--- title: Warum Cloud-Backups keinen echten Ransomware-Schutz bieten date: 2026-01-15T15:45:00+01:00 author: FAST LTA canonical_url: "https://www.fast-lta.de//de/blog/warum-cloud-backups-keinen-echten-ransomware-schutz-bieten" section: "Entries: Articles" --- ### Drei kri­ti­sche Schwach­stel­len von Cloud-Back­ups [\#](#drei-kritische-schwachstellen-von-cloud-backups "Drei kritische Schwachstellen von Cloud-Backups") #### Schwach­stel­le 1: IAM und API-Key-Kom­pro­mit­tie­rung [\#](#schwachstelle-1-iam-und-api-key-kompromittierung "Schwachstelle 1: IAM und API-Key-Kompromittierung") Cloud-Back­ups wer­den über API-Cre­den­ti­als authen­ti­fi­ziert. Die­se Cre­den­ti­als sind oft: **Lokal gespei­chert:** - In Kon­fi­gu­ra­ti­ons­da­tei­en (z. B. ~/.aws/credentials, ~/.azure/credentials) - In Umge­bungs­va­ria­blen (AWS\_ACCESS\_KEY\_ID, etc.) - Im Quell­code (häu­fi­ger Fehler) - Im RAM eines Back­up-Pro­zes­ses (mit­tels Memo­ry-Dum­ping auslesbar) **Wie Ran­som­wa­re vorgeht:** Sobald Ran­som­wa­re Admin-Rech­te hat, führt sie ein­fa­che Befeh­le aus: ``` findstr /S /M "AKIA\|ASIA\|aws_access_key" C:\ cat ~/.aws/credentials printenv | grep AWS ``` Mit gestoh­le­nen Cre­den­ti­als kann Ran­som­wa­re sich zur Cloud ver­bin­den — **mit den glei­chen Rech­ten wie der legi­ti­me Admi­nis­tra­tor**. Das heißt: ``` aws s3 rm s3://my-backup-bucket --recursive ``` Das Back­up ist weg. Ran­som­wa­re hat sich selbst als legi­ti­mer Benut­zer authentifiziert. **War­um Cloud-Anbie­ter hier nicht hel­fen kön­nen:** Sie sehen legi­ti­me API-Calls. Es gibt kei­ne Mög­lich­keit, zwi­schen ​“Admi­nis­tra­tor löscht absicht­lich” und ​“Ran­som­wa­re mit gestoh­le­nen Cre­den­ti­als” zu unterscheiden. #### Schwach­stel­le 2: Object Lock und Gover­nan­ce Mode [\#](#schwachstelle-2-object-lock-und-governance-mode "Schwachstelle 2: Object Lock und Governance Mode") AWS S3 Object Lock (und ähn­li­che WORM-Fea­tures in Azu­re, GCP) bie­ten schein­bar Schutz. Aber es gibt einen Haken. **Gover­nan­ce Mode:** Objek­te kön­nen nicht ver­än­dert oder gelöscht wer­den — **es sei denn**, der Benut­zer hat die Berech­ti­gung `s3:BypassGovernanceRetention`. Typi­scher­wei­se haben Admi­nis­tra­to­ren die­se Berech­ti­gung (für Notfallszenarien). Wenn Admin-Cre­den­ti­als kom­pro­mit­tiert sind, kann Ran­som­wa­re die­se Berech­ti­gung nutzen: ``` aws s3api put-object-retention \ --bucket my-backups \ --key backup-2024-01-15.tar.gz \ --retention Mode= ``` Der Reten­ti­on-Schutz wird ent­fernt, und das Objekt kann gelöscht werden. **Com­pli­ance Mode:** Das ist stär­ker — selbst der Root-Account kann kei­ne Objek­te löschen, solan­ge die Reten­ti­on aktiv ist. **Das ist ech­ter WORM.** Aber: 1. **Es erfor­dert strik­te Poli­cy:** Nie­mand darf die Berech­ti­gung zum Ändern der Reten­ti­on haben. 2. **Es ist nicht Mal­wa­re-resis­tent:** Wenn Ran­som­wa­re die Root-Cre­den­ti­als hat (was bei Advan­ced Per­sis­tent Thre­ats pas­siert), kann sie über Poli­cy-Ände­run­gen die Reten­ti­on überschreiben. 3. **Es ist admi­nis­tra­tiv unfle­xi­bel:** Was ist, wenn Sie wirk­lich ein Back­up löschen müs­sen? Mit Com­pli­ance Mode war­ten Sie Wochen oder Monate. **Der Kern-Pro­blem:** Soft­ware-basier­te Schutz­maß­nah­men sind umgeh­bar mit Admin-Rech­ten. Das ist eine Design­be­schrän­kung der Cloud. #### Schwach­stel­le 3: CLOUD Act und Geo­po­li­tik [\#](#schwachstelle-3-cloud-act-und-geopolitik "Schwachstelle 3: CLOUD Act und Geopolitik") Das ist ein sub­ti­le­rer, aber unter­schätz­ter Punkt. Der US **CLOUD Act** erlaubt US-Behör­den (FBI, DEA, etc.), auf Daten zuzu­grei­fen, die in der Cloud bei US-Unter­neh­men lie­gen — **auch wenn die­se Ser­ver phy­sisch in Euro­pa ste­hen**. **Bei­spiel:** Sie spei­chern Back­ups in AWS mit einem EU-Daten Zen­trum. Ihre Daten sind phy­sisch in Deutsch­land. Aber AWS ist eine US-Gesell­schaft. Ein US-Rich­ter kann einen Zugriffs­be­scheid aus­stel­len, und AWS ist recht­lich ver­pflich­tet, die Daten her­aus­zu­ge­ben — Deut­sches Recht hin oder her. Das ist kein IT-Pro­blem, son­dern ein **Geo­po­li­tik-Pro­blem**. Für Unter­neh­men mit sen­si­blen Daten (Medi­zin, Finanz, Infra­struk­tur) ist das ein Com­pli­ance-Risi­ko, das Cloud-Back­ups nicht lösen. --- ### War­um die­se Pro­ble­me schwer lös­bar sind [\#](#warum-diese-probleme-schwer-l%C3%B6sbar-sind "Warum diese Probleme schwer lösbar sind") Cloud-Anbie­ter kön­nen die­se Sicher­heits­lü­cken teil­wei­se redu­zie­ren, aber nicht eliminieren: - **IAM-Sicher­heit:** Nur wenn Admin-Cre­den­ti­als nicht kom­pro­mit­tiert wer­den — aber Advan­ced Ran­som­wa­re zielt genau dar­auf ab. - **Com­pli­ance Mode:** Schränkt Fle­xi­bi­li­tät ein und bie­tet trotz­dem kei­ne 100% Garantie. - **Geo­po­li­tik:** Unheil­bar, es sei denn, Sie lagern in der eige­nen On-Premises-Infrastruktur. --- ### Cloud-Back­ups als Ergän­zung, nicht als Ersatz [\#](#cloud-backups-als-erg%C3%A4nzung-nicht-als-ersatz "Cloud-Backups als Ergänzung, nicht als Ersatz") Cloud-Back­ups haben Vorteile: - **Geo­gra­fi­sche Red­un­danz:** Back­ups sind welt­weit verteilt. - **Ein­fa­che Ver­wal­tung:** Kaum War­tung, auto­ma­ti­sche Skalierung. - **Dis­as­ter-Reco­very:** Wenn Ihr loka­les Rechen­zen­trum abbrennt, kön­nen Sie schnell von der Cloud wiederherstellen. **Sie sind aber nicht genug für Ran­som­wa­re-Resi­li­enz.** Warum? Weil die letz­te Ver­tei­di­gungs­li­nie bei Ran­som­wa­re nicht ein Cloud-Fea­ture sein kann, das mit Admin-Rech­ten über­geh­bar ist. Die letz­te Ver­tei­di­gungs­li­nie muss **phy­sisch** sein. --- ### Die ech­te Lösung: Mul­ti-Tier Back­up [\#](#die-echte-l%C3%B6sung-multi-tier-backup "Die echte Lösung: Multi-Tier Backup") Moder­ner Ran­som­wa­re-Schutz funk­tio­niert mit drei Ebenen: Ebe­neTech­no­lo­gieFunk­ti­onRan­som­wa­re-Schutz\*\*1 — Lokal/​Schnell\*\*NAS oder SANSchnel­le Reco­very (RTO: Stunden)Mode­rat (erreich­bar)\*\*2 — Offline/​Offline\*\*Hard­ware Air Gap (Silent Brick)Siche­re Langzeit-ArchivierungStark (phy­sisch isoliert)\*\*3 — Geografisch\*\*Cloud (AWS, Azure)Dis­as­ter Reco­very, RedundanzMode­rat (Admin-über­geh­bar)Ein Angriff kann Ebe­ne 1 zer­stö­ren. Ebe­ne 2 ist off­line und nicht erreich­bar. Ebe­ne 3 ist für geo­gra­fi­sche Red­un­danz, nicht pri­mä­rer Schutz. --- ### Best Prac­ti­ce: Back­up-Stra­te­gie nach Sys­tem­kri­ti­k­ali­tät [\#](#best-practice-backup-strategie-nach-systemkritikalit%C3%A4t "Best Practice: Backup-Strategie nach Systemkritikalität") #### Kri­ti­sche Sys­te­me (Domä­ne, ERP, E‑Mail) [\#](#kritische-systeme-dom%C3%A4ne-erp-e-mail "Kritische Systeme (Domäne, ERP, E-Mail)") - **Back­up-Ziel:** Hard­ware Air Gap (off­line, unveränderlich) - **Fre­quenz:** Täglich - **Reco­very-Test:** Monatlich - **Cloud-Back­up:** Optio­nal (Dis­as­ter Recovery) #### Unkri­ti­sche Sys­te­me (File­ser­ver, Daten­ban­ken für Report­ing) [\#](#unkritische-systeme-fileserver-datenbanken-f%C3%BCr-reporting "Unkritische Systeme (Fileserver, Datenbanken für Reporting)") - **Back­up-Ziel:** NAS mit Snapshots + Cloud - **Fre­quenz:** Täg­lich bis wöchentlich - **Reco­very-Test:** Quartalweise - **Cloud-Back­up:** Pri­ma­ry (kos­ten­güns­ti­ger) --- ### Häu­fi­ge Fra­gen [\#](#h%C3%A4ufige-fragen "Häufige Fragen") **Kann ich nur in die Cloud sichern?** Tech­nisch ja, aber Ran­som­wa­re-Exper­ten emp­feh­len das nicht für kri­ti­sche Daten. Cloud allein bie­tet nicht genü­gend Garan­tien gegen Advan­ced Ran­som­wa­re. Nut­zen Sie Cloud als Zusatz­ebe­ne, nicht als Ersatz. **Soll­te ich Com­pli­ance Mode verwenden?** Ja, wenn Sie Cloud-Back­ups nut­zen. Aber beden­ken Sie: Com­pli­ance Mode ist starr (lan­ge War­te­zei­ten zum Löschen) und bie­tet trotz­dem kei­ne 100% Garan­tie gegen Root-Zugriff. Nut­zen Sie es, aber nicht als ein­zi­gen Schutz. **Was ist mit Multi-Cloud-Backups?** Eine Stra­te­gie, bei der Back­ups in meh­re­ren Cloud-Anbie­tern lie­gen (z. B. AWS und Azu­re). Das schützt vor einem ein­zel­nen Cloud-Anbie­ter-Angriff, aber nicht vor Ran­som­wa­re-Angriff auf Ihre On-Pre­mi­ses-Cre­den­ti­als. Hilft, aber nicht vollständig. **Ist ein loka­les Air Gap Back­up genug?** Ein loka­les Hard­ware Air Gap ist gegen Ran­som­wa­re stark. Aber es schützt nicht vor Dis­as­ter-Sze­na­ri­en (Feu­er, Hoch­was­ser). Kom­bi­nie­ren Sie mit geo­gra­fisch ver­teil­ten Backups. --- ### Immutable Storage Immutable Storage bezeichnet Speichertechnologien, die gespeicherte Daten vor nachträglicher Veränderung oder Löschung schützen — wobei der entscheidende Unterschied darin liegt, ob dieser Schutz auf Hardware-Ebene (nicht umgehbar) oder auf Software-Ebene (durch Administratoren mit ausreichenden Rechten umgehbar) durchgesetzt wird. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/immutable-storage) ### WORM WORM (Write Once, Read Many) bezeichnet ein Speicherprinzip, bei dem Daten einmal geschrieben und danach technisch nicht mehr verändert oder gelöscht werden können — bei Hardware-WORM ist diese Unveränderlichkeit eine physikalische Eigenschaft des Speicher-Controllers, unabhängig von Software, Betriebssystem oder Benutzerprivilegien. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/worm) ### WORM WORM (Write Once, Read Many) bezeichnet ein Speicherprinzip, bei dem Daten einmal geschrieben und danach technisch nicht mehr verändert oder gelöscht werden können — bei Hardware-WORM ist diese Unveränderlichkeit eine physikalische Eigenschaft des Speicher-Controllers, unabhängig von Software, Betriebssystem oder Benutzerprivilegien. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/worm) ### Air Gap Ein Air Gap ist die physische Unterbrechung jeder Netzwerkverbindung zwischen einem Backup-System und der übrigen IT-Infrastruktur, sodass das System im Offline-Zustand keine adressierbare Netzwerkschnittstelle besitzt und damit für Ransomware und Angreifer unerreichbar ist. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/air-gap) ### Air Gap Ein Air Gap ist die physische Unterbrechung jeder Netzwerkverbindung zwischen einem Backup-System und der übrigen IT-Infrastruktur, sodass das System im Offline-Zustand keine adressierbare Netzwerkschnittstelle besitzt und damit für Ransomware und Angreifer unerreichbar ist. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/air-gap) ### Air Gap Ein Air Gap ist die physische Unterbrechung jeder Netzwerkverbindung zwischen einem Backup-System und der übrigen IT-Infrastruktur, sodass das System im Offline-Zustand keine adressierbare Netzwerkschnittstelle besitzt und damit für Ransomware und Angreifer unerreichbar ist. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/air-gap)