--- title: Ransomware-Schutz date: 2026-04-23T15:13:00+02:00 author: Hannes Heckel canonical_url: "https://www.fast-lta.de//de/blog/ransomware-schutz" section: Pillar Pages --- [1. 1. Was ist Ransomware — und warum reicht Endpoint-Schutz nicht?](#1-was-ist-ransomware-und-warum-reicht-endpoint-schutz-nicht)[1. 2. Wie Ransomware Ihre Backups angreift](#2-wie-ransomware-ihre-backups-angreift)[1. 3. Backup-Strategien im Ransomware-Kontext](#3-backup-strategien-im-ransomware-kontext)[1. 4. Air Gap: Der einzige physische Schutz](#4-air-gap-der-einzige-physische-schutz)[1. 5. BSI-Empfehlungen und regulatorische Anforderungen](#5-bsi-empfehlungen-und-regulatorische-anforderungen)[1. 6. KRITIS und NIS2: Pflichten für betroffene Unternehmen](#6-kritis-und-nis2-pflichten-f%C3%BCr-betroffene-unternehmen)[1. 7. Ransomware Recovery: Was im Ernstfall zählt](#7-ransomware-recovery-was-im-ernstfall-z%C3%A4hlt)[1. 8. Implementierung: Schritt für Schritt zum Schutz](#8-implementierung-schritt-f%C3%BCr-schritt-zum-schutz)[1. 9. Häufige Fragen (FAQ)](#9-h%C3%A4ufige-fragen-faq) ### 1. Was ist Ran­som­wa­re — und war­um reicht End­point-Schutz nicht? [\#](#1-was-ist-ransomware-und-warum-reicht-endpoint-schutz-nicht "1. Was ist Ransomware — und warum reicht Endpoint-Schutz nicht?") Ran­som­wa­re ist Schad­soft­ware, die Daten ver­schlüs­selt und ein Löse­geld für die Ent­schlüs­se­lung for­dert. Was als ein­fa­che Erpres­sungs­tro­ja­ner begann — Cryp­to­Lo­cker (2013), Wan­naCry (2017) — hat sich zu einer hoch­pro­fes­sio­na­li­sier­ten Indus­trie ent­wi­ckelt: Ran­som­wa­re-as-a-Ser­vice (RaaS), bei der spe­zia­li­sier­te Grup­pen Angriffs­werk­zeu­ge ver­mie­ten und am Löse­geld betei­ligt werden. #### War­um End­point-Schutz allein nicht reicht [\#](#warum-endpoint-schutz-allein-nicht-reicht "Warum Endpoint-Schutz allein nicht reicht") End­point Detec­tion and Respon­se (EDR), Fire­walls und Intru­si­on-Detec­tion-Sys­te­me sind not­wen­di­ge Schutz­schich­ten — aber sie adres­sie­ren nur die Prä­ven­ti­on. Das Pro­blem: Kei­ne Prä­ven­ti­ons­maß­nah­me bie­tet 100 % Schutz. Laut dem Vee­am Ran­som­wa­re Trends Report 2023 wur­den 76 % der befrag­ten Unter­neh­men min­des­tens ein­mal Opfer eines Ran­som­wa­re-Angriffs — trotz vor­han­de­ner Schutzmaßnahmen. Die ent­schei­den­de Fra­ge lau­tet nicht: *Kann ich einen Angriff ver­hin­dern?* Son­dern: *Kann ich mich nach einem erfolg­rei­chen Angriff wiederherstellen?* Und genau hier beginnt das eigent­li­che Problem. #### Die Kos­ten eines Ran­som­wa­re-Angriffs [\#](#die-kosten-eines-ransomware-angriffs "Die Kosten eines Ransomware-Angriffs") Kos­ten­po­si­ti­onDurch­schnitt­li­cher WertQuel­leGesamt­scha­den pro Angriff5,3 Mio. EURBit­kom 2024 (Schät­zung)Aus­fall­zeit bis zur WiederherstellungWochen bis MonateSophos Sta­te of Ran­som­wa­re 2024Anteil der Opfer, die Löse­geld zahlen56 %Sophos Sta­te of Ran­som­wa­re 2024Daten­wie­der­her­stel­lung nach ZahlungOft unvoll­stän­digSophos Sta­te of Ran­som­wa­re 2024Die Zah­len zei­gen: Zah­len ist kei­ne Stra­te­gie. Die Wie­der­her­stel­lung bleibt oft unvoll­stän­dig. Die ein­zi­ge ver­läss­li­che Stra­te­gie ist die Fähig­keit, Sys­te­me und Daten eigen­stän­dig wie­der­her­zu­stel­len — aus einem Back­up, das der Angrei­fer nicht errei­chen konnte. ### Ransomware-as-a-Service Ransomware-as-a-Service (RaaS) ist ein Geschäftsmodell der organisierten Cyberkriminalität, bei dem spezialisierte Gruppen Ransomware-Werkzeuge als Dienst vermieten und am erpressten Lösegeld beteiligt werden — verantwortlich für professionalisierte Großangriffe auf Unternehmen, Behörden und kritische Infrastruktur. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/ransomware-as-a-service) ### Disaster Recovery Disaster Recovery bezeichnet die strukturierten Prozesse und technischen Maßnahmen, die sicherstellen, dass IT-Systeme nach einem schwerwiegenden Ausfall — Ransomware-Angriff, Hardwareversagen, Rechenzentrumsausfall — innerhalb definierter Zeitrahmen (RTO) mit maximalem Datenverlust (RPO) wiederhergestellt werden können. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/disaster-recovery) [###### Post | 03.02.2026 Was ist Ransomware? Einfach erklärt für IT-Entscheider Ransomware ist eine Art von Schadsoftware, die Daten und Systeme verschlüsselt oder sperrt und Lösegeld für deren Freigabe verlangt. Der Name ist Programm: Ransom (Lösegeld) + Software. Für IT-Entscheider ist es entscheidend zu verstehen, dass modernes Ransomware nicht nur ein Sicherheitsproblem ist — es ist eine Geschäftsbedrohung, die zu mehrtägigen bis mehrmonatigen Ausfallzeiten führt.Die Bedrohung ist real und wächst exponentiell. Laut dem Veeam Data Protection Trends Report 2024 waren 76% aller Organisationen Opfer eines Ransomware-Angriffs in den letzten 18 Monaten. Das bedeutet nicht nur finanzielle Verluste durch Ausfallzeit; 56% der befallenen Unternehmen zahlten tatsächlich Lösegeld (Sophos State of Ransomware 2024). Die Folgen reichen von Tagen bis zu Monaten ohne IT-Services.Dieser Artikel erklärt, was Ransomware ist, wie sie sich entwickelt hat, und — wichtig — warum traditionelle Prävention allein nicht ausreicht. [](https://www.fast-lta.de//de/blog/was-ist-ransomware-einfach-erkl%C3%A4rt-f%C3%BCr-it-entscheider "Was ist Ransomware? Einfach erklärt für IT-Entscheider")](https://www.fast-lta.de//de/blog/was-ist-ransomware-einfach-erkl%C3%A4rt-f%C3%BCr-it-entscheider "Was ist Ransomware? Einfach erklärt für IT-Entscheider")[###### Post | 06.02.2026 Ransomware-as-a-Service: So funktioniert die Schattenwirtschaft Ransomware ist längst kein Werk einzelner Hacker mehr. Das Geschäftsmodell dahinter funktioniert wie ein Tech-Startup — mit Kundenservice, Affiliate-Programmen und sogar Versionsupdates. Dieses Modell heißt Ransomware-as-a-Service (RaaS), und es ist der Grund, warum Angriffe exponentiell skaliert wurden.Für IT-Entscheider ist es wichtig zu verstehen: Ransomware-Banden sind heute organisierte, gut finanzierte Kriminelle mit Entwickler-Teams. Das macht ihre Angriffe effizienter, zielgerichteter und schwerer abzuwehren als je zuvor. [](https://www.fast-lta.de//de/blog/ransomware-as-a-service-so-funktioniert-die-schattenwirtschaft "Ransomware-as-a-Service: So funktioniert die Schattenwirtschaft")](https://www.fast-lta.de//de/blog/ransomware-as-a-service-so-funktioniert-die-schattenwirtschaft "Ransomware-as-a-Service: So funktioniert die Schattenwirtschaft") ### 2. Wie Ran­som­wa­re Ihre Back­ups angreift [\#](#2-wie-ransomware-ihre-backups-angreift "2. Wie Ransomware Ihre Backups angreift") Moder­ne Ran­som­wa­re-Kam­pa­gnen fol­gen einem metho­di­schen Ablauf, der gezielt auf die Zer­stö­rung Ihrer Wie­der­her­stel­lungs­fä­hig­keit abzielt. Seit 2018 domi­nie­ren soge­nann­te Big-Game-Hun­ting-Kam­pa­gnen: pro­fes­sio­nel­le Grup­pen wie Lock­Bit, BlackCat/​ALPHV und Cl0p, die sys­te­ma­tisch gro­ße Orga­ni­sa­tio­nen ins Visier nehmen. #### Der typi­sche Angriffs­ver­lauf [\#](#der-typische-angriffsverlauf "Der typische Angriffsverlauf") **Pha­se 1 — Initia­ler Zugriff (Tag 0)** Phis­hing-E-Mails, kom­pro­mit­tier­te VPN-Zugän­ge oder unge­patch­te öffent­lich erreich­ba­re Sys­te­me lie­fern den ers­ten Zugang. Die­ser wird nicht sofort aus­ge­nutzt — Angrei­fer war­ten und beobachten. **Pha­se 2 — Erkun­dung und Aus­brei­tung (Tag 1 – 21)** Angrei­fer blei­ben oft wochen­lang, teils mona­te­lang unent­deckt im Netz­werk. Sie bewe­gen sich metho­disch durch Ihr Netz­werk, eska­lie­ren Berech­ti­gun­gen, steh­len Domä­nen-Admi­nis­tra­tor-Cre­den­ti­als und kar­tie­ren die gesam­te Infra­struk­tur — **ein­schließ­lich aller Back­up-Sys­te­me**. Die­ser Schritt ist der ent­schei­den­de: Die Angrei­fer iden­ti­fi­zie­ren jedes Back­up-Repo­si­to­ry, jeden Snapshot-Spei­cher, jede Cloud-Verbindung. **Pha­se 3 — Back­up-Zer­stö­rung (vor der Verschlüsselung)** Erst wenn das voll­stän­di­ge Lage­bild erstellt ist, grei­fen Angrei­fer ein: - Back­up-Daten­ban­ken wer­den gelöscht - Snapshots wer­den entfernt - Back­up-Agen­ten wer­den deinstalliert - Shadow Copies wer­den vernichtet - Cloud-Back­up-Cre­den­ti­als wer­den ver­wen­det, um Off-Site-Kopien zu löschen **Pha­se 4 — Ver­schlüs­se­lung und Erpressung** Mit zer­stör­ten Back­ups steht das Opfer vor einer binä­ren Wahl: Zah­lung oder Totalausfall. #### War­um Ihr aktu­el­les Back­up gefähr­det ist [\#](#warum-ihr-aktuelles-backup-gef%C3%A4hrdet-ist "Warum Ihr aktuelles Backup gefährdet ist") Die kri­ti­sche Fra­ge für jede IT-Orga­ni­sa­ti­on: **Kann ein Angrei­fer mit kom­pro­mit­tier­ten Admi­nis­tra­tor-Cre­den­ti­als Ihr Back­up vernichten?** Wenn Ihre Back­ups über das­sel­be Acti­ve Direc­to­ry, die­sel­ben Netz­werk­seg­men­te oder die­sel­ben Cloud-Cre­den­ti­als erreich­bar sind wie Ihre Pro­duk­tiv­um­ge­bung — dann lau­tet die Ant­wort: Ja. Back­up-TypErreich­bar mit Admin-Cre­den­ti­als?Ran­som­wa­re-SchutzNAS/SAN (netz­werk­ge­bun­den)Ja — über SMB/NFSKei­nerCloud-Back­up (S3, Azu­re Blob)Ja — über IAM/A­PI-KeysGering (Object Lock umgehbar)Snapshot-Immu­ta­bi­li­tätJa — Admin kann Poli­ci­es ändernGering**Hard­ware Air Gap****Nein — phy­sisch nicht adressierbar****Sehr hoch** Ransomware-Angriffsverlauf Wie professionelle Angreifer Ihre Backup-Infrastruktur systematisch zerstören Big-Game-Hunting-Gruppen wie LockBit und BlackCat vernichten Backups *vor* der Verschlüsselung — der entscheidende Unterschied zu frühen Angriffen. Phase 1 Initialer Zugriff Tag 0 - Phishing-E-Mail - Kompromittiertes VPN - Ungepatchte Systeme - Schwache Credentials › Phase 2 Erkundung & Ausbreitung Tag 1–21 - Credential-Diebstahl - Domain-Admin eskaliert - Netzwerk kartiert - Backups identifiziert › ⚠ Phase 3 Backup-Zerstörung Vor Verschlüsselung - Backup-DBs gelöscht - Shadow Copies entfernt - Cloud-Backups gelöscht - Agents deinstalliert › Phase 4 Verschlüsselung & Erpressung Stunde X - Alle Daten verschlüsselt - Lösegeldforderung - Backups vernichtet - Zahlung oder Ausfall 🛡 Air Gap-Backups überstehen Phase 3 — physisch nicht adressierbar Ein Hardware Air Gap hat in Phase 3 keine aktive Netzwerkverbindung. Kein kompromittiertes Admin-Credential kann das System erreichen. Das Backup bleibt intakt — unabhängig vom Ausmaß des Angriffs. Quellen: Sophos State of Ransomware 2024, Bitkom Wirtschaftsschutz 2024, BSI Lagebericht FAST LTA [###### Post | 12.02.2026 Wie Ransomware Backups zerstört: Technische Analyse Ein Backup ist nur so sicher, wie es schwer zu erreichen und zu löschen ist. Die meisten Unternehmen sichern ihre Daten auf Netzwerk-Shares oder Cloud-Speicher — beide sind für Ransomware erreichbar. Moderne Ransomware-Varianten sind nicht dumm; sie suchen aktiv nach Backups und zerstören sie, bevor Sie merken, dass Sie getroffen wurden.Für IT-Entscheider ist das ein kritisches Verständnis: Ein Backup ist nur ein Backup, wenn es nicht von Ransomware gelöscht werden kann. Dieser Artikel erklärt die vier Haupttaktiken, mit denen Ransomware Ihre Sicherungskopien zerstört — und wie Hardware Air Gap Sie wirklich schützt. [](https://www.fast-lta.de//de/blog/wie-ransomware-backups-zerst%C3%B6rt-technische-analyse "Wie Ransomware Backups zerstört: Technische Analyse")](https://www.fast-lta.de//de/blog/wie-ransomware-backups-zerst%C3%B6rt-technische-analyse "Wie Ransomware Backups zerstört: Technische Analyse")[###### Post | 15.01.2026 Warum Cloud-Backups keinen echten Ransomware-Schutz bieten "Wir sichern in die Cloud — unsere Daten sind sicher!" Dieser Satz höre ich von vielen IT-Leitern. Die Realität ist differenzierter. Cloud-Backups sind besser als nichts, aber sie sind nicht sicher gegen modernes Ransomware-as-a-Service mit Root-Zugang. Dieser Artikel erklärt drei kritische Schwachstellen und warum echte Ransomware-Resilienz etwas anderes erfordert. [](https://www.fast-lta.de//de/blog/warum-cloud-backups-keinen-echten-ransomware-schutz-bieten "Warum Cloud-Backups keinen echten Ransomware-Schutz bieten")](https://www.fast-lta.de//de/blog/warum-cloud-backups-keinen-echten-ransomware-schutz-bieten "Warum Cloud-Backups keinen echten Ransomware-Schutz bieten") ### 3. Back­up-Stra­te­gien im Ran­som­wa­re-Kon­text [\#](#3-backup-strategien-im-ransomware-kontext "3. Backup-Strategien im Ransomware-Kontext") #### Die 3 – 2‑1-Regel — und war­um sie nicht mehr aus­reicht [\#](#die-3-2-1-regel-und-warum-sie-nicht-mehr-ausreicht "Die 3-2-1-Regel — und warum sie nicht mehr ausreicht") Die 3 – 2‑1-Regel galt jahr­zehn­te­lang als Gold­stan­dard: drei Kopien, zwei Medi­en­ty­pen, ein Off-Site-Stand­ort. Das Pro­blem: Alle drei Kopien kön­nen netz­wer­ker­reich­bar sein. Ein Angrei­fer mit Domä­nen­ad­mi­nis­tra­tor-Rech­ten ver­nich­tet sie in Stunden. #### Die Erwei­te­rung: 3−2−1−1−0 [\#](#die-erweiterung-3-2-1-1-0 "Die Erweiterung: 3-2-1-1-0") Sicher­heits­ar­chi­tek­ten und das BSI emp­feh­len die Erwei­te­rung um zwei kri­ti­sche Elemente: - **+1 (off­line/air-gap­ped):** Min­des­tens eine Kopie muss phy­sisch vom Netz­werk getrennt sein — nicht nur logisch iso­liert, nicht nur durch eine Fire­wall geschützt, son­dern phy­sisch nicht adressierbar. - **+0 (zero errors after veri­fi­ca­ti­on):** Back­ups müs­sen regel­mä­ßig auf Wie­der­her­stell­bar­keit geprüft wer­den. Ein Back­up ohne veri­fi­zier­ten Res­to­re ist kein Back­up — es ist eine Hoffnung. #### Back­up-Iso­la­ti­on im Ver­gleich [\#](#backup-isolation-im-vergleich "Backup-Isolation im Vergleich") Metho­deEch­ter Ran­som­wa­re-SchutzRTOAuto­ma­ti­sie­rungCom­pli­ance-Eig­nungOnline-Back­up (NAS/​Cloud)Nein< 1 StundeHochUnzu­rei­chendSnapshot-Immu­ta­bi­li­tätGering< 1 StundeHochBedingtObject Lock / Cloud WORMMit­telMit­telHochBedingt**Hard­ware Air Gap****Sehr hoch****4 – 8 Stunden****Hoch****Ja**Die Tabel­le zeigt: Ech­ter Ran­som­wa­re-Schutz erfor­dert phy­si­sche Iso­la­ti­on. Die Fra­ge ist nur, ob auto­ma­ti­siert (Hard­ware Air Gap) oder manu­ell und langsam. ### Air Gap Ein Air Gap ist die physische Unterbrechung jeder Netzwerkverbindung zwischen einem Backup-System und der übrigen IT-Infrastruktur, sodass das System im Offline-Zustand keine adressierbare Netzwerkschnittstelle besitzt und damit für Ransomware und Angreifer unerreichbar ist. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/air-gap) ![Rtorpo | FAST LTA](https://fast-lta.transforms.svdcdn.com/production/images/rtorpo.jpg?w=960&q=80&auto=format%2Cavif&fit=crop&dm=1777386177&s=8c345efdd59b581f615720e16b786b0d) [###### Post | 16.03.2026 Backup-Medien im Ransomware-Vergleich Es gibt viele Wege, Daten zu sichern. Aber nicht alle schützen gleich gut vor Ransomware. Ein NAS-Backup ist nicht das gleiche wie ein Tape-Backup oder ein Cloud-Backup. Dieser Artikel vergleicht die gängigsten Medien und bewertet ihre Eignung gegen Ransomware. [](https://www.fast-lta.de//de/blog/backup-medien-im-ransomware-vergleich "Backup-Medien im Ransomware-Vergleich")](https://www.fast-lta.de//de/blog/backup-medien-im-ransomware-vergleich "Backup-Medien im Ransomware-Vergleich") ### 4. Air Gap: Der ein­zi­ge phy­si­sche Schutz [\#](#4-air-gap-der-einzige-physische-schutz "4. Air Gap: Der einzige physische Schutz") #### Was ist ein ech­ter Air Gap? [\#](#was-ist-ein-echter-air-gap "Was ist ein echter Air Gap?") Der Begriff ​„Air Gap” wird infla­tio­när ver­wen­det. Cloud-Anbie­ter ver­mark­ten Object Lock als ​„Vir­tu­al Air Gap”, Back­up-Soft­ware-Her­stel­ler bezeich­nen Netz­werk­seg­men­tie­rung als ​„logi­schen Air Gap”. Bei­des ist kein Air Gap. **Defi­ni­ti­on:** Ein Air Gap ist die phy­si­sche Unter­bre­chung der Netz­werk­ver­bin­dung zwi­schen einem Back­up-Sys­tem und der übri­gen IT-Infra­struk­tur — so, dass das Sys­tem im Off­line-Zustand kei­ne adres­sier­ba­re Netz­werk­schnitt­stel­le besitzt. **Die drei Anfor­de­run­gen an einen ech­ten Air Gap:** 1. **Kei­ne akti­ve Netz­werk­ver­bin­dung nach dem Back­up.** Das Sys­tem muss nach dem Back­up-Fens­ter phy­sisch vom Netz­werk getrennt sein. 2. **Kei­ne adres­sier­ba­re Netz­werk­schnitt­stel­le im Off­line-Zustand.** Ein Sys­tem mit IP-Adres­se hin­ter einer Fire­wall hat kei­nen Air Gap — es ist segmentiert. 3. **Hard­ware-erzwun­gen, nicht soft­ware-kon­trol­liert.** Die Tren­nung muss durch phy­si­sche Mecha­nis­men erfol­gen, die von einem kom­pro­mit­tier­ten Sys­tem nicht auf­ge­ho­ben wer­den können. #### Wie funk­tio­niert ein auto­ma­ti­sier­ter Hard­ware Air Gap? [\#](#wie-funktioniert-ein-automatisierter-hardware-air-gap "Wie funktioniert ein automatisierter Hardware Air Gap?") 1. **Back­up-Fens­ter öff­net sich:** Die Back­up-Soft­ware adres­siert das Air-Gap-Sys­tem über Stan­dard-Schnitt­stel­len (FC, iSCSI, NFS, SMB, S3) 2. **Daten wer­den geschrie­ben:** Siche­rungs­job läuft wie bei jedem ande­ren Backup-Target 3. **Hard­ware-Tren­nung:** Nach Abschluss des Schreib­vor­gangs trennt ein inte­grier­ter Hard­ware-Con­trol­ler die Netz­werk­ver­bin­dung phy­sisch — auto­ma­tisch, ohne manu­el­len Eingriff 4. **Off­line-Zustand:** Das Sys­tem ist uner­reich­bar. Kei­ne IP-Adres­se, kei­ne Netz­werk­schnitt­stel­le, kein Angriffsvektor 5. **Nächs­tes Back­up-Fens­ter:** Das Sys­tem stellt die Ver­bin­dung auto­ma­tisch wie­der her Die­ser Zyklus läuft voll­au­to­ma­tisch — kein manu­el­ler Pro­zess, kein Risi­ko mensch­li­cher Fehler. #### FAST LTA Silent Brick Sys­tem: Hard­ware Air Gap in der Pra­xis [\#](#fast-lta-silent-brick-system-hardware-air-gap-in-der-praxis "FAST LTA Silent Brick System: Hardware Air Gap in der Praxis") Das Silent Brick Sys­tem imple­men­tiert die­sen auto­ma­ti­sier­ten Hard­ware Air Gap: - **Phy­si­sche Netz­tren­nung** durch inte­grier­ten Hard­ware-Con­trol­ler, unab­hän­gig vom Host-Betriebssystem - **Fest­plat­ten­ba­siert:** Wie­der­her­stel­lungs­ge­schwin­dig­keit in Stun­den, nicht Tagen - **Kom­pa­ti­bel** mit allen gän­gi­gen Back­up-Lösun­gen: Vee­am, Commv­ault, Veri­tas, IBM Spec­trum Protect - **Revi­si­ons­si­che­re Pro­to­kol­lie­rung** aller Ver­bin­dungs­zei­ten — für Compliance-Nachweis - **Made in Ger­ma­ny:** Ent­wick­lung und Fer­ti­gung in München → [Mehr zum Silent Brick System](/de/produkte/silent-brick-system/) ### Immutable Storage Immutable Storage bezeichnet Speichertechnologien, die gespeicherte Daten vor nachträglicher Veränderung oder Löschung schützen — wobei der entscheidende Unterschied darin liegt, ob dieser Schutz auf Hardware-Ebene (nicht umgehbar) oder auf Software-Ebene (durch Administratoren mit ausreichenden Rechten umgehbar) durchgesetzt wird. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/immutable-storage) ### Air Gap Ein Air Gap ist die physische Unterbrechung jeder Netzwerkverbindung zwischen einem Backup-System und der übrigen IT-Infrastruktur, sodass das System im Offline-Zustand keine adressierbare Netzwerkschnittstelle besitzt und damit für Ransomware und Angreifer unerreichbar ist. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/air-gap) ### Air Gap Ein Air Gap ist die physische Unterbrechung jeder Netzwerkverbindung zwischen einem Backup-System und der übrigen IT-Infrastruktur, sodass das System im Offline-Zustand keine adressierbare Netzwerkschnittstelle besitzt und damit für Ransomware und Angreifer unerreichbar ist. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/air-gap) ### Air Gap Ein Air Gap ist die physische Unterbrechung jeder Netzwerkverbindung zwischen einem Backup-System und der übrigen IT-Infrastruktur, sodass das System im Offline-Zustand keine adressierbare Netzwerkschnittstelle besitzt und damit für Ransomware und Angreifer unerreichbar ist. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/air-gap) ### Air Gap Ein Air Gap ist die physische Unterbrechung jeder Netzwerkverbindung zwischen einem Backup-System und der übrigen IT-Infrastruktur, sodass das System im Offline-Zustand keine adressierbare Netzwerkschnittstelle besitzt und damit für Ransomware und Angreifer unerreichbar ist. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/air-gap) ### Air Gap Ein Air Gap ist die physische Unterbrechung jeder Netzwerkverbindung zwischen einem Backup-System und der übrigen IT-Infrastruktur, sodass das System im Offline-Zustand keine adressierbare Netzwerkschnittstelle besitzt und damit für Ransomware und Angreifer unerreichbar ist. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/air-gap) [###### Post | 31.03.2026 Logischer vs. physischer Air Gap: Der Unterschied, der im Ernstfall zählt "Wir nutzen VLANs und eine Firewall — unsere Backups sind isoliert!" Das höre ich oft von IT-Leitern. Technisch ist das nicht falsch. Praktisch ist es aber oft nicht genug gegen Ransomware. Der Unterschied zwischen logischem Air Gap und physischem Air Gap ist fundamental — und im Ernstfall entscheidend.Dieser Artikel erklärt, warum logische Isolation für Ransomware-Schutz nicht ausreicht, und was ein echter physischer Air Gap leistet. [](https://www.fast-lta.de//de/blog/logischer-vs-physischer-air-gap-der-unterschied-der-im-ernstfall-z%C3%A4hlt "Logischer vs. physischer Air Gap: Der Unterschied, der im Ernstfall zählt")](https://www.fast-lta.de//de/blog/logischer-vs-physischer-air-gap-der-unterschied-der-im-ernstfall-z%C3%A4hlt "Logischer vs. physischer Air Gap: Der Unterschied, der im Ernstfall zählt")[###### Post | 02.04.2026 Hardware Air Gap: Vergleich für IT-Entscheider Hardware Air Gap ist das stärkste Schutzinstrument gegen Ransomware. Aber "Hardware Air Gap" ist nicht gleich "Hardware Air Gap". Es gibt manuelle Lösungen (Tape, USB) und automatisierte Systeme (Silent Brick Max Air). Für IT-Entscheider ist die richtige Wahl entscheidend.Dieser Artikel führt Sie durch die Bewertungskriterien und zeigt, wann welche Lösung Sinn macht. [](https://www.fast-lta.de//de/blog/hardware-air-gap-vergleich-f%C3%BCr-it-entscheider "Hardware Air Gap: Vergleich für IT-Entscheider")](https://www.fast-lta.de//de/blog/hardware-air-gap-vergleich-f%C3%BCr-it-entscheider "Hardware Air Gap: Vergleich für IT-Entscheider") ### 5. BSI-Emp­feh­lun­gen und regu­la­to­ri­sche Anfor­de­run­gen [\#](#5-bsi-empfehlungen-und-regulatorische-anforderungen "5. BSI-Empfehlungen und regulatorische Anforderungen") #### BSI IT-Grund­schutz CON.3: Daten­si­che­rungs­kon­zept [\#](#bsi-it-grundschutz-con-3-datensicherungskonzept "BSI IT-Grundschutz CON.3: Datensicherungskonzept") Das BSI IT-Grund­schutz-Kom­pen­di­um defi­niert im Bau­stein CON.3 ver­bind­li­che Anfor­de­run­gen für Daten­si­che­rung. Die für Ran­som­wa­re-Schutz rele­van­ten Maßnahmen: BSI CON.3‑AnforderungWas sie for­dertUmset­zung mit Air Gap**CON.3.A1** — DatensicherungsplanungRTO/RPO je Sys­tem dokumentierenTier-Defi­ni­tio­nen mit kon­kre­ten Zeitzielen**CON.3** — Schutz schutz­be­dürf­ti­ger DatenSepa­ra­te Siche­rung mit erhöh­ten MaßnahmenDedi­zier­ter Air-Gap-Lay­er für kri­ti­sche Systeme**CON.3** — Regel­mä­ßi­ge WiederherstellungstestsWie­der­her­stel­lungs­tests durch­füh­ren und dokumentierenQuar­tals­wei­se Recovery-Tests**CON.3** — Phy­si­sche Iso­la­ti­on bei erhöh­tem SchutzbedarfPhy­si­sche Tren­nung der Backup-MedienHard­ware Air Gap als dedi­zier­ter Tier#### BSI-Emp­feh­lun­gen zu Ran­som­wa­re [\#](#bsi-empfehlungen-zu-ransomware "BSI-Empfehlungen zu Ransomware") Das BSI hat in sei­nen ​„Emp­feh­lun­gen zum Schutz vor Ran­som­wa­re” expli­zit fol­gen­de Maß­nah­men benannt: - **Off­line-Back­ups:** Siche­rungs­ko­pien, die nicht über das Netz­werk erreich­bar sind - **Regel­mä­ßi­ge Wie­der­her­stel­lungs­tests:** Nach­wei­sen, dass ein Res­to­re tat­säch­lich funktioniert - **Getrenn­te Admi­nis­tra­tor­kon­ten:** Back­up-Sys­te­me nicht mit Pro­duk­ti­ons-Cre­den­ti­als verwalten - **Netz­werk­seg­men­tie­rung:** Back­up-Infra­struk­tur in dedi­zier­ten VLANs betreiben Die­se Emp­feh­lun­gen decken sich mit der Air-Gap-Archi­tek­tur: phy­si­sche Iso­la­ti­on, getrenn­te Cre­den­ti­als, nach­ge­wie­se­ne Wiederherstellbarkeit. [###### Post | 07.02.2026 BSI-Empfehlungen zu Ransomware: Checkliste für Ihr Unternehmen Das Bundesamt für Sicherheit in der Informationstechnik (BSI) publiziert regelmäßig konkrete Handlungsempfehlungen gegen Ransomware. Diese sind nicht nur technische Best Practices, sondern oft gesetzliche Anforderungen (NIS2UmsuCG, BSIG-neu, KRITIS-Dachgesetz).Dieser Artikel fasst die wichtigsten BSI-Empfehlungen in eine praktische Checkliste zusammen. Jeder Punkt ist mit Umsetzungshinweisen versehen. [](https://www.fast-lta.de//de/blog/bsi-empfehlungen-zu-ransomware-checkliste-f%C3%BCr-ihr-unternehmen "BSI-Empfehlungen zu Ransomware: Checkliste für Ihr Unternehmen")](https://www.fast-lta.de//de/blog/bsi-empfehlungen-zu-ransomware-checkliste-f%C3%BCr-ihr-unternehmen "BSI-Empfehlungen zu Ransomware: Checkliste für Ihr Unternehmen")[![2604 Blog Header Regenjacke Grundschutz 1200x480 | FAST LTA](https://fast-lta.transforms.svdcdn.com/production/images/blog/2604_Blog_Header_Regenjacke-Grundschutz_1200x480.jpg?w=960&q=80&auto=format%2Cavif&fit=crop&dm=1778163703&s=bc3ddb33c6e27ea394b4792c7193c619)](https://www.fast-lta.de//de/blog/bsi-grundschutz-plus-plus-backup-archivierung "BSI Grundschutz++")[###### Fachartikel | 29.04.2026 BSI Grundschutz++ Backup & Archivierung richtig umsetzen [](https://www.fast-lta.de//de/blog/bsi-grundschutz-plus-plus-backup-archivierung "BSI Grundschutz++")](https://www.fast-lta.de//de/blog/bsi-grundschutz-plus-plus-backup-archivierung "BSI Grundschutz++")[###### Post | 22.02.2026 Backup-Konzept nach BSI: Vorlage und Anleitung Ein formales Backup-Konzept ist nicht nur Best Practice — es ist oft eine gesetzliche Anforderung (NIS2UmsuCG, BSIG-neu, KRITIS). Das BSI-Grundschutz-Katalog (Modul CON.3 "Datensicherung") definiert, was ein professionelles Backup-Konzept enthalten muss.Dieser Artikel zeigt Ihnen die Struktur und gibt praktische Tipps für die Umsetzung. [](https://www.fast-lta.de//de/blog/backup-konzept-nach-bsi-vorlage-und-anleitung "Backup-Konzept nach BSI: Vorlage und Anleitung")](https://www.fast-lta.de//de/blog/backup-konzept-nach-bsi-vorlage-und-anleitung "Backup-Konzept nach BSI: Vorlage und Anleitung") ### 6. KRI­TIS und NIS2: Pflich­ten für betrof­fe­ne Unter­neh­men [\#](#6-kritis-und-nis2-pflichten-f%C3%BCr-betroffene-unternehmen "6. KRITIS und NIS2: Pflichten für betroffene Unternehmen") #### NIS2-Richt­li­nie: Neue Back­up-Pflich­ten seit 2024 [\#](#nis2-richtlinie-neue-backup-pflichten-seit-2024 "NIS2-Richtlinie: Neue Backup-Pflichten seit 2024") Die NIS2-Richt­li­nie (EU 2022⁄2555), umge­setzt durch das NIS2UmsuCG, ver­pflich­tet wesent­li­che und wich­ti­ge Ein­rich­tun­gen zu kon­kre­ten Maß­nah­men im Bereich Busi­ness Con­ti­nui­ty. §30 BSIG-neu fordert: - **Back­up-Manage­ment und Wie­der­her­stel­lung:** Doku­men­tier­te Stra­te­gien und Verfahren - **Kri­sen­ma­nage­ment:** Plä­ne für den Umgang mit Ransomware-Vorfällen - **Sicher­heit der Lie­fer­ket­te:** Bewer­tung von Back­up-Soft­ware und ‑Hard­ware-Her­stel­lern - **Schwach­stel­len­ma­nage­ment:** Back­up-Sys­te­me in Vul­nerabi­li­ty-Manage­ment einbeziehen #### Wer ist betrof­fen? [\#](#wer-ist-betroffen "Wer ist betroffen?") - **Wesent­li­che Ein­rich­tun­gen:** Ener­gie, Trans­port, Bank­we­sen, Gesund­heits­we­sen, Trink­was­ser, digi­ta­le Infra­struk­tur, öffent­li­che Verwaltung - **Wich­ti­ge Ein­rich­tun­gen:** Post, Abfall­wirt­schaft, Che­mie, Lebens­mit­tel, ver­ar­bei­ten­des Gewer­be, Forschung - **Grö­ßen­schwel­le:** Ab 50 Mit­ar­bei­ter UND 10 Mio. EUR Umsatz — für bestimm­te Sek­to­ren größenunabhängig #### Buß­geld­rah­men [\#](#bu%C3%9Fgeldrahmen "Bußgeldrahmen") Kate­go­rieMaxi­mal­buß­geldWesent­li­che Einrichtungen10 Mio. EUR oder 2 % des welt­wei­ten JahresumsatzesWich­ti­ge Einrichtungen7 Mio. EUR oder 1,4 % des welt­wei­ten Jahresumsatzes**Per­sön­li­che Haftung**Geschäfts­lei­tung haf­tet per­sön­lich für Umsetzung#### Was NIS2 für Ihre Back­up-Archi­tek­tur bedeu­tet [\#](#was-nis2-f%C3%BCr-ihre-backup-architektur-bedeutet "Was NIS2 für Ihre Backup-Architektur bedeutet") NIS2 macht eine resi­li­en­te Back­up-Archi­tek­tur zur Rechts­pflicht. Orga­ni­sa­tio­nen, die kei­ne nach­weis­bar funk­tio­nie­ren­de Back­up- und Reco­very-Stra­te­gie vor­wei­sen kön­nen, ris­kie­ren Buß­gel­der — und im Ernst­fall per­sön­li­che Haf­tung der Geschäftsleitung. ### Ransomware Ransomware ist Schadsoftware, die Daten auf infizierten Systemen verschlüsselt und ein Lösegeld für die Entschlüsselung fordert — mit dem Ziel, Unternehmen und Behörden zur Zahlung zu zwingen, indem sie deren Betrieb lahmlegen. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/ransomware) ### 7. Ran­som­wa­re Reco­very: Was im Ernst­fall zählt [\#](#7-ransomware-recovery-was-im-ernstfall-z%C3%A4hlt "7. Ransomware Recovery: Was im Ernstfall zählt") #### Die ers­ten 72 Stun­den nach einem Angriff [\#](#die-ersten-72-stunden-nach-einem-angriff "Die ersten 72 Stunden nach einem Angriff") Wenn Ran­som­wa­re zuge­schla­gen hat, ent­schei­den die ers­ten Stun­den über die Scha­dens­bi­lanz. Das Worst-Case-Sze­na­rio: Sie stel­len fest, dass Ihre Back­ups eben­falls kom­pro­mit­tiert sind. **Reco­very-Ablauf mit Air-Gap-Backup:** 1. **Stun­de 0 – 4: Schadensbegrenzung** 2. Infi­zier­te Sys­te­me vom Netz­werk isolieren 3. Aus­maß des Angriffs kartieren 4. Inci­dent-Respon­se-Team aktivieren 5. **Stun­de 4 – 8: Backup-Verifikation** 6. Air-Gap-Back­up-Sys­tem prü­fen: Daten­in­te­gri­tät verifizieren 7. Letz­ten sau­be­ren Wie­der­her­stel­lungs­punkt identifizieren 8. Reco­very-Rei­hen­fol­ge fest­le­gen (kri­ti­sche Sys­te­me zuerst) 9. **Stun­de 8 – 24: Wie­der­her­stel­lung kri­ti­scher Systeme** 10. Acti­ve Direc­to­ry und DNS wiederherstellen 11. Kri­ti­sche Geschäfts­an­wen­dun­gen starten 12. Kom­mu­ni­ka­ti­ons­sys­te­me wiederherstellen 13. **Tag 2 – 7: Voll­stän­di­ge Wiederherstellung** 14. Alle Sys­te­me schritt­wei­se wiederherstellen 15. Daten­in­te­gri­tät verifizieren 16. Root Cau­se Ana­ly­sis beginnen #### War­um RTO kei­ne Wunsch­vor­stel­lung sein darf [\#](#warum-rto-keine-wunschvorstellung-sein-darf "Warum RTO keine Wunschvorstellung sein darf") Reco­very Time Objec­ti­ve (RTO) ist die maxi­mal akzep­ta­ble Aus­fall­zeit. Die­se Kenn­zahl muss durch Tests belegt sein — nicht durch Annah­men. Typi­sche RTOs nach Backup-Architektur: Archi­tek­turTypi­sches RTO (vol­ler Res­to­re)Pra­xis­test bestanden?Cloud-Back­up12 – 72 Stun­den (WAN-abhän­gig)Sel­ten getestet**Hard­ware Air Gap (Silent Brick)****4 – 8 Stunden****Quar­tals­wei­se testbar** [###### Post | 18.02.2026 Ransomware Recovery Checkliste: 12 Schritte nach dem Angriff Ransomware ist angekommen. Ihre Systeme sind offline. Was jetzt? Panic ist der erste Instinkt, aber nicht die beste Reaktion. Eine bewährte, dokumentierte Checkliste kann die Ausfallzeit von Wochen auf Tage reduzieren.Diese Checkliste ist in vier Phasen unterteilt: Isolation (0–4h), Recovery-Start (4–24h), Vollwiederherstellung (Tag 2–7), Nachbereitung (danach). [](https://www.fast-lta.de//de/blog/ransomware-recovery-checkliste-12-schritte-nach-dem-angriff "Ransomware Recovery Checkliste: 12 Schritte nach dem Angriff")](https://www.fast-lta.de//de/blog/ransomware-recovery-checkliste-12-schritte-nach-dem-angriff "Ransomware Recovery Checkliste: 12 Schritte nach dem Angriff")[###### Post | 28.05.2026 Recovery Time Objective: So berechnen Sie Ihr RTO realistisch RTO ist eines der wichtigsten Konzepte im Backup- und Disaster-Recovery-Management. Aber die meisten Unternehmen schätzen es falsch. Sie sagen "RTO ist 4 Stunden", aber wenn ein Angriff kommt, dauert die Recovery 2 Tage. Dieser Artikel erklärt, wie Sie RTO realistisch berechnen — und vor allem, wie Sie es testen. [](https://www.fast-lta.de//de/blog/recovery-time-objective-so-berechnen-sie-ihr-rto-realistisch "Recovery Time Objective: So berechnen Sie Ihr RTO realistisch")](https://www.fast-lta.de//de/blog/recovery-time-objective-so-berechnen-sie-ihr-rto-realistisch "Recovery Time Objective: So berechnen Sie Ihr RTO realistisch")[###### Post | 24.02.2026 Incident Response bei Ransomware: Wer macht was? Ein Ransomware-Angriff ist kein IT-Problem allein. Es betrifft Geschäftsführung, Legal, Kommunikation, Versicherung. Ohne klare Rollenverteilung entsteht Chaos. Ein gut strukturiertes Incident Response (IR) Team kann die Auswirkungen um 50% reduzieren.Dieser Artikel zeigt die optimale IR-Team-Struktur und externe Ressourcen. [](https://www.fast-lta.de//de/blog/incident-response-bei-ransomware-wer-macht-was "Incident Response bei Ransomware: Wer macht was?")](https://www.fast-lta.de//de/blog/incident-response-bei-ransomware-wer-macht-was "Incident Response bei Ransomware: Wer macht was?") ### 8. Imple­men­tie­rung: Schritt für Schritt zum Schutz [\#](#8-implementierung-schritt-f%C3%BCr-schritt-zum-schutz "8. Implementierung: Schritt für Schritt zum Schutz") #### Ihr 8‑Schrit­te-Plan [\#](#ihr-8-schritte-plan "Ihr 8-Schritte-Plan") SchrittMaß­nah­meZeit­rah­men1**Bestands­auf­nah­me:** Alle Back­up-Sys­te­me inven­ta­ri­sie­ren, Angriffs­flä­chen bewerten1 Woche2**RTO/RPO defi­nie­ren:** Wie­der­her­stel­lungs­zie­le je Sys­tem dokumentieren1 Woche3**Tier-Archi­tek­tur pla­nen:** Wel­che Sys­te­me brau­chen Air-Gap-Schutz?1 Woche4**Lösung aus­wäh­len:** Bewer­tungs­ma­trix anwen­den, Com­pli­ance-Anfor­de­run­gen prüfen2 Wochen5**Pilot imple­men­tie­ren:** Reprä­sen­ta­ti­ve Workloads über 4 Wochen testen4 Wochen6**Reco­very tes­ten:** Voll­stän­di­ger Res­to­re-Test vor Go-Live1 Woche7**Doku­men­ta­ti­on:** BSI CON.3 aktua­li­sie­ren, Reco­very-Run­book erstellen1 Woche8**Betrieb:** Moni­to­ring, quar­tals­wei­se Reco­very-Tests, jähr­li­che Architektur-ReviewsLau­fend#### Die häu­figs­ten Feh­ler ver­mei­den [\#](#die-h%C3%A4ufigsten-fehler-vermeiden "Die häufigsten Fehler vermeiden") - **Logi­schen Air Gap für ech­ten hal­ten:** Cloud WORM ist kein Air Gap — wenn ein Angrei­fer mit Admin-Cre­den­ti­als Ihr Back­up löschen kann, ist es kein Schutz. - **Back­up-Tests ver­nach­läs­si­gen:** Ein Back­up ohne Res­to­re-Test ist ein Hoffnungssystem. - **RTO nicht veri­fi­zie­ren:** Ihr RTO muss durch Tests belegt sein, nicht durch Wunschdenken. - **Glei­che Cre­den­ti­als ver­wen­den:** Back­up-Sys­te­me brau­chen eige­ne, getrenn­te Administratorkonten. ### Air Gap Ein Air Gap ist die physische Unterbrechung jeder Netzwerkverbindung zwischen einem Backup-System und der übrigen IT-Infrastruktur, sodass das System im Offline-Zustand keine adressierbare Netzwerkschnittstelle besitzt und damit für Ransomware und Angreifer unerreichbar ist. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/air-gap) ### Air Gap Ein Air Gap ist die physische Unterbrechung jeder Netzwerkverbindung zwischen einem Backup-System und der übrigen IT-Infrastruktur, sodass das System im Offline-Zustand keine adressierbare Netzwerkschnittstelle besitzt und damit für Ransomware und Angreifer unerreichbar ist. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/air-gap) ### WORM WORM (Write Once, Read Many) bezeichnet ein Speicherprinzip, bei dem Daten einmal geschrieben und danach technisch nicht mehr verändert oder gelöscht werden können — bei Hardware-WORM ist diese Unveränderlichkeit eine physikalische Eigenschaft des Speicher-Controllers, unabhängig von Software, Betriebssystem oder Benutzerprivilegien. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/worm) #### Was kostet ein Ransomware-Angriff ein deutsches Unternehmen? Laut Bitkom 2024 verursacht ein erfolgreicher Ransomware-Angriff durchschnittlich 5,3 Millionen Euro Schaden — diese Zahl ist eine Schätzung auf Basis von Gesamtschadensaufsummierungen. Die tatsächlichen Kosten variieren stark je nach Unternehmensgröße, Branche und Reaktionsgeschwindigkeit. Sophos 2024 dokumentiert, dass 65 % der Opfer länger als eine Woche für die vollständige Wiederherstellung benötigten. ### Ransomware Ransomware ist Schadsoftware, die Daten auf infizierten Systemen verschlüsselt und ein Lösegeld für die Entschlüsselung fordert — mit dem Ziel, Unternehmen und Behörden zur Zahlung zu zwingen, indem sie deren Betrieb lahmlegen. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/ransomware) #### Was ist der Unterschied zwischen Air Gap und Immutable Storage? Immutable Storage (unveränderlicher Speicher) schützt Daten durch Software-Policies vor Änderung oder Löschung. Ein Air Gap trennt Daten physisch vom Netzwerk. Der entscheidende Unterschied: Immutability-Policies können von einem Angreifer mit kompromittierten Administrator-Credentials aufgehoben werden. Ein physischer Air Gap nicht — weil das System im Offline-Zustand keine Netzwerkverbindung hat. ### Immutable Storage Immutable Storage bezeichnet Speichertechnologien, die gespeicherte Daten vor nachträglicher Veränderung oder Löschung schützen — wobei der entscheidende Unterschied darin liegt, ob dieser Schutz auf Hardware-Ebene (nicht umgehbar) oder auf Software-Ebene (durch Administratoren mit ausreichenden Rechten umgehbar) durchgesetzt wird. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/immutable-storage) ### Immutable Storage Immutable Storage bezeichnet Speichertechnologien, die gespeicherte Daten vor nachträglicher Veränderung oder Löschung schützen — wobei der entscheidende Unterschied darin liegt, ob dieser Schutz auf Hardware-Ebene (nicht umgehbar) oder auf Software-Ebene (durch Administratoren mit ausreichenden Rechten umgehbar) durchgesetzt wird. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/immutable-storage) ### Air Gap Ein Air Gap ist die physische Unterbrechung jeder Netzwerkverbindung zwischen einem Backup-System und der übrigen IT-Infrastruktur, sodass das System im Offline-Zustand keine adressierbare Netzwerkschnittstelle besitzt und damit für Ransomware und Angreifer unerreichbar ist. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/air-gap) ### Air Gap Ein Air Gap ist die physische Unterbrechung jeder Netzwerkverbindung zwischen einem Backup-System und der übrigen IT-Infrastruktur, sodass das System im Offline-Zustand keine adressierbare Netzwerkschnittstelle besitzt und damit für Ransomware und Angreifer unerreichbar ist. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/air-gap) #### Reicht ein Cloud-Backup als Ransomware-Schutz? Nein. Cloud-Backups sind über API-Credentials erreichbar. Ein Angreifer, der Ihre Cloud-IAM-Berechtigungen kompromittiert, kann auch Cloud-Backups löschen — einschließlich Object-Lock-geschützter Buckets, wenn MFA nicht konsequent erzwungen wird. Cloud-Backup ist eine sinnvolle ergänzende Schutzschicht, aber kein Ersatz für einen physischen Air Gap. ### Air Gap Ein Air Gap ist die physische Unterbrechung jeder Netzwerkverbindung zwischen einem Backup-System und der übrigen IT-Infrastruktur, sodass das System im Offline-Zustand keine adressierbare Netzwerkschnittstelle besitzt und damit für Ransomware und Angreifer unerreichbar ist. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/air-gap) #### Was fordert das BSI konkret für Backup-Schutz gegen Ransomware? Das BSI empfiehlt in seinen Ransomware-Empfehlungen und im IT-Grundschutz-Baustein CON.3: Offline-Backups (physisch vom Netzwerk getrennt), regelmäßige Wiederherstellungstests, getrennte Administratorkonten für Backup-Systeme und Netzwerksegmentierung. Für Organisationen mit erhöhtem Schutzbedarf fordert BSI CON.3 explizit eine physische Trennung der Backup-Medien. ### BSI IT-Grundschutz Der BSI IT-Grundschutz ist ein vom Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickeltes Rahmenwerk mit standardisierten Sicherheitsanforderungen für IT-Systeme — für KRITIS-Betreiber, NIS2-betroffene Organisationen und Behörden ist er die zentrale Referenz für nachweisbare IT-Sicherheitsmaßnahmen. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/bsi-it-grundschutz) ### Ransomware Ransomware ist Schadsoftware, die Daten auf infizierten Systemen verschlüsselt und ein Lösegeld für die Entschlüsselung fordert — mit dem Ziel, Unternehmen und Behörden zur Zahlung zu zwingen, indem sie deren Betrieb lahmlegen. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/ransomware) #### Wie lange dauert die Wiederherstellung aus einem Air-Gap-Backup? Bei festplattenbasierten Air-Gap-Systemen wie dem Silent Brick System liegt das typische Recovery Time Objective bei 4–8 Stunden für eine vollständige Systemwiederherstellung. Ältere Tape-basierte Lösungen benötigen dagegen typischerweise 24–96 Stunden. Der Unterschied liegt in der Zugriffsgeschwindigkeit: Festplatten ermöglichen Random Access, Bänder nur sequentielles Lesen. ### RTO / RPO RTO (Recovery Time Objective) ist die maximal akzeptable Ausfallzeit nach einem IT-Ausfall; RPO (Recovery Point Objective) ist der maximal akzeptable Datenverlust — beide sind Kennzahlen, die in Backup-Architekturen technisch nachweisbar erfüllt sein müssen und nicht nur als Wunschziele definiert werden dürfen. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/rto-rpo) #### Muss ich meine bestehende Backup-Software wechseln? Nein. Ein Hardware Air Gap System wie das Silent Brick System integriert sich über Standard-Schnittstellen (FC, iSCSI, NFS, SMB, S3) in Ihre bestehende Backup-Infrastruktur. Es arbeitet mit allen gängigen Backup-Lösungen zusammen — Veeam, Commvault, Veritas NetBackup, IBM Spectrum Protect und anderen. ### Air Gap Ein Air Gap ist die physische Unterbrechung jeder Netzwerkverbindung zwischen einem Backup-System und der übrigen IT-Infrastruktur, sodass das System im Offline-Zustand keine adressierbare Netzwerkschnittstelle besitzt und damit für Ransomware und Angreifer unerreichbar ist. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/air-gap) ### Air Gap Ein Air Gap ist die physische Unterbrechung jeder Netzwerkverbindung zwischen einem Backup-System und der übrigen IT-Infrastruktur, sodass das System im Offline-Zustand keine adressierbare Netzwerkschnittstelle besitzt und damit für Ransomware und Angreifer unerreichbar ist. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/air-gap) #### Wie schützt ein Air Gap gegen Double Extortion (Datendiebstahl + Verschlüsselung)? Ein Air Gap schützt Ihre Wiederherstellungsfähigkeit — er verhindert, dass ein Angreifer Ihre Backups vernichtet. Gegen den Datendiebstahl-Aspekt von Double Extortion schützt er nicht direkt; dafür sind Maßnahmen wie Netzwerksegmentierung, Data Loss Prevention und Verschlüsselung sensibler Daten erforderlich. Der Air Gap stellt aber sicher, dass Sie nach einem Angriff operativ handlungsfähig bleiben — ohne Lösegeld zahlen zu müssen. ### Air Gap Ein Air Gap ist die physische Unterbrechung jeder Netzwerkverbindung zwischen einem Backup-System und der übrigen IT-Infrastruktur, sodass das System im Offline-Zustand keine adressierbare Netzwerkschnittstelle besitzt und damit für Ransomware und Angreifer unerreichbar ist. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/air-gap) ### Air Gap Ein Air Gap ist die physische Unterbrechung jeder Netzwerkverbindung zwischen einem Backup-System und der übrigen IT-Infrastruktur, sodass das System im Offline-Zustand keine adressierbare Netzwerkschnittstelle besitzt und damit für Ransomware und Angreifer unerreichbar ist. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/air-gap)