Backups sollten die letzte Verteidigungslinie sein, wenn Ransomware zuschlägt. Seit Anfang Juli 2026 warnen mehrere Sicherheitsfirmen vor kritischen Schwachstellen in weit verbreiteter Enterprise-Backup-Software – und plötzlich steht die vermeintlich sichere Rückversicherung selbst auf der Kippe. Das Pikante daran: Genau die Systeme, die Wiederherstellung garantieren sollen, werden zum Einfallstor.
Warnungen aus der ersten Juliwoche: Was gerade passiert
Zwischen dem 5. und 8. Juli 2026 häufen sich Meldungen zu kritischen Schwachstellen in etablierten Backup-Lösungen für Unternehmen. CVE-Datenbanken, Vendor-Security-Advisories und Threat-Intelligence-Reports zeichnen ein Bild, das man wenig überraschend nennen könnte, wäre die Konsequenz nicht so brisant: Wenn eine Sicherheitslücke in Backup-Software unter Beschuss gerät, kollabiert die gesamte Verteidigungsstrategie an ihrem eigentlichen Fundament.
Der Clou an der aktuellen Häufung ist nicht die einzelne Schwachstelle, sondern das Muster dahinter. Backup-Software wird längst nicht mehr als Nebenschauplatz betrachtet, sondern als eigenständiges Angriffsziel mit eigener Angriffsfläche behandelt. Wer als Angreifer die Wiederherstellungsfähigkeit eines Unternehmens sabotiert, bevor die eigentliche Verschlüsselung beginnt, hat die Verhandlungsposition für die Lösegeldforderung bereits massiv verbessert.
Konkrete, weltweit einheitlich benannte Einzellücken mit exakter Versionsnummer lassen sich derzeit nicht seriös auf eine einzelne Software reduzieren – die Lage ist diffuser, aber dadurch nicht weniger ernst. Mehrere Hersteller und Sicherheitsdienstleister bestätigen unabhängig voneinander, dass Authentifizierungsschwächen, fehlende Patches und mangelnde Segmentierung in Backup-Umgebungen aktuell gezielt ausgenutzt werden.
Warum Backup-Software zum Hauptziel wird
Backups galten früher als Rückversicherung im Hintergrund. Diese Zeit ist vorbei. Fachanbieter wie Trilio beschreiben, wie Angreifer Backup-Server, Speicherziele und Admin-Konten teils über Tage bis Wochen kartieren, bevor sie zuschlagen – mit dem Ziel, sämtliche Sicherungen gleichzeitig zu kompromittieren oder zu löschen. Erst danach folgt die eigentliche Verschlüsselung der Produktionssysteme.
Die Einfallstore sind erstaunlich banal. Standardanmeldedaten ohne Multi-Faktor-Absicherung, ungepatchte Backup-Server, und Systeme, die vollständig in die Windows-Domäne eingebunden sind. Wer mit Domänen-Admin-Rechten in ein Netzwerk eindringt, erhält bei schlechter Trennung praktisch automatisch Zugriff auf die Sicherungsinfrastruktur. Genau diese fehlende Trennung macht aus einer einzelnen Sicherheitslücke im Active Directory eine Kettenreaktion, die am Ende auch die Backup-Software erfasst.
Hinzu kommt ein psychologischer Faktor, den viele IT-Abteilungen unterschätzen: Backup-Server genießen intern oft einen Vertrauensvorschuss, der sie für Security-Tooling weniger sichtbar macht. Sie laufen auf separaten VLANs, werden seltener gescannt, seltener penetriert und seltener durch EDR-Lösungen überwacht. Für Ransomware-Operator ist das ein gefundenes Fressen – sie operieren in einem toten Winkel der Verteidigung, den das Blue Team selbst geschaffen hat.
Wenig überraschend also, dass NAKIVO Backups mittlerweile als „Hauptziel“ von Ransomware einordnet. Nicht weil die Daten selbst so attraktiv wären, sondern weil ihre Zerstörung die Wiederherstellungsfähigkeit eines Unternehmens auf null setzt. Ohne funktionierende Ransomware-Abwehr über die Backup-Ebene hinweg bleibt am Ende nur die Zahlung – oder der Totalausfall.
Die ökonomische Logik der Angreifer
Warum investieren Ransomware-Gruppen so viel Aufwand in die Kompromittierung von Backups? Die Antwort ist rein ökonomisch. Ein Unternehmen mit intakten, sauberen Backups zahlt im Schnitt deutlich seltener Lösegeld – die Wiederherstellung dauert zwar, ist aber kalkulierbar. Ein Unternehmen hingegen, dessen Sicherungen manipuliert, verschlüsselt oder gelöscht wurden, steht unter existenziellem Druck: Produktionsausfall, regulatorische Meldepflichten, vertragliche SLA-Verletzungen gegenüber Kunden. Die Zahlungsbereitschaft steigt in solchen Fällen empirisch nachweisbar an.
Doppelte und dreifache Erpressung – also die Kombination aus Verschlüsselung, Datenexfiltration und Backup-Zerstörung – ist deshalb kein Zufall, sondern Kalkül. Jede zusätzliche Druckebene erhöht den erwarteten Erlös des Angriffs. Eine einzelne Sicherheitslücke im Digital Recovery kann hier bereits ausreichen, um die gesamte Kaskade auszulösen. Wer das verstanden hat, bewertet Backup-Infrastruktur nicht mehr als Kostenstelle, sondern als geschäftskritisches Asset mit unmittelbarem Einfluss auf die Verhandlungsposition im Ernstfall.
Die Vertrauenskette beim Restore-Szenario
Ein Restore ist kein einfacher Kopiervorgang. Er basiert auf einer Vertrauenskette: Der Backup-Katalog muss stimmen, Prüfsummen müssen valide sein, Verschlüsselungsschlüssel müssen unversehrt vorliegen. Bricht ein einziges Glied dieser Kette, bekommt man im schlimmsten Fall keine funktionierende Wiederherstellung, sondern eine trügerisch echt aussehende Kopie mit eingebauter Zeitbombe.
Das ist der eigentlich unterschätzte Aspekt jeder Sicherheitslücke in Backup-Software: Sie betrifft nicht nur die Verfügbarkeit der Daten, sondern deren Integrität. Ein Angreifer, der Retention-Policies ändert, Snapshots löscht oder geplante Backup-Jobs deaktiviert, muss die Sicherung gar nicht sichtbar zerstören. Es reicht, die Vertrauenswürdigkeit unbemerkt zu untergraben, sodass das IT-Team erst im Ernstfall merkt, dass der rettende Rücksicherungspunkt gar nicht existiert oder manipuliert wurde.
Besonders tückisch sind sogenannte „Low-and-Slow“-Manipulationen. Anstatt komplette Backups zu löschen, verändern Angreifer gezielt Metadaten, verkürzen Aufbewahrungsfristen um wenige Tage oder injecten subtile Fehler in Konfigurationsdateien. Das Ergebnis: Die Sicherung sieht im Dashboard grün aus, scheitert aber beim Restore an einer fehlenden Katalogreferenz oder einer inkonsistenten Transaktionslog-Datei. Solche Angriffe sind forensisch schwer nachweisbar und werden oft erst Wochen nach dem eigentlichen Kompromittierungszeitpunkt entdeckt.
Trilio weist zudem auf einen oft übersehenen Punkt hin: Verschlüsselung von Backup-Daten schützt nur, wenn die Schlüssel getrennt von den Backups selbst verwaltet werden. Liegen Schlüssel und Sicherungen auf denselben kompromittierten Systemen, wird der gesamte Verschlüsselungsschutz zur Makulatur. Persönlich halte ich das für den unterschätztesten Fehler in vielen Backup-Konzepten überhaupt – man verschlüsselt fleißig und vergisst, wo der Schlüssel eigentlich liegt.
3-2-1-Regel im Praxistest – reicht das noch?
Die klassische 3-2-1-Regel – drei Kopien, zwei Medientypen, eine externe Kopie – war jahrelang der Goldstandard. Angesichts aktueller Schwachstellen in Backup-Software reicht sie allein nicht mehr aus. ComputerWeekly und NAKIVO empfehlen unabhängig voneinander, mindestens eine Kopie mit echter oder logischer Air-Gap-Trennung vorzuhalten, kombiniert mit unveränderlichen, also immutable, Speicherformaten.
WORM-Technologie – Write Once Read Many – gehört inzwischen zum Pflichtprogramm, egal ob lokal oder in der Cloud. Der Grund ist simpel: Selbst ein Angreifer mit vollen Admin-Rechten kann eine WORM-gesicherte Kopie innerhalb der definierten Aufbewahrungsfrist nicht löschen oder überschreiben. Genau dieser Baustein macht aus einer theoretischen Ransomware-Abwehr eine praktisch belastbare.
In der Praxis zeigt sich jedoch ein weiteres Problem: Die „eine externe Kopie“ wird oft auf derselben Cloud-Plattform abgelegt wie die Primärsysteme – nur in einer anderen Region. Ein kompromittiertes Cloud-Admin-Konto hebelt dann beide Kopien gleichzeitig aus. Echte Resilienz erfordert deshalb mindestens einen Medienbruch: Tape, physisch getrennter Object-Storage bei einem anderen Provider oder eine dedizierte Appliance mit eigener Verwaltungsoberfläche, die nicht über das zentrale IAM erreichbar ist.
Wer 3-2-1 heute noch wortwörtlich als ausreichend verkauft, verkauft ein Konzept aus einer Zeit, in der Backup-Server nicht systematisch angegriffen wurden. Die Ergänzung um Immutable-Storage und Air-Gap ist kein Nice-to-have mehr, sondern die Mindestanforderung, um eine Sicherheitslücke in der primären Backup-Software überhaupt kompensieren zu können.

Backup-Kompromittierung erkennen – Detection statt Hoffnung
Der gefährlichste Moment ist nicht der Angriff selbst, sondern das unbemerkte Vorspiel. Deaktivierte Backup-Jobs, gelöschte Snapshots, veränderte Retention-Richtlinien – all das läuft oft lautlos ab, während das IT-Team von einem funktionierenden Sicherungsplan ausgeht. Wer erst beim Restore-Versuch merkt, dass die letzten drei Wochen an Sicherungen manipuliert wurden, hat die Ransomware-Abwehr bereits verloren, bevor sie überhaupt zum Einsatz kam.
Automatisierte Integritätsprüfungen nach jedem einzelnen Backup-Lauf – Prüfsummen, Dateiintegritäts-Checks – gelten laut Bacula Systems als essenziell, um Manipulationen oder Korruption früh zu erkennen. Ergänzend empfehlen Sicherheitsexperten den Einsatz moderner Endpoint-Detection-&-Response-Agenten direkt auf Backup-Servern und den zugehörigen Admin-Workstations, nicht nur auf den klassischen Produktionsservern.
Sinnvoll ist zudem ein separates Alerting für verdächtige Administrationsaktionen: Wer außerhalb der Geschäftszeiten Retention-Richtlinien ändert, mehrere Backup-Jobs parallel deaktiviert oder Massendeletions auf Snapshot-Ebene auslöst, sollte automatisch einen Alarm an ein SOC oder einen definierten Notfallkontakt triggern. Solche Verhalten sind im regulären Betrieb selten, im Angriffsfall aber typisch – und genau diese Asymmetrie macht sie zu einem wertvollen Signal.
Mindestens vierteljährliche Wiederherstellungstests gelten als Best Practice, um sicherzustellen, dass ein Backup im Ernstfall auch tatsächlich brauchbar ist. Klingt banal, wird aber in der Praxis regelmäßig vernachlässigt – meist mit der Begründung, es fehle die Zeit. Das Pikante daran: Genau diese fehlende Zeit wird im Ernstfall um ein Vielfaches teurer zurückgezahlt, wenn sich herausstellt, dass der Restore-Prozess seit Monaten nicht funktioniert.
Lieferketten-Risiken bei Backup-Tools
Backup-Software ist selbst Teil einer Lieferkette – mit Updatemechanismen, Drittanbieter-Plugins und Cloud-Konnektoren, die allesamt eigene Angriffsflächen mitbringen. Eine Sicherheitslücke im Update-Kanal eines Backup-Anbieters kann theoretisch dazu führen, dass kompromittierte Patches direkt in produktive Umgebungen gelangen, bevor irgendjemand etwas merkt. Genau dieses Muster hat in anderen Software-Kategorien bereits gezeigt, wie verwundbar zentrale Vertrauensanker sein können, wenn ein einzelner Lieferant ins Visier gerät.
Computerwoche rät deshalb, Backup-Server bei Patch-Management-Prozessen bevorzugt zu behandeln – nicht als letztes System, sondern als eines der ersten, das Betriebssystem- und Softwareaktualisierungen erhält. Wer diese Reihenfolge umdreht und Backup-Server als „unkritische Infrastruktur“ ganz unten auf der Patch-Liste einordnet, produziert genau die Sicherheitslücke, die Angreifer suchen.
SaaS-Backup-Dienste können die Angriffsfläche in der eigenen Infrastruktur reduzieren, sind aber kein Freibrief. Auch hier gelten MFA, strikte Zugriffsbeschränkungen und Immutable-Mechanismen als notwendig – wer glaubt, die Auslagerung in die Cloud erledige die Ransomware-Abwehr automatisch, irrt gewaltig. Verantwortung lässt sich outsourcen, Haftung selten.
Incident Response: Wenn das Backup bereits kompromittiert ist
Das unangenehme Szenario, das in vielen Notfallhandbüchern fehlt: Was tun, wenn der Restore-Versuch scheitert, weil die Backup-Infrastruktur selbst Teil des Angriffs war? In diesem Moment verwandelt sich die IT-Abteilung von einer reaktiven Wiederherstellungseinheit in ein forensisches Krisenteam – und genau darauf sind die meisten Organisationen nicht vorbereitet.
Erster Schritt: Sofortige Isolation der Backup-Server vom Produktivnetzwerk, ohne sie herunterzufahren. Jeder Neustart vernichtet flüchtige Beweise im Arbeitsspeicher, die für die spätere Aufklärung essenziell sind. Zweiter Schritt: Identifikation des letzten verifizierbar sauberen Sicherungspunkts – das kann Wochen oder Monate zurückliegen und erfordert den Abgleich mit externen, air-gapped Kopien. Dritter Schritt: Parallele Wiederherstellung in einer isolierten Sandbox, bevor produktive Systeme angefasst werden. Nur so lässt sich ausschließen, dass der Angreifer Backdoor-Artefakte in die Sicherung injiziert hat.
Dieses Vorgehen kostet Zeit – Tage, oft Wochen. Unternehmen, die diesen Prozess nicht vorab geübt haben, geraten unter massiven Entscheidungsdruck: Zahlen, um die verschlüsselten Produktionssysteme freizubekommen, oder den langen Weg über forensisch saubere Backups gehen? Die Antwort hängt weniger von der Technik ab als von der Qualität der vorbereiteten Playbooks und der Belastbarkeit der externen Sicherungskopien.
Handlungsschritte für IT-Teams: Checkliste gegen den Ernstfall
Aus den aktuellen Warnungen und den etablierten Best Practices lässt sich eine handhabbare Liste konkreter Maßnahmen ableiten, die sich in den meisten Unternehmensumgebungen umsetzen lassen, ohne das komplette Backup-Konzept neu zu erfinden:
- Backup-Server aus der zentralen Windows-Domäne herausnehmen und mit eigenständigen, nicht wiederverwendeten Zugangsdaten betreiben.
- Multi-Faktor-Authentifizierung über Hardware-Token oder Authenticator-App für alle administrativen Zugriffe verpflichtend machen – SMS-Codes gelten für Hochwert-Konten als unzureichend.
- Mindestens eine immutable, air-gapped Sicherungskopie zusätzlich zur klassischen 3-2-1-Struktur vorhalten.
- Privileged Access Management und Genehmigungsworkflows für das Löschen von Backup-Jobs oder das Ändern von Retention-Policies einführen.
- Backup-Server bei Patch-Zyklen priorisieren, nicht nachrangig behandeln.
- Vierteljährliche Restore-Tests fest im Betriebsplan verankern und dokumentieren.
- Automatisierte Integritätsprüfungen nach jedem Backup-Lauf etablieren.
- Separates Alerting für verdächtige Admin-Aktionen auf Backup-Ebene einrichten.
- Notfall-Playbook für den Fall kompromittierter Backups schriftlich fixieren und halbjährlich üben.
Keiner dieser Punkte ist revolutionär. Genau das macht die Sache so unangenehm: Es fehlt selten an Wissen, sondern an konsequenter Umsetzung. Eine ungeschlossene Sicherheitslücke in der eigenen Backup-Software ist häufig kein technisches Mysterium, sondern eine liegen gebliebene To-Do-Liste.
Was bleibt?
Die Vorstellung, Backups seien der unantastbare Notausgang gegen Ransomware, war schon immer eine Wunschvorstellung. Aktuelle Warnungen zu Schwachstellen in verbreiteter Backup-Software machen aus dieser Wunschvorstellung ein handfestes Risiko mit Datum: erste Juliwoche 2026, mehrere Sicherheitsfirmen, ein wiederkehrendes Muster. Reicht es, weiterhin auf Herstellervertrauen und gelegentliche Patch-Zyklen zu setzen, oder braucht Ransomware-Abwehr endlich denselben Kontrollaufwand wie die Produktionssysteme selbst?
Die Antwort liegt auf der Hand – und sie ist unbequem. Backup-Infrastruktur muss künftig mit derselben Härte defended werden wie jede andere geschäftskritische Komponente: gehärtete Betriebssysteme, segmentierte Netze, überwachte Admin-Zugriffe, getestete Wiederherstellungsprozesse. Wer Backups weiter als passive Datenspeicher behandelt, baut seine Verteidigung auf Sand.
Eine seriöse Einordnung der aktuellen Bedrohungslage liefert ComputerWeekly zum Ransomware-Risiko für Backups, konkrete technische Schutzmaßnahmen fasst Bacula Systems in seiner Ransomware-Strategie zusammen, und praxisnahe Hinweise zur Server-Absicherung bietet Computerwoche zum Schutz von Backup-Servern. Wer nach der Lektüre noch behauptet, das eigene Backup-Konzept sei „schon irgendwie sicher genug“, hat den eigentlichen Plot Twist dieser Geschichte nicht verstanden: Die Rückversicherung ist längst selbst Zielscheibe.





Was halten Sie von dem Thema? Hier können Sie mit anderen Leserinnen und Lesern ins Gespräch gehen.
Mitreden & diskutieren
Ihre Meinung zählt — teilen Sie Gedanken, Fragen oder Erfahrungen zu diesem Artikel.