> For the complete documentation index, see [llms.txt](https://docs.stoik.io/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://docs.stoik.io/cyber-best-practices/de/harten-sie-ihre-umgebung-ab/readme/back-up-your-data-with-wasabi.md).

# Sichern Sie Ihre Daten mit Wasabi

Dieser Leitfaden zeigt, wie man Veeam-Backups in Wasabi (S3-kompatiblen Objektspeicher) kopiert.

Zielergebnis: eine externe Kopie auf unveränderlichem Speicher (Object Lock).

Halten Sie die Aufbewahrungsdauer an Ihre Richtlinie angepasst. Wenn Sie der Stoïk-Basisvorgabe folgen, behalten Sie **mindestens 2 Wochen** unveränderliche Backups. Siehe [Sichere Backups implementieren](file:///).

### Voraussetzungen

* Ein Wasabi-Konto mit Zugriff auf die Konsole.
* Veeam Backup & Replication mit Unterstützung für Objektspeicher.
* Ausgehender Zugriff vom Veeam-Server (oder Gateway) zu Ihrem Wasabi-Endpunkt.
* Ein Ort zum Speichern des Wasabi-Zugriffsschlüssels und des geheimen Schlüssels (Passwortmanager).

{% hint style="info" %}
Verwenden Sie nach Möglichkeit das Prinzip der geringsten Berechtigung. Beginnen Sie mit weit gefassten Berechtigungen, um die Konnektivität zu validieren, und beschränken Sie dann das Dienstkonto auf den einzelnen Bucket und das von Veeam verwendete Präfix.
{% endhint %}

### Veeam-Dienstkonto

Zunächst ist es wichtig, ein dediziertes Wasabi-Dienstkonto zu erstellen. Dieses Konto hilft, die Daten zu schützen und die Zugriffsberechtigungen auf Wasabi-Ressourcen besser zu verwalten.

Dienstkonten sind speziell für die Verwendung durch Anwendungen oder Dienste von Drittanbietern vorgesehen und ermöglichen es, die Berechtigungen auf genau das zu beschränken, was für den vorgesehenen Einsatzzweck erforderlich ist, wodurch Sicherheitsrisiken reduziert werden.

Dazu rufen Sie den Abschnitt „Users“ aus der [Wasabi-Konsole](https://console.wasabisys.com/), dann die Registerkarte „Users“ (direkt erreichbar über den [folgenden Link](https://console.wasabisys.com/#/users)) wie in der Abbildung unten gezeigt:

<figure><img src="/files/f2c7ca51dbe287f1a5a488f1e34190e960496482" alt=""><figcaption></figcaption></figure>

Klicken Sie einfach auf die Schaltfläche „Create user“, um mit dem Erstellen des Dienstkontos zu beginnen.

Im ersten Abschnitt müssen Sie den Namen des Dienstkontos definieren, zum Beispiel „Veeam\_Service\_Account“.

<figure><img src="/files/72842a3a1da17dc03472188f30ce9eaaed30df50" alt=""><figcaption></figcaption></figure>

Da das Dienstkonto nur mit Veeam verwendet werden soll, ist es außerdem wichtig, vor dem Weitergehen zum nächsten Abschnitt das Kontrollkästchen „Programmatic (create API key)“ zu aktivieren.

<figure><img src="/files/5b6a01b6e556dd225c0a163b9fbabf1a88b233f5" alt=""><figcaption></figcaption></figure>

In diesem Abschnitt ist es nicht erforderlich, eine Gruppe für das Dienstkonto zu definieren; Sie können direkt mit dem nächsten Schritt fortfahren.

<figure><img src="/files/ea4c1d47ad7ce9914aa31640307a83fcb855549e" alt=""><figcaption></figcaption></figure>

Dieser Abschnitt dient dazu, dem Dienstkonto Zugriffsrichtlinien zuzuweisen. Für das Dienstkonto wird nur die Richtlinie „AmazonS3FullAccess“ benötigt. Geben Sie sie einfach in das verfügbare Feld ein und wählen Sie sie aus, bevor Sie mit dem nächsten Abschnitt fortfahren.

<figure><img src="/files/76930e725cd4e36f02d0bb249b7726531330e394" alt=""><figcaption></figcaption></figure>

{% hint style="warning" %}
„AmazonS3FullAccess“ ist einfach, aber weit gefasst.

Sobald Ihr Bucket vorhanden ist, bevorzugen Sie eine bucketbezogene Richtlinie (Beispiel unten) und entfernen Sie den Vollzugriff:

```json
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "ListBucket",
      "Effect": "Allow",
      "Action": ["s3:ListBucket", "s3:GetBucketLocation"],
      "Resource": "arn:aws:s3:::YOUR-BUCKET",
      "Condition": {"StringLike": {"s3:prefix": ["veeam/*"]}}
    },
    {
      "Sid": "BucketObjects",
      "Effect": "Allow",
      "Action": [
        "s3:GetObject", "s3:PutObject", "s3:DeleteObject",
        "s3:AbortMultipartUpload", "s3:ListMultipartUploadParts"
      ],
      "Resource": "arn:aws:s3:::YOUR-BUCKET/veeam/*"
    },
    {
      "Sid": "ObjectLock",
      "Effect": "Allow",
      "Action": [
        "s3:GetObjectRetention", "s3:PutObjectRetention",
        "s3:GetObjectLegalHold", "s3:PutObjectLegalHold"
      ],
      "Resource": "arn:aws:s3:::YOUR-BUCKET/veeam/*"
    }
  ]
}
```

Passen Sie das `veeam/` Präfix an, sodass es zu Ihrem Repository-Ordner passt.
{% endhint %}

Im letzten Abschnitt können Sie alle Informationen zum Dienstkonto überprüfen, bevor Sie die Erstellung durch Klicken auf „Create User“ bestätigen.

<figure><img src="/files/69d9218f6e1aa0765269f5f237b2da9142ae5e06" alt=""><figcaption></figcaption></figure>

Ein abschließendes Fenster zeigt dann den Zugriffsschlüssel und den geheimen Schlüssel des Dienstkontos an.

Sie können auf den Link „Show“ klicken, um den geheimen Schlüssel anzuzeigen, oder auf die Schaltfläche „Download CSV“, um sowohl den Zugriffsschlüssel als auch den zugehörigen geheimen Schlüssel herunterzuladen.

Dieses Schlüsselpaar muss sicher gespeichert werden, beispielsweise in einem Passwortmanager, da es später verwendet wird (der geheime Zugriffsschlüssel wird dann nicht mehr sichtbar sein).

### Erstellen eines Buckets

Ein Bucket ist ein Objektspeicher-Container, mit dem Sie Daten zuverlässig und sicher speichern, abrufen und verwalten können. Das Erstellen eines auf die Anforderungen des Unternehmens zugeschnittenen Buckets ermöglicht eine effiziente Datenverwaltung und stellt die Ausfallsicherheit sowie Haltbarkeit der gespeicherten Daten sicher. Darüber hinaus bietet ein korrekt konfigurierter Wasabi-Bucket erweiterte Funktionen wie Versionierung sowie die Verwaltung von Zugriffen und Berechtigungen.

Um mit dem Erstellen eines Wasabi-Buckets zu beginnen, rufen Sie die [Wasabi-Konsole](https://console.wasabisys.com/), und öffnen Sie dann den Abschnitt „Buckets“, wie in der folgenden Abbildung gezeigt.

<figure><img src="/files/1684d17b533ef530aed2c3887f8cb601449be621" alt=""><figcaption></figcaption></figure>

Klicken Sie dann auf die Schaltfläche „Create Bucket“, um mit dem Erstellen eines Buckets zu beginnen.

<figure><img src="/files/55a1d03ec8a4f3a6d8be95645200fc312f3b8c9d" alt=""><figcaption></figcaption></figure>

Die erste anzugebende Information ist der Bucket-Name, der eindeutig sein muss, zum Beispiel `company-backup-veeam`.

Wählen Sie dann die Region, die Ihrer Veeam-Infrastruktur am nächsten liegt. Verwenden Sie den in der Konsole angezeigten Endpunkt (zum Beispiel `s3.eu-west-2.wasabisys.com`).

<figure><img src="/files/1ead8fba48f6b271c58e407967df70f70c3daec2" alt=""><figcaption></figcaption></figure>

Aktivieren Sie anschließend die Bucket-Versionierung und Object Lock, indem Sie die entsprechenden Kontrollkästchen wie oben gezeigt ankreuzen, um zukünftige Backups unveränderlich zu machen. Sie können außerdem das Ereignisprotokolling aktivieren, um alle Aktionen im Bucket nachzuverfolgen, indem Sie das Kontrollkästchen „Bucket Logging“ aktivieren.

<figure><img src="/files/1e9143071753adf0abecbbe4e5871cbbfdff5fba" alt=""><figcaption></figcaption></figure>

{% hint style="warning" %}
Wenn Sie unveränderliche Backups benötigen, aktivieren Sie **Object Lock beim Erstellen des Buckets**. Behandeln Sie dies als irreversibel.
{% endhint %}

Im letzten Abschnitt können Sie alle Bucket-Informationen überprüfen, bevor Sie die Erstellung durch Klicken auf „Create Bucket“ bestätigen.

Wenn der Bucket nicht sofort in Veeam angezeigt wird, warten Sie einige Minuten und versuchen Sie es erneut.

### Backups in einen Wasabi-Bucket über Veeam

Sobald das Dienstkonto und der Wasabi-Bucket erstellt wurden, können Sie einen neuen Veeam-Backup-Job konfigurieren, um die Sicherung von Daten und Systemen des Informationssystems in die Wasabi-Cloud zu automatisieren.

Bevor Sie diesen Job erstellen, ist es unerlässlich, in der Veeam-Verwaltungskonsole ein Wasabi-Backup-Repository zu erstellen.

### Erstellen eines Backup-Repositories

Über das Veeam-Tool muss ein mit dem Wasabi-Bucket verknüpftes Backup-Repository erstellt werden.

Wählen Sie in der Veeam-Oberfläche „Backup Infrastructure“ die Option „Backup Repositories“ und klicken Sie auf „Add Repository“.

<figure><img src="/files/ac58bc6cd535727fc220b664492707cd73b7ad82" alt=""><figcaption></figcaption></figure>

Wählen Sie dann den Repository-Typ „Object Storage“.

<figure><img src="/files/4b7b43180e51bef53bbfd3c15f8c959039e2830a" alt=""><figcaption></figcaption></figure>

Als Cloud-Repository-Typ ist „Wasabi Cloud Storage“ auszuwählen.

![](/files/8c9a046cf6f201a9105306ccc8d6b27784a61cb9)

Ein neues Fenster öffnet sich und markiert den Beginn der Konfiguration des Wasabi-Backup-Repositories.

![](/files/af65cc1685e0f3ff855c43e2a0eb4b7f8b115ea4)

Nachdem Sie Name und Beschreibung definiert haben, klicken Sie auf „Next“, um fortzufahren.

<figure><img src="/files/b371a27db9da91ff79b1e4f93fcbca2567132061" alt=""><figcaption></figcaption></figure>

Die auszuwählende Region muss mit dem zuvor erstellten Bucket übereinstimmen (siehe oben), nämlich „eu-west-2“.

Anschließend müssen Sie die Anmeldedaten des Wasabi-Dienstkontos hinzufügen. Klicken Sie auf „Add…“ und geben Sie dann die zuvor abgerufenen Zugriffs- und geheimen Schlüssel ein (siehe oben), wie in der Abbildung unten gezeigt.

<figure><img src="/files/9eee9f73f409cd34c4d288ea23b83a21614ad7a3" alt=""><figcaption></figcaption></figure>

Falls von den gesicherten Maschinen aus ein Proxy erforderlich ist, kann dieser durch Klicken auf „Choose“ konfiguriert werden.

Sobald diese Schritte abgeschlossen sind, klicken Sie auf „Next“, um mit der Konfiguration des Backup-Repositories fortzufahren.

<figure><img src="/files/af3e6734665ac74c4b4ece6928180bd48f0fe568" alt=""><figcaption></figcaption></figure>

In diesem Schritt wird der Wasabi-Bucket konfiguriert. Klicken Sie auf die Schaltflächen „Browse“, um den zuvor erstellten Wasabi-Bucket und einen Ordner innerhalb des Buckets auszuwählen (falls erforderlich, erstellen Sie einen).

<figure><img src="/files/51f0428a85e6540a6b1bfa5ef61ff889cb0367bc" alt=""><figcaption></figcaption></figure>

Legen Sie schließlich die Optionen fest, die zu Ihrer Kapazität und Aufbewahrungsrichtlinie passen:

* Optional: Begrenzen Sie den Verbrauch des Objektspeichers auf einen Wert, der die Kosten deckelt.
* Machen Sie aktuelle Backups unveränderlich für: **14 Tage** (oder mehr, je nach Ihrer Richtlinie).

Sobald der Wasabi-Bucket konfiguriert ist, klicken Sie auf „Next“, um fortzufahren.

<figure><img src="/files/ab1059a7a657a6571f9ca1de96827f9eb6ce61d3" alt=""><figcaption></figcaption></figure>

In diesem Schritt müssen Sie den Mount-Server und seinen Schreibcache-Ordner angeben, die während der Wiederherstellung verwendet werden; verwenden Sie dafür jeweils die Schaltflächen „Add New…“ und „Browse…“. Eine Helper-Appliance ist bereits konfiguriert; sie entspricht dem Veeam-Backup-Server. Bei Bedarf kann sie durch Klicken auf „Configure“ geändert werden.

Bei der Verwendung von VMware wird empfohlen, vor dem nächsten Schritt das Kontrollkästchen „Enable vPower NFS service on the mount server“ zu aktivieren.

<figure><img src="https://files.gitbook.com/v0/b/gitbook-x-prod.appspot.com/o/spaces%2Fo2YU3UQie4hiqT2YWxRn%2Fuploads%2Ffqm9HonvfoE39Dzymqd%2Fimage.png?alt=media&#x26;token=7580af8c-c88c-475e-a758-25fbe8911742" alt=""><figcaption></figcaption></figure>

Klicken Sie auf „Apply“, um das Backup-Repository zu erstellen.

<figure><img src="/files/127838bb1e4ad459ba5e0ebf80163d1897332277" alt=""><figcaption></figcaption></figure>

Die Erstellung des Repositories kann einige Minuten dauern, bevor Sie auf „Next“ klicken können.

<figure><img src="/files/606f9128fd2f132fed6e0381158da96b202ead39" alt=""><figcaption></figcaption></figure>

Das Backup-Repository ist nun erstellt, und eine Zusammenfassung seiner Informationen wird angezeigt.

### Erstellen eines Backup-Copy-Jobs

Dieser Abschnitt ist dem Erstellen eines Backup-Jobs für das Backup-Repository gewidmet. In den meisten Fällen existieren lokale Backup-Jobs und -Repositories bereits, weshalb es möglich ist, statt eines neuen Backup-Jobs von Grund auf einen Backup-Copy-Job zu erstellen, wie unten beschrieben.

Klicken Sie dazu in der Veeam-Oberfläche „Home“ auf „Backup Copy“.

<figure><img src="/files/fe71dbc578d9d49741d1014a4a1c52a156a12a57" alt=""><figcaption></figcaption></figure>

Der erste Schritt besteht darin, den Jobnamen anzugeben und den Kopiermodus auszuwählen, wie in der folgenden Abbildung gezeigt.

<figure><img src="/files/589265a852be12e46a04507be6118639d8a6a10e" alt=""><figcaption></figcaption></figure>

Es wird empfohlen, den Modus „Periodic copy“ zu wählen, um vor dem nächsten Schritt nur die neuesten Wiederherstellungspunkte abzurufen.

<figure><img src="/files/750f7ac54307a6a42e1e06c0363487b649aec586" alt=""><figcaption></figcaption></figure>

In diesem Schritt müssen Sie auswählen, ob aus einem vorhandenen Repository („From repositories…“) oder aus einem vorhandenen Job („From jobs…“) kopiert werden soll.

<figure><img src="/files/61a2cdb106004c9002fdc8c56f79680a47f89c3d" alt=""><figcaption></figcaption></figure>

Im obigen Beispiel ist eine Kopie aus einem Backup-Repository — konkret einem Windows-Server — ausgewählt.

<figure><img src="/files/29b62463b9d0a89e40d8423fc82dfed62b2c94a0" alt=""><figcaption></figcaption></figure>

Wählen Sie zunächst das Backup-Repository aus, das mit dem zuvor erstellten Wasabi-Bucket verbunden ist, und geben Sie dann eine minimale Aufbewahrungsfrist von 5 Tagen für tägliche Backups an.

Es ist außerdem möglich, zusätzliche Sicherungen (wöchentlich, monatlich, jährlich) für mehr Sicherheit zu konfigurieren, indem Sie „Keep certain full backups longer for archival purposes“ aktivieren und auf „Configure“ klicken.

Schließlich wird empfohlen, mindestens monatlich Backup-Gesundheitsprüfungen zu aktivieren, um Datenbeschädigungen zu verhindern. Klicken Sie dazu auf „Advanced“, aktivieren Sie dann das Kontrollkästchen „Perform backup files health check (detects and auto-heals corruption) on:“ und ändern Sie bei Bedarf unter der Registerkarte „Maintenance“ über die Schaltfläche „Configure…“ die Prüfzeit und das Datum.

<figure><img src="/files/154222dca6e6050f8cb307f45b7e76f2b3e3c252" alt=""><figcaption></figcaption></figure>

Der nächste Abschnitt ist der Datenübertragung gewidmet.

<figure><img src="/files/9ed2cb42f4cf703d3c153c3dc960a61630e14cf0" alt=""><figcaption></figcaption></figure>

Es wird empfohlen, den Datenübertragungsmodus „Direct“ zu wählen, wenn die Internetverbindung ausreichend ist, bevor Sie mit dem nächsten Abschnitt fortfahren.

<figure><img src="/files/5b102d20f0feba9c434f5cdd2d64ddfb43d51357" alt=""><figcaption></figcaption></figure>

Es wird empfohlen, tägliche Backups durchzuführen, indem Sie „Run the job automatically“ aktivieren und die passendste Uhrzeit auswählen.

Es ist außerdem ratsam, den Job so zu konfigurieren, dass fehlgeschlagene Backup-Versuche automatisch erneut ausgeführt werden, indem Sie „Retry failed items processing“ aktivieren und 3 Wiederholungen mit einem 10-Minuten-Intervall zwischen den Versuchen festlegen.

Sobald alles konfiguriert ist, fahren Sie mit dem nächsten Abschnitt fort.

<figure><img src="/files/44857617e6be0b66965fad7eee9011326f33b096" alt=""><figcaption></figcaption></figure>

Um die Erstellung des Backup-Copy-Jobs abzuschließen, klicken Sie einfach auf „Finish“, nachdem Sie „Enable the job when I click Finish“ aktiviert haben, um sofort eine Kopie in das zuvor konfigurierte Wasabi-Backup-Repository auszulösen.


---

# Agent Instructions
This documentation is published with GitBook. GitBook is the documentation platform designed so that both humans and AI agents can read, navigate, and reason over technical content effectively. Learn more at gitbook.com.

## Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter, and the optional `goal` query parameter:

```
GET https://docs.stoik.io/cyber-best-practices/de/harten-sie-ihre-umgebung-ab/readme/back-up-your-data-with-wasabi.md?ask=<question>&goal=<endgoal>
```

`ask` is the immediate question: it should be specific, self-contained, and written in natural language.
`goal` is optional and describes the broader end goal you are ultimately trying to accomplish on behalf of the user. GitBook uses it to tailor the answer towards what is most useful for that goal.

The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.
