Ransomware-sicheres Backup

Festplatte hinter Gittern mit Lasern geschützt

Cyberangriffe können verheerend sein. Doch ein letztes Sicherheitsnetz ist nicht so schwierig zu bauen. Hier die Hintergründe, was es beim Aufbau eines Ransomware-resilienten Backupprozesses zu beachten gilt.

Cyberkriminelle werden immer raffinierter, wie beispielsweise die Ransomware-Angriffe vor einigen Monaten in Grossbritannien gezeigt haben, die grosse Firmen über Wochen und Monate schwer in Mitleidenschaft gezogen haben.

Inhalt

Ziele

Immer häufiger ist dieser Tage deshalb von «Ransomware-sicherem Backup» die Rede. Das Ziel davon ist, als letztes Sicherheitsnetz zu fungieren, falls ein Angreifer Kontrolle über unsere Systeme übernommen hat.

Ransomware-sicheres Backup hilft nicht dagegen, dass der Angreifer die Daten kopiert, absaugt und auf dem Schwarzmarkt weiterverkauft. Dagegen wirkt nur, seine Systeme bestmöglich gegen Angreifer zu schützen und die Bösewichte so gar nicht erst an unsere Benutzerkonten, Systeme (Arbeitsplatzrechner, Server, …) und Daten gelangen zu lassen.

Das Ziel von Ransomware-sicherem Backup ist es, dass niemand gleichzeitig die Rechte hat, die Originaldaten und ihr Backup zu ändern (bzw. zu löschen). Dass ein Angreifer also, auch wenn er in das Konto oder den Arbeitslaptop einer Systemadministratorin eingedrungen ist, nicht auch noch das Backup verändern oder löschen kann.

Das muss auf verschiedenen Ebenen geschehen:

Benutzer-Trennung: Es sollten nicht dieselben Konten Zugriff auf Original und Backup haben, in keiner der unten stehenden Dimensionen. Die Konten sollten auch nicht in derselben Benutzerverwaltung stecken, falls man eine zentrale Benutzerverwaltung im Einsatz hat. Der Einsatz einer zentralen Benutzerverwaltung ist an der Nutzung von Stichworte wie LDAP, SSO, Active Directory, … zu erkennen. (Der Administrator der Benutzerverwaltung hätte damit Zugang zu beiden Konten. Falls sein Konto gehackt wird oder er Opfer eines Phishing-Angriffs wird, sind wieder beide Kopien betroffen. Und wie gesagt, die modernen Angreifer sind sehr schlau, kompetent und mit viel Zeit, Expertise und Ressourcen ausgestattet. Ein durch Lösegeldzahlungen gut geöltes Milliarden-Geschäft.)
Räumliche Trennung: Auch wenn die meisten Cyberangriffe rein virtuell erfolgen, sollte mindestens ein Backup an einem anderen Ort stehen und keine Person oder Organisation sollte zu beiden Räumlichkeiten Zugang haben.
Hardware-Trennung: Die beiden Systeme (Computer mit den Originaldaten und Backupserver) sollten sich auf unterschiedlichen physischen Computern befinden. Also insbesondere nicht zwei virtuelle Maschinen, die auf demselben Rechner laufen. Weil die Kontrolle über das direkt auf der Hardware laufende Betriebssystem («Hypervisor») auch Kontrolle über die virtuellen Maschinen gibt.
Speicher-Trennung: Die beiden Systeme sollten ihre Daten nicht auf demselben Speichersystem («NAS», «SAN», «RAID») ablegen. Kontrolle über das Speichersystem bedeutet Kontrolle über beide Datenspeicher und damit ist die Trennung dahin
Software-Trennung: Auch die Software-Installation bzw. die Updates sollten getrennt erfolgen, damit Angriffe über das Softwareverteilsystem erschwert werden. Wenn dieselbe Software oder dasselbe Betriebssystem zum Einsatz kommen, sollten Updates gestaffelt installiert werden, wenn möglich im Abstand von mehreren Tagen, evt. sogar wenigen Wochen.

Organisatorische Massnahmen

Organisatorisch bedeutet das, dass vollständig separate Personenkreise für die beiden unterschiedlichen Systeme zuständig sein sollten. Wenn das aus Ressourcen- oder Know-How-Gründen nicht möglich ist, sollte zumindest das Administrator-Login auf die Backupsysteme so abgesichert sein, dass die Administrator:innen nicht ohne dedizierte Hilfe einer weiteren Person einloggen können.

Dies kann z.B. eine Vorgesetzte sein, auch wenn diese technisch nicht besonders tief in der Materie drin steckt. Beispielsweise, indem Logins nur über einen Zwischenrechner («Jumphost») oder durch einen zweiten/dritten Faktor möglich ist, der nur dieser Vertrauensperson zugänglich ist. (Sicherheitshalber sollte auch diese Vertrauensperson eine Vertretung haben, um Abwesenheiten und Notfälle abzudecken.)

Da die notwendige Kontentrennung meist bedeutet, dass auf dem Backupserver die Administratorenzugänge als lokale Zugänge ausgelegt sind, muss ein zuverlässiger Prozess etabliert werden, damit bei Personalmutationen (Aufgabenwechsel, Abgänge) diese Änderungen an den Administratorenkonten separat von der Haupt-Kontoverwaltung der Organisation nachgeführt werden.

Technische Massnahmen

Für die technische Umsetzung gibt es verschiedene Möglichkeiten (angelehnt an diesen Aufzählung):

Nutzung von Offline-Backups, wie z.B. einer externen USB-Festplatte, die nur zum Backup kurz angeschlossen wird (siehe Beschreibung hier). Besser sind natürlich zwei oder mehr Platten in Rotation; damit das Anlegen eines Backups zeitgleich mit dem Angriff nicht auch das letzte verbleibende Backup zerstört.
Reine Datenübermittlung: Etliche Backuplösungen basieren auf dem Konzept, dass das System, welche die Originaldaten hält, sich auch um die Verwaltung der Backups kümmert, also Dateien anlegen, ändern und auch löschen kann. Wenn die Aufgabenteilung zwischen Quell- und Backupsystem jedoch so aufgebaut ist, dass das Quellsystem nur Daten und keine Steuerbefehle einliefern kann, ist das Problem auch gelöst. Diese reine Datenübermittlung gibt es in zwei Ausprägungen, die auch teilweise überlappen:
- «Immutable Backup»: Es gibt Angebote von Backupdienstleistern und Cloudprovidern für sogenannt unveränderbaren Speicher. Wenn eine Datei einmal dort gespeichert ist, kann sie nicht auf demselben Weg überschrieben oder gelöscht werden. (Meist gibt es Wege, aber die sind absichtlich aufwändig und nur beschränkt nutzbar. Wenn die Lösung für einen ganz bestimmten Backupdienst vorgesehen ist, dann kann auch eine geeignete automatische Löschung nach der ursprünglich vereinbarten Zeit stattfinden.)
- Pull Backups: Der Backupserver holt die Backupdaten beim Originalsystem ab.
Separate Versionierung: Eine Variante des Immutable Backup, häufig eine Zusatzfunktion bei Cloudspeichern, ist die Versionierung beim Speicheranbieter. Daten können zwar vom Kunden geändert/gelöscht werden, aber die vorherige Version wird automatisch weiter aufbewahrt (wie bei einem Time Machine-Backup oder in der NextCloud «Versions» App). Dabei wird sichergestellt, dass vorherige Versionen zwangsweise eine Mindestdauer vorgehalten werden, beispielsweise 30 Tage. Und damit die meisten Cyberangriffe überstehen sollten. Der Unterschied zum Immutable Backup ist, dass diese Lösung mit beliebiger Kundensoftware funktioniert.

Verbindung	Datenserver steuert alles	Datenserver glaubt, er steuert alles	Datenserver liefert nur Daten
Aufbau vom Datenserver	Klassisches Backup	Separate Versionierung	Immutable Backup
Aufbau vom Backupserver	Klassisches Backup	Pull Backup, Separate Versionierung	Pull Backup, Immutable Backup
Offline	USB-Platte

Optionen für Backupzugang

Wie auch schon beim Backup selbst ist eine Kombination von verschiedenen Technologien hilfreich, hängt aber immer von den eigenen Bedürfnissen bzw. der vorhandenen Infrastruktur ab.

Reicht das?

Ransomware-resilientes Backup ist das letzte Sicherheitsnetz. Falls es je gebraucht wird, kommt eine riesige Menge stressige und intensive Aufräumarbeiten uvam. auf das IT-Team zu. So gilt es, das Einfallstor der Cyberkriminellen zu identifizieren und zu stopfen, sowie allfällige Hintertüren zu schliessen, die sie eingerichtet haben. Danach können die Systeme bereinigt und neu aufgesetzt werden; eine Aufgabe, die das IT-Team oft seit Jahren nicht mehr gemacht hat. Und natürlich muss alles auch getestet werden und IT-Sicherheitsmassnahmen etabliert werden, damit das zukünftig nicht nochmals passiert.

Aus diesem Grund sollte man zusätzlich zu diesem letzten Sicherheitsnetz unbedingt auch ganz viel vorbeugen, damit das gar nicht erst passiert. Über die Mechanismen und Checklisten dazu habe ich in «Was uns Ransomware zu Datenschutz und Datensicherheit lehrt» geschrieben.

Weitere Lektüre

Ransomware Resistant Backups with btrbk, Guru Computing, undatiert (2025-07-01?).
In der ersten Hälfte hat es eine gute Motivation und Aufzählung der Möglichkeiten. Diese war auch Inspiration für meine technische Auflistung. In der zweiten Hälfte wird ein Setup für Linux erklärt.
Marcel Waldvogel: Was uns Ransomware zu Datenschutz und Datensicherheit lehrt, 2022-12-05.
Überlegungen und Checklisten, wie man im Small Office/Home Office seine Daten schützt. Kann auch als Start der Überlegungen für eine grössere Organisation dienen.
Marcel Waldvogel: Wieso wir «Move fast and break things» falsch verstehen — und wie wir Software besser machen können, DNIP, 2024-06-13 (Kurzversion hier).
Wie man durch Automatisierung und automatische Tests einen grossen Teil des Stresses beim Wiederaufsetzen der Systeme vermeiden kann.

Aktuelles zu IT-Sicherheit

Ransomware-sicheres Backup2025-09-20
Cyberangriffe können verheerend sein. Doch ein letztes Sicherheitsnetz ist nicht so schwierig zu bauen. Hier die Hintergründe, was es beim Aufbau eines Ransomware-resilienten Backupprozesses zu beachten gilt. Cyberkriminelle werden immer raffinierter, wie beispielsweise die Ransomware-Angriffe… Ransomware-sicheres Backup weiterlesen
Löst die e-ID die Probleme von Jugendschutz und Privatsphäre?2025-09-08
Heute gehen wir der Frage nach, ob eine e-ID unsere gesellschaftlichen Probleme im Internet lösen kann. Und wie wir zu einer besseren Lösung kommen.
📻 E-ID: Kollidiert Altersverifikation mit dem Recht auf Anonymität?2025-09-05
Die e-ID ist aktuell auch im rund um Altersverifikation in Diskussion. In einem Interview mit Radio SRF versuchte ich, einige Punkte zu klären.
Ja zur E-ID2025-08-28
Ich setze mich bekanntermassen sehr für IT-Sicherheit und Privatsphäre ein. Und genau deshalb finde ich die E-ID in ihrer jetzt geplanten Form eine ganz wichtige Zutat. Hier meine Gründe für ein Ja am 28. September. Zusammen… Ja zur E-ID weiterlesen
CH-Journi-Starterpack fürs Fediverse2025-08-02
Im gestrigen Artikel rund ums Fediverse – das offene, föderierte soziale Netzwerk – hatte ich euch ein Starterpack versprochen. Hier ist es und bringt euch deutschsprachige Journalistinnen, Journalisten und Medien aus der Schweiz und für… CH-Journi-Starterpack fürs Fediverse weiterlesen
Föderalismus auch bei sozialen Netzen2025-08-01
Föderalismus liegt uns im Blut. Unsere gesamte Gesellschaft ist föderal aufgebaut. Aber – wieso lassen wir uns dann bei sogenannten «sozialen», also gesellschaftlichen, Netzen auf zentralistische Player mit absoluter Macht ein? In den digitalen gesellschaftlichen… Föderalismus auch bei sozialen Netzen weiterlesen
Unterschreiben gegen mehr Überwachung2025-07-17
Der Bundesrat will auf dem Verordnungsweg den Überwachungsstaat massiv ausbauen und die Schweizer IT-Wirtschaft im Vergleich zu ausländischen Anbieter schlechter stellen. Deine Unterschrift unter der Petition hilft!
Sichere VoIP-Telefone: Nein, danke‽2025-06-29
Zumindest war dies das erste, was ich dachte, als ich hörte, dass der weltgrösste Hersteller von Schreibtischtelefonen mit Internetanbindung, Yealink, es jedem Telefon ermöglicht, sich als beliebiges anderes Yealink-Telefon auszugeben. Und somit als dieses Telefonate… Sichere VoIP-Telefone: Nein, danke‽ weiterlesen
Diceware: Sicher & deutsch2025-06-12
Diceware ist, laut Wikipedia, «eine einfache Methode, sichere und leicht erinnerbare Passwörter und Passphrasen mithilfe eines Würfels zu erzeugen». Auf der Suche nach einem deutschsprachigen Diceware-Generator habe ich keinen gefunden, der nur im Browser läuft,… Diceware: Sicher & deutsch weiterlesen
Nextcloud: Automatischer Upload auf Android verstehen2025-06-05
Ich hatte das Gefühl, dass der automatische Upload auf Android unzuverlässig sei, konnte das aber nicht richtig festmachen. Jetzt weiss ich wieso und was dabei hilft.
VÜPF: Staatliche Überwachungsfantasien im Realitätscheck2025-06-02
Die Revision der «Verordnung über die Überwachung des Post- und Fernmeldeverkehrs» (VÜPF) schreckte die Schweiz spät auf. Am Wochenende publizierte die NZZ ein Streitgespräch zum VÜPF. Darin findet sich vor allem ein Absatz des VÜPF-Verschärfungs-Befürworters… VÜPF: Staatliche Überwachungsfantasien im Realitätscheck weiterlesen
Phishing-Trend Schweizerdeutsch2025-06-01
Spam und Phishingversuche auf Schweizerdeutsch scheinen beliebter zu werden. Wieso nutzen Spammer denn diese Nischensprache? Schauen wir in dieser kleinen Weiterbildung in Sachen Spam und Phishing zuerst hinter die Kulissen der Betrüger, um ihre Methoden… Phishing-Trend Schweizerdeutsch weiterlesen
Persönliche Daten für Facebook-KI2025-05-19
Meta – Zuckerbergs Imperium hinter Facebook, WhatsApp, Instagram, Threads etc. – hat angekündigt, ab 27. Mai die persönlichen Daten seiner Nutzer:innen in Europa für KI-Training zu verwenden. Dazu gehören alle Beiträge (auch die zutiefst persönlichen),… Persönliche Daten für Facebook-KI weiterlesen
In den Klauen der Cloud2025-05-01
Bert Hubert, niederländischer Internetpionier und Hansdampf-in-allen-Gassen, hat einen grossartigen Artikel geschrieben, in dem er die Verwirrung rund um «in die Cloud gehen» auflöst. Ich habe ihn für DNIP auf Deutsch übersetzt.
Können KI-Systeme Artikel klauen?2024-12-05
Vor ein paar Wochen hat die NZZ einen Artikel veröffentlicht, in dem Petra Gössi das NZZ-Team erschreckte, weil via KI-Chatbot angeblich «beinahe der gesamte Inhalt des Artikels […] in der Antwort von Perplexity zu lesen»… Können KI-Systeme Artikel klauen? weiterlesen
Was Prozessoren und die Frequenzwand mit der Cloud zu tun haben2024-10-12
Seit bald 20 Jahren werden die CPU-Kerne für Computer nicht mehr schneller. Trotzdem werden neue Prozessoren verkauft. Und der Trend geht in die Cloud. Wie das zusammenhängt.
Facebook: Moderation für Geschäftsinteressenmaximierung, nicht für das Soziale im Netz2024-10-10
Hatte mich nach wahrscheinlich mehr als einem Jahr mal wieder bei Facebook eingeloggt. Das erste, was mir entgegenkam: Offensichtlicher Spam, der mittels falscher Botschaften auf Klicks abzielte. Aber beim Versuch, einen wahrheitsgemässen Bericht über ein… Facebook: Moderation für Geschäftsinteressenmaximierung, nicht für das Soziale im Netz weiterlesen
Was verraten KI-Chatbots?2024-09-27
«Täderlät» die KI? Vor ein paar Wochen fragte mich jemand besorgt, ob man denn gar nichts in Chatbot-Fenster eingeben könne, was man nicht auch öffentlich teilen würde. Während der Erklärung fiel mir auf, dass ganz… Was verraten KI-Chatbots? weiterlesen
Sicherheit versteckt sich gerne2024-09-13
Wieso sieht man einer Firma nicht von aussen an, wie gut ihre IT-Sicherheit ist? Einige Überlegungen aus Erfahrung.
Chatkontrolle: Schöner als Fiktion2024-09-12
Wir kennen «1984» nicht, weil es eine technische, objektive Abhandlung war. Wir erinnern uns, weil es eine packende, düstere, verstörende Erzählung ist.
Chatkontrolle, die Schweiz und unsere Freiheit2024-09-10
In der EU wird seit vergangenem Mittwoch wieder über die sogenannte «Chatkontrolle» verhandelt. Worum geht es da? Und welche Auswirkungen hat das auf die Schweiz?
Cloudspeicher sind nicht (immer) für die Ewigkeit2024-09-09
Wieder streicht ein Cloudspeicher seine Segel. Was wir daraus lernen sollten.
IT sind nicht nur Kosten2024-08-06
Oft wird die ganze IT-Abteilung aus Sicht der Geschäftsführung nur als Kostenfaktor angesehen. Wer das so sieht, macht es sich zu einfach.
CrowdStrike, die Dritte2024-08-05
In den 1½ Wochen seit Publikation der ersten beiden Teile hat sich einiges getan. Microsoft liess es sich nicht nehmen, die Schuld am Vorfall der EU in die Schuhe zu schieben, wie das Apple mit… CrowdStrike, die Dritte weiterlesen
Unnützes Wissen zu CrowdStrike2024-08-04
Ich habe die letzten Wochen viele Informationen zu CrowdStrike zusammengetragen und bei DNIP veröffentlicht. Hier ein paar Punkte, die bei DNIP nicht gepasst hätten. Einiges davon ist sinnvolles Hintergrundwissen, einiges taugt eher als Anekdote für… Unnützes Wissen zu CrowdStrike weiterlesen
Marcel pendelt zwischem Spam und Scam2024-08-02
Beim Pendeln hatte ich viel Zeit. Auch um Mails aus dem Spamordner zu lesen. Hier ein paar Dinge, die man daraus lernen kann. Um sich und sein Umfeld zu schützen.
Die NZZ liefert Daten an Microsoft — und Nein sagen ist nicht2024-08-01
Die andauernden CookieBanner nerven. Aber noch viel mehr nervt es, wenn in der Liste von „800 sorgfältig ausgewählten Werbepartnern (oder so)“ einige Schalter fix auf „diese Werbe-/Datenmarketingplattform darf immer Cookies setzen, so sehr ihr euch… Die NZZ liefert Daten an Microsoft — und Nein sagen ist nicht weiterlesen
«CrowdStrike»: Ausfälle verstehen und vermeiden2024-07-23
Am Freitag standen in weiten Teilen der Welt Millionen von Windows-Rechnern still: Bancomaten, Lebensmittelgeschäfte, Flughäfen, Spitäler uvam. waren lahmgelegt. Die Schweiz blieb weitgehend nur verschont, weil sie noch schlief. Ich schaue hinter die Kulissen und… «CrowdStrike»: Ausfälle verstehen und vermeiden weiterlesen
Auch du, mein Sohn Firefox2024-07-17
Ich habe bisher immer Firefox empfohlen, weil seine Standardeinstellungen aus Sicht der Privatsphäre sehr gut waren, im Vergleich zu den anderen „grossen Browsern“. Das hat sich geändert. Leider. Was wir jetzt tun sollten.
«Voting Village»-Transkript2024-06-14
Letzten August fand an der Hackerkonferenz DEFCON eine Veranstaltung der Election Integrity Foundation statt. Sie fasste mit einem hochkarätigen Podium wesentliche Kritikpunkte rund um eVoting zusammen.