Immer mehr Unternehmen sind von Ransomware-Angriffen betroffen. Im Falle einer Verschlüsselung oder Zerstörung der Primärdaten ist es wichtiger denn je, über eine Backup-Umgebung mit hoher Cyber-Resilienz zu verfügen, deren Backups vor Verschlüsselung geschützt sind. Mit der zunehmenden Cloud Nutzung werden die Backups der Cloud-Daten auch zunehmend wichtig.
Blogserie: Cyberresilienz und Backup-Strategien
In dieser Artikelserie zeigen wir, wie Unternehmen ihre Datensicherung gegen moderne Bedrohungen absichern können – von Schutzlevels über Cloud-Backups bis hin zur Wiederherstellungsstrategie.
Diese Blogserie umfasst vier Teile.
Dies ist Teil 2 von 4 der Serie über Ransomware-Schutz und Datensicherung.
Nachdem wir in Teil 1 die Bedrohungslage analysiert haben, geht es nun darum, wie konkrete Schutzmassnahmen auf Cloud-Plattformen aussehen können.
Teil 1: Einführung ins Thema, Problemverständnis (Ransomware trifft Backups)
Teil 3: Vertiefung zu RPO und RTO, also zu den konkreten Auswirkungen auf die Wiederherstellung
Teil 4: Cloud-Backup-Modelle und deren Schutzwirkung
Im ersten Teil unserer Artikelserie haben wir vier Schutzlevel für den Schutz vor Ransomware im Bereich der Datensicherung definiert und in jedem Level entsprechende Schutzmassnahmen zugeordnet.
Heute wollen wir untersuchen, welche der Schutzmassnahmen mit den jeweiligen nativen Cloud-Backups von Microsoft M365, Microsoft Azure und Amazon AWS zur Verfügung stehen. Wir konzentrieren uns auf diese Lösungen, da es sich dabei um häufigsten in der Schweiz verwendeten Cloud-Lösungen handelt. Der Funktionsumfang der untersuchten Lösungen verbessert sich sehr schnell, so dass einzelne nicht unterstützte Funktionen in der Zwischenzeit bereits verfügbar sind.
Diese Übersicht zeigt den Stand vom Juni 2025 ab.
Eine Kurzübersicht über die drei Plattformen
Nachfolgend sehen Sie eine Darstellung aller drei Plattformen in einem Ampelsystem.
Vollumfängliche Umsetzung möglich
Teilweise Umsetzung oder Workarounds nötig
Umsetzung aktuell nicht oder nur mit grossem Aufwand möglich
Im unteren Teil des Artikels finden Sie ausführliche Informationen, gesondert für jede Plattform und mit Informationen zu den jeweiligen Möglichkeiten und Herausforderungen.
Schutzlevel 1: Baseline
Der Schutzlevel «Baseline» bezieht sich auf physische Ausfälle und die grundlegende Datensicherung und -wiederherstellung ohne spezifische Ransomware-Schutzmassnahmen für die Sicherung selbst.
| Massnahme | M365 | Azure | AWS |
|---|---|---|---|
| 1-1 Tägliche Backups | |||
| 1-2 Aufbewahrung 3 Monate | |||
| 1-3 Räumliche Trennung | |||
| 1-4 Regelmässige Kontrolle | |||
| 1-5 Technische Restore Tests |
Der Schutzlevel 1 ist somit von allen drei Backup Werkzeugen sehr gut abgedeckt, allerdings werden gewisse angebotene Cloud Dienste noch nicht vom Backup unterstützt (z.B. Entra ID, Teams oder OneNote bei M365).
Schutzlevel 2: Good Practice
Der Schutzlevel 2 sollte von den Unternehmen mehrheitlich umgesetzt werden, um einen adäquaten Schutz vor Ransomware auf Backup Ebene zu gewährleisten:
| Massnahme | M365 | Azure | AWS |
|---|---|---|---|
| 2-1 Schreibschutz | |||
| 2-2 Verschlüsselung | |||
| 2-3 Anomalie Erkennung | |||
| 2-4 Gewaltentrennung | |||
| 2-5 Multifaktor Authentification (MFA) | |||
| 2-6 Netzwerk Trennung | |||
| 2-7 Applikatorische Restore Tests |
Schutzlevel 2 ist weitgehend unterstützt, jedoch ist insbesondere die Anomalieerkennung nicht direkt im Backup Werkzeug enthalten und erfordert andere Produkte, die auf Ebene VM oder Service eingesetzt werden. Die Gewaltentrennung in M365 ist nur bedingt gegeben, da die Administratoren von Sharepoint, OneDrive und Exchange die entsprechenden Backups verwalten können. Immerhin bleiben sämtliche Backups für mindestens 90 Tage nach dem Löschen vorhanden.
Schutzlevel 3: Sophisticated
Schutzlevel 3 und höher ist deutlich anspruchsvoller und wird noch vereinzelt eingesetzt. Demzufolge ist auch die Unterstützung durch die Cloud Backup Tools nur eingeschränkt vorhanden.
| Massnahme | M365 | Azure | AWS |
|---|---|---|---|
| 3-1 Air-Gap | |||
| 3-2 Fast-Recovery | |||
| 3-3 Multi-Person Authorisation (MPA) | |||
| 3-4 Ransomware Erkennung | |||
| 3-5 Kombinierte Restore-Tests | |||
| 3-6 Cyber-Recovery Plan |
Der Schutzlevel 3 wird von den nativen Cloud Backup Tools nur sehr rudimentär unterstützt. Bei entsprechenden Anforderungen muss auf Third Party Tools oder BaaS (Backup as a Service) Dienste von Drittanbietern zurückgegriffen werden. Es ist davon auszugehen, dass die Cloud-Anbieter ihre Werkzeuge zügig in diese Richtung weiterentwickeln werden.
Schutzlevel 4: Sophisticated +
Massnahmen aus dem Schutzlevel 4 sind derzeit mit den Cloud Backup Tools nicht oder nur teilweise vorhanden.
| Massnahme | M365 | Azure | AWS |
|---|---|---|---|
| 4-1 Isoliertes Recovery Environment | |||
| 4-2 Orchestrierte Wiederherstellung | |||
| 4-3 Komplexe Anomalie Erkennung | |||
| 4-4 Suche in Backup Daten | |||
| 4-5 Vollständige Restore-Tests |
Eine detaillierte Orientierung in der Implementation
Die nachfolgenden Tabellen und Textblöcke bieten eine gestufte Übersicht zu Backup- und Wiederherstellungsmassnahmen für M365, Azure und AWS. Die Einteilung in vier Schutzlevel – Baseline, Good Practice, Sophisticated und Sophisticated+ – orientiert sich an etablierten Standards für IT-Resilienz.
Jede Massnahme wird inhaltlich beschrieben und für jede Plattform einzeln bewertet. Die Bewertung erfolgt auch hier mittels farbiger Symbole.
Level 1 (Baseline) im Detail
Baseline für M365
-
Für OneDrive, Sharepoint und Exchange
Aktuell keine Möglichkeit für Entra ID, Teams, OneNote oder andere M365 Services
-
Für die o.g. Use Cases
Snapshots alle 10 Minuten für 2 Wochen, wöchentliche Snapshots für 1 Jahr
Exchange alle 10 Minuten für 1 Jahr
- Backup Daten sind physisch redundant und geografisch repliziert
- Audits und manuelle Überprüfung via Backup Admin Console möglich
-
Alternatives Restore Ziel möglich
Keine feingranularen Restores von einzelnen Files in OneDrive oder Sharepoint und Mails in Exchange möglich
File Restores von OneDrive oder Sharepoint sind angekündigt
Baseline für Azure
- Azure-VMs, Azure Managed Disks, Azure Fileshares, DBs, BLOBs, K8s, locale Dateien mit MARS (Microsoft Azure Recovery Services) mindestens täglich
- Individuelle Retention Policy mit max. 9’999 Recovery Points
- 1 Vault pro Region, aber Replication in zweite Region möglich
- Standard Reports mit Backup Status und Benutzeraktivitäten sind verfügbar
- Alternatives Restore Ziel möglich, optional auch Cross Region Restore, wenn aktiviert
Baseline für AWS
- S3, FSx, EBS, EC2, RDS, VMware, SAP HANA, Redshift,…
- Gemäss Backup Plan, definiert RPO, Backup Fenster und Lifecycle
- Cross Region und Cross Account Backups sind möglich
- AWS Backup Console, Audit Manager mit definierten Berichten, etc. sind verfügbar
- Automatisierte und regelmässige Recovery Test Pläne können definiert werden
Level 2 (Good practice) im Detail
Best practice für M365
- M365 Backups sind gemäss MS unveränderbar, aber die Backups können vom Backup Admin gelöscht werden, bleiben danach für 90 Tage verfügbar
- Verschlüsselung @rest und @transit ist Standard in M365
- Nicht in M365, per MS Defender auf Cloud Services
- M365 Backup Admin Rolle besteht und kann separat vergeben werden, aber OneDrive, Sharepoint und Exchange Admins können ihre Backups selbst verwalten.
- Ja, kann auch erzwungen werden für alle Benutzer
- Die Backup Daten werden nicht über das Kundennetzwerk transportiert
- Alternatives Restore Ziel für Tests möglich
Best practice für Azure
- WORM Vaults sind in den meisten Regionen verfügbar
- Vaults sind verschlüsselt (@rest), MARS Backup Transfers (@transit) sind verschlüsselt, für VM Backups muss die VM encryption aktiviert werden
- Via Microsoft Sentinel oder MS Defender auf VMs, nicht direkt in Azure Backup
- RBAC ist für Vaults unterstützt
- Ja, zwingend für alle Azure Benutzer
- Die Backup Daten werden nicht über das Kundennetzwerk transportiert
- Alternatives Restore Ziel möglich, optional auch Cross Region Restore, wenn aktiviert
Best practice für AWS
- Vault Locks (WORM) sind verfügbar und können pro Vault aktiviert werden
- Vaults sind verschlüsselt (@rest), Air Gapped Vaults mit eignen Keys
- Backups von EFS, S3, VMs sind verschlüsselt (@transfer) ebenso Backups von anderen Quellen
- Nicht direkt in AWS Backup, indirekt z.B. via Amazon Detective oder GuardDuty
- RBAC ist unterstützt, Backup Operator und Backup Administrator können von anderen Funktionen separiert werden
- Die Backup Daten werden nicht über das Kundennetzwerk transportiert
- Automatisierte und regelmässige Recovery Test Pläne können definiert werden
Level 3 (Sophisticated) im Detail
Sophisticated practice für M365
- Nein, basiert auf Snap Shot Technologie und somit nicht Air Gapped
- Basierend auf Snap Shot Technologie, Restore von «express restore points» mit ca. 3 TB/hr
- Nein
- Nicht in M365, per MS Defender auf Cloud Services
- Schwierig für M365, da keine cross Tenant Restores zum Testen möglich sind.
- Organisatorisch möglich, aber Test ist schwierig
Sophisticated practice für Azure
- Nein
- Mit Azure Instant Restore Option können zusätzliche Snaps erzeugt werden, auf denen die VM direkt gestartet werden kann und die Daten im Hintergrund wieder zurückkopiert werden. Die Option zielt auf einzelne Update Vorgänge, die damit abgesichert werden. Für regelmässige Backups nur bedingt geeignet.
- Multi User Authorization in Azure Backup ist unterstützt.
- Nicht in Azure, per MS Defender auf Cloud Serices
- Cross Region and Cross Subsrciption Restores sind möglich und damit sind entsprechende Tests durchführbar.
- Organisatorisch möglich
Sophisticated practice für AWS
- Logisches Air-Gap mit separater Verschlüsselung als Option
- In Kombination mit logischem Air-Gap wird eine «verkürzte Restorezeit» unterstützt.
- Das Policy Management kann an eine separate Rolle delegiert werden, aber generelles MPA wird nicht unterstützt.
- Nicht direkt in AWS Backup, indirekt z.B. via Amazon Detective oder GuardDuty
- Cross Region and Cross Subscription Restores sind möglich und damit sind entsprechende Tests durchführbar.
- Organisatorisch möglich
Level 4 (Sophisticated+) im Detail
Sophisticated+ practice für M365
- Nein
- Nein
- Nein
- Nein
- Organisatorisch möglich, aber Test ist schwierig
Sophisticated+ practice für Azure
- Cross Region and Cross Subsrciption Restores sind möglich.
- Nein
- Nein
- Nein
- Cross Region and Cross Subsrciption Restores sind möglich.
Sophisticated+ practice für AWS
- Via separates Recovery Test Environment
- Teilweise via Recovery Plans
- Nein
- Nein
- Via separates Recovery Test Environment
Wie hoch sind die Kosten?
Die Nutzung der Backup Tools selbst ist kostenlos, verrechnet werden die geschützte Daten (Frontend Daten) oder die gesicherte Datenmenge mit allen Änderungen während der Aufbewahrungszeit (Backend Daten).
Dabei ist bei Sicherung von 1 TB Frontend (geschützte Daten) bei einer täglichen Sicherung für 30 Tage und eines wöchentlichen Backups für weitere 2 Monate bei einer täglichen Änderungsrate von 3% von einem notwendigen Backend Speicherplatz von 3 TB auszugehen.
Kostenübersicht pro Plattform
| Kosten | M365 | Azure | AWS |
|---|---|---|---|
| Kostenmodell | 150 $ pro TB Frontend / Monat | 50 $ pro TB Backend / Monat |
60 $ pro TB Backend / Monat 75 $ pro TB für Airgap Vault |
| 1 TB Frontend = 3 TB Backend |
150 $ / Monat 1’800 $ / Jahr |
150 $ / Monat 1’800 $ / Jahr |
180 $ / Monat 2’160 $ / Jahr + 225 $ Airgap Vault / Monat = 2’700 $ / Jahr |
Die Kosten sind pro TB geschützter Daten (Frontend Daten) mit 1’800$ bis 2’700$ zu veranschlagen. Bei einem typischen Volumen von 1 PB geschützter Daten bewegen sich die Kosten schon bei ca. 2 Mio. CHF pro Jahr und sind damit etwa 5x teurer wie eine vergleichbare On-Prem Lösung in dieser Grössenordnung, allerdings ohne Berücksichtigung von Netzwerkkosten und Betrieb.
Cloud Backup Lösungen sind nicht günstig, erlauben aber die Konzentration auf das Wesentliche mit nach oben und unten skalierbaren Kosten. Alternativ gibt es auch Cloud-basierte Lösungen von Backup Tool Herstellern als BaaS (Backup as a Service), die teilweise deutlich kostengünstiger sind.
Abschliessende Bewertung
Die aktuellen Cloud-Lösungen bieten heute native Backup Werkzeuge an, mit denen zumindest der Level «Good Practice» weitgehend realisiert werden kann. Darüber hinausgehende Anforderungen können nur mit externen Services oder Tools abzudeckt werden.
Ich empfehle an dieser Stelle jedem Unternehmen, das Cloud Services nutzt, entsprechende Backups zu verwenden und dabei insbesondere auch einen Schreibschutz zu nutzen. Nur native Funktionen mit Papierkorb und Versionierung sind in aller Regel nicht ausreichend.
Standard-RTO- und RPO-Ziele bieten im Fall einer Cyber-Attacke oft keine ausreichende Orientierung. Warum und wie wir Cyber-RTO und Cyber-RPO definieren, erklären wir detailliert im nächsten Artikel.
Bleiben Sie geschützt, und sorgen Sie dafür, dass Ihre Datensicherungen nicht nur gespeichert, sondern in Krisensituationen schnell aktiviert werden können.
Weiterlesen in dieser Serie:
Teil 1: Einführung ins Thema, Problemverständnis (Ransomware trifft Backups)
Teil 3: RPO und RTO bei Ransomware-Angriffen
Teil 4: Cloud-Backup-Modelle und deren Schutzwirkung
