> For the complete documentation index, see [llms.txt](https://docs.stoik.io/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://docs.stoik.io/cyber-best-practices/de/harten-sie-ihre-umgebung-ab/readme.md).

# Sichere Backups implementieren

{% hint style="info" %}
Alle Informationen und Beispiele in diesem Artikel sind Umsetzungsempfehlungen für sichere Backups.

Nichts hier ist vertraglich bindend.
{% endhint %}

Backups sind Ihre letzte Verteidigungslinie bei Ransomware- und destruktiven Angriffen.

Der Wiederherstellungserfolg hängt von der Backup-Qualität, der Häufigkeit, der Aufbewahrungsdauer und der Fähigkeit ab, schnell wiederherzustellen.

### Bedingungen für die Stoïk Cyber-Versicherung

Die Stoïk Cyber-Versicherung legt bei der Risikoprüfung Anforderungen an Backups fest.

Mindestanforderung: **mindestens ein wöchentliches Backup** muss sein:

* **offline**, oder
* auf **unveränderlicher Speicher**

Mit einer **Mindestaufbewahrungsdauer von 2 Wochen**.

Wenn offline oder unveränderbar nicht möglich ist, ist eine weniger empfohlene Option ein **sicheres Online-Backup**.

Das Backup-System bleibt verbunden, muss aber **alle** Anforderungen unten erfüllen:

* Das Backup-System ist **außerhalb der AD-Domäne**
* Das Backup-System ist **segmentiert** (Firewall + Allowlist-Zugriff)
* Das Löschen/Ändern von Backups ist nur über eine **durch MFA geschützte Webkonsole**

Ziel: Selbst mit einem kompromittierten Domain-Admin oder Cloud-Admin kann ein Angreifer Backups immer noch nicht löschen.

### Backup-Typen (und was zählt)

| Typ                                              | Typische Beispiele                                                         | Warum es wichtig ist                                                                 | Erfüllt die Anforderung?                                                    |
| ------------------------------------------------ | -------------------------------------------------------------------------- | ------------------------------------------------------------------------------------ | --------------------------------------------------------------------------- |
| Offline-Backups                                  | Externe Laufwerke, USB-Medien, offline NAS, Magnetbänder (LTO/DLT)         | Höchster Schutz. Über das Netzwerk nicht erreichbar.                                 | <i class="fa-check" style="color:$success;">:check:</i>                     |
| Unveränderliche Online-Backups (Cloud)           | AWS S3 Object Lock, Azure unveränderliche Blobs (WORM), Wasabi Object Lock | Online erreichbar, aber nicht änder- oder löschbar.                                  | <i class="fa-check" style="color:$success;">:check:</i>                     |
| Online-Backups (On-Premises / Rechenzentrum)     | Dedizierter Backup-Server mit eingeschränktem Zugriff                      | Kann akzeptabel sein **nur wenn** der Zugriff stark isoliert ist.                    | <i class="fa-check" style="color:$success;">:check:</i> (nur wenn gehärtet) |
| Nicht-unveränderlicher Online-„Speicher“ (Cloud) | Dropbox, Google Drive, OneDrive ohne WORM                                  | Einfach zu verwenden, bei kompromittierten Konten ebenso leicht zu löschen.          | <i class="fa-xmark" style="color:$danger;">:xmark:</i>                      |
| Lokale Backups                                   | Lokale Datenträger, Dateikopie auf demselben Server, RAID-Spiegelung       | Wird zusammen mit dem Host verschlüsselt oder gelöscht. Kein Wiederherstellungsplan. | <i class="fa-xmark" style="color:$danger;">:xmark:</i>                      |

**„Sicheres Online-Backup“** bedeutet „widerstandsfähig gegen ein typisches Ransomware-Vorgehen, das versucht, alle Backups zu löschen“.

### Offline-Backup-Optionen

Verwenden Sie Rotation. Bewahren Sie **mindestens eine** aktuelle Kopie getrennt auf.

| Option                         | So setzen Sie es sicher um                                                                                                    |
| ------------------------------ | ----------------------------------------------------------------------------------------------------------------------------- |
| Magnetbänder (LTO/DLT)         | Rotieren Sie mindestens 2 Bänder. Bewahren Sie stets 1 Band extern/offline auf.                                               |
| Offline-NAS                    | Nur für das Backup-Fenster verbinden. Nach dem Job trennen. Wenn möglich mehrere Geräte rotieren.                             |
| Externe Laufwerke / USB-Medien | Nur für das Backup-Fenster verbinden. Nach dem Job trennen. An einem verschlossenen Ort aufbewahren. Mehrere Geräte rotieren. |

### Unveränderliche Backup-Optionen

#### Cloud-gehostete unveränderliche Backups

| Anbieter                    | Unveränderlichkeitsfunktion                                                                                | Leitfaden / Doku                                                                                                                                  |
| --------------------------- | ---------------------------------------------------------------------------------------------------------- | ------------------------------------------------------------------------------------------------------------------------------------------------- |
| AWS                         | [S3 Object Lock](https://aws.amazon.com/s3/features/object-lock/) (und/oder Glacier)                       | [Unveränderliche S3-Backups](broken://pages/c4e11984722536ecc5de1206d94957b64832a256)                                                             |
| Azure                       | [Unveränderliche Blobs (WORM)](https://learn.microsoft.com/azure/storage/blobs/immutable-storage-overview) | [Cloud-Backup-Lösungen](broken://pages/e3d413304e4b1ee787ee69d2582d834e52688c9d)                                                                  |
| Wasabi                      | [S3 Object Lock](https://wasabi.com/cloud-object-storage/s3-object-lock)                                   | [Sichern Sie Ihre Daten mit Wasabi](broken://pages/f25605d214ff6fa79b167161a0bffe2ffb7cf888)                                                      |
| Acronis Cyber Protect Cloud | Compliance-Modus (prüfen Sie Ihren Tarif / Ihre Version)                                                   | [Acronis-Doku 1](https://kb.acronis.com/content/69814), [Acronis-Doku 2](https://kb.acronis.com/content/71557)                                    |
| Scaleway                    | Object Storage (Unterstützung für Object Lock prüfen)                                                      | [Scaleway Object Storage-Konzepte](https://www.scaleway.com/en/docs/storage/object/concepts/)                                                     |
| OVHcloud                    | Object Lock für S3 Object Storage                                                                          | [OVHcloud-Leitfaden](https://help.ovhcloud.com/csm/en-public-cloud-storage-s3-managing-object-lock?id=kb_article_view\&sysparm_article=KB0047399) |
| Fast LTA                    | „Zero Loss Storage“                                                                                        | [Fast LTA-Überblick](https://www.fast-lta.de/en/topic/zero-loss)                                                                                  |

#### Lokal gehostete unveränderliche Backups

| Anbieter / Produkt              | Voraussetzungen                                      | Leitfaden / Doku                                                                                                                                                                                                                                 |
| ------------------------------- | ---------------------------------------------------- | ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------ |
| Veeam Linux Hardened Repository | Veeam >= 11. Erfordert Härtung des Repository-Hosts. | [Veeam-Referenz](https://cloud.ibm.com/docs/vmwaresolutions?topic=vmwaresolutions-veeam-cr-sa-lhr)                                                                                                                                               |
| Synology                        | DSM >= 7.2. Erfordert unterstützte Modelle.          | [Unterstützte Modelle](https://kb.synology.com/DSM/tutorial/which_synology_nas_models_support_WriteOnce_and_secure_snapshots), [Dokumentation zu unveränderlichen Snapshots](https://kb.synology.com/DSM/tutorial/what_is_an_immutable_snapshot) |
| Dell Data Domain                | Verwenden Sie den Compliance-Modus.                  | [Dell-Whitepaper](https://education.dell.com/content/dam/dell-emc/documents/en-us/2020KS_Steen_Immutable_Data_Protection_for_Any_Application.pdf)                                                                                                |

### Beispiele für „ungesicherte“ Backups

Dies sind häufige Muster, die scheitern, wenn Angreifer Admin-Konten übernehmen.

| Beispiel                                                       | Warum es scheitert                                                                                            |
| -------------------------------------------------------------- | ------------------------------------------------------------------------------------------------------------- |
| Dropbox / Google Drive / OneDrive / SharePoint (ohne WORM)     | Ein kompromittierter Admin kann Daten löschen und auch Papierkörbe / Aufbewahrungsrichtlinien leeren.         |
| „Unveränderliches“ NAS nur softwarebasiert umgesetzt           | Wenn das NAS-OS kompromittiert ist, kann der Angreifer trotzdem Volumes zerstören.                            |
| Ausgelagertes Rechenzentrum mit dauerhafter Netzwerkverbindung | Funktional ähnlich wie ein Online-Dateiserver. Ransomware kann über die Verbindung verschlüsseln/löschen.     |
| Nicht-unveränderlicher Cloud-Speicher                          | Wenn der Cloud-Admin kompromittiert ist, kann der Angreifer Buckets, Backups und Aufbewahrungsregeln löschen. |

### Betriebliche Kontrollen (empfohlen)

Auch bei offline/unveränderlichem Speicher entscheiden oft betriebliche Kontrollen über den Wiederherstellungserfolg:

* **Wiederherstellungen testen** nach einem festen Zeitplan (bei kritischen Systemen mindestens monatlich).
* Verwenden Sie **getrennte Backup-Admin-Konten**. Nicht aus AD synchronisieren.
* Durchsetzen **MFA** auf Backup-Konsolen und Cloud-Konten.
* Bewahren Sie **Backup-Zugangsdaten** außerhalb von Benutzer-Endpunkten auf (keine gespeicherten Passwörter in Skripten).
* Aktivieren **Alarmierung** bei Backup-Job-Fehlern, Aufbewahrungsänderungen und Löschversuchen.
* Dokumentieren Sie das Restore-Runbook und bewahren Sie eine Kopie auf **offline**.


---

# Agent Instructions
This documentation is published with GitBook. GitBook is the documentation platform designed so that both humans and AI agents can read, navigate, and reason over technical content effectively. Learn more at gitbook.com.

## Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter, and the optional `goal` query parameter:

```
GET https://docs.stoik.io/cyber-best-practices/de/harten-sie-ihre-umgebung-ab/readme.md?ask=<question>&goal=<endgoal>
```

`ask` is the immediate question: it should be specific, self-contained, and written in natural language.
`goal` is optional and describes the broader end goal you are ultimately trying to accomplish on behalf of the user. GitBook uses it to tailor the answer towards what is most useful for that goal.

The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.
