Ver­gleichs­ta­bel­le: Ran­som­wa­re-Resi­li­enz #

Kri­te­ri­umNAS/SANTapeCloud (S3/​Azure)Hard­ware Air Gap
**Netz­werk-Erreich­bar­keit**Ja (immer)Nein (off­line)Ja (immer)Nein (phy­sisch isoliert)
**Ran­som­wa­re-Risi­ko**Sehr hochNied­rigHochSehr nied­rig
**RTO**1 – 4h4 – 24h2 – 8h0,5 – 2h
**RPO**Stünd­lichTäg­lich – wöchentlichStünd­lichStünd­lich – täglich
**Daten­men­ge (rea­lis­tisch)**1 – 50TB10 – 1000TB1TB – unendlich10 – 500TB
**Lang­zeit­ar­chi­vie­rung**Mode­rat (5 – 7 Jahre)Her­vor­ra­gend (30 Jahre)Mode­rat (Ven­dor Lock)Gut (10 – 20 Jahre)
**Kos­ten (CAPEX)**10.000 – 50.000 EUR5.000 – 15.000 EURVaria­bel (Pay-as-you-go)40.000 – 80.000 EUR
**Kos­ten (OPEX/​Jahr)**2.500 – 5.000 EUR1.000 – 3.000 EUR2.500 – 50.000 EUR*5.000 – 10.000 EUR
**Com­pli­ance-Eig­nung (BSI)**Mode­ratHer­vor­ra­gendMode­ratHer­vor­ra­gend
**Auto­ma­ti­sie­rung**HochMode­ratHochHoch

*Cloud-Kos­ten sind stark daten­men­ge-abhän­gig und Egress-Kos­ten kön­nen erheb­lich sein.

Detail­lier­ter Ver­gleich nach Medi­um #

1. NAS / SAN (Netz­werk-Atta­ched Sto­rage) #

Funk­ti­ons­wei­se:

  • Back­up-Soft­ware schreibt auf Netz­werk-Share (SMBNFS)
  • NAS/SAN ist immer erreich­bar (24÷7 online)
  • Oft mit Snapshots (für schnel­le Point-in-Time-Recovery)

Ran­som­wa­re-Sze­na­rio:

 hat Admin-Rechte
→ Findet NAS-Credentials in Backup-Software-Config
→ Verbindet sich zu NAS-Share
→ Löscht oder verschlüsselt Backup-Daten

Ran­som­wa­re-Resi­li­enz: ❌ Sehr schwach

War­um?

  • Netz­werk-erreich­bar (cre­den­ti­als exis­tie­ren lokal)
  • Kei­ne unver­än­der­li­chen Mecha­nis­men (Admin kann alles löschen)
  • Snapshots sind lokal (auf glei­chen Fest­plat­ten wie Daten)

Wann nut­zen?

  • Nur für Kurz­zeit-Back­up (Hot Reco­very, 24 – 48h)
  • Nicht für -Schutz
  • Immer kom­bi­nie­ren mit Tape/​Hardware Air Gap

Kos­ten: Nied­rig (CAPEX), aber hohe Betriebskosten

2. Tape (LTO) #

Funk­ti­ons­wei­se:

  • Daten wer­den auf LTO-Tape (Car­tridge) geschrieben
  • Tape wird off­line ins Lager gebracht
  • Lang­zeit­ar­chi­vie­rung über Jahrzehnte

Ran­som­wa­re-Sze­na­rio:

Tape-Cartridge ist offline im Lager
→  kann es nicht erreichen (nicht netzwerk-erreichbar)
→ Backup ist sicher

Ran­som­wa­re-Resi­li­enz: ✅ Stark

War­um?

  • Off­line-Spei­che­rung (phy­sisch isoliert)
  • Unver­än­der­lich (, hardware-basiert)
  • Lang­zeit­ar­chi­vie­rung (30+ Jah­re möglich)

Nach­tei­le:

  • Lan­ge RTO (Tape muss geholt wer­den): 4 – 24h
  • Manu­el­le Pro­zes­se (Feh­ler­po­ten­ti­al)
  • Gro­ßes RPO (täg­lich bis wöchentlich)

Wann nut­zen?

  • Lang­zeit­ar­chi­vie­rung
  • Com­pli­ance-Anfor­de­run­gen (7 – 30 Jahre)
  • Dis­as­ter Reco­very (geo­gra­fisch ver­teil­te Tapes)

Kos­ten: Mode­rat (CAPEX), nied­rig (OPEX)

3. Cloud (AWS S3, Azu­re Blob, Goog­le Cloud) #

Funk­ti­ons­wei­se:

  • Daten wer­den via HTTPS zu Cloud-Pro­vi­der übertragen
  • () kann akti­viert sein
  • Ska­lier­bar auf unbe­grenz­te Größe

Ran­som­wa­re-Sze­na­rio:

 findet AWS-Credentials lokal (in Config-Datei)
→ Verbindet sich zu S3 mit gestohlenen Credentials
→ Löscht oder verschlüsselt Backups (Governance Mode umgehbar)

Ran­som­wa­re-Resi­li­enz: ⚠️ Moderat-schwach

War­um schwach?

  • Cre­den­ti­als sind lokal erreich­bar (sie­he Arti­kel Cloud-Back­ups kei­nen ech­ten Schutz”)
  • Gover­nan­ce Mode ist mit Admin-Cre­den­ti­als umgehbar
  • Com­pli­ance Mode ist starr (lan­ge War­te­zei­ten für ech­te Deletion)

Wann nut­zen?

  • Geo­gra­fi­sche Redundanz
  • Dis­as­ter Reco­very (sekun­där)
  • Unkri­ti­sche Daten
  • Nie­mals allein für -Schutz

Kos­ten: Pay-as-you-go, kann teu­er wer­den (Egress-Kos­ten)

4. Hard­ware Air Gap (Silent Brick Max Air) #

Funk­ti­ons­wei­se:

  • Back­up-Daten über siche­re Ver­bin­dung geschrieben
  • Nach Back­up: Netz­werk-Ver­bin­dung wird phy­sisch getrennt
  • Auf Hard­ware-Firm­ware: unver­än­der­lich (Hard­ware-)
  • Daten sind off­line und nicht adressierbar

Ran­som­wa­re-Sze­na­rio:

 hat Admin-Rechte
→ Versucht,  zu erreichen
→ Kein Netzwerk-Interface vorhanden
→ Zugriff unmöglich
→ Backup ist sicher

Ran­som­wa­re-Resi­li­enz: ✅ Sehr stark

War­um?

  • Phy­sisch iso­liert (kein Netzwerk-Interface)
  • Hard­ware- (Firm­ware-basiert, nicht umgehbar)
  • Auto­ma­ti­siert (weni­ger mensch­li­che Fehler)

Wann nut­zen?

  • Kri­ti­sche Sys­te­me (Domä­ne, ERP, E‑Mail)
  • Täg­li­che Back­ups mit schnel­lem RTO
  • Com­pli­ance-Anfor­de­run­gen (mit Firmware-)

Kos­ten: Höher (CAPEX), aber nied­rig (OPEX, kaum Administration)

Mul­ti-Tier Back­up-Stra­te­gie (emp­foh­len) #

Kein ein­zel­nes Medi­um ist opti­mal. Emp­foh­le­ne Stra­te­gie nach Systemkritikalität:

Tier 1: Hot Reco­very (Schnel­le Wie­der­her­stel­lung) #

  • Medi­um: NAS/​Snapshots
  • RTO: 1 – 4 Stunden
  • Erhal­tungs­dau­er: 48 Stun­den – 7 Tage
  • Zweck: Schnel­le loka­le Recovery
  • Ran­som­wa­re-Schutz: ❌ Nein

Tier 2: Off­line Back­up (Ran­som­wa­re-Schutz) #

  • Medi­um: Hard­ware oder Tape
  • RTO: 0,5 – 24 Stunden
  • Erhal­tungs­dau­er: Unbegrenzt
  • Zweck: Lang­zeit­schutz, ech­te Offline-Sicherung
  • Ran­som­wa­re-Schutz: ✅ Ja

Tier 3: Geo­gra­fi­sche Red­un­danz (Dis­as­ter Reco­very) #

  • Medi­um: Cloud (secon­da­ry)
  • RTO: 2 – 8 Stunden
  • Erhal­tungs­dau­er: 90 Tage – 1 Jahr
  • Zweck: Schutz vor Rechenzentrum-Ausfall
  • Ran­som­wa­re-Schutz: ⚠️ Moderat

Bei­spiel-Umset­zung für kri­ti­sche Systeme:

Montag:   Snapshot zu NAS (Hot Recovery)
Täglich:  Backup zu  (Tier 2) um 22:00
Wöchentlich: Kopie zu Cloud für  (Tier 3)
Monatlich: Recovery-Test aus

Ent­schei­dungs­baum: Wel­ches Medi­um für wel­che Daten? #

Ist die Datenmenge > 100 TB?
├─ Ja → Tape (Langzeitarchivierung)
└─ Nein → Größe > 10 TB?
    ├─ Ja →  + Cloud (Hybrid)
    └─ Nein → Brauche ich < 4h RTO?
        ├─ Ja → 
        └─ Nein → Tape oder 

Ist die Datenmenge kritisch?
├─ Ja →  (Tier 2) + Cloud (Tier 3)
└─ Nein → NAS + Cloud genügt

Brauche ich Langzeitarchivierung (> 7 Jahre)?
├─ Ja → Tape (30+ Jahre möglich)
└─ Nein →  oder Cloud

Häu­fi­ge Fra­gen #

Soll­te ich nur ein Medi­um nutzen? Nein. Red­un­danz ist wich­tig. Min­des­tens zwei unter­schied­li­che Medi­en: eines off­line (Tape/​), eines online (NAS) oder eines geo­gra­fisch ver­teilt (Cloud).

Ist Tape tot? Nein, abso­lut nicht. Tape ist opti­mal für Lang­zeit­ar­chi­vie­rung und hat eine 30+ Jah­re Lebens­dau­er. Aller­dings erfor­dert Tape manu­el­le Pro­zes­se. Hard­ware auto­ma­ti­siert das besser.

War­um ist Cloud allein nicht genug? Weil Cre­den­ti­als gestoh­len wer­den kön­nen. Cloud ist opti­mal für Tier 3 (geo­gra­fi­sche Red­un­danz), nicht für pri­mä­ren Ran­som­wa­re-Schutz. Der pri­mä­re Schutz muss off­line sein: Tape oder Hard­ware Air Gap.

Was kos­tet eine siche­re Multi-Tier-Lösung? Bei­spiel für ein 20-TB-Umfeld:

  • Tier 1 (NAS): 15.000 EUR
  • Tier 2 (Hard­ware ): 60.000 EUR
  • Tier 3 (Cloud): 500 EUR/​Monat
  • Total 5‑Jah­res-Kos­ten: ~100.000 – 150.000 EUR (Per­so­nal nicht mitgerechnet)

Disclaimer

Dieser Beitrag wurde redaktionell erstellt und mit KI-Unterstützung aufbereitet. Er gibt einen allgemeinen Überblick und stellt keine Rechtsberatung dar – für Ihre konkrete Situation empfehlen wir professionellen Rat.