Backup-Strategie nach Ransomware-Vorfall bei einem ambulanten Pflegedienst.

Es gibt einen Satz, den wir in der Datensicherung immer wieder hören: „Wir machen doch Backups." Bei einem ambulanten Pflegedienst hat sich nach einem Ransomware-Angriff gezeigt, wie trügerisch dieser Satz sein kann – die vorhandenen Sicherungen waren mitverschlüsselt, der Wiederanlauf dauerte vier Tage, und Patientendaten waren akut gefährdet. Gemeinsam haben wir daraus eine belastbare 3-2-1-1-Backup-Strategie mit unveränderbarer und georedundanter Kopie aufgebaut. Die jüngste Testwiederherstellung war nach 47 Minuten abgeschlossen.

Die Ausgangslage: ein Backup, das im Ernstfall versagte

Der Angriff lief nach einem typischen Muster ab. Über einen kompromittierten Zugang bewegte sich die Schadsoftware durch das Netzwerk, fand das ständig erreichbare Backup-Ziel und verschlüsselte es mit, bevor die produktiven Systeme drankamen. Was als Sicherheitsnetz gedacht war, wurde Teil des Schadens. Für einen Pflegedienst ist das besonders brisant: Dienstpläne, Pflegedokumentation und Patientendaten sind nicht nur betriebskritisch, sie unterliegen auch dem besonderen Schutz von Gesundheitsdaten. Vier Tage Stillstand bedeuten hier nicht nur wirtschaftlichen Schaden, sondern ein unmittelbares Versorgungsrisiko.

Warum normale Backups gegen Ransomware nicht reichen

Der entscheidende Denkfehler liegt in der Erreichbarkeit: Was online und beschreibbar ist, gilt für moderne Ransomware als Teil der Beute. Eine Sicherung auf einem ständig verbundenen Netzlaufwerk schützt gegen Festplattendefekte – aber nicht gegen einen Angreifer, der gezielt nach Backups sucht. Deshalb war der Kern unseres Konzepts eine isolierte, unveränderbare Kopie. Die Hintergründe dieser Strategie haben wir auch allgemein verständlich in unserem Beitrag zur 3-2-1-1-Backup-Strategie beschrieben.

Unser Vorgehen: erst stabilisieren, dann härten

Der Aufbau erfolgte in klar getrennten Schritten:

1. Sauberer Wiederanlauf. Zunächst ging es darum, den Betrieb auf einer geprüft sauberen Basis wiederherzustellen – ohne Reste der Schadsoftware in die neue Umgebung zu übernehmen.
2. 3-2-1-1 als neues Fundament. Drei Kopien der Daten, auf zwei verschiedenen Medien, eine davon extern – und zusätzlich eine unveränderbare (immutable) Kopie, die sich für einen festgelegten Zeitraum technisch nicht überschreiben oder löschen lässt, auch nicht von einem Administrator-Account.
3. Georedundanz. Eine Sicherungskopie liegt in einem zweiten, räumlich getrennten Rechenzentrum. So übersteht der Datenbestand nicht nur einen Cyberangriff, sondern auch einen physischen Schaden am Hauptstandort.
4. MFA und getrennte Zugänge. Die Verwaltung der Backups ist über Multi-Faktor-Authentifizierung abgesichert und vom normalen Tagesgeschäft getrennt – die Backup-Konsole ist selbst ein primäres Angriffsziel.

RPO 15 Minuten, RTO unter einer Stunde – und vierteljährliche Drills

Vor der Technik standen zwei Geschäftsentscheidungen, die wir mit der Leitung getroffen haben: Wie viel Datenverlust ist maximal verkraftbar (RPO), und wie lange darf ein Wiederanlauf dauern (RTO)? Für die kritischen Systeme haben wir einen RPO von 15 Minuten und eine RTO von unter einer Stunde festgelegt. Entscheidend ist aber der oft vergessene Teil: Ein Backup, das nie wiederhergestellt wurde, ist kein Backup, sondern eine Hoffnung. Deshalb gehören vier Recovery-Drills pro Jahr fest zum Konzept – echte Testwiederherstellungen, bei denen wir den kompletten Wiederanlaufweg prüfen, nicht nur grüne Häkchen im Sicherungsprotokoll.

Das Ergebnis: aus vier Tagen wurden 47 Minuten

Der härteste, ehrlichste Maßstab ist die gemessene Wiederherstellungszeit. Die letzte Übung war nach 47 Minuten bis zum vollständigen Betrieb abgeschlossen – gegenüber den vier Tagen Stillstand beim ursprünglichen Vorfall. Genauso wichtig ist die Gewissheit: Selbst wenn ein Angreifer erneut das gesamte Netzwerk übernähme, existiert eine saubere, nicht manipulierbare Kopie, von der sich der Betrieb wiederherstellen lässt. Aus „wir machen Backups" ist „wir können nachweislich und schnell wiederherstellen" geworden – die Grundlage unseres Verständnisses von Backup & Recovery und Managed Security.

Was dieses Projekt zeigt

Eine funktionierende Datensicherung ist kein IT-Detail, sondern eine Frage des Geschäftsfortbestands – im Gesundheitswesen sogar eine Frage der Versorgungssicherheit. Der Unterschied zwischen Krise und beherrschbarem Zwischenfall liegt in zwei Dingen: einer isolierten, unveränderbaren Kopie und einem regelmäßig getesteten Wiederanlaufplan. Sind Sie sicher, dass Ihre Sicherungen einen Ransomware-Angriff überstehen würden? Wir machen mit Ihnen einen ehrlichen Backup-Check – über unser Kontaktformular. Weitere Referenzen finden Sie hier.