Hardwareausfall, menschliche Fehler und Katastrophen. Die 3-2-1-Regel ist der anerkannte Mindeststandard.
Ein Backup ist eine vollständige oder inkrementelle Kopie von Daten oder Systemen, die auf einem vom Originalsystem getrennten Medium gespeichert wird. Backups sind die wichtigste - oft einzige - Maßnahme zur Wiederherstellung nach einem Ransomware-Angriff.
Warum Backups gescheitert sind - häufige Fehler
70% aller Ransomware-Opfer stellen fest, dass ihre Backups nicht funktionieren oder von der Ransomware ebenfalls verschlüsselt wurden (Sophos State of Ransomware 2024). Die Gründe:
- Backups auf Netzlaufwerken die vom infizierten System erreichbar sind → direkt mitverschlüsselt
- Backups nie getestet → beim Ernstfall fehlerhaft oder unvollständig
- Kein Air-Gap → Ransomware erreicht auch den Backup-Server
- Zu seltene Backups → Datenverlust von Tagen oder Wochen
Die 3-2-1-Regel
Der anerkannte Mindeststandard für Backup-Architekturen:
- 3 Kopien der Daten (1 Primär + 2 Backups)
- 2 verschiedene Medien/Technologien (z.B. lokale Festplatte + Cloud)
- 1 Kopie Off-Site oder Air-gapped (physisch oder logisch vom Produktionsnetz getrennt)
Erweitert: 3-2-1-1-0-Regel
- +1: Eine Kopie “immutable” (unveränderlich, z.B. WORM-Medium oder Objekt-Storage mit Versioning)
- +0: Null Fehler beim letzten Restore-Test (Backups müssen getestet sein)
Backup-Typen
Vollbackup (Full Backup): Vollständige Kopie aller Daten. Hoher Speicherbedarf, aber schnellste Wiederherstellung.
Inkrementelles Backup: Nur Änderungen seit dem letzten Backup (egal ob Full oder Inkrement). Platzsparend, aber Wiederherstellung dauert länger (alle Inkremente müssen angewandt werden).
Differenzielles Backup: Änderungen seit dem letzten Vollbackup. Kompromiss: mehr Platz als inkrementell, schnellere Wiederherstellung.
Snapshot: Moment-Aufnahme des Systemzustands (typisch bei VMs: VMware Snapshot, Hyper-V Checkpoint). Kein echter Backup-Ersatz - Snapshots liegen meist im gleichen Storage-System.
Backup-Medien und Strategien
Tape (LTO): Magnetband ist das klassische Air-Gap-Medium. Nicht mit dem Netzwerk verbunden, physisch robust, sehr langlebig, günstig pro TB. Nachteil: Slow restore.
Externe Festplatten / USB: Günstig und schnell - aber nur wenn physisch getrennt aufbewahrt. Gefahr: Werden oft dauerhaft angeschlossen gelassen.
NAS (Network Attached Storage): Schnell, bequem - aber erreichbar vom Netzwerk aus. Ransomware verschlüsselt NAS-Shares. Lösung: Immutable Backups (Veeam Hardened Repository, Synology WORM).
Cloud-Backup: AWS S3 mit Object Lock, Azure Blob Storage mit Immutability Policy, Veeam Cloud Connect - Off-Site, oft kosteneffizient.
Immutable Storage: Daten können nach dem Schreiben nicht geändert oder gelöscht werden (WORM: Write Once, Read Many). Gilt als aktuell beste Methode gegen Ransomware.
Recovery Time Objective (RTO) und Recovery Point Objective (RPO)
RPO (Recovery Point Objective): Maximaler Datenverlust in Zeit. “Wir akzeptieren maximal 4 Stunden Datenverlust.” → Backup alle 4 Stunden.
RTO (Recovery Time Objective): Maximale Ausfallzeit. “Das System muss in 8 Stunden wieder laufen.” → Bestimmt Backup-Technologie und Restore-Prozess.
| Systemkategorie | RPO | RTO | Strategie |
|---|---|---|---|
| Kritische Systeme | 1h | 2h | Hot Standby, häufige Snapshots |
| Wichtige Systeme | 4h | 8h | Tägliche Backups, Cloud-Restore |
| Archiv-Daten | 24h | 48h | Tapes, langsame Restore |
Backup-Test - der vernachlässigte Schritt
Ein Backup das nie getestet wurde, ist kein Backup - es ist eine Hoffnung.
Mindest-Tests:
- Monatlich: Zufällige Datei-/Ordner-Wiederherstellung aus Backup prüfen
- Quartalweise: Vollständige Systemwiederherstellung in Testumgebung
- Jährlich: Disaster-Recovery-Test mit realem Szenario (How long does it take?)
Testdokumentation: Datum, Tester, Ergebnis, Dauer der Wiederherstellung - für ISO 27001 und NIS2 Compliance.
Backup und Ransomware-Resilienz
Ransomware-Gruppen warten heute oft 2-4 Wochen nach Erstkompromittierung bevor sie verschlüsseln. In dieser Zeit:
- Erkunden sie das Netzwerk (Lateral Movement)
- Identifizieren Backup-Systeme
- Löschen oder verschlüsseln Backups
Gegenmaßnahmen:
- Backup-Credentials von Produktions-Credentials trennen (kein Domain-Admin im Backup-Tool)
- Backup-Zugänge für Verwaltung nur von Jump-Hosts (aus dem Produktionsnetz nicht erreichbar)
- Alerting: Wenn Backup-Job fehlschlägt → sofortiger Alert
- Immutable Storage: Selbst mit Admin-Credentials nicht löschbar innerhalb der Retention-Periode
Compliance-Anforderungen
BSI IT-Grundschutz CON.3: “Datensicherungskonzept” - detaillierte Anforderungen an Backup-Strategie, Medien, Tests und Aufbewahrungsorte.
ISO 27001:2022 A.8.13: “Informationssicherung” (Information Backup) als explizite Kontrolle.
DSGVO Art. 32: Technische Maßnahmen zur “Belastbarkeit” und “Wiederherstellbarkeit” personenbezogener Daten.
NIS2 Art. 21: Business Continuity und Backup-Management als explizite Pflichtmaßnahme.
Aufbewahrungsfristen (Deutschland):
- Handels- und Steuerdaten: 10 Jahre (§ 257 HGB)
- Geschäftskorrespondenz: 6 Jahre
- Empfehlung: Backup-Strategie mit Rechtsabteilung abstimmen
