--- title: "Wie Ransomware Backups zerstört: Technische Analyse" date: 2026-02-12T10:50:00+01:00 author: FAST LTA canonical_url: "https://www.fast-lta.de//de/blog/wie-ransomware-backups-zerstört-technische-analyse" section: "Entries: Articles" --- ### Pha­se 1: Recon­nais­sance und Pri­vi­le­gi­en-Eska­la­ti­on [\#](#phase-1-reconnaissance-und-privilegien-eskalation "Phase 1: Reconnaissance und Privilegien-Eskalation") Bevor die Ver­schlüs­se­lung los­geht, führt die Ran­som­wa­re meh­re­re Schrit­te durch: #### Schritt 1: Initi­al Access [\#](#schritt-1-initial-access "Schritt 1: Initial Access") Ein Mit­ar­bei­ter klickt auf einen Phis­hing-Link, ein RDP-Port ist offen, oder eine Schwach­stel­le wird aus­ge­nutzt. Ran­som­wa­re erhält First Foot­hold — oft als Low-Pri­vi­le­ge-Benut­zer (z. B. ein nor­ma­les Benutzerkonto). #### Schritt 2: Pri­vi­le­ge Escala­ti­on [\#](#schritt-2-privilege-escalation "Schritt 2: Privilege Escalation") Ran­som­wa­re ver­sucht, zu Admin-Rech­ten zu eska­lie­ren. Sie nutzt: - Loka­le Exploits (z. B. CVE-2021 – 1732 in Windows) - Token Imper­so­na­ti­on - Cre­den­ti­als aus dem RAM gestoh­len (Mimi­katz, etc.) - Mis­con­fi­gu­ra­tio­nen (z. B. unge­schütz­te Systemdienste) Mit Admin-Rech­ten kann Ran­som­wa­re sys­tem­weit agie­ren — ein­schließ­lich Backup-Zerstörung. --- ### Pha­se 2: Vier kon­kre­te Tak­ti­ken zur Back­up-Zer­stö­rung [\#](#phase-2-vier-konkrete-taktiken-zur-backup-zerst%C3%B6rung "Phase 2: Vier konkrete Taktiken zur Backup-Zerstörung") #### Tak­tik 1: Shadow Copy Dele­ti­on (vss­ad­min dele­te shadows) [\#](#taktik-1-shadow-copy-deletion-vssadmin-delete-shadows "Taktik 1: Shadow Copy Deletion (vssadmin delete shadows)") **Was ist Shadow Copy?** Win­dows Volu­me Shadow Copy ist eine ein­ge­bau­te Funk­ti­on, die auto­ma­tisch Snapshots von Datei­en erstellt. Vie­le Unter­neh­men nut­zen das als ​“Back­up” — es ist aber nur eine loka­le Siche­rung (auf der glei­chen Festplatte). **Wie Ran­som­wa­re vorgeht:** ``` vssadmin delete shadows /all /quiet wmic shadowcopy delete ``` Mit einem simp­len Befehl wer­den alle loka­len Snapshots gelöscht. Das nimmt Sekun­den. Der Benut­zer merkt es nicht. **War­um das funk­tio­niert:** Shadow Copy ist nicht unver­än­der­lich. Mit Admin-Rech­ten kann jeder es löschen. **Schutz­maß­nah­me:** Shadow Copy ist kein Back­up. Es ist nur eine loka­le, ver­wund­ba­re Kopie. Ein ech­tes Back­up muss **off­line und auf sepa­ra­ter Hard­ware** sein. #### Tak­tik 2: Back­up-Agent Deinstal­la­ti­on [\#](#taktik-2-backup-agent-deinstallation "Taktik 2: Backup-Agent Deinstallation") Vie­le Unter­neh­men nut­zen Soft­ware-Back­up-Agen­ten (z. B. Vee­am Agent, Back­up Exec, Commv­ault). Die­se Agen­ten lau­fen als Win­dows-Dienst im Hintergrund. **Wie Ran­som­wa­re vorgeht:** ``` net stop sc delete ``` Oder direk­ter: ``` taskkill /IM backup-agent.exe /F ``` Der Back­up-Pro­zess wird been­det und der Dienst wird dere­gis­triert. Zukünf­ti­ge Back­ups fin­den nicht statt. **War­um das funk­tio­niert:** Back­up-Soft­ware läuft mit Benut­zer-Pri­vi­le­gi­en. Mit Admin-Rech­ten (die Ran­som­wa­re inzwi­schen hat) kann sie jeder­zeit gestoppt werden. **Schutz­maß­nah­me:** Back­up-Agen­ten dür­fen nicht stopp­bar sein, oder Back­ups müs­sen nicht auf Agen­ten ange­wie­sen sein. Hard­ware Air Gap ver­wen­det **phy­si­sche Getrennt­heit** — es gibt kei­nen Agent zu stoppen. #### Tak­tik 3: API-Keys für Cloud-Back­up-Löschung [\#](#taktik-3-api-keys-f%C3%BCr-cloud-backup-l%C3%B6schung "Taktik 3: API-Keys für Cloud-Backup-Löschung") Vie­le Unter­neh­men sichern in der Cloud (AWS S3, Azu­re Blob, Goog­le Cloud). Die­se Cloud-Ser­vices wer­den über API-Cre­den­ti­als authen­ti­fi­ziert. Die Cre­den­ti­als sind oft lokal auf dem Ser­ver gespei­chert (in Con­fig-Datei­en, Umge­bungs­va­ria­blen, oder im RAM). **Wie Ran­som­wa­re vorgeht:** 1. **API-Keys aus­le­sen:** Ran­som­wa­re scannt loka­le Datei­en nach AWS\_ACCESS\_KEY\_ID, Azu­re Sto­rage Account Keys, etc. ``` findstr /S /M "AKIA\|ASIA" C:\ ``` 2. **Mit gestoh­le­nen Keys zur Cloud verbinden:** ``` aws s3 rm s3://my-backup-bucket --recursive ``` 3. **Cloud-Back­ups löschen:** Mit legi­ti­men Cre­den­ti­als kann Ran­som­wa­re alle Cloud-Snapshots löschen. **War­um das funk­tio­niert:** API-Schlüs­sel sind Pass­wör­ter. Wenn sie lokal ver­füg­bar sind, kön­nen sie gestoh­len wer­den. Cloud-Back­ups sind nur so sicher wie die Cre­den­ti­als, die sie schützen. **Schutz­maß­nah­me:** - Cre­den­ti­als soll­ten **nicht lokal** auf dem Ser­ver liegen. - Nut­zen Sie **Mana­ged Iden­ti­ties** (Azu­re) oder **IAM Roles** (AWS), um Cre­den­ti­als zu verstecken. - Oder: Nut­zen Sie Hard­ware Air Gap, die kei­ne Cre­den­ti­als braucht — sie nutzt phy­si­sche Isolation. #### Tak­tik 4: Cloud-Gover­nan­ce-Mode-Umge­hung (Object Lock) [\#](#taktik-4-cloud-governance-mode-umgehung-object-lock "Taktik 4: Cloud-Governance-Mode-Umgehung (Object Lock)") Vie­le Cloud-Anbie­ter bie­ten ​“Wri­te Once Read Many” (WORM) Fea­tures mit Object Lock. AWS S3 Object Lock hat zwei Modi: **Gover­nan­ce Mode:** Objek­te sind ​“wri­te-pro­tec­ted”, aber mit bestimm­ten Rech­ten (s3:BypassGovernanceRetention) kann der Schutz ent­fernt wer­den. Wenn ein Admin-Account die­se Rech­te hat und Ran­som­wa­re die­se Cre­den­ti­als stiehlt, kann sie den Schutz umgehen. **Com­pli­ance Mode:** Stär­ker — selbst der Root-Account kann Objek­te nicht löschen, bis die Reten­ti­on-Zeit abläuft. Das ist ech­te WORM. **Wie Ran­som­wa­re vorgeht:** Wenn nur Gover­nan­ce Mode aktiv ist und die Admin-Cre­den­ti­als kom­pro­mit­tiert sind: ``` aws s3api put-object-retention \ --bucket my-backup-bucket \ --key backup.tar \ --retention Mode=,Years= ``` Das ent­fernt den Reten­ti­on-Schutz, und das Objekt kann dann gelöscht werden. **War­um das funk­tio­niert:** Gover­nan­ce Mode ist absicht­lich schwä­cher — für Com­pli­ance-Sze­na­ri­en, wo Admi­nis­tra­to­ren eine Aus­stiegs­mög­lich­keit brau­chen. Ran­som­wa­re nutzt genau das aus. **Schutz­maß­nah­me:** Nut­zen Sie **Com­pli­ance Mode**, nicht Gover­nan­ce Mode, für Back­ups. Oder bes­ser: **Hard­ware WORM** (wie Silent Cubes), wo Com­pli­ance nicht über­geh­bar ist, selbst mit Root-Rechten. --- ### Pha­se 3: Back­up-Infra­struk­tur-Zer­stö­rung [\#](#phase-3-backup-infrastruktur-zerst%C3%B6rung "Phase 3: Backup-Infrastruktur-Zerstörung") Nach­dem ein­zel­ne Back­ups zer­stört sind, zer­stört Ran­som­wa­re oft die gesam­te Backup-Infrastruktur: - **Back­up-Ser­ver selbst wird ver­schlüs­selt** (wenn er zu kurz über SMB erreich­bar war). - **Back­up-Repo­si­to­ry wird gelöscht** (NAS-Shares, SAN-Targets). - **Back­up-Admi­nis­tra­to­ren wer­den aus ihren Accounts gelockt** oder ihre Cre­den­ti­als wer­den zurückgesetzt. --- ### War­um netz­werk­ge­bun­de­nes Back­up gegen Ran­som­wa­re nicht funk­tio­niert [\#](#warum-netzwerkgebundenes-backup-gegen-ransomware-nicht-funktioniert "Warum netzwerkgebundenes Backup gegen Ransomware nicht funktioniert") Die Kern­pro­ble­me: Pro­blemNetz­werk-Back­upHard­ware Air Gap\*\*Erreich­bar­keit\*\*Vom infi­zier­tem Netz­werk erreichbarPhy­sisch getrennt, nicht adressierbar\*\*Cre­den­ti­als\*\*Lokal gespei­chert, stehlbarNicht not­wen­dig, Authen­ti­fi­zie­rung physisch\*\*Umgeh­bar­keit\*\*Admin-Rech­te = ZugriffUnmög­lich ohne phy­si­schen Zugang\*\*Mal­wa­re-Des­in­fek­ti­on\*\*Schwie­rig — wel­che Ver­si­on ist sauber?Tri­vi­al — letz­te gül­ti­ge Kopie vor Infektion--- ### Wie Hard­ware Air Gap funk­tio­niert (Silent Brick) [\#](#wie-hardware-air-gap-funktioniert-silent-brick "Wie Hardware Air Gap funktioniert (Silent Brick)") Ein Hard­ware Air Gap funk­tio­niert anders als Netzwerk-Lösungen: 1. **Phy­si­sche Tren­nung:** Der Back­up-Spei­cher hat kei­ne Netz­werk-IP, kei­ne MAC-Adres­se (im akti­ven Zustand). Er ist nicht vom Pro­duk­ti­ons­netz erreichbar. 2. **Ver­ei­nig­te Authen­ti­fi­zie­rung:** Back­ups wer­den über siche­re Kanä­le (z. B. ver­schlüs­sel­te Ver­bin­dung) initi­iert, aber die Daten gehen auf unveränderlich/​WORM Speicher. 3. **Unver­än­der­lich­keit auf Hard­ware-Ebe­ne:** Daten wer­den auf Spei­cher geschrie­ben, die auf Firm­ware-Ebe­ne Read-Only sind (nicht nur auf Datei-Ebene). Selbst wenn Ran­som­wa­re Admin-Rech­te hat: Sie kann die Daten nicht errei­chen, nicht löschen, nicht verändern. --- ### Häu­fi­ge Fra­gen [\#](#h%C3%A4ufige-fragen "Häufige Fragen") **Rei­chen Object Lock und Com­pli­ance Mode aus?** Sie sind bes­ser als nichts, aber die letz­te Ver­tei­di­gungs­li­nie soll­te nicht die Cloud sein. Wenn die Root-Cre­den­ti­als kom­pro­mit­tiert wer­den (was bei Advan­ced Ran­som­wa­re pas­siert), kann sogar Com­pli­ance Mode über­wun­den wer­den durch Poli­cy-Ände­run­gen. Nut­zen Sie Cloud als *Ergän­zung*, nicht als *Ersatz* für off­line Backups. **Sind mei­ne loka­len Back­ups sicher, wenn ich sie nach dem Back­up disconnecte?** Nur wenn Sie sicher sind, dass Sie nicht recon­nec­ten, bevor die Ran­som­wa­re erkannt wird. In der Pra­xis pas­siert das oft auto­ma­tisch. Ein Hard­ware Air Gap ist hier bes­ser, weil die Dis­con­nec­tion per­ma­nent und unver­än­der­bar ist. **Wie oft soll­te ich Back­ups testen?** Min­des­tens quar­tal­wei­se für gro­ße Sys­te­me, monat­lich für kri­ti­sche. Jeder Test soll­te ein voll­stän­di­ger Reco­very-Test sein (nicht nur Res­to­re eines Ord­ners), mit Zeitmessung. --- ### Air Gap Ein Air Gap ist die physische Unterbrechung jeder Netzwerkverbindung zwischen einem Backup-System und der übrigen IT-Infrastruktur, sodass das System im Offline-Zustand keine adressierbare Netzwerkschnittstelle besitzt und damit für Ransomware und Angreifer unerreichbar ist. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/air-gap) ### Immutable Storage Immutable Storage bezeichnet Speichertechnologien, die gespeicherte Daten vor nachträglicher Veränderung oder Löschung schützen — wobei der entscheidende Unterschied darin liegt, ob dieser Schutz auf Hardware-Ebene (nicht umgehbar) oder auf Software-Ebene (durch Administratoren mit ausreichenden Rechten umgehbar) durchgesetzt wird. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/immutable-storage) ### Immutable Storage Immutable Storage bezeichnet Speichertechnologien, die gespeicherte Daten vor nachträglicher Veränderung oder Löschung schützen — wobei der entscheidende Unterschied darin liegt, ob dieser Schutz auf Hardware-Ebene (nicht umgehbar) oder auf Software-Ebene (durch Administratoren mit ausreichenden Rechten umgehbar) durchgesetzt wird. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/immutable-storage) ### WORM WORM (Write Once, Read Many) bezeichnet ein Speicherprinzip, bei dem Daten einmal geschrieben und danach technisch nicht mehr verändert oder gelöscht werden können — bei Hardware-WORM ist diese Unveränderlichkeit eine physikalische Eigenschaft des Speicher-Controllers, unabhängig von Software, Betriebssystem oder Benutzerprivilegien. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/worm) ### WORM WORM (Write Once, Read Many) bezeichnet ein Speicherprinzip, bei dem Daten einmal geschrieben und danach technisch nicht mehr verändert oder gelöscht werden können — bei Hardware-WORM ist diese Unveränderlichkeit eine physikalische Eigenschaft des Speicher-Controllers, unabhängig von Software, Betriebssystem oder Benutzerprivilegien. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/worm) ### WORM WORM (Write Once, Read Many) bezeichnet ein Speicherprinzip, bei dem Daten einmal geschrieben und danach technisch nicht mehr verändert oder gelöscht werden können — bei Hardware-WORM ist diese Unveränderlichkeit eine physikalische Eigenschaft des Speicher-Controllers, unabhängig von Software, Betriebssystem oder Benutzerprivilegien. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/worm) ### Air Gap Ein Air Gap ist die physische Unterbrechung jeder Netzwerkverbindung zwischen einem Backup-System und der übrigen IT-Infrastruktur, sodass das System im Offline-Zustand keine adressierbare Netzwerkschnittstelle besitzt und damit für Ransomware und Angreifer unerreichbar ist. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/air-gap) ### WORM WORM (Write Once, Read Many) bezeichnet ein Speicherprinzip, bei dem Daten einmal geschrieben und danach technisch nicht mehr verändert oder gelöscht werden können — bei Hardware-WORM ist diese Unveränderlichkeit eine physikalische Eigenschaft des Speicher-Controllers, unabhängig von Software, Betriebssystem oder Benutzerprivilegien. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/worm) ### Immutable Storage Immutable Storage bezeichnet Speichertechnologien, die gespeicherte Daten vor nachträglicher Veränderung oder Löschung schützen — wobei der entscheidende Unterschied darin liegt, ob dieser Schutz auf Hardware-Ebene (nicht umgehbar) oder auf Software-Ebene (durch Administratoren mit ausreichenden Rechten umgehbar) durchgesetzt wird. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/immutable-storage) ### Air Gap Ein Air Gap ist die physische Unterbrechung jeder Netzwerkverbindung zwischen einem Backup-System und der übrigen IT-Infrastruktur, sodass das System im Offline-Zustand keine adressierbare Netzwerkschnittstelle besitzt und damit für Ransomware und Angreifer unerreichbar ist. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/air-gap) ### Air Gap Ein Air Gap ist die physische Unterbrechung jeder Netzwerkverbindung zwischen einem Backup-System und der übrigen IT-Infrastruktur, sodass das System im Offline-Zustand keine adressierbare Netzwerkschnittstelle besitzt und damit für Ransomware und Angreifer unerreichbar ist. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/air-gap) ### WORM WORM (Write Once, Read Many) bezeichnet ein Speicherprinzip, bei dem Daten einmal geschrieben und danach technisch nicht mehr verändert oder gelöscht werden können — bei Hardware-WORM ist diese Unveränderlichkeit eine physikalische Eigenschaft des Speicher-Controllers, unabhängig von Software, Betriebssystem oder Benutzerprivilegien. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/worm)