In vielen Unternehmen gilt ein Backup noch immer als erledigt, sobald eine Sicherungssoftware erfolgreich "Job completed" meldet. Aus Sicht der Resilienz ist das zu kurz gedacht. Ein Backup ist erst dann belastbar, wenn es gegen Manipulation geschützt, operativ auffindbar und innerhalb des geforderten Zeitfensters wiederherstellbar ist.
Gerade bei Ransomware-Angriffen zeigt sich, wie unzureichend klassische Backup-Konzepte geworden sind. Angreifer bewegen sich längst nicht mehr nur auf produktiven Servern, sondern suchen gezielt nach Backup-Systemen, Management-Konten, Replikationspfaden und Löschrechten. Wer dort nur auf gute Absichten oder Administrationsdisziplin setzt, baut auf ein zu fragiles Modell.
Was "immutable" in der Praxis bedeutet
Immutable Backups verhindern, dass bereits geschriebene Sicherungen innerhalb einer definierten Aufbewahrungszeit verändert oder gelöscht werden können. Das kann über Object Lock, WORM-Mechanismen, gehärtete Backup-Appliances oder strikt getrennte Storage-Ziele umgesetzt werden. Entscheidend ist nicht der Marketingbegriff, sondern die technische und organisatorische Wirksamkeit.
Für mittelständische Umgebungen ist das besonders relevant, weil Backup-Infrastruktur häufig mit zu vielen Privilegien an das bestehende Active Directory, denselben Administrationspfad oder dieselbe Betriebslogik gekoppelt ist wie die Primärsysteme. Fällt diese Vertrauenszone, fällt oft alles gleichzeitig.
Die häufigsten Fehlannahmen
- "Wir replizieren doch in ein zweites Rechenzentrum." Replikation schützt vor Standortausfall, aber nicht automatisch vor logisch bösartigen Änderungen.
- "Unsere Backup-Software hat MFA für den Login." Das hilft, ersetzt aber keine Unveränderbarkeit der Daten selbst.
- "Wir sichern in die Cloud, also sind wir sicher." Cloud-Storage ohne Locking, Rollenmodell und saubere Trennung ist kein Resilienzbeweis.
Worauf Unternehmen konkret achten sollten
Ein belastbares Design beginnt bei drei Fragen: Wer darf Backup-Daten löschen? Über welchen Identitätspfad geschieht das? Und wie wird technisch verhindert, dass diese Rechte im Ernstfall missbraucht werden? Daraus folgen Architekturentscheidungen zu getrennten Admin-Konten, getrennten Tenants oder Subscription-Grenzen, Object Lock, Air-Gap-Elementen und klaren Recovery-Prozessen.
Ebenso wichtig ist die Betriebsseite: Immutable Backups helfen wenig, wenn Restore-Dokumentation fehlt, Systemabhängigkeiten unbekannt sind oder nur einzelne Administratoren wissen, wie eine Wiederherstellung tatsächlich abläuft. Resilienz entsteht aus Technik plus Betriebsfähigkeit.
Nemonicon-Perspektive
Für viele Unternehmen ist die richtige Frage nicht mehr, ob immutable Backups notwendig sind, sondern wie sie mit vertretbarem Aufwand sauber in die bestehende Architektur integriert werden. Wer heute noch nur auf klassische Sicherungsläufe setzt, reduziert vielleicht das Risiko eines Hardwaredefekts – aber nicht das Risiko eines modernen Angreifers.