Backup-Täuschung: Warum Cloud-Wiederherstellung das neue Cyber-Blindfeld ist

Cloud-Backups gelten als das strategische Rückgrat zur Notfallwiederherstellung – und das aus gutem Grund. Die Vorteile liegen auf der Hand und haben dazu geführt, dass Unternehmen aller Branchen und Größenordnungen auf Cloud-Lösungen setzen. Cloud-Backup-Systeme ermöglichen die schnelle Wiederherstellung von Daten und minimieren damit Ausfallzeiten. Automatisierte, regelmäßige Backups schließen menschliche Fehler aus und bieten standortunabhängigen Zugriff mit Wiederherstellung von nahezu überall.

Für Geschäftsleitungen und Aufsichtsräte verkörpern diese Funktionen die ultimative Garantie für Geschäftskontinuität – die Zusicherung, dass geschäftskritische Daten unabhängig von Naturkatastrophen oder Cyberangriffen jederzeit wiederherstellbar sind. Cloud-Backups gelten als Versicherungspolice des digitalen Zeitalters.

Backup-Systeme rücken ins Visier der Angreifer

Doch genau hier beginnt die gefährliche Täuschung. So leistungsfähig Cloud-Backups auch sind – das Bedrohungsszenario hat sich grundlegend verändert: Backup-Systeme selbst rücken immer stärker ins Visier ausgeklügelter Angriffe.

Die Zahlen sprechen eine klare Sprache: Eine Studie von Object First zeigt, dass mehr als ein Drittel der Unternehmen veraltete Backup-Systeme als große Schwachstelle sehen – ein Einfallstor für Ransomware-Angriffe. 31 Prozent nennen fehlende Verschlüsselung der Backup-Daten als kritischen Mangel. Dahinter steckt ein strategisches Umdenken bei Cyberkriminellen: Sie haben erkannt, dass ein Angriff auf die Wiederherstellungsfähigkeit eines Unternehmens mehr Druck erzeugt als der reine Datenverlust.

Während Unternehmen weiter auf Cloud- und SaaS-Lösungen umsteigen, hinken herkömmliche Sicherheitsstrategien hinterher – insbesondere gegen gezielte Angriffe auf Backup- und Recovery-Systeme. Ein Beispiel: Beim Ransomware-Angriff auf Blue Yonder im November 2024 wurden gezielt Wiederherstellungsinfrastrukturen in fünf Rechenzentren gelöscht, bevor die eigentliche Verschlüsselung erfolgte. Die Folge: massive Störungen in der Lieferkette.

Fragmentierung schafft Blindspots

Was macht Cloud-Backups so anfällig? Es ist die gefährliche Kombination aus mehreren Faktoren, die zusammen eine neue Dimension der Sicherheitsherausforderung schaffen.

Erstens: Die gewachsene Komplexität. Die meisten Unternehmen setzen heute auf hybride Backup-Architekturen – bestehend aus On-Premises-Systemen, Private Clouds und verschiedenen Public-Cloud-Anbietern. Diese Fragmentierung schafft gefährliche Blindspots, in denen sich Angreifer monatelang unbemerkt bewegen können. Was man nicht sieht, kann man auch nicht schützen.

Zweitens: Ein eklatanter Fachkräftemangel, genau dann, wenn Expertise am dringendsten gebraucht wird. Die Absicherung von Cloud-Umgebungen erfordert spezialisiertes Know-how – das in vielen IT-Abteilungen schlicht fehlt. Laut Gartner geben 70 Prozent der Unternehmen an, ihre Cloud-Migration zu beschleunigen, doch vier von fünf Unternehmen kämpfen damit, qualifiziertes Sicherheitspersonal zu finden. Ein gefährlicher Engpass.

Gezielte Zerstörung der Wiederherstellungsfähigkeit

Vor diesem Hintergrund haben sich Bedrohungsakteure eine neue, perfide Taktik zu eigen gemacht: Sie greifen gezielt die Wiederherstellungsfähigkeit von Unternehmen an. Der Angriff beginnt nicht mit der Verschlüsselung. Zunächst verschaffen sich Angreifer über gestohlene Zugangsdaten oder Schwachstellen in Randgeräten Zugriff auf das Netzwerk. Dann arbeiten sie sich systematisch durch die Infrastruktur – mit Geduld und Präzision. Ihr Ziel: Backup-Server, Wiederherstellungskataloge und Speicherorte identifizieren.

Im nächsten Schritt wird die Wiederherstellungsfähigkeit gezielt zerstört: Kataloge werden manipuliert, Aufbewahrungsrichtlinien geändert, Konfigurationsdateien kompromittiert. Erst, wenn sämtliche Optionen zur Wiederherstellung ausgehebelt sind, beginnt die eigentliche Verschlüsselung – oft zu Zeitpunkten, an denen Backup-Unregelmäßigkeiten am wenigsten auffallen.

Gruppen wie RansomHub setzen weiterhin auf doppelte Erpressung: Erst werden sensible Informationen gestohlen, dann verschlüsselt – das Opfer steht vor der Wahl zwischen Lösegeldzahlung oder dem Verlust (und der öffentlichen Bloßstellung) geschäftskritischer Daten. Ohne funktionierende Backups bleibt nur das Nachgeben.

Klassiker Fehlkonfigurationen

Trotz technischer Reife bestehen in vielen Cloud-Backup-Systemen Sicherheitslücken, die kaum jemand adressiert. Ein Klassiker: Fehlkonfigurationen. Die Vielzahl an Berechtigungsmodellen und Konfigurationsoptionen in Cloud-Umgebungen lädt geradezu zu Fehlern ein. Ein falsch eingerichteter Storage-Bucket oder zu großzügige Identitätsrichtlinien reichen aus, um Angreifern direkten Zugang zu gewähren. Besonders tückisch: Diese Fehler sind oft unsichtbar – und bleiben unentdeckt, bis es zu spät ist.

Zweite große Schwachstelle: die Zugriffskontrollen. Viele Unternehmen nutzen dieselben Identitäts- und Authentifizierungsmechanismen für Produktiv- und Backup-Systeme. Ein fataler Konstruktionsfehler: Wird ein Admin-Konto kompromittiert, ist beides im Zugriff – produktive Daten und Wiederherstellungssysteme. Damit fällt das zentrale Sicherheitsprinzip von Backups – nämlich ihre Isolation – in sich zusammen.

Anomalien erkennen – nicht Regeln abspulen

Wer Cloud-Backups wirksam schützen will, muss umdenken. Klassische Erkennungsansätze, die auf festgelegten Regeln beruhen, versagen gegen raffinierte Angreifer, die sich gezielt wie normale Backup-Prozesse verhalten. Große Datenbewegungen, Admin-Zugriffe, Konfigurationsänderungen – das kann harmlos oder hochgefährlich sein.

Was es braucht, ist ein Verständnis dafür, was normal ist – individuell für jede Umgebung. Nur so lassen sich subtile Abweichungen erkennen, die auf einen gezielten Angriff hindeuten.

Künstliche Intelligenz kann hier helfen, ein einzigartiges Verhaltensmuster („Pattern of Life“) für jede hybride Cloud-Infrastruktur zu erstellen. Auf dieser Basis lassen sich verdächtige Aktivitäten erkennen – selbst wenn sie wie legitime Admin-Vorgänge aussehen.

Schluss mit Illusionen

Die unbequeme Wahrheit ist: Viele Unternehmen sind auf diese neue Generation von Angriffen schlicht nicht vorbereitet. Ohne gesicherte, getestete und tatsächlich wiederherstellbare Backups bleibt jede Sicherheitsmaßnahme ein Trugbild.

Für Sicherheitsteams bedeutet das: Schluss mit Illusionen. Wir müssen anerkennen, dass unsere Wiederherstellungssysteme zu den kritischsten – und gleichzeitig anfälligsten – Komponenten unserer Sicherheitsarchitektur gehören. Erst wenn wir unsere Backup-Infrastruktur mit derselben Sorgfalt absichern wie unsere Produktionssysteme, erreichen wir echte Resilienz.

Cloud-Backups sind längst kein sicherer Hafen mehr – sie sind die neue Frontlinie in einem zunehmend komplexen Cyberkrieg. Es wird Zeit, sie auch so zu behandeln.

Max Heinemeyer

ist Global Field CISO bei Darktrace.