> For the complete documentation index, see [llms.txt](https://docs.stoik.io/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://docs.stoik.io/cyber-best-practices/de/harten-sie-ihre-umgebung-ab/readme/cloud-backup-solutions.md).

# Cloud-Backup-Lösungen

Verwenden Sie diese Seite, um einen Cloud-Backup-Ansatz auszuwählen, der auch nach Ransomware noch funktioniert.

Fokus: Wiederherstellbarkeit, Aufbewahrungsdauer und Schutz vor dem Löschen von Backups.

## Google Drive und OneDrive

Google-Drive- und OneDrive-Umgebungen verfügen nicht über native Funktionen, mit denen sie ihre Daten nach einem Ransomware-Angriff wiederherstellen können, der ihre früheren Versionen gelöscht hat. Daher ist es notwendig, bestimmte Lösungen in Betracht zu ziehen, um ihre Daten regelmäßig zu sichern und zu schützen.

Es können mehrere Lösungen in Betracht gezogen werden, um dieses Ziel zu erreichen, jede mit ihren Vor- und Nachteilen.

#### Lösung #1: Festplatte

Diese Lösung besteht darin, Dateien aus der Google-Drive- oder OneDrive-Umgebung manuell auf eine externe Festplatte zu sichern. Idealerweise sollte ein Backup einer OneDrive- oder Google-Drive-Umgebung auf mindestens zwei externen Festplatten erstellt werden, um Datenverlust zu verhindern, falls eine der Festplatten ausfällt. Obwohl diese Lösung am einfachsten umzusetzen ist, ist sie auch die restriktivste.

#### Lösung #2: NAS

Ein NAS (Network Attached Storage) ist ein physischer Netzwerkspeicher-Server. Diese Lösung besteht darin, eine Synchronisationsanwendung auf dem NAS zu installieren — nämlich Google Drive Desktop für eine Google-Workspace-Umgebung und OneDrive für eine O365-Umgebung —, um gemeinsam genutzte Laufwerke (Google Drive) und SharePoint-Websites (OneDrive) regelmäßig zu synchronisieren und Backups auf den NAS-Festplatten durchzuführen. Es ist auch möglich, bestimmte RAID-Typen zu verwenden, um die Festplattensicherheit oder Fehlertoleranz auf dem NAS zu verbessern.

#### Lösung #3: AWS/Azure-Speicherplatz

Azure (Microsoft) und AWS (Amazon) bieten kostengünstige Cloud-Speicherplätze zum Ablegen von Backups an. Die Idee besteht darin, alle Daten aus Google Drive und OneDrive regelmäßig in einen dieser Speicherplätze zu übertragen, entweder manuell oder automatisch mithilfe eines Skripts und einer Maschine, die bei einem dieser Dienste angemeldet ist. Mehrere kostenlose Tools werden zu diesem Zweck entwickelt und regelmäßig aktualisiert, nämlich rclone und duplicity, die für diese Art der Übertragung konzipiert sind.

#### Lösung #4: Lösungen von Drittanbietern

Bestimmte Lösungen von Drittanbietern können in Betracht gezogen werden, wenn keine der vorherigen Lösungen geeignet ist. Diese Lösungen machen Backups sehr einfach zu verwenden, sind jedoch mit erheblichen finanziellen Kosten verbunden. Diese Art von Lösung umfasst die Gewährung von Zugriff auf Ihre Google-Drive- und OneDrive-Umgebung für einen Drittanbieterdienst, damit dieser regelmäßig automatisch Daten abrufen kann. Diese Lösungen bieten auch Funktionen zur Datenwiederherstellung. Beispiele sind Afi, Backupify, Spanning und SpinBackup.

#### Zusammenfassungstabelle

Durch die Analyse all dieser Szenarien ist es möglich, bestimmte Kriterien zu definieren und all diese Lösungen entsprechend einzuordnen, wie in der folgenden Tabelle dargestellt:

<figure><img src="/files/c96a50c9ab55291d15679e727d6229524bee515b" alt=""><figcaption></figcaption></figure>

## Azure

### Azure-Unveränderliche Backups

Azure-Backups können je nach Ihren Datenmodellen zwei Typen haben: Backup Vault oder Recovery Services:

Es gibt 2 Methoden, um die Unveränderlichkeit dieser Backups zu gewährleisten:

![datasources$ (1)](/files/f0522d6a0fc40733ff79701e7e288ef7da531989)

{% stepper %}
{% step %}

### Stellen Sie sicher, dass die Soft-Delete-Funktion aktiviert ist.

Standardmäßig ist Soft Delete in Azure Recovery Services Vaults aktiviert. Diese Funktion schützt Backups 14 Tage lang und ohne zusätzliche Kosten vor versehentlichem oder böswilligem Löschen. Wenn Backups gelöscht werden und Soft Delete nicht aktiviert ist, können weder Sie noch Microsoft die gelöschten Daten wiederherstellen. Es ist notwendig, den folgenden Schutz zu implementieren, um das folgende Szenario zu vermeiden:

1. Kompromittierung des Azure-Mandanten und der Vaults;
2. Deaktivierung von Soft Delete;
3. Löschen von Backups;
4. Wiederherstellung;
5. Endgültiges Löschen.
   {% endstep %}

{% step %}

### Verwenden Sie Multi User Authorization (MUA) für die Soft-Delete-Funktion.

MUA für Azure Backup verwendet eine neue Ressource namens Resource Guard, um sicherzustellen, dass kritische Vorgänge wie das Deaktivieren von Soft Delete, das Stoppen und Löschen von Backups oder das Reduzieren der Aufbewahrungsdauer von Backup-Richtlinien nur mit entsprechender Autorisierung ausgeführt werden. Um den Prozess zu verstehen, ist es notwendig, 2 Rollen zu kennen, die innerhalb der Azure-Organisation definiert werden müssen:

1. Backup Administrator: Besitzer des Recovery Services Vault oder Backup Vault, der Verwaltungs- und Administrationsvorgänge daran ausführt;
2. Security Administrator: Besitzer von Resource Guard, der als Wächter kritischer Vorgänge auf dem Vault fungiert. Daher steuert der Security Administrator die Berechtigungen, die der Backup Administrator benötigt, um kritische Vorgänge am Vault auszuführen.

Zur Konfiguration von MUA müssen Sie:

* Stellen Sie sicher, dass Resource Guard und der Azure Recovery Services Vault sich in derselben Azure-Region befinden;
* Stellen Sie sicher, dass der Backup Administrator keine Mitwirkendenrechte auf Resource Guard hat. Resource Guard kann sich in einer anderen Subscription desselben Tenants oder in einem anderen Tenant befinden;
* Befolgen Sie die [offizielle Azure-Prozedur](https://learn.microsoft.com/en-us/azure/backup/multi-user-authorization?pivots=vaults-recovery-services-vault\&tabs=azure-portal).
  {% endstep %}
  {% endstepper %}

### Schützen Ihrer kritischen Azure-Vorgänge

Durch die Konfiguration unveränderlicher Tresore werden die folgenden Schutzmechanismen aktiviert:

* Recovery Services: Schützt Daten vor dem Löschen; verhindert die Änderung oder das Löschen der Backup-Richtlinie, um die Datenaufbewahrungsdauer zu verkürzen.
* Backup Vaults: Schützt Daten vor dem Löschen

{% stepper %}
{% step %}

### Melden Sie sich im Azure-Portal an und suchen Sie nach Recovery Services Vaults, Backup Vaults oder dem Tresor, den Sie schützen möchten:

<figure><img src="/files/0d77a76705c29a6524436ccc95d1da5c2f930d20" alt=""><figcaption></figcaption></figure>
{% endstep %}

{% step %}

### Klicken Sie auf den Tab Eigenschaften, um den unveränderlichen Tresor zu aktivieren und den Tresor für die Dauer der Backup-Richtlinie zu sperren

<figure><img src="/files/4e0576dba7b1dcbb657d9d5b2c1b892a5bd2f82c" alt=""><figcaption></figcaption></figure>

<figure><img src="/files/9d1dd614ef894f5a5cabfad84a171fc998b5b32a" alt=""><figcaption></figcaption></figure>

{% hint style="info" %}
Hinweis: Dieser Schritt kann nicht rückgängig gemacht werden. Bei sensiblen Daten mit Vorsicht verwenden.
{% endhint %}
{% endstep %}

{% step %}

### Wiederholen Sie diesen Vorgang für die anderen für die Geschäftskontinuität erforderlichen Tresore.

{% endstep %}
{% endstepper %}

## AWS

### Eingeschränkte Lösung (ohne SCP-Rechte)

Hinweis: Der erste Schritt muss für jeden S3-Bucket wiederholt werden, der sensible oder technische Daten enthält, die für die Produktion benötigt werden könnten.

{% stepper %}
{% step %}

### Erstellen Sie eine S3-Bucket-Richtlinie, die das Löschen von S3-Bucket-Versionen verhindert.

1. In der [Amazon-S3-Konsole](https://console.aws.amazon.com/s3/), öffnen Sie den Bucket, dann **Berechtigungen**.

   <figure><img src="/files/d878e98878cd021a8769f4ee5e0b28a28b61f6d0" alt=""><figcaption></figcaption></figure>
2. Unter **Bucket-Richtlinie**, klicken Sie auf **Bearbeiten**.
3. Ersetzen Sie die vorhandene Bucket-Richtlinie (falls vorhanden) durch das folgende JSON.

```json
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "DenyVersionDeletion",
            "Effect": "Deny",
            "Principal": "*",
            "Action": "s3:DeleteObject*",
            "Resource": "arn:aws:s3:::my-bucket-name/*"
        }
    ]
}
```

{% hint style="info" %}
Ersetzen Sie `my-bucket-name` durch Ihren Bucket-Namen.
{% endhint %}
{% endstep %}

{% step %}

### Erstellen Sie einen Alarmmechanismus, um jede Änderung oder jedes Löschen dieses Buckets zu erkennen.

1. Aktivieren [AWS CloudTrail](https://console.aws.amazon.com/cloudtrail/) falls er noch nicht aktiviert ist.
2. Öffnen Sie die [Amazon-EventBridge-Konsole](https://console.aws.amazon.com/events/) (CloudWatch Events) und wechseln Sie dann zu **Regeln**.

   <figure><img src="/files/d616c99312d10513eccee483c4cae3e35986a23c" alt=""><figcaption></figcaption></figure>
3. Klicken Sie auf **Regel erstellen**. Wählen Sie **AWS API Call via CloudTrail** als Ereignistyp.

   <figure><img src="/files/2650174d45a1b49537c82a3c19b2d6607840cd69" alt=""><figcaption></figcaption></figure>
4. Wählen Sie **Bestimmte Vorgänge** und fügen Sie hinzu:
   1. PutBucketPolicy
   2. DeleteBucketPolicy
   3. DeleteBucketLifecycle
   4. DeleteBucketPublicAccessBlock
   5. PutBucketPublicAccessBlock
   6. DeleteBucket als Vorgang, über den wir benachrichtigt werden möchten.
5. Verwenden Sie das folgende Ereignismuster:

```json
{
  "source": ["aws.s3"],
  "detail-type": ["AWS API Call via CloudTrail"],
  "detail": {
    "eventSource": ["s3.amazonaws.com"],
    "eventName": ["DeleteBucket", "DeleteBucketLifecycle", "DeleteBucketPolicy", "PutBucketPolicy", "DeleteBucketPublicAccessBlock", "PutBucketPublicAccessBlock"],
    "requestParameters": {
      "bucketName": ["my-bucket-name"]
    }
  }
}
```

{% hint style="info" %}
Ersetzen Sie `my-bucket-name` mit dem Bucket, den Sie schützen möchten.
{% endhint %}
{% endstep %}
{% endstepper %}

6. Konfigurieren Sie das Alarmziel (z. B. ein SNS-Topic für Benachrichtigungen oder eine Lambda-Funktion).


---

# Agent Instructions
This documentation is published with GitBook. GitBook is the documentation platform designed so that both humans and AI agents can read, navigate, and reason over technical content effectively. Learn more at gitbook.com.

## Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter, and the optional `goal` query parameter:

```
GET https://docs.stoik.io/cyber-best-practices/de/harten-sie-ihre-umgebung-ab/readme/cloud-backup-solutions.md?ask=<question>&goal=<endgoal>
```

`ask` is the immediate question: it should be specific, self-contained, and written in natural language.
`goal` is optional and describes the broader end goal you are ultimately trying to accomplish on behalf of the user. GitBook uses it to tailor the answer towards what is most useful for that goal.

The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.
