> For the complete documentation index, see [llms.txt](https://docs.stoik.io/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://docs.stoik.io/cyber-best-practices/cyber-best-practices-de/harten-sie-ihre-umgebung-ab/readme.md).
# Sichere Backups implementieren
{% hint style="info" %}
Alle Informationen und Beispiele in diesem Artikel sind Umsetzungsempfehlungen für sichere Backups.
Nichts hiervon ist vertraglich bindend.
{% endhint %}
Backups sind Ihre letzte Verteidigungslinie bei Ransomware- und destruktiven Angriffen.
Der Wiederherstellungserfolg hängt von der Backup-Qualität, der Häufigkeit, der Aufbewahrungsdauer und der Fähigkeit ab, schnell wiederherzustellen.
### Bedingungen für die Stoïk-Cyberversicherung
Die Stoïk-Cyberversicherung legt bei der Risikoprüfung Backup-Anforderungen fest.
Mindestanforderung: **mindestens ein wöchentliches Backup** muss sein:
* **offline**, oder
* auf **unveränderlicher Speicher**
Mit einer **Mindestaufbewahrungsdauer von 2 Wochen**.
Wenn offline oder unveränderlich nicht möglich ist, ist eine weniger empfohlene Option ein **sicheres Online-Backup**.
Das Backup-System bleibt verbunden, muss aber **alle** unten genannten Anforderungen erfüllen:
* Das Backup-System ist **außerhalb der AD-Domäne**
* Das Backup-System ist **segmentiert** (Firewall + Zugriff per Zulassungsliste)
* Das Löschen/Ändern von Backups ist nur über eine **durch MFA geschützte Webkonsole**
Ziel: Selbst mit einem kompromittierten Domänen-Admin oder Cloud-Admin kann ein Angreifer Backups dennoch nicht löschen.
### Backup-Typen (und was zählt)
| Typ | Typische Beispiele | Warum das wichtig ist | Erfüllt die Anforderung? |
| ------------------------------------------------ | -------------------------------------------------------------------------- | ------------------------------------------------------------------------------------ | --------------------------------------------------------------------------- |
| Offline-Backups | Externe Laufwerke, USB-Medien, offline NAS, Magnetbänder (LTO/DLT) | Höchster Schutz. Über das Netzwerk nicht erreichbar. | :check: |
| Unveränderliche Online-Backups (Cloud) | AWS S3 Object Lock, unveränderliche Azure-Blobs (WORM), Wasabi Object Lock | Online erreichbar, aber nicht änder- oder löschbar. | :check: |
| Online-Backups (On-Prem / Rechenzentrum) | Dedizierter Backup-Server mit eingeschränktem Zugriff | Kann akzeptabel sein **nur wenn** der Zugriff stark isoliert ist. | :check: (nur wenn gehärtet) |
| Nicht unveränderlicher Online-„Speicher“ (Cloud) | Dropbox, Google Drive, OneDrive ohne WORM | Einfach zu nutzen, leicht zu löschen, wenn Konten kompromittiert sind. | :xmark: |
| Lokale Backups | Lokale Datenträger, Dateikopie auf demselben Server, RAID-Spiegelung | Wird zusammen mit dem Host verschlüsselt oder gelöscht. Kein Wiederherstellungsplan. | :xmark: |
**„Sicheres Online-Backup“** bedeutet „resistent gegen ein typisches Ransomware-Vorgehen, das versucht, alle Backups zu löschen“.
### Offline-Backup-Optionen
Verwenden Sie Rotation. Halten Sie **mindestens eine** aktuelle Kopie getrennt.
| Option | So setzen Sie es sicher um |
| ------------------------------ | ----------------------------------------------------------------------------------------------------------------------------- |
| Magnetbänder (LTO/DLT) | Rotieren Sie mindestens 2 Bänder. Bewahren Sie jederzeit 1 Band außerhalb des Standorts/offline auf. |
| Offline-NAS | Nur für das Backup-Fenster verbinden. Nach dem Job trennen. Wenn möglich mehrere Geräte rotieren. |
| Externe Laufwerke / USB-Medien | Nur für das Backup-Fenster verbinden. Nach dem Job trennen. An einem verschlossenen Ort aufbewahren. Mehrere Geräte rotieren. |
### Unveränderliche Backup-Optionen
#### Cloud-gehostete unveränderliche Backups
| Anbieter | Unveränderlichkeitsfunktion | Anleitung / Doku |
| --------------------------- | ---------------------------------------------------------------------------------------------------------- | ------------------------------------------------------------------------------------------------------------------------------------------------- |
| AWS | [S3 Object Lock](https://aws.amazon.com/s3/features/object-lock/) (und/oder Glacier) | [Unveränderliche S3-Backups](broken://pages/c4e11984722536ecc5de1206d94957b64832a256) |
| Azure | [Unveränderliche Blobs (WORM)](https://learn.microsoft.com/azure/storage/blobs/immutable-storage-overview) | [Cloud-Backup-Lösungen](broken://pages/e3d413304e4b1ee787ee69d2582d834e52688c9d) |
| Wasabi | [S3 Object Lock](https://wasabi.com/cloud-object-storage/s3-object-lock) | [Sichern Sie Ihre Daten mit Wasabi](broken://pages/f25605d214ff6fa79b167161a0bffe2ffb7cf888) |
| Acronis Cyber Protect Cloud | Compliance-Modus (prüfen Sie Ihren Plan/Ihre Version) | [Acronis-Dokumentation 1](https://kb.acronis.com/content/69814), [Acronis-Dokumentation 2](https://kb.acronis.com/content/71557) |
| Scaleway | Object Storage (Unterstützung für Object Lock prüfen) | [Scaleway-Objektspeicher-Konzepte](https://www.scaleway.com/en/docs/storage/object/concepts/) |
| OVHcloud | Object Lock für S3 Object Storage | [OVHcloud-Anleitung](https://help.ovhcloud.com/csm/en-public-cloud-storage-s3-managing-object-lock?id=kb_article_view\&sysparm_article=KB0047399) |
| Fast LTA | „Zero Loss Storage“ | [Fast-LTA-Überblick](https://www.fast-lta.de/en/topic/zero-loss) |
#### Lokal gehostete unveränderliche Backups
| Anbieter / Produkt | Voraussetzungen | Anleitung / Doku |
| ------------------------------- | ---------------------------------------------------- | --------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- |
| Veeam Linux Hardened Repository | Veeam >= 11. Erfordert Härtung des Repository-Hosts. | [Veeam-Referenz](https://cloud.ibm.com/docs/vmwaresolutions?topic=vmwaresolutions-veeam-cr-sa-lhr) |
| Synology | DSM >= 7.2. Erfordert unterstützte Modelle. | [Unterstützte Modelle](https://kb.synology.com/DSM/tutorial/which_synology_nas_models_support_WriteOnce_and_secure_snapshots), [Doku zu unveränderlichen Snapshots](https://kb.synology.com/DSM/tutorial/what_is_an_immutable_snapshot) |
| Dell Data Domain | Verwenden Sie den Compliance-Modus. | [Dell-Whitepaper](https://education.dell.com/content/dam/dell-emc/documents/en-us/2020KS_Steen_Immutable_Data_Protection_for_Any_Application.pdf) |
### Beispiele für „ungesicherte“ Backups
Dies sind häufige Muster, die versagen, wenn Angreifer Admin-Konten übernehmen.
| Beispiel | Warum es versagt |
| -------------------------------------------------------------- | ------------------------------------------------------------------------------------------------------------- |
| Dropbox / Google Drive / OneDrive / SharePoint (kein WORM) | Ein kompromittierter Admin kann Daten löschen und außerdem Papierkörbe / Aufbewahrungsfristen leeren. |
| „Unveränderliches“ NAS, nur softwareseitig implementiert | Wenn das NAS-Betriebssystem kompromittiert ist, kann der Angreifer die Volumes dennoch zerstören. |
| Ausgelagertes Rechenzentrum mit permanenter Netzwerkverbindung | Funktional ähnlich einem Online-Dateiserver. Ransomware kann über die Verbindung verschlüsseln/löschen. |
| Nicht unveränderlicher Cloud-Speicher | Wenn der Cloud-Admin kompromittiert ist, kann der Angreifer Buckets, Backups und Aufbewahrungsregeln löschen. |
### Betriebliche Kontrollen (empfohlen)
Selbst bei offline/unveränderlichem Speicher entscheiden oft die betrieblichen Kontrollen über den Wiederherstellungserfolg:
* **Wiederherstellungen testen** nach Zeitplan (mindestens monatlich für kritische Systeme).
* Verwenden Sie **separate Backup-Admin-Konten**. Nicht aus AD synchronisieren.
* Erzwingen Sie **MFA** auf Backup-Konsolen und Cloud-Konten.
* Bewahren Sie **Backup-Zugangsdaten** außerhalb von Benutzerendpunkten auf (keine gespeicherten Passwörter in Skripten).
* Aktivieren **Benachrichtigungen** bei Fehlern von Backup-Jobs, Änderungen an Aufbewahrungsfristen und Löschversuchen.
* Dokumentieren Sie das Restore-Runbook und bewahren Sie eine Kopie auf **offline**.
---
# Agent Instructions
This documentation is published with GitBook. GitBook is the documentation platform designed so that both humans and AI agents can read, navigate, and reason over technical content effectively. Learn more at gitbook.com.
## Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.
Perform an HTTP GET request on the current page URL with the `ask` query parameter:
```
GET https://docs.stoik.io/cyber-best-practices/cyber-best-practices-de/harten-sie-ihre-umgebung-ab/readme.md?ask=
```
The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.
Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.