Nach Darstellung von Acronis folgen die meisten Ransomware-Angriffe einer vorhersehbaren Abfolge: Erstzugang, Diebstahl von Zugangsdaten, seitliche Bewegung im Netzwerk, Aufspüren der Backups, deren Zerstörung und schließlich die Ausführung der Ransomware. Sobald Angreifer administrative Zugangsdaten erlangt haben, ist die Backup-Infrastruktur in der Regel nicht isoliert und damit erreichbar. Ist die Ransomware erst aktiv, sind die Wiederherstellungspfade bereits beseitigt.

Aus den Untersuchungen von Sicherheitsvorfällen leitet Rao mehrere wiederkehrende Schwachstellen ab. Häufig fehlt jede Trennung zwischen Produktiv- und Backup-Systemen: Beide liegen in derselben Domäne, nutzen dieselben Zugangsdaten und sind von kompromittierten Hosts aus erreichbar. Hinzu kommen schwache Zugriffskontrollen – geteilte Administratorkonten, fehlende Mehr-Faktor-Authentifizierung (MFA) und überprivilegierte Dienstkonten.

Ein weiterer Kernpunkt ist die fehlende Unveränderbarkeit. Lassen sich Backups verändern oder löschen, werden Angreifer genau das tun. Untestete Wiederherstellungsprozesse führen zudem dazu, dass Organisationen erst im Ernstfall bemerken, dass ihre Backups unvollständig, beschädigt oder für eine Wiederherstellung im großen Maßstab zu langsam sind. Schließlich arbeiten Backup-Systeme oft getrennt von der Sicherheitsüberwachung, sodass Angriffe auf die Backup-Infrastruktur unbemerkt bleiben.

Als Gegenmittel beschreibt Rao unveränderbare Backups: Sie verhindern jede Änderung oder Löschung für einen festgelegten Zeitraum und stellen sicher, dass stets ein sauberer Wiederherstellungspunkt existiert – selbst dann, wenn Angreifer vollen administrativen Zugriff erlangen. Die Acronis Cyber Platform biete dafür unveränderbaren Speicher mit durchgesetzten Aufbewahrungsrichtlinien und Schutz vor Missbrauch von Zugangsdaten. Unveränderbarkeit allein genüge jedoch nicht; sie müsse mit Zugriffskontrolle, Überwachung und der Validierung der Wiederherstellung kombiniert werden.

Für Managed Service Provider (MSPs) und Unternehmens-IT, die mehrere Umgebungen betreuen, nennt Rao fünf zentrale Praktiken: getrennte Identitäten mit eigenen Zugangsdaten und MFA durchsetzen, Backup-Umgebungen durch Netzsegmentierung isolieren und den Zugriff begrenzen, unveränderbare Backups einsetzen, die Backup-Aktivität überwachen, um auffälliges Verhalten früh zu erkennen, sowie die Wiederherstellung regelmäßig testen.

Ein zentrales Problem traditioneller Architekturen sieht Rao in deren Fragmentierung: Getrennte Werkzeuge für Endpunktschutz, Backup und Überwachung schaffen blinde Flecken, die Angreifer ausnutzen. Wirksamer sei es, diese Fähigkeiten in einer einheitlichen Plattform zu bündeln. Organisationen sollten zudem davon ausgehen, dass Angreifer die Backup-Systeme erreichen, und ihre Kontrollen entsprechend auslegen.

Die Kernaussage des Beitrags lautet, dass Backups nicht scheitern, weil sie fehlen, sondern weil sie offen zugänglich sind. Wiederherstellung hänge daher nicht nur vom Vorhandensein von Backups ab, sondern von vertrauenswürdigen Backups – mit Sicherheit im Zentrum der Architektur aus Unveränderbarkeit, Isolierung, Überwachung und Integration.