Ransomware ist ein Riesengeschäft – Kriminelle können Schad-Software lizenzieren und selbst ohne große Vorkenntnisse beliebige Netzwerke angreifen. Dabei zielen sie oft auch auf Backup-Systeme ab. Deshalb müssen diese sich mit geschützten und unveränderbaren Backups gegen Ransomware immunisieren.
Unternehmen müssen Maßnahmen planen, um die Kompromittierung von Backups durch Ransomware zu verhindern und eine reibungslose Wiederherstellung zu gewährleisten.
(Bild: .shock - stock.adobe.com)
Unsere vernetzte Welt bietet Cyberkriminellen viele direkte Wege und Hintertüren, um in Unternehmensnetzwerke einzudringen. Laut dem Deloitte Cyber Security Report 2021 steht Schad-Software im Jahr 2022 mit 76 Prozent auf Platz zwei der größten Cyberrisiken. Im Vergleich zu 2013 ein Plus von 19 Prozent. Für diesen regelrechten Boom ist unter anderem auch der florierende Markt für Ransomware-as-a-Service (RaaS) verantwortlich. Mandiant zeigt in den M-Trends 2022 auf, dass in der EMEA-Region Cybersicherheitsvorfälle mit Ransomware von 2020 bis 2021 bereits über einen Fünftel der beobachteten Angriffe ausmachten.
Die Gefahren durch Ransomware sind vielfältig. Für Kriminelle zählen sie als lukratives Geschäft, denn die durchschnittliche Lösegeldzahlung beträgt mehr als 812.000 US-Dollar. Die geschädigten Unternehmen müssen zusätzlich die Kosten für die Behebung der Folgen eines solchen Vorfalls tragen. Die belaufen sich laut dem Sophos Ransomware Report im Durchschnitt auf rund 1,4 Millionen US-Dollar (pdf).
Unternehmen müssen die Angriffsstrategien verstehen
Wenn Daten und Systeme durch Ransomware unbrauchbar werden, dann liegt der Gedanke nah, dass eine Wiederherstellung aus dem Backup das Schlimmste verhindert. Das wissen Cyberkriminelle und greifen deshalb auch Backups an. Unternehmen, die ihre Backup-Daten auf dem Primärspeichersystem ablegen, anstatt sie zu isolieren, erleichtern es den Angreifern, diese Backup-Daten im Falle eines Angriffs zu verschlüsseln oder zu löschen. Gleiches gilt für Backup-Daten in einer eigenen Cloud, da diese heutzutage als Teil hybrider Infrastrukturen nicht mehr streng von den Produktivsystemen getrennt sind.
IT-Verantwortliche müssen solche Angriffsstrategien verstehen, um ihr Unternehmen dagegen zu schützen. Ein Angriff ist nur eine Frage der Zeit. Dabei sind drei Gedanken zentral, um eine zeitgemäße Strategie für Datensicherheit zu entwickeln. Erstens dürfen Kriminelle gar nicht erst in das Netzwerk eindringen. Zweitens muss verhindert werden, dass Malware Schaden im System anrichtet und Daten ausspäht. Drittens dürfen Sicherheitskopien von Daten und Systemen nicht manipuliert werden, falls ein Angriff doch erfolgreich ist. Ein unveränderliches Backup, in dem die gespeicherten Daten nicht geändert, überschrieben oder gelöscht werden können, gibt Unternehmen die Möglichkeit, ohne Datenverlust und lange Ausfallzeit ihre Daten wiederherzustellen.
Wie kriminelle Hacker Systeme infiltrieren
Doch wie kommt Schad-Software in die Unternehmensinfrastruktur? Am einfachsten fällt es den kriminellen Akteuren, wenn bekannte Sicherheitslücken nicht gepatcht wurden. Gefährdet sind Organisationen jedoch auch durch bislang unbekannte Schwachstellen, die noch gar nicht geschlossen werden konnten, sogenannte „Zero Day Exploits“. Deshalb gehören zuverlässige Patch-Routinen und die aktive Suche nach unentdeckten Sicherheitslücken zu den Grundelementen einer IT-Sicherheitsstrategie. Das Schlagwort lautet: Penetration Testing, kurz Pentesting.
Neben dem Ausnutzen von Sicherheitslücken setzen Kriminelle heutzutage primär auf Social Engineering – etwa Phishing oder Spear-Fishing. Zu den beliebten Varianten zählt, dass Mitarbeiter von vermeintlichen Vorgesetzten eine E-Mail bekommen. Diese auf den ersten Blick seriös wirkende E-Mail enthält Anweisungen, wie zum Beispiel schnell einen Report mit angehängter Vorlage auszufüllen. Oft werden dabei Stress und psychischer Druck aufgebaut, damit die Nachricht nicht hinterfragt wird. Die scheinbare Dringlichkeit des Anliegens führt dann dazu, dass schädliche Anhänge vorschnell heruntergeladen, Zugangsdaten weitergegeben oder Aktivitäten einer Schad-Software legitimiert werden. Um Phishing und anderen Social-Engineering-Methoden den Riegel vorzuschieben, lohnt sich eine Investition in die Sensibilisierung der Mitarbeiter für die verschiedenen Angriffsarten und die Aufklärung, wie diese erkannt und vermieden werden.
Malware ist geduldig
Nachdem die Schad-Software in ein System eingedrungen ist, zeigen sich oftmals keine unmittelbare Veränderungen. Laut den M-Trends 2022 verweilt Ransomware zwischen vier und 150 Tagen erfolgreich in Unternehmensnetzwerken, bevor sie entweder bemerkt oder offen tätig wird. Bleibt der Angriff unentdeckt, funkt das infizierte System an einen Heimat-Server und meldet die Infiltration. Danach können die Kriminellen je nach Bedarf und Motiv Späh-, Schad-, Extraktions- und Verschlüsselungs-Software nachladen. Der tatsächliche Angriff erfolgt erst, wenn das Netzwerk ausreichend ausgekundschaftet wurde.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Was dann passiert, hängt vom Ziel der Cyberkriminellen ab. Möchten sie zum Beispiel das Unternehmen erpressen, so werden sie Daten extrahieren, verschlüsseln und ein hohes Lösegeld für die Rückgabe oder Entschlüsselung verlangen. Manchmal machen sich Angreifer nicht einmal die Mühe, Daten zu verschlüsseln, und drohen direkt damit, Kopien im Darknet anzubieten. Im Ukraine-Krieg wurden einige Firmen von vermutlich russischen Hackerbanden angegriffen, um ihre Daten und Systeme zu vernichten. In solchen Fällen geht es nicht um Erpressung, sondern um Sabotage und Zerstörung.
Die Strategie für Cybersicherheit sollte deshalb einen Zero-Trust-Ansatz beherzigen. Dieser begrenzt den Zugriff auf die Unternehmensdaten und -systeme auf ein Minimum an Nutzern und Geräten und legt zeitliche Beschränkungen für den privilegierten Zugriff fest. Das unterscheidet ihn vom traditionellen „Trust but Verify“-Modell, bei dem Nutzern oder Geräten mit einfachen Anmeldeinformationen bereits ein breiter Zugang zu digitalen Ressourcen gewährt wird. Die Hürden für Malware und damit der Datenschutz für Unternehmen steigen.
Die Angriffe auf das Backup
Um Backups anzugreifen, können Cyberkriminelle verschiedene Strategien wählen. Im Fall von Sabotage und Zerstörung können sie zum Beispiel mit der eingeschleusten Malware den Zeitserver des Backups manipulieren. Backups benötigen Speicherkapazitäten, weshalb alte Backup-Versionen oft nur für eine bestimmte Zeit aufbewahrt werden. Wenn der Zeitserver kompromittiert und seine Systemuhr vorgestellt wird, dann löscht das Backup-System die Daten- und Systemsicherungen vor der vorgesehenen Zeit. Ein Zeitstempel im Backup, der vorwärts gezählt wird, kann die Abhängigkeit von Zeitservern aufheben.
Vielleicht verschafft sich die Schad-Software aber auch Administratorrechte, um ein Backup zu kompromittieren. Wie in Produktivumgebungen trägt auch in Backup-Systemen ein Zero-Trust-Modell zu einem hohen Datenschutz bei. Einen zusätzlichen Schutz erhalten Unternehmen, wenn sie den Zugriff auf Backups auf eine API beschränken, die auf mindestens zwei Faktoren für die Authentifizierung besteht. Dann reicht zum Beispiel der Zugang zu einem Administratorkonto alleine nicht mehr aus, um mit diesen Rechten tatsächlich Schaden anzurichten.
Um sich gegen erpresserische Absichten zu schützen, müssen Unternehmen ihr Backup gegen Verschlüsselung absichern. Dabei spielen unveränderliche Backups eine entscheidende Rolle, die nur das Schreiben neuer Daten, nicht aber die Veränderung bereits geschriebener Backup-Daten erlaubt. Welches Szenario auch immer eintritt, für Unternehmen sollte es Priorität haben, dass sie ihre Backups schützen und vor allem unveränderbar machen, um Datenverluste zu vermeiden.
Fazit
Die intelligente Kombination verschiedener Sicherheitsmaßnahmen erlaubt es, präventiv zu agieren. Das muss heutzutage ebenfalls Maßnahmen einschließen, um die Kompromittierung von Backups zu verhindern und eine reibungslose Wiederherstellung zu gewährleisten. Der nächste Angriff kommt bestimmt, aber Unternehmen, die mit einer ganzheitlichen Strategie ausgestattet sind, können Schaden abwehren und sich auch im schlimmsten Szenario schnell erholen.
* Über den Autor: Michael Pietsch ist Regional Vice President Germany bei Rubrik. Er begann seine Laufbahn bei Hewlett-Packard. Es folgten weitere Positionen bei Symantec, Palo Alto Networks und EMC/Dell. Zuletzt war er als Head of DACH and Eastern Europe bei Boomi tätig. Sein Know-how in den Bereichen Storage und Data Management sowie seine Erfahrung in der Cybersicherheit machen ihn zu einem Experten in Sachen moderne Data Protection und Data Security.
:quality(80)/p7i.vogel.de/wcms/b5/ad/b5ade2e50671d986cabb091cc33de39f/0127234511v1.jpeg "Das sind die Gewinner der IT-Awards 2025! (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/2d/69/2d69b27f3f8f5f290f7ae2b3d9123b1b/0127206601v1.jpeg "Storage-Insider verleiht heute die IT-Awards 2025 in sechs Kategorien. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/94/d2/94d28e3faac411c22b54d80ea354d2e3/0124559320v1.jpeg "Die digitale Souveränität Europas ist spätestens seit der Wiederwahl von Donald aktueller denn je. (Bild: erstellt durch iTernity GmbH mit Canva)")
:quality(80)/p7i.vogel.de/wcms/ca/b3/cab330ef06324344f47f1715af71ffb8/0121296602v1.jpeg "Das sind die Gewinner der Storage-Insider Readers' Choice Awards 2024. (Bild: Manuel Emme Fotografie)")
:quality(80)/p7i.vogel.de/wcms/eb/f0/ebf0fe8c87e9c4e4363d2fc3e55e902a/0129129428v1.jpeg "Digitale und menschliche Identitäten zu schützen und wiederherzustellen, ist eine entscheidende Aufgabe beim Datenschutz. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/2b/de/2bde191234007e59b423fd02e88372b2/0129123282v1.jpeg "„Daten am Netzwerkrand bringen durchaus auch Vorteile“, stellt Tobias Pföhler von StorMagic fest. Voraussetzung hierfür sei jedoch der Einsatz moderner Technologien, wie etwa hyperkonvergenter Infrastrukturen. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/7d/6e/7d6e82a7ac755a23c4e9fb85c4f82859/0128931692v1.jpeg "„Der Einsatz von KI ist ein zentrales Rückgrat für den Shift zu moderner Cyber-Resilienz“ – Christian Kubik, Manager Field Advisory Services Team EMEAI bei Commvault. (Bild: Commvault)")
:quality(80)/p7i.vogel.de/wcms/41/45/4145c18abcf73a4fece47fe71248255c/0128894128v1.jpeg "Die neuen 32-TB-CMR-Festplatten von Seagate sind ab sofort verfügbar. (Bild: Seagate)")
:quality(80)/p7i.vogel.de/wcms/42/86/42868377fd4496bf2feea7ae5dbbfe50/0128930508v1.jpeg "Die Scorecard dient als praxisnahe Standortbestimmung für IT-Entscheider. (Bild: Scality)")
:quality(80)/p7i.vogel.de/wcms/1a/d0/1ad01f5d7d966c68b9f793b03263e88a/0128871045v1.jpeg "Das „U“ bei der Steckverbindung U.2 steht für „Universal“, da neben Anschlüssen für die Anbindung klassischer SAS- und SATA-Laufwerke ebenso zusätzliche Pins für die Nutzung von vier PCI-Express-Lanes bereitstehen. (Bild: SNIA / Intel)")
:quality(80)/p7i.vogel.de/wcms/de/93/de930dc1200640248353d363ba39ffb2/0128016156v1.jpeg "Distributed Metadata-Management verbessert im Vergleich zu einem zentralisierten Ansatz die Skalierbarkeit, Verfügbarkeit und Leistungsfähigkeit der Metadatenverwaltung. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/76/56/765658635ea06f59c39496f524115953/0128407436v1.jpeg "Magischer Hammer: Die Data Platform von Hammerspace schafft einen gemeinsamen Datenraum für File- und Objektdaten, der auch den NVMe-Speicher von GPU-Servern einschließt. Das soll für die bessere Auslastung der GPUs sorgen. (Bild: © Abul - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/4e/41/4e411e25cd2f6b37a123df299dc97db6/0128951938v1.jpeg "In dieser Folge von „Speicherhungrig“ führt unser Fachautor Michael Matzer ein Interview mit Christoph Linden, Field Technical Director von Cohesity, über die KI-gestützte Nutzung von Backups im Zuge des Datenmanagements. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/b2/10/b2100f0f4be548babf43f4318b6fe890/0128742668v1.jpeg "Cloud Storage FUSE soll die direkte Verarbeitung großer Datenmengen für Analyse-, KI- und ML-Workloads ermöglichen. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/bc/25/bc2574b897f686062666949faedc2007/0128915727v1.jpeg "Wie in den vergangenen Jahren findet das CloudFest 2026 im Europapark in Rust statt. Storage-Insider fungiert als Medienpartner – inklusive Gratis-Tickets für unsere Leserinnen und Leser. (Bild: RENÉ LAMB FOTODESIGN GMBH/CloudFest)")
:quality(80)/p7i.vogel.de/wcms/dc/b7/dcb7ce583a9ce0b42e8e35f0d557fb8f/0128409577v1.jpeg "Sechs technologische Kerntrends – von KI-Skalierung über saubere Datenbasis bis hin zu integrierten End-to-End-Prozessen – helfen Unternehmen, messbaren Geschäftserfolg aus ihren IT-Investitionen zu erzielen. (Bild: frei lizenziert Joshua Woroniecki)")
:quality(80)/p7i.vogel.de/wcms/c5/35/c5358a2cf971e90b1d98ce0e98310fac/0127947160v1.jpeg "Mit der Einführung des TL-R6020Sep-RP will QNAP sein Engagement unterstreichen, Unternehmen in Europa mit skalierbaren und energieeffizienten Speicherlösungen auszustatten. (Bild: © Nicholas - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4d/89/4d89345312c9c759c4da8996ed0e3f8e/0128189127v1.jpeg "E-Mail-Archivierung in nahezu jedem Land der Welt eine Pflicht für Unternehmen. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/79/3d/793d22cf841d3dc6a9bf04d2ac5cc31c/0127698974v1.jpeg "Das BKM-Sonderprogramm stärkt den Erhalt historischer Originale. Authentische Quellen sollen so bewahrt werden. Schließlich geht es um das „Gedächtnis der Demokratie“. (Bild: © blende11.photo - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/15/d8/15d826df460af3af10318ef730dc1d2c/0128894300v1.jpeg "Unternehmen sollen mit PowerStore 4.3 smartere, dichtere und sicherere Speicherinfrastrukturen einrichten können. (Bild: © itchaznong – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/46/75/467564f9fae7479948f54659673f2cdc/0128572571v1.jpeg "NIS-2 setzt Mindestanforderungen für Governance, Incident-Meldungen und Lieferkettenrisiken, doch Formate und Schnittstellen unterscheiden sich bislang je nach Mitgliedstaat. (Bild: © NicoElNino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/32/a6/32a6e74f81cc974aad14a68d317f2531/0128847427v1.jpeg "Der Industriestandard CIFS ermöglicht das Öffnen lokal gespeicherter Dateien von entfernten Computern. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0c/ed/0ced3344608f59ff8d8be6b73b67455b/0128862191v1.jpeg "Die Koppelung von Festplatten als RAID-Verbund soll Datenverlust beim Ausfall einzelner Platten verhindern. Zu unterscheiden ist dabei zwischen Hardware-RAID und Software-RAID. (Bild: Midjourney / KI-generiert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1552300/1552323/original.jpg "Cloud-Speicher für Einsteiger – Microsoft OneDrive zusammen mit macOS und iOS nutzen. (©georgejmclittle - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1644500/1644561/original.jpg "Online-Speicher bei Web.de und GMX: So funktioniert die Verwaltung. (© stokkete - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1641800/1641842/original.jpg "All-Flash-Arrays versprechen unschlagbar niedrige Latenzen. (© pozdeevvs - stock.adobe.com)")
:fill(fff,0)/p7i.vogel.de/companies/63/db/63dbd1915b7af/2023-fastlta-logo-square-positive.jpeg "2023-fastlta-logo-square-positive (FAST LTA GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/68/b9/68b9bb61e8f14/ic-logo-black-green.png "ic-logo-black-green (Impossible Cloud)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/37/8d/378d73395fc31910dda3413d37454f83/0126778747v1.jpeg "„Unternehmen, die auf moderne Backup-Technologien setzen, verabschieden sich von veralteten Strukturen und schaffen eine belastbare Grundlage für stabile Geschäftsprozesse“, fasst Angela Heindl-Schober in diesem Gastbeitrag zusammen. (Bild: © sdecoret - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d3/9e/d39e6dd0ede99f78fd2e8bf3c8a460c3/0125406462v1.jpeg "Die Zahl der Cyberangriffe auf Backups steigt, was Sicherheit und Resilienz stark beansprucht. Gefragt sind Zero Trust, unveränderliche Snapshots und KI-gestützte Erkennung. (Bild: Midjourney / KI-generiert)")