# Secure Backup Storage: Härtung des Datentresors gegen Cyber-Angriffe

TL;DR / Management Summary Ein Backup-Storage ist das Hauptziel jeder Ransomware-Attacke. Wenn der Angreifer die Backups löscht, ist das Unternehmen schutzlos. Wir nutzen das Konzept des Isolated Backup Storage: Die Speichersysteme liegen in einem eigenen, isolierten VLAN (Artikel 548), ohne direkten Internetzugriff und mit strengen Zugriffskontrollen. Ein Senior Admin härtet das Storage-System auf OS-Ebene, nutzt Immutable Storage und erzwingt MFA für jeden administrativen Zugriff.

# 1. Netzwerk-Isolation (Segmentation)

Kein Zugriff aus der Produktion.

Das Backup-Storage darf niemals im gleichen Management-VLAN wie die Hypervisor (Proxmox) oder die produktiven Windows-Server liegen.

• VLAN Trennung: Ein dediziertes “Backup-Network” (z.B. VLAN 99).
• Firewall Rules: Die OPNsense (Artikel 553) erlaubt nur den notwendigen Backup-Traffic (z.B. Port 8007 für PBS) vom Host zum Storage.
• Kein Gateway: Der Backup-Storage braucht (nach der initialen Installation) kein Default-Gateway. Er sollte vom Internet komplett isoliert sein.

# 2. Hardening auf OS-Ebene

Den Server ‘festungsfest’ machen.

Ob Linux (ZFS/PBS) oder Windows (ReFS):

1. SSH Deaktivieren: Zugriff nur via physischer Konsole oder iDRAC/ILO.
2. Unnötige Dienste: Alle Dienste außer dem Backup-Prozess stoppen.
3. Authentication: Nutzen Sie keine Domain-Accounts für den Zugriff auf den Backup-Server (Schutz vor Domain-Admin Übernahmen). Nutzen Sie lokale, hochkomplexe Passwörter.

# 3. Deep Dive: Immutable Storage (WORM)

Schutz vor dem ‘Delete’ Befehl.

Integrieren Sie unveränderliche Speicherbereiche (Artikel 651).

• Technik: Nutzen Sie S3 Object Lock (Cloud) oder ZFS ReadOnly-Snapshots.
• Aktion: Erstellen Sie nach dem täglichen Backup-Lauf einen automatisierten ZFS-Snapshot auf dem Backup-Server, der via Cron-Job auf readonly gesetzt wird.

# 4. Day-2 Operations: Physische Sicherheit

Der Faktor Mensch.

• Zutrittskontrolle: Das Backup-Repository (z.B. ein NAS) sollte in einem separaten, abgeschlossenen Rack-Abteil stehen.
• Air-Gap-Medien: Bewahren Sie Offline-Kopien (Tapes, RDX) in einem brandgeschützten Tresor an einem anderen Standort auf.

# 5. Troubleshooting & “War Stories”

Wenn die Sicherheit den Admin aussperrt.

# Top 3 Fehlerbilder

1. Symptom: Backup schlägt fehl (“Connection Timeout”).

   • Ursache: Die Firewall-Regel blockiert den Traffic nach einem IP-Wechsel.
   • Lösung: Nutzen Sie Aliase (Artikel 555) für Backup-Clients.

2. Symptom: Admin kann keine veralteten Backups löschen.

   • Ursache: Immutability-Timer ist noch aktiv.
   • Lösung: Dies ist beabsichtigt. Warten Sie den Zeitraum ab (Geduld ist Sicherheit!).

3. Symptom: Backup-Server ist via SSH erreichbar (Sicherheitslücke).

   • Fix: SSH-Dienst auf einen spezifischen Port in einem geschützten Management-Subnetz binden.

# “War Story”: Der Ransomware-Insider

Ein Administrator wurde entlassen und versuchte aus Rache, alle Backups der Firma zu löschen. Er hatte noch das Passwort für den Veeam-Server. Die Rettung: Der Backup-Speicher war ein Linux Hardened Repository mit Immutability. Der Admin konnte zwar die Jobs in der GUI löschen, aber der physische Linux-Kernel am Storage-Backend ignorierte den Löschbefehl für die Datenblöcke bis zum Ablauf der 14-tägigen Sperrfrist. Lehre: Sicherheit muss hardware-nah oder Dateisystem-nah erzwungen werden, nicht nur in der Anwendungs-Logik.

# 6. Monitoring & Reporting

Audit der Zugriffe.

# Access Auditing

Überwachen Sie alle Logins auf dem Backup-System:

• Event: Jeder erfolgreiche Login am Backup-Host -> Email-Alarm an den Sicherheitsbeauftragten.
• KPI: Anzahl der administrativen Logins. (Sollte bei einem stabilen System nahe 0 sein).

# 7. Fazit & Empfehlung

Ein sicherer Backup-Speicher ist die “Festung”, die Ihr Unternehmen im Ernstfall rettet.

• Empfehlung: Nutzen Sie den Proxmox Backup Server auf einem separat gehärteten Debian-System ohne GUI.
• Wichtig: Trennen Sie den Zugriff: Der Admin, der die VMs verwaltet, sollte keine Löschrechte auf dem Backup-Repository haben.

# Anhang: Hardening-Checkliste (Kurzform)

1. [ ] Backup-VLAN isoliert?
2. [ ] Lokale User statt AD-User genutzt?
3. [ ] Immutable-Flag (WORM) aktiv?
4. [ ] SSH Key-only oder deaktiviert?
5. [ ] Physischer Schutz vorhanden?

# Referenzen

• CISA: Security Best Practices for Backup Systems
• NIST SP 800-209: Security Guidelines for Storage Infrastructure
• Veeam: Hardened Repository Deployment Guide