Artikel vom 3. April 2026
Air Gap als Resilienz-Layer: Warum Tier 2 über alles entscheidet
Warum Tier 1 (Online) gegen Ransomware versagt #
Szenario: Ein Angreifer hat Ihr Netzwerk kompromittiert. Der Fileserver ist verschlüsselt. Sie versuchen, aus Tier 1 Backups wiederherzustellen.
Problem 1: Der Angreifer hat auch Zugriff auf Tier 1 Wenn der Angreifer Admin-Zugriff auf Ihr Netzwerk hat (und er hat es, bei echter Kompromittierung), kann er auch das Backup-System erreichen. Er kann:
- Tier 1 Backups löschen
- Tier 1 Backups verschlüsseln (Double Extortion: Geschäftsdaten + Backup-Daten)
- Tier 1 Backups ändern (Silent Encryption: Änderungen werden in Backups replikiert)
Problem 2: Automatische Synchronisation Viele Backup-Systeme synchronisieren täglich oder sogar stündlich. Wenn der Angreifer die Encryption startet und Ihre Backups synchronisieren am gleichen Tag — ist die Encryption auch in Backup. Sie haben nur 24 Stunden um das zu bemerken.
Statistik: 76% der -Opfer hatten Backups (Veeam 2024). Aber 60%+ der Opfer konnten ihre Backups nicht nutzen, weil die auch kompromittiert waren.
Warum Tier 4 (Cloud) gegen Ransomware versagt #
Szenario: Sie haben AWS S3 Backups. Der Angreifer kompromittiert Ihr Netzwerk und findet die AWS Credentials im Code oder in Umgebungsvariablen.
Problem 1: Cloud-Credentials sind im Netzwerk Wenn Ihre Applikationen mit AWS sprechen, existierten die AWS Credentials im Netzwerk. Ein Angreifer kann diese credentials stehlen und direkt auf AWS zugreifen — unabhängig von Ihrem On-Premises Netzwerk.
Problem 2: S3 kann Zugriff nicht verhindern Wenn der Angreifer gültige Credentials hat, kann AWS nicht unterscheiden zwischen “authorisiertem Zugriff” und “angegriffener Zugriff”. Der Angreifer kann S3 Backups löschen oder mit CryptoLocker verschlüsseln.
Problem 3: Verzögertes Erkennen Im Gegensatz zu On-Prem Backups, die Sie täglich nutzen und sehen, können Sie Cloud-Backups vergessen. Wenn der Angreifer S3 Backups 3 Wochen vor Ihrer Erkennung löscht, wissen Sie davon nichts bis Recovery-Zeit.
Statistik: Viele Organisationen nutzen Cloud als “Backup” — aber Cloud ist keine Isolation gegen kompromittierte Credentials.
Das Air-Gap-Konzept #
bedeutet: Physische oder logische Isolation vom Produktions-Netzwerk.
Das heißt konkret:
- Kopie wird erstellt (aus Tier 1 Backups oder direkt)
- Kopie wird auf isolierte Hardware gelegt (Silent Brick oder externe USB)
- Hardware wird physisch vom Netzwerk getrennt (Netzwerk-Kabel raus)
- Hardware wird in Tresor gelagert (physisch sicher)
- Für Recovery: Hardware wird wieder angeschlossen (manueller, bewusster Prozess)
Der Angreifer kann:
- Tier 1 löschen ✓ (netzwerk-verbunden, erreichbar)
- Tier 4 löschen ✓ (Credentials gestohlen)
- Tier 2 löschen ✗ (physisch nicht erreichbar, offline)
Das ist die Sicherheit des .
Praktische Air-Gap-Implementierung #
Schritt 1: Wöchentliche Kopie Jeden Freitag:
- Backup-Admin verbindet Silent Brick mit Netzwerk
- Tier 1 Backups werden auf Silent Brick kopiert
- Kopie-Prozess wird verifikiert (Checksums überprüft)
- Silent Brick wird vom Netzwerk disconnected
- Hardware wird in Tresor gelagert
Schritt 2: Offline-Lagerung
- Silent Brick bleibt 7 Tage offline
- In dieser Zeit kann der Angreifer die Hardware nicht erreichen
- Nach 7 Tagen wird die alte Kopie überschrieben (Wiederverwendung der Hardware)
Schritt 3: Recovery
- Im Falle eines Angriffs wird Silent Brick aus Tresor geholt
- Hardware wird mit Recovery-Server verbunden (in isolierter Zone)
- Daten werden wiederhergestellt (komplett offline von Produktions-Netzwerk)
- Nach Recovery können die Daten schrittweise zurück zu Production
Das ist kein hochtech Prozess — das ist elegante Simplizität.
Szenario-Analyse: Was überlebt einen vollständigen Kompromiss? #
Szenario: Angreifer mit vollständiger Kontrolle des Produktions-Netzwerks. 72 Stunden Zugriff.
| Tier | Tag 1 | Tag 2 | Tag 3 | Recovery-Status |
|---|---|---|---|---|
| **Tier 1 (Online)** | Verschlüsselt | Weg | Weg | ✗ Verloren |
| **Tier 4 (Cloud)** | Credentials gestohlen | Gelöscht | Weg | ✗ Verloren |
| **Tier 3 (WORM)** | Unerreichbar | Unerreichbar | Unerreichbar | ✗ Langfristig, aber keine schnelle Recovery |
| **Tier 2 (Air Gap)** | Offline | Offline | Offline | ✓ Verfügbar |
Nur Tier 2 überlebt wirklich unversehrt.
Die kritische Phase: “Was ist, wenn Tier 2 auch bekannt ist?” #
Ein berechtigtes Angstnis: “Was ist, wenn der Angreifer nicht nur das Production-Netzwerk kompromittiert, sondern auch weiß, dass wir Tier 2 Backups haben — und die versucht zu finden?”
Antwort: Physische Sicherheit.
Wenn die Tier 2 Hardware im Tresor ist, und der Angreifer hat nicht physischen Zugang zum Gebäude, kann er die Hardware nicht löschen. Das ist warum Tier 2 auch physisch sauber gelagert werden muss — nicht im Serverraum (zugänglich vom Netzwerk), sondern im Tresor oder Bank-Safe.
Das ist im übrigen auch die Empfehlung von NIST, BSI und anderen Standards: Offline Backups sollten physisch sicher aufbewahrt werden.
Die Rolle der Recovery-Verifikation #
Ein wichtiger Punkt: Tier 2 ist nur so gut, wie die Verifikation.
Ein Angreifer könnte theoretisch:
- Auf einen älteren Backup zugreifen (wenn physische Sicherheit nicht perfekt ist)
- Diesen Backup verändern (Malware einschleusen)
- Den Backup wieder lagern
- Wenn Sie ihn später nutzen, ist die Malware auch dort
Lösung: Verifizierte Wiederherstellbarkeit
- Regelmäßige Recovery-Tests direkt aus Tier 2 (nicht aus Tier 1)
- Integrität-Checks nach Recovery (Antivirus, Hash-Verifikation)
- Isolierte Recovery-Umgebung (nicht direkt in Production)
Das macht Tier 2 zu einer wirklichen Versicherungs-Ebene.
Häufige Fehler bei Air-Gap-Implementierung #
Fehler 1: ist nicht wirklich offline “Wir haben einen isolierten Server, aber er ist mit Netzwerk-Kabel noch verbunden für ‘Notfälle’.”
Das ist nicht . Echte Isolation bedeutet: Kabel raus, wenn offline.
Fehler 2: Nur eine Kopie “Wir haben eine Air-Gap-Kopie — aber nur eine alte.”
Lösung: Mehrere Kopien, rotierend. Mindestens 4 Wochen alte Kopien vorhalten.
Fehler 3: Zu langsamer Kopier-Prozess “Unser Air-Gap Kopier-Prozess dauert 12 Stunden.”
Das ist zu langsam und zu fehleranfällig. Mit Silent Brick sind 2-4 Stunden realistisch.
Fehler 4: Keine Verifikation “Wir kopieren auf Air-Gap, aber überprüfen nie ob die Daten konsistent sind.”
Recovery wird scheitern wenn Sie es brauchen. Immer verifizieren: Checksums, Größe, Metadaten.
Häufige Fragen #
Ist Tape-Backup ein ? Ja, wenn Tape regelmäßig vom Netzwerk getrennt und offline gelagert wird. Aber Tape ist langsamer als SSD-basierte Hardware (Silent Brick).
Können wir Air-Gap mit kombinieren? Ja. Tier 2 (Air-Gap Isolation) + Tier 3 () = maximale Resilienz.
Brauchen KMUs auch ? Ja. Für ein KMU ist sogar noch wichtiger, weil die Resilienz-Infrastruktur weniger robust ist. Eine wöchentliche Hand-Kopie auf externe Hardware ist besser als nichts.
Ransomware
Ransomware ist Schadsoftware, die Daten auf infizierten Systemen verschlüsselt und ein Lösegeld für die Entschlüsselung fordert — mit dem Ziel, Unternehmen und Behörden zur Zahlung zu zwingen, indem sie deren Betrieb lahmlegen.
Ransomware
Ransomware ist Schadsoftware, die Daten auf infizierten Systemen verschlüsselt und ein Lösegeld für die Entschlüsselung fordert — mit dem Ziel, Unternehmen und Behörden zur Zahlung zu zwingen, indem sie deren Betrieb lahmlegen.
Air Gap
Ein Air Gap ist die physische Unterbrechung jeder Netzwerkverbindung zwischen einem Backup-System und der übrigen IT-Infrastruktur, sodass das System im Offline-Zustand keine adressierbare Netzwerkschnittstelle besitzt und damit für Ransomware und Angreifer unerreichbar ist.
Air Gap
Ein Air Gap ist die physische Unterbrechung jeder Netzwerkverbindung zwischen einem Backup-System und der übrigen IT-Infrastruktur, sodass das System im Offline-Zustand keine adressierbare Netzwerkschnittstelle besitzt und damit für Ransomware und Angreifer unerreichbar ist.
Air Gap
Ein Air Gap ist die physische Unterbrechung jeder Netzwerkverbindung zwischen einem Backup-System und der übrigen IT-Infrastruktur, sodass das System im Offline-Zustand keine adressierbare Netzwerkschnittstelle besitzt und damit für Ransomware und Angreifer unerreichbar ist.
Air Gap
Ein Air Gap ist die physische Unterbrechung jeder Netzwerkverbindung zwischen einem Backup-System und der übrigen IT-Infrastruktur, sodass das System im Offline-Zustand keine adressierbare Netzwerkschnittstelle besitzt und damit für Ransomware und Angreifer unerreichbar ist.
Air Gap
Ein Air Gap ist die physische Unterbrechung jeder Netzwerkverbindung zwischen einem Backup-System und der übrigen IT-Infrastruktur, sodass das System im Offline-Zustand keine adressierbare Netzwerkschnittstelle besitzt und damit für Ransomware und Angreifer unerreichbar ist.
WORM
WORM (Write Once, Read Many) bezeichnet ein Speicherprinzip, bei dem Daten einmal geschrieben und danach technisch nicht mehr verändert oder gelöscht werden können — bei Hardware-WORM ist diese Unveränderlichkeit eine physikalische Eigenschaft des Speicher-Controllers, unabhängig von Software, Betriebssystem oder Benutzerprivilegien.
WORM
WORM (Write Once, Read Many) bezeichnet ein Speicherprinzip, bei dem Daten einmal geschrieben und danach technisch nicht mehr verändert oder gelöscht werden können — bei Hardware-WORM ist diese Unveränderlichkeit eine physikalische Eigenschaft des Speicher-Controllers, unabhängig von Software, Betriebssystem oder Benutzerprivilegien.
WORM
WORM (Write Once, Read Many) bezeichnet ein Speicherprinzip, bei dem Daten einmal geschrieben und danach technisch nicht mehr verändert oder gelöscht werden können — bei Hardware-WORM ist diese Unveränderlichkeit eine physikalische Eigenschaft des Speicher-Controllers, unabhängig von Software, Betriebssystem oder Benutzerprivilegien.
Air Gap
Ein Air Gap ist die physische Unterbrechung jeder Netzwerkverbindung zwischen einem Backup-System und der übrigen IT-Infrastruktur, sodass das System im Offline-Zustand keine adressierbare Netzwerkschnittstelle besitzt und damit für Ransomware und Angreifer unerreichbar ist.
Air Gap
Ein Air Gap ist die physische Unterbrechung jeder Netzwerkverbindung zwischen einem Backup-System und der übrigen IT-Infrastruktur, sodass das System im Offline-Zustand keine adressierbare Netzwerkschnittstelle besitzt und damit für Ransomware und Angreifer unerreichbar ist.