Cloud Backup reicht nicht: Warum Unternehmen ein Immutable Backup brauchen
Viele kleine Unternehmen verlassen sich auf ein einfaches Cloud Backup – und gehen davon aus, dass ihre Daten damit sicher sind. Auf den ersten Blick klingt das auch logisch: Die Daten liegen außerhalb des Büros, werden regelmäßig gesichert und sind im Notfall abrufbar. Doch in der Praxis zeigt sich immer wieder, dass ein reines Cloud Backup bei einem gezielten Ransomware-Angriff nicht ausreicht. Der Grund dafür ist einfach: Moderne Schadsoftware sucht aktiv nach Backup-Zugängen und verschlüsselt diese gleich mit.
In diesem Artikel erklären wir den Unterschied zwischen einem klassischen Cloud Backup und einem Immutable Backup, zeigen, warum gerade kleine Unternehmen besonders gefährdet sind, und beschreiben, wie wir das Thema bei unseren Kunden in Köln konkret lösen.
Was ist ein Cloud Backup – und wo liegen die Grenzen?
Ein Cloud Backup funktioniert im Kern simpel: Eine Software sichert Ihre Daten in regelmäßigen Abständen – täglich, stündlich oder kontinuierlich – auf einen Server in einem externen Rechenzentrum. Das schützt zuverlässig vor den klassischen Risiken: Ein defekter Server, eine kaputte Festplatte oder ein versehentlich gelöschtes Dokument lassen sich problemlos wiederherstellen.
Allerdings hat dieses Modell eine entscheidende Schwachstelle. Die Backup-Software benötigt Zugangsdaten, um die Daten ins Rechenzentrum zu übertragen. Genau diese Zugangsdaten sind für Angreifer ein lohnendes Ziel. Sobald Ransomware administrative Rechte auf einem System erlangt – und das geschieht häufiger als viele denken – kann sie über gespeicherte Credentials auch auf das Cloud Backup zugreifen. Das Ergebnis: Die Produktivdaten und die Sicherung sind gleichermaßen verschlüsselt.
Erschwerend kommt hinzu, dass viele Cloud-Backup-Lösungen ihre gesicherten Daten überschreibbar speichern. Das heißt, eine Ransomware kann bestehende Backups nicht nur verschlüsseln, sondern auch löschen oder durch manipulierte Versionen ersetzen. Wer sich ausschließlich auf ein solches Backup verlässt, steht im Ernstfall ohne Wiederherstellungsoption da.
Was macht ein Immutable Backup anders?
Der Begriff „Immutable“ kommt aus dem Englischen und bedeutet „unveränderbar“. Genau das ist das Prinzip: Einmal geschriebene Backup-Daten können innerhalb eines definierten Zeitraums weder gelöscht, noch überschrieben, noch verändert werden. Und zwar von niemandem – auch nicht von einem Administrator und erst recht nicht von einer Schadsoftware mit gestohlenen Admin-Rechten.
Technisch funktioniert das über sogenannte WORM-Speicher (Write Once, Read Many). Die Daten werden einmalig geschrieben und sind danach nur noch lesbar. Erst nach Ablauf des festgelegten Immutable-Zeitraums – beispielsweise 60 oder 90 Tage – werden die ältesten Sicherungspunkte automatisch freigegeben und können überschrieben werden.
Der entscheidende Vorteil liegt auf der Hand: Selbst wenn ein Angreifer sämtliche Systeme Ihres Unternehmens kompromittiert, die Domäne übernimmt und alle erreichbaren Daten verschlüsselt – die Immutable Backups bleiben davon unangetastet. Sie haben damit immer einen garantiert sauberen Wiederherstellungspunkt.
Cloud Backup und Immutable Backup im direkten Vergleich
Um die Unterschiede greifbar zu machen, hier eine Gegenüberstellung der beiden Ansätze:
Schutz vor Hardwareausfall: Beide Lösungen schützen gleichwertig. Die Daten liegen extern und sind bei einem Serverdefekt wiederherstellbar.
Schutz vor versehentlichem Löschen: Auch hier bieten beide Varianten Schutz, sofern eine ausreichende Versionierung konfiguriert ist.
Schutz vor Ransomware: Hier zeigt sich der fundamentale Unterschied. Ein klassisches Cloud Backup ist angreifbar, sobald die Zugangsdaten kompromittiert werden. Ein Immutable Backup hingegen ist per Definition nicht veränderbar – die Ransomware kann die Sicherung schlicht nicht antasten.
Schutz vor kompromittierten Admin-Konten: Ein reines Cloud Backup bietet keinen Schutz, wenn ein Angreifer Admin-Rechte hat. Immutable Backups schützen auch in diesem Szenario, weil selbst Administratoren die Daten innerhalb des Immutable-Zeitraums nicht löschen können.
Schutz vor Innentätern: Ein Aspekt, den viele übersehen. Auch ein verärgerter Mitarbeiter mit Admin-Zugang oder ein kompromittierter Dienstleister kann bei einem herkömmlichen Cloud Backup erheblichen Schaden anrichten. Immutable Backups sind auch gegen dieses Risiko geschützt.
Warum gerade kleine Unternehmen besonders gefährdet sind
Große Konzerne haben eigene IT-Sicherheitsabteilungen, Security Operations Center und mehrstufige Sicherheitsarchitekturen. Kleine Unternehmen mit 5 bis 30 Mitarbeitern haben das in der Regel nicht. Trotzdem sind sie längst im Visier von Angreifern – gerade weil sie oft schlechter geschützt sind.
Hinzu kommt ein typisches Problem, das wir bei unseren Kunden in Köln regelmäßig sehen: Das Backup wurde irgendwann eingerichtet, läuft seitdem automatisch – und wird nie überprüft. Ob die Sicherung tatsächlich funktioniert, ob die Daten vollständig sind und ob eine Wiederherstellung im Ernstfall möglich wäre, weiß häufig niemand. Das ist so, als würde man eine Versicherung abschließen, ohne jemals die Police gelesen zu haben.
Ein weiteres Risiko: Viele kleine Unternehmen nutzen dieselben Zugangsdaten für mehrere Systeme. Wenn ein Angreifer über eine Phishing-Mail das Passwort eines Mitarbeiters erbeutet und dieses auch für den Backup-Zugang funktioniert, ist die gesamte Sicherungskette kompromittiert.
Wie wir Immutable Backups bei unseren Kunden umsetzen
Wir setzen bei netzwerkfähig auf Veeam in Kombination mit einem gespiegelten Datastore in einem deutschen Rechenzentrum. Dieses Setup bietet mehrere Vorteile, die im Zusammenspiel einen robusten Schutz ergeben.
Zunächst werden die Daten automatisiert gesichert – je nach Anforderung mehrmals täglich oder kontinuierlich. Die Sicherungen werden anschließend in den Immutable Storage übertragen, wo sie für den definierten Zeitraum unveränderbar abgelegt werden. Unsere Empfehlung liegt bei mindestens 60 Tagen Immutable-Zeitraum. Der Grund: Viele Ransomware-Angriffe werden erst Wochen nach der initialen Infektion entdeckt. Mit einem 60-Tage-Fenster haben Sie auch dann noch saubere Wiederherstellungspunkte, wenn der Angriff lange unbemerkt blieb.
Darüber hinaus ist die gesamte Lösung DSGVO-konform, weil die Daten ausschließlich in Deutschland gespeichert werden. Das ist gerade für Unternehmen relevant, die personenbezogene Daten verarbeiten – also praktisch jedes Unternehmen.
Ein Aspekt, der in der Praxis oft unterschätzt wird: Wir testen die Wiederherstellung regelmäßig. Ein Backup, das nie getestet wurde, ist im Ernstfall wertlos. Deshalb gehört bei uns die regelmäßige Überprüfung der Wiederherstellungsfähigkeit zum Service dazu.
Wenn Sie mehr über unsere konkreten Backup-Lösungen erfahren möchten, finden Sie alle Details auf unserer Seite zu Backup-Lösungen für Unternehmen in Köln.
Die 3-2-1-Regel als Fundament
Unabhängig davon, ob Sie sich für ein Cloud Backup oder ein Immutable Backup entscheiden, sollte jede Backup-Strategie auf der 3-2-1-Regel basieren. Diese besagt: Halten Sie mindestens drei Kopien Ihrer Daten vor, speichern Sie diese auf zwei unterschiedlichen Medientypen, und bewahren Sie eine Kopie an einem externen Standort auf.
In der Praxis bedeutet das: Die Originaldaten auf Ihrem Server, eine lokale Sicherung auf einem NAS oder einer externen Festplatte, und eine dritte Kopie in der Cloud – idealerweise als Immutable Backup. Erst diese Kombination bietet einen umfassenden Schutz gegen die verschiedenen Ausfallszenarien.
Viele unserer Kunden sind überrascht, wenn wir ihnen zeigen, dass ihre bisherige Sicherungsstrategie nur eine oder zwei dieser drei Anforderungen erfüllt. Die Lücke zu schließen ist jedoch oft einfacher und günstiger als gedacht.
Häufige Irrtümer rund um Backups
In unserer täglichen Arbeit begegnen uns bestimmte Annahmen immer wieder – Annahmen, die im Ernstfall teuer werden können.
Der erste Irrtum: „Unser IT-Dienstleister kümmert sich darum.“ Das mag stimmen, aber die Frage ist: Was genau macht er? Wird nur gesichert oder auch regelmäßig geprüft? Liegt die Sicherung auf einem separaten, abgeschotteten System? Und vor allem: Ist das Backup vor Verschlüsselung geschützt? Viele Unternehmen können diese Fragen nicht beantworten – und das ist bereits ein Risiko.
Der zweite Irrtum: „Wir sind zu klein, um ein Ziel für Hacker zu sein.“ Das Gegenteil ist der Fall. Automatisierte Angriffe unterscheiden nicht nach Unternehmensgröße. Ransomware-Kampagnen werden breit gestreut und treffen jeden, dessen Systeme eine Schwachstelle bieten. Kleine Unternehmen sind sogar attraktiver, weil sie seltener professionelle Sicherheitsmaßnahmen implementiert haben.
Der dritte Irrtum: „OneDrive oder Google Drive reichen als Backup.“ Cloud-Speicherdienste sind keine Backup-Lösungen. Sie synchronisieren Daten – das heißt, wenn eine Datei lokal verschlüsselt wird, wird die verschlüsselte Version auch in die Cloud synchronisiert. Ohne echte Versionierung mit ausreichend langer Aufbewahrung verlieren Sie auch hier Ihre Daten.
Wann lohnt sich der Umstieg?
Die Frage ist nicht, ob sich ein Immutable Backup lohnt, sondern ob Sie es sich leisten können, darauf zu verzichten. Laut aktuellen Studien liegt die durchschnittliche Ausfallzeit nach einem Ransomware-Angriff bei kleinen Unternehmen bei mehreren Wochen. Die Kosten durch Produktionsausfall, Datenrekonstruktion und Reputationsschaden übersteigen die Investition in ein Immutable Backup um ein Vielfaches.
Besonders dringend ist der Umstieg, wenn eines oder mehrere der folgenden Szenarien auf Ihr Unternehmen zutreffen: Sie haben noch nie eine Testwiederherstellung durchgeführt, Ihre Backup-Zugangsdaten sind identisch mit anderen Admin-Passwörtern, Ihr Backup liegt auf einem Netzlaufwerk, das von allen Rechnern im Netzwerk erreichbar ist, oder Sie wissen nicht genau, was Ihr Backup eigentlich sichert und was nicht.
Fazit: Sicherheit ist kein Zustand, sondern ein Prozess
Ein Cloud Backup ist besser als gar kein Backup – aber es ist kein ausreichender Schutz gegen die Bedrohungen, die Unternehmen heute tatsächlich treffen. Ransomware-Angriffe zielen gezielt auf Sicherungen, und ein klassisches Cloud Backup bietet dagegen keinen zuverlässigen Schutz.
Ein Immutable Backup schließt genau diese Lücke. Es garantiert, dass Ihre Sicherungen unantastbar bleiben, egal was passiert. In Kombination mit der 3-2-1-Regel, regelmäßigen Wiederherstellungstests und einer professionellen Betreuung entsteht eine Datensicherungsstrategie, die auch im schlimmsten Fall funktioniert.
Sie möchten wissen, wie gut Ihre aktuelle Datensicherung aufgestellt ist? Dann nutzen Sie unseren kostenlosen IT-Risiko-Check oder sprechen Sie uns direkt an – wir beraten Sie gerne und unverbindlich.
