Blogpost: Datensicherung alleine kann monetäre Verluste durch Ausfallzeiten sowie Reputationsverluste nicht rückgängig machen, aber sie bildet weiterhin eine zentrale Säulen und Schutzmaßnahme gegen Cyberangriffe. Allerdings sind Backups gegen Ransomware & Co. nur ein Teilaspekt innerhalb einer umfangreicheren Sicherheitsarchitektur im Unternehmen...
Zum Hintergrund
Unternehmen-/Organisationen sind gefordert, sich neben den klassischen Backup-Restore-Verfahren verstärkt darauf zu konzentrieren, potentielle Angriffe pro-aktiv durch Maßnahmen wie Zero-Trust, KI-basierte real-time Erkennungssysteme auch im Storage, Netzwerksegmentierung und robuste Notfallpläne beherrschbar zu machen. Der Fokus liegt dabei primär auf Resilienz und den vorhandenen Möglichkeiten, die direkten Auswirkungen von Angriffen aufr Produktivsysteme so früh und so rasch wie irgend möglich einzudämmen. Randbedingungen können dabei sein:
1. Latenz zwischen Infektion und Aktivierung
- Oftmals bleibt Ransomware länger unbemerkt im Netzwerk und infiziert schrittweise Dateien, bevor sie aktiv wird. Dadurch können auch ältere Backups bereits kompromittierte Daten enthalten, was die Wiederherstellung erschwert.
2. Gezielte Verschlüsselung oder Löschen von Backupdaten
-
Ransomware greift gezielt Backups an. Angreifer versuchen damit, Backup-Systeme zu kompromittieren, indem sie Netzwerklaufwerke oder direkt angebundene Backup-Speicher verschlüsseln, Cloud-Backups durch gestohlene Zugangsdaten löschen-/überschreiben sowie die
Versionierung in Cloud-Speichern deaktivieren, um den Restore zu verhindern.
3. Datenexfiltration und Doppelerpressung
- Angriffe kombinieren Verschlüsselung mit Datendiebstahl. Selbst wenn ein Unternehmen seine Systeme aus Backups wiederherstellen kann, drohen Angreifer damit, sensible Daten zu veröffentlichen, um dennoch Lösegeld zu erpressen.
4. Langsame Wiederherstellung und Betriebsunterbrechungen
- Abhängig von der Datenmenge und Infrastruktur kann eine Wiederherstellung oft Tage oder Wochen dauern. Unternehmen erleiden währenddessen finanzielle und operationale Schäden, was ebenfalls ein Ziel dieser Angriffe sein kann.
5. Fehlende Backup-Strategie oder Tests
- Backups sind nur so gut wie ihre Umsetzung. Gerade kleinere und auch mittlere Organisationen testen ihre Backup- und Wiederherstellungsprozesse nicht immer regelmäßig oder verwenden keine immutable (unveränderlichen) und air-gapped (physisch getrennten) Backups und Systeme, die gegen Manipulation geschützt sind.
Gängige Best Practices und Strategien zur Verbesserung der Backup-Sicherheit gegen Ransomware & Co.
- Immutable- und Air-gapped Backup und Systeme nutzen (s.a.WORM-Storage, Offline-Daten)
- Mehrstufige Backup-Strategie und 3-2-1-1-Regel
- Zero-Trust-Prinzipien anwenden, um unautorisierten Zugriff auf Backups zu verhindern
- Regelmäßige Backup-Tests und Disaster-Recovery-Pläne durchführen
- Erweiterte pro-aktive und KI-gestützte Bedrohungserkennung für verdächtige Aktivitäten im Storage- und Sicherungssystem einsetzen.
Planungsseitig zu berücksichtigen: "Quantenresistenter Storage"
Hintergrund: Eine Data-at-Rest-Verschlüsselung mit klassischen Algorithmen bietet gegenüber Quantenangriffen künftig keine Zukunftssicherheit. Die Lösung:
-
Migration zu Post-Quantum-Kryptographie (PQC)
Hinweis: Das BSI empfiehlt in der technischen Richtlinie TR-02102-1 PQC als Stand der Technik und fordert gemeinsam mit 21 europäischen Partnerbehörden die Migration bis 2030 **
** Quelle, externer Link > https://www.bsi.bund.de/SharedDocs/Downloads/EN/BSI/Publications/TechGuidelines/TG02102/BSI-TR-02102-1.pdf
Cyber-Resilienz erweitert die klassische Backup-Strategie
Dies umfasst einen pro-aktiven und ganzheitlichen Ansatz zur Widerstandsfähigkeit gegen Angriffe, insbesondere bei Ransomware. Unternehmen müssen dazu mehrere Schutzmaßnahmen kombinieren, um Angriffe zu verhindern bzw. Penetrationen frühzeitig zu erkennen und die Systeme schnell wiederherstellen zu können.
Dazu gehören Lösungen, die eine sichere und kosteneffiziente S3 Glacier Speicherklasse mit Objektspeicher unterstützen. Beispiel: Daten werden anhand von Lifecycle Policies als HSM-Ansatz automatisiert von Disk über S3 REST API auf Tape migriert und dort rechtskonform archiviert (on-premise/private- oder hybrid Cloud).
Wechsel von Cybersecurity zu Cyberresilienz
1. Prävention: Angriffe verhindern
- Zero-Trust-Sicherheitsmodell für Netzwerke, Identitäten und Zugriffe
- Multi-Faktor-Authentifizierung (MFA) für alle kritischen Systeme, insbesondere für Admin-Zugänge.
- Least Privilege-Prinzip über Minimierung von Berechtigungen auf das unbedingt Notwendige, um laterale Bewegungen von Angreifern zu verhindern.
- Patch-Management: Regelmäßige Updates von Betriebssystemen, Anwendungen und Firmware zur Schließung von Sicherheitslücken.
- E-Mail- und Web-Sicherheit: Phishing-Filter, sichere Web-Gateways und Sensibilisierung der Mitarbeiter für Social-Engineering-Angriffe.
2. Früherkennung: Angriffe rechtzeitig erkennen
-
Endpoint Detection & Response (EDR) / Extended Detection & Response (XDR): Erfassung und Analyse verdächtiger Aktivitäten auf Endpunkten.
Security Information and Event Management (SIEM): Zentrale Überwachung von Log-Daten zur frühzeitigen Identifikation von Angriffen. - Anomalie-Erkennung: KI-gestützte Systeme, die ungewöhnliche Muster im Datenverkehr oder untypische Dateiaktivitäten erkennen können.
- Deception-Technologie: sog. Honeypots und andere Täuschungstechniken, um Angreifer in kontrollierte Umgebungen zu lenken und deren Verhalten zu analysieren.
3. Schadensbegrenzung: Auswirkungen minimieren
- Segmentierung des Netzwerks: Begrenzung der Ausbreitung von Malware durch Trennung von IT- und OT-Netzen sowie internen Bereichen
- Sicherer Zugriff auf kritische Systeme: Verwendung von Remote-Desktop-Gateways und isolierten Verwaltungsnetzen.
- Immutable und Air-Gapped-Backups: Backups, die weder verändert noch gelöscht werden können und offline gespeichert sind.
- Disaster Recovery & Incident Response Pläne: Klare Protokolle für den Notfall, regelmäßige Simulationen und Krisenkommunikation.
4. Wiederherstellung: Schnelle Rückkehr zum Normalbetrieb
- Orchestrierte Wiederherstellungsprozesse: Automatisierte und priorisierte Wiederherstellung kritischer Systeme.
- Cyber-Versicherung: optionaler Schutz gegen finanzielle Schäden durch Cyberangriffe.
- Regelmäßige Tests der Backup- und Notfallpläne: Sicherstellen, dass Wiederherstellungen schnell und effektiv durchgeführt werden können.
Fazit
Resilienter Cyber-Schutz kombiniert verschiedene technische Maßnahmen, organisatorische Prozesse und eine im Unternehmen etablierte Sicherheitskultur (people / mindset). Der Fokus liegt primär auf Resilienz und den technischen sowie organisatorischen Möglichkeiten, potentielle Angriffe möglichst frühzeitig zu erkennen und einzudämmen.
Appendix:
Einsatz von KI-Technologien für Backup-Recovery und Datenschutz (technischer Hintergrund)
1. Anomalieerkennung durch KI:
- "Zweck: Frühzeitige Erkennung ungewöhnlicher Aktivitäten wie Ransomware-Angriffe, Datenmanipulation oder unbefugte Zugriffe.
- Technologie: Machine Learning-Modelle, die „normales“ Nutzer- und Systemverhalten lernen und bei Abweichungen Alarm schlagen.
- Anwendung: Überwachung von Backup-Datenströmen, File-Access-Mustern, Storagesystemen und weiterer Speicheraktivitäten.
2. Beispiele zum Einsatz von KI bei Backup-/Datenschutz Anbieter-Tools:
- Machine Learning zur Erkennung von Anomalien in Backup-Daten.
- Integrierte Anomalieerkennung auf File-Ebene.
3. Technische Umsetzung:
- Algorithmen: Unsupervised Learning (kein Labeling erforderlich):
- Isolation Forest: Identifikation von Ausreißern in hochdimensionalen Daten z. B. ungewöhnliche Dateiänderungen.
- Autoencoder (Neural Networks): Komprimieren Input-Daten und lernen „normale“ Muster, Anomalien verursachen hohe Rekonstruktionsfehler.
- Time Series Models: LSTM (Long Short-Term Memory): Für sequenzielle Backup-Logs, erkennt zeitbasierte Anomalien in Zugriffsmustern.
- Input-Daten: Backup-Metadaten, Änderungsraten, Zugriffszahlen, Dateigrößen, File-Hashes etc.
4. KI-gestützte Ransomware-Erkennung und -Reaktion:
- Aufgabe: Schutz von Backup-Daten vor Verschlüsselung durch Ransomware.
- Technologie: KI-Modelle analysieren Datenzugriffe und Dateiänderungen in Echtzeit.
- Anwendung: Automatisches Sperren betroffener Systeme, Isolieren von infizierten Daten, sofortige Wiederherstellung sicherer Versionen.
5. KI-gestützte Ransomware Detection-Tools:
- Ransomware Detection über verhaltensbasierte Erkennung.
- Deep Learning Modelle zur Erkennung von Ransomware-Indikatoren.
6. Technische Umsetzung mit Algorithmen:
- Supervised Learning: Random Forests / Gradient Boosted Trees (z. B. XGBoost): Klassifikation von Dateien oder Zugriffen als „malicious“ oder „clean“.
- Deep Learning: CNNs für Dateistruktur-Analyse (z. B. zur Erkennung manipulierten Inhalts).
- Graph Neural Networks (GNNs): Für Beziehungsanalysen zwischen Benutzern, Dateien und Systemen.
- Feature Engineering: Änderungsraten pro Datei, Entropie-Analyse (Verschlüsselungsmuster), untypische Dateinamensänderungen, Prozesskettenanalyse."
Stand Aug. 25 mit Update von Juni 2026 / ND.
Querverweis zum Themenkomplex:
Unser Beitrag > Kritische Sicherheitslücke in Google Cloud Platform (GCP) Vertex AI Engine aufgedeckt
Unser Beitrag > Telekom souveräne Cloud-Infrastruktur T Cloud Public für die deutsche Verwaltung
Unser Beitrag > Interner Report: JP Morgan Chase Vorreiter bei Quantensicherheit
Unser Beitrag > Quantenresistente Datensicherheit: Fünf vor zwölf für den Unternehmensspeicher