Ein Leader im Gartner® Magic Quadrant™ für Endpoint Protection Platforms 2025. Seit fünf Jahren in FolEin Leader im Gartner® Magic Quadrant™Bericht lesen
Erleben Sie eine Sicherheitsverletzung?Blog
Los geht'sKontakt
Header Navigation - DE
  • Plattform
    Plattform Übersicht
    • Singularity Platform
      Willkommen bei der integrierten Unternehmenssicherheit
    • KI für die Sicherheit
      Wegweisend bei KI-gestützten Sicherheitslösungen
    • Sicherung von KI
      Beschleunigen Sie die Einführung von KI mit sicheren KI-Tools, -Anwendungen und -Agenten.
    • Wie es funktioniert
      Der Singularity XDR Unterschied
    • Singularity Marketplace
      Ein-Klick-Integrationen, um die Leistungsfähigkeit von XDR zu erschließen
    • Preise & Pakete
      Vergleiche und Beratung im Überblick
    Data & AI
    • Purple AI
      Beschleunigen Sie SecOps mit generativer KI
    • Singularity Hyperautomation
      Einfaches Automatisieren von Sicherheitsprozessen
    • AI-SIEM
      Das KI-SIEM für das autonome SOC
    • AI Data Pipelines
      Sicherheitsdaten-Pipeline für KI-SIEM und Datenoptimierung
    • Singularity Data Lake
      Angetrieben durch KI, vereinheitlicht durch Data Lake
    • Singularity Data Lake for Log Analytics
      Nahtlose Aufnahme von Daten aus On-Premise-, Cloud- oder Hybrid-Umgebungen
    Endpoint Security
    • Singularity Endpoint
      Autonome Prävention, Erkennung und Reaktion
    • Singularity XDR
      Nativer und offener Schutz, Erkennung und Reaktion
    • Singularity RemoteOps Forensics
      Forensik im großen Maßstab orchestrieren
    • Singularity Threat Intelligence
      Umfassende Aufklärung des Gegners
    • Singularity Vulnerability Management
      Entdeckung von Rogue Assets
    • Singularity Identity
      Erkennung von und Reaktion auf Bedrohungen für Identitäten
    Cloud Security
    • Singularity Cloud Security
      Blockieren Sie Angriffe mit einer KI-gestützten CNAPP
    • Singularity Cloud Native Security
      Cloud und Entwicklungsressourcen sichern
    • Singularity Cloud Workload Security
      Plattform zum Schutz von Cloud-Workloads in Echtzeit
    • Singularity Cloud Data Security
      AI-gestützte Erkennung von Bedrohungen
    • Singularity Cloud Security Posture Management
      Erkennen und Beseitigen von Cloud-Fehlkonfigurationen
    Absicherung von KI
    • Prompt Security
      KI-Tools im gesamten Unternehmen absichern
  • Warum SentinelOne?
    Warum SentinelOne?
    • Warum SentinelOne?
      Cybersecurity, entwickelt für die Zukunft
    • Unsere Kunden
      Weltweit führende Unternehmen vertrauen auf uns
    • Branchen-Auszeichnungen
      Von Experten getestet
    • Über uns
      Der Branchenführer bei autonomer Cybersicherheit
    Vergleichen Sie SentinelOne
    • Arctic Wolf
    • Broadcom
    • CrowdStrike
    • Cybereason
    • Microsoft
    • Palo Alto Networks
    • Sophos
    • Splunk
    • Trellix
    • Trend Micro
    • Wiz
    Branchen
    • Energieversorger
    • Öffentlicher Sektor
    • Finanzsektor
    • Gesundheitswesen
    • Hochschulen
    • Fertigungsindustrie
    • Handel
    • Regionale & kommunale Verwaltung
  • Services
    Managed Services
    • Managed Services Übersicht
      Wayfinder Threat Detection & Response
    • Threat Hunting
      Erstklassige Expertise und Threat Intelligence.
    • Managed Detection & Response
      Rund-um-die-Uhr MDR-Experten für Ihre gesamte Umgebung.
    • Incident Readiness & Response
      DFIR, Vorbereitung auf Sicherheitsverletzungen & Kompromittierungsbewertungen.
    Support, Bereitstellung & Health Check
    • Technical Account Management
      Customer Success mit persönlichem Service
    • SentinelOne GO
      Guided Onboarding & Deployment Advisory
    • SentinelOne University
      Live und On-Demand Training
    • Überblick zu unseren Services
      Umfassende Lösungen für reibungslose Sicherheitsoperationen
    • SentinelOne Community
      Community Login
  • Partner
    Unser Netzwerk
    • MSSP Partner
      Schnellerer Erfolg mit SentinelOne
    • Singularity Marketplace
      Erweitern Sie die Leistung der S1-Technologie
    • Cyber Risk Partner
      Einsatz von Pro-Response und Advisory Teams
    • Technologie-Partnerschaften
      Integrierte, unternehmensweite Lösungen
    • SentinelOne für AWS
      Gehostet in AWS-Regionen auf der ganzen Welt
    • Channel Partner
      Gemeinsam die richtigen Lösungen anbieten
    • SentinelOne for Google Cloud
      Vereinheitlichte, autonome Sicherheit, die Verteidigern einen Vorteil im globalen Maßstab verschafft.
    Programm-Übersicht→
  • Ressourcen
    Ressource-Center
    • Fallstudien
    • Datenblätter
    • eBooks
    • Reports
    • Videos
    • Webinars
    • White Papers
    • Events
    Alle Ressourcen anzeigen→
    Blog
    • Feature Spotlight
    • Für CISOs/CIOs
    • Von der Frontlinie
    • Identity
    • Cloud
    • macOS
    • SentinelOne Blog
    Blog→
    Technische Ressourcen
    • SentinelLABS
    • Ransomware Anthologie
    • Cybersecurity 101
  • Unternehmen
    Über SentinelOne
    • Über SentinelOne
      Der Branchenführer im Bereich Cybersicherheit
    • SentinelLABS
      Threat Research für moderne Threat Hunter
    • Karriere
      Die aktuellen Jobangebote
    • Presse & News
      Bekanntmachungen der Firma
    • Cybersecurity Blog
      Die neuesten Cybersecurity-Bedrohungen, News, & mehr
    • FAQ
      Antworten auf die am häufigsten gestellten Fragen
    • DataSet
      Die Live Data Plattform
    • S Foundation
      Eine sicherere Zukunft für alle
    • S Ventures
      Wir investieren in die nächste Generation von Sicherheit und Daten
Los geht'sKontakt
Background image for Was sind Air Gapped Backups? Beispiele & Best Practices
Cybersecurity 101/Cybersecurity/Air Gapped Backups

Was sind Air Gapped Backups? Beispiele & Best Practices

Air Gapped Backups halten mindestens eine Wiederherstellungskopie außerhalb der Reichweite von Angreifern. Erfahren Sie, wie sie funktionieren, welche Typen es gibt, Beispiele und Best Practices für die Ransomware-Wiederherstellung.

CS-101_Cybersecurity.svg
Inhaltsverzeichnis
Was sind Air Gapped Backups?
Air Gapped Backups als Cybersecurity-Kontrolle
Kernkomponenten von Air Gapped Backups
Wie Air Gapped Backups funktionieren
Typen von Air Gapped Backup-Architekturen
Air Gapped Backup-Beispiele in der Praxis
Bandbasiertes physisches Air Gap
Netzwerksegmentiertes logisches Air Gap
Cloud-Tresor mit logischem Air Gap
Zentrale Vorteile von Air Gapped Backups
Wer benötigt Air Gapped Backups
Herausforderungen und Einschränkungen von Air Gapped Backups
Häufige Fehler bei Air Gapped Backups
Best Practices für Air Gapped Backups
Ransomware-Vorfälle aus der Praxis und Backup-Lektionen
Wichtige Erkenntnisse

Verwandte Artikel

  • IT- vs. OT-Sicherheit: Zentrale Unterschiede & Best Practices
  • Was ist OT-Sicherheit? Definition, Herausforderungen & Best Practices
  • Was ist ein Golden Ticket Angriff?
  • Digital Rights Management: Ein praxisorientierter Leitfaden für CISOs
Autor: SentinelOne
Aktualisiert: April 21, 2026

Was sind Air Gapped Backups?

Ransomware-Angreifer nehmen inzwischen gezielt Backup-Infrastrukturen ins Visier, bevor sie Produktionsdaten verschlüsseln. Laut der CISA-Studie zu den Kosten von Cybervorfällen belaufen sich die durchschnittlichen Kosten pro Vorfall auf 5,9 Millionen US-Dollar. Daher ist Ihre letzte Verteidigungslinie nur dann wirksam, wenn Angreifer sie nicht erreichen können.

Air Gapped Backups sind isolierte Kopien kritischer Daten, die physisch oder logisch von Produktionsnetzwerken getrennt sind. Sie schaffen eine Schutzbarriere, indem sie Umgebungen mit kontrolliertem Zugriff einrichten, die für netzwerkbasierte Angriffe nicht erreichbar sind. Ob durch physisch getrennte Bandmedien, netzwerksegmentierten Speicher mit strikten Zugriffskontrollen oder logisch isolierte Cloud-Tresore – Air Gapped Backups sorgen dafür, dass mindestens eine Wiederherstellungskopie für Angreifer schwerer erreichbar bleibt, wenn sie sich lateral durch Ihre Umgebung bewegen.

Die NIST SP 800-209 legt fest, dass Backup-Operationen auch Speichermedien umfassen können, die offline sind, während der CISA Ransomware-Leitfaden Organisationen anweist, Offline-Backups zu pflegen, da Ransomware häufig versucht, zugängliche Backup-Daten zu löschen oder zu verschlüsseln.

Air Gapped Backups als Cybersecurity-Kontrolle

Air Gapped Backups befinden sich an der Schnittstelle von Datenschutz und Ransomware-Resilienz. Moderne Ransomware-Familien führen gezielte Aufklärung durch, um Backup-Server zu lokalisieren, Schattenkopien zu löschen und Backup-Repositories zu verschlüsseln, bevor die Verschlüsselung der Produktionssysteme ausgelöst wird. Der CISA Ransomware-Leitfaden fordert Organisationen auf, „Offline-Backups kritischer Daten verschlüsselt zu halten“, da moderne Ransomware-Varianten „versuchen, zugängliche Backups zu finden und anschließend zu löschen oder zu verschlüsseln“.

Wenn Ihr Endpoint-Schutz einen Ransomware-Versuch durch Behavioral AI erkennt und stoppt, endet die Bedrohung an dieser Stelle. Werden die Verteidigungsmaßnahmen jedoch überwunden oder umgangen, bieten Air Gapped Backups einen Wiederherstellungspfad außerhalb des unmittelbaren Wirkungsbereichs eines netzwerkbasierten Angriffs. Um zu verstehen, wie dieser Schutz in der Praxis funktioniert, müssen Sie die Architektur in ihre Kernkomponenten zerlegen.

Kernkomponenten von Air Gapped Backups

Jede Air Gapped Backup-Architektur, unabhängig vom Typ, besteht aus denselben sechs Schichten. Jede einzelne muss bestehen, damit die Isolation wirksam ist.

  • Isolierte Speicherschicht. Die physische oder logische Umgebung, in der Backup-Kopien gespeichert werden, einschließlich Bandbibliotheken, entfernbarer Festplatten-Arrays, netzwerksegmentierter Systeme oder isolierter Cloud-Sicherheitsdomänen mit separater Authentifizierung.
  • Übertragungsmechanismen. Daten werden über kontrollierte Wege von der Produktion zur isolierten Speicherschicht übertragen, sei es durch manuelle oder robotergestützte Medienübertragung oder geplante Replikation mit Einweg-Datenflüssen, die eine Rückkontamination verhindern.
  • Immutabilitätsschicht. Sobald Daten die Air Gap-Umgebung erreichen, sollten sie gegen Änderungen oder Löschungen geschützt sein – durch Hardware-Write-Once-Bandmedien, Software-Retention-Locks oder Objekt-Storage-Compliance-Modi.
  • Zugriffskontrollen. Physische Implementierungen setzen auf Schlüssel- oder Kombinationszugang mit protokolliertem Zutritt. Logische Implementierungen erfordern rollenbasierte Zugriffskontrolle, Multi-Faktor-Authentifizierung, Least-Privilege-Prinzip und Audit-Logging. Der CISA Data Protection Guide fordert MFA für administrativen Zugriff und rollenbasierten Zugriff mit Least-Privilege-Prinzipien über alle geschützten Systeme hinweg.
  • Verschlüsselung. Backup-Daten sollten im Ruhezustand und bei der Übertragung verschlüsselt werden. Der CISA Encryption Standards Guide spezifiziert FIPS 140-2 für Datenübertragung und -speicherung oder erweiterte Verschlüsselungsmechanismen. Verschlüsselungs-Schlüsselmanagementsysteme sollten von den Backup-Daten isoliert bleiben, um zu verhindern, dass ein einzelner Kompromittierungsfall beides offenlegt.
  • Verifizierungsinfrastruktur. Sie benötigen die Möglichkeit, die Integrität der Backups durch regelmäßige Integritätsprüfungen, Checksummen, Backup-Verifizierungsroutinen und Wiederherstellungstests zu bestätigen.

Eine Schwäche in einer einzigen Schicht kann die gesamte Architektur untergraben. Der nächste Schritt ist das Verständnis, wie diese Schichten über Backup, Isolation, Speicherung und Wiederherstellung hinweg funktionieren.

Wie Air Gapped Backups funktionieren

Air Gapped Backups folgen einem Zyklus aus vier Phasen: Erfassung, Isolation, sichere Speicherung und kontrollierte Wiederherstellung. Jede Phase hat spezifische Anforderungen, die bestimmen, wie gut die Architektur hält, wenn ein Angreifer Ihre Umgebung erreicht.

  • Phase 1: Backup und Erfassung. Produktionsdaten werden über Ihre Standard-Backup-Prozesse auf das Backup-Ziel kopiert. Bevor Daten in die Air Gap-Umgebung gelangen, validiert eine Anti-Malware-Prüfung die Integrität. Das Scannen vor der Isolation ist essenziell, da das Sichern kompromittierter Daten in einer unveränderlichen, isolierten Umgebung eine vergiftete Kopie erzeugt, die bei der Wiederherstellung eine erneute Infektion auslösen könnte.
  • Phase 2: Isolation. Bei physischen Air Gaps bedeutet dies das Entfernen von Bandkassetten oder das Trennen entfernbarer Festplatten-Arrays von allen Systemen und Netzwerken. Bei logischen Air Gaps wird die Netzwerkverbindung zwischen den Backup-Zyklen deaktiviert, wobei geplante Replikationsfenster für jede Übertragung eine explizite Authentifizierung erfordern. Cloud-basierte Tresore erzwingen Isolation durch separate Sicherheitsdomänen mit ausschließlich API-Zugriff und unabhängiger Authentifizierung.
  • Phase 3: Sichere Speicherung. Isolierte Kopien verbleiben in ihrem geschützten Zustand, wobei physische Medien in sicheren Offsite-Tresoren gelagert und logische Kopien hinter Netzwerksegmentierung, Zugriffskontrollen und Immutabilitäts-Locks aufbewahrt werden. Diese Backup-Isolation sorgt dafür, dass mindestens ein Wiederherstellungspfad weniger exponiert bleibt, wenn Angreifer sich durch verbundene Systeme bewegen.
  • Phase 4: Wiederherstellung. Wenn Sie die Daten benötigen, läuft der Prozess umgekehrt ab. Physische Medien werden aus dem sicheren Speicher geholt und manuell angeschlossen. Logische Kopien werden über authentifizierte, kontrollierte Wege abgerufen. Die Wiederherstellung erfolgt zunächst in eine isolierte Staging-Umgebung zur Verifizierung, bevor eine Rückführung in die Produktion erfolgt.

Wenn Sie den Ablauf verstanden haben, können Sie bewerten, welches Implementierungsmodell am besten zu Ihrer Umgebung passt.

Typen von Air Gapped Backup-Architekturen

Sie haben drei Hauptarchitektur-Optionen, jede mit eigenen Vor- und Nachteilen.

  1. Physische Air Gaps verwenden entnehmbare Speichermedien mit vollständiger Netzwerktrennung. Bandkassetten werden kopiert, physisch entfernt und extern gelagert. Dieser Ansatz bietet niedrige Speicherkosten pro Gigabyte und die stärkste Ransomware-Isolation. Der Nachteil sind langsame Datenzugriffe und die Ungeeignetheit für Organisationen, die schnelle, häufige Wiederherstellungen benötigen.
  2. Logische Air Gaps nutzen Netzwerksegmentierung, Protokollrestriktionen und Zugriffskontrollen, um Isolation ohne physisches Entfernen der Medien zu schaffen. Komponenten sind separate VLANs mit Firewall-Kontrollen, Ausschluss häufig angegriffener Protokolle wie CIFS, NFS und SMB sowie Einweg-Datenflüsse. Logische Air Gaps eignen sich für Unternehmensumgebungen, in denen physische Trennung unpraktisch ist. Dieses Modell erfordert starke Identitäts-, Segmentierungs- und Richtlinienkontrollen.
  3. Cloud-basierte Air Gapped Tresore schaffen logisch isolierte Sicherheitsdomänen innerhalb der Cloud-Infrastruktur. Sie nutzen separate Authentifizierung, Objekt-Immutabilität wie S3 Object Lock, ausschließlich API-Zugriff und MFA. Cloud-Speicher allein stellt keine Air Gap dar; zusätzliche Isolationskontrollen sind erforderlich. Wenn Ihre Umgebung Cloud-Infrastruktur und Cloud-Anwendungs-Backups umfasst, bestimmen Ihre Cloud-Sicherheitskontrollen, wie stark diese logische Trennung tatsächlich ist.

Die Architekturwahl bestimmt Ihre Wiederherstellungsbedingungen. Die folgenden Beispiele zeigen, wie jede Variante in einer realen Umgebung aussieht.

Air Gapped Backup-Beispiele in der Praxis

Die Architektur abstrakt zu verstehen ist das eine. Sie in der Praxis zu sehen, macht Implementierungsentscheidungen klarer. Hier sind drei Szenarien, die zeigen, wie Air Gapped Backups in unterschiedlichen Umgebungen aussehen.

Bandbasiertes physisches Air Gap

Ein Hersteller mit industriellen Steuerungssystemen sichert kritische OT-Konfigurationen und Produktionshistorien jede Nacht auf LTO-Band. Nach Abschluss jedes Jobs entfernt ein Techniker die Kassette, protokolliert sie in einem Chain-of-Custody-Register und lagert sie in einem verschlossenen, feuerfesten Tresor außerhalb der Produktion. Das Band hat zu keinem Zeitpunkt eine Netzwerkverbindung. Bei Bedarf wird das Band geholt, an eine isolierte Workstation angeschlossen, auf Integrität geprüft und dann zur Wiederherstellung verwendet. Die CISA ICS Security Guidance nennt Offline-Medienlagerung als Basiskontrolle für OT-Umgebungen.

Netzwerksegmentiertes logisches Air Gap

Ein Unternehmen betreibt Backup-Software auf einem gehärteten Server in einem dedizierten Backup-VLAN, getrennt von allen Produktionssegmenten durch Firewall-Regeln. SMB, NFS und CIFS sind in diesem Segment deaktiviert. Während geplanter Replikationsfenster erfolgt ein Einweg-Datenfluss: Jeder Job erfordert MFA-geschützte Authentifizierung mit einem Servicekonto ohne weitere Netzwerkberechtigungen. Kein produktives, domänengebundenes Endgerät kann den Backup-Server direkt erreichen, wodurch die von Ransomware genutzten lateralen Bewegungswege zur Zerstörung der Backup-Infrastruktur abgeschnitten werden.

Cloud-Tresor mit logischem Air Gap

Ein Cloud-natives Unternehmen speichert Backups in einem AWS S3-Bucket mit aktiviertem Object Lock im Compliance-Modus, in einem separaten AWS-Konto, das vom Produktionskonto isoliert ist. Keine IAM-Rolle in der Produktionsumgebung hat Schreib- oder Löschrechte auf dem Backup-Bucket. Backup-Jobs laufen über einen Einweg-API-Aufruf, der mit einem dedizierten Credential-Set authentifiziert wird, das nur im Backup-Konto existiert. Selbst bei vollständigem Kompromittieren des Produktionskontos kann ein Angreifer die Tresorinhalte während der Aufbewahrungsfrist nicht löschen oder überschreiben. Dieses Modell entspricht der CISA Ransomware Guidance zur Aufbewahrung von Backups hinter separaten Zugangsdaten und Zugriffskontrollen.

Jede dieser Implementierungen erfüllt die Anforderung einer Offline-Kopie in der modernen 3-2-1-1-0-Backup-Regel: eine Kopie, die offline, unveränderlich oder air gapped ist, mit null Fehlern, bestätigt durch Wiederherstellungstests und nicht nur durch Checksummen. Dieses Framework verweist direkt auf die zentralen Vorteile von Air Gapped Backups.

Zentrale Vorteile von Air Gapped Backups

Richtig implementiert bieten Air Gapped Backups vier Sicherheits- und Betriebsnutzen, die keine ständig verbundene Backup-Architektur erreichen kann.

  • Ransomware-Isolation. Dies ist der Hauptnutzen. Air Gapped Backups eliminieren die netzwerkbasierten Zugriffswege, die die Zerstörung von Backups ermöglichen. Physische oder logische Isolation bedeutet, dass Ransomware, die auf Produktionssystemen ausgeführt wird, die Backup-Kopie nicht einfach erreichen kann.
  • Wiederherstellungssicherheit. Air Gapped Backups können Wiederherstellungspunkte bewahren, die weniger Angriffen ausgesetzt sind. Organisationen mit kompromittierten Backups müssen forensisch analysieren, welche Backup-Generationen vertrauenswürdig sind – ein Prozess, der die Wiederherstellung erheblich verzögern kann. Air Gapped Architekturen reduzieren diesen Druck, indem sie den direkten Angreiferzugriff auf mindestens einen Wiederherstellungspfad begrenzen.
  • Regulatorische Konformität. Air Gapped Backup-Strategien entsprechen der NIST SP 800-209, unterstützen Notfallplanungsanforderungen in staatlichen und Gesundheitsumgebungen und fördern Backup-, Verfügbarkeits- und Zugriffskontrollziele in wichtigen Kontrollrahmenwerken. Für regulierte Branchen bieten Air Gapped Architekturen nachweisbare Belege für angemessene Cybersecurity-Kontrollen.
  • Reduzierung von Insider-Bedrohungen. Air Gapped Architekturen verkleinern die Angriffsfläche durch das Design. Selbst privilegierte Nutzer können Backup-Repositories nicht über Standardnetzwerkwege erreichen; physischer Zugang oder Dual-Approval-Workflows sind für jede Interaktion mit isolierten Kopien erforderlich. Dies ist die Kontrollmaßnahme auf der Wiederherstellungsseite, die verhindert, dass ein einzelner Kompromiss zum geschäftsbedrohenden Ereignis wird.

Diese Vorteile sind real, werfen aber die ebenso wichtige Frage auf: Welche Organisationen benötigen Air Gapped Backups tatsächlich – und auf welchem Niveau?

Wer benötigt Air Gapped Backups

Die Frage ist nicht, ob Ihre Organisation groß genug ist, sondern ob Sie es sich leisten können, den Zugriff auf Produktionsdaten ohne verifizierte, gegen Angreifer resistente Wiederherstellungskopie zu verlieren. Die folgende Tabelle ordnet den Organisationstyp dem praktischsten Air Gap-Ansatz und dessen Haupttreiber zu.

OrganisationstypEmpfohlener AnsatzHaupttreiber
Kritische Infrastruktur (Energie, Versorger, OT)Physisches Band-Air GapBedrohung durch Nationalstaaten, regulatorische Vorgaben
GesundheitsnetzwerkeLogisches Air Gap oder Cloud-TresorHIPAA-Notfallplanung, Wiederherstellung von Patientendaten
FinanzdienstleisterLogisches Air Gap mit ImmutabilitätFFIEC-, PCI DSS-Konformität, strenge RTO-Anforderungen
Mid-Market-UnternehmenCloud-Tresor mit Object LockKosteneffizienz, begrenzte lokale Speicherkapazität
Cloud-native und SaaS-UnternehmenCloud-Tresor in separatem KontoKeine On-Premise-Infrastruktur, Risiko der Produktionszugänglichkeit
BehördenPhysisches Band (FIPS-konforme Verschlüsselung)FISMA, NIST SP 800-53 Notfallplanung

Kleinere Organisationen gehen oft davon aus, dass Air Gapped Backups betrieblich nicht umsetzbar sind. In der Praxis erfordert ein Cloud-Tresor mit Object Lock in einem separaten Konto keine lokale Hardware und kann in wenigen Stunden konfiguriert werden. Eine zehnköpfige Arztpraxis hat genauso viel Wiederherstellungsbedarf zu schützen wie ein Großunternehmen; die Ransomware-Arithmetik ist unabhängig von der Mitarbeiterzahl dieselbe.

Zu wissen, welcher Ansatz zu Ihrer Umgebung passt, ist entscheidend. Air Gapped Backups bringen jedoch auch echte Kompromisse mit sich. Diese vor der Implementierung zu verstehen, verhindert Architekturentscheidungen, die Sie später unter Druck revidieren müssen.

Herausforderungen und Einschränkungen von Air Gapped Backups

Air Gapped Backups sind keine schlüsselfertige Lösung. Vier Herausforderungen führen regelmäßig dazu, dass Teams ihre Architektur falsch konfigurieren oder den tatsächlichen Schutz überschätzen.

  • Begriffsunschärfe erzeugt Scheinsicherheit. Die meisten „Air Gapped“-Backup-Implementierungen sind nicht wirklich air gapped. Eine echte Air Gap erfordert Systeme, die physisch nicht verbunden sind, und bei denen jede logische Verbindung nicht autonom, sondern manuell gesteuert ist. Sie müssen genau wissen, welchen Typ Sie implementiert haben.
  • Das Paradoxon Automatisierung vs. echte Isolation. Unternehmensumgebungen stehen vor einem Grundkonflikt: Echte Air Gapping erfordert manuelle Eingriffe, aber manuelle Prozesse im großen Maßstab verursachen prohibitive Kosten. Jeder autonome Pfad – ob geplante rsync-Jobs, API-Aufrufe oder Backup-Agenten – schafft Angriffsflächen. Dieser Konflikt lässt sich nicht vollständig lösen, sondern nur durch bewusste Architekturentscheidungen steuern.
  • Betriebliche Komplexität und verlängerte Wiederherstellungszeiten. Air Gapped-Implementierungen schaffen betriebliche Reibung, die sich direkt auf die Wiederherstellungsziele auswirkt. Die erhöhte Komplexität von Backup- und Wiederherstellungsprozessen kann zu längeren Wiederherstellungszeiten führen als bei ständig verbundenen Lösungen – ein Paradoxon, bei dem erhöhte Sicherheit die Wiederherstellung in genau den Vorfällen verlangsamt, für die die Architektur entwickelt wurde.
  • Immutabilität ist kein Air Gapping. Organisationen verwechseln diese beiden unterschiedlichen Kontrollen häufig. Ein unveränderliches Backup, das Ransomware oder Malware enthält, ist bei der Wiederherstellung nutzlos und kann eine erneute Infektion auslösen. Ein Air Gapped Backup, das nie gescannt wurde, kann beschädigte Daten enthalten. Beide Kontrollen sind erforderlich, mit klarem Verständnis, was jede adressiert. Die häufigsten Implementierungsfehler treten auf, wenn Teams diese Unterschiede im Alltag verwischen.

Daher ist es hilfreich, die Fehler zu betrachten, die wiederholt ansonsten solide Designs schwächen.

Häufige Fehler bei Air Gapped Backups

Selbst gut konzipierte Air Gap-Architekturen scheitern in der Praxis, wenn dieselben betrieblichen Fehler nicht behoben werden. Diese sechs Fehler machen den Großteil der Backup-Umgebungen aus, die isoliert erscheinen, aber weiterhin erreichbar sind.

  • Logische Isolation als „Air Gapped“ bezeichnen, ohne das akzeptierte Risiko zu dokumentieren. Wenn Sie netzwerksegmentierte Backup-Systeme mit geplanten Übertragungen implementieren, haben Sie logische Isolation, aber keine echte Air Gap. Dokumentieren Sie das akzeptierte Risiko und kompensieren Sie es mit zusätzlichen Schichten: MFA, RBAC, unveränderlicher Speicher mit Aufbewahrungsfristen, die typische Angreiferverweildauern überschreiten, und Anomalieüberwachung.
  • Backup-Infrastruktur im Produktionsnetz belassen. Backup-Systeme im selben Netzwerksegment wie Produktionssysteme zugänglich zu lassen, ist ein erheblicher Architekturfehler. Trennen Sie die Backup-Infrastruktur auf dedizierte Segmente. Managementschnittstellen sollten niemals aus allgemeinen Unternehmensnetzwerken erreichbar sein.
  • Standardanmeldedaten bei Backup-Software ignorieren. Manche Backup-Software wird immer noch mit Standard-Benutzernamen und -Passwörtern ausgeliefert. In Kombination mit fehlender MFA bietet dies Angreifern einen direkten Einstiegspunkt. Entfernen Sie Standardwerte, erzwingen Sie MFA für jeden Backup-Zugriff und implementieren Sie Dual-Approval-Workflows für destruktive Operationen wie das Löschen von Backup-Daten vor Ablauf der Aufbewahrungsfrist.
  • Wiederherstellungen nie testen. Dies ist die häufigste Lücke. Der CISA Ransomware Response Guide betont regelmäßige Tests der Backup-Prozesse. Sie müssen vollständige Systemwiederherstellungen von Air Gapped-Medien testen, nicht nur die Dateiintegrität prüfen. Planen Sie regelmäßige vollständige Wiederherstellungstests in isolierten Umgebungen und messen Sie die tatsächlichen Wiederherstellungszeiten gegen Ihre RTO-Anforderungen.
  • Malware-Scan vor der Isolation überspringen. Das Sichern kompromittierter Daten in einer unveränderlichen, isolierten Umgebung erzeugt eine vergiftete Kopie, die Sie nicht mehr ändern können. Die NIST SP 800-209 fordert die Protokollierung von Anti-Malware-Scan-Ergebnissen für Backup-Kopien, die zur Wiederherstellung nach Cyber-Ereignissen verwendet werden. Ein dedizierter Malware-Scan vor dem Backup validiert die Datenintegrität, bevor sie in die isolierte Umgebung gelangen.
  • Air Gapping als Einzelschicht-Verteidigung betrachten. Air Gapped Backups als alleinige Backup-Strategie schaffen einen Single Point of Failure. Befolgen Sie die 3-2-1-1-0-Regel, damit kein einzelner Schichtausfall alle Wiederherstellungsmöglichkeiten eliminiert.

Wenn Sie diese Fehler vermeiden, können Sie zu den Betriebspraktiken übergehen, die das Design nachhaltig machen.

Best Practices für Air Gapped Backups

Die Wahl des richtigen Architekturtyps ist der Anfang, aber die betriebliche Disziplin hält die Backup-Isolation langfristig wirksam. Diese acht Praktiken adressieren die Bereiche, in denen Air Gapped Backup-Designs nach der Einführung am häufigsten an Wirksamkeit verlieren.

  1. Daten vor der Architekturplanung klassifizieren. Nicht alle Daten benötigen denselben Air Gap-Ansatz. Ordnen Sie Backup-Anforderungen nach regulatorischer Verpflichtung, geschäftlicher Kritikalität, Recovery Point Objective (RPO) und Aufbewahrungsfristen.
  2. RPO/RTO definieren und dagegen testen. Wenn Ihr RPO eine Stunde beträgt, müssen Backups mindestens stündlich laufen. Wenn Ihr RTO vier Stunden beträgt, muss Ihr Air Gapped-Wiederherstellungsprozess innerhalb dieses Zeitfensters abgeschlossen sein, einschließlich physischer Medienbeschaffung. Dokumentieren Sie diese Werte und validieren Sie sie durch geplante Übungen.
  3. Immutabilität für alle Backup-Repositories implementieren. Aktivieren Sie Write-Once- oder gesperrte Konfigurationen, die während der Aufbewahrungsfrist nicht geändert werden können. Dies ergänzt Air Gapping, indem Änderungen auch dann verhindert werden, wenn ein Angreifer Zugang zur isolierten Umgebung erhält. Zusammen bieten unveränderliche und Air Gapped Backups stärkere Ransomware-Wiederherstellungsoptionen.
  4. MFA und Dual-Approval für alle Backup-Operationen erzwingen. Jeder Zugriffsweg zur Backup-Infrastruktur erfordert MFA, auch für administrative Zugriffe. Destruktive Operationen wie Löschen, Änderung der Aufbewahrungsrichtlinie und Deaktivierung der Immutabilität sollten die Zustimmung zweier separater Administratoren erfordern. Starke Identity Security-Kontrollen sind besonders wichtig, wenn Ihre Backup-Isolation von privilegierten Workflow-Kontrollen abhängt.
  5. Backups vor und nach der Speicherung mit aktuellen Tools scannen. Scannen Sie historische Backup-Kopien regelmäßig mit aktualisierten Anti-Malware-Tools. So werden vergiftete Kopien erkannt, die zum Backup-Zeitpunkt nicht identifizierbare Malware enthalten. Behavioral AI Ihrer Endpoint Protection Plattform bietet hier eine zusätzliche Validierungsschicht.
  6. Überwachung auf Backup-Targeting-Verhalten. CISA empfiehlt ausdrücklich die Überwachung auf anomale Nutzung von vssadmin.exe, bcdedit.exe, wbadmin.exe, fsutil.exe mit deletejournal sowie wmic.exe mit shadowcopy oder shadowstorage-Befehlen im CISA Ransomware Monitoring Guide. Ihre XDR-Plattform sollte diese als hochpriorisierte Signale kennzeichnen.
  7. Wiederherstellungen regelmäßig testen, jährlich Katastrophen simulieren. Führen Sie vollständige Wiederherstellungstests in isolierten Umgebungen regelmäßig durch. Simulieren Sie jährlich Katastrophen, die tatsächliche Datenverlustereignisse nachbilden, nicht nur Dateiebene-Prüfungen. Die NIST IR 8576 fordert jährliche Tests zur Wiederherstellung aus Backup-Prozessen.
  8. Wiederherstellung in isolierte Staging-Umgebungen, nicht in die Produktion. Air Gapped-Wiederherstellungskopien sollten in eine dedizierte isolierte Umgebung zurückgespielt werden, in der Sie die Systeme vor der Rückführung in die Produktion auf Sauberkeit prüfen. Führen Sie Verhaltensanomalie-Tools in der Staging-Umgebung aus, um sicherzustellen, dass keine erneute Infektion vorliegt, bevor die Systeme wieder angebunden werden.

Diese Praktiken machen Ihr Backup-Design widerstandsfähiger bei realen Vorfällen. Sie bereiten auch die Vorfallbeispiele vor, die zeigen, was passiert, wenn Wiederherstellungspfade erreichbar oder nicht verifiziert sind.

Ransomware-Vorfälle aus der Praxis und Backup-Lektionen

Reale Vorfälle machen das Backuprisiko greifbar.

  1. Norsk Hydro, 2019, LockerGoga-Ransomware. Als LockerGoga im März 2019 zuschlug, rief Norsk Hydro den Krisenfall aus und stellte in 40 Ländern auf manuelle Abläufe um, während Ransomware Dateien auf Tausenden Servern und PCs sperrte. Das Unternehmen meldete später 550–650 Millionen NOK Verluste für das erste Halbjahr 2019. Der Vorfall zeigte, wie sich operative Störungen auf die gesamte Organisation ausbreiten können, selbst wenn die Produktion im Notbetrieb weiterläuft – und wie Backup-Resilienz es Norsk Hydro ermöglichte, Systeme ohne Lösegeldzahlung wiederherzustellen.
  2. Colonial Pipeline, 2021, DarkSide-Ransomware. Das Unternehmen stellte nach dem Angriff den Pipeline-Betrieb ein, und das DOJ stellte 2,3 Millionen US-Dollar der 75 Bitcoin-Lösegeldzahlung sicher. CISAs DarkSide Advisory dokumentierte, wie der Angriff auf Geschäftssysteme zu erheblichen Betriebsstörungen in der kritischen Infrastruktur führte.
  3. MGM Resorts, 2023, Social Engineering und Ransomware-bedingte Störung. Nachdem Angreifer durch Social Engineering die Identity-Infrastruktur von MGM kompromittierten, schaltete das Unternehmen den Betrieb in Hotels und Casinos ab, um den Vorfall einzudämmen. MGM meldete später einen EBITDAR-Effekt von 100 Millionen US-Dollar für September 2023. Das Ereignis zeigte, wie Identitätskompromittierung zu umfassenden Ausfällen führen kann – weshalb Backup-Isolation allein ohne Identitätskontrollen nicht ausreicht.

Diese Vorfälle führen direkt zur abschließenden Frage: Wie kombinieren Sie Wiederherstellungsresilienz mit Kontrollen, die Angreifer stoppen, bevor sie Ihre Backup-Pfade vergiften, löschen oder erreichen können?

KI-gestützte Cybersicherheit

Verbessern Sie Ihre Sicherheitslage mit Echtzeit-Erkennung, maschineller Reaktion und vollständiger Transparenz Ihrer gesamten digitalen Umgebung.

Demo anfordern

Wichtige Erkenntnisse

Air Gapped Backups bieten eine architektonische Möglichkeit, mindestens eine Wiederherstellungskopie außerhalb der Reichweite routinemäßiger netzwerkbasierter Angriffe zu halten. Isolation ist ein wesentlicher Bestandteil jedes verteidigungsfähigen Ransomware-Wiederherstellungsplans. 

Implementieren Sie Air Gapped Backups nach der 3-2-1-1-0-Regel, testen Sie Wiederherstellungen regelmäßig, scannen Sie vor und nach der Speicherung und kombinieren Sie Backup-Isolation mit Behavioral AI-Prävention, um Bedrohungen zu stoppen, bevor sie Ihre Backup-Infrastruktur erreichen. Wenn Sie Offline-Backups und unveränderliche Backups als Teil Ihres umfassenden Cyber-Resilienz-Plans nutzen, benötigen Sie dennoch regelmäßige Validierung, um eine zuverlässige Ransomware-Wiederherstellung zu gewährleisten.

FAQs

Air-gapped-Backups sind isolierte Kopien kritischer Daten, die physisch oder logisch von Produktionsnetzwerken getrennt sind. Physische Air-Gaps verwenden Offline-Medien wie Bänder, die entfernt und extern gelagert werden. Logische Air-Gaps nutzen Netzwerksegmentierung, strikte Zugriffskontrollen und Unveränderlichkeit, um den Zugriff durch Angreifer einzuschränken. 

Beide Ansätze zielen darauf ab, mindestens eine Wiederherstellungskopie außerhalb der Reichweite netzwerkbasierter Angriffe zu halten, einschließlich Ransomware, die gezielt Backup-Infrastrukturen angreift, bevor die Verschlüsselung in der Produktion ausgelöst wird.

Unveränderliche Backups verhindern Änderungen oder Löschungen, nachdem die Daten geschrieben wurden, können jedoch weiterhin über das Netzwerk erreichbar bleiben. Air-gapped Backups isolieren Daten vom routinemäßigen Netzwerkzugriff, garantieren jedoch nicht, dass die Kopie beim Erstellen sauber war. 

Für eine stärkere Resilienz benötigen Sie beide Kontrollen: Unveränderlichkeit hilft, Manipulationen zu verhindern, während Air-Gapping die Reichweite von Angreifern einschränkt. Ihr Ransomware-Wiederherstellungsplan sollte außerdem Malware-Scans, Zugriffskontrollen und Wiederherstellungstests umfassen.

Die NIST SP 800-209 empfiehlt regelmäßige Integritätsprüfungen für kritische Daten, und die NIST IR 8576 legt jährliche Tests für die Wiederherstellung aus Backup-Verfahren fest. 

In der Praxis sollten Sie die Integrität kritischer Backups regelmäßig validieren, vollständige Wiederherstellungsübungen mindestens jährlich in isolierten Testumgebungen durchführen und die tatsächliche Wiederherstellungszeit bei jeder Übung mit Ihren dokumentierten RTO- und RPO-Zielen vergleichen. Häufigere Tests sind für Ihre kritischsten Systeme sinnvoll.

Cloud-Backups können als logisch Air Gapped gelten, wenn Sie sie durch separate Sicherheitsdomänen, unabhängige Authentifizierung, Objekt-Immutabilität und ausschließlich API-basierten Zugriff mit MFA isolieren. Standard-Cloud-Speicher allein schafft keine Air Gap. 

Sie müssen die Trennung gezielt konfigurieren, die Kontrollgrenzen klar dokumentieren und sicherstellen, dass Ihre Produktionsanmeldedaten während des normalen Betriebs nicht direkt auf das geschützte Backup-Set zugreifen, es verändern oder löschen können.

Das größte Risiko besteht darin, anzunehmen, dass eine echte Air Gap vorhanden ist, obwohl tatsächlich nur eine logische Isolierung mit autonomen Workflows besteht. Jeder geplante Replikationsauftrag, API-Aufruf oder jede Verbindung eines Backup-Agents schafft einen erreichbaren Pfad, den fortschrittliche Angreifer ausnutzen können. 

Sie sollten Ihre Architektur ehrlich prüfen, korrekt klassifizieren und kompensierende Kontrollen wie Unveränderlichkeit, MFA, Segmentierung, Genehmigungs-Workflows und wiederholte Wiederherstellungstests hinzufügen, damit Ihr Wiederherstellungsdesign Ihrer tatsächlichen Gefährdung entspricht.

Air-gapped Backups entsprechen den  Zero-Trust-Prinzipien, indem sie eine explizite Verifizierung auf der Backup-Infrastrukturebene erzwingen. Jeder Zugriffsanfrage erfordert Authentifizierung, die Autorisierung erfolgt nach dem Least-Privilege-RBAC-Prinzip, und alle Aktivitäten werden protokolliert und sind prüfbar. 

Die Air Gap stellt eine stärkere Einschränkung dar, indem sie den routinemäßigen Netzwerkzugriff zwischen den Backup-Zyklen entfernt. Duale Freigabeworkflows für destruktive Operationen bieten eine weitere Kontrolle, die verhindert, dass ein einzelnes kompromittiertes Konto Ihre Wiederherstellungsfähigkeit zerstört oder Ihre Cyber-Resilienz schwächt.

Erfahren Sie mehr über Cybersecurity

Was ist Remote Monitoring and Management (RMM) Security?Cybersecurity

Was ist Remote Monitoring and Management (RMM) Security?

Erfahren Sie, wie Bedrohungsakteure RMM-Tools für Ransomware-Angriffe ausnutzen, und entdecken Sie Erkennungsstrategien sowie bewährte Sicherheitspraktiken zum Schutz Ihrer Umgebung.

Mehr lesen
Address Resolution Protocol: Funktion, Typen & SicherheitCybersecurity

Address Resolution Protocol: Funktion, Typen & Sicherheit

Address Resolution Protocol übersetzt IP- in MAC-Adressen ohne Authentifizierung und ermöglicht so Spoofing-Angriffe. Erfahren Sie, wie SentinelOne ARP-basierte laterale Bewegungen erkennt und stoppt.

Mehr lesen
Was sind unveränderliche Backups? Autonomer Ransomware-SchutzCybersecurity

Was sind unveränderliche Backups? Autonomer Ransomware-Schutz

Unveränderliche Backups nutzen WORM-Technologie, um Wiederherstellungspunkte zu erstellen, die von Ransomware weder verschlüsselt noch gelöscht werden können. Erfahren Sie Best Practices für die Implementierung und häufige Fehler.

Mehr lesen
HUMINT in der Cybersicherheit für UnternehmenssicherheitsverantwortlicheCybersecurity

HUMINT in der Cybersicherheit für Unternehmenssicherheitsverantwortliche

HUMINT-Angriffe manipulieren Mitarbeitende dazu, Netzwerkzugang zu gewähren und umgehen so technische Kontrollen vollständig. Lernen Sie, sich gegen Social Engineering und Insider-Bedrohungen zu verteidigen.

Mehr lesen
Erleben Sie die fortschrittlichste Cybersecurity-Plattform

Erleben Sie die fortschrittlichste Cybersecurity-Plattform

Erfahren Sie, wie die intelligenteste und autonomste Cybersicherheitsplattform der Welt Ihr Unternehmen heute und in Zukunft schützen kann.

Demo anfordern
  • Fangen Sie an!
  • Demo anforden
  • Produkt-Tour
  • Warum SentinelOne
  • Preise & Pakete
  • FAQ
  • Kontakt
  • Kontaktieren Sie uns
  • Support
  • SentinelOne Status
  • Sprache
  • Plattform
  • Singularity Platform
  • Singularity Endpoint
  • Singularity Cloud
  • Singularity AI-SIEM
  • Singularity Identity
  • Singularity Marketplace
  • Purple AI
  • Services
  • Wayfinder TDR
  • SentinelOne GO
  • Technical Account Management
  • Support-Services
  • Branchen
  • Energieversorger
  • Öffentlicher Sektor
  • Finanzsektor
  • Gesundheitswesen
  • Hochschulen
  • Fertigungsindustrie
  • Retail
  • Regionale & kommunale Verwaltung
  • Cybersecurity for SMB
  • Ressourcen
  • Blog
  • Labs
  • Fallstudien
  • Videos
  • Produkt-Tour
  • Events
  • Cybersecurity 101
  • eBooks
  • Webinars
  • White Papers
  • Presse
  • News
  • Ransomware Anthologie
  • Unternehmen
  • Über uns
  • Unsere Kunden
  • Karriere
  • Partner
  • Legal & Compliance
  • Security & Compliance
  • S Foundation
  • S Ventures

©2026 SentinelOne, Alle Rechte vorbehalten.

Hinweis zum Datenschutz Nutzungsbedingungen

Deutsch