Aktuelle Angriffsszenarien auf Backups

Ransomware dringt typischerweise über Phishing-E-Mails oder ausgenutzte Schwachstellen ins Netzwerk ein und breitet sich lateral aus. Bevor die eigentliche Verschlüsselung beginnt, werden oft systematisch alle erreichbaren Sicherungen ausgeschaltet oder gelöscht. Unter Windows löschen viele Erpressungstrojaner zuerst Volume-Shadow-Copies, um lokale Wiederherstellungspunkte auszuschalten. Anschließend nehmen sie Netzwerklaufwerke und Backup-Server ins Visier. Neuere Angriffswellen stehlen administrative Zugangsdaten oder missbrauchen Sicherheitslücken, um Backup-Software oder Speichersysteme direkt zu manipulieren. Ein bekanntes Beispiel liefert der Angriff der Akira-Ransomware, die gezielt NAS-Systeme leer räumte und automatisierte Tape-Libraries vollständig löschte. Solche Vorfälle zeigen, wie akribisch Angreifer mittlerweile vorgehen, um Sicherungen zu zerstören.

Risiken bei Tape-Backups: Schnellformatierung und Sabotage

Tapes galten lange als besonders sichere Backup-Medien, vor allem durch ihre Offline-Eigenschaft. Doch Bandmedien sind nicht immun gegen gezielte Angriffe. Wenn eine Ransomware Kontrolle über die Backup-Umgebung erlangt, etwa über angeschlossene Backup-Server oder Library-Steuerungen, können selbst Tape-Sicherungen in Sekunden vernichtet werden. Ein häufig genutzter Weg ist die Schnellformatierung (Quick Erase): Ein einfacher Marker am Bandanfang macht in kürzester Zeit sämtliche Daten unzugänglich. Obwohl die Daten physikalisch noch vorhanden sind, erfordert deren Wiederherstellung enormen Aufwand und spezielle Technik. Zusätzlich besteht das Risiko physischer Manipulation, etwa durch Diebstahl oder Entmagnetisierung mittels Degausser. Damit wird die vermeintlich sichere Tape-Kassette binnen Sekunden unbrauchbar.

Schutzmaßnahmen für Backup-Infrastrukturen

Backups benötigen heute eigene Schutzmechanismen. Zu den wichtigsten Maßnahmen zählen:

Netzwerksegmentierung und Zugriffsbegrenzung: Backup-Infrastrukturen sollten strikt vom restlichen Netzwerk getrennt werden. Zugriffskonten müssen minimalste Rechte besitzen und administrative Privilegien klar begrenzt sein.

Multi-Faktor-Authentifizierung (MFA): Der Zugriff auf Backup-Systeme und insbesondere externe Cloud-Backups sollte zwingend per MFA abgesichert werden, um Angreifer mit gestohlenen Zugangsdaten abzuwehren.

Immutable Storage (unveränderlicher Speicher): Einmal geschriebene Backup-Daten dürfen innerhalb definierter Zeitfenster nicht gelöscht oder verändert werden können. Lösungen wie WORM-Medien oder geschützte Cloud-Storage-Optionen bieten diesen Schutz.

Offline- und Offsite-Backups (Air Gap): Mindestens eine Kopie wichtiger Datensicherungen sollte stets offline und geografisch getrennt gelagert werden, sodass Malware diese nicht erreichen kann.

Regelmäßige Test-Wiederherstellungen: Mindestens quartalsweise sollten Organisationen die Funktionsfähigkeit ihrer Backups praktisch überprüfen. So werden mögliche Fehlerquellen rechtzeitig erkannt und behoben, bevor es ernst wird.

Notfallplanung: Wenn trotz Backup alles schiefgeht

Trotz optimaler Schutzvorkehrungen bleibt ein Restrisiko. Deshalb gehört zu jeder ernsthaften Business-Continuity-Strategie eine professionelle Datenrettung als zusätzlicher Baustein. Sollte Ransomware im Extremfall sowohl Primärdaten als auch sämtliche Backups zerstört haben, bleibt als letzte Hoffnung oft nur die Zusammenarbeit mit spezialisierten Datenrettungsunternehmen. Diese verfügen über hochspezialisierte Werkzeuge und Expertenwissen, um selbst schwer beschädigte oder teilweise gelöschte Daten wiederherzustellen.

„Backups sind essenziell für die Datensicherheit, aber im Ernstfall wird auch professionelle Datenrettung zum unverzichtbaren Teil der Strategie“, betont Lars Müller, Technischer Leiter bei DATA REVERSE. „Wir erleben immer wieder Situationen, in denen trotz solider Backup-Planung ein Datenverlust droht – dann kann nur die Kombination aus einer guten Backup-Strategie und erfahrenen Datenrettern das Schlimmste verhindern.“

Organisationen sollten daher in ihrem Notfallplan festlegen, wie und wann externe Datenrettungsspezialisten hinzugezogen werden. Je klarer diese Abläufe definiert und eingeübt sind, desto effizienter kann im Ernstfall gehandelt werden.

NIS 2: Regulatorische Anforderungen an Backups und Wiederherstellung

Auch der Gesetzgeber stellt zunehmend konkrete Anforderungen an Backup-Strategien und Notfallpläne. Die neue EU-Richtlinie NIS 2 verpflichtet zahlreiche essenzielle Sektoren, darunter Industrie, Gesundheitswesen und öffentliche Verwaltung, dazu, ihre IT-Sicherheit signifikant zu verbessern und umfassende Notfallmaßnahmen zu etablieren. Konkret bedeutet dies, dass Backup-Prozesse definiert und regelmäßig auditiert werden müssen. Außerdem müssen Betreiber kritischer Infrastrukturen künftig nachweisen, dass ihre Backups zuverlässig funktionieren und schnelle Wiederherstellungszeiten (RTO/RPO) erreicht werden können.

Verstöße gegen NIS 2 können empfindliche Strafen nach sich ziehen – bis zu 2 % des weltweiten Jahresumsatzes. Zudem haften Unternehmensleitungen persönlich für die Einhaltung der Vorgaben. Für Organisationen bedeutet dies, dass Backup- und Wiederherstellungsprozesse künftig nicht nur technisch, sondern auch regulatorisch ein zentraler Bestandteil ihrer Risikovorsorge sein werden.

Fazit

Ransomware-Angriffe zeigen deutlich, dass Backups selbst zur Zielscheibe werden können. Der versteckte Feind in der eigenen Schutzstrategie erfordert einen proaktiven, mehrschichtigen Ansatz zur Sicherung kritischer Daten. Organisationen sind daher gut beraten, ihre Backup-Infrastrukturen robuster und widerstandsfähiger zu gestalten – etwa durch Immutable Storage, regelmäßige Offline-Kopien und systematische Test-Wiederherstellungen.

Ebenso wichtig ist die Planung des Ernstfalls: Nur wer auch den schlimmsten Fall eines kompletten Datenverlustes inklusive Backup-Versagens mit einkalkuliert, wird im Ernstfall handlungsfähig bleiben. Gerade Organisationen in kritischen Branchen wie Industrie, Gesundheitswesen und öffentlicher Verwaltung müssen zudem die regulatorischen Anforderungen (NIS 2) als Chance sehen, ihre Backup-Strategie auf ein noch höheres Niveau zu heben.

Wer die Bedrohung erkennt und darauf strategisch antwortet, stärkt nicht nur seine Cyber-Resilienz, sondern sichert langfristig seine digitale Handlungsfähigkeit und Wettbewerbsfähigkeit. Denn eines ist klar: Der Kampf gegen den versteckten Feind in den Backups ist anspruchsvoll – aber mit den richtigen Maßnahmen und Partnern lässt er sich gewinnen.