NIS2: So schützen Immutable Backups vor Ransomware

Aktualisierung des Artikels am 21.11.2025: Die NIS2-Pflichten greifen in Deutschland erst mit Inkrafttreten des neuen Gesetzes, das nach Zustimmung des Bundesrats Ende 2025 oder Anfang 2026 erwartet wird. Ab diesem Zeitpunkt gelten die erweiterten Anforderungen für tausende Unternehmen verbindlich.

‍

Dieses Szenario ist keine Utopie. Es ist das Ergebnis einer strategischen Entscheidung, die im Rahmen der NIS2-Anforderungen zur überlebenswichtigen Pflicht wird: die Implementierung von unveränderlichen Backups.

‍

In der Vergangenheit war die gängige Weisheit, dass ein gutes Backup die beste Versicherung gegen Datenverlust sei. Doch Cyberkriminelle sind cleverer geworden. Ihre Angriffe zielen heute nicht mehr nur auf die Produktionssysteme, sondern gezielt auch auf die Backups selbst. Sind diese kompromittiert, ist der letzte Rettungsanker verloren. Genau hier setzt das Konzept der Immutable Backups an und wird zur zentralen Säule für die Geschäftskontinuität, die die NIS Richtlinie fordert.

‍

Dieser Leitfaden ist Ihr herstellerneutraler Wegweiser. Wir erklären, was unveränderliche Backups wirklich sind, wie Sie diese strategisch implementieren und damit nicht nur Ihre Daten, sondern auch Ihre NIS2-Compliance sichern.

‍

Foundation: Was sind Immutable Backups wirklich?

‍

Um das Konzept zu verstehen, hilft eine einfache Analogie. Ein herkömmliches Backup ist wie ein wichtiges Dokument, das Sie in einem hochsicheren Tresor aufbewahren. Es ist gut geschützt, aber wenn ein Angreifer den Schlüssel zum Tresor erlangt, kann er das Dokument verändern oder zerstören.

‍

Ein Immutable Backup hingegen ist wie eine Inschrift in Granit. Sobald die Daten geschrieben sind, können sie für eine festgelegte Zeitspanne von niemandem – nicht von einem Angreifer, nicht von einem verärgerten Mitarbeiter und nicht einmal von Ihnen selbst – verändert oder gelöscht werden. Sie sind „unveränderlich“.

‍

‍

Die Schlüsseltechnologien entmystifiziert

‍

Unveränderlichkeit ist keine Magie, sondern das Ergebnis spezifischer Technologien. Die drei gängigsten Ansätze sind:

‍

1. WORM (Write Once, Read Many): Dies ist der klassische Ansatz. Daten werden auf ein Speichermedium geschrieben und können danach nur noch gelesen, aber nicht mehr verändert werden. Man kennt es von CDs oder Bändern, aber heute wird es meist auf Festplattensystemen emuliert.
   ‍
2. S3 Object Lock (Cloud-Speicher): Eine Funktion, die von vielen Cloud-Anbietern (wie AWS, Azure, Google Cloud) angeboten wird. Wenn Sie Daten in einem Cloud-Speicher (Object Storage) ablegen, können Sie eine Unveränderlichkeits-Sperre für einen bestimmten Zeitraum aktivieren. Das ist besonders für Unternehmen interessant, die bereits NIS2 SaaS-Lösungen nutzen.
   ‍
3. Gehärtete Linux-Repositories: Hierbei wird ein speziell konfigurierter Linux-Server als Backup-Ziel verwendet. Durch eingeschränkte Zugriffsrechte und spezielle Dateisystem-Flags wird sichergestellt, dass die Backup-Dateien nach dem Schreiben nicht mehr manipuliert werden können.

‍

Der entscheidende Unterschied: Immutable vs. Air-Gap

‍

Oft werden Immutable Backups mit Air-Gapped Backups verwechselt. Der Unterschied ist jedoch entscheidend:

‍

• Air-Gap: Hier besteht eine physische Trennung zwischen dem Backup und dem Netzwerk (z. B. eine externe Festplatte im Safe oder ein ausgelagertes Band). Der Schutz ist hoch, aber die Wiederherstellung ist langsam und der Prozess oft manuell.
  ‍‍
• Immutable Backup: Das Backup kann online und jederzeit zugänglich sein. Die Unveränderlichkeit wird durch Software oder Hardware erzwungen. Dies ermöglicht eine deutlich schnellere Notfallwiederherstellung, was für NIS2-kritische Dienste essenziell ist.

‍

In einer modernen Strategie schließen sich beide Konzepte nicht aus, sondern ergänzen sich perfekt.

‍

Building: Die 3-2-1-1-0-Regel als strategischer Rahmen

‍

Die meisten IT-Profis kennen die goldene 3-2-1-Regel für Backups:

‍

• 3 Kopien Ihrer Daten
• auf 2 unterschiedlichen Medientypen
• wobei 1 Kopie extern (off-site) aufbewahrt wird.

‍

Diese Regel ist ein guter Anfang, aber im Zeitalter von Ransomware reicht sie nicht mehr aus. Deshalb hat sich die 3-2-1-1-0-Regel als neuer Goldstandard für die Cybersicherheit in der EU etabliert.

‍

‍

Die Regel erweitert das klassische Konzept um zwei entscheidende Punkte:

• Die zusätzliche „1“ steht für eine unveränderliche (immutable) oder physisch getrennte (air-gapped) Kopie. Dies ist Ihre letzte Verteidigungslinie. Selbst wenn ein Angreifer Ihr gesamtes Netzwerk und alle Online-Backups kompromittiert, bleibt diese eine Kopie unantastbar.
  ‍
• Die „0“ steht für null Fehler bei der Wiederherstellung. Das beste Backup ist nutzlos, wenn es sich nicht wiederherstellen lässt. Diese Null symbolisiert die Notwendigkeit, Wiederherstellungstests regelmäßig und automatisiert durchzuführen, um sicherzustellen, dass im Ernstfall alles funktioniert.

‍

Durch die Umsetzung dieser Regel schaffen Unternehmen eine robuste Datenresilienz, die den Kernanforderungen von NIS2 an das Management von Sicherheitsvorfällen und die Geschäftskontinuität entspricht.

‍

Mastery: Schritt-für-Schritt-Implementierung für NIS2-Compliance

‍

Die Einführung von Immutable Backups ist kein reines IT-Projekt, sondern eine strategische Maßnahme zur Risikominimierung. Hier sind die vier entscheidenden Schritte, um das Konzept NIS2-konform in Ihrem Unternehmen zu verankern.

‍

‍

Schritt 1: Bestandsaufnahme & Risikoanalyse

‍

Nicht alle Daten sind gleich. Beginnen Sie damit, Ihre Systeme und Daten zu klassifizieren.

‍

• Was ist NIS2-kritisch? Identifizieren Sie die Systeme, deren Ausfall die Erbringung Ihrer wesentlichen Dienste beeinträchtigen würde. Dies sind Ihre Kronjuwelen.
  ‍
• Definieren Sie RTO/RPO: Legen Sie für diese kritischen Systeme die Recovery Time Objectives (Wie schnell muss es wieder laufen?) und Recovery Point Objectives (Wie viel Datenverlust ist tolerierbar?) fest. Diese Kennzahlen bestimmen die Frequenz und Art Ihrer Backups.

‍

NIS2-Compliance-Checkpoint: Artikel 21 der NIS2-Richtlinie fordert „geeignete und verhältnismäßige technische und organisatorische Maßnahmen“, darunter Backup-Management und Notfallwiederherstellungspläne. Dieser Schritt legt die Grundlage dafür.

‍

Schritt 2: Technologie-Auswahl

‍

Basierend auf Ihrer Analyse wählen Sie die passende Technologie. Es gibt keine Einheitslösung.

‍

• On-Premise (Gehärtetes Linux-Repo/WORM-Storage): Ideal für maximale Kontrolle und bei Bedenken bezüglich Datenhoheit. Erfordert jedoch internes Know-how für die Einrichtung und Wartung.
  ‍
• Cloud (S3 Object Lock): Bietet hohe Skalierbarkeit, Pay-per-Use-Kostenmodelle und einfache Implementierung. Ideal für Unternehmen mit einer Cloud-First-Strategie. Prüfen Sie jedoch die Kosten für Datenspeicherung und -abruf (Egress-Kosten) genau.

‍

Häufiger Fehler: Die Technologie wird basierend auf dem Hype und nicht auf den individuellen Anforderungen (Kosten, Know-how, Compliance) ausgewählt. Erstellen Sie eine kleine Entscheidungstabelle, um die Vor- und Nachteile für Ihr Unternehmen abzuwägen.

‍

Schritt 3: Konfiguration & Integration

‍

Die richtige Konfiguration ist entscheidend.

‍

• Legen Sie Aufbewahrungsfristen fest: Wie lange müssen die Backups unveränderlich bleiben? Dies sollte sich an rechtlichen Vorgaben (z. B. DSGVO) und Ihren RPOs orientieren. Eine zu kurze Frist bietet keinen Schutz, eine zu lange verursacht unnötige Kosten.
  ‍
• Sichern Sie den Zugriff ab: Implementieren Sie Multi-Faktor-Authentifizierung (MFA) für alle administrativen Zugänge zu Ihren Backup-Systemen. Nutzen Sie das Prinzip der geringsten Rechte (Least Privilege).

‍

NIS2-Compliance-Checkpoint: Dies adressiert direkt die Anforderung nach Maßnahmen zur Gewährleistung der Sicherheit der Lieferkette, da auch Ihre Backup-Lösung (ob Cloud oder On-Premise) Teil Ihrer technologischen Lieferkette ist. Die Überschneidungen von NIS2 und ISO 27001 werden hier besonders deutlich.

‍

Schritt 4: Integration in den Notfallwiederherstellungsplan

‍

Ein Immutable Backup ist nur so gut wie der Plan, es zu nutzen.

‍

• Dokumentieren Sie den Prozess: Erstellen Sie eine detaillierte, schrittweise Anleitung für die Wiederherstellung aus einem unveränderlichen Backup. Wer macht was, wann und wie?
  ‍
• Testen, testen, testen: Führen Sie regelmäßig Wiederherstellungstests durch. Simulieren Sie einen Ernstfall, um sicherzustellen, dass Ihr Plan funktioniert und das Team vorbereitet ist. Dokumentieren Sie die Ergebnisse dieser Tests.

‍

Häufiger Fehler: Der Notfallplan verstaubt in der Schublade. Die Tests werden vernachlässigt, weil sie als aufwendig gelten. Planen Sie mindestens halbjährliche, wenn nicht sogar vierteljährliche Tests für Ihre kritischsten Systeme ein.

‍

Ihr nächster Schritt zur Cyber-Resilienz

‍

Die Implementierung von Immutable Backups ist keine Option mehr, sondern eine strategische Notwendigkeit für jedes Unternehmen, das unter die NIS2-Richtlinie fällt. Es ist die technische Umsetzung des Prinzips, auf den schlimmsten Fall vorbereitet zu sein – und ihn zu überleben.

‍

Indem Sie Ihre Backup-Strategie von der traditionellen 3-2-1-Regel zur robusten 3-2-1-1-0-Regel weiterentwickeln, schaffen Sie eine letzte Verteidigungslinie, die selbst modernsten Cyber-Angriffen standhält. Beginnen Sie heute mit dem ersten Schritt: der Analyse Ihrer kritischen Systeme. Denn im Ernstfall ist ein unveränderliches Backup nicht nur eine technische Lösung, sondern Ihre Garantie für Geschäftskontinuität.

‍

Häufig gestellte Fragen (FAQ)

‍

Was ist ein unveränderliches (immutable) Backup?

‍

Ein unveränderliches Backup ist eine Kopie von Daten, die nach ihrer Erstellung für einen festgelegten Zeitraum nicht mehr verändert oder gelöscht werden kann. Dies schützt die Daten vor unbefugter Manipulation, sei es durch Ransomware, Sabotage oder versehentliches Löschen.

‍

Wie genau schützt es vor Ransomware?

‍

Ransomware versucht, alle erreichbaren Dateien zu verschlüsseln, einschließlich der Backups, um Lösegeld zu erpressen. Da ein Immutable Backup per Definition nicht überschrieben oder verschlüsselt werden kann, bleibt es auch dann intakt, wenn die Produktionsumgebung und andere Backups kompromittiert sind. Sie haben somit immer eine saubere Kopie zur Wiederherstellung.

‍

Was ist der Unterschied zu einem normalen Backup?

‍

Ein normales Backup kann von jedem überschrieben, geändert oder gelöscht werden, der über die entsprechenden Berechtigungen verfügt. Ein Angreifer, der sich Admin-Rechte verschafft, kann diese Backups leicht unbrauchbar machen. Ein Immutable Backup verhindert dies durch eine technologisch erzwungene Schreibsperre.

‍

Was bedeutet WORM?

‍

WORM steht für "Write Once, Read Many" (Einmal schreiben, oft lesen). Es ist eine Datenspeichertechnologie, bei der Informationen einmal geschrieben und danach nicht mehr verändert werden können. Dies ist eines der Kernprinzipien hinter der Unveränderlichkeit von Daten.

‍