IT-Sicherheit & Datenschutz – dreherIT – Lösungen, die weiterdenken.

Netzwerk-Audit für KMU: Warum „läuft doch” ein Risiko ist

Frank Dreher — Tue, 24 Feb 2026 13:41:11 +0000

Das Problem: Netzwerke wachsen still und unkontrolliert

In den meisten KMU entstand die IT-Infrastruktur nicht durch einen Masterplan, sondern durch Wachstum. Ein Router hier, ein Switch dort, ein Gerät, das „eigentlich ersetzt werden sollte”, aber noch läuft. Irgendwann weiß niemand mehr genau, was alles verbunden ist – und warum.

Das ist kein Einzelfall. Es ist der Normalzustand.

Typische Situationen, die wir in der Praxis vorfinden:

Netzwerkgeräte mit Firmware-Stand von 2019 – bekannte Sicherheitslücken, nie gepatcht
WLAN-Passwörter, die seit der Inbetriebnahme nicht geändert wurden
Keine Netzsegmentierung: Drucker, Server und Mitarbeiter-Laptops im selben Segment
Geräte, die sich ins Netzwerk eingebucht haben und still vor sich hin laufen – ohne dass jemand weiß, was sie dort tun
Firewall-Regeln, die einmal „schnell” eingerichtet – und nie überprüft wurden

Einzeln betrachtet klingt jeder dieser Punkte nach einer Kleinigkeit. Zusammen ergeben sie ein Einfallstor.

Das Risiko: Was auf dem Spiel steht

Ein schlecht gewartetes Netzwerk ist keine abstrakte Gefahr. Es hat konkrete Konsequenzen.

Betriebsunterbrechung: Ein kompromittiertes Gerät kann innerhalb von Minuten das gesamte Netzwerk lahmlegen. Ein Halcyon-Report nennt im Mittel 21 Tage operative Downtime nach einem erfolgreichen Ransomware-Angriff – gerechnet bis Systeme und Abläufe wieder laufen.

Datenschutz: Wenn unbefugte Geräte im Netzwerk aktiv sind oder Zugriffsrechte nicht sauber vergeben wurden, kann das schnell zu einem DSGVO-relevanten Vorfall führen. Art. 32 DSGVO fordert ein dem Risiko angemessenes Schutzniveau. Ohne nachvollziehbare Dokumentation wird es im Vorfall deutlich schwieriger, getroffene Maßnahmen gegenüber Behörden oder Partnern zu begründen.

Haftung: Fehlende Dokumentation und nicht behobene bekannte Sicherheitslücken können die Nachweisführung gegenüber Versicherungen, Behörden oder Geschäftspartnern deutlich erschweren – besonders dann, wenn ein Vorfall bereits eingetreten ist.

Das Unangenehme daran: Die meisten dieser Risiken sind unsichtbar – solange nichts passiert.

Die Lösung: Netzwerk-Audit mit dreherIT

Ein Netzwerk-Audit schafft Klarheit darüber, was wirklich in Ihrer Infrastruktur steckt – und wo Handlungsbedarf besteht.
Kein pauschales „alles muss neu”, sondern eine ehrliche Bestandsaufnahme mit verwertbarem Ergebnis.

Phase 1 – Bestandsaufnahme:
Wir erfassen alle aktiven Geräte, Verbindungen und Konfigurationen.
Was ist im Netzwerk? Was sollte dort sein – und was nicht?

Phase 2 – Analyse:
Wir prüfen Firmware-Stände, Firewall-Regeln, WLAN-Konfiguration, Segmentierung und Zugriffsstrukturen systematisch gegen gängige Best Practices, Herstellerempfehlungen und Risikoprinzipien.

Phase 3 – Dokumentation & Empfehlung:
Sie erhalten ein greifbares Ergebnis:

Netzplan mit Geräte- und VLAN-Übersicht (Ist-Stand)
Risiko-Matrix (kritisch / hoch / mittel / niedrig) mit Quick Wins (Sofortmaßnahmen)
Maßnahmenplan mit Priorität und Aufwandsschätzung

Es geht nicht darum, Probleme zu erfinden. Es geht darum, zu wissen, worauf Sie sich verlassen können.

Das Ergebnis

Nach einem Netzwerk-Audit wissen Sie:

Welche Geräte in Ihrer Infrastruktur aktiv sind
Wo konkrete Sicherheitsrisiken bestehen – und wie dringend sie sind
Was mit überschaubarem Aufwand sofort verbessert werden kann
Wo mittel- und langfristig investiert werden sollte

Sie haben eine dokumentierte Grundlage – für interne Entscheidungen, für Gespräche mit Versicherungen und für die nächste IT-Prüfung.

Wie sicher ist Ihre Infrastruktur wirklich?

Erfahren Sie im Detail, wie unser strukturierter Audit-Prozess Schwachstellen aufdeckt und Ihre IT-Sicherheit langfristig stärkt.

Schweizer Cloud-Verbot: Warum Hybrid-Strategien jetzt Pflicht werden

Frank Dreher — Wed, 03 Dec 2025 16:55:25 +0000

Ende November haben die schweizerischen Datenschutzbeauftragten (Privatim) eine Resolution veröffentlicht, die internationale Cloud-Dienste für Behörden mit sensiblen Daten de facto stark einschränkt. Über die Entscheidung berichtete unter anderem Heise Online. Die offizielle Resolution findet sich beispielsweise beim Kanton Freiburg (Privatim-Mitteilung), eine juristische Einordnung liefert Steiger Legal.

US-Hyperscaler wie AWS, Microsoft oder Google sollen für besonders schützenswerte oder gesetzlich geheimhaltungspflichtige Personendaten kaum noch als vollwertige SaaS-Lösungen eingesetzt werden – vor allem, weil echte Ende-zu-Ende-Verschlüsselung und eine belastbare Rechtslage fehlen.

Für Unternehmen in Deutschland ist das ein Warnsignal: Nicht die Cloud an sich steht zur Disposition, sondern der unreflektierte „Alles-in-die-Cloud“-Ansatz. Die Zukunft ist hybrid – aber mit klarer Strategie.

Was ist in der Schweiz passiert?

Die Konferenz der schweizerischen Datenschutzbeauftragten hat in ihrer Stellungnahme die Nutzung internationaler Public-Cloud-Dienste durch Behörden massiv eingeschränkt. Kernpunkte der Position:

Behörden dürfen sensible und geheimhaltungspflichtige Personendaten in der Regel nicht mehr in internationalen SaaS-Diensten verarbeiten.
US-Hyperscaler stehen besonders im Fokus, weil der US CLOUD Act Anbieter zur Herausgabe von Daten an US-Behörden verpflichten kann – auch dann, wenn die Daten physisch in Europa oder der Schweiz liegen. Eine Einordnung zu Herausgabeverlangen aus Drittstaaten liefert das European Data Protection Board: Guidelines 02/2024 on Article 48 GDPR (PDF).
Hauptkritikpunkte sind fehlende echte Ende-zu-Ende-Verschlüsselung mit Schlüsselhoheit beim Kunden sowie der Kontrollverlust über Subdienstleister, Vertragsbedingungen und Zugriffe.
Cloud-Dienste sind damit nicht generell verboten, aber nur noch dann zulässig, wenn die Behörde selbst verschlüsselt und der Anbieter keinen Zugriff auf die Schlüssel hat.

Auch wenn diese Resolution formal nur für Schweizer Behörden gilt, setzt sie ein deutliches Signal: Wer besonders schützenswerte Daten in internationale Public Clouds auslagert, bewegt sich regulatorisch auf dünnem Eis.

Was bedeutet „Hybrid“ eigentlich?

In vielen Diskussionen werden unterschiedliche Dinge unter „Hybrid Cloud“ verstanden. Technisch meint Hybrid-Cloud im Kern:

Die Kombination aus eigener Infrastruktur (On-Premises oder Private Cloud) und einem oder mehreren Public-Cloud-Anbietern, die so integriert sind, dass Workloads zwischen diesen Welten verteilt werden können.

Für eine klassische Definition können Sie sich z. B. an den Glossareinträgen von Google Cloud oder NetApp orientieren.

Für die Praxis lassen sich grob drei Bausteine unterscheiden:

On-Premises / Private Cloud im eigenen Haus
Eigene Server, Storage und Netzwerk in der eigenen Umgebung – etwa ein Linux- oder VMware-Cluster im Serverraum.
Private Cloud im europäischen Rechenzentrum
Dedizierte Server oder Managed-Hosting bei europäischen Anbietern, die rechtlich in der EU / im EWR sitzen – z. B. ein dedizierter Server bei einem deutschen oder europäischen Hoster.
Public Cloud / Hyperscaler
Dienste wie Microsoft 365, Azure, AWS, Google Cloud oder spezialisierte SaaS-Anwendungen.

„Hybrid“ heißt also nicht automatisch „Hyperscaler + europäisches RZ“, sondern: Sie kombinieren eigene Infrastruktur mit Cloud-Ressourcen – idealerweise so, dass die sensiblen Daten unter Ihrer Kontrolle bleiben und nur das in die Public Cloud wandert, was dort sinnvoll und vertretbar ist.

Für unsere Kunden definieren wir Hybrid daher so:

Hybrid bedeutet: Eigene Infrastruktur (z. B. Nextcloud-Server) plus ein europäisches Rechenzentrum – und nur dort, wo es fachlich und rechtlich passt, ausgewählte Public-Cloud-Dienste.

Gerade im Kontext von digitaler Souveränität ist diese Trennung zentral: Kritische Daten verbleiben in Ihrer Kontrolle, zusätzliche Cloud-Dienste werden bewusst und begründet gewählt.

Warum „reine Hyperscaler-Strategien“ ins Risiko laufen

Die Schweizer Resolution ist kein Ausreißer, sondern Teil eines größeren Trends. Drei Punkte sollten Unternehmen im Blick behalten:

1. Digitale Souveränität & Datenschutz

Internationale Public Clouds unterliegen oft auch ausländischem Recht (z. B. US CLOUD Act).
Viele SaaS-Anbieter bieten keine echte Ende-zu-Ende-Verschlüsselung mit ausschließlich kundenseitig kontrollierten Schlüsseln.
Für regulierte Branchen (Gesundheitswesen, öffentliche Hand, kritische Infrastrukturen) steigen die Anforderungen durch NIS2, DORA & Co. deutlich – inklusive Vorgaben zu Risikomanagement, Business Continuity und Exit-Strategien. Einen Überblick über die NIS2-Pflichten für Unternehmen bietet z. B. PwC.

Kurz gesagt: Wer alle geschäftskritischen Daten in eine einzige internationale SaaS-Plattform schiebt, macht sich angreifbar – technisch, rechtlich und politisch.

2. Kosten & Lock-in

Lange Zeit galt: „Cloud ist billiger“. Das stimmt längst nicht mehr pauschal. Das Beispiel des Software-Hauses 37signals (Basecamp/HEY) zeigt: Der Rückzug aus AWS auf eigene Hardware spart laut deren Zahlen rund zehn Millionen US-Dollar innerhalb von fünf Jahren – vor allem, weil laufende Cloud-Betriebskosten und Overhead entfallen. Die Details legt Gründer David Heinemeier Hansson in seinem Beitrag „Our cloud-exit savings will now top ten million over five years“ offen.

Natürlich lässt sich dieses Beispiel nicht 1:1 auf jedes Unternehmen übertragen. Es zeigt aber, dass „Cloud = automatisch günstiger“ ein Mythos ist – insbesondere bei dauerhaft laufenden, gut kalkulierbaren Workloads.

3. Resilienz & Exit-Strategie

Spätestens mit NIS2 wird von vielen Unternehmen erwartet, dass sie Business-Continuity- und Desaster-Recovery-Konzepte vorhalten – dazu gehören Backups, Fallback-Szenarien und Exit-Strategien gegenüber kritischen Dienstleistern, inklusive Cloud-Providern.

Pragmatisch heißt das:

Was passiert, wenn ein großer Cloud-Dienst für Stunden oder Tage ausfällt?
Können Sie weiterarbeiten – oder steht der Betrieb?
Gibt es eine technische und organisatorische Möglichkeit, Daten aus der Cloud wieder herauszubekommen und in einer alternativen Umgebung weiterzuarbeiten?

Eine sauber designte Hybrid-Architektur beantwortet diese Fragen besser als der „Alles-in-eine-SaaS“-Ansatz. Wie wir das Thema IT-Sicherheit und Compliance insgesamt betrachten, lesen Sie auf unserer Seite IT-Sicherheit & Datenschutz.

Wie eine pragmatische Hybrid-Strategie für KMU aussehen kann

Für mittelständische Unternehmen, Praxen und Kanzleien geht es nicht darum, morgen alles aus der Cloud zurückzuholen. Sinnvoll ist ein schrittweises Vorgehen:

Ziele & Rahmenbedingungen klären
- Welche Geschäftsprozesse sind wirklich kritisch?
- Welche Daten wären im Falle eines Abflusses oder Ausfalls existenzbedrohend?
- Welche regulatorischen Vorgaben gelten (DSGVO, NIS2, branchenspezifische Regeln)?
Datenklassen und Workloads unterscheiden
- Hochsensible Daten (Patientendaten, Rechtsdokumente, Finanzdaten, vertrauliche Kundendaten)
- Operative Geschäftsdaten (Projekte, interne Dokumente)
- Unkritische Kollaborationsdaten (z. B. Marketing-Material, Präsentationen, Schulungsunterlagen)
Architektur passend zu den Daten wählen
- Hochsensible Daten: On-Premises oder im europäischen Rechenzentrum, möglichst mit eigener Verschlüsselung und klarer Zugriffskontrolle.
- Operative Geschäftsdaten: Häufig ideal in einer europäischen Private-Cloud- oder Hybrid-Lösung (z. B. Nextcloud, Open-Source-Dienste im Rechenzentrum). Einen Einstieg in solche Ansätze finden Sie auf unserer Seite Cloud & Self-Hosting.
- Unkritische Workloads: Hier können Hyperscaler oder spezialisierte SaaS-Dienste weiterhin sinnvoll sein – solange Verträge, Verschlüsselung und Exit-Strategie passen.
Exit-Strategie & Fallback planen
- Regelmäßige, lokal lesbare Backups (nicht nur innerhalb desselben Cloud-Anbieters)
- Testweise Wiederherstellung in einer alternativen Umgebung (z. B. zweiter Hoster, On-Prem-Server)
- Dokumentierte Notfallpläne für Cloud-Ausfälle
Schritt für Schritt umsetzen
- Keine „Big Bang“-Migration, sondern priorisierte Roadmap
- Beginnen Sie dort, wo Risiko und Abhängigkeit heute am größten sind (z. B. E-Mail, Dateiablage, Passwort-Management).

Fazit: On-Prem war nie weg – aber Hybrid wird zum neuen Normal

Die Schweizer Entscheidung zeigt: Regulierer akzeptieren internationale Public Clouds nicht mehr als universelle Lösung für alle Datentypen. Sensible Daten brauchen technische und rechtliche Kontrolle – und die erreichen Sie nur, wenn Sie Ihre Infrastruktur aktiv gestalten.

On-Premises- und europäische Rechenzentrums-Lösungen sind keine Nostalgie, sondern ein strategischer Baustein für digitale Souveränität.
Hybrid-Architekturen verbinden diese Kontrolle mit der Flexibilität moderner Cloud-Dienste.
Reine „Alles-in-die-Cloud“-Strategien ohne Exit-Plan werden in den nächsten Jahren zunehmend schwer begründbar sein – fachlich wie regulatorisch.

dreherIT unterstützt Sie dabei, eine solche Hybrid-Strategie zu entwickeln und umzusetzen – mit einem klaren Fokus auf europäische Rechenzentren, Open-Source-Lösungen und digitale Souveränität.

dreherIT – Lösungen, die weiterdenken.
Damit Ihre Daten dort bleiben, wo sie hingehören: unter Ihrer Kontrolle.

Ist Ihre Cloud-Strategie hybrid und souverän?

Wir analysieren gemeinsam mit Ihnen, wo heute unnötige Abhängigkeiten von Hyperscalern bestehen – und wie Sie mit einer Hybrid-Architektur aus eigener Infrastruktur und europäischem Rechenzentrum wieder mehr Kontrolle gewinnen.

VPN am Limit: Warum Zero-Trust zum neuen Sicherheitsstandard wird

Frank Dreher — Tue, 11 Nov 2025 16:16:36 +0000

Die Arbeitswelt hat sich in wenigen Jahren grundlegend gewandelt: Teams arbeiten flexibel von zuhause, von mobilen Geräten oder aus verteilten Niederlassungen. Anwendungen liegen längst nicht mehr ausschließlich im eigenen Rechenzentrum, sondern zunehmend in europäischen Cloud-Diensten wie Microsoft 365 oder Google Workspace. Gleichzeitig haben sich die Bedrohungen professionalisiert – Angriffe zielen heute gezielt auf Identitäten, Endgeräte und Netzwerkzugänge.

Diese Realität stellt klassische VPN-Infrastrukturen vor ein Problem. Das Modell, das jahrzehntelang als Standard galt, stößt erkennbar an seine Grenzen. Deshalb etablieren Unternehmen weltweit einen alternativen Ansatz: Zero-Trust-Networking. In diesem Artikel zeigen wir, warum klassische VPNs nicht mehr ausreichen – und weshalb Zero-Trust der logische nächste Schritt ist.

Warum klassische VPNs ihre Schutzwirkung verlieren

Das traditionelle VPN-Modell basiert auf einer Grundannahme, die heute nicht mehr zutrifft: Wer sich mit dem VPN verbindet, gilt automatisch als vertrauenswürdig. Nach erfolgreichem Login erhält ein Nutzer Zugriff auf große Teile des internen Netzwerks – unabhängig davon, ob er sich gerade im Büro, im Homeoffice oder in einem öffentlichen WLAN befindet.

Dieses Modell erzeugt mehrere Sicherheitsprobleme:

1. Breite Netzsicht („Lateral Movement“)

Sobald ein Angreifer ein einziges Gerät kompromittiert oder Zugangsdaten erbeutet, kann er sich im internen Netzwerk seitlich bewegen. Diese Bewegungen sind schwer zu erkennen und zählen zu den häufigsten Mustern bei Ransomware-Angriffen.

2. Zentrale Schwachstellen am VPN-Gateway

VPN-Gateways sind ein attraktives Ziel. Bleiben Sicherheitsupdates aus oder treten Schwachstellen in VPN-Clients auf, kann ein einziges Gerät zum Einstiegspunkt für Angreifer werden.

3. Unnötige Latenz bei Cloud-Diensten

Da der gesamte Verkehr über einen zentralen Tunnel geführt wird, entstehen unnötig lange Wege („Backhauling“). Das bremst moderne Cloud-Anwendungen sichtbar aus – insbesondere Videokonferenzen und Kollaborationstools.

4. Hoher administrativer Aufwand

Zertifikate, statische IP-Freigaben, manuelle Firewall-Regeln und verschiedene Client-Versionen sorgen für Komplexität. Fehler an dieser Stelle sind einer der häufigsten Gründe für Sicherheitsvorfälle.

VPNs wurden für ein anderes Zeitalter entwickelt – eines mit stationären Arbeitsplätzen und klaren Netzwerkgrenzen. Genau diese Grenzen verschwimmen heute.

Zero-Trust: Sicherheit beginnt nicht beim Netzwerk, sondern bei Identität

Zero-Trust-Networking bricht mit der alten Logik des Netzwerkvertrauens. Statt einem „Alles oder nichts“-Zugriff stellt Zero-Trust jede einzelne Verbindung in Frage. Das zugrunde liegende Prinzip lautet:

„Vertraue nichts und niemandem. Überprüfe jeden Zugriff – immer.“

Der Zugriff richtet sich nicht nach der Netzwerkposition, sondern nach:

Identität des Nutzers
Sicherheitszustand des Geräts
Kontext (Ort, Uhrzeit, Risikoindikatoren, Verhalten)
konkreter Anwendung, nicht dem gesamten Netzwerk

Damit entsteht ein Sicherheitsmodell, das exakt auf moderne Arbeitsumgebungen zugeschnitten ist.

Wie Zero-Trust in der Praxis funktioniert

Ein Zero-Trust-System prüft jede Verbindung nach drei Schritten:

1. Identität prüfen

Nutzer müssen sich eindeutig ausweisen – idealerweise per Multi-Faktor-Authentifizierung.

2. Geräte-Compliance prüfen

Nur Geräte, die definierte Sicherheitsrichtlinien erfüllen (z. B. Verschlüsselung, aktuelles Patch-Level), erhalten Zugriff.

3. Zugriff auf konkrete Anwendungen erlauben

Der Zugriff erfolgt nicht mehr auf das gesamte LAN, sondern gezielt auf die benötigten Anwendungen. Dadurch entfällt die breite Netzsicht vollständig.

Das minimiert die Angriffsfläche erheblich und verhindert, dass ein einzelnes kompromittiertes Gerät zum Risiko für das gesamte Unternehmen wird.

Welche Vorteile Zero-Trust Unternehmen bietet

Zero-Trust-Networking adressiert zentrale Schwächen klassischer VPN-Modelle und schafft gleichzeitig eine Grundlage für moderne, verteilte Arbeitsformen.

Die wichtigsten Vorteile auf einen Blick:

Sicherer Zugriff von überall
Homeoffice, Außendienst und Niederlassungen arbeiten stabil ohne VPN-Abbrüche.
Klare Zugangskontrolle statt breiter Netzsicht
Jeder Zugriff ist identitäts- und kontextbasiert. Laterale Bewegungen werden verhindert.
Weniger Komplexität im Betrieb
Keine Zertifikatsdateien, keine statischen Freigaben, deutlich weniger Konfigurationsaufwand.
Optimale Performance für Cloud-Anwendungen
Direkter Zugriff statt Umweg durch einen VPN-Konzentrator.
Nachvollziehbarkeit und Compliance
Alle Zugriffe sind eindeutig dokumentiert – hilfreich für Datenschutz und Audits.
Geeignet für hybride Teams und moderne Arbeitsmodelle
Zero-Trust unterstützt flexible Zusammenarbeit ohne Sicherheitsabstriche.

Fazit: Zero-Trust ist der notwendige Schritt nach dem VPN-Zeitalter

Die Risiken klassischer VPNs sind kein technisches Detail, sondern eine strategische Herausforderung. Die Art, wie Unternehmen arbeiten, hat sich verändert – ihre Sicherheitsarchitektur muss sich ebenfalls weiterentwickeln. Zero-Trust-Networking bietet einen Ansatz, der unmittelbar zu dieser Realität passt: Identitätsbasiert, flexibel, nachvollziehbar und deutlich sicherer als ein herkömmlicher VPN-Tunnel.

Für Unternehmen, die ihre Infrastruktur modernisieren möchten, ist Zero-Trust keine Option für „später“, sondern eine sinnvolle und langfristig notwendige Weiterentwicklung.

Wenn Sie wissen möchten, wie ein Zero-Trust-Ansatz in Ihrer Infrastruktur aussehen kann, beraten wir Sie gerne und zeigen mögliche Wege auf.

Ist Ihre 3-2-1-Strategie schon Realität?

Wir sorgen dafür, dass Ihr Backup-Konzept im Ernstfall auch funktioniert. Schnell, zuverlässig und garantiert wiederherstellbar.

Was ist die 3-2-1(+1+0) Backup-Strategie und warum ist sie überlebenswichtig?

Frank Dreher — Mon, 10 Nov 2025 12:13:56 +0000

Hoffen ist kein Backup-Plan.

Jede Festplatte kann ausfallen, jeder Klick ein Fehler sein. Die echten Risiken lauern aber tiefer: Ransomware jagt gezielt Ihre Backups, und ein einfacher Cloud-Sync (wie OneDrive oder Nextcloud) ist kein Backup – er synchronisiert auch die Verschlüsselung durch einen Hacker oder das versehentliche Löschen.

Key-Pain-Points (Boxen oder Icons):

Vergessene Laptops: 70% der Datenverluste in Unternehmen passieren auf Endgeräten im Homeoffice oder Außendienst.
Sync ≠ Backup: OneDrive & Co. schützen nicht vor Ransomware oder versehentlichem Löschen, da sie Änderungen mitsynchronisieren.
Ransomware-Gefahr: Angreifer zerstören zuerst die Backups, bevor sie die Live-Daten verschlüsseln.
Ungetestete Restores: Ein Backup, dessen Wiederherstellung nie getestet wurde, ist kein Backup. Es ist nur eine Hoffnung.

Die Lösung: Die 3-2-1(+1+0)-Strategie

Die alte „3-2-1-Regel“ (3 Kopien, 2 Medien, 1 Extern) ist eine gute Basis, aber gegen moderne Bedrohungen wie Ransomware reicht sie nicht mehr aus.

Deshalb liefern wir die moderne 3-2-1(+1+0)-Strategie. Die (+1) und (+0) sind die entscheidenden „Service-Add-ons“, die wir für Sie managen – sie garantieren, dass Ihr Backup nicht nur existiert, sondern im Ernstfall auch sicher und brauchbar ist.

Die Aufschlüsselung unseres Services:

3 Kopien: Wir sorgen dafür, dass Sie neben Ihren Livedaten zwei weitere Backup-Kopien besitzen.
2 Medien: Diese Kopien liegen auf unterschiedlichen Medien (z. B. eine lokale Appliance für Speed, ein Cloud-Speicher für Sicherheit).
1 Extern (Offsite): Mindestens eine Kopie ist immer außer Haus (Offsite), sicher vor lokalen Katastrophen wie Feuer oder Diebstahl.

… und hier beginnt unser Service-Versprechen:

(+1) Unveränderlich (Immutable): Das ist Ihr wichtigster Schutz gegen Ransomware. Wir nutzen standardmäßig S3 Object Lock (Compliance Mode). Das bedeutet: Ihre Offsite-Backups sind für eine definierte Frist absolut unlöschbar und unüberschreibbar. Selbst ein Angreifer mit vollem Admin-Zugriff (oder wir selbst) kann diese Sicherungen nicht manipulieren.
(+0) Fehler (Verifiziert): Ein Backup ist wertlos, wenn der Restore fehlschlägt. Wir führen regelmäßige, automatisierte Wiederherstellungstests durch und protokollieren diese. Sie erhalten den Nachweis, dass Ihre Daten sicher und wiederherstellbar sind.

Ihr Schutzschild nach Maß: Unsere BaaS-Module

Stellen Sie sich Ihren Schutz aus unseren gemanagten Kern- und Zusatzmodulen zusammen.

Modul 1: Server Protect (Das Fundament)

Sicherung Ihrer zentralen Infrastruktur – ob virtuell, physisch oder containerisiert.

Was wird gesichert: VMs, Container, Datenbanken, Fileserver, Anwendungsdaten (z. B. Nextcloud).
Unser technischer Vorteil: Wir sind spezialisiert auf Proxmox und nutzen den Proxmox Backup Server (PBS) für native, hocheffiziente VM-Sicherungen. Für Datei- und DB-Backups setzen wir auf quelloffene, end-to-end verschlüsselte Tools (z. B. restic/kopia-Basis).

Modul 2: Endpoint Protect (Das Laptop-Add-on)

Sichern Sie die vergessenen „Dateninseln“ Ihrer Schlüsselmitarbeiter.

Was wird gesichert: Gezielte Sicherung von Laptops und Desktops (Geschäftsführung, Vertrieb, Homeoffice).
Pakete: Wahlweise als „EDP-Light“ (Desktop, Dokumente) oder „EDP-Plus“ (inkl. Mail-Profilen etc.). Funktioniert auch von unterwegs, direkt in die Cloud.

Modul 3: SaaS Protect (Das Cloud-Add-on)

Ihre Daten in der Cloud (z. B. Microsoft 365) gehören Ihnen – das Backup ist Ihre Verantwortung.

Was wird gesichert: Microsoft 365 (Exchange Online, SharePoint, OneDrive).
Warum: Schutz vor versehentlichem Löschen durch Mitarbeiter, internen Risiken oder Ausfällen, die Microsoft nicht abdeckt. Hierfür nutzen wir marktführende, spezialisierte Werkzeuge.

Der dreherIT-Vorteil: Transparent, Effizient, Sicher.

Wir konkurrieren nicht über bunte Logos, sondern über technische Sauberkeit.

Lizenzkosten-Effizienz Wir setzen auf einen optimierten, quelloffenen Technologie-Stack, wo immer es sinnvoll ist. Statt auf teure All-in-One-Lizenzen zu setzen, die für Ihren Bedarf (z. B. Proxmox) unpassend sind, zahlen Sie bei uns für die gemanagte Dienstleistung – nicht für überflüssige Software-Pakete.
Technologie-Spezialist statt Generalist Wir sind Experten für Proxmox-Umgebungen. Unsere Expertise mit dem Proxmox Backup Server (PBS) und modernen Tools wie restic bedeutet für Sie eine technisch saubere, native Integration statt langsamer Agenten-Workarounds, die andere Anbieter nutzen würden.
Sicherheit als Standard, nicht als Extra Unser (+1)-Versprechen ist keine Marketing-Floskel: S3 Object Lock im Compliance Mode ist bei uns Standard für Offsite-Backups. Das ist eine technische Garantie für Unveränderbarkeit. Fragen Sie andere Anbieter, ob sie das standardmäßig liefern.

Ist Ihre 3-2-1-Strategie schon Realität?

Wir sorgen dafür, dass Ihr Backup-Konzept im Ernstfall auch funktioniert. Schnell, zuverlässig und garantiert wiederherstellbar.

Online-Passwortmanager und HNDL: Ihr digitaler Generalschlüssel auf Abruf?

Frank Dreher — Fri, 07 Nov 2025 00:15:51 +0000

Im ersten Teil „Die tickende Zeitbombe in der Cloud“ haben wir das „Harvest Now, Decrypt Later“ (HNDL)-Risiko für allgemeine Cloud-Daten beleuchtet. Im zweiten Teil wenden wir dieses Prinzip auf das wohl sensibelste Gut an, das viele Nutzer der Cloud anvertrauen: ihre Passwörter.

Online-Passwortmanager wie Bitwarden, 1Password oder LastPass sind ein großer Sicherheitsgewinn. Sie lösen das „Ein-Passwort-für-alles“-Problem und ermöglichen für jeden Dienst einzigartige, komplexe Zugangsdaten. Gleichzeitig konzentrieren sie jedoch alle „Generalschlüssel“ an einem einzigen Ort – häufig in der Cloud.

Das „Zero-Knowledge“-Versprechen

Nahezu alle Cloud-Passwortmanager werben mit einem „Zero-Knowledge“-Modell. Das bedeutet: Alle Daten werden lokal auf Ihrem Gerät (Client-Side Encryption) mit Ihrem Master-Passwort verschlüsselt, bevor sie überhaupt an den Server des Anbieters gesendet werden.

Der Anbieter speichert nach eigener Aussage nur einen verschlüsselten „Daten-Blob“, den er selbst nicht entschlüsseln kann. Gegen heutige Angriffe ist das – bei starkem Master-Passwort und moderner Schlüsselausdehnung (z.B. Argon2, PBKDF2 mit hohen Iterationen) – in aller Regel ein sehr hohes Sicherheitsniveau.

HNDL: Wenn der „Daten-Blob“ zur Zeitkapsel wird

Das HNDL-Szenario stellt eine zusätzliche Perspektive dar: Die eigentliche Gefahr ist nicht, dass der Anbieter heute mitliest, sondern dass Angreifer den vollständig verschlüsselten Tresor kopieren und für die Zukunft aufbewahren.

Der Sicherheitsvorfall bei LastPass 2022 hat dieses Szenario real gemacht: Angreifer erbeuteten verschlüsselte Passwort-Tresore (Vaults) von Kunden. Für Vaults mit schwachen Master-Passwörtern oder wenig robusten KDF-Einstellungen musste man davon ausgehen, dass sie mit genügend Zeit und Rechenleistung angreifbar sind.

Die HNDL-Strategie folgt dabei zwei Schritten:

Harvest (jetzt sammeln): Der verschlüsselte Tresor wird kopiert und gespeichert. Aktuell ist er – bei starken Passwörtern – kaum zu knacken.
Decrypt Later (später entschlüsseln): Über Jahre oder Jahrzehnte können Angreifer mit immer stärkeren Ressourcen (z.B. spezialisierter Hardware oder neuen Angriffsverfahren) versuchen, diesen Tresor offline zu entschlüsseln (und scheinen diese mittlerweile zu knacken).

Zwei Wege zur Entschlüsselung in der Zukunft

Für gestohlene Tresore sind insbesondere zwei Vektoren relevant:

1. Brute-Force des Master-Passworts

Die zentrale Hürde ist die Stärke Ihres Master-Passworts und die Konfiguration der Schlüsselausdehnungsfunktion (z.B. Argon2, PBKDF2). Je schwächer das Passwort oder je niedriger die KDF-Parameter, desto realistischer wird ein erfolgreicher Brute-Force-Angriff – heute oder in einigen Jahren. Beim LastPass-Hack warnten Experten, dass Tresore mit schwachen Passwörtern als kompromittiert gelten müssen.

2. Künftige Kryptografie-Brüche (z.B. Quantencomputer)

Langfristig kommt ein zweiter Aspekt hinzu: Wenn künftige Angreifer in der Lage sind, heute verwendete Algorithmen oder deren Implementierung zu brechen (z.B. durch leistungsfähige Quantencomputer oder neue Krypto-Schwachstellen), kann ein historisch abgegriffener Tresor rückwirkend wertvoll werden – unabhängig davon, ob das Master-Passwort stark war.

Das Risiko ist hier höher als bei vielen „normalen“ Cloud-Speichern: Wird ein Passwort-Tresor kompromittiert, geht es nicht um einzelne Dokumente, sondern potenziell um den Zugang zu Ihrem gesamten digitalen Leben – E-Mail-Konten, Finanzzugänge, Unternehmensanwendungen, Identitäten.

Datensouveränität, Updates und Risikoappetit

Cloud-Passwortmanager sind ein Komfort-Sicherheitskompromiss: Sie erhöhen die Sicherheit gegenüber „Zettelwirtschaft“ und Mehrfachpasswörtern massiv, bündeln aber alle Schlüssel bei einem zentralen Dienstleister. Dieser wird damit zu einem attraktiven Ziel – technisch und (im Falle von US-Anbietern) auch juristisch.

Für die strategische Entscheidung spielen drei Faktoren zusammen:

Kryptografie & Implementierung
Starke Standard-Algorithmen, Zero-Knowledge-Architektur, korrekt konfigurierte KDFs und regelmäßige Updates sind Pflicht – unabhängig vom Betriebsmodell.
Juristischer Rahmen & Datensouveränität
Bei US-Anbietern (auch mit EU-Rechenzentren) bleibt das Restrisiko des US CLOUD Act bestehen: Ein verschlüsselter Daten-Blob kann rechtlich eingefordert und langfristig gespeichert werden – selbst wenn der Anbieter ihn nicht entschlüsseln kann. Für viele Unternehmen ist dieses Risiko akzeptabel, für manche (z.B. bestimmte Berufsgeheimnisträger, KRITIS-nahe Bereiche) nicht.
Operative Fähigkeiten & Delegationswunsch
Wer maximale Souveränität möchte, muss entweder selbst in gehärtete Infrastruktur, Zero-Trust-Zugänge, Monitoring und Backups investieren – oder diese Aufgaben an einen spezialisierten Dienstleister delegieren.

Optionen jenseits des reinen Cloud-Modells

Cloud-Passwortmanager sind ein Kompromiss: Sie bieten enormen Komfort, aber der Preis ist die Übergabe des „Generalschlüssels“ an einen zentralen Dienstleister, der zum perfekten HNDL-Ziel wird.

Je nach Schutzbedarf, Compliance-Vorgaben und Risikoappetit kommen unterschiedliche Betriebsmodelle in Frage:

Self-Hosting-Lösungen:
Open-Source-Varianten (z.B. Bitwarden-kompatible Server) können auf eigener Infrastruktur betrieben werden. Die Tresore verlassen in diesem Modell – auch in verschlüsselter Form – nicht die eigenen oder vertraglich klar kontrollierten Systeme.
Hybride & lokale Passwortmanager:
Moderne Passwortmanager speichern die Datenbank primär lokal und bieten Funktionen wie Gruppenverwaltung und Tagging. Die Synchronisation kann über eigene Dienste erfolgen – z.B. per WebDAV, Nextcloud oder einen dedizierten, selbst betriebenen Sync-Dienst.
Klassische Offline-Tools:
Lösungen wie KeePass speichern die Passwortdatenbank als lokale Datei. Die volle Verantwortung für Sicherung, Versionierung und sicheren Zugriff liegt beim Nutzer (z.B. über verschlüsselte USB-Sticks oder einen sicheren internen Speicherort).

Unser Fazit: Komfort vs. Souveränität bewusst entscheiden

Die HNDL-Bedrohung zeigt, dass sich maximale Bequemlichkeit und maximale Langzeitsicherheit bei der Passwortverwaltung nicht vollständig zur Deckung bringen lassen. Es bleibt eine bewusste Risikoentscheidung:

Für viele Unternehmen ist ein professioneller Cloud-Passwortmanager mit starker Kryptografie, sauber konfigurierten Sicherheitsparametern und klaren Prozessen der beste Weg.
Für Organisationen mit erhöhtem Schutzbedarf oder strengem Souveränitätsanspruch kann ein souverän betriebenes oder gemanagtes Self-Hosting-Modell die stimmigere Wahl sein.

Genau diesen Spagat zwischen Komfort und Datensouveränität lösen wir für Sie – mit der für Ihren Kontext passenden technischen Lösung und, auf Wunsch, mit gezielten Schulungen für Ihre Mitarbeitenden.

Schluss mit dem Passwort-Chaos

Wir liefern die passende, sichere Lösung für Ihr Unternehmen: Ob als selbst-gehosteter Passwort-Safe für volle Kontrolle oder als rundum-sorglos Service in unserem Abo.

Die tickende Zeitbombe in der Cloud: Warum “Harvest Now, Decrypt Later” (HNDL) Hyperscaler zum Risiko macht

Frank Dreher — Thu, 30 Oct 2025 13:14:39 +0000

Cloud-Dienste, insbesondere die der großen Hyperscaler, gelten als Inbegriff für Skalierbarkeit, Kosteneffizienz und Bequemlichkeit. Doch hinter dieser Fassade verbirgt sich ein strategisches, langfristiges Risiko, das oft übersehen wird: „Harvest Now, Decrypt Later“ (HNDL).

Dieser Beitrag beleuchtet, warum gerade die zentrale Speicherung von Daten bei Cloud-Anbietern im Licht dieser Bedrohung kritisch gesehen werden muss – und in welchen Fällen die Cloud trotz HNDL-Risiko weiterhin sinnvoll sein kann.

Was ist “Harvest Now, Decrypt Later” (HNDL)?

Die HNDL-Strategie ist einfach und geduldig: Angreifer, häufig staatliche Akteure oder gut ausgestattete Organisationen, sammeln und speichern heute massenhaft verschlüsselte Daten.

Sie tun dies in der klaren Erwartung, dass zukünftige technologische Durchbrüche – allen voran die Entwicklung leistungsfähiger Quantencomputer – es ihnen ermöglichen werden, diese heute als sicher geltende Verschlüsselung zu brechen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) beschreibt dieses Szenario als ernste Bedrohung für die Langzeitsicherheit klassischer Kryptografie (siehe BSI-Position zu Quantentechnologien).

Wann solche Quantencomputer tatsächlich zur Verfügung stehen, ist nicht sicher. Seriöse Schätzungen reichen von rund zehn bis über dreißig Jahre. Für Daten, die über Jahrzehnte hinweg vertraulich bleiben müssen, reicht diese Zeitspanne jedoch aus, um HNDL bereits heute als strategisches Risiko zu bewerten.

Besonders kritisch sind daher Daten, die langfristig sensibel bleiben: persönliche Informationen, Gesundheits- und Finanzdaten, vertrauliche Geschäftsstrategien, Forschungsdaten oder schutzwürdige staatliche Informationen.

Nicht alle Daten sind gleich kritisch

Wichtig ist die Unterscheidung der Datenklassen:

Kurzlebige oder zeitlich begrenzt sensible Daten (z.B. bestimmte operative Logdaten oder Kampagnen-Reports) verlieren nach einigen Jahren oft einen Großteil ihres Schutzbedarfs. Hier können die Vorteile der Cloud – Skalierbarkeit, Innovation, geringere Einstiegskosten – trotz HNDL-Risiko überwiegen.
Langfristig vertrauliche Daten (z.B. Personalakten, Patientendaten, IP, F&E-Ergebnisse, strategische Verträge) behalten ihren Wert und ihre Sensibilität über Jahrzehnte. Genau für diese Daten verschiebt HNDL die Risikobilanz deutlich zu Ungunsten einer unreflektierten Cloud-Nutzung.

Wer Verantwortung für Informationssicherheit übernimmt, muss daher zuerst klären, welche Daten wirklich langfristig vertraulich bleiben müssen – und diese Daten besonders schützen.

Warum die Cloud das perfekte Ziel für HNDL ist

Wenn man HNDL als reale Bedrohung anerkennt, wird die Nutzung von Cloud-Diensten, insbesondere von Hyperscalern, aus mehreren Gründen problematisch:

Zentrale Datensilos
Cloud-Plattformen sind riesige, zentrale Datensammlungen. Sie sind ein beliebtes und lohnendes Ziel, da Angreifer hier Millionen verschlüsselter Datensätze auf einmal abgreifen können. Schon einzelne erfolgreiche Angriffe liefern Angreifern genug „Material“, um es für zukünftige Entschlüsselungsversuche zu archivieren.

Verlust der Kontrolle
Als Nutzer gibt man seine Daten in die Hände eines Dritten. Man verliert die Kontrolle über die physische und logische Infrastruktur und weiß oft nicht, wie viele Kopien (Backups, Snapshots, Replikationen) existieren, wo sie gespeichert sind oder wie lange sie aufbewahrt werden. Jede zusätzliche Kopie verlängert das Zeitfenster, in dem HNDL-Angriffe potenziell erfolgreich sein können.

Langfristige Speicherung (auch unbeabsichtigt)
Daten in der Cloud können über Jahre in Backups verbleiben, selbst nach einer vermeintlichen Löschung. Für HNDL spielt es keine Rolle, ob ein Datensatz aktiv genutzt wird – entscheidend ist, dass irgendwo eine verschlüsselte Kopie überdauert.

Staatlicher Zugriff (z.B. CLOUD Act)
Anbieter mit Sitz in den USA unterliegen Gesetzen wie dem US CLOUD Act. Dieses Gesetz erlaubt es US-Behörden, Zugriff auf gespeicherte Daten zu verlangen, selbst wenn diese in europäischen Rechenzentren liegen. Selbst bei starker Verschlüsselung können Metadaten, Schlüsselmanagement, Integrationspunkte oder juristisch erzwungene technische Maßnahmen zusätzliche Risiken schaffen – und das steht im Spannungsfeld zur europäischen DSGVO und zum Anspruch auf digitale Souveränität.

Falsche Sicherheit: Argumente, die bei HNDL versagen

Im Kontext von HNDL verlieren gängige Sicherheitsversprechen einen Teil ihrer Überzeugungskraft:

„Aber meine Daten sind doch stark verschlüsselt!“
Ja, aber nur mit heutigen Algorithmen. HNDL ist eine Wette darauf, dass genau diese Verfahren (z.B. RSA oder ECC) durch zukünftige Quantencomputer langfristig brechbar sind. Was heute sicher ist, kann morgen rückwirkend entschlüsselt werden.

„Wir nutzen einen Zero-Knowledge-Anbieter.“
„Zero-Knowledge“ ist oft nur ein Versprechen auf Produktebene. Selbst wenn konsequent umgesetzt, können Metadaten, Indexe oder Zugriffsmuster Rückschlüsse zulassen. Zudem bleibt die Frage, ob wirklich alle Komponenten – inklusive Backups, Suchindizes und Telemetrie – durchgängig nach Zero-Knowledge-Prinzipien gestaltet sind.

„Komfort ist uns wichtiger.“
Das ist eine legitime Geschäftsentscheidung. Aber Komfort darf nicht über Vertraulichkeit gestellt werden, wenn es um langfristig sensible Daten geht. Wer HNDL ignoriert, trifft eine implizite Wette auf die Zukunft der Kryptografie – mit möglichen Folgen in 10, 20 oder 30 Jahren.

Maßnahmen: Krypto-Agilität, PQC und Architektur

Die Bedrohung durch HNDL ist real, auch wenn der genaue Zeitpunkt der praktischen Angriffe noch unklar ist. Wer heute Verantwortung für Daten mit langfristiger Vertraulichkeit übernimmt, muss die Bequemlichkeit der Cloud gegen das Risiko der zukünftigen Entschlüsselung abwägen.

Dazu gehören insbesondere:

Krypto-Agilität
Unternehmen müssen in der Lage sein, kryptografische Verfahren zu wechseln: Schlüssel rotieren, Protokolle anpassen, Algorithmen aktualisieren. Starre Systeme, die einmal „fest verschlüsselt“ wurden und dann zehn oder mehr Jahre unverändert laufen, sind im HNDL-Szenario besonders gefährdet.

Post-Quanten-Kryptografie (PQC)
Die wichtigste technische Antwort auf HNDL ist die Einführung von post-quanten-sicheren Verfahren. Das BSI und internationale Gremien empfehlen bereits dringend, die Migration zu PQC vorzubereiten. Standardisierungsprozesse – etwa beim NIST – laufen, und große Cloud-Anbieter arbeiten daran, entsprechende Bausteine in ihre Plattformen zu integrieren.

Dennoch gilt: Die Bereitstellung von PQC-Bausteinen durch Hyperscaler entlässt Unternehmen nicht aus der Verantwortung. Anwendungen, Datenflüsse, Schlüssel- und Backup-Konzepte müssen aktiv auf PQC und Krypto-Agilität ausgerichtet werden. Bereits heute abgegriffene, klassisch verschlüsselte Daten werden durch spätere PQC-Einführung nicht automatisch sicher.

Architektur- und Standortentscheidungen
Neben der Kryptografie spielt die Architektur eine zentrale Rolle: Wo liegen die besonders sensiblen Langzeitdaten? Wie viele Kopien existieren? Unter welcher Jurisdiktion stehen Speicherorte und Betreiber? Je zentralisierter, globaler und intransparenter eine Datenhaltung ist, desto attraktiver ist sie als Ziel für HNDL.

Fazit: Wo die Cloud passt – und wo Self-Hosting überlegen ist

Cloud-Dienste bieten enorme Vorteile und können – insbesondere für kurzlebige oder weniger kritische Daten – weiterhin eine sinnvolle Option sein. Wer jedoch Daten verarbeitet, die über Jahrzehnte hinweg vertraulich bleiben müssen, kann das HNDL-Risiko nicht ignorieren.

Gerade für hochsensible Langzeitdaten stellt sich daher die Frage, ob eine unreflektierte Cloud-Nutzung überhaupt tragbar ist – oder ob Self-Hosting und volle Kontrolle über die eigene Infrastruktur für diese Datenklasse der einzig verantwortbare Weg zur echten Datensouveränität sind.

Die zentrale Aufgabe für Unternehmen lautet: Daten klassifizieren, Risiken ehrlich bewerten und Architektur sowie Kryptografie so gestalten, dass sie auch der Welt von morgen standhalten – nicht nur der von heute.