Chat with us, powered by LiveChat
Preise anfragen
WW +41 21 641 6080 | US +1 800 256 0192 | CA +1 800 935 0725 | FR +33 261 880008 | UK +44 808 1890445
Kontaktieren Sie uns
Home > Schutz vor Ransomware

Ransomware-sichere Backups: Schützen Sie Ihre Backups mit Bacula Enterprise vor Ransomware

In letzter Zeit zielen Ransomware-Angriffe zunächst auf die Backup-Infrastruktur ab, da die Opfer durch die Zerstörung der Wiederherstellungsmöglichkeiten vor der Verschlüsselung keine andere Wahl haben, als das Lösegeld zu zahlen. Die Studie „State of Ransomware 2024“ von Sophos (basierend auf einer Umfrage unter 5.000 IT- und Sicherheitsexperten in 14 Ländern) ergab, dass Angreifer in 94 % der Vorfälle versuchten, Backup-Systeme zu kompromittieren, und bei 57 % dieser Versuche erfolgreich waren. Da die Wiederherstellungskosten etwa achtmal höher waren, zahlten die Opfer das Lösegeld fast doppelt so häufig.

Tatsächlich hat das Ausmaß des Problems im vergangenen Jahr nur noch zugenommen. Der „Ransomware and Cyber Threat Report 2026“ von GuidePoint Security verzeichnete für das Jahr 2025 einen Anstieg der Ransomware-Opfer um 58 % gegenüber dem Vorjahr, wobei im Laufe des Jahres 7.515 Organisationen zu Websites mit Datenlecks hinzugefügt wurden. Damit war 2025 das bisher aktivste Jahr für Ransomware-Angriffe seit Beginn der Aufzeichnungen.

Wenn Backup- und Produktionssysteme dieselben Anmeldedaten verwenden, erreicht ein einziger gehackter Account beide. Um Backups vor Ransomware zu schützen, benötigt die Backup-Umgebung ein eigenes Authentifizierungsmodell und einen Speicher, auf den keine Anmeldedaten der Produktionsseite Zugriff haben.

Bacula Enterprise wurde entwickelt, um Kompromittierungen von Backups auf Architekturebene zu verhindern, und ist die Backup-Lösung der Wahl für die NASA und einige der weltweit größten militärischen Organisationen. Ihre Kernkomponenten laufen unter Linux, wodurch eine ganze Klasse von Ransomware-Vektoren, die auf Windows abzielen, aus dem Bedrohungsmodell entfernt wird.

Das Design des Ransomware-Schutzes für Backups von Bacula basiert auf isolierten Dienstkonten, FIPS 140-3-konformer Verschlüsselung, unveränderlichen Speichervolumes und BGuardian, einem Modul für erweiterte Sicherheitsüberwachung und Bedrohungserkennung, um Backup-Daten auch dann intakt und wiederherstellbar zu halten, wenn die Produktionsumgebung vollständig kompromittiert wurde.

 

#

 

Kontaktieren Sie uns Ransomware-Whitepaper

Wie Bacula Enterprise Backups vor Ransomware schützt

Eine auf Verfügbarkeit und Geschwindigkeit ausgelegte Backup-Architektur verhält sich bei einem aktiven Angriff ganz anders als unter normalen Betriebsbedingungen. Bacula Enterprise ist so konzipiert, dass die Backup-Daten bei einem aktiven Angriff unversehrt bleiben, indem die Kernkomponenten auf einer separaten Linux-basierten Infrastruktur ausgeführt werden. Der Speicherzugriff erfolgt über unabhängige Dienstkonten, und jede Netzwerkverbindung zwischen den Komponenten basiert auf der Annahme, dass jeder Knoten im Netzwerk bereits kompromittiert sein könnte.

Architektonische Isolierung

Die Architektur von Bacula ist speziell darauf ausgelegt, die beiden häufigsten Einfallstore für Ransomware in ein Backup-System – gemeinsamen Netzwerkzugang und gemeinsam genutzte Anmeldedaten mit der Produktionsumgebung – durch Netzwerksegmentierung und vollständig isolierte Dienstkonten zu schließen.

  • Linux-basierter Kern: Baculas Director und Storage Daemon laufen unter Linux. Die meisten Ransomware-Payloads sind so konzipiert, dass sie unter Windows ausgeführt werden und Windows-zugängliche Dateipfade durchlaufen. Auf einem Linux-Host verfügen diese Payloads über keine Ausführungsumgebung.
  • Umgekehrte Verbindungsrichtung: Der Storage Daemon initiiert Verbindungen zum File Daemon (nicht umgekehrt); Client-Rechner benötigen keine offenen eingehenden Ports zum Backup-System. Ein Angreifer, der sich auf einem kompromittierten Client befindet, hat keinen empfangenden Dienst, zu dem er auf der Backup-Seite eine Verbindung herstellen könnte.
  • Standardmäßig isolierte Dienstkonten: Bei der Standardinstallation von Bacula läuft jeder Daemon unter einem eigenen, eingeschränkten Dienstkonto. Keine Produktionsanmeldedaten können auf den Backup-Speicher zugreifen, und kein Backup-Dienstkonto verfügt über Berechtigungen, die über das für Backup-Vorgänge erforderliche Maß hinausgehen.
  • Netzwerksegmentierung: Backup-Server, einschließlich des Directors, können in einem separaten VLAN betrieben werden, das von Produktionssystemen aus nicht erreichbar ist. Eine laterale Bewegung von einem kompromittierten Produktionshost wird an der Netzwerkgrenze gestoppt.

Unveränderlicher und Offline-Speicher

Die architektonische Isolierung schränkt den Zugriff eines Angreifers auf die Backup-Infrastruktur ein. Der unveränderliche und Offline-Speicher begrenzt wiederum den Schaden, den ein Angreifer im Falle einer Durchbrechung der Isolierung an den Backup-Daten anrichten kann.

  • Unveränderliche Festplattenvolumes: Bacula unterstützt schreibgeschützte Festplattenvolumes, die nach dem Schreiben nicht mehr geändert oder gelöscht werden können, selbst von einem Konto mit Berechtigungen für den Backup-Dienst.
  • NFS-Unveränderlichkeit über NetApp SnapLock: Für Unternehmen, die NetApp-Speicher einsetzen, lässt sich Bacula in SnapLock integrieren, um Unveränderlichkeit auf der Ebene der Speicherhardware durchzusetzen – außerhalb der Reichweite jeglicher Angriffe auf Softwareebene.
  • HPE StoreOnce-Unveränderlichkeit: Bacula unterstützt hardwarebasierten Schreibschutz auf HPE StoreOnce-Appliances für Unternehmen in diesem Speicher-Ökosystem.
  • Air-Gapped-Band: Bandvolumes, die aus der Bibliothek ausgeworfen und offline gelagert werden, sind für jegliche netzwerkbasierten Angriffe physisch unerreichbar. Baculas Bandunterstützung deckt eine breite Palette an Autoloadern und LTO-Hardware ab, und Bänder können über die in Bacula integrierten Tools beschriftet, in einem Tresor verwahrt und verwaltet werden.
  • Backup-Kopieraufträge: Baculas Mechanismus für Backup-Kopieraufträge schreibt Wiederherstellungspunkte auf ein separates Speicherziel unter einer anderen Aufbewahrungsrichtlinie als der primäre Backup-Auftrag. Der Kopierauftrag läuft unabhängig, mit eigenen Speicheranmeldedaten und einem eigenen Zugriffspfad. Ein beschädigter oder gelöschter primärer Backup-Satz lässt die Wiederherstellungspunkte des Kopierauftrags unberührt.

Aktive Bedrohungserkennung mit BGuardian

Moderne Ransomware-Betreiber verbringen Wochen in einem Netzwerk, um die Backup-Infrastruktur zu erfassen und Anmeldedaten zu testen, bevor sie eine Verschlüsselungs-Payload auslösen – weit unterhalb der Aktivitätsschwelle, die von Standardüberwachungssystemen erfasst wird. BGuardian ist ein Bacula Director-Plugin, das im Rahmen eines geplanten Admin-Jobs statistische Analysen und Konfigurationsprüfungen in der gesamten Bacula-Umgebung durchführt. Es erstellt HTML- und JSON-Berichte mit einem persistenten Alarmsystem, das neu erkannte Probleme von bereits bekannten unterscheidet, und zwar über mehrere Ausführungsdurchläufe hinweg.

  • Erkennung von Abweichungen bei Backups: Wenn Ransomware vor dem Start eines Backups mit der Verschlüsselung von Dateien auf einem Quellsystem beginnt, erfasst der Job weniger Daten, als die statistische Basislinie vorhersagt. BGuardian erkennt dies durch eine Regressionsanalyse entlang dreier Achsen pro Job: verarbeitete Bytes, Dateianzahl und Jobdauer. Ergebnissen, die erheblich von der berechneten Basislinie abweichen, wird ein Schweregrad (Hoch, Mittel oder Niedrig) zugewiesen und sie werden zur Überprüfung markiert.
  • Berichterstattung zu Malware- und Ransomware-Jobs: Der „Infected Service“ von BGuardian meldet jeden Backup-Job, bei dem die Malware-Schutzschicht von Bacula während der Ausführung Ransomware oder Malware erkannt hat. Jede Erkennung generiert eine dauerhafte Warnmeldung, die mit dem jeweiligen Client, dem Jobnamen und der Job-ID verknüpft ist. Die empfohlene Reaktion besteht in der sofortigen Netzwerkisolierung des betroffenen Hosts, bevor weitere Backup-Jobs auf diesem ausgeführt werden.
  • Überwachung von Sicherheitsereignissen: Der securityevents-Dienst von BGuardian durchsucht das interne Ereignisprotokoll von Bacula nach Einträgen, die der Kategorie „Sicherheit“ zugeordnet sind, einschließlich fehlgeschlagener bconsole-Authentifizierungsversuche gegenüber dem Director. Ein Muster fehlgeschlagener Director-Verbindungen ist ein Indikator für die Erfassung von Anmeldedaten gegenüber der Backup-Verwaltungsebene, und BGuardian zeigt diese Einträge im selben Berichtszyklus wie den Rest seiner Analyse an, anstatt einen separaten Prozess zur Protokollüberprüfung zu erfordern.
  • Bewertung der sicheren Konfiguration: Bei jeder Ausführung überprüft BGuardian die gesamte Director-Konfiguration anhand einer dokumentierten Sicherheitsrichtlinie und sucht dabei nach Problemen wie schwachen oder doppelten Daemon-Passwörtern, Daemons, die unter dem Root-Benutzer laufen, sowie unverschlüsselten Cloud-Speicherzielen. Jedem Befund wird ein Alarmcode zugewiesen, sodass Administratoren einzelne Punkte eskalieren oder unterdrücken können, ohne den Überblick über die übrigen zu verlieren.
  • Erkennung aufeinanderfolgender Fehler: Der failedinarow-Dienst von BGuardian identifiziert Jobs, die mehr als eine konfigurierbare Anzahl von Malen hintereinander fehlgeschlagen sind. Aufeinanderfolgende Fehler bei einem bestimmten Client oder Speicher-Daemon unterscheiden sich betrieblich von zufälligen vorübergehenden Fehlern und rechtfertigen eine Untersuchung, ob ein Dienst gestoppt wurde, ein Speicherziel nicht mehr erreichbar ist oder eine Komponente aktiv gestört wird.

*BGuardian ist ab Bacula Enterprise 16.0.12 verfügbar und lässt sich auf jeder Plattform bereitstellen, auf der der Bacula Director installiert werden kann.

Verschlüsselung über den gesamten Stack hinweg

Eine Netzwerküberwachung oder ein kompromittiertes Speicherziel ist für einen Angreifer nur dann von Nutzen, wenn die dadurch offengelegten Daten lesbar sind. Bacula verschlüsselt Backup-Daten unabhängig voneinander auf Komponentenebene, auf Netzwerkebene und auf Speicherebene. Ein Durchbruch in einer einzelnen Schicht verschafft einem Angreifer keinen Zugriff auf verwertbare Daten.

  • FIPS 140-3-konform: Bacula erfüllt den Verschlüsselungsstandard der US-Bundesbehörden, der von Regierungs- und Militärorganisationen der USA verwendet wird.
  • AES 128, AES 192 und AES 256: Die Verschlüsselungsstärke ist pro Client konfigurierbar. Unternehmen können für sensiblere Workloads stärkere Verschlüsselungsalgorithmen einsetzen, ohne den Rechenaufwand einheitlich auf die gesamte Umgebung zu verteilen.
  • TLS für die gesamte Kommunikation zwischen den Komponenten: Der Netzwerkverkehr zwischen dem Director, dem Storage Daemon und dem File Daemon erfolgt standardmäßig über TLS. Backup-Daten werden während der Übertragung selbst in Netzwerken verschlüsselt, in denen anderer Datenverkehr abgefangen wurde.
  • Verschlüsselung durch den Storage Daemon: Daten, die in den Cloud- oder Festplattenspeicher geschrieben werden, werden im Storage Daemon verschlüsselt, bevor sie die Backup-Infrastruktur verlassen. Das Speicherziel erhält ausschließlich verschlüsselte Daten. Ein Angreifer, der Zugriff auf das Speichermedium erlangt, hat ohne den Verschlüsselungsschlüssel keinen Zugriff auf die zugrunde liegenden Daten.
  • Granulare Verschlüsselung für nicht vertrauenswürdige Speicher: Für Backup-Ziele, die sich außerhalb der direkten Kontrolle der Organisation befinden, wendet Bacula eine speicherspezifische Verschlüsselung an. Ein kompromittiertes Cloud-Konto oder Speichersystem eines Drittanbieters legt keine lesbaren Backup-Daten offen.

Wichtigste Funktionen für den Schutz vor Ransomware durch Datensicherung

  • Unveränderliche Speichervolumes: Backup-Daten, die auf Festplatte, NAS oder Objektspeicher geschrieben werden, können auf Volume-Ebene gegen Änderungen oder Löschung gesperrt werden, sodass ein Angreifer mit gültigen Anmeldedaten für den Backup-Dienst Wiederherstellungspunkte nicht überschreiben oder zerstören kann.
  • Unterstützung für Air-Gapped-Bänder: Bandvolumes, die aus der Bibliothek ausgeworfen und offline gelagert werden, sind für jegliche netzwerkbasierten Angriffe physisch unerreichbar. Dadurch erhalten Unternehmen einen Wiederherstellungsweg, der durch keine Kompromittierung von Anmeldedaten oder Netzwerk-Einbrüche unterbrochen werden kann.
  • AES-Verschlüsselung pro Client: Backup-Daten werden pro Client mit AES-128, AES-192 oder AES-256 verschlüsselt, sodass bei einem Sicherheitsverstoß an einem einzelnen Speicherziel nur die Daten dieses Clients offengelegt werden. Der Rest der Backup-Umgebung bleibt geschützt.
  • BGuardian-Bedrohungserkennung: BGuardian führt täglich statistische Abweichungsanalysen, Berichte zur Malware-Erkennung und Bewertungen der Konfigurationssicherheit durch. Anomalien, die auf aktive Ransomware-Aktivitäten oder falsch konfigurierte Zugriffskontrollen hinweisen, erscheinen in den Berichten von BGuardian, bevor die Ransomware die Backup-Daten erreicht.
  • Multi-Faktor-Authentifizierung und OTP: MFA schützt die Verwaltungsschnittstellen von Bacula, wobei für den Zugriff auf BWeb über biometrische Funktionen des Smartphones eine Einmalpasswort-Authentifizierung zur Verfügung steht. Ein kompromittiertes Passwort allein reicht nicht aus, um Zugriff auf die Backup-Verwaltungsebene zu erlangen.
  • Erkennung stiller Datenbeschädigungen: Bacula gleicht vorhandene Backup-Daten mit ihren ursprünglichen Signaturen ab und erkennt Volumes, bei denen Daten auf Speicherebene beschädigt wurden, ohne dass ein sichtbarer Schreibfehler aufgetreten ist.
  • SIEM-Integration: Bacula leitet Sicherheitsereignisse an externe SIEM-Plattformen weiter. Aktivitäten der Backup-Infrastruktur werden innerhalb der Sicherheitsüberwachungs- und Incident-Response-Workflows der Organisation sichtbar und entziehen sich nicht länger der Sicht des SOC.
  • SHA256- und SHA512-Backup-Verifizierung: Baculas Verify-Jobs berechnen SHA256- oder SHA512-Signaturen anhand zuvor katalogisierter Dateien. Jede Signaturabweichung bedeutet, dass eine Datei zwischen zwei Backup-Läufen verändert wurde. Administratoren erhalten eine Erkennung unbefugter Änderungen auf Dateiebene, ohne ein separates Integritäts-Tool ausführen zu müssen.

Bacula Enterprise: Umfassende Plattformunterstützung

Sicherheit und Compliance bei Backups

Bacula Enterprise integriert Sicherheitskontrollen in jede Ebene des Backup-Stacks, vom Datentransport bis zum Speicherziel, sodass eine ransomware-sichere Backup-Architektur keine Sicherheitswerkzeuge von Drittanbietern benötigt, um Folgendes zu erreichen:

  • Unveränderliche Backup-Kopien. WORM-kompatibler Speicher schützt Backup-Daten nach dem Schreiben vor Änderungen oder Löschung. Für einen Angreifer mit gültigen Anmeldedaten besteht kein über das Netzwerk zugänglicher Pfad zu den Wiederherstellungspunkten.
  • AES-Verschlüsselung pro Client. Konfigurierbar mit AES 128, AES 192 oder AES 256 pro Client von der Quelle bis zum Speicherziel. Ein kompromittiertes Speicherziel legt nur die Daten dieses Clients offen, nicht die gesamte Backup-Umgebung.
  • FIPS 140-3-Konformität. Kryptografische Module erfüllen den von Regierungs- und Militärorganisationen geforderten Bundesstandard in allen unterstützten Daemons.
  • Granulare Zugriffskontrollen. Benutzerberechtigungen gelten nur für bestimmte Jobs, Wiederherstellungsworkflows und Verwaltungsfunktionen. Kein einzelnes Konto verfügt über unnötige Zugriffsrechte in der gesamten Backup-Umgebung.
  • Umfassende Aktivitätsüberwachung. Jede Sicherung, Wiederherstellung und Konfigurationsänderung wird mit Benutzeridentität und Zeitstempel protokolliert. Sicherheitsteams erhalten einen lückenlosen Prüfpfad für die Untersuchung von Vorfällen und die Überprüfung der Compliance.
  • SIEM-Integration. Sicherheitsereignisse der Backup-Infrastruktur werden in externe SIEM-Plattformen eingespeist, wodurch die Backup-Ebene in die bestehenden Incident-Response-Workflows des Unternehmens eingebunden wird, anstatt sie als blinden Fleck außerhalb des SOC zu belassen.
  • Unterstützung regulatorischer Rahmenbedingungen. Die Plattformkontrollen entsprechen den Anforderungen von DSGVO, HIPAA, SOC 2, PCI DSS und NIST durch Verschlüsselung, konfigurierbare Aufbewahrungsrichtlinien und detaillierte Audit-Protokolle.

Speicherung und Wiederherstellung

Eine Backup-Strategie gegen Ransomware scheitert, wenn die Wiederherstellung selbst langsam, ungetestet oder auf einen einzigen Pfad beschränkt ist. Bacula bietet Administratoren mehrere unabhängige Wiederherstellungsoptionen, sodass kein einzelner Ausfallpunkt die Wiederherstellungsfähigkeit beeinträchtigt:

  • Air-Gapped-Band. Bandvolumes, die aus dem Bandlaufwerk ausgeworfen und offline gelagert werden, sind für jegliche netzwerkbasierten Angriffe physisch unerreichbar. Kein noch so tiefgreifender Zugriff auf Anmeldedaten kann ein ausgeworfenes Band erreichen.
  • Backup-Kopieraufträge. Wiederherstellungspunkte werden unter unabhängigen Anmeldedaten und einer anderen Aufbewahrungsrichtlinie auf ein separates Speicherziel geschrieben. Ein beschädigter oder gelöschter primärer Backup-Satz lässt die Wiederherstellungspunkte des Kopierauftrags unberührt.
  • Bare-Metal-Wiederherstellung. Bacula stellt einen kompletten Server von Grund auf wieder her, einschließlich Betriebssystem, Anwendungen und Daten, ohne dass zuvor eine manuelle Installation erforderlich ist. Sowohl Linux- als auch Windows-Systeme werden abgedeckt, mit UEFI- und EFI-Unterstützung.
  • Mehrere Speicherspeichertypen. Backups werden im Rahmen einer einzigen Richtlinie auf lokale Festplatten, NAS, SAN, Bandbibliotheken und Cloud-Objektspeicher wie S3, Azure und Google Cloud geschrieben. Unternehmen setzen die 3-2-1-1-Regel um, ohne für jedes Ziel separate Tools verwalten zu müssen.
  • Mehrstufige Speicher-Workflows. Backup-Daten werden mit zunehmendem Alter automatisch zwischen Speicherebenen verschoben, wobei aktuelle Wiederherstellungspunkte auf schnellem Speicher verbleiben, während ältere Daten auf kostengünstigere oder Offline-Ziele verlagert werden.
  • Geografische Backup-Replikation. Backup-Sätze werden an geografisch getrennte Speicherorte kopiert. Ein standortweiter Ausfall führt nicht zum Ausfall der Wiederherstellungspunkte.
  • Automatisierte Wiederherstellungsvalidierung. Die Wiederherstellbarkeit wird durch automatisierte Tests bestätigt. Backup-Administratoren wissen, dass Wiederherstellungspunkte einsatzfähig sind, bevor ein Vorfall diese Frage aufwirft.

Umfassende Abdeckung verschiedener Umgebungen

Ransomware macht keinen Unterschied zwischen verschiedenen Workload-Typen. Bacula schützt physische Server, virtuelle Maschinen, Container, Datenbanken und Cloud-Infrastrukturen unter einer einzigen Richtlinien-Engine und einem einzigen Prüfpfad:

  • Plattformübergreifende Virtualisierung. Die native Integration umfasst VMware vSphere, Hyper-V, KVM, Red Hat Virtualization, Xen, Azure VM, Proxmox, Nutanix AHV und OpenStack mit einheitlicher Richtlinienanwendung über alle Hypervisoren hinweg.
  • Unterstützung für Container und Cloud-native Umgebungen. Umfassender Schutz für Docker-, Kubernetes- und OpenShift-Umgebungen, einschließlich persistenter Volumes und anwendungskonsistenter Snapshots.
  • Datenbanksicherung. Die Unterstützung für Hot-Backups umfasst Oracle, SQL Server, MySQL, PostgreSQL, SAP HANA, MariaDB, Percona und IBM DB2 mit vollständiger Transaktionskonsistenz. Datenbank-Backups sind zuverlässig für die Wiederherstellung, nicht nur für die Speicherung.
  • Schutz von SaaS-Anwendungen. Microsoft 365, Google Workspace und Exchange Online werden mit granularen Wiederherstellungsfunktionen bis hin zu einzelnen E-Mails und Kalendereinträgen geschützt.
  • Multi-Cloud-Speicherintegration. Die native Unterstützung umfasst S3-, Azure-, Google Cloud-, Oracle Cloud- und Glacier-Schnittstellen. Unternehmen sind nicht an einen einzigen Cloud-Anbieter für Backup-Speicher gebunden.
  • Windows-Umgebung. Das Windows Encrypting File System, Microsoft VSS mit MS SQL Server und Exchange, Active Directory sowie Mount-Point-Snapshots werden alle von einem einzigen Windows-Agenten abgedeckt.

Backup-Management und -Administration

  • BWeb Management Suite. Die primäre webbasierte Benutzeroberfläche von Bacula ermöglicht die Konfiguration von Jobs, die Überwachung, die Berichterstellung und die Sicherheitsanalyse für die gesamte Backup-Umgebung über eine einzige Schnittstelle.
  • B Grenzenlose Skalierbarkeit.B Die gleiche Plattformarchitektur verwaltet Umgebungen von einer Handvoll Servern bis hin zu Tausenden von Servern – alles unter einer einzigen Verwaltungsebene.
  • Mandantenisolierung. MSPs und große Unternehmen unterteilen die Backup-Umgebung in unabhängig verwaltete Einheiten. Jede Einheit verfügt über eigene Konfigurationen, Richtlinien und Zugriffskontrollen.
  • Integration externer Systeme. Bacula lässt sich mit Überwachungstools, IT-Ticketing-Systemen und Verzeichnisdiensten wie LDAP und Active Directory verbinden. Es ist keine kundenspezifische Entwicklung erforderlich.
  • Volumenunabhängige Lizenzierung. Die Lizenzgebühren richten sich nach der Größe der Umgebung, nicht nach dem Datenvolumen. Die Backup-Kapazität wächst, ohne dass dadurch höhere Kosten entstehen.

Bewährte Verfahren für die Datensicherung gegen Ransomware

  • Befolgen Sie die 3-2-1-1-Regel: Bewahren Sie drei Kopien der Daten auf zwei verschiedenen Medientypen auf, wobei sich eine Kopie außerhalb des Standorts und eine Kopie offline befinden sollte. Die Offline-Kopie ist diejenige, die auch bei einer vollständigen Kompromittierung des Netzwerks erhalten bleibt. *Bacula verwaltet alle vier Anforderungen über eine einzige Policy-Engine.
  • Trennen Sie Backup-Zugangsdaten von der Produktion: Führen Sie Backup-Daemons unter Dienstkonten aus, die ausschließlich für Backup-Vorgänge existieren und keine Überschneidungen mit Produktionszugangsdaten aufweisen. Ein kompromittiertes Produktionskonto sollte keinerlei Zugriff auf den Backup-Speicher haben. Bacula erreicht dies standardmäßig, indem jeder Daemon unter einem eigenen, eingeschränkten Dienstkonto ausgeführt wird.
  • Verwechseln Sie Speicher-Snapshots nicht mit ransomware-sicheren Backups: Snapshots verfügen über keine eigenständige Aufbewahrungsverwaltung und speichern alle Daten auf demselben System wie die Primärdaten. Jeder Angriff, der den Primärspeicher erreicht, erreicht auch die Snapshots. Sie sind ein nützliches Wiederherstellungswerkzeug bei versehentlichem Löschen, kein Ersatz für isolierte, unabhängig authentifizierte Backup-Kopien.
  • Verlassen Sie sich niemals auf Dateisystemunterschiede als Sicherheitsgrenze: Ein Dateisystem, das für die heutige Ransomware unerreichbar ist, muss für die von morgen nicht unerreichbar sein. Sicherheit darf nicht auf der Annahme beruhen, dass ein Angreifer ein bestimmtes Protokoll oder einen bestimmten Dateisystemtyp nicht durchqueren kann. Sie muss auf Zugriffskontrolle und Authentifizierung beruhen.
  • Führen Sie BGuardian täglich aus: BGuardian erkennt Anzeichen für Backup-Verunreinigungen, Konfigurationsschwächen und ungewöhnliches Jobverhalten, bevor diese zu einem vollständigen Wiederherstellungsausfall führen. Planen Sie den Job als Bacula-Admin-Job so ein, dass er außerhalb der Spitzenzeiten ausgeführt wird, und überprüfen Sie die Berichte im Rahmen Ihrer regulären Betriebsabläufe.
  • Testen Sie die Wiederherstellung regelmäßig: Ein Backup, das noch nie wiederhergestellt wurde, ist eine ungetestete Annahme. Führen Sie regelmäßig Wiederherstellungsaufträge für verschiedene Client-Typen und Speicherziele durch. Der „restorefrequency“-Dienst von BGuardian markiert Aufträge, deren Wiederherstellungshäufigkeit unter einen konfigurierbaren Schwellenwert gefallen ist, sodass Lücken bei den Wiederherstellungstests nicht unbemerkt bleiben.
  • Verschlüsseln Sie Backup-Daten, bevor sie die Backup-Infrastruktur verlassen: Die Verschlüsselung durch den Storage Daemon bedeutet, dass das Speicherziel ausschließlich verschlüsselte Daten erhält. Ein kompromittiertes Cloud-Konto oder Speichersystem eines Drittanbieters legt keine lesbaren Daten offen. Wenden Sie die Verschlüsselung auf alle Speicherziele an, die sich außerhalb der direkten Kontrolle Ihrer Organisation befinden.

Häufig gestellte Fragen

Was ist Ransomware-Backup-Schutz?

Ransomware-Backup-Schutz bezeichnet die architektonischen und betrieblichen Maßnahmen, die sicherstellen, dass Backup-Daten nach einem Ransomware-Angriff wiederherstellbar bleiben. Moderne Ransomware-Betreiber greifen zunächst die Backup-Infrastruktur an, bevor sie eine Verschlüsselungsfunktion auslösen. Daher erfordert der Schutz Speichermedien, die von einem Angreifer nicht verändert oder gelöscht werden können, eine von den Produktionszugangsdaten unabhängige Authentifizierung sowie eine aktive Überwachung, die Anzeichen für Ransomware erkennt, bevor diese die Backup-Daten erreichen.

Überprüft Bacula gesicherte Daten auf Malware?

Ja. Der „Infected Service“-Bericht von BGuardian meldet jeden Job, bei dem die Malware-Schutzschicht von Bacula während der Ausführung Ransomware oder Malware erkannt hat, und generiert eine dauerhafte Warnmeldung, die mit dem jeweiligen Client, dem Jobnamen und der Job-ID verknüpft ist, sodass Administratoren genau wissen, welches System betroffen ist, bevor der nächste Sicherungsjob darauf ausgeführt wird.

Was ist die 3-2-1-1-Sicherungsregel?

Die 3-2-1-Regel bedeutet, drei Kopien der Daten auf zwei verschiedenen Medientypen aufzubewahren, wobei sich eine Kopie außerhalb des Standorts befindet. Im Zeitalter der Ransomware empfiehlt Bacula, eine vierte Anforderung hinzuzufügen: Eine Kopie muss offline und physisch für jegliche netzwerkbasierten Angriffe unerreichbar sein. Bandvolumes, die aus der Bibliothek ausgeworfen und außerhalb des Standorts verwahrt werden, erfüllen diese Anforderung und bieten Unternehmen einen Wiederherstellungsweg, der durch keine Kompromittierung von Anmeldedaten oder Netzwerk-Einbrüche unterbrochen werden kann.

Was soll ich tun, wenn meine Backups mit Ransomware infiziert sind?

Isolieren Sie die betroffenen Systeme unverzüglich vom Netzwerk, um die Ausbreitung zu stoppen, bevor Sie eine Wiederherstellung durchführen. Prüfen Sie, ob Ihre Backup-Lösung unveränderliche oder luftisolierte Kopien enthält, die während des Angriffs nicht erreichbar waren, da dies Ihre saubersten Wiederherstellungspunkte sind. Überprüfen Sie die Integrität des Backups vor der Wiederherstellung, da eine Wiederherstellung aus einem kompromittierten Backup die Infektion erneut einführt. Falls Ihre Backup-Plattform über eine Malware-Erkennung verfügt, überprüfen Sie deren Berichte, um genau zu ermitteln, welche Jobs und Clients betroffen waren, bevor Sie entscheiden, welche Wiederherstellungspunkte sicher verwendet werden können.

Wie lange dauert die Wiederherstellung nach einem Ransomware-Angriff?

Die Wiederherstellungszeit hängt davon ab, inwieweit die Backup-Infrastruktur kompromittiert wurde und wie gut der Wiederherstellungsweg vor dem Angriff vorbereitet war. Eine Studie von Sophos aus dem Jahr 2024 ergab, dass Unternehmen, deren Backups kompromittiert wurden, eine weitaus geringere Wahrscheinlichkeit hatten, sich innerhalb einer Woche zu erholen, als solche, deren Backups intakt blieben. Unternehmen mit getesteten Bare-Metal-Wiederherstellungsverfahren, sauberen Offline-Wiederherstellungspunkten und automatisierter Wiederherstellungsvalidierung erholen sich in der Regel deutlich schneller als solche, die ihre Umgebung von Grund auf neu aufbauen müssen.

Kann Ransomware Bacula-Backupdaten verschlüsseln oder löschen?

Nicht, wenn unveränderbarer Speicher konfiguriert ist. Bacula unterstützt schreibgeschützte Festplattenvolumes, NFS-Unveränderlichkeit über NetApp SnapLock und HPE StoreOnce-Hardware-Unveränderlichkeit. All diese Funktionen verhindern Änderungen oder Löschungen durch jegliche über das Netzwerk zugänglichen Vorgänge, einschließlich solcher, die unter gültigen Backup-Service-Anmeldedaten durchgeführt werden. Aus der Bibliothek ausgeworfene, luftisolierte Bandvolumes fügen eine physische Ebene hinzu, die kein netzwerkbasierter Angriff erreichen kann, unabhängig davon, über welche Anmeldedaten ein Angreifer verfügt.

Wie erkennt Bacula Ransomware-Aktivitäten, bevor diese die Backup-Daten beschädigen?

BGuardian führt bei jedem Backup-Job eine statistische Abweichungsanalyse durch und vergleicht die verarbeiteten Bytes, die Dateianzahl und die Jobdauer mit der historischen Basislinie des jeweiligen Jobs. Ein Rückgang der verarbeiteten Bytes ist ein dokumentierter Indikator für eine Vorverschlüsselung: Dateien auf dem Quellsystem waren bereits vor der Ausführung des Jobs verschlüsselt, sodass der Job weniger Daten erfasst hat, als die Basislinie vorhersagt. BGuardian kennzeichnet die Abweichung mit einer Schweregradbewertung und generiert eine dauerhafte, mit einem Zeitstempel versehene Warnmeldung.

Gewährt ein kompromittierter Produktionsserver einem Angreifer Zugriff auf Bacula?

Nein. Der Storage-Daemon initiiert Verbindungen zum File-Daemon, sodass ein kompromittierter Client auf der Backup-Seite keinen empfangenden Dienst hat, auf den er zurückgreifen könnte. Jeder Daemon läuft unter einem eigenen, isolierten Dienstkonto, was bedeutet, dass Produktionsanmeldedaten keine Berechtigungen innerhalb der Backup-Umgebung besitzen.

Ist Bacula Enterprise FIPS 140-3-konform?

Ja. Die kryptografischen Module von Bacula erfüllen FIPS 140-3 in allen unterstützenden Daemons. BGuardian überwacht aktiv den FIPS-Status auf dem Director, den Storage-Daemons und den File-Daemons und kennzeichnet jeden Daemon, bei dem der FIPS-Modus nicht aktiv ist.

Können Bacula-Backups einer Insider-Bedrohung standhalten?

Ja. Jeder Zugriff und jede Konfigurationsänderung wird mit Benutzeridentität und Zeitstempel protokolliert. Dies bietet Sicherheitsteams einen forensischen Prüfpfad, um genau zu ermitteln, welches Konto welche Aktion wann durchgeführt hat. Die granularen Zugriffskontrollen von Bacula beschränken Berechtigungen auf bestimmte Jobs und Wiederherstellungsworkflows, sodass kein einzelnes Administratorkonto über unnötige Zugriffsrechte in der Backup-Umgebung verfügt.

Lässt sich Bacula in externe Sicherheitsüberwachungstools integrieren?

Ja. Bacula speist Sicherheitsereignisse in SIEM-Plattformen ein und bindet Director-Ereignisse, fehlgeschlagene Authentifizierungsversuche und BGuardian-Warnmeldungen in die bestehenden Incident-Response-Workflows des Unternehmens ein. Die Backup-Infrastruktur ist ein häufiger blinder Fleck in der SOC-Abdeckung, und diese Integration beseitigt ihn.

Das könnte Sie auch interessieren:
datensicherung programm
datensicherung für vmware
cloud-backup für unternehmen