Warum Ihr Backup Ransomware nicht aufhält — und was die 3-2-1-1-0-Regel ändert

Fragen Sie Unternehmerinnen und Unternehmer, ob sie gegen Ransomware geschützt sind, lautet die Antwort fast immer: ja, wir haben Backups. Vor zehn Jahren war das eine gute Antwort. Als Sophos Ransomware-Opfer befragte, stellten 94 Prozent der Unternehmen mit Backups fest, dass die Angreifer auch diese Backups angegriffen hatten — gelöscht, verschlüsselt oder still beschädigt, lange bevor die Lösegeldforderung auftauchte. Die Regel, nach der die meisten Betriebe noch arbeiten, heißt 3-2-1. Die Regel, die einen modernen Angriff übersteht, ist die 3-2-1-1-0-Regel. Ihr Kern ist ein Immutable Backup — eine unveränderliche Kopie, die niemand löschen kann: weder Ihr IT-Dienstleister noch ein verärgerter Mitarbeiter noch ein Angreifer, der Ihr Administrator-Passwort gestohlen hat.

Dieser Beitrag erklärt in klarer Sprache, warum sich die Regel geändert hat, was die beiden zusätzlichen Ziffern bedeuten, was die Umstellung ein Unternehmen mit 20 bis 200 Mitarbeitenden kostet und wie Sie an einem einzigen Nachmittag herausfinden, ob Ihr eigenes Backup einen Angriff überleben würde. Wenn Sie das lieber prüfen lassen möchten: Genau dafür gibt es unseren Service für Backup und Notfallwiederherstellung.

Die Regel, nach der Ihre IT vermutlich arbeitet — und warum sie nicht mehr trägt

Die 3-2-1-Regel ist einfach und war jahrzehntelang ein hervorragender Rat: Halten Sie drei Kopien Ihrer Daten vor, auf zwei unterschiedlichen Speichertypen, davon eine außer Haus. Sie ist der Grund, warum ein Wasserrohrbruch im Serverraum oder ein versehentlich gelöschter Ordner nicht das Ende Ihres Unternehmens bedeutet.

Achten Sie darauf, was all diese Katastrophen gemeinsam haben. Ein Wasserschaden sucht nicht gezielt nach Ihrem Backup-Server. Eine sterbende Festplatte fahndet nicht nach den Zugangsdaten zu Ihrem externen Speicher. Die 3-2-1-Regel wurde entworfen, um Unfälle zu überstehen — und das gelingt ihr gut. Sie wurde nie entworfen, um einen Gegner zu überstehen. Genau dieser Unterschied hat sie still überholt.

Moderne Ransomware-Gruppen arbeiten organisiert und geduldig. Sie dringen nicht ein und verschlüsseln noch am selben Nachmittag. In der Regel bewegen sie sich wochenlang unauffällig im Netzwerk und weiten ihre Rechte aus, bis sie Administratorrechte besitzen. Und das Erste, was sie mit diesen Rechten tun, ist nicht, Ihre Dateien zu verschlüsseln — es ist, Ihre Backups zu finden und zu zerstören. Sie wissen genau, wo sie suchen müssen: der Backup-Server, die Netzwerkfreigabe, auf die gesichert wird, die in der Backup-Software hinterlegten Zugangsdaten. Erst wenn Ihr Sicherheitsnetz zerschnitten ist, verschlüsseln sie die Produktivsysteme und stellen ihre Forderung. Sie sollen nichts mehr haben, worauf Sie zurückgreifen können — und damit kein Druckmittel.

Zwei bequeme Annahmen werden kleinen Unternehmen hier zum Verhängnis. Eine Kopie „außer Haus" ist nicht sicher, nur weil sie woanders liegt: Ist Ihr Backup aus Ihrem Netzwerk erreichbar, ist es auch für denjenigen erreichbar, der Ihr Netzwerk beherrscht. Und Dateisynchronisation ist kein Backup — OneDrive, SharePoint und Dropbox spiegeln zuverlässig alles, was mit einer Datei passiert. Verschlüsselt Ransomware das Original, kopiert die Synchronisation die verschlüsselte Fassung brav überallhin. Zu wissen, welche Ihrer Schutzmaßnahmen echt sind, gehört zum Kern jeder ernsthaften Cloud-Security-Prüfung.

Was die 3-2-1-1-0-Regel konkret bedeutet

Die 3-2-1-1-0-Regel behält alles bei, was an der alten Regel funktioniert hat, und ergänzt die beiden Punkte, die einen gezielten Angreifer stoppen:

  • 3 — drei Kopien Ihrer Daten. Der Datenbestand, mit dem Sie täglich arbeiten, plus zwei Sicherungen. Ein einziges Backup ist ein Single Point of Failure.
  • 2 — auf zwei verschiedenen Speichertypen. Etwa ein lokales Speichersystem und ein Cloud-Objektspeicher. Fällt eine Speicherart aus oder wird kompromittiert, steht die andere noch.
  • 1 — eine Kopie außer Haus. Räumlich getrennt, damit Brand oder Einbruch am Standort nicht alle Kopien auf einmal vernichten.
  • 1 — eine unveränderliche (immutable) oder physisch getrennte Kopie. Die neue Ziffer: eine Kopie, die sich nicht verändern oder löschen lässt, selbst nicht mit vollen Administratorrechten.
  • 0 — null Fehler bei der Wiederherstellung. Die zweite neue Ziffer: Backups werden verifiziert und tatsächlich testweise zurückgespielt, sodass Sie wissen, dass die Daten zurückkommen, statt es zu hoffen.

Die ersten drei Ziffern schützen Sie vor Pech. Die letzten beiden schützen Sie vor Menschen mit bösen Absichten. Nahezu jedes kleine Unternehmen, das wir prüfen, erfüllt die ersten drei in irgendeiner Form — und keine der letzten beiden. Das beschreibt recht treffend, warum Ransomware so lukrativ bleibt.

Die zusätzliche „1": eine Kopie, die niemand löschen kann

„Immutable" heißt schlicht unveränderlich. Ein Immutable Backup wird einmal geschrieben und dann für einen festgelegten Zeitraum gesperrt. In diesem Fenster lassen sich die Daten von niemandem ändern, überschreiben oder löschen — nicht vom Backup-Administrator, nicht von einem Support-Techniker und nicht von jemandem, der sich mit Ihrem gestohlenen Domänen-Administratorkonto anmeldet. Das Speichersystem selbst verweigert den Löschbefehl. Es ist das digitale Gegenstück zu Dokumenten, die Sie in einen Safe einwerfen, für den es bis zu einem bestimmten Datum keinen Schlüssel gibt.

Diese Eigenschaft zerstört das Geschäftsmodell der Ransomware. Der Plan des Angreifers beruht darauf, Ihnen die Fähigkeit zur Wiederherstellung zu nehmen. Gegen eine unveränderliche Kopie kann er sämtliche Zugangsdaten Ihres Unternehmens besitzen und sie trotzdem nicht anrühren. Sie stellen wieder her, Sie zahlen nicht, und sein Druckmittel löst sich auf. Ein physisch getrenntes Backup („Air Gap") erreicht dasselbe auf anderem Weg: Die Kopie wird nach dem Schreiben vollständig vom Netz genommen. Genau deshalb führt das Bundesamt für Sicherheit in der Informationstechnik (BSI) ein Offline-Backup, das nach der Sicherung vom IT-Netz getrennt wird, weit oben in seinen Ransomware-Maßnahmen.

Viele Inhaber halten das für Konzern-Technik mit Konzern-Preisschild. Das ist es nicht — und diese Annahme ist inzwischen das Haupthindernis zwischen vielen Betrieben und echtem Schutz. Unveränderlichkeit ist eine Standardfunktion von Cloud-Objektspeicher — unveränderliche Container in Azure Blob Storage oder Object Lock bei vergleichbaren Diensten — und seriöse Backup-Produkte bieten sie als Häkchen am Speicherziel an. Eine unveränderliche Kopie kostet einige zehn Euro pro Terabyte und Monat, ganz ohne Bandroboter und Tresor. Sie korrekt einzuschalten, ist für jemanden mit Erfahrung eine Sache eines halben Tages und gehört zum Alltag, wenn wir eine Managed-Cloud-Umgebung betreiben.

Ein Detail ist wichtiger als alle anderen: Setzen Sie die Sperrfrist länger an als die wahrscheinliche Verweildauer eines Angreifers im Netz. Ist Ihre unveränderliche Kopie sieben Tage gesperrt, der Eindringling aber seit drei Wochen im Netzwerk, wartet er schlicht ab, bis die Sperre auf jeder sauberen Kopie abläuft. Dreißig Tage sind eine sinnvolle Untergrenze; neunzig Tage sind besser, wenn die Speicherkosten vernachlässigbar sind — was meistens der Fall ist.

Die „0": Ein ungetestetes Backup ist nur ein Gerücht

Die letzte Ziffer ist die, die Unternehmen überspringen — und die aus einer Backup-Strategie eine echte Wiederherstellung macht. Null Fehler bedeutet: Ihre Sicherungen werden verifiziert und Ihre Rücksicherungen getestet. Sie haben kürzlich zugesehen, wie echte Daten zurückkamen, und Sie wissen, wie lange es gedauert hat.

Die Lücke ist gewaltig. Studien zu kleinen und mittleren Unternehmen zeigen durchgehend, dass nur etwa sechs von zehn regelmäßig prüfen, ob sich ihre Backups überhaupt zurückspielen lassen. Anders gesagt: Vier von zehn Betrieben wissen nicht, ob das, worauf sie sich in ihrer schlimmsten Woche verlassen, überhaupt funktioniert. Sie erfahren es am Tag des Ernstfalls — dem denkbar teuersten Moment für diese Erkenntnis.

Ein grüner Haken in der Backup-Konsole bedeutet nicht das, was die meisten annehmen. Er bedeutet, dass der Sicherungsauftrag gelaufen ist. Er bedeutet nicht, dass die Daten darin vollständig, unbeschädigt oder startfähig sind. Backups scheitern auf ganz gewöhnliche Weise still: Eine Datenbank war geöffnet und wurde mitten im Schreibvorgang erfasst, ein neuer Server wurde nie in den Auftrag aufgenommen, die Aufbewahrungsregel hat genau die Kopie aussortiert, die Sie brauchen — oder der Schlüssel, der das Backup schützt, liegt ausschließlich auf dem Server, den die Ransomware gerade verschlüsselt hat.

Testen verwandelt vage Beruhigung außerdem in eine Zahl, mit der Sie planen können. Zwischen „wir haben Backups" und „wir haben im letzten Quartal unseren Hauptdateiserver zurückgespielt, es dauerte elf Stunden, ein Vorfall am Montag heißt also, dass wir am Dienstagnachmittag wieder handlungsfähig sind" liegen Welten. Nur der zweite Satz erlaubt Ihnen, in Ruhe im Voraus zu entscheiden, ob elf Stunden akzeptabel sind — und wenn nicht, was sich ändern muss. Testen Sie die Wiederherstellung, nicht den Sicherungsauftrag, mindestens vierteljährlich, und halten Sie Datum, Ergebnis und Dauer schriftlich fest.

Was es kostet — und was es spart

Das durchschnittliche von Ransomware getroffene Unternehmen war in den vergangenen Jahren ein Mittelständler mit gut zweihundert Mitarbeitenden, und typische Opfer standen rund drei Wochen lang massiv still. Keine drei Wochen Unannehmlichkeit — drei Wochen, in denen keine Aufträge bearbeitet und keine Rechnungen gestellt werden und das Telefon mit einer Entschuldigung beantwortet wird.

Rechnen wir es konkret durch. Nehmen Sie einen Betrieb mit 40 Mitarbeitenden und sechs Millionen Euro Jahresumsatz: rund 25.000 Euro Umsatz an jedem Arbeitstag. Ein vergleichsweise glimpflicher Ausfall von fünf Tagen kostet allein an entgangenem Geschäft etwa 125.000 Euro — bevor Sie Vorfallsbearbeitung, Rechtsberatung, Meldepflichten gegenüber Behörden und Kunden nach DSGVO und die Aufträge hinzurechnen, die anschließend still zur Konkurrenz wandern. Das Lösegeld zu zahlen ist ebenfalls nicht der Notausgang, als der es erscheint: Die Entschlüsselungswerkzeuge der Kriminellen sind oft langsam und unvollständig, und ein erheblicher Teil der zahlenden Unternehmen erhält nie alle Daten zurück.

Nun der Preis der Verteidigung. Eine unveränderliche Kopie von einigen Terabyte außer Haus kostet realistisch ein paar Hundert Euro Speicher im Jahr; sie sauber einzurichten ist ein einmaliger Aufwand von wenigen Stunden; ein vierteljährlicher Wiederherstellungstest kostet einen halben Arbeitstag Aufmerksamkeit. Selbst großzügig kalkuliert und in einen Managed Service eingebettet, liegt ein kleines Unternehmen im niedrigen vierstelligen Bereich pro Jahr — für den Unterschied zwischen zwei schlechten Wochen und dem Ende des Betriebs. Nur wenige Posten im Budget haben diese Rendite, und keiner lässt sich so leicht immer weiter aufschieben.

Was deutsche und europäische Vorgaben längst von Ihnen erwarten

Für Unternehmen in Deutschland ist das längst keine reine Frage guter Praxis mehr. Die Ransomware-Empfehlungen des BSI sagen ausdrücklich, dass ein Backup die wichtigste präventive Maßnahme überhaupt ist, dass mindestens eine Kopie offline gehalten und nach der Sicherung vom Netz getrennt werden muss und dass der Wiederanlauf geplant und in einem Praxistest erprobt gehört — vor dem Ernstfall, nicht während seiner.

NIS2 verschärft das. Für die rund 29.000 direkt betroffenen deutschen Unternehmen sind Backup-Konzepte und dokumentierte Wiederherstellungstests benannte Pflichten, keine Empfehlungen. Und wenn Sie nicht direkt betroffen sind, atmen Sie nicht zu früh auf: Regulierte Unternehmen müssen die Sicherheit ihrer Lieferkette steuern, weshalb deren Fragebögen auf den Schreibtischen ihrer Zulieferer landen. Ein schlichtes „Wie schützen und testen Sie Ihre Backups?" steht immer häufiger zwischen einem kleineren Betrieb und der Vertragsverlängerung.

Die DSGVO verlangt still schon lange Ähnliches. Artikel 32 verpflichtet Sie, die Verfügbarkeit personenbezogener Daten und den Zugang zu ihnen nach einem Vorfall rasch wiederherstellen zu können. Ein ungetestetes Backup belegt diese Fähigkeit nicht; ein dokumentierter vierteljährlicher Wiederherstellungstest mit erfasster Dauer schon. Deutsche Aufbewahrungsvorgaben wie die GoBD verlangen zusätzlich, bestimmte Unterlagen über Jahre unversehrt und verfügbar zu halten. All das prüfbar und belegbar zu machen, statt es zu beteuern, ist Aufgabe unserer Arbeit zu Governance und Compliance.

Eine Checkliste für diesen Monat

Nichts davon ist ein Projekt. Arbeiten Sie diese sieben Punkte der Reihe nach ab, und Sie wissen genau, wo Sie stehen.

  • Zählen Sie die Kopien ehrlich. Notieren Sie jeden Ort, an dem Ihre Daten tatsächlich liegen. Synchronisationsdienste zählen nicht. Die meisten Betriebe stellen fest, dass sie zwei haben, nicht drei.
  • Stellen Sie die eine entscheidende Frage. „Wenn ein Angreifer jetzt unser Domänen-Administratorpasswort hätte — könnte er diese Kopie löschen?" Lautet die Antwort bei jeder Kopie ja, haben Sie keinen Schutz vor Ransomware, ganz gleich, was Sie für Backups ausgeben.
  • Schalten Sie Unveränderlichkeit für mindestens eine Kopie ein. Nutzen Sie Object Lock oder einen unveränderlichen Container an Ihrem Cloud-Speicherziel, mit einer Sperrfrist von mindestens 30 Tagen.
  • Trennen Sie die Backup-Zugangsdaten. Das Konto Ihrer Backup-Software darf kein Domänen-Administrator sein, darf kein Passwort wiederverwenden und muss mit Mehr-Faktor-Authentifizierung geschützt sein. Diese eine Änderung wehrt einen großen Teil realer Angriffe ab.
  • Sichern Sie auch Microsoft 365. Microsoft schützt seine Plattform, nicht Ihre Inhalte. Nach dem Modell der geteilten Verantwortung sind E-Mails, Dateien, SharePoint-Seiten und Teams-Daten in Ihrem Tenant Ihre Sache, und die eingebaute Aufbewahrung ist kein Backup. Wenn Sie unsicher sind, was Ihre Lizenzen abdecken, sagt Ihnen unser Microsoft-365-Team das in einer Stunde.
  • Stellen Sie etwas Echtes wieder her. Keine Testdatei — einen echten Server oder eine echte Dateifreigabe. Stoppen Sie die Zeit. Schreiben Sie die Zahl auf. Das ist Ihre wahre Wiederherstellungszeit, und sie ist fast immer länger, als alle erwartet haben.
  • Tragen Sie den nächsten Test in den Kalender ein. Vierteljährlich, mit Datum, Ergebnis und Dauer. Dieses Protokoll ist zugleich Ihr betriebliches Sicherheitsnetz und Ihr Compliance-Nachweis.

Kurze Antworten

Ist OneDrive oder SharePoint ein Backup? Nein. Das sind Synchronisations- und Kollaborationswerkzeuge. Wird eine Datei verschlüsselt oder gelöscht, wandert diese Änderung überallhin. Versionierung und Papierkorb helfen bei kleinen Missgeschicken und retten Sie nicht vor einem Angreifer mit Administratorrechten.

Sichert Microsoft meine Microsoft-365-Daten? Nicht so, wie die meisten annehmen. Microsoft garantiert die Verfügbarkeit des Dienstes; die Daten, die Sie hineinlegen, bleiben Ihre Verantwortung. Dieses Modell der geteilten Verantwortung ist das häufigste gefährliche Missverständnis, dem wir begegnen.

Ist unveränderlicher Speicher teuer? Nein, und das überrascht viele. Er ist eine Funktion gewöhnlichen Cloud-Objektspeichers und kostet einige zehn Euro pro Terabyte und Monat. Der Aufwand steckt in der einmaligen, sauberen Einrichtung — nicht im Speicher.

Kann ein Angreifer die Unveränderlichkeit aushebeln? Nicht innerhalb der Sperrfrist. Das ist der ganze Sinn — und der Grund, warum die Sperrfrist länger sein muss als eine realistische Verweildauer. Sperren Sie eine Kopie sieben Tage, wartet ein geduldiger Eindringling sie aus; sperren Sie sie dreißig oder neunzig Tage, kann er es nicht.

Wir sorgen dafür, dass Ihr Backup den Angriff übersteht, für den Sie es gekauft haben

Unser Service für Backup und Notfallwiederherstellung nimmt Ihr bestehendes Setup und schließt die beiden entscheidenden Lücken: eine unveränderliche Kopie außer Haus, die ein Angreifer selbst mit Ihrem Administratorpasswort nicht löschen kann, und ein dokumentierter Wiederherstellungstest, der aus „wir haben Backups" eine Wiederherstellungszeit macht, mit der Sie Ihr Geschäft planen können.

Sie erhalten ein klares Bild davon, wo Ihre Daten wirklich liegen, was einen Ransomware-Angriff heute überstehen würde, wie lange eine vollständige Wiederherstellung tatsächlich dauert — und den Nachweis getesteter Wiederherstellung, den BSI-Empfehlungen, NIS2 und DSGVO zunehmend von Ihnen verlangen.

Weitere Artikel