Ransomware-Angriffe auf mittelständische Unternehmen haben sich in den letzten drei Jahren verdreifacht. Die durchschnittliche Lösegeldforderung liegt bei 2,7 Millionen Euro, der tatsächliche Schaden durch Ausfallzeiten, Wiederherstellung und Reputationsverlust ist oft ein Vielfaches davon. Und: Die meisten betroffenen Unternehmen hatten Backups.
Warum Backups allein nicht schützen
Moderne Ransomware-Gruppen sind professionell organisiert. Bevor sie ihre Verschlüsselung starten, verbringen sie oft Wochen im Netzwerk. In dieser Zeit suchen und zerstören sie systematisch Backups, die über das Netzwerk erreichbar sind. Netzwerk-Shares, NAS-Systeme, sogar Cloud-Synchronisierungen werden verschlüsselt oder gelöscht.
Kostenlose Erstberatung anfragen
Antwort innerhalb von 24 Stunden
In einer Studie von Sophos (2024) hatten 94% der Ransomware-Opfer, die Backups hatten, ihre Backup-Systeme ebenfalls verloren oder beeinträchtigt.
Die 3-2-1-1-0 Backup-Regel
Die klassische 3-2-1-Regel (3 Kopien, 2 verschiedene Medien, 1 offsite) reicht nicht mehr aus. Die erweiterte 3-2-1-1-0-Regel ist der aktuelle Standard:
- 3 Kopien der Daten
- 2 verschiedene Speichermedien (z.B. Disk und Tape)
- 1 Kopie offsite (geographisch getrennt)
- 1 Kopie offline / air-gapped (physisch vom Netzwerk getrennt)
- 0 Fehler bei der Wiederherstellungsprüfung (regelmäßige Tests!)
Immutable Backups: Der Kern moderner Backup-Strategien
Immutable Backups können nach dem Schreiben weder verändert noch gelöscht werden - auch nicht von Administratoren. Object Lock in AWS S3, Veeam Hardened Repository auf Linux oder dedizierte Backup-Appliances mit WORM-Technologie (Write Once, Read Many) bieten diesen Schutz.
Implementierung mit Veeam und Linux Hardened Repository
Ein Linux-Server mit eingeschränkten SSH-Rechten und XFS-Dateisystem kann als kostengünstiges Immutable Repository konfiguriert werden. Der Backup-Proxy schreibt Daten, hat aber keine Löschrechte. Selbst wenn der Backup-Server kompromittiert wird, bleiben die Backups integer.
Backup-Konzepte für verschiedene KMU-Typen
Kleine Unternehmen (unter 50 Mitarbeiter)
- Cloud-Backup mit Veeam oder Azure Backup (immutable aktiviert)
- Externe Festplatte oder NAS als lokale Kopie (regelmäßig rotiert, offline gelagert)
- Microsoft 365 Backup - OneDrive/SharePoint sind KEINE Backups, sie synchronisieren Verschlüsselung sofort
Mittelständische Unternehmen (50-500 Mitarbeiter)
- Veeam Backup & Replication mit Hardened Linux Repository
- Tape-Backup als Air-Gap-Lösung (wöchentlicher Offsite-Transport)
- Replikation in Cloud-Region als Disaster Recovery
- Backup-Monitoring und tägliche Benachrichtigung bei Fehlern
Backup ist kein Ersatz für Prävention
Selbst das beste Backup schützt nicht vor dem initialen Einbruch, dem Datenverlust durch Exfiltration (Double Extortion) oder dem Reputationsschaden. Ransomware-Gruppen veröffentlichen gestohlene Daten auch dann, wenn das Opfer aus Backups wiederhergestellt hat und kein Lösegeld zahlt.
- Netzwerk-Segmentierung verhindert Lateral Movement
- Endpoint Detection & Response (EDR) erkennt Ransomware-Verhalten früh
- Regelmäßige Penetrationstests zeigen, wie Angreifer eindringen
- Multi-Faktor-Authentifizierung blockiert Credential-basierte Angriffe
Fazit: Testen Sie Ihre Wiederherstellung
Ein Backup, das nie getestet wurde, ist kein Backup. Führen Sie mindestens quartalsweise einen vollständigen Wiederherstellungstest durch. Messen Sie die Recovery Time Objective (RTO): Wie lange dauert es wirklich, bis Ihre kritischsten Systeme wieder laufen? Die Antwort wird Sie überraschen.
Ihre IT-Sicherheit beginnt heute.
Warten Sie nicht auf einen Angriff. Kontaktieren Sie uns für eine kostenlose Erstberatung und erfahren Sie, wie sicher Ihre IT wirklich ist.