Viele Anbieter sprechen über Härtung und Zero Trust, als wären sie austauschbar. Das sind sie nicht. Härtung ist ein Bestandteil von Zero Trust und konzentriert sich darauf, Abwehrmaßnahmen zu stärken und zu kontrollieren, wer Zugriff erhält. Zero Trust geht weiter, indem Teams gezwungen werden, von einer Kompromittierung auszugehen und zu fragen, was passiert, wenn Angreifer eindringen.
Moderne Angriffe umgehen Härtungs- Kontrollen routinemäßig durch Privilegieneskalation, Diebstahl von Anmeldedaten und ungepatchte Schwachstellen. Sobald ein Angreifer in einem System hohe Privilegien erreicht, wird der Unterschied zwischen Härtung und Zero Trust entscheidend für die Risikobewertung und die Sicherstellung der Wiederherstellbarkeit.
Das Problem ist nicht, dass Härtung unwichtig ist oder nicht zu Zero Trust gehört — das tut sie. Das Problem ist, dass viele Anbieter Organisationen dazu ermutigen, bei der Härtung stehenzubleiben. Sie bezeichnen Härtung als Zero Trust, wodurch die Organisation ein falsches Sicherheitsgefühl erhält.
„Angreifer brechen nicht ein und hören dann auf. Sie bewegen sich Schicht für Schicht weiter, bis sie die Systeme mit dem höchsten Wert erreichen.“
Härtung: was sie ist und wo sie hilft
Härtung ist die disziplinierte Reduzierung von Risiken in der gesamten Umgebung. Dazu gehören Least-Privilege-Zugriff, MFA, Segmentierung und Monitoring—Kontrollen, die eine Kompromittierung verhindern sollen. Diese Maßnahmen verlangsamen den Fortschritt eines Angreifers und begrenzen den Blast Radius während eines Ransomware-Angriffs.
Härtung beruht jedoch auf einer Prämisse: dass die Kontrollen eine Kompromittierung verhindern. Alltägliche Systeme, Teams und Infrastrukturen verhalten sich selten so sauber. Wartungsfenster schaffen Ausnahmen, Patches hinken hinterher, und Konfigurationen driften. Außerdem verlassen sich Angreifer nicht auf einen einzigen Einstiegspunkt. Sie verketten Schwachstellen, Anmeldedaten und Fehlkonfigurationen, bis sie ein System mit relevanter Autorität erreichen.
Hypervisoren, Identity Provider und Datenbankplattformen teilen alle dieselbe strukturelle Einschränkung: Sie benötigen privilegierte Kontrolle, um zu funktionieren. Sobald Angreifer diese Schichten kompromittieren, verhält sich die Umgebung exakt so, wie es der Angreifer will. Diese Einschränkung ist nicht auf eine einzelne Produktkategorie beschränkt—sie ist inhärent in Systemen, die für weitreichende operative Autorität ausgelegt sind.
Beispielsweise muss ein Hypervisor Workloads erstellen, ändern und löschen können; ein Datenbanksystem muss Schemas, Daten und Berechtigungen verändern können. Diese operative Macht ist notwendig, bedeutet aber auch, dass diese Infrastruktur zugänglich oder zerlegt werden kann, sobald ein Angreifer den Server mit erhöhten Privilegien erreicht. Dieselbe Dynamik gilt für alle Control Planes mit hohen Privilegien. Diese Schichten sind für operative Kontrolle konzipiert, und genau diese Kontrolle wird bei einer Kompromittierung zur Schwachstelle.
Härtung führt häufig zu einem falschen Schluss – dass es nicht zu einer Kompromittierung kommt. Die Realität ist: Kompromittierungen werden auftreten, und sobald ein Angreifer ein System erreicht, das für weitreichende Kontrolle ausgelegt ist, kann er Abläufe stören oder verändern.
Zero Trust: was es ist und wie es funktioniert
Zero Trust wird oft auf eine Sammlung von Härtungstechniken reduziert. Dabei ist Zero Trust keine Checkliste von Kontrollen—es ist eine Denkweise, die auf „Assume Breach“ basiert. „Assume Breach“ bedeutet zu akzeptieren, dass Angreifer in die Umgebung eindringen, Privilegien eskalieren, Anmeldedaten erlangen und Systeme mit hohem Wert erreichen werden. Der Schlüssel ist, Pläne zu entwerfen, um sich von der Kompromittierung zu erholen.
Hier zögert die Branche. Viele Anbieter vermeiden das „Assume Breach“-Gespräch, weil ihre Systeme es nicht überstehen. Härtung ist ein bequemer Sicherheitsanspruch. „Assume Breach“ ist es nicht. Daher stellen sie MFA, Segmentierung und Erkennung heraus und umgehen die Frage, was passiert, wenn diese Kontrollen versagen. Das Ergebnis ist eine enge Auslegung von Zero Trust, die an dem Punkt endet, an dem der Angreifer erfolgreich ist.
Zero Trust bei Object First ist anders definiert: ein Speichersystem mit Zero Access für destruktive Aktionen, sodass kein Administrator, kein Angreifer und kein Prozess Backup-Daten verändern oder löschen kann, selbst mit vollständigen Anmeldedaten.
Dies wird durch S3‑natives Immutability, eine dedizierte Storage-Appliance und Sicher‑by‑Design-Kontrollen durchgesetzt, die privilegierte Pfade vollständig entfernen. Dadurch werden Root-Zugriff, Shell-Zugriff und administrative Aktionen verhindert, einschließlich Löschen und Modifizieren.
Zero Trust muss auf der Schicht greifen, auf der Härtungs- Kontrollen versagt haben.
Die Schutzschichten in der Backup-Datenspeicherung
Moderner Datenschutz sitzt nicht auf einer einzigen Ebene. Er erstreckt sich über mehrere Kontrollschichten, jede mit eigenen Verantwortlichkeiten und eigenen Ausfallmodi. Das Security-Layering von Object First orientiert sich am Zero Trust-Reifegradmodell der CISA, das eine hilfreiche Methode ist, um zu verstehen, wo Härtung und Zero Trust die Regeln bestimmen.
Identität: die erste Control Plane, die Angreifer zu kompromittieren versuchen
Alles beginnt mit Identität. Anmeldedaten, Tokens, MFA, Verzeichnisdienste—das ist die Eingangstür zur Umgebung. Hier gehört Härtung hin, und sie bewirkt viel Gutes. Aber Identität ist auch die Schicht, die Angreifer am aggressivsten ins Visier nehmen. Phishing, Token-Diebstahl, Session-Hijacking und Privilegieneskalation sind Alltag. Sobald ein Angreifer einen legitimen Benutzer imitiert, beginnt sich der Rest der Umgebung zu öffnen.
Geräte: die Schicht, in der Drift, Ausnahmen und Betrieb Öffnungen schaffen
Endpoints, Server, Hypervisoren und Appliances fallen alle in diese Kategorie. In der Theorie ist jedes Gerät gehärtet, gepatcht und überwacht. In der Praxis sind Geräte der Ort, an dem die operative Realität sichtbar wird: verzögerte Patches, temporäre Firewall-Regeln, Wartungsfenster und Konfigurationsdrift. Diese Lücken sammeln sich im Laufe der Zeit an, und Angreifer wissen, wie sie sie finden. Ein kompromittiertes Gerät wird zu einem Einstiegspunkt, der sich in den Normalbetrieb einfügt.
Netzwerke: Segmentierung verlangsamt Angreifer, aber sie stoppt sie nicht
Segmentierung, Mikrosegmentierung und Traffic-Kontrollen sind darauf ausgelegt, Angriffe durch laterale Bewegung zu begrenzen, sobald sie Zugriff auf ein System erlangt haben. Sie helfen, aber sie beseitigen das Problem nicht. Sobald ein Angreifer gültige Anmeldedaten oder ein privilegiertes Token hat, wird das Netzwerk weniger zur Barriere und mehr zur Bodenwelle. Die Annahme, Segmentierung werde eine Kompromittierung eindämmen, hält einem entschlossenen Angreifer selten stand.
Anwendungen & Workloads: wo sich Privilegien konzentrieren
Hier beginnt die Autorität der Umgebung zu konvergieren. Hypervisoren, Orchestrierungssysteme und Backup-Server befinden sich alle hier. Diese Systeme müssen Workloads oder Backup-Jobs erstellen, ändern und löschen können. Diese operative Macht ist notwendig, bedeutet aber auch, dass die Auswirkungen gravierend werden, sobald ein Angreifer diese Schicht mit erhöhten Privilegien erreicht. Härtung reduziert die Anzahl einfacher Fehler, kann aber nichts daran ändern, dass diese Systeme inhärent privilegiert sind.
Backup-Daten: die einzige Schicht, die intakt bleiben muss, wenn alle anderen versagen
Die Datenschicht ist der Punkt, an dem Zero Trust absolut sein muss. Wenn Angreifer Identität, Geräte, Netzwerke und Anwendungen kompromittieren, müssen die Backup- Daten und ihre Chain of Custody überleben. Das erfordert eine Speicherarchitektur, die keine destruktiven Aktionen zulässt, selbst wenn der Angreifer vollständige Anmeldedaten besitzt.
Veeam und Object First sind genau für dieses Szenario ausgelegt. Beide gehen davon aus, dass bereits eine Kompromittierung stattgefunden hat und dass die Wiederherstellung möglicherweise starten muss, selbst wenn Veeam selbst kompromittiert wurde. Im Worst-Case—jedes Geheimnis offengelegt, jede Zugangsdaten gestohlen und jede Control Plane kompromittiert—bleiben die Backup-Daten in Ootbi unveränderlich und unlöschbar und liefern eine vertrauenswürdige Grundlage für die Wiederherstellung.
Diese Überlebensfähigkeit ist es, die Zero Trust von Härtung trennt. Härtung behauptet, dass es zu keinen Kompromittierungen kommt; Zero Trust erfordert die Bewertung, dass Angreifer das Ziel kompromittieren werden, sie aber dennoch die für die Wiederherstellung erforderlichen Daten nicht zerstören können. Veeam dokumentiert explizit, wie Veeam selbst bei einer schweren Kompromittierung wiederhergestellt wird, und Object First stellt die unveränderlicher Speicher-Schicht bereit, die diese Wiederherstellung ermöglicht.
Worauf Organisationen achten sollten
Bei der Bewertung von Backup-Speicher ist der wichtigste Indikator, ob das System mit einer echten „Assume Breach“-Denkweise entworfen wurde. Systeme, die auf privilegiertem Zugriff, Erkennung oder einer Software- Schicht Immutability beruhen, bleiben gegenüber denselben Ausfallmodi verwundbar wie die Schichten oberhalb. Der Einsatz einer Lösung, die Zero Access durchsetzt, stellt sicher, dass niemand—nicht einmal ein Administrator—destruktive Aktionen an Backup-Daten durchführen kann
Backup-Administratoren müssen für das Worst-Case- Szenario planen: Wiederherstellung aus einer kompromittierten Umgebung, in der alle Anmeldedaten offengelegt sind. Wenn alle Geheimnisse bekannt sind, kennen die Angreifer sie ebenfalls. Das Speichersystem muss so gebaut sein, dass es dieser Realität standhält.
Ebenso wichtig ist, dass Organisationen diese Überlebensfähigkeit nachweisen können—und nicht nur der Behauptung vertrauen. Eine glaubwürdige Plattform ermöglicht es Organisationen, Immutability zu validieren, die Wiederherstellung in destruktiven Szenarien zu testen und zu bestätigen, dass Daten wiederherstellbar bleiben, selbst wenn die Umgebung vollständig kompromittiert ist. Wenn ein Anbieter diese Art von Tests einschränkt oder untersagt, wird diese Einschränkung selbst zu einem Sicherheitssignal.
Wohin sich die Branche als Nächstes bewegt
Da Zero Trust strenger definiert wird, müssen Anbieter nachweisen und nicht nur behaupten, wie sich ihre Systeme unter vollständiger Privilegien- Kompromittierung verhalten. Sie müssen privilegierte Pfade dokumentieren, Immutability unabhängig von Backup-Software nachweisen und Überlebensfähigkeit zeigen, wenn jede Zugangsdaten offengelegt ist.
Backup-Speicher muss als letzte Verteidigungslinie funktionieren, nicht als ein weiteres System, das zusammenbricht, wenn Angreifer vollständigen Zugriff erlangen.
