Backup allein reicht nicht: Warum Immutable Backups der neue Standard sind

1 Min. Lesezeit

Ransomware-Gruppen greifen gezielt Backups an – und in 94 Prozent der Fälle versuchen sie es. 57 Prozent der Backup-Kompromittierungsversuche sind erfolgreich. Wer nur ein Backup hat, hat im Ernstfall möglicherweise nichts. Immutable Backups – unveränderlich und löschsicher – sind die Antwort auf diese Bedrohung.

Das Wichtigste in Kürze

Veeam Report 2023: 94 Prozent der Ransomware-Angriffe zielen auf Backups
57 Prozent der Backup-Repositories werden erfolgreich kompromittiert
Immutable Storage: Write Once, Read Many – technisch unveränderlich
3-2-1-1-0-Regel: 3 Kopien, 2 Medien, 1 offsite, 1 immutable, 0 Fehler bei Restore-Test

Warum klassische Backups gegen Ransomware versagen

Ransomware-Operatoren kennen die Playbooks ihrer Opfer. Bevor sie verschlüsseln, suchen sie systematisch nach Backups: Netzwerk-Shares, NAS-Systeme, Backup-Server, Cloud-Repositories. Was erreichbar ist, wird gelöscht oder mitverschlüsselt.

Besonders perfide: Angreifer kompromittieren das Backup-System Wochen vor der Verschlüsselung und injizieren Backdoors in die Backup-Daten. Selbst wenn das Backup technisch funktioniert, restored das Unternehmen die Hintertür gleich mit.

Immutability: Das Konzept

Immutable Backups können nach dem Schreiben nicht mehr verändert oder gelöscht werden – weder von Administratoren noch von Malware mit Root-Zugriff. Das wird durch WORM-Storage (Write Once Read Many) realisiert: auf Hardware-Ebene (Tape, WORM-Disks), auf Software-Ebene (Object Lock in S3) oder durch Air-Gapped-Systeme.

Die Retention-Lock-Periode definiert, wie lange die Unveränderlichkeit gilt. Typisch: 30-90 Tage. In dieser Zeit kann niemand – nicht einmal der Storage-Administrator – die Daten löschen oder verändern.

Implementierungsoptionen

Cloud-native: AWS S3 Object Lock, Azure Immutable Blob Storage, Google Cloud Retention Policies. Einfach zu konfigurieren, skalierbar, kein Hardware-Management.

On-Premises: Backup-Appliances mit integrierter Immutability (Veeam Hardened Repository, Dell PowerProtect, Rubrik) oder dedizierte WORM-Storage-Systeme.

Air-Gapped: Physisch getrennte Backup-Medien (Tape, externe Festplatten), die nur für Backup-Fenster verbunden werden. Maximaler Schutz, höchster operativer Aufwand.

Die 3-2-1-1-0-Regel

Die klassische 3-2-1-Regel (3 Kopien, 2 verschiedene Medien, 1 offsite) reicht nicht mehr. Die erweiterte 3-2-1-1-0-Regel ergänzt: 1 Kopie immutable/air-gapped und 0 Fehler bei automatisierten Restore-Tests.

Der letzte Punkt wird oft vergessen: Ein Backup, das nie getestet wurde, ist kein Backup – es ist eine Hoffnung. Automatisierte Restore-Tests in isolierten Sandbox-Umgebungen verifizieren, dass die Daten tatsächlich wiederherstellbar sind.

Key Facts

Backup-Angriffe: 94 Prozent der Ransomware-Angriffe zielen auf Backups (Veeam 2023)

Erfolgsrate: 57 Prozent der Backup-Kompromittierungen erfolgreich

Recovery ohne Backups: 2x höhere Kosten und 4x längere Wiederherstellungszeit (Sophos)

Häufige Fragen

Können Immutable Backups auch gelöscht werden?

Während der Retention-Lock-Periode nein – das ist technisch erzwungen, nicht nur per Policy. Nach Ablauf der Periode können sie gelöscht werden. Die Retention-Periode sollte mindestens so lang sein wie die typische Dwell Time von Angreifern (Median: 21 Tage).

Wie viel kostet Immutable Storage?

Cloud-basiert: 20-40 Prozent Aufpreis gegenüber Standard-Storage (S3 Glacier mit Object Lock). On-Premises: Veeam Hardened Repository ist in der Veeam-Lizenz enthalten – nur der Linux-Server muss bereitgestellt werden. Die Kosten sind moderat im Vergleich zum Schutzeffekt.

Ersetzt Immutable Backup ein Air-Gapped Backup?

Für die meisten Unternehmen ja. Immutable Cloud- oder On-Premises-Storage bietet vergleichbaren Schutz bei deutlich geringerem operativem Aufwand. Air-Gapped bleibt für Hochsicherheitsumgebungen (KRITIS, Militär, Forschung) relevant.