Backup-Konzepte gehören in vielen Unternehmen zum Inventar wie der Server-Raum selbst: einmal eingerichtet, selten hinterfragt. Die Haltung »hat bisher immer funktioniert« ist weit verbreitet – und gefährlich. Denn die Bedrohungslandschaft hat sich fundamental verändert. Fast LTA fordert hier einen klaren Paradigmenwechsel.

Moderne Ransomware verschlüsselt längst nicht mehr nur Produktivsysteme. Sie zielt gezielt auf Backup-Infrastrukturen, um jede Möglichkeit der Wiederherstellung zu zerstören. Gleichzeitig stellen Regularien wie NIS-2 und DORA neue Anforderungen: Nicht die Existenz eines Backups muss nachgewiesen werden, sondern die tatsächliche Restore-Fähigkeit unter Worst-Case-Bedingungen. Für den Mittelstand bedeutet das einen Paradigmenwechsel.

Der Restore entscheidet – nicht das Backup

Die entscheidende Frage lautet nicht »Wie sichern wir?«, sondern »Wie schnell können wir wiederherstellen?«. Wer nach einem Angriff tagelang auf Tape-Restores wartet, riskiert existenzbedrohende Produktionsausfälle. Laut IBM Cost of Data Breach-Report liegen die durchschnittlichen Kosten eines Datenvorfalls bei 4,45 Millionen Euro. Produktionsausfälle schlagen je nach Branche mit 50.000 bis 500.000 Euro – pro Tag.

Zeitgemäße Backup-Architekturen müssen deshalb vom Wiederherstellungsfall her gedacht werden. Kritische Systeme wie Domaincontroller oder Produktionssteuerungen verlangen Restore-Zeiten im Minutenbereich. Forensische Analysen nach Ransomware-Angriffen erfordern wahlfreien Zugriff auf historische Datenstände über Monate hinweg – ohne zeitraubende Bandwiederherstellungen.

Tape, Cloud, Disk – und ihre Grenzen

Klassische Backup-to-Disk-to-Tape-Konzepte (B2D2T) stoßen heute an ihre Grenzen. In der Theorie bieten sie über die physische Tape-Entnahme einen Air-Gap. In der Praxis scheitert das häufig am wachsenden Mediamanagement-Aufwand: Tapes werden nicht konsequent entnommen, einzelne Bänder bieten keine Redundanz, und der Restore von Band ist für forensische Analysen schlicht zu langsam.

Cloud-basierte Ansätze (B2D2D2C) lösen zwar das Problem der geografischen Trennung. Doch sie bringen neue Risiken: kein physischer Air-Gap, Bandbreitenlimitierungen bei großen On-Premise-Restores, schwer kalkulierbare Egress-Kosten und Compliance-Fragen rund um Datensouveränität und US-Cloud-Act.

Was fehlt, ist eine Lösung, die mehrschichtige Sicherheit bietet, ohne die Komplexität heterogener Tape-Disk-Cloud-Umgebungen mitzubringen.

Mehrschichtige Sicherheit: Der aktuelle Stand der Technik

Moderne Backup-Architekturen setzen auf drei aufeinander abgestimmte Sicherheitsebenen. Auf der ersten Ebene sorgt ein Performance Tier auf Flash-Basis für maximale Restore-Geschwindigkeit bei akuten Ausfällen – mit Wiederherstellungszeiten im Minutenbereich. Die zweite Ebene, ein Online Archive Tier mit Software-Immutability, ermöglicht forensische Analysen und historische Wiederherstellungen über Monate hinweg. Die dritte Ebene bildet ein Air-Gap-Tier mit physisch trennbaren Medien als letzte Verteidigungslinie gegen Advanced Persistent Threats und Zero-Day-Exploits.

Der Clou: Durch vorgelagerte Software-Immutability wird die Abhängigkeit vom Air-Gap reduziert. Der physische Air Gap dient nur noch als Worst-Case-Absicherung – mit deutlich geringerer Frequenz und entsprechend weniger Aufwand.

Silent Bricks: Drei Sicherheitsebenen in einem System

Das Silent Brick System des Münchener Herstellers FAST LTA setzt genau dieses mehrschichtige Konzept in einer einzigen Plattform um. Das Prinzip: Controller und Speichermedien sind konsequent voneinander getrennt. Die sogenannten Silent Bricks sind kompakte, robuste Wechselmedien mit jeweils zwölf Datenträgern aus verschiedenen Produktionschargen und vierfachem Erasure-Coding. Das bedeutet konkret: Es entstehen keine Klumpenrisiken durch Seriendefekte, und bis zu vier Datenträger können gleichzeitig ausfallen, ohne dass ein einziges Byte verloren geht.

Je nach Anforderung deckt das System alle drei Sicherheitsebenen ab. Der neue NVMe-basierte Silent Brick Pro liefert als Performance-Tier Transferraten von bis zu 6 GByte/s – ideal für zeitkritische Restores. HDD-basierte Silent Bricks mit Software-Immutability durch Continuous-Snapshots und S3-Object-Locking bilden das Online-Archive-Tier. Und über den physischen Air-Gap – also die tatsächliche Entnahme der Medien aus dem System – entsteht eine letzte Verteidigungslinie, die kein Angreifer über das Netzwerk überwinden kann.

FAST LTA unterscheidet dabei vier Stufen der Unverfälschbarkeit: automatische Continuous-Snapshots, S3-Object-Locking, physischer Air-Gap und – für revisionssichere eine Archivierung – eine KPMG-zertifizierte Hardware-WORM-Versiegelung. Das gehärtete Linux-Betriebssystem bietet keine Angriffsfläche für Windows-Malware, und ein automatisches Digital Audit prüft die Datenintegrität auf Bit-Ebene.

Warum das für den Mittelstand relevant ist

Mittelständische Unternehmen stehen vor einem Dilemma: Die Anforderungen an Datensicherung steigen, die IT-Ressourcen bleiben knapp. Eine heterogene Landschaft aus Tape-Library, Disk-Storage und Cloud-Anbindung bindet Personal, erhöht die Fehleranfälligkeit und erschwert den Compliance-Nachweis.

Konkretere Alternative? Viele IT-Verantwortliche im Mittelstand verwalten heute drei parallele Systeme: eine Tape-Library, die eigentlich niemand mehr anfassen will; eine Cloud-Anbindung, deren Egress-Kosten beim letzten Restore für Überraschungen gesorgt haben; und eine Disk-Lösung, die irgendwann eingeführt wurde, weil die anderen beiden allein nicht mehr reichten. Das Ergebnis ist eine Infrastruktur, die komplex genug ist, um Fehler zu produzieren – aber nicht redundant genug, um sie zu tolerieren.

Das Silent Brick System konsolidiert Backup, Archivierung und Ransomware-Schutz in einer Plattform – mit einem Wartungsvertrag und einem Ansprechpartner. Das System lässt sich schrittweise einführen, ohne bestehende Infrastruktur sofort zu ersetzen. Der Einstieg beginnt bei wenigen Terabyte; die Skalierung reicht bis über sechs Petabyte. Langfristige Wartungsverträge mit bis zu zehn Jahren Laufzeit sorgen für planbare Kosten – ohne die Preisüberraschungen variabler Cloud-Modelle.

Die Kompatibilität mit gängigen Backup-Lösungen wie Veeam, Commvault oder Acronis stellt sicher, dass eine Migration ohne Bruch in der Backup-Kette möglich ist. Eine VTL-Emulation ermöglicht sogar den Ersatz bestehender Tape-Librarys, ohne die Backup-Software umkonfigurieren zu müssen.

Der erste Schritt: Ein ehrlicher Restore-Test

Die Modernisierung der Backup-Infrastruktur beginnt nicht mit einer Investitionsentscheidung, sondern mit einer ehrlichen Bestandsaufnahme. Wann wurde der letzte vollständige Restore-Test durchgeführt? Welche RPO- und RTO-Werte werden tatsächlich erreicht – nicht nur geplant? Existiert Software-seitige Immutability? Wird der Air Gap konsequent umgesetzt?

Erst wenn diese Fragen beantwortet sind, lässt sich eine fundierte Modernisierungsstrategie entwickeln. Die Investition in eine moderne Architektur amortisiert sich bei Umgebungen ab 20 TByte typischerweise innerhalb von 18 bis 24 Monaten – durch reduzierte Personalkosten, geringere Ausfallzeiten und die Vermeidung von Compliance-Verstößen.

Denn eines ist klar: Sicherheit beginnt beim Restore – nicht beim Backup.