Zero Trust wird in vielen Unternehmen inzwischen für Endgeräte, Microsoft-365-Zugänge, privilegierte Administrationskonten und Remote-Zugriffe diskutiert. Auffällig ist jedoch, dass Backup-Systeme oft ausserhalb dieser Logik betrieben werden. Genau das ist riskant, denn Backup-Administration ist per Definition hochprivilegiert.
Wer Backups verwaltet, kann Daten lesen, wiederherstellen, kopieren, löschen oder Aufbewahrungen verändern. In einem Sicherheitsvorfall ist dieser Zugriff nicht nebensächlich, sondern strategisch. Wird ein Backup-Admin-Konto kompromittiert, betrifft das potenziell den letzten belastbaren Wiederherstellungspfad des Unternehmens.
Wo typische Schwächen liegen
- Gemeinsam genutzte Admin-Konten ohne klare Verantwortlichkeit
- Backup-Server in derselben Vertrauenszone wie Primärsysteme
- Keine Trennung zwischen Betriebs- und Recovery-Rechten
- Zu breite Netzwerkfreigaben und fehlende Sprungserver
- Unvollständiges Logging bei Restore- oder Löschoperationen
Was Zero Trust hier konkret bedeutet
Für Backup-Administration heisst Zero Trust nicht nur MFA. Es geht um minimale Rechte, saubere Rollen, getrennte Identitäten, Just-in-Time- oder Break-Glass-Modelle, Härtung der Management-Pfade und vollständige Nachvollziehbarkeit kritischer Aktionen. Besonders wichtig ist die Trennung zwischen täglichem Betrieb und seltenen, hochkritischen Recovery-Rechten.
Ebenso relevant ist die Infrastrukturseite: Härtung von Backup-Proxies, limitierte Erreichbarkeit, separate Administrationsnetze, Schutz des Credential-Stores und möglichst wenig Abhängigkeit von kompromittierbaren Kernidentitäten. Je stärker Backup-Systeme von derselben Identitätsbasis abhängen wie Primärsysteme, desto geringer ist ihr Krisenwert.
Governance statt Heldentum
Viele Backup-Prozesse funktionieren in der Praxis deshalb, weil einzelne erfahrene Administratoren wissen, wie man im Notfall "irgendwie durchkommt". Das ist kein belastbares Modell. Gute Governance ersetzt implizites Wissen durch definierte Rollen, dokumentierte Freigaben, kontrollierte Notfallverfahren und auditierbare Abläufe.
Nemonicon-Perspektive
Backup ist keine technische Randfunktion, sondern Teil der Sicherheitsarchitektur. Wer Zero Trust ernst nimmt, sollte den Backup- und Recovery-Pfad nicht als Ausnahme behandeln. Genau dort entscheidet sich, ob ein Unternehmen nach einem Vorfall nur betroffen ist – oder dauerhaft handlungsunfähig wird.