On this day in 2026, we must acknowledge a harsh reality: "backups" are no longer a safe haven for cybersecurity, but have become the primary target for hacker attacks.
With the weaponization of generative AI (GenAI), modern ransomware (Ransomware 3.0) is demonstrating unprecedented tactical intelligence. Although the dwell time in Networking is shorter, its destructive power has multiplied. Hackers no longer just encrypt your production environment; they now prioritize seeking out and deleting backup systems, wiping out snapshots, and even poisoning backup data, leaving enterprises in a desperate situation with no way out.
In the face of such threats, traditional backup strategies have become outdated. This article will delve into the two main pillars of building modern cyber resilience: Immutable Snapshots and Physical/Logical Air-Gapped Backups.
When backup software becomes an attack surface
According to the latest market threat report, over 90% of ransomware attacks attempt to destroy backup repositories. This has driven the storage and cybersecurity market to shift their technical paradigms, moving from the traditional RTO question of “How long will it take us to recover?” to “Are we sure our data still exists?” This is because storage systems are becoming more security-focused—they are no longer just simple data repositories, but have become critical defense points with built-in ransomware detection and prevention mechanisms. On the other hand, requirements related to Networking insurance (Cyber Insurance) have already started to list “immutable backups” as a prerequisite for underwriting or claims settlement.
In the era of AI vs. AI, even if traditional perimeter defenses (Firewall/EDR) block 99% of attacks, the remaining 1% can still be fatal. Therefore, "immutable" backups data are the key advantage for enterprises to refuse to pay ransoms at the negotiation table.
Core Technology One: Immutable Snapshots
What is "immutability"?
Simply put, it means "write once, read many" (WORM - Write Once, Read Many). Once data is written and locked, within the set retention period, no one—including System Management members, Root Permission owners, or even the QES software itself—can modify or delete these data.
In recent years, due to the widespread adoption of Object Lock, Object Lock based on the S3 API has become the standard for cloud and on-premises storage objects. Many modern high-speed storage arrays (All-Flash Arrays) model now integrate this feature directly at the underlying layer, eliminating the need for additional software layers. Furthermore, the information environment has introduced multi-factor authentication (MFA) enforced deletion. Even if a hacker obtains administrator credentials and wants to modify the immutability policy or forcibly delete snapshots, the system will trigger the "Four-eyes principle," requiring multiple people and multiple factors License before approval is granted. This ensures the undeletable characteristic of data.
Technical Core II: Physical and Logical Isolation (Air-Gapped Backups, Airgap Isolation Backup)
Traditional vs. modern Air-Gap are already very different. In the past, we thought of Air-Gap as removing the tape and locking it in a safe deposit box. Although this is effective, the recovery speed (RTO) is too slow and cannot meet modern business requirements. However, it can still serve as an offsite backup node and, in the event of Networking interruption and inability to recover, act as the last line of defense.
Modern "virtual air-gap" refers more to logical isolation and Networking layer blocking, including non-routable Networking (Non-routable Networks). We can store backups in a network segment completely isolated from the production environment, and only during the scheduled backup time will a specific secure channel be opened to transfer data for backup. Once the backup is complete, this specific secure channel is immediately closed, so hackers cannot access this isolated, unreachable golden backup area.
In addition, enterprises will also implement an isolated recovery environment (Cleanroom Recovery), using cloud resources to establish a separate secure clean area. Before restoring the backup data to the production environment, AI scanning and identification are first performed in the secure area to ensure there is no hidden malicious software.
From “Manual Disconnection” to “Intelligent Isolation”: The Evolution of Airgap+ Technology in Practice
After understanding the theory behind air-gapping, the most common practical challenge enterprises face is: “Do IT staff really have to go to the server room every day to plug and unplug Networking cables?” In an era of tight manpower, this is clearly unrealistic. Therefore, a new generation of backup protection technology has introduced the concept of “Active Air-Gap,” such as QNAP’s Airgap+ technology, which automates and smartens this concept.
The core logic of this technology lies in the concept of “Disconnected by default.” Unlike traditional firewalls that rely solely on rule-based software to block traffic, the modern Airgap+ integrates backup software (such as HBS 3) with the control layer of Networkingunit (Router or Switch). Only at the moment when a backup task is initiated will the system send a command to “wake up” the specific Networking interface (Link Up); once data transmission is complete, the Networking interface will be immediately shut down at the physical or logical layer (Link Down).
When setting up HBS backup and selecting remote NAS unit, you can conveniently enable the RTRR server. Scroll down on this page to find the Airgap+ option.
In the image, you can see that we selected a QNAP Switch supporting Airgap+. In this case, we chose the QSW-M3224-24T. You can see that the actual test speed in this case reached 1.02GB per second. The environment between the two devices is connected via 10GbE Networking, which makes the backup synchronization much more efficient.
This design creates a “time window” that is difficult for hackers to cross, because for 99% of the time, the backup server is completely invisible on Networking (Invisible), making it undetectable by scanning tools and unreachable by ransomware software. By using QNAP Router or a supported QNAP switch, you can deploy this upgraded version of Airgap+ with even higher Security isolation.
The protected NAS unit will be marked as protected in HBS 3. Even if you try to connect to this IP address, the system will not succeed, because it is hidden or blocked by Switch or Router.
QNAP NAS unit protected by Airgap+ will not be visible on the internal network. As shown in the two images below, even QNAP's Qfinder Pro cannot find this NAS after the system backup has established the Airgap+ mechanism.
In addition, for environments with high Security requirements, an advanced architecture can even adopt the "Bridge Mode," which means we can add an intermediary bridge unit (Bridge NAS) that is not storagedata between the production environment and the backup vault. The production server can only access the intermediary unit, while the actual backup vault is hidden behind the intermediary unit, forming a "deep defense" that isolates the core backup area. Even if the production environment is completely compromised, attackers still cannot find a digital path to the core of the backup, which significantly enhances the ultimate data Security of the backup domain.
In this environment, the interface of the QNAP switch QSW-M3224-24T immediately displays that the NAS unit TS-855X is connected to ports 17, 19, and 23, all of which are shown as disconnected.
Practical strategy: Upgrade the 3-2-1 backup rule to the 3-2-1-1-0 rule
The previous “3-2-1 rule” (3 copies, 2 types of media, 1 offsite) has proven insufficient in the face of targeted attacks. Many enterprises, when implementing business information and Networking environments, have already begun to promote organizational upgrades to the “3-2-1-1-0 rule.” What is this?
That is, in an information environment, you should have at least:
3 copies of data.
2 different storage media.
1 copy to be stored off-site (Offsite).
1 offline or immutable (Offline / Immutable) copy, which is currently a key focus in the market.
0 errors (automated verification ensures backup is readable and restorable).
Trust is good, but verification and locking are more important
As the global cybersecurity landscape becomes increasingly blurred, identity verification may be stolen and vulnerabilities may be exploited by zero-day attacks (Zero-day). Only Immutable Snapshots and Air-Gap Backups provide the new generation of digital gold vaults, ensuring that in an era of rampant ransomware, enterprise core data remains intact and unharmed.
An diesem Tag im Jahr 2026 müssen wir eine harte Realität anerkennen: „Backups“ sind kein sicherer Hafen für die Cybersicherheit mehr, sondern zum Hauptziel von Hackerangriffen geworden.
Mit der Bewaffnung von generativer KI (GenAI) zeigt moderne Ransomware (Ransomware 3.0) eine beispiellose taktische Intelligenz. Obwohl die Verweildauer im Netzwerk kürzer ist, hat sich ihre Zerstörungskraft vervielfacht. Hacker verschlüsseln nicht mehr nur Ihre Produktionsumgebung; sie priorisieren jetzt das Auffinden und Löschen von Backup-Systemen, das Entfernen von Snapshots und sogar das Vergiften von Backup-Daten, sodass Unternehmen in einer verzweifelten Lage ohne Ausweg zurückbleiben.
Angesichts solcher Bedrohungen sind traditionelle Backup-Strategien veraltet. Dieser Artikel beleuchtet die beiden Hauptsäulen für den Aufbau moderner Cyber-Resilienz: Unveränderliche Snapshots und physisch/logisch isolierte Air-Gap-Backups.
Wenn Backup-Software zur Angriffsfläche wird
Laut dem neuesten Marktbedrohungsbericht versuchen über 90 % der Ransomware-Angriffe, Backup-Repositories zu zerstören. Dies hat dazu geführt, dass der Storage- und Cybersecurity-Markt seine technischen Paradigmen verschiebt – weg von der traditionellen RTO-Frage „Wie lange dauert die Wiederherstellung?“ hin zu „Sind wir sicher, dass unsere Daten noch existieren?“. Denn Speichersysteme werden immer sicherheitsorientierter – sie sind nicht mehr nur einfache Datenspeicher, sondern kritische Verteidigungspunkte mit integrierten Mechanismen zur Erkennung und Abwehr von Ransomware. Andererseits listen Anforderungen im Zusammenhang mit Netzwerkversicherungen (Cyber Insurance) bereits „unveränderliche Backups“ als Voraussetzung für die Policenerstellung oder Schadensregulierung auf.
Im Zeitalter von KI gegen KI können selbst dann, wenn traditionelle Perimeter-Abwehr (Firewall/EDR) 99 % der Angriffe blockiert, die verbleibenden 1 % tödlich sein. Daher sind „unveränderliche“ Backup-Daten der entscheidende Vorteil für Unternehmen, um Lösegeldforderungen am Verhandlungstisch abzulehnen.
Kerntechnologie Eins: Unveränderliche Snapshots
Was bedeutet „Unveränderlichkeit“?
Einfach gesagt bedeutet es „einmal schreiben, vielfach lesen“ (WORM – Write Once, Read Many). Sobald Daten geschrieben und gesperrt sind, kann innerhalb des festgelegten Aufbewahrungszeitraums niemand – einschließlich Systemadministratoren, Root-Berechtigten oder sogar der QES-Software selbst – diese Daten ändern oder löschen.
In den letzten Jahren hat sich durch die weite Verbreitung von Object Lock das auf der S3-API basierende Object Lock zum Standard für Cloud- und On-Premises-Speicherobjekte entwickelt. Viele moderne Hochgeschwindigkeits-Storage-Arrays (All-Flash Arrays) integrieren diese Funktion inzwischen direkt auf der Basisebene, sodass keine zusätzliche Software-Schicht mehr nötig ist. Darüber hinaus wurde im Informationsumfeld die durch Multi-Faktor-Authentifizierung (MFA) erzwungene Löschung eingeführt. Selbst wenn ein Hacker Administrator-Zugangsdaten erlangt und die Unveränderlichkeitsrichtlinie ändern oder Snapshots zwangsweise löschen möchte, löst das System das „Vier-Augen-Prinzip“ aus, das mehrere Personen und mehrere Faktoren Lizenz vor der Genehmigung erfordert. Dies stellt die Unlöschbarkeit der Daten sicher.
Technischer Kern II: Physische und logische Isolation (Air-Gap-Backups, Airgap Isolation Backup)
Traditionelle und moderne Air-Gap unterscheiden sich bereits stark. Früher dachte man bei Air-Gap daran, das Band zu entnehmen und in ein Schließfach zu legen. Das ist zwar effektiv, aber die Wiederherstellungsgeschwindigkeit (RTO) ist zu langsam und erfüllt nicht die Anforderungen moderner Unternehmen. Dennoch kann es als Offsite-Backup-Knoten dienen und im Falle einer Netzwerkunterbrechung und Unmöglichkeit der Wiederherstellung als letzte Verteidigungslinie fungieren.
Das moderne „virtuelle Air-Gap“ bezieht sich eher auf logische Isolation und Blockierung auf Netzwerkebene, einschließlich nicht routbarer Netzwerke (Non-routable Networks). Wir können Backups in einem vom Produktionsumfeld vollständig isolierten Netzwerksegment speichern und nur während des geplanten Backup-Zeitraums wird ein spezifischer sicherer Kanal geöffnet, um Daten für das Backup zu übertragen. Nach Abschluss des Backups wird dieser Kanal sofort geschlossen, sodass Hacker keinen Zugriff auf diesen isolierten, unerreichbaren goldenen Backup-Bereich haben.
Zusätzlich implementieren Unternehmen eine isolierte Wiederherstellungsumgebung (Cleanroom Recovery), indem sie Cloud-Ressourcen nutzen, um einen separaten sicheren Bereich einzurichten. Bevor die Backup-Daten in die Produktionsumgebung zurückgespielt werden, erfolgt zunächst ein KI-Scan und eine Identifikation im sicheren Bereich, um sicherzustellen, dass keine versteckte Schadsoftware vorhanden ist.
Von „manueller Trennung“ zu „intelligenter Isolation“: Die Entwicklung der Airgap+-Technologie in der Praxis
Nach dem Verständnis der Air-Gap-Theorie besteht die häufigste praktische Herausforderung für Unternehmen darin: „Müssen IT-Mitarbeiter wirklich jeden Tag in den Serverraum gehen, um Netzwerkkabel ein- und auszustecken?“ In Zeiten knapper Personalressourcen ist das offensichtlich unrealistisch. Daher hat eine neue Generation von Backup-Schutztechnologien das Konzept des „Active Air-Gap“ eingeführt, wie z. B. QNAPs Airgap+-Technologie, die dieses Konzept automatisiert und intelligent macht.
Die Kernlogik dieser Technologie liegt im Konzept „standardmäßig getrennt“. Im Gegensatz zu traditionellen Firewalls, die ausschließlich auf regelbasierter Software zur Blockierung von Datenverkehr beruhen, integriert das moderne Airgap+ die Backup-Software (wie HBS 3) mit der Steuerungsebene der Netzwerkeinheit (Router oder Switch). Nur wenn eine Backup-Aufgabe gestartet wird, sendet das System einen Befehl, um die spezifische Netzwerkschnittstelle zu „wecken“ (Link Up); nach Abschluss der Datenübertragung wird die Netzwerkschnittstelle auf physischer oder logischer Ebene (Link Down) sofort abgeschaltet.
Beim Einrichten des HBS-Backups und der Auswahl der Remote-NAS-Einheit können Sie bequem den RTRR-Server aktivieren. Scrollen Sie auf dieser Seite nach unten, um die Airgap+-Option zu finden.
Im Bild sehen Sie, dass wir einen QNAP-Switch mit Airgap+-Unterstützung ausgewählt haben. In diesem Fall haben wir den QSW-M3224-24T gewählt. Sie sehen, dass die tatsächliche Testgeschwindigkeit in diesem Fall 1,02 GB pro Sekunde erreichte. Die Umgebung zwischen den beiden Geräten ist über 10GbE-Netzwerk verbunden, was die Backup-Synchronisierung deutlich effizienter macht.
Dieses Design schafft ein „Zeitfenster“, das für Hacker schwer zu überwinden ist, denn 99 % der Zeit ist der Backup-Server im Netzwerk völlig unsichtbar (Invisible), kann von Scantools nicht erkannt und von Ransomware nicht erreicht werden. Mit einem QNAP-Router oder einem unterstützten QNAP-Switch können Sie diese erweiterte Version von Airgap+ mit noch höherer Sicherheitsisolation einsetzen.
Die geschützte NAS-Einheit wird in HBS 3 als geschützt markiert. Selbst wenn Sie versuchen, diese IP-Adresse zu erreichen, wird das System keinen Erfolg haben, da sie vom Switch oder Router verborgen oder blockiert wird.
QNAP-NAS-Einheiten, die durch Airgap+ geschützt sind, sind im internen Netzwerk nicht sichtbar. Wie in den beiden Bildern unten zu sehen ist, kann selbst QNAPs Qfinder Pro dieses NAS nach der Einrichtung des Airgap+-Mechanismus durch das System-Backup nicht mehr finden.
Für Umgebungen mit hohen Sicherheitsanforderungen kann eine fortschrittliche Architektur sogar den „Bridge Mode“ verwenden, was bedeutet, dass wir eine zwischengeschaltete Bridge-Einheit (Bridge NAS), die keine Daten speichert, zwischen Produktionsumgebung und Backup-Tresor hinzufügen können. Der Produktionsserver kann nur auf die Zwischenstelle zugreifen, während der eigentliche Backup-Tresor hinter der Zwischenstelle verborgen ist, was eine „Tiefenverteidigung“ bildet, die den Kern-Backup-Bereich isoliert. Selbst wenn die Produktionsumgebung vollständig kompromittiert wird, finden Angreifer keinen digitalen Pfad zum Backup-Kern, was die ultimative Datensicherheit des Backup-Bereichs erheblich erhöht.
In dieser Umgebung zeigt die Oberfläche des QNAP-Switches QSW-M3224-24T sofort an, dass die NAS-Einheit TS-855X mit den Ports 17, 19 und 23 verbunden ist, die alle als getrennt angezeigt werden.
Praxisstrategie: Die 3-2-1-Backup-Regel auf die 3-2-1-1-0-Regel aufrüsten
Die bisherige „3-2-1-Regel“ (3 Kopien, 2 Medientypen, 1 Offsite) hat sich bei gezielten Angriffen als unzureichend erwiesen. Viele Unternehmen haben bei der Umsetzung von Geschäfts- und Netzwerkumgebungen bereits begonnen, organisatorische Upgrades auf die „3-2-1-1-0-Regel“ zu fördern. Was bedeutet das?
Das heißt, in einer Informationsumgebung sollten Sie mindestens haben:
3 Kopien der Daten.
2 verschiedene Speichermedien.
1 Kopie, die extern (Offsite) gespeichert wird.
1 Offline- oder unveränderliche (Offline / Immutable) Kopie, was derzeit ein zentraler Markttrend ist.
0 Fehler (automatisierte Überprüfung stellt sicher, dass das Backup lesbar und wiederherstellbar ist).
Vertrauen ist gut, aber Überprüfung und Sperrung sind wichtiger
Da die globale Cybersicherheitslandschaft immer undurchsichtiger wird, können Identitäten gestohlen und Schwachstellen durch Zero-Day-Angriffe ausgenutzt werden. Nur unveränderliche Snapshots und Air-Gap-Backups bieten den neuen digitalen Goldtresor, der sicherstellt, dass im Zeitalter der grassierenden Ransomware die Kerndaten des Unternehmens intakt und unversehrt bleiben.
7 Min. Lesezeit
