Cyberangriffe in Form von Ransomware und Wiper stellen eine immer stärkere Bedrohung für Unternehmen dar. Um ihre Geschäftskontinuität zu gewährleisten, brauchen sie einen modernen und strategischen Ansatz für die Datensicherung.
Ein „Clean Room“ enthält die zur Reaktion auf einen Vorfall erforderlichen Tools, Software, Konfigurationsdateien und Dokumentationen in einem unveränderlichen Tresor außerhalb der Reichweite von Angreifern.
(Bild: Midjourney / KI-generiert)
Aktuell warnen das FBI, die US-Agentur für Cyber- und Infrastruktursicherheit (CISA) und das Multi-State Information Sharing and Analysis Center (MS-ISAC) in einem „Cybersecurity Advisory“ vor der Ransomware „Ghost“. Sie hat bereits in mehr als 70 Ländern kritische Infrastrukturen, Bildungsinstitute, Gesundheitseinrichtungen, Behörden, Technologie- und Fertigungsunternehmen sowie viele kleine und mittelständische Firmen angegriffen.
Doch sie ist nur ein Beispiel für zahlreiche Ransomware- und Wiper-Variationen sowie andere destruktive Angriffstechniken. Da die Gefahr durch Automatisierung und KI-Unterstützung der Attacken ständig steigt, müssen sich Unternehmen heute mit Hilfe einer umfassenden Strategie zur effektiven Datensicherung dagegen wappnen.
Indizierung und Klassifizierung als erster Schritt
Eine grundlegende Säule ist dabei die Indizierung und Klassifizierung von Daten. Sie schafft Klarheit und Kontrolle über die gespeicherten Informationen, um einerseits eine strenge Datenhygiene umzusetzen und andererseits den Wert und die Sensibilität der Daten zu bestimmen.
Hier können Backup-Kopien unterstützen. Diese erfassen bereits einen großen Teil der Daten eines Unternehmens. Auf dieser Basis lassen sich Daten klassifizieren und sensible Informationen entdecken, ohne die Produktionssysteme zu beeinträchtigen. Anschließend haben Unternehmen eine bessere Vorstellung davon, wo sich ihre sensiblen oder regulierten Daten befinden.
Auf Basis der Klassifizierung können Unternehmen die Priorität und Häufigkeit der Backup-Prozesse festlegen. So sind geschäftskritische Daten, die sich schnell ändern, häufig zu sichern. Je sensibler die Daten sind, desto strenger müssen die Sicherheitsvorkehrungen für die Backup-Kopien sein. In beiden Fällen sollten die Datenkopien offline gespeichert werden oder zumindest von den Quellsystemen getrennt sein, damit Angreifer nicht durch seitliche Bewegungen im Netzwerk einfach darauf zugreifen können.
Unveränderliche Datensicherung
Hier bietet sich auch eine unveränderliche Datensicherung an. Dann können die Backups nicht manipuliert, verschlüsselt, geändert, gelöscht oder entfernt werden. Eine Defense-in-Depth-Architektur mit unveränderlicher Datensicherung, Datenverschlüsselung und rollenbasierter Zugangskontrolle gewährleistet, dass kein unbefugter Benutzer und keine Anwendung die Sicherungskopie ändern kann. Sollte ein Unternehmen von einem Ransomware-Angriff betroffen sein, kann es mit Hilfe der unveränderlichen Backups sofort den letzten fehlerfreien Zustand wiederherstellen.
Zusätzlich kann ein Unternehmen auf Basis der Datenklassifizierung feststellen, wie sensibel möglicherweise gestohlene Informationen sind. Natürlich sollte auf keinen Fall Lösegeld gezahlt werden, aber man kann sich dann besser auf mögliche Compliance-Folgen oder Rufschädigung vorbereiten.
Der „Clean Room“ als Schutzwall
Doch was geschieht, wenn der Angriff die Recovery-Prozesse verhindert? So können zum Beispiel die physichen Zugangsysteme zum Rechenzentrum oder der Zugriff auf wichtige Anwendungen und Dokumentationen blockiert sein. Mit Hilfe eines Clean Rooms können Unternehmen dann trotzdem die nötigen Maßnahmen einleiten, um jede Art von Bedrohung zu untersuchen und einzudämmen. Er enthält die zur Reaktion auf einen Vorfall erforderlichen Tools, Software, Konfigurationsdateien und Dokumentationen in einem unveränderlichen Tresor außerhalb der Reichweite von Angreifern.
Das Gesamtkonzept eines Clean Rooms umfasst vier Phasen: Vorbereiten, Initiieren, Untersuchen und Entschärfen. Zur Vorbereitung dient das Einrichten des Clean Rooms. Bei der Initiierung durch einen Angriff können IT-Teams die Minimum Viable Response Capability (MVRC) erstellen, um kritische Systeme online zu bringen. Damit können die Security-Teams die Bedrohung untersuchen und entschärfen.
Die Tools zur Untersuchung arbeiten dabei mit Backup-Daten und sind daher für Angreifer unsichtbar. Daher werden sie in der Regel auch nicht deaktiviert. Da die Tools außerdem nicht öffentlich zugänglich sind, merken die Angreifer auch kaum, dass sie entdeckt wurden.
Vor der Entschärfung ist dann zu entscheiden, ob das vorhandene System gereinigt und wiederhergestellt oder ein neues System mit den Backup-Daten aufgebaut werden soll. Entsprechende Analysen unterstützt ein isolierter Staging-Bereich. In jedem Fall werden die Systeme gepatcht und getestet, damit sie normal funktionieren und keine Schad-Software erneut eindringt. Während dieses Prozesses lässt sich ein finaler Snapshot anfertigen, um bei Problemen nicht wieder ganz von vorne anfangen zu müssen.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Angriffe von vornherein verhindern
Unveränderliche Backups und Clean Rooms helfen zwar bei der Wiederherstellung, doch der beste Schutz vor Ransomware ist, wenn sie gar nicht erst in die Systeme eindringt. So sind bekannte Schwachstellen in Betriebssystemen, Anwendungen und Firmware über Patches zu schließen. Phishing-resistente Multifaktor-Authentifizierung für den Zugriff auf alle privilegierten und E-Mail-Konten vermeidet ebenfalls Infektionen. Die E-Mail-Sicherheit lässt sich weiter erhöhen, indem fortgeschrittene Filter implementiert, bösartige Anhänge blockiert sowie DMARC, DKIM und SPF aktiviert werden, um Spoofing zu verhindern. Zudem verhindert Netzwerksegmentierung seitliche Bewegungen der Angriffe.
Eine standardisierte Data Governance muss die technischen Schutzmaßnahmen begleiten. Sie definiert Rollen, Verantwortlichkeiten und Abläufe für ein transparentes und sicheres Daten-Monitoring im gesamten Unternehmen. Dazu gehören klare Datenschutzrichtlinien, regelmäßige Datenaudits und Schulungen der Mitarbeiter in Bezug auf bewährte Datenschutz- und Sicherheitsverfahren. Nur mit solch umfassenden Maßnahmen sind Unternehmen heute gut auf die möglichen Folgen von Ransomware-Angriffen vorbereitet.
* Der Autor: Patrick Englisch, Director & Head of Technology Sales Central Europe bei Cohesity
Aktuelles eBook
Ransomware-Schutz durch Object Lock und WORM
eBook „Ransomware-Schutz“
(Bild: Storage-Insider)
Um ein Storage-System effektiv von Ransomware-Angriffen zu schützen, bieten sich neben Backup/Disaster Recovery und Verschlüsselung vor allem Object Lock und WORM an. Das gelingt nicht nur im eigenen Haus, sondern auch in der Hybrid-Cloud.
:quality(80)/p7i.vogel.de/wcms/b5/ad/b5ade2e50671d986cabb091cc33de39f/0127234511v1.jpeg "Das sind die Gewinner der IT-Awards 2025! (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/2d/69/2d69b27f3f8f5f290f7ae2b3d9123b1b/0127206601v1.jpeg "Storage-Insider verleiht heute die IT-Awards 2025 in sechs Kategorien. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/94/d2/94d28e3faac411c22b54d80ea354d2e3/0124559320v1.jpeg "Die digitale Souveränität Europas ist spätestens seit der Wiederwahl von Donald aktueller denn je. (Bild: erstellt durch iTernity GmbH mit Canva)")
:quality(80)/p7i.vogel.de/wcms/ca/b3/cab330ef06324344f47f1715af71ffb8/0121296602v1.jpeg "Das sind die Gewinner der Storage-Insider Readers' Choice Awards 2024. (Bild: Manuel Emme Fotografie)")
:quality(80)/p7i.vogel.de/wcms/2e/66/2e663ffafe56d3cf9aec665b141d23b9/0128869154v1.jpeg "ADN stärkt das Angebot für Backup-Resilienz mit der Ransomeware-Schutzlösung Blocky for Veeam von Grau Data. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/ca/0d/ca0da056751c0928e17e875a189fbbd2/0128593304v2.jpeg "Windows Backup for Organizations sichert Einstellungen und Store-Apps Cloud-basiert und bietet die Wiederherstellung bereits im OOBE an. Es ersetzt jedoch kein klassisches Backup. (Bild: © Miha Creative - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/eb/f0/ebf0fe8c87e9c4e4363d2fc3e55e902a/0129129428v1.jpeg "Digitale und menschliche Identitäten zu schützen und wiederherzustellen, ist eine entscheidende Aufgabe beim Datenschutz. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/c6/3b/c63b94b4206c2adaca3e0f2190df67bf/0128954806v1.jpeg "Das portable Tool Clear Disk Info hilft bei der Prüfung von Datenträgern auf PCs und Servern. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/fa/7b/fa7b35b448260051d16e4a507c950add/0129082539v1.jpeg "Formfaktor und Schnittstellen von Festplatten sind seit Jahren unverändert, sodass sich neue Modelle problemlos in älteren Bestandssystemen nutzen lassen. (Bild: Toshiba Electronics Europe)")
:quality(80)/p7i.vogel.de/wcms/41/45/4145c18abcf73a4fece47fe71248255c/0128894128v1.jpeg "Die neuen 32-TB-CMR-Festplatten von Seagate sind ab sofort verfügbar. (Bild: Seagate)")
:quality(80)/p7i.vogel.de/wcms/b2/08/b208ad5fa70e97c32e4eadb028d3e32c/0129096430v1.jpeg "Die Kombination von MongoDB und Voyage AI soll Komplexität und Latenzzeiten beim Produktiveinsatz von KI-Applikationen verringern. (Bild: MongoDB)")
:quality(80)/p7i.vogel.de/wcms/dd/ae/ddae5a2d942d285fe4c3c43b6d4eda94/0125422301v1.jpeg "Rsync unter Linux und Unix ist ideal für präzise Dateiübertragung und Systemmigration. Durch inkrementelle Synchronisation werden nur geänderte Dateiteile transferiert, was Netzwerkverkehr und Schreibzugriffe reduziert. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/de/93/de930dc1200640248353d363ba39ffb2/0128016156v1.jpeg "Distributed Metadata-Management verbessert im Vergleich zu einem zentralisierten Ansatz die Skalierbarkeit, Verfügbarkeit und Leistungsfähigkeit der Metadatenverwaltung. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/72/ba/72baf93990834223ddfb97f1bc9b0e4c/0128638512v1.jpeg "Eine erste KI-Euphorie bei deutschen Unternehmen ist verflogen, nun geht es mit Fokus auf Sicherheit, Kontrolle und Datensouveränität an die Umsetzung. (Bild: GPT-Image / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/b2/10/b2100f0f4be548babf43f4318b6fe890/0128742668v1.jpeg "Cloud Storage FUSE soll die direkte Verarbeitung großer Datenmengen für Analyse-, KI- und ML-Workloads ermöglichen. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/bc/25/bc2574b897f686062666949faedc2007/0128915727v1.jpeg "Wie in den vergangenen Jahren findet das CloudFest 2026 im Europapark in Rust statt. Storage-Insider fungiert als Medienpartner – inklusive Gratis-Tickets für unsere Leserinnen und Leser. (Bild: RENÉ LAMB FOTODESIGN GMBH/CloudFest)")
:quality(80)/p7i.vogel.de/wcms/9e/c3/9ec334dbf3696ef4bf61184f8404df74/0128976654v1.jpeg "Acronis Archival Storage ermöglicht MSPs die langfristige Speicherung und Verwaltung selten abgerufener Daten. (Bild: Acronis)")
:quality(80)/p7i.vogel.de/wcms/7a/9f/7a9f3b18cdb823c15080ca2c26512328/0129097007v1.jpeg "MailStore 26.1 ist ab sofort für MailStore Server, MailStore SPE, MailStore Home und MailStore Cloud verfügbar. (Bild: MailStore)")
:quality(80)/p7i.vogel.de/wcms/c5/35/c5358a2cf971e90b1d98ce0e98310fac/0127947160v1.jpeg "Mit der Einführung des TL-R6020Sep-RP will QNAP sein Engagement unterstreichen, Unternehmen in Europa mit skalierbaren und energieeffizienten Speicherlösungen auszustatten. (Bild: © Nicholas - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f8/fa/f8fa89663df5bb1651a96992320c3aa7/0128787673v1.jpeg "Die Go-Bindings von go-systemd laufen unter Linux, macOS und Windows. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/2b/de/2bde191234007e59b423fd02e88372b2/0129123282v1.jpeg "„Daten am Netzwerkrand bringen durchaus auch Vorteile“, stellt Tobias Pföhler von StorMagic fest. Voraussetzung hierfür sei jedoch der Einsatz moderner Technologien, wie etwa hyperkonvergenter Infrastrukturen. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/76/56/765658635ea06f59c39496f524115953/0128407436v1.jpeg "Magischer Hammer: Die Data Platform von Hammerspace schafft einen gemeinsamen Datenraum für File- und Objektdaten, der auch den NVMe-Speicher von GPU-Servern einschließt. Das soll für die bessere Auslastung der GPUs sorgen. (Bild: © Abul - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/1a/d0/1ad01f5d7d966c68b9f793b03263e88a/0128871045v1.jpeg "Das „U“ bei der Steckverbindung U.2 steht für „Universal“, da neben Anschlüssen für die Anbindung klassischer SAS- und SATA-Laufwerke ebenso zusätzliche Pins für die Nutzung von vier PCI-Express-Lanes bereitstehen. (Bild: SNIA / Intel)")
:quality(80)/p7i.vogel.de/wcms/32/a6/32a6e74f81cc974aad14a68d317f2531/0128847427v1.jpeg "Der Industriestandard CIFS ermöglicht das Öffnen lokal gespeicherter Dateien von entfernten Computern. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0c/ed/0ced3344608f59ff8d8be6b73b67455b/0128862191v1.jpeg "Die Koppelung von Festplatten als RAID-Verbund soll Datenverlust beim Ausfall einzelner Platten verhindern. Zu unterscheiden ist dabei zwischen Hardware-RAID und Software-RAID. (Bild: Midjourney / KI-generiert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1552300/1552323/original.jpg "Cloud-Speicher für Einsteiger – Microsoft OneDrive zusammen mit macOS und iOS nutzen. (©georgejmclittle - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1644500/1644561/original.jpg "Online-Speicher bei Web.de und GMX: So funktioniert die Verwaltung. (© stokkete - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1641800/1641842/original.jpg "All-Flash-Arrays versprechen unschlagbar niedrige Latenzen. (© pozdeevvs - stock.adobe.com)")
:fill(fff,0)/p7i.vogel.de/companies/63/db/63dbd1915b7af/2023-fastlta-logo-square-positive.jpeg "2023-fastlta-logo-square-positive (FAST LTA GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/68/b9/68b9bb61e8f14/ic-logo-black-green.png "ic-logo-black-green (Impossible Cloud)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/62/51/62517e374b914c494b7dc887420ad496/0125728392v1.jpeg "„Continuous Recovery Assurance“, das neue Leistungsmerkmal von Cristie Software, führt eine vollständige Systemwiederherstellung von Backups in einer Clean-Room-Umgebung aus, sobald ein neues Backup in einem geschützten System festgestellt wird. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/23/af/23afd7dd8ecfd695812a2e3b745f4a5a/0123873894v1.jpeg "Unveränderliche und nicht löschbare Backups sowie schnelle Wiederherstellungsmöglichkeiten sind entscheidend für effektiven Schutz gegen Ransomware & Co. (Bild: Midjourney / KI-generiert)")