Acronis Cyber Protect 16 (On-Prem)

Acronis Cyber Protect 16 ist die On-Premise-Variante der Cyber-Protection-Plattform — gedacht für Unternehmen, die ihre Backup-Infrastruktur vollständig im eigenen Datacenter betreiben möchten und strikte Datenresidenz- oder Air-Gap-Anforderungen haben. Die Software unterstützt physische Server, virtuelle Maschinen (VMware vSphere, Microsoft Hyper-V, Nutanix AHV, Citrix XenServer, Oracle Linux KVM, Red Hat Virtualization, Scale Computing HC3), Endpunkte (Windows, macOS, Linux) und Anwendungen (Microsoft SQL Server, Exchange Server, SharePoint, Active Directory, Oracle Database).

Im DACH-Markt ist Cyber Protect 16 in drei typischen Szenarien stark vertreten. Erstens in regulierten Branchen mit strengen Datenresidenz-Anforderungen (Banken, Versicherungen, Verteidigung, kritische Infrastruktur nach BSI-KRITIS-Verordnung), die Cloud-Lösungen kategorisch ausschließen müssen. Zweitens bei Mittelständlern mit Air-Gap-Backup-Strategie, in der Backup-Repositories physisch vom Produktionsnetz getrennt sind — eine Empfehlung des BSI für Ransomware-Resilienz. Drittens bei Unternehmen mit großen On-Premise-Virtualisierungs-Farmen (VMware, Hyper-V), die ein zentrales Backup-Konzept benötigen, ohne ihre VMs in eine externe Cloud zu replizieren.

Single-Agent-Architektur (analog zur Cloud-Version): Cyber Protect 16 nutzt denselben einzelnen Agent für Backup, Anti-Malware, EDR (mit Advanced Security Modul), Patch-Management und Remote Desktop. Auf einem Windows-Server oder einer VM laufen alle Funktionen gemeinsam, gesteuert durch eine einheitliche Policy. Die On-Premise-Management-Konsole (Management Server) wird in Ihrem Datacenter installiert und verwaltet Hunderte bis Zehntausende Agents zentral. AD-Integration, RBAC (Role-Based Access Control) und SAML-SSO sind Standard.

Image- und dateibasiertes Backup: Cyber Protect 16 unterstützt vollständige Image-Backups (Block-Level-Snapshot der gesamten Maschine) sowie selektives Datei-Backup. Inkrementelle und differenzielle Sicherungen reduzieren Speicher- und Netzwerkbedarf. Deduplication auf Quell- und Zielseite, integrierte Komprimierung und AES-256-Verschlüsselung sind aktivierbar. Backup-Daten können auf lokalen Disks, in NAS/SAN-Systemen, auf LTO-Tape-Libraries (LTO-7/8/9), in privaten Object-Storage-Systemen (S3-kompatibel, Wasabi, MinIO) oder optional in der Acronis Cloud abgelegt werden — auch hybride Zielarchitekturen sind möglich.

Active Protection — Anti-Ransomware: Active Protection ist eine verhaltensbasierte ML-Engine, die Prozesse in Echtzeit auf typische Ransomware-Muster überwacht (Massen-Verschlüsselung von Nutzerdaten, Schattenkopien-Löschen, Angriffe auf Backup-Dateien). Bei Erkennung wird der Prozess terminiert und kürzlich modifizierte Dateien werden aus einem geschützten Cache wiederhergestellt. Die Engine ist Teil des Backup-Agents und schützt insbesondere die Backup-Repositories vor Manipulation — ein zentraler Baustein der BSI-Grundschutz-konformen Backup-Strategie.

Advanced Security + EDR (optional): Mit dem Advanced Security Paket wird der Agent um Endpoint-Detection-and-Response erweitert. Erkannte Events werden auf MITRE ATT&CK gemappt, in einer Attack-Chain-Visualisierung dargestellt und können automatisiert beantwortet werden — Endpunkt-Isolation, Prozess-Terminierung, Rollback aus dem letzten sauberen Backup. URL-Filterung, Exploit Prevention und kontextbasierte Threat Feeds gehören zum Funktionsumfang. Für DACH-Mittelständler ohne eigenes SOC bietet sich die Integration mit Sora Yazılım Managed-Detection-Services an.

Anwendungs-Backup: Cyber Protect 16 unterstützt Application-Aware-Backup für Microsoft SQL Server (alle Versionen ab SQL 2008, Always-On Availability Groups, AlwaysOn FCI), Exchange Server (DAG, einzelnes Postfach, einzelne E-Mail), SharePoint, Active Directory (System State + Granular Restore für Benutzer, Gruppen, GPOs) und Oracle Database (RMAN-Integration sowie DB-bezogene Sicherung). Item-Level-Restore ermöglicht das Wiederherstellen einzelner E-Mails, einzelner SharePoint-Dokumente oder einzelner AD-Objekte ohne vollständige Datenbank-Wiederherstellung — ein wesentlicher Vorteil im Audit- und Compliance-Kontext.

Virtualisierungs-Backup: Für VMware vSphere unterstützt Cyber Protect 16 sowohl agenten-basierte als auch agentenlose Backups (über vSphere API for Data Protection / VADP). CBT (Changed Block Tracking) reduziert inkrementelle Backups auf Sekunden. Instant Restore bootet eine VM direkt aus dem Backup-Repository, sodass RTO im Minutenbereich erreicht wird; im Hintergrund läuft die Storage-vMotion-Migration auf produktiven Storage. Hyper-V wird mit ähnlichem Funktionsumfang unterstützt, einschließlich Hyper-V Replica und Failover-Cluster.

Tape- und Air-Gap-Backup: Cyber Protect 16 integriert nativ LTO-Tape-Libraries (HPE StoreEver, Quantum Scalar, IBM TS-Serie und vergleichbare). Tape ist im DACH-Markt aus zwei Gründen relevant: Erstens als kostengünstiges Langzeit-Archiv für GoBD-konforme 10-Jahres-Aufbewahrung, zweitens als Air-Gap-Schicht — Tape-Cartridges werden nach dem Schreibvorgang physisch aus dem Drive entfernt und in einem Tresor gelagert, sodass selbst ein Ransomware-Angriff auf das produktive Netzwerk die Tape-Backups nicht erreichen kann. BSI-Grundschutz-Baustein CON.3 (Datensicherungskonzept) empfiehlt explizit eine 3-2-1-Strategie mit mindestens einer Offline-Kopie.

Universal Restore und Bare Metal Recovery: Ein Cyber Protect 16 Image-Backup kann auf abweichende Hardware oder in andere Virtualisierungs-Plattformen wiederhergestellt werden. Universal Restore tauscht beim Restore die hardwarespezifischen Treiber aus — Sie können also ein Backup eines physischen Servers in eine VMware-VM zurückspielen, ein VMware-Backup in Hyper-V starten oder einen abgestürzten Server auf einem neuen Hardware-Modell wieder in Betrieb nehmen. Bare Metal Recovery von einem bootfähigen Acronis-USB-Stick aus ist Standardprozess und wird von Sora Yazılım im Recovery-Test-Quartalsrhythmus verifiziert.

Compliance-Eignung für DACH: Cyber Protect 16 erfüllt DSGVO-Anforderungen an die Datenverarbeitung im eigenen Datacenter, BSI-Grundschutz-Bausteine zu Datensicherung (CON.3), Notfallmanagement (DER.2.1, DER.4) und kryptografischen Verfahren (CON.1), ISO 27001 Annex A.12.3 (Backups) sowie GoBD-Aufbewahrung über zehn Jahre. Für regulierte Branchen — KRITIS, Banken (BAIT, MaRisk), Versicherungen (VAIT), Gesundheitswesen (B3S), Automotive (TISAX) — liefert Sora Yazılım das Compliance-Mapping und unterstützt im Audit-Verfahren.

Sora Yazılım Operations für DACH: Als autorisierter Acronis #CyberFit-Partner liefert Sora Yazılım die Implementation, Konfiguration, Schulung und den laufenden Betrieb. Das umfasst Architektur-Design (3-2-1-Strategie mit Disk-Tier, Tape/Object-Storage und optional Cloud-Tier), Active-Directory-Integration, RBAC-Setup, Policy-Design je Workload-Klasse, Monitoring per Cyber Protect Cloud Monitor (optional), monatliche Health Reports, Recovery-Tests im Quartalsrhythmus und Notfallreaktion. Die Kommunikation erfolgt Sie-konform auf Deutsch; Runbooks und Berichte werden in deutscher Sprache geliefert.

Skalierbarkeit und Sizing für DACH-Konzerne: Ein einzelner Cyber Protect 16 Management Server verwaltet bis zu 8.000 Endpunkte; größere Umgebungen werden über mehrere Management Server in einer Föderation skaliert. Storage-Sizing erfolgt nach der Formel: Vollbackup-Größe + (inkrementelle Tagesänderungsrate × Retention-Tage) × (1 - Deduplication-Faktor). Typische Deduplication-Quoten liegen bei 30–70 % je nach Workload-Art (höher bei VDI/Office-Daten, niedriger bei verschlüsselten oder bereits komprimierten Daten). Sora Yazılım liefert auf Basis einer Pre-Sales-Discovery ein detailliertes Sizing-Dokument mit Storage-, Netzwerk- und Compute-Anforderungen für den Acronis Management Server, die Storage Nodes und die Agents.

Encryption-Konzept und Key-Management: Backup-Daten werden auf dem Client mit AES-256 verschlüsselt, bevor sie das Netzwerk verlassen — Acronis hat keinen Zugriff auf den Klartext. Encryption-Schlüssel werden entweder lokal verwaltet (durch den Acronis-Administrator) oder über externe Key-Management-Systeme (KMS) wie HashiCorp Vault, Thales CipherTrust oder Microsoft Azure Key Vault integriert. Für Banken und KRITIS-Betreiber, die nach BAIT, MaRisk oder dem IT-Sicherheitsgesetz 2.0 Hardware Security Module (HSM) für die Schlüsselverwaltung verlangen, unterstützt Cyber Protect 16 die Integration mit FIPS-140-2-Level-3-zertifizierten HSMs. Sora Yazılım gestaltet das Key-Management-Konzept passend zu Ihrem internen Schlüssel-Lifecycle-Prozess.

WORM- und Immutability-Speicherung für GoBD: GoBD-konforme Aufbewahrung verlangt, dass steuerrelevante Daten unverfälschbar gespeichert werden — Modifikation oder Löschung muss systemtechnisch ausgeschlossen sein. Cyber Protect 16 unterstützt mehrere WORM-fähige Storage-Architekturen: LTO-Tape mit WORM-Cartridges (LTO-7/8/9 WORM-Medien), S3-kompatibles Object-Storage mit Object Lock (Compliance-Mode), Acronis Cloud Archive mit Immutability-Periode bis zu 10 Jahren und dedizierte Storage-Appliances wie Dell EMC Data Domain oder HPE StoreOnce mit Retention Lock. Sora Yazılım stellt die GoBD-Verfahrensdokumentation für das Backup-System bereit — eine Pflichtdokumentation im Rahmen der Außenprüfung (Betriebsprüfung) durch das Finanzamt.

Recovery-Test-Methodik im Quartalsrhythmus: Sora Yazılım Operations beinhaltet quartalsweise Recovery-Tests. Im Quartal Q1 wird ein Full-Bare-Metal-Recovery eines kritischen Servers in einer isolierten Test-Umgebung getestet; in Q2 ein Granular-Restore einzelner Mailboxes und Datenbanken; in Q3 ein vollständiges DR-Failover (sofern DRaaS lizenziert); in Q4 ein Recovery-Test der archivierten 10-Jahres-Backups (Tape oder Object-Lock-Storage). Jeder Test produziert ein Testprotokoll mit Zeitstempel, Verantwortlichkeiten, beobachteten RPO/RTO-Werten und Lessons Learned — geeignet als Nachweis für BSI-, ISO-27001- und TISAX-Audits.

BAIT und MaRisk Anforderungen für Banken: Für deutsche Kreditinstitute regeln die BAIT (Bankaufsichtliche Anforderungen an die IT) und MaRisk (Mindestanforderungen an das Risikomanagement) detailliert, welche Anforderungen an die Datensicherung gestellt werden. BAIT-Abschnitt 6 fordert dokumentierte Sicherungs- und Wiederherstellungsverfahren, regelmäßige Tests, Aufbewahrungsfristen entsprechend der gesetzlichen Vorgaben und die physische Trennung von produktiven und sekundären Datenbeständen. Cyber Protect 16 erfüllt diese Anforderungen vollständig: Backup-Konsole getrennt vom produktiven Active Directory (separates Admin-Forest empfohlen), Tape-Tier in einem geographisch getrennten Tresor, Recovery-Tests dokumentiert. Sora Yazılım liefert das BAIT-konforme Backup-Verfahrenshandbuch als anpassbare Vorlage in deutscher Sprache.

VAIT und KAIT Erweiterungen: Versicherungsunternehmen unterliegen der VAIT (Versicherungsaufsichtliche Anforderungen an die IT), Kapitalverwaltungsgesellschaften der KAIT (Kapitalverwaltungsaufsichtliche Anforderungen an die IT). Beide Regelwerke spiegeln BAIT inhaltlich, ergänzen jedoch branchenspezifische Anforderungen wie das Outsourcing-Reporting bei externer Datenverarbeitung. Bei Nutzung von Cyber Protect 16 On-Premise entfällt die Outsourcing-Meldepflicht weitgehend, da keine Daten an externe Anbieter übermittelt werden — ein wesentlicher Compliance-Vorteil gegenüber rein cloud-basierten Backup-Lösungen.

BSI IT-Grundschutz Profil und Schutzbedarf: Im IT-Grundschutz-Prozess wird zunächst der Schutzbedarf jedes Datenbestandes festgestellt (normal, hoch, sehr hoch) — basierend auf den drei Grundwerten Vertraulichkeit, Integrität und Verfügbarkeit. Cyber Protect 16 unterstützt alle drei Schutzbedarfskategorien: Vertraulichkeit durch AES-256-Verschlüsselung und HSM-Integration; Integrität durch Notarization und Hash-Verifikation; Verfügbarkeit durch DRaaS, Instant Restore und Universal Restore. Sora Yazılım erstellt das IT-Grundschutz-konforme Sicherheitskonzept für das Backup-System als modularen Baustein in Ihrer Gesamt-ISMS-Dokumentation.

NIS2-Richtlinie Compliance: Die NIS2-Richtlinie (Network and Information Security Directive 2), die seit Oktober 2024 in deutsches Recht umgesetzt wird, verschärft die Anforderungen an Cybersicherheit für eine erweiterte Liste von Sektoren — darunter Versorger, digitale Infrastruktur, öffentliche Verwaltung, Gesundheitswesen, Hersteller und Forschung. Eine der zentralen NIS2-Anforderungen ist die Sicherstellung der Geschäftskontinuität und Notfallwiederherstellung. Cyber Protect 16 mit Advanced Disaster Recovery erfüllt die NIS2-Anforderungen an dokumentierte Backup-Strategien, getestete Wiederherstellungsverfahren, Meldewege bei Sicherheitsvorfällen und kontinuierliche Verbesserung der Resilienz. Sora Yazılım unterstützt NIS2-Audits mit Lückenanalyse, Maßnahmenplan und kontinuierlichem Compliance-Monitoring.

Migrationspfade von Konkurrenz-Lösungen: Sora Yazılım hat umfangreiche Erfahrung in der Migration von Backup-Lösungen wie Veeam Backup & Replication, Veritas NetBackup, Commvault Complete Backup, Dell EMC Avamar/NetWorker, IBM Spectrum Protect und Arcserve UDP auf Acronis Cyber Protect 16. Migrations-Projekte umfassen typischerweise: Bestandsaufnahme der existierenden Backup-Jobs und Retention-Policies, Parallel-Betrieb beider Lösungen für mindestens einen Backup-Zyklus (Validierung), Cutover-Planung mit Zero-Backup-Window-Garantie, Re-Konfiguration der Backup-Ziele (Tape-Library-Wiederzuweisung, Object-Storage-Migration) und Hand-over inklusive Wissens-Transfer. Eine typische Migration für einen Mittelständler mit 50 Servern und 500 Endpunkten benötigt 6–10 Wochen.

Endpoint-Backup für Remote-Workforce: Mit der Etablierung hybrider Arbeitsmodelle in DACH ist das Backup von Notebooks und Workstations außerhalb des Firmennetzes zur kritischen Anforderung geworden. Cyber Protect 16 Agents auf Endpunkten kommunizieren über HTTPS (TLS 1.3) mit dem Management Server — eine VPN-Verbindung ist nicht erforderlich. Backup-Daten werden auf dem Endpunkt verschlüsselt und über das Internet zum konfigurierten Storage-Ziel übertragen. Lokales lokales Caching reduziert die Internet-Bandbreitennutzung; nach der initialen Voll-Sicherung übertragen tägliche Inkrementelle Backups typischerweise nur 50–200 MB pro Endpunkt. Sora Yazılım gestaltet die Endpoint-Backup-Architektur einschließlich Bandbreiten-Throttling, Backup-Zeitfenster und Restore-Self-Service für die Endanwender.