--- title: "Isolated Recovery Environment: Aufbau einer geschützten Recovery-Zone" date: 2026-05-25T10:40:00+02:00 author: FAST LTA canonical_url: "https://www.fast-lta.de//de/blog/isolated-recovery-environment-aufbau-einer-geschützten-recovery-zone" section: "Entries: Articles" --- ### Das IRE-Kon­zept [\#](#das-ire-konzept "Das IRE-Konzept") Eine IRE ist **Zone 3** in der Cyber-Resilienz-Architektur: - **Zone 1:** User-Work­sta­tions (hohes Angriffs-Risiko) - **Zone 2:** Pro­duk­ti­ve Ser­ver (mitt­le­res Risiko) - **Zone 3:** Iso­la­ted Reco­very Envi­ron­ment (prak­tisch null Risi­ko, durch physische/​logische Isolation) - **Tier 2:** Air-Gap-Back­up (phy­sisch getrennt, nicht online) Die Idee: Wenn Ihr Pro­duc­tion-Netz­werk kom­pro­mit­tiert ist, kön­nen Sie in Zone 3 Sys­te­me wie­der­her­stel­len, ohne dass der Angrei­fer Zugriff hat. Die Iso­la­ti­on ist abso­lu­te Voraussetzung. ### Tech­ni­sche Anfor­de­run­gen einer IRE [\#](#technische-anforderungen-einer-ire "Technische Anforderungen einer IRE") #### 1. Phy­si­sche oder logi­sche Iso­la­ti­on [\#](#1-physische-oder-logische-isolation "1. Physische oder logische Isolation") **Phy­sisch iso­liert** bedeutet: - Sepa­ra­te Hard­ware (nicht vir­tua­li­siert im glei­chen Clus­ter wie Production) - Kei­ne Netz­werk-Kabel zu Production - Phy­sisch in einem ande­ren Raum oder sogar ande­rem Gebäude **Logisch iso­liert** bedeutet: - Vir­tu­el­le Maschi­nen in einem sepa­ra­ten vSphe­re Cluster - Kein Zugriff auf Pro­duc­tion vSAN oder Storage - Sepa­ra­te Netz­werk-Swit­ches, sepa­ra­te VLANs - Fire­wall-Regeln, die Zone 3 und Pro­duc­tion trennen Phy­si­sche Iso­la­ti­on ist stär­ker, aber teu­er. Logi­sche Iso­la­ti­on ist prak­ti­ka­bler für vie­le Orga­ni­sa­tio­nen — solan­ge die Imple­men­tie­rung strikt ist. #### 2. Kein Acti­ve Direc­to­ry Anschluss [\#](#2-kein-active-directory-anschluss "2. Kein Active Directory Anschluss") Das ist kri­tisch: Die Reco­very-Umge­bung läuft **nicht mit Pro­duc­tion-AD**. War­um? Wenn der Pro­duc­tion-AD kom­pro­mit­tiert ist (und bei einem Cyber­an­griff ist er es oft), und die Reco­very-Umge­bung ist an den glei­chen AD ange­bun­den, dann sind auch die wie­der­her­ge­stell­ten Sys­te­me sofort kompromittiert. Statt des­sen: - Sepa­ra­te loka­le Accounts auf Recovery-Systemen - Oder ein sepa­ra­ter, iso­lier­ter AD nur für Zone 3 - Kei­ne Ver­trau­ens­re­la­tio­nen zum Production-AD #### 3. Sepa­ra­te Admin-Cre­den­ti­als [\#](#3-separate-admin-credentials "3. Separate Admin-Credentials") Zone 3 hat eige­ne Admin-Accounts mit eige­nem Passwort-Safe. Ein Admi­nis­tra­tor, der in Pro­duc­tion tau­send Sys­te­me admi­nis­triert, hat in Zone 3 nur Zugriff auf Sys­te­me, die dort gera­de wie­der­her­ge­stellt wer­den. Das redu­ziert Risi­ko bei Credential-Kompromittierung. #### 4. Begrenz­te Netz­werk-Ver­bin­dung [\#](#4-begrenzte-netzwerk-verbindung "4. Begrenzte Netzwerk-Verbindung") Zone 3 hat mini­ma­len Netz­werk-Zugang nach außen: - **Kein Inter­net:** Wie­der­her­ge­stell­te Sys­te­me kön­nen nicht ins Inter­net gehen (kei­ne Kon­takt zu Angreifer‑C&C Server) - **Kein Pro­duc­tion-Zugriff:** Zone 3 kann nicht Pro­duc­tion-Sys­te­me errei­chen (ver­hin­dert Late­ral Movement) - **Air-Gap-Back­up-Zugriff:** Zone 3 kann auf Air-Gap-Back­ups zugrei­fen (über geschütz­te Netz­werk-Kabel oder por­ta­ble Medien) - **Inter-Zone-Reco­very:** Wenn Datei­en von Pro­duc­tion in Zone 3 geholt wer­den müs­sen, geschieht das über einen Manu­al-Trans­fer, nicht automatisch Das ist nicht maxi­ma­le Kon­nek­ti­vi­tät — das ist mini­ma­les not­wen­di­ges Zugriff. #### 5. Veri­fi­ka­ti­ons-Infra­struk­tur [\#](#5-verifikations-infrastruktur "5. Verifikations-Infrastruktur") Zone 3 muss Tools haben, um wie­der­her­ge­stell­te Sys­te­me zu überprüfen: - **Anti­vi­rus / EDR:** Scan­nen Sie den wie­der­her­ge­stell­ten Ser­ver auf Malware - **Inte­gri­ty Check Tools:** Veri­fi­zie­ren Sie, dass Datei­en nicht mani­pu­liert wurden - **Appli­ca­ti­on Test­ing:** Tes­ten Sie, dass wie­der­her­ge­stell­te Anwen­dun­gen funktionieren - **Data Vali­da­ti­on:** Über­prü­fen Sie Daten­bank­in­te­gri­tät, File-Integrität Die Idee: Bevor ein Sys­tem Zone 3 ver­lässt und zurück in Pro­duc­tion geht, wis­sen Sie, dass es sau­ber ist. ### Der Reco­very-Work­flow mit IRE [\#](#der-recovery-workflow-mit-ire "Der Recovery-Workflow mit IRE") **Sze­na­rio:** Ein Ran­som­wa­re-Angriff hat Ihr Pro­duc­tion-Netz­werk kom­pro­mit­tiert. ERP-Ser­ver, File­ser­ver und Acti­ve Direc­to­ry sind verschlüsselt. **Schritt 1: Erken­nung & Containment** - Angriff wird erkannt (Alert im SIEM) - Pro­duc­tion-Netz­werk wird vom Inter­net getrennt - Aber: Air-Gap-Back­up ist sau­ber (phy­sisch isoliert) **Schritt 2: Recovery-Vorbereitung** - Back­up-Admin ver­bin­det Air-Gap-Hard­ware mit Zone 3 - Reco­very-Umge­bung wird hoch­ge­fah­ren (sepa­ra­te Hard­ware, sepa­ra­te Credentials) - Reco­very-Soft­ware wird gestartet **Schritt 3: System-Wiederherstellung** - ERP-Ser­ver wird aus Air-Gap-Back­up in Zone 3 wiederhergestellt - RTO: ~ 2 – 4 Stun­den (abhän­gig von Datengröße) - Ser­ver läuft in Zone 3, nicht in Production **Schritt 4: Verifikation** - Anti­vi­rus scannt den wie­der­her­ge­stell­ten Server - Admin tes­tet ERP-Funktionalität - Daten­bank-Inte­gri­tät wird überprüft - Reco­very ist **veri­fi­ziert**, nicht nur ​“hof­fen” **Schritt 5: Con­trol­led Production-Migration** - Erst jetzt wird der sau­be­re Ser­ver aus Zone 3 mit Pro­duc­tion-Netz­werk verbunden - Aber: Mit erhöh­ter Überwachung - EDR und SIEM beob­ach­ten ver­däch­ti­ge Aktivität **Schritt 6: Parallel-Forensik** - Wäh­rend Pro­duc­tion läuft, ana­ly­siert ein sepa­ra­tes Team den kom­pro­mit­tier­ten File­ser­ver (noch offline) - Ziel: Ver­ste­hen wie der Angriff pas­siert ist Das ist nicht schnell (48−72 Stun­den für Reco­very), aber es ist **veri­fi­ziert sicher**. ### Häu­fi­ge Feh­ler beim IRE-Auf­bau [\#](#h%C3%A4ufige-fehler-beim-ire-aufbau "Häufige Fehler beim IRE-Aufbau") **Feh­ler 1: Zu wenig Isolation** ​“Wir haben einen sepa­ra­ten vSphe­re Clus­ter für Reco­very” — aber der glei­che SAN, der glei­che Admin, der glei­che Inter­net-Zugang. Das ist nicht IRE. **Feh­ler 2: Zu abhän­gig von AD** ​“Unse­re Reco­very-VMs sind an Pro­duc­tion-AD ange­bun­den.” Das ist ein Sicher­heits­ri­si­ko. Sepa­ra­te Accounts mindestens. **Feh­ler 3: Zu wenig Kapazität** ​“Unse­re Zone 3 kann nur einen Ser­ver auf ein­mal hos­ten.” Das ist zu lang­sam. Plan für meh­re­re simul­ta­ne Wiederherstellungen. **Feh­ler 4: Nicht getestet** ​“Wir haben eine IRE auf­ge­baut, aber nie einen ech­ten Reco­very durch­ge­spielt.” Das ist ein Mythos, nicht Rea­li­tät. Tes­ten Sie quartalsweise. ### Häu­fi­ge Fra­gen [\#](#h%C3%A4ufige-fragen "Häufige Fragen") **Kann eine IRE in der Cloud sein?** Theo­re­tisch ja, aber es ist schwä­cher. Cloud-Pro­vi­der haben Zugriff auf Ihre Daten. Eine On-Pre­mi­ses oder Hybrid IRE ist stärker. **Wie viel kos­tet eine IRE?** Das hängt stark ab. Eine phy­sisch iso­lier­te IRE mit sepa­ra­ter Hard­ware: 50k-200k EUR. Eine logisch iso­lier­te IRE im glei­chen Dat­a­cen­ter: 20k-50k EUR. **Brau­chen wir IRE für alle Systeme?** Nein. Nur für kri­ti­sche Sys­te­me, die Ran­som­wa­re über­le­ben müs­sen. File­ser­ver, ERP, AD, E‑Mail: ja. Nicht-kri­ti­sche Sys­te­me: kön­nen spä­ter wie­der­her­ge­stellt werden. --- ### IT-Resilienz IT-Resilienz ist die Fähigkeit einer IT-Infrastruktur, unter widrigen Bedingungen — von Cyberangriffen über Hardwareausfälle bis zu Naturkatastrophen — funktionsfähig zu bleiben oder die Funktionsfähigkeit in definierter Zeit wiederherzustellen, sodass kritische Geschäftsprozesse aufrechterhalten werden. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/it-resilienz) ### Disaster Recovery Disaster Recovery bezeichnet die strukturierten Prozesse und technischen Maßnahmen, die sicherstellen, dass IT-Systeme nach einem schwerwiegenden Ausfall — Ransomware-Angriff, Hardwareversagen, Rechenzentrumsausfall — innerhalb definierter Zeitrahmen (RTO) mit maximalem Datenverlust (RPO) wiederhergestellt werden können. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/disaster-recovery) ### Disaster Recovery Disaster Recovery bezeichnet die strukturierten Prozesse und technischen Maßnahmen, die sicherstellen, dass IT-Systeme nach einem schwerwiegenden Ausfall — Ransomware-Angriff, Hardwareversagen, Rechenzentrumsausfall — innerhalb definierter Zeitrahmen (RTO) mit maximalem Datenverlust (RPO) wiederhergestellt werden können. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/disaster-recovery)