--- title: "Air Gap als Resilienz-Layer: Warum Tier 2 über alles entscheidet" date: 2026-04-03T15:50:00+02:00 author: FAST LTA canonical_url: "https://www.fast-lta.de//de/blog/air-gap-als-resilienz-layer-warum-tier-2-über-alles-entscheidet" section: "Entries: Articles" --- ### Warum Tier 1 (Online) gegen Ransomware versagt [\#](#warum-tier-1-online-gegen-ransomware-versagt "Warum Tier 1 (Online) gegen Ransomware versagt") **Szenario:** Ein Angreifer hat Ihr Netzwerk kompromittiert. Der Fileserver ist verschlüsselt. Sie versuchen, aus Tier 1 Backups wiederherzustellen. **Problem 1: Der Angreifer hat auch Zugriff auf Tier 1**Wenn der Angreifer Admin-Zugriff auf Ihr Netzwerk hat (und er hat es, bei echter Kompromittierung), kann er auch das Backup-System erreichen. Er kann: - Tier 1 Backups löschen - Tier 1 Backups verschlüsseln (Double Extortion: Geschäftsdaten + Backup-Daten) - Tier 1 Backups ändern (Silent Encryption: Änderungen werden in Backups replikiert) **Problem 2: Automatische Synchronisation**Viele Backup-Systeme synchronisieren täglich oder sogar stündlich. Wenn der Angreifer die Encryption startet und Ihre Backups synchronisieren am gleichen Tag — ist die Encryption auch in Backup. Sie haben nur 24 Stunden um das zu bemerken. **Statistik:** 76% der Ransomware-Opfer hatten Backups (Veeam 2024). Aber 60%+ der Opfer konnten ihre Backups nicht nutzen, weil die auch kompromittiert waren. ### Warum Tier 4 (Cloud) gegen Ransomware versagt [\#](#warum-tier-4-cloud-gegen-ransomware-versagt "Warum Tier 4 (Cloud) gegen Ransomware versagt") **Szenario:** Sie haben AWS S3 Backups. Der Angreifer kompromittiert Ihr Netzwerk und findet die AWS Credentials im Code oder in Umgebungsvariablen. **Problem 1: Cloud-Credentials sind im Netzwerk**Wenn Ihre Applikationen mit AWS sprechen, existierten die AWS Credentials *im Netzwerk*. Ein Angreifer kann diese credentials stehlen und direkt auf AWS zugreifen — unabhängig von Ihrem On-Premises Netzwerk. **Problem 2: S3 kann Zugriff nicht verhindern**Wenn der Angreifer gültige Credentials hat, kann AWS nicht unterscheiden zwischen “authorisiertem Zugriff” und “angegriffener Zugriff”. Der Angreifer kann S3 Backups löschen oder mit CryptoLocker Ransomware verschlüsseln. **Problem 3: Verzögertes Erkennen**Im Gegensatz zu On-Prem Backups, die Sie täglich nutzen und sehen, können Sie Cloud-Backups vergessen. Wenn der Angreifer S3 Backups 3 Wochen vor Ihrer Erkennung löscht, wissen Sie davon nichts bis Recovery-Zeit. **Statistik:** Viele Organisationen nutzen Cloud als “Backup” — aber Cloud ist keine Isolation gegen kompromittierte Credentials. ### Das Air-Gap-Konzept [\#](#das-air-gap-konzept "Das Air-Gap-Konzept") Air Gap bedeutet: **Physische oder logische Isolation vom Produktions-Netzwerk.** Das heißt konkret: 1. **Kopie wird erstellt** (aus Tier 1 Backups oder direkt) 2. **Kopie wird auf isolierte Hardware gelegt** (Silent Brick oder externe USB) 3. **Hardware wird physisch vom Netzwerk getrennt** (Netzwerk-Kabel raus) 4. **Hardware wird in Tresor gelagert** (physisch sicher) 5. **Für Recovery: Hardware wird wieder angeschlossen** (manueller, bewusster Prozess) Der Angreifer kann: - Tier 1 löschen ✓ (netzwerk-verbunden, erreichbar) - Tier 4 löschen ✓ (Credentials gestohlen) - Tier 2 löschen ✗ (physisch nicht erreichbar, offline) Das ist die Sicherheit des Air Gap. ### Praktische Air-Gap-Implementierung [\#](#praktische-air-gap-implementierung "Praktische Air-Gap-Implementierung") **Schritt 1: Wöchentliche Kopie**Jeden Freitag: - Backup-Admin verbindet Silent Brick mit Netzwerk - Tier 1 Backups werden auf Silent Brick kopiert - Kopie-Prozess wird verifikiert (Checksums überprüft) - Silent Brick wird vom Netzwerk disconnected - Hardware wird in Tresor gelagert **Schritt 2: Offline-Lagerung** - Silent Brick bleibt 7 Tage offline - In dieser Zeit kann der Angreifer die Hardware nicht erreichen - Nach 7 Tagen wird die alte Kopie überschrieben (Wiederverwendung der Hardware) **Schritt 3: Recovery** - Im Falle eines Angriffs wird Silent Brick aus Tresor geholt - Hardware wird mit Recovery-Server verbunden (in isolierter Zone) - Daten werden wiederhergestellt (komplett offline von Produktions-Netzwerk) - Nach Recovery können die Daten schrittweise zurück zu Production Das ist kein hochtech Prozess — das ist elegante Simplizität. ### Szenario-Analyse: Was überlebt einen vollständigen Kompromiss? [\#](#szenario-analyse-was-%C3%BCberlebt-einen-vollst%C3%A4ndigen-kompromiss "Szenario-Analyse: Was überlebt einen vollständigen Kompromiss?") **Szenario:** Angreifer mit vollständiger Kontrolle des Produktions-Netzwerks. 72 Stunden Zugriff. TierTag 1Tag 2Tag 3Recovery-Status\*\*Tier 1 (Online)\*\*VerschlüsseltWegWeg✗ Verloren\*\*Tier 4 (Cloud)\*\*Credentials gestohlenGelöschtWeg✗ Verloren\*\*Tier 3 (WORM)\*\*UnerreichbarUnerreichbarUnerreichbar✗ Langfristig, aber keine schnelle Recovery\*\*Tier 2 (Air Gap)\*\*OfflineOfflineOffline✓ VerfügbarNur Tier 2 überlebt wirklich unversehrt. ### Die kritische Phase: “Was ist, wenn Tier 2 auch bekannt ist?” [\#](#die-kritische-phase-was-ist-wenn-tier-2-auch-bekannt-ist "Die kritische Phase: ") Ein berechtigtes Angstnis: “Was ist, wenn der Angreifer nicht nur das Production-Netzwerk kompromittiert, sondern auch weiß, dass wir Tier 2 Backups haben — und die versucht zu finden?” Antwort: **Physische Sicherheit.** Wenn die Tier 2 Hardware im Tresor ist, und der Angreifer hat nicht physischen Zugang zum Gebäude, kann er die Hardware nicht löschen. Das ist warum Tier 2 auch physisch sauber gelagert werden muss — nicht im Serverraum (zugänglich vom Netzwerk), sondern im Tresor oder Bank-Safe. Das ist im übrigen auch die Empfehlung von NIST, BSI und anderen Standards: Offline Backups sollten physisch sicher aufbewahrt werden. ### Die Rolle der Recovery-Verifikation [\#](#die-rolle-der-recovery-verifikation "Die Rolle der Recovery-Verifikation") Ein wichtiger Punkt: Tier 2 ist nur so gut, wie die Verifikation. Ein Angreifer könnte theoretisch: 1. Auf einen älteren Backup zugreifen (wenn physische Sicherheit nicht perfekt ist) 2. Diesen Backup verändern (Malware einschleusen) 3. Den Backup wieder lagern 4. Wenn Sie ihn später nutzen, ist die Malware auch dort Lösung: **Verifizierte Wiederherstellbarkeit** - Regelmäßige Recovery-Tests direkt aus Tier 2 (nicht aus Tier 1) - Integrität-Checks nach Recovery (Antivirus, Hash-Verifikation) - Isolierte Recovery-Umgebung (nicht direkt in Production) Das macht Tier 2 zu einer wirklichen Versicherungs-Ebene. ### Häufige Fehler bei Air-Gap-Implementierung [\#](#h%C3%A4ufige-fehler-bei-air-gap-implementierung "Häufige Fehler bei Air-Gap-Implementierung") **Fehler 1: Air Gap ist nicht wirklich offline**“Wir haben einen isolierten Server, aber er ist mit Netzwerk-Kabel noch verbunden für ‘Notfälle’.” Das ist nicht Air Gap. Echte Isolation bedeutet: Kabel raus, wenn offline. **Fehler 2: Nur eine Kopie**“Wir haben eine Air-Gap-Kopie — aber nur eine alte.” Lösung: Mehrere Kopien, rotierend. Mindestens 4 Wochen alte Kopien vorhalten. **Fehler 3: Zu langsamer Kopier-Prozess**“Unser Air-Gap Kopier-Prozess dauert 12 Stunden.” Das ist zu langsam und zu fehleranfällig. Mit Silent Brick sind 2-4 Stunden realistisch. **Fehler 4: Keine Verifikation**“Wir kopieren auf Air-Gap, aber überprüfen nie ob die Daten konsistent sind.” Recovery wird scheitern wenn Sie es brauchen. Immer verifizieren: Checksums, Größe, Metadaten. ### Häufige Fragen [\#](#h%C3%A4ufige-fragen "Häufige Fragen") **Ist Tape-Backup ein Air Gap?**Ja, wenn Tape regelmäßig vom Netzwerk getrennt und offline gelagert wird. Aber Tape ist langsamer als SSD-basierte Hardware (Silent Brick). **Können wir Air-Gap mit WORM kombinieren?**Ja. Tier 2 (Air-Gap Isolation) + Tier 3 (Hardware-WORM) = maximale Resilienz. **Brauchen KMUs auch Air Gap?**Ja. Für ein KMU ist Air Gap sogar noch wichtiger, weil die Resilienz-Infrastruktur weniger robust ist. Eine wöchentliche Hand-Kopie auf externe Hardware ist besser als nichts. --- ### Ransomware Ransomware ist Schadsoftware, die Daten auf infizierten Systemen verschlüsselt und ein Lösegeld für die Entschlüsselung fordert — mit dem Ziel, Unternehmen und Behörden zur Zahlung zu zwingen, indem sie deren Betrieb lahmlegen. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/ransomware) ### Ransomware Ransomware ist Schadsoftware, die Daten auf infizierten Systemen verschlüsselt und ein Lösegeld für die Entschlüsselung fordert — mit dem Ziel, Unternehmen und Behörden zur Zahlung zu zwingen, indem sie deren Betrieb lahmlegen. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/ransomware) ### Air Gap Ein Air Gap ist die physische Unterbrechung jeder Netzwerkverbindung zwischen einem Backup-System und der übrigen IT-Infrastruktur, sodass das System im Offline-Zustand keine adressierbare Netzwerkschnittstelle besitzt und damit für Ransomware und Angreifer unerreichbar ist. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/air-gap) ### Air Gap Ein Air Gap ist die physische Unterbrechung jeder Netzwerkverbindung zwischen einem Backup-System und der übrigen IT-Infrastruktur, sodass das System im Offline-Zustand keine adressierbare Netzwerkschnittstelle besitzt und damit für Ransomware und Angreifer unerreichbar ist. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/air-gap) ### Air Gap Ein Air Gap ist die physische Unterbrechung jeder Netzwerkverbindung zwischen einem Backup-System und der übrigen IT-Infrastruktur, sodass das System im Offline-Zustand keine adressierbare Netzwerkschnittstelle besitzt und damit für Ransomware und Angreifer unerreichbar ist. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/air-gap) ### Air Gap Ein Air Gap ist die physische Unterbrechung jeder Netzwerkverbindung zwischen einem Backup-System und der übrigen IT-Infrastruktur, sodass das System im Offline-Zustand keine adressierbare Netzwerkschnittstelle besitzt und damit für Ransomware und Angreifer unerreichbar ist. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/air-gap) ### Air Gap Ein Air Gap ist die physische Unterbrechung jeder Netzwerkverbindung zwischen einem Backup-System und der übrigen IT-Infrastruktur, sodass das System im Offline-Zustand keine adressierbare Netzwerkschnittstelle besitzt und damit für Ransomware und Angreifer unerreichbar ist. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/air-gap) ### WORM WORM (Write Once, Read Many) bezeichnet ein Speicherprinzip, bei dem Daten einmal geschrieben und danach technisch nicht mehr verändert oder gelöscht werden können — bei Hardware-WORM ist diese Unveränderlichkeit eine physikalische Eigenschaft des Speicher-Controllers, unabhängig von Software, Betriebssystem oder Benutzerprivilegien. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/worm) ### WORM WORM (Write Once, Read Many) bezeichnet ein Speicherprinzip, bei dem Daten einmal geschrieben und danach technisch nicht mehr verändert oder gelöscht werden können — bei Hardware-WORM ist diese Unveränderlichkeit eine physikalische Eigenschaft des Speicher-Controllers, unabhängig von Software, Betriebssystem oder Benutzerprivilegien. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/worm) ### WORM WORM (Write Once, Read Many) bezeichnet ein Speicherprinzip, bei dem Daten einmal geschrieben und danach technisch nicht mehr verändert oder gelöscht werden können — bei Hardware-WORM ist diese Unveränderlichkeit eine physikalische Eigenschaft des Speicher-Controllers, unabhängig von Software, Betriebssystem oder Benutzerprivilegien. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/worm) ### Air Gap Ein Air Gap ist die physische Unterbrechung jeder Netzwerkverbindung zwischen einem Backup-System und der übrigen IT-Infrastruktur, sodass das System im Offline-Zustand keine adressierbare Netzwerkschnittstelle besitzt und damit für Ransomware und Angreifer unerreichbar ist. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/air-gap) ### Air Gap Ein Air Gap ist die physische Unterbrechung jeder Netzwerkverbindung zwischen einem Backup-System und der übrigen IT-Infrastruktur, sodass das System im Offline-Zustand keine adressierbare Netzwerkschnittstelle besitzt und damit für Ransomware und Angreifer unerreichbar ist. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/air-gap)