Der Begriff Air Gap” bezeich­net ursprüng­lich eine phy­si­sche Lücke zwi­schen zwei Sys­te­men, die kei­ne elek­tri­sche Ver­bin­dung haben. In der IT-Sicher­heit beschreibt er die voll­stän­di­ge phy­si­sche Tren­nung eines Spei­cher­sys­tems vom Netz­werk — so dass kein Pro­to­koll, kein Port, kein API-End­punkt aktiv ist, solan­ge das Sys­tem im Off­line-Zustand verweilt.

Wich­tig ist die Abgren­zung zu Begrif­fen, die Air Gap” infla­tio­när ver­wen­den: Cloud-Anbie­ter ver­mark­ten als Vir­tu­al Air Gap”, Back­up-Soft­ware-Her­stel­ler bezeich­nen Netz­werk­seg­men­tie­rung als logi­schen Air Gap”. Bei­des ist kein Air Gap im tech­ni­schen Sin­ne. Ein ech­ter Air Gap erfor­dert drei Bedin­gun­gen: kei­ne akti­ve Netz­werk­ver­bin­dung nach dem Back­up-Fens­ter, kei­ne adres­sier­ba­re Netz­werk­schnitt­stel­le im Off­line-Zustand und eine hard­ware-erzwun­ge­ne Tren­nung, die von kei­nem kom­pro­mit­tier­ten Sys­tem auf­ge­ho­ben wer­den kann.

Im Kon­text von Ran­som­wa­re-Schutz ist der phy­si­sche Air Gap die ein­zi­ge Schutz­maß­nah­me, die auch dann wirkt, wenn ein Angrei­fer voll­stän­di­ge Domä­nen­ad­mi­nis­tra­tor-Rech­te erlangt hat. Soft­ware-basier­te Unver­än­der­lich­keit — , Cloud-Immu­ta­bi­li­ty-Poli­ci­es oder soft­ware­ge­steu­er­te -Funk­tio­nen — kann von einem Angrei­fer mit kom­pro­mit­tier­ten Admin-Cre­den­ti­als in vie­len Sze­na­ri­en deak­ti­viert wer­den. Ein phy­sisch nicht adres­sier­ba­res Spei­cher­me­di­um kann dage­gen weder ver­schlüs­selt noch gelöscht noch exfil­triert werden.

Auto­ma­ti­sier­te Hard­ware-Air-Gap-Sys­te­me wie das Silent Brick Sys­tem mit Max Air-Bricks rea­li­sie­ren die­sen Schutz ohne manu­el­le Ein­grif­fe: Nach Abschluss des Back­up-Jobs trennt ein inte­grier­ter Hard­ware-Con­trol­ler die Netz­werk­ver­bin­dung phy­sisch. Das Sys­tem ist uner­reich­bar, bis das nächs­te Back­up-Fens­ter beginnt. Die­ser Zyklus läuft voll­au­to­ma­tisch — kein Tape-Wech­sel, kein manu­el­ler Pro­zess, kein Risi­ko mensch­li­cher Feh­ler. Die Wie­der­her­stel­lungs­zeit liegt bei fest­plat­ten­ba­sier­ten Sys­te­men typi­scher­wei­se bei 4 – 8 Stun­den — deut­lich schnel­ler als tape-basier­te Lösun­gen, die 24 – 96 Stun­den benötigen.

Fragen und Antworten

Ein physischer Air Gap trennt ein System auf Hardware-Ebene vom Netzwerk — nach dem Backup-Fenster besitzt es keine aktive Netzwerkschnittstelle. Ein logischer Air Gap bezeichnet Netzwerksegmentierung durch Firewall-Regeln, VLANs oder Software-Policies. Der entscheidende Unterschied: Logische Trennungen existieren nur so lange, wie die zugrunde liegende Konfiguration korrekt ist. Ein Angreifer mit kompromittierten Admin-Credentials kann eine Firewall-Regel ändern — er kann eine physische Netzwerktrennung auf Hardware-Ebene nicht aufheben.
Nein. Object Lock speichert Daten unveränderlich — aber das Speichersystem bleibt über API-Endpunkte erreichbar. Ein Angreifer mit kompromittierten Cloud-IAM-Berechtigungen kann in vielen Konfigurationen (insbesondere Governance Mode) Object-Lock-Schutz aufheben. Ein physischer Air Gap hat keine erreichbare Netzwerkschnittstelle im Offline-Zustand — der Vergleich ist nicht zutreffend.
Bei festplattenbasierten Air-Gap-Systemen liegt das typische Recovery Time Objective (RTO) bei 4–8 Stunden für eine vollständige Systemwiederherstellung. Tape-basierte Air-Gap-Lösungen benötigen 24–96 Stunden, da Bandlaufwerke nur sequenziellen Lesezugriff bieten. Der Vorteil festplattenbasierter Air-Gap-Systeme liegt im direkten Zugriff auf beliebige Datenbereiche.
Nein. Hardware-Air-Gap-Systeme integrieren sich über Standard-Schnittstellen (FC, iSCSI, NFS, SMB, S3) in jede gängige Backup-Software — Veeam, Commvault, Acronis, SEP Sesam und andere. Die Backup-Software adressiert das Air-Gap-System wie ein normales Backup-Ziel; die physische Trennung erfolgt nach Abschluss des Jobs automatisch auf Hardware-Ebene.