24. Juni 2026 | Artikel drucken | |

Wenn HCI das Backup zur Angriffsfläche macht

8 Min. Lesezeit

HCI macht Infrastruktur einfacher, aber nicht automatisch sicherer. Wenn Virtualisierung, Storage, Netzwerk, Backup und Cyber Protection in einer Plattform zusammenlaufen, entsteht ein neuer Kernbereich: die Steuerungsebene. Sie entscheidet, wer Systeme baut, Daten schützt und im Ernstfall wiederherstellt. Für Security-Teams gehört sie deshalb in Tier 0.

Das Wichtigste in Kürze

  • Konsolidierung verschiebt Risiko. HCI senkt Betriebsaufwand, bündelt aber auch Berechtigungen, APIs, Backup-Jobs und Recovery-Pfade an einer Stelle.
  • Backups brauchen Abstand. Integrierter Schutz zählt nur, wenn unveränderliche Kopien, getrennte Admin-Rollen und ein isolierter Wiederanlauf mitgeplant sind.
  • Recovery ist der harte Test. Vor dem Rollout muss klar sein, welche Workloads in welcher Reihenfolge zurückkommen und wer die Steuerungsebene selbst wiederherstellt.

Verwandt:Backup gegen Ransomware  /  Wenn der Backup-Server selbst zur Schwachstelle wird

Ein Fachbeitrag von Markus Fritz, General Manager DACH bei Acronis.

Was ist HCI mit Cyber Protection? Hyperconverged Infrastructure fasst Rechenleistung, Storage, Netzwerk und Virtualisierung in einem gemeinsamen Betriebsmodell zusammen. Cyber Protection ergänzt diese Ebene um Backup, Disaster Recovery, Security-Funktionen, Monitoring und Management. Aus vielen Werkzeugen wird damit eine Plattform, die Betrieb und Schutz zugleich steuert.

Der Anlass ist Acronis Cyber Frame, eine HCI- und IaaS-Plattform für Service Provider. Acronis beschreibt die Lösung als multitenant, ab fünf Knoten und in Cyber Protect Cloud integriert. Für SecurityToday ist daran weniger der Produktname interessant als die Grundfrage: Was passiert, wenn Infrastruktur, Schutz und Wiederanlauf denselben Kontrollpunkt bekommen?

Warum die VMware-Neuordnung den Druck erhöht

Viele Service Provider prüfen ihre Infrastruktur gerade neu. Die Übernahme von VMware durch Broadcom hat Lizenzmodelle, Vertragslogik und Migrationspläne in Bewegung gebracht. Wer IaaS betreibt, bewertet die nächste Plattform nicht nur technisch, sondern auch nach Marge, Supportpfaden, Mandantenfähigkeit und der Frage, wie schnell neue Kapazität bereitsteht.

In dieser Lage wirkt HCI naheliegend. Weniger Einzelkomponenten, weniger Schnittstellen, schnellere Bereitstellung. Für Service Provider mit vielen kleinen und mittleren Kunden ist das attraktiv, weil klassische Virtualisierungsstacks oft schwer zu automatisieren sind. Die technische Gefahr liegt aber in derselben Stärke: Je mehr Aufgaben an einer Konsole hängen, desto größer wird der Schaden bei einem kompromittierten Admin-Konto.

Der Verizon Data Breach Investigations Report 2026 zeigt, wie stark Ransomware weiterhin in reale Sicherheitsvorfälle hineinwirkt. Genau diese Angriffe zielen längst auf Backup-Konsolen, Hypervisoren und Managementserver, weil dort der Hebel größer ist als auf einem einzelnen Fileserver.

48 Prozent
der untersuchten Breaches enthalten laut Verizon DBIR 2026 Ransomware.
Quelle: Verizon Data Breach Investigations Report 2026

Wo der Schutz in fragmentierten Stacks reißt

Der klassische Aufbau ist selten sauber getrennt. Es gibt eine Virtualisierungskonsole, eine Backup-Konsole, ein RMM-System, ein Security-Werkzeug, separate Skripte und mehrere Portale beim Provider. Jeder Bereich hat eigene Rollen, eigene API-Schlüssel, eigene Logs und eigene Sonderrechte. Auf dem Papier entsteht Verteidigung in der Tiefe. Im Alltag entsteht oft Drift.

Drift heißt: Ein Ex-Mitarbeiter bleibt in einem alten Backup-Mandanten berechtigt. Ein API-Key läuft ohne Ablaufdatum. Ein Servicekonto darf Snapshots löschen, obwohl es nur Reports ziehen sollte. Ein Alarm aus dem EDR landet nicht bei dem Team, das Wiederherstellungen steuert. In fragmentierten Stacks fällt das spät auf, weil niemand die Kette als Ganzes sieht.

Eine integrierte Plattform kann dieses Problem reduzieren. Sie kann Berechtigungen vereinheitlichen, Mandanten sauberer trennen und Backup, Security und Betrieb in einem Ereignisstrom zusammenführen. Das ist kein Freifahrtschein. Es ist ein Tausch: weniger blinde Flecken gegen eine kritischere Managementebene.

Die Steuerungsebene gehört in Tier 0

Wer HCI mit Cyber Protection ausrollt, muss die Steuerungsebene wie ein Identitätssystem behandeln. Sie verdient phishing-resistente MFA, rollenbasierte Rechte, getrennte Break-Glass-Konten, Admin-Zugriff nur aus gehärteten Netzen und ein eigenes Log-Ziel, das ein kompromittierter Plattform-Admin nicht löschen kann.

Wichtig ist die Trennung der Löschmacht. Ein Angreifer, der produktive VMs verschlüsselt, darf nicht gleichzeitig unveränderliche Sicherungen entfernen und Replikate stilllegen können. Das klingt selbstverständlich, scheitert aber oft an bequemen Superadmin-Rollen. Gerade in Umgebungen mit mehreren Mandanten muss diese Trennung technisch und organisatorisch belegt werden, nicht nur in der Oberfläche sichtbar sein.

Für Kunden ändert sich die Prüffrage. Es reicht nicht zu fragen, ob Backup integriert ist. Entscheidend ist, wer die Policies ändern darf, wer Recovery-Jobs starten kann, welche Aktionen eine zweite Freigabe brauchen und wie lange Audit-Logs außerhalb der Plattform erhalten bleiben.

Konsolidierung trägt nur mit Kontrollpunkten

Konsolidierung ist kein Sicherheitsproblem an sich. Sie wird dann gefährlich, wenn sie als Abkürzung verstanden wird. Gute Plattformarchitektur nimmt Betriebsdruck aus der Umgebung, lässt aber Kontrollpunkte sichtbar. Schlechte Plattformarchitektur versteckt Komplexität hinter einer Oberfläche und verkauft die Abwesenheit von Reibung als Schutz.

Prüfung vor dem Rollout

Rollen: Einheitliche Berechtigungen und klare Mandantentrennung müssen vor der Migration feststehen.

Backups: Unveränderliche Kopien brauchen getrennte Schlüssel und eigene Löschrechte.

Wiederanlauf: Recovery-Runbooks brauchen echte Workloads, Abhängigkeiten und klare Reihenfolgen.

Logging: Plattformereignisse gehören in ein Ziel außerhalb der HCI-Administration.

Der Unterschied entscheidet sich nicht im Datenblatt. Er zeigt sich im Berechtigungskonzept, in der Netzwerksegmentierung und in der Frage, ob die Plattform selbst nach einem Angriff wieder kontrollierbar ist. Eine HCI-Umgebung kann ein Recovery-Beschleuniger sein. Sie kann aber auch der Ort sein, an dem ein Angriff die meisten Türen auf einmal findet.

Der Rollout braucht Recovery-Beweise

Vor dem produktiven Rollout sollte das Team nicht nur einen Migrationsplan bauen, sondern einen Wiederanlaufplan. Die erste Frage lautet: Welche Systeme müssen innerhalb der ersten Stunde zurückkommen? Danach folgen Identität, Netzwerk, Management, Fachverfahren, Datenbanken und die Reihenfolge der Abhängigkeiten. Wer hier keine Priorität setzt, bekommt im Incident viele gleich laute Stimmen und keine belastbare Reihenfolge.

Vor dem Rollout: Rollen, Mandanten, Notfallkonten, API-Schlüssel und externe Log-Ziele erfassen. Alles, was Backup-Löschung oder Snapshot-Änderungen erlaubt, bekommt eine eigene Prüfung.

In der Pilotphase: Restore-Tests mit echten Abhängigkeiten fahren. Nicht nur eine VM zurückholen, sondern Applikation, Identität, DNS, Netzwerkpfad und Monitoring gemeinsam prüfen.

Nach dem Start: Rechte regelmäßig rezertifizieren, Break-Glass-Konten testen, unveränderliche Kopien prüfen und Wiederanlaufzeiten gegen die vertraglichen Zusagen halten.

Gerade Service Provider sollten diese Nachweise standardisieren. Kunden kaufen IaaS nicht, um im Ernstfall Forensik am Provider-Stack zu lernen. Sie brauchen eine klare Aussage, welche Schichten geschützt sind, wo ihre Verantwortung beginnt und welche Recovery-Zusagen technisch getestet wurden.

Vor dem Rollout zählt die Trennschärfe

Die stärkste HCI-Plattform hilft wenig, wenn sie im Sicherheitsmodell wie ein gewöhnliches Admin-Portal behandelt wird. Vor dem Rollout müssen drei Dinge belastbar sein: die Trennung von Betrieb und Backup-Macht, der Schutz der Managementebene und ein geprüfter Wiederanlauf für Plattform und Kundenworkloads.

Das macht HCI mit Cyber Protection nicht weniger interessant. Es macht den Blick nüchterner: Wer Infrastruktur und Schutz verbindet, kann schneller bereitstellen, sauberer automatisieren und im Incident geordneter reagieren. Der Preis dafür ist Governance auf einer zentralen Ebene, die vorher oft zwischen mehreren Tools verteilt war.

Für IT-Teams ist das die eigentliche Entscheidung: Konsolidierung darf den Betrieb vereinfachen, aber sie darf die Sicherheitsarchitektur nicht unsichtbar machen. Erst wenn Recovery, Rechte und Logs getrennt überprüfbar bleiben, wird aus einer integrierten Plattform mehr als eine neue Angriffsfläche.

Häufige Fragen

Was ist HCI in diesem Kontext?

HCI steht für Hyperconverged Infrastructure. Gemeint ist eine Infrastrukturarchitektur, die Compute, Storage, Netzwerk und Virtualisierung in einem gemeinsamen Betriebsmodell zusammenführt. Im Service-Provider-Kontext kommt oft IaaS hinzu, also die Bereitstellung von virtuellen Maschinen, Speicher und Netzwerkdiensten für Kunden.

Warum wird die Steuerungsebene kritisch?

Die Steuerungsebene verwaltet produktive Systeme, Mandanten, Berechtigungen, Backups und Wiederherstellungen. Wer sie kontrolliert, kann nicht nur Workloads starten oder stoppen, sondern oft auch Schutzmechanismen verändern. Deshalb gehört sie in dieselbe Schutzklasse wie Identitätssysteme, Domänencontroller und zentrale Admin-Werkzeuge.

Welche Rolle spielen unveränderliche Backups?

Unveränderliche Backups verhindern, dass gesicherte Daten innerhalb eines definierten Zeitraums gelöscht oder verändert werden. Sie sind aber nur ein Teil der Antwort. Entscheidend ist, dass die Rollen zur Verwaltung dieser Kopien getrennt sind und dass Schlüssel, Logs und Löschrechte nicht beim selben Konto landen.

Wo liegt der Unterschied zwischen Konsolidierung und Lock-in?

Konsolidierung reduziert Betriebsaufwand, wenn Standards, Rollen, Logging und Recovery-Prozesse klarer werden. Lock-in entsteht, wenn Daten, Workloads und Betriebsprozesse so stark an eine Plattform gebunden sind, dass ein Wechsel kaum noch steuerbar ist. Exit-Pfade, Exportformate und getestete Migrationen gehören deshalb in die Architekturprüfung.

Welche Prüfungen gehören vor den Rollout?

Vor dem Rollout sollten Teams Rollen und Superadmin-Rechte prüfen, externe Log-Ziele festlegen, Backup-Löschrechte trennen, Restore-Tests durchführen und den Wiederanlauf der Plattform selbst üben. Dazu gehören auch Break-Glass-Konten, MFA, API-Key-Lebenszyklen und eine klare Reihenfolge für kritische Workloads.

Lesetipps der Redaktion

SecurityTodayBackup gegen Ransomware: 3-2-1-1-0 statt 3-2-1SecurityTodayPAM ohne Enterprise-Budget: Admin-Rechte im GriffSecurityTodayNetzwerksegmentierung im Mittelstand: wo man anfängt

Mehr aus dem MBF Media Netzwerk

cloudmagazin

VMware-Preisschock: DACH-Firmen vor harter Wahl

digital-chiefs

Das Operating Model, das die Reorg überlebt

mybusinessfuture

Prozessoptimierung scheitert an der Übergabe, nicht am Tool

Quelle Titelbild: Pexels / Panumas Nikhomkhai (px:37605910)

Artikel drucken
Markus Fritz

Hier schreibt Markus Fritz für Sie

Mehr Artikel vom Autor

Ein Magazin der Evernine Media GmbH