Sicherzustellen, dass einzelne Mitarbeiter und auch gesamte Teams nur auf Daten zugreifen können, die sie unmittelbar benötigen, ist eine der besten Methoden, um ein Unternehmen vor Unfällen, interner Sabotage oder Ransomware zu schützen. Aber welche Auswirkungen hat das Zero-Trust-Konzept auf Backup- und Archivierungsprozesse in Unternehmen?
Backups spielen eine entscheidende Rolle in der Datensicherheit, da sie im Falle von Cyber-Angriffen, Datenverlust oder technischen Ausfällen als letzter Rettungsanker dienen. Die Kombination von Zero-Trust und Backups optimiert diesen Sicherheitsansatz noch weiter.
(Bild: Miha Creative - stock.adobe.com)
Laut des „2023 Ransomware Trends“-Report von Veeam wurden 85 Prozent der befragten Unternehmen 2022 mindestens einmal Opfer einer Ransomwareattacke – 2021 waren es noch 76 Prozent. Ein eingeschränkter Zugriff ist daher von entscheidender Bedeutung, da er den Umfang der Daten und Prozesse reduziert, die einem einzelnen Benutzer zur Verfügung stehen – die sogenannte „Angriffsfläche“. Das bedeutet, dass ein einziger Verstoß nur ein minimales Risiko birgt, den Rest der Unternehmensdaten zu untergraben, sei es durch ein per E-Mail verschicktes Ransomware-Paket oder eine kompromittierte Software-Lieferkette. Dieser Trend hat zu einer logischen Schlussfolgerung geführt: „Zero Trust“ ist zum geflügelten Wort in Sachen Cyber-Security geworden.
Worin aber liegen die Besonderheiten von Zero-Trust und welche Auswirkungen hat das Konzept auf Backup- und Archivierungsprozesse in Unternehmen?
Entwurf einer Zero-Trust-Umgebung
Bei der Zero-Trust-Architektur segmentieren Sicherheitsteams die Netzwerke ihres Unternehmens automatisch, um Verstöße zu verhindern. Zu diesem Zweck baut eine Zero-Trust-Architektur eine Sicherheitsumgebung auf, die auf differenzierten Zugriffsrechten basiert, die den Benutzern automatisch und in Echtzeit zugewiesen werden.
Dieser Automatisierungsgrad bedeutet, dass Zero-Trust die Sicherheit erhöht und betroffene Teams von der manuellen Zuweisung von Zugriffsrechten im gesamten Netzwerk eines Unternehmens entlastet werden. Der Automatisierungsgrad reduziert zudem die Komplexität des Managements dieser Sicherheitsverfahren für die Mitarbeiter, da es Änderungen der Berechtigungen innerhalb weniger Minuten gewährleistet.
Das ist die technische Checkliste für Zero-Trust, aber es gibt zudem eine wichtige Voraussetzung, die alle Teams berücksichtigen sollten, bevor sie eine Automatisierung der Zugriffsrechte überhaupt in Betracht ziehen können. Diese Voraussetzung ist die Klärung der Frage, wer Zugriff auf welche Informationen haben sollte und warum.
Hinter dieser einfachen Frage verbirgt sich ein wichtiger Punkt, mit dem sich Sicherheitsteams befassen müssen, bevor sie sich ganz auf die Automatisierung einlassen. Ein Unternehmen sollte sich die Zeit nehmen, verschiedene Stakeholdergruppen zu prüfen. Entsprechend müssen Organisationen alle Daten- und Prozesskategorien, die von einer Zero-Trust-Architektur erkannt werden sollen, überprüfen und aufschlüsseln.
Bei einer solchen Überprüfung sollte zudem eine weitere Datenkategorie berücksichtigt werden: Backups und archivierte Daten.
Backups entlang dem Zero-Trust-Gedanken gestalten
Sicherheitsteams müssen häufig einen umfangreicheren Zugriff auf laufende Prozesse gewähren als auf Backups und Archive. Das liegt daran, dass Live-Daten oft einen sofortigen und permanenten Zugriff erfordern, damit der Geschäftsbetrieb weiterlaufen kann, während der Zugriff auf Backup- und Archivdaten weit weniger zeitkritisch ist.
Es ist jedoch nicht nur praktikabler, strenger mit Backup- und Archivdaten umzugehen, Unternehmen sollten immer versuchen, den Zugriff auf solche Daten so weit wie möglich zu beschränken. Das liegt nicht nur an der Sensibilität vieler Backup- und Archivdaten (man denke nur einmal an Finanzinformationen, Kundendaten oder vergangene Projekte), sondern auch daran, dass der Erhalt dieser Daten für die Geschäftskontinuität unerlässlich ist.
Letztlich sind alle Systeme in irgendeiner Art und Weise anfällig für Fehler. Das Risiko, dass eine Zero-Trust-Architektur Sicherheitsrisiken unterliegt, oder dass durch einen Unfall oder einen Zwischenfall Live-Umgebungen und Daten zerstört werden, ist immer gegeben. In diesem Fall müssen Unternehmen auf Sicherungs- und Archivierungsdaten zurückgreifen, um betriebliche Ausfallzeiten zu minimieren und Ihr Team wieder produktiv arbeiten lassen zu können.
Notfallplan: Externe Datenaufbewahrung
Wie Unternehmen Daten sichern und archivieren, sollte nicht nur ein nachträglicher Gedanke, sondern ein zentraler Bestandteil des Notfallplans sein. Wenn alle Prozesse im Sicherheits- und Betriebs-und Ökosystem versagen, müssen Unternehmen darauf vertrauen können, dass ihre Backup-Lösung isoliert ist, damit sie sie nutzen können, um ihre Teams wieder arbeitsfähig zu machen. Doch was bedeutet das in der Praxis?
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Abgesehen davon, dass Unternehmen ihre Backups per se den strengsten Einschränkungen unterwerfen sollten, die in einer Zero-Trust-Architektur möglich sind, sollten sie darüber hinaus sicherstellen, dass sie mehrere Backups aufbewahren, von denen einige nicht einmal für ihre operativen Teams zugänglich sind. In der Praxis sollten Sie dies mit der „3-2-1-Regel“ umsetzen: Sie sollten mindestens drei Sicherungen auf mindestens zwei verschiedenen Medien aufbewahren, von denen mindestens eine extern aufbewahrt wird.
Doch selbst dieser Ansatz kann durch Sabotage, Störungen oder Unfälle gefährdet sein. Deshalb sollten sie auch dafür sorgen, dass ihre Sicherungslösung unveränderlich ist. Das bedeutet, dass niemand in der Lage ist, sie innerhalb eines bestimmten Zeitraums zu ändern oder zu löschen. Dies verhindert, dass jemand Daten verschlüsseln kann, so dass unveränderliche Backups als letzte Möglichkeit zur Wiederherstellung Ihrer Daten dienen können, wenn alles andere fehlschlägt.
Fazit: Ist die Verbindung von Zero-Trust und Backups eine sinnvolle Kombination?
Eine Zero-Trust-Architektur ist eine hervorragende Möglichkeit, die Sicherheit bestehender Workloads zu maximieren und zu gewährleisten, dass auch Backups vertraulich und sicher aufbewahrt werden. Um die Geschäftskontinuität zu gewährleisten, benötigt eine solche Architektur einen Datenspeicher, der von den täglichen Aktivitäten eines Unternehmens abgekoppelt und unveränderlich ist.
Die Verbindung von Zero-Trust und Backups stellt zweifellos eine äußerst sinnvolle und wirkungsvolle Kombination dar. Zero-Trust legt den Grundstein für eine umfassende Sicherheitsstrategie, bei der jeder Benutzer und jedes Gerät im Netzwerk als potenziell unsicher betrachtet wird. Dies bedeutet, dass der Zugriff auf Ressourcen ständig überprüft und auf ein Minimum beschränkt wird. In dieser Hinsicht hilft Zero-Trust dabei, die Angriffsfläche zu minimieren und den Schutz vor internen und externen Bedrohungen zu verstärken.
Backups spielen eine entscheidende Rolle in der Datensicherheit, da sie im Falle von Cyber-Angriffen, Datenverlust oder technischen Ausfällen als letzter Rettungsanker dienen. Die Kombination von Zero-Trust und Backups optimiert diesen Sicherheitsansatz noch weiter.
Über den Autor: Daniel Arabié ist Country Manager Central Europe beim internationalen Hot-Cloud-Speicheranbieter Wasabi Technologies. Seit Anfang 2023 kümmert er sich um den Auf- und Ausbau von Wasabis Sales-Aktivitäten im DACH-Raum sowie Osteuropa.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/56/8a56876842cf7ae84ada13c953a057d7/0128659324v2.jpeg "Die mutmaßlich mit China verbundene Hackergruppe LongNosedGoblin spioniert Regierungsnetzwerke in Asien aus, indem sie Windows-Gruppenrichtlinien missbraucht, um Malware unauffällig zu verteilen und dabei auch Cloud-Dienste für ihre Kommando- und Kontrollverbindungen nutzt. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/84/2b/842b3ec97d08ff445b7e2ee1c2c20166/0129087831v2.jpeg "Die Command-Injection-Schwachstelle EUVD-2026-3437 / CVE-2026-22844 gilt als leicht auszunutzen, das sie keine speziellen Berechtigungen oder Benutzerinteraktionen erfordert, um beliebigen Code auszuführen. (Logo:Zoom)")
:quality(80)/p7i.vogel.de/wcms/38/e2/38e2ebee9ca6d8252e67f88dab72cdd3/0129125696v2.jpeg "Der Cybersecurity Report 2026 zeigt: E-Mail-Malware stieg um 131 Prozent, KI-gestütztes Phishing wird zur Hauptbedrohung und Resilienz entscheidet über Handlungsfähigkeit bei Angriffen. (Bild: © putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/39/a9/39a9c9edbf9edbcfdf7e01d87104b924/0129255851v2.jpeg "Auch 2025 fand die European Identity and Cloud Conference in Berlin statt und brachte Experten aus dem Bereich Identity and Access Management zusammen. (Bild: mail@nicolas~det.eu)")
:quality(80)/p7i.vogel.de/wcms/2a/d2/2ad24b8d60acdfa806bbfa72d91e7443/0129075770v2.jpeg "Über 90 Prozent der Ransomware-Angriffe treffen das Active Directory, aber klassische Backups und manuelle Recovery scheitern meist unter Zeitdruck und Komplexität. (Bild: © Westlight - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3c/5c/3c5c6e99bcdad07637fea060dc2eab27/0127436898v1.jpeg "Der Autor: Alexander Waldmann ist Vice President bei Applause (Bild: Applause)")
:quality(80)/p7i.vogel.de/wcms/01/c3/01c3f3c0dcae9a2d0deb51890bcf31f8/0128772245v1.jpeg "„In Summe muss eine zeitgemäße Backup-Strategie im Jahr 2026 die zunehmenden Risiken minimieren, eine hochgradig sichere Datenspeicherung beinhalten und langfristig die Geschäftskontinuität gewährleisten.“ – Greg Hansbuer von Pink Elephant (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/e3/48/e348498d4582bb6d2bd6993b70462a5b/0129264709v2.jpeg "Bei der Microsoft-365-Security gibt es viele blinde Flecken, auf die IT-Verantwortlichen in Unternehmen achten müssen. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/9a/22/9a22abecd3b81745aafb5167c9a4eed5/0129101394v1.jpeg "OPSI wird nach dem WSUS-Ende zur Open-Source-Alternative und verwaltet Windows, Linux und macOS zentral mit automatischen Updates und Echtzeit-Status. Mehr in Text, Bildergalerie und Video (Tool-Tipp 38). (Bild: © Irene Kulinchyk - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/7e/c67ee3c3d518dfe5a48378e20a95fde5/0129075400v1.jpeg "Clickjacking nutzt Autofill aus um an Zugangsdaten zu gelangen, aber die Deaktivierung der Funktion sorgt eher für mehr Probleme! Endpoint-Security, MFA und URL-Abgleich schützen wirksamer. (Bild: © Montri - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1d/db/1ddbdc9047cbd3cd27d7cb0efca62bc4/0128713610v2.jpeg "Am 25. Dezember 2025 griffen mutmaßlich japanische Cyberkriminelle Adobe-ColdFusion-Server, mit dem Ziel, Zugriffe zu kapern, um diese dann zu verkaufen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/22/5d/225d1d7930c9090fe8fbf68e9d3465c2/0129163513v2.jpeg "Betroffen von der kritischen Schwachstelle EUVD-2026-4712 / CVE-2026-24858 sind die Produkte FortiOS, FortiManager, FortiAnalyzer, FortiProxy und FortiWeb. Die Sicherheitslücke erlaubt es Angreifern, sich über die FortiCloud-SSO-Anmeldung auf anderen Geräten unautorisiert anzumelden. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:fill(fff,0)/p7i.vogel.de/companies/63/db/63dbd1915b7af/2023-fastlta-logo-square-positive.jpeg "2023-fastlta-logo-square-positive (FAST LTA GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/2a/d2/2ad24b8d60acdfa806bbfa72d91e7443/0129075770v2.jpeg "Über 90 Prozent der Ransomware-Angriffe treffen das Active Directory, aber klassische Backups und manuelle Recovery scheitern meist unter Zeitdruck und Komplexität. (Bild: © Westlight - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0e/d2/0ed29d17a762cb690a41956daf7acaee/0124568503v1.jpeg "Durch die konsequente Minimierung der Angriffsfläche erschwert Zero Trust Network Access Angreifern den Zugriff auf sensible Systeme erheblich und trägt damit maßgeblich zur Stärkung der IT-Sicherheit moderner Unternehmen bei – für absolute Sicherheit sorgt ZTNA nicht. (Bild: Dall-E / KI-generiert)")