Ransomware-Vorbereitung: Warum Backups nicht reichen
Das Wichtigste in Kürze
- Moderne Ransomware-Gruppen exfiltrieren Daten vor der Verschlüsselung (Double Extortion) — ein Restore aus dem Backup löst das Erpressungsproblem nicht
- Professionelle Angreifer suchen gezielt nach Backup-Servern und kompromittieren diese, bevor sie verschlüsseln — Backups im selben Netzwerk sind kein verlässlicher Schutz
- Immutable Backups (Write-Once-Storage, Air-Gapped oder Cloud-Immutability) sind der Standard gegen Ransomware-resistente Wiederherstellung
- Netzwerksegmentierung, Identity-Härtung und EDR sind die drei Kernmaßnahmen, die einen Angreifer verlangsamen, bevor er Schaden anrichten kann
- Ohne vorherige Übung werden unter Stress im Ernstfall Fehler gemacht — regelmäßige Tabletop-Übungen verbessern die Reaktionsfähigkeit erheblich
Wenn wir Unternehmen nach ihrer Ransomware-Strategie fragen, lautet die häufigste Antwort: Wir haben Backups. Das ist ein guter Anfang. Aber es reicht nicht.
Ransomware-Angriffe haben sich weiterentwickelt. Moderne Angreifer verschlüsseln nicht einfach Daten und fordern Lösegeld. Sie exfiltrieren sensible Informationen vor der Verschlüsselung (Double Extortion), kompromittieren Backup-Systeme, bevor sie die Verschlüsselung auslösen, und nutzen die gestohlenen Daten als zusätzliches Druckmittel.
Warum Backups allein versagen
Backup-Systeme werden gezielt angegriffen
Professionelle Ransomware-Gruppen wissen, dass Backups die primäre Wiederherstellungsmethode sind. Deshalb suchen sie gezielt nach Backup-Servern, löschen oder verschlüsseln Backup-Daten und kompromittieren Backup-Accounts. Wenn Ihre Backups im gleichen Netzwerk liegen und mit denselben Zugangsdaten erreichbar sind wie Ihre Produktivsysteme, sind sie kein zuverlässiger Schutz.
Wiederherstellung dauert länger als erwartet
Selbst mit intakten Backups dauert die vollständige Wiederherstellung einer Unternehmensumgebung typischerweise Tage bis Wochen — nicht Stunden. In dieser Zeit steht das Geschäft still. Viele Unternehmen haben den Wiederherstellungsprozess nie vollständig getestet und entdecken erst im Ernstfall, dass ihre Recovery Time Objectives nicht erreichbar sind.
Datenexfiltration macht Backups irrelevant
Wenn sensible Daten bereits gestohlen wurden, löst eine Wiederherstellung aus dem Backup das Problem nicht. Die Daten sind draußen. Die Drohung mit der Veröffentlichung bleibt bestehen.
Was darüber hinaus notwendig ist
Netzwerksegmentierung
Ein flaches Netzwerk ermöglicht es einem Angreifer, sich nach dem initialen Zugang schnell lateral zu bewegen. Eine sinnvolle Segmentierung — insbesondere die Trennung von Produktivsystemen, Backup-Infrastruktur und Verwaltungssystemen — begrenzt den Schaden erheblich.
Identity-Härtung
Die meisten Ransomware-Angriffe beginnen mit kompromittierten Zugangsdaten. Multi-Faktor-Authentifizierung, eingeschränkte Administratorrechte und die Überwachung privilegierter Konten sind fundamentale Schutzmaßnahmen.
Endpoint Detection and Response
Moderne EDR-Lösungen erkennen Ransomware-typisches Verhalten — etwa massenhafte Dateiverschlüsselung oder ungewöhnliche Prozessaktivität — und können automatisch reagieren, bevor der Schaden überhandnimmt.
Immutable Backups
Backups, die nachträglich nicht verändert oder gelöscht werden können, sind gegen Ransomware deutlich widerstandsfähiger. Das kann durch Write-Once-Storage, Air-Gapped-Systeme oder Cloud-basierte Immutability-Features erreicht werden.
Übung und Vorbereitung
Ein Ransomware-Angriff ist ein Stresstest für die gesamte Organisation. Wer vorher nie geübt hat, wird unter Druck Fehler machen. Regelmäßige Tabletop-Übungen, bei denen verschiedene Szenarien durchgespielt werden, verbessern die Reaktionsfähigkeit erheblich.
Der pragmatische Ansatz
Niemand kann garantieren, dass kein Ransomware-Angriff stattfindet. Aber die Auswirkungen lassen sich drastisch reduzieren: durch eine gehärtete Umgebung, die den Angreifer verlangsamt, durch Erkennung, die frühzeitig alarmiert, und durch Wiederherstellungsfähigkeiten, die tatsächlich funktionieren.
Wenn Sie Ihre Ransomware-Resilienz bewerten oder verbessern möchten, unterstützen wir Sie gerne.
Haeufig gestellte Fragen
Sollte man bei einem Ransomware-Angriff Lösegeld zahlen?
Das wird von Strafverfolgungsbehörden generell nicht empfohlen. Die Zahlung garantiert keine Wiederherstellung der Daten, finanziert kriminelle Strukturen und macht das Unternehmen zu einem bekannten zahlungsbereiten Ziel für Folgeangriffe. Mit einer robusten Backup-Strategie und einem getesteten Wiederherstellungsprozess lässt sich die Abhängigkeit von dieser Entscheidung erheblich reduzieren.
Was ist Double Extortion und wie unterscheidet es sich von klassischer Ransomware?
Bei klassischer Ransomware werden Daten verschlüsselt und Lösegeld für den Entschlüsselungsschlüssel gefordert. Bei Double Extortion werden Daten zusätzlich vorab gestohlen. Angreifer drohen dann mit der Veröffentlichung, selbst wenn das Unternehmen die Daten aus einem Backup wiederherstellt. Datenschutz und Reputationsschaden sind dabei unabhängig vom technischen Restore ein Problem.
Wie schützen immutable Backups vor Ransomware?
Immutable Backups können nach ihrer Erstellung nicht verändert oder gelöscht werden — weder durch Betriebssystemkommandos noch durch kompromittierte Konten. Write-Once-Storage, Air-Gapped-Medien und Cloud-Dienste mit Immutability-Feature (z. B. Azure Blob Storage mit WORM-Policy) erreichen das. Ein Ransomware-Angreifer, der die Produktivumgebung kompromittiert, kommt an diese Backups nicht heran.
Wie lange dauert eine vollständige Ransomware-Wiederherstellung typischerweise?
Das hängt von der Umgebungsgröße und dem Vorbereitungsgrad ab, aber viele Unternehmen unterschätzen den Aufwand erheblich. In der Praxis dauert die vollständige Wiederherstellung oft Tage bis Wochen — nicht Stunden. Entscheidend ist, ob Recovery-Time-Objectives (RTO) vorab definiert und in Übungen getestet wurden. Ohne Test ist der RTO nur eine Schätzung.