Die Wiederherstellung von Daten über Backups gehört zu den ersten Antworten eines Unternehmens auf einen Cyberangriff. Die Hacker haben aber längst aufgerüstet und spezielle Malware entwickelt, die in der Lage ist, auch die Sicherungskopien zu zerstören. Unternehmen müssen angesichts dieser Bedrohung Gegenmaßnahmen treffen, um ihr wertvollstes Gut, sprich ihre Daten, zu schützen.
Ein zusätzlicher „Cyber Vault“, der neben der regulären Backup-Umgebung die wichtigsten Daten und Anwendungen in einer abgeschotteten Umgebung vorhält, schützt Unternehmen vor Hackern.
Die Zunahme von Cyberattacken in den vergangenen Jahren ist gravierend, und fast jedes Unternehmen ist inzwischen ins Visier von Hackern geraten. Haben sich Kriminelle früher auf Denial-of-Service-Angriffe und Datendiebstahl spezialisiert, geht es jetzt vor allem darum, gezielt Daten zu vernichten, um den Geschäftsbetrieb zu stören, oder durch Verschlüsselung hohe Lösegeldforderungen zu stellen.
Ransomware, bis vor ein paar Jahren eher ein Thema für Insider, ist inzwischen in aller Munde. Der Angriff mit der Erpresser-Software Petya/NotPetya, die eine bekannte Schwachstelle in Microsoft ausgenutzt hat, so dass sich der Wurm selbstständig über das Netzwerk ausbreiten konnte, infizierte 2017 binnen weniger Tage die IT-Systeme von kleinen Unternehmen bis hin zu denen von Großkonzernen. Seither folgten in regelmäßigen Abständen weitere Angriffe mit Ransomware – heute führt eine Cyberattacke viel wahrscheinlicher zu einem Ausfall der IT und des Unternehmens als irgendeine Naturkatastrophe. Unternehmen müssen deshalb ihre Daten mit modernsten Technologien sichern und zusätzlich die Backups vor Ransomware und anderen Sicherheitsrisiken schützen.
Kein hundertprozentiger Schutz
Noch immer konzentrieren sich die meisten Unternehmen auf die klassischen Schutz- und Aufdeckungsmaßnahmen. Aber selbst bekannte Security-Anbieter müssen zugeben, dass es keine hundertprozentige Sicherheit gibt – ein bestimmter Prozentsatz von Angriffen wird immer erfolgreich sein. Für Unternehmen, die keinen soliden Wiederherstellungsplan für den Fall einer Ransomware-Attacke aufgestellt haben, mag die Lösegeldzahlung daher wie die einzig verbleibende Option erscheinen. Denn eine Wiederherstellung der Daten ist nicht nur ein zeitaufwändiger Prozess, ohne zu wissen, wie es um die Qualität der Daten und Systeme bestellt ist.
Oftmals besteht auch die Gefahr, dass die Backups selbst beschädigt oder verschlüsselt wurden. Viele Unternehmen gehen deshalb lieber auf die Lösegeldforderung ein, selbst wenn nicht garantiert ist, dass die Kriminellen die Daten wirklich freigeben oder nicht sogar einen weiteren Angriff fahren. Dabei reicht Hackern bereits eine einzige Schwachstelle: Menschliches Versagen, Phishing mit täuschend echt aussehender E-Mail-Kommunikation oder absichtliche Manipulationen durch einen verärgerten Mitarbeiter können die Lücke sein, die Datendiebe benötigen.
Weiterentwickelte Verbrecher
Trotzdem gelten Backups bei Dateiverschlüsselung, Datenmanipulation, Änderungen der Directory Services oder Manipulationen an den Zugangsberechtigungen zunächst einmal als „last resort“, falls alle anderen Security-Maßnahmen einen Angriff nicht verhindern konnten. Mit dieser auf den ersten Blick sicheren Methode soll die IT-Umgebung wieder in den Ausgangsstatus zurückversetzt werden.
Das Problem: Die Methoden der Hacker haben sich weiterentwickelt. Zunehmend setzen sie Malware ein, mit deren Hilfe sie sich auf die Suche nach gespeicherten Backups und die Identifizierung von Backup-Dateien machen können sowie gleichzeitig alle Mittel zerstören, mit denen sich ein Unternehmen erholen kann. Die Scripts und ausführbare Dateien sind so programmiert, dass sie bestimmte Dateitypen finden, APIs von Backup-Anwendungen ausnutzen und alles versuchen, um Zugang zu den Backups zu bekommen und sie dann zu zerstören. Wenn ein Unternehmen nach einer Verschlüsselung oder Zerstörung der primären Storage-Umgebung auch garantiert keine Restore-Möglichkeiten mehr zum Recovery heranziehen kann, entfaltet die Attacke ihre volle Wirkung.
Die drei folgenden Ransomware-Beispiele zeigen, wie die Hacker dabei vorgehen: Zenis beispielsweise deaktiviert den Dienst Volume Shadow Copy, also den Systemdienst zur Erzeugung und Bereitstellung von Versionsständen, löscht die temporären Sicherungsdateien und beendet die Reparatur der Inbetriebnahme sowie den Windows-Backup-Prozess. CryptoWall wiederum löscht unter Nutzung von API-Calls Restore-Punkte von virtuellen Maschinen.
SamSam schließlich ist ein besonders gründliches Verschlüsselungswerkzeug, das nicht nur Arbeitsdateien unbenutzbar machen kann, sondern auch Programme, die für den Betrieb eines Windows-Computers nicht essentiell sind und von denen die meisten daher nicht routinemäßig gesichert werden. Dabei sieht sich SamSam nach mehr als 40 spezifischen File-Typen um. Sobald alle Laufwerke aufgelistet sind, mit denen der angegriffene Computer verbunden ist, werden die entsprechenden Dateien gelöscht.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Offline reicht nicht – Hacker greifen gezielt Backups an
Ein reines Offline-Medium, also ein externes Band, das irgendwo verstaut wird, reicht mittlerweile nicht mehr aus. Die Attacken laufen inzwischen so gezielt ab, dass selbst die Backup-Repositories und -Datenbanken, die wissen, wo welche Daten wie gesichert sind, um diese wieder herstellen zu können, zerstört oder selbst mit verschlüsselt werden. Daher ist es notwendig, eine komplette Backup-Umgebung inklusive der Managementtools zum Recovery in einer abgeschotteten Umgebung vorzuhalten.
Viele der heute erhältlichen Backup-Produkte verfügen über ein gewisses Maß an Analysefunktionen, um festzustellen, ob bestimmte Daten beschädigt wurden. Jedoch basieren die meisten nur auf Metadaten und betrachten lediglich grundlegende Informationen über eine Datei oder Datenbank. Andere verwenden die Metadatenanalyse beim ersten Durchgang und verfolgen verdächtige Ergebnisse dann mit inhaltsbasierten Analysen weiter.
Dieser Ansatz ist jedoch fehlerhaft und kann kompliziertere Angriffsvektoren übersehen, wodurch bei Unternehmen ein trügerisches Sicherheitsgefühl entsteht. Ein umfassender inhaltsbasierter analytischer Scan, der von Anfang an eingesetzt wird, validiert die Integrität der Daten und stellt so sicher, dass selbst fortgeschrittene oder versteckte Angriffe gefunden und neutralisiert werden.
Goldkopie im Backup-Tresor
Als sozusagen letzte Verteidigungslinie gegen Cyberangriffe benötigen Unternehmen neben der regulären Backup-Umgebung einen zusätzlichen „Cyber Recovery Vault“. In diesem Tresor liegt, physisch und logisch von anderen Systemen und Standorten isoliert, eine sogenannte „Goldkopie“ wichtiger Daten. Diese sauberen, nicht veränderbaren Backups sind in der abgeschotteten Umgebung für etwaige Angreifer unerreichbar, und zwar selbst dann, wenn sie es schon in das Netzwerk geschafft haben.
Intern sind die Kopien nur über einen autorisierten Zugriff verfügbar, was Saboteure im eigenen Unternehmen blockiert. Eine begleitende Sicherheitsanalyse sucht nach Indikatoren für kompromittierte Daten und hilft so, das Wer, das Wie und das Wo zu ermitteln, damit sich Unternehmen schnell von einer Cyberattacke erholen können. Wichtig sind in diesem Umfeld automatisierte Workflow-, Analyse- und Wiederherstellungstools, um manuelle Fehler, insbesondere in der Stresssituation eines Angriffs, ausschließen zu können. Genauso entscheidend ist es, dass die eingesetzten Sicherheitslösungen sämtliche Hardware- und Software-Komponenten, von physikalischen Umgebungen und Applikationsintegrationen über Cloud-Deployments bis hin zur Automation eines abgeschotteten Cyber Vaults, unterstützen.
Christoph Storzum, Dell Technologies: „Cyberkriminelle haben es auf Backups abgesehen. Eine reine Offline-Haltung von Daten reicht allerdings nicht aus, um gegen die immer raffinierteren Methoden der Hacker geschützt zu sein.“
(Bild: Dell)
Unternehmen müssen heute stärker als jemals zuvor ein modernes Backup-Konzept als ergänzenden Bestandteil einer umfassenden Security-Strategie etablieren. Eine reine Offline-Haltung reicht nicht aus. Vielmehr braucht es einen kompletten Security-Layer auch im Backup, um gegen alle Bedrohungen gewappnet zu sein.
*Der Autor: Christoph Storzum ist Director Commercial Sales Data Protection Solutions bei Dell Technologies
Das neue Storage-Kompendium zum kostenfreien Download
Die Zeiten, in denen Backups ausschließlich auf Tape angefertigt wurden, sind vorbei. Heute stellt sich die Situation bezüglich Backup-Medien und -Strategien deutlich vielfältiger dar, was auch zu Unsicherheiten führt.
Backup & Archivierung – gestern, heute und morgen
Storage-Kompendium Backup & Archivierung
(Bildquelle: Storage-Insider)
Die Hauptthemen sind: # Auf dem Weg zur passenden Backup-Strategie # Cloud-Backup und Hybrid-Backup # Tape – der wehrhafte Dinosaurier # Datensicherheit und Storage: Welche gesetzlichen Vorgaben gelten? # Langzeitarchivierung mit Objektspeicherung # Unstrukturierte Daten ohne Backup schützen # Erstklassige Backup- und Archivierungsstrategie
:quality(80)/p7i.vogel.de/wcms/b5/ad/b5ade2e50671d986cabb091cc33de39f/0127234511v1.jpeg "Das sind die Gewinner der IT-Awards 2025! (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/2d/69/2d69b27f3f8f5f290f7ae2b3d9123b1b/0127206601v1.jpeg "Storage-Insider verleiht heute die IT-Awards 2025 in sechs Kategorien. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/94/d2/94d28e3faac411c22b54d80ea354d2e3/0124559320v1.jpeg "Die digitale Souveränität Europas ist spätestens seit der Wiederwahl von Donald aktueller denn je. (Bild: erstellt durch iTernity GmbH mit Canva)")
:quality(80)/p7i.vogel.de/wcms/ca/b3/cab330ef06324344f47f1715af71ffb8/0121296602v1.jpeg "Das sind die Gewinner der Storage-Insider Readers' Choice Awards 2024. (Bild: Manuel Emme Fotografie)")
:quality(80)/p7i.vogel.de/wcms/c5/fb/c5fb41728b220dab9df1ec9ac9b5c831/0129260583v1.jpeg "Clonezilla sichert belegte Blöcke auf Dateisystemebene. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/c3/22/c32200a1b5fedc6991e9c57ec9d99883/0128183844v1.jpeg "Die lizenzfreie Datensicherungslösung NetBak PC Agent erfasst Dateien, Ordner und komplette Rechnerabbilder. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/2e/66/2e663ffafe56d3cf9aec665b141d23b9/0128869154v1.jpeg "ADN stärkt das Angebot für Backup-Resilienz mit der Ransomeware-Schutzlösung Blocky for Veeam von Grau Data. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8d/ba/8dbad9d01cad30bc520a8d96ba8d9206/0129126406v1.jpeg "Thomas-Krenn veröffentlicht drei neue Server. Im Bild der Open-E RI1436 mit dem vorinstallierten Storage-OS Open-E JovianDSS. (Bild: Thomas-Krenn AG)")
:quality(80)/p7i.vogel.de/wcms/8a/c4/8ac47e7daa31e2f997946be4ad3a55fb/0129194277v1.jpeg "Memristoren harmonisieren die mathematischen Zusammenhänge zwischen Strom, Spannung und Ladung. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/be/a6/bea6977c830ae6ff9537a9b671c6e690/0129173607v1.jpeg "Die neuen UHS-II-SDs von Kioxia kommen in den Video-Geschwindigkeitsklassen V60 und V90. (Bild: Kioxia)")
:quality(80)/p7i.vogel.de/wcms/1c/50/1c503f016dd01c02d4586d4b318161ee/0127732125v1.jpeg "Data Crow hilft bei der Verwaltung von Mediensammlungen. (Bild: Joos – Robert Jan van der Waals)")
:quality(80)/p7i.vogel.de/wcms/ff/87/ff870bcb6f39b39777b724065f145cb4/0129308146v1.jpeg "In den Ressourcen der Builds wird die Funktion „Chat with Copilot“ benannt. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/ff/ae/ffae79505e2061f78496f5d81f0e5d9b/0129173380v1.jpeg "Carsten Graf, Vice President Sales EMEA bei Cloudian: „Die Speicherinfrastruktur wird für den Erfolg von KI-Projekten entscheidend sein.“ (Bild: Cloudian)")
:quality(80)/p7i.vogel.de/wcms/0f/2e/0f2e2807b08d4605fec1c98ff47e2c47/0129205874v1.jpeg "Die Partnerschaft zwischen Pure Storage und Rubrik zielt auf Unternehmen ab, die ihre Cyber-Resilienz-Strategie um automatisierte Erkennungs- und Wiederherstellungsmechanismen erweitern möchten. (Bild: Pure Storage / Rubrik)")
:quality(80)/p7i.vogel.de/wcms/e8/46/e8465c3f75ae00e67d3af2b0a9c84783/0129259282v1.jpeg "Cloud Unified Data Vault soll die Ausfallsicherheit von S3-Daten sicherstellen. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/44/2b/442b5bcd95e42035468630d7c2132a91/0128846297v1.jpeg "Cloud-Dienste, digitale Kommunikation und globaler IT-Support machen internationale Datentransfers für viele Unternehmen in Deutschland unverzichtbar. (Bild: © Andrea Danti - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9e/c3/9ec334dbf3696ef4bf61184f8404df74/0128976654v1.jpeg "Acronis Archival Storage ermöglicht MSPs die langfristige Speicherung und Verwaltung selten abgerufener Daten. (Bild: Acronis)")
:quality(80)/p7i.vogel.de/wcms/7a/9f/7a9f3b18cdb823c15080ca2c26512328/0129097007v1.jpeg "MailStore 26.1 ist ab sofort für MailStore Server, MailStore SPE, MailStore Home und MailStore Cloud verfügbar. (Bild: MailStore)")
:quality(80)/p7i.vogel.de/wcms/c5/35/c5358a2cf971e90b1d98ce0e98310fac/0127947160v1.jpeg "Mit der Einführung des TL-R6020Sep-RP will QNAP sein Engagement unterstreichen, Unternehmen in Europa mit skalierbaren und energieeffizienten Speicherlösungen auszustatten. (Bild: © Nicholas - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f8/fa/f8fa89663df5bb1651a96992320c3aa7/0128787673v1.jpeg "Die Go-Bindings von go-systemd laufen unter Linux, macOS und Windows. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/2b/de/2bde191234007e59b423fd02e88372b2/0129123282v1.jpeg "„Daten am Netzwerkrand bringen durchaus auch Vorteile“, stellt Tobias Pföhler von StorMagic fest. Voraussetzung hierfür sei jedoch der Einsatz moderner Technologien, wie etwa hyperkonvergenter Infrastrukturen. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/60/a8/60a868f9defd2dfc1073ca9ab1aab657/0128019671v1.jpeg "Mit Hilfe von Access-Transparency lassen sich Zugriffe auf Daten nachvollziehen. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/de/93/de930dc1200640248353d363ba39ffb2/0128016156v1.jpeg "Distributed Metadata-Management verbessert im Vergleich zu einem zentralisierten Ansatz die Skalierbarkeit, Verfügbarkeit und Leistungsfähigkeit der Metadatenverwaltung. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/1a/d0/1ad01f5d7d966c68b9f793b03263e88a/0128871045v1.jpeg "Das „U“ bei der Steckverbindung U.2 steht für „Universal“, da neben Anschlüssen für die Anbindung klassischer SAS- und SATA-Laufwerke ebenso zusätzliche Pins für die Nutzung von vier PCI-Express-Lanes bereitstehen. (Bild: SNIA / Intel)")
:quality(80)/images.vogel.de/vogelonline/bdb/1552300/1552323/original.jpg "Cloud-Speicher für Einsteiger – Microsoft OneDrive zusammen mit macOS und iOS nutzen. (©georgejmclittle - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1644500/1644561/original.jpg "Online-Speicher bei Web.de und GMX: So funktioniert die Verwaltung. (© stokkete - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1641800/1641842/original.jpg "All-Flash-Arrays versprechen unschlagbar niedrige Latenzen. (© pozdeevvs - stock.adobe.com)")
:fill(fff,0)/p7i.vogel.de/companies/63/db/63dbd1915b7af/2023-fastlta-logo-square-positive.jpeg "2023-fastlta-logo-square-positive (FAST LTA GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/68/b9/68b9bb61e8f14/ic-logo-black-green.png "ic-logo-black-green (Impossible Cloud)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/9c/49/9c49e46689f8ad8c735ee89be888be0d/0122952490v1.jpeg "Christof Gedig, seit 1. Januar 2025 Geschäftsführer DACH bei Cristie Data: „Die Applikation und ihre Daten rücken in den Mittelpunkt.“ (Bild: Cristie Data)")
:quality(80)/p7i.vogel.de/wcms/0d/e4/0de40ff1260cfc6efa35264c987f8fc0/0126426700v1.jpeg "Zum Schutz gegen Cyberattacken und Katastrophen ist eine adäquate Backup-Strategie mit mehreren Datenkopien auf unterschiedlichen Speichern grundlegend. (Bild: Midjourney / KI-generiert)")