|
Artikelserie Backup-Strategien · Teil 5 von 7 Hybride Backup-Strategien — D2D2T, Air Gap, ImmutableDie starken Architekturen gegen Hardware-Defekt, Bedienfehler und Ransomware D2D2T · D2D2C · Air Gap · Immutable · Replikation · Hardened Repository |
|
Inhalt dieses Teils |
Warum hybrid? Kein einzelnes Medium kann alles
Aus den vorigen Teilen wissen wir: Lokale NAS- und Tape-Sicherungen sind schnell und günstig, aber im Brand- oder Ransomware-Fall potenziell angreifbar. Cloud-Backup schlägt das im Off-Site-Schutz, ist aber bei großen Restores langsam und bandbreitenlimitiert. Eine hybride Backup-Architektur kombiniert beide Welten zu einer Kette, die jedes realistische Schadensszenario auffängt — und das ohne Kompromiss bei RTO oder RPO.
Die etablierten Bauformen tragen alle kürzelartige Namen (D2D2T, D2D2C) und bauen aufeinander auf. Querfunktionale Konzepte wie Air Gap und Immutability laufen orthogonal dazu — sie machen jede dieser Bauformen Ransomware-fest.
D2D2T — Disk-to-Disk-to-TapeSCHNELL + AIR-GAP GÜNSTIGE LANGZEIT-LAGERUNG ETABLIERTER STANDARD Disk-to-Disk-to-Tape bedeutet: Erste Sicherungs-Stufe geht auf einen schnellen Disk-Speicher (NAS, Storage-Server), zweite Stufe kopiert daraus auf LTO-Tape. Die Disk-Stufe löst Daily und Weekly Sicherungen mit kurzem RTO ab, die Tape-Stufe deckt Monthly/Yearly und die externe Auslagerung ab. Vorteile: Restores aus den letzten 4–8 Wochen passieren von Disk — schnell und ohne Tape-Loading. Langzeit-Sicherungen liegen auf Tape-Library oder ausgeworfen im Tresor — air-gapped und günstig pro TB. Restore eines kompletten Servers aus Tape dauert länger, ist aber garantiert möglich. |
D2D2C — Disk-to-Disk-to-CloudKEINE TAPE-LOGISTIK CLOUD-OBJECT-LOCK EGRESS-KOSTEN Die zeitgemäße Variante: erste Stufe wie bei D2D2T auf Disk, zweite Stufe in einen Cloud-Object-Storage mit Object Lock / Immutability. Vorteile: keine physische Tape-Logistik, kein Auswerfen, kein Transport, keine Lagerung. Off-Site-Schutz kommt automatisch durch das Cloud-Rechenzentrum. Nachteil: Restore aus der Cloud bei großen Datenmengen bandbreitenlimitiert — und Egress-Gebühren bei AWS/Azure können ins Geld gehen. Wasabi, IONOS oder Backblaze B2 sind hier wirtschaftlicher. |
Air Gap — konkret und wirksamEINZIG WIRKLICH RANSOMWARE-FEST Air Gap meint die physische oder logische Trennung einer Backup-Kopie vom produktiven Netz. Ein Angreifer, der Ihre Domain vollständig übernommen hat, hat keinen Pfad zum Air-Gap-Backup — weil es schlicht nicht erreichbar ist. Drei praktische Bauformen:
Praktische Empfehlung: Mindestens eine dieser drei Air-Gap-Schichten muss in jedem produktiven Backup-Konzept vorhanden sein. Für maximale Sicherheit die Kombination aller drei. |
Immutable BackupsUNVERÄNDERBAR KEIN ADMIN-ZUGRIFF Ein immutable Backup ist eine Sicherung, die für einen vorher festgelegten Zeitraum nicht verändert oder gelöscht werden kann — auch nicht von Administratoren mit vollen Rechten oder kompromittierten Konten. Implementiert wird das je nach Plattform unterschiedlich: S3 Object Lock (AWS, Wasabi, MinIO), ZFS-Snapshots mit unlöschbarer Retention (TrueNAS, Synology BTRFS), WORM-Modus auf Tape (LTO WORM Cartridges), Veeam Hardened Repository (Linux mit chattr-based Immutability) oder Azure Blob Legal Hold. |
Hardened Repository — gehärtetes Backup-ZielOFT GÜNSTIGSTE LÖSUNG
Konzept aus der Veeam-Welt, mittlerweile Branchenstandard: ein
Linux-Server (z. B. Ubuntu LTS auf einem
Rack-Server mit genügend
Festplatten) mit dediziertem
Backup-Account, SSH-Key-only Login, kein Root-Zugriff, gesetzte
immutability flags via |
Replikation — sinnvoll, aber kein BackupLÖST RTO, NICHT RPO Bei Replikation wird ein Produktivsystem auf ein Standby-System gespiegelt — entweder synchron (Block für Block, z. B. DRBD, NetApp SnapMirror) oder asynchron (Snapshot-basiert, z. B. Hyper-V Replica, vSphere Replication). Ergebnis: Bei Hardware-Defekt übernimmt das Replikat innerhalb von Minuten. Aber: Eine Löschung oder Verschlüsselung wird sofort mitrepliziert. Replikation ersetzt also kein Backup, sondern ergänzt es für RTO-kritische Workloads. Saubere Architektur: Replikation für Hochverfügbarkeit + Backup für historische Wiederherstellung. |
Architektur-Blueprint für ein typisches KMU
Eine pragmatische, ransomware-feste Architektur für einen Mittelständler mit ~5 TB Datenvolumen sieht so aus:
| Stufe 1 — Snapshot | Storage-Snapshots auf NAS oder SAN alle 4 h. RPO ~4 h, RTO Sekunden. Für Rollback nach Bedienfehler. |
| Stufe 2 — Disk-Backup | Tägliche inkrementelle Sicherung auf Backup-NAS mit Hardened-Repository-Konfiguration. Retention 30 Tage. |
| Stufe 3 — Tape | Monatliche Vollsicherung auf LTO-Tape aus Stufe 2 kopiert. Auswurf, Auslagerung im Tresor. Retention 12 Monate, jährliche Kopien 10 Jahre (GoBD). |
| Stufe 4 — Cloud | Wöchentliches Backup-Copy in Object-Storage (Wasabi/IONOS) mit Object Lock 90 Tage. Off-Site-Schutz, Disaster-Recovery-Quelle. |
Resultat: Fünf unabhängige Wiederherstellungs-Punkte (Snapshot, NAS, Tape im Schrank, Tape im Tresor, Cloud), zwei davon sind air-gapped/immutable. Selbst bei Total-Verlust des Gebäudes plus erfolgreichem Ransomware-Angriff bleibt die Cloud-Kopie unverletzlich. Die monatlichen Tapes im externen Tresor sind die letzte Verteidigungslinie für den Worst Case.
Häufige Fragen
Reicht ein Hardened Repository alleine als Ransomware-Schutz?
Nahezu — aber nicht ganz. Wenn der Ransomware-Akteur Zugriff auf den Backup-Server selbst bekommt (z. B. über eine Schwachstelle im Linux-OS), kann er theoretisch die Immutability aushebeln. Eine zusätzliche Off-Site/Air-Gap-Schicht (Tape oder Cloud Object Lock) ist die Absicherung gegen den Worst-Case.
Was kostet eine echt hybride Architektur?
Für ein KMU mit 5 TB Datenvolumen: NAS (5–8 k€) + LTO-9 Drive (3–5 k€) + 10× Cartridges (~600 €) + Cloud (~100 €/Monat) + Backup-Software (Veeam Essentials ~1.500 €/Jahr). Einmalig rund 10–15 k€, laufend ~250 €/Monat. Im Vergleich zum Schaden eines Total-Verlusts sehr günstig.
Macht Air Gap meine Backup-Strategie nicht zu langsam?
Für den täglichen Restore eines einzelnen verlorenen Files nein — der läuft über die schnelle Disk-Stufe. Air-Gap-Sicherungen sind die Versicherung für den Notfall, in dem es um Stunden bis Tage Wiederherstellungszeit geht (gegen sonst Wochen oder Total-Verlust).
Wie oft sollte ich die Air-Gap-Schicht aktualisieren?
Mindestens monatlich, ideal wöchentlich. Eine 6 Monate alte Air-Gap-Sicherung ist wertvoller als gar keine, aber im Ernstfall bedeutet das den Verlust mehrerer Monate Geschäftsdaten. Für kritische Systeme sollte die Air-Gap-Aktualisierung Teil eines getakteten Prozesses sein (z. B. jeden 1. des Monats).
Beratung zu hybriden Backup-ArchitekturenRansomware-feste Konzepte erfordern Erfahrung mit dem Zusammenspiel von NAS, Tape-Library, Backup-Software und Cloud-Anbindung. Wir helfen bei Planung, Auswahl und Inbetriebnahme — passend zu Ihrer Compliance-Lage und Ihrem Budget. Telefon: +49 (0)7666 / 88499-0 · E-Mail: vertrieb@industry-electronics.de |
Passende Shop-Kategorien
| Backup-HardwareStorage NAS Band/Cartridge Tape Array Bandspeichersysteme |
SoftwareBackup-Lösungen Datensicherheit |
Server & StorageServer · Rack-Server Storage-Server Festplatten |
Weitere Teile dieser Serie
|
Sie sind hier: Teil 5 — Hybride Strategien (D2D2T, D2D2C, Air Gap, Immutable, Replikation) |
Verwandter Beitrag: RAID-Level und ihre Bedeutung
Stand: April 2026 · Lieske Elektronik · industry-electronics.de