Wenn ein Angreifer Ihre Systeme erreicht, entscheidet das Backup über alles. Bei SEP sesam ist Immutable Storage Teil der Plattform, kein optional zubuchbares Modul. Einmal geschriebene Daten bleiben unverändert. Auch dann, wenn ein Admin-Konto übernommen oder die Backup-Software selbst kompromittiert wird.
DARAUF VERTRAUEN TAUSENDE ORGANISATIONEN
Drei Vorteile, die unabhängig von Branche und IT-Setup wirken.
Selbst wenn Angreifer Administratorrechte erlangen oder die Backup-Software kompromittieren, bleiben einmal geschriebene Backups unverändert und geschützt. Auch interne Risiken werden minimiert: Kein einzelner privilegierter Account kann Backup-Daten zerstören oder manipulieren.
SEP unterstützt alle relevanten Speichertypen gleichberechtigt: lokal, hybrid und in der Cloud. Sie sind nicht gezwungen, Backup-Daten in eine fremde Cloud zu legen. Und Sie binden sich nicht an einen einzelnen Storage-Anbieter, dessen Strategie sich morgen ändern kann.
Aufbewahrungsfristen, Zugriffs-Protokolle und Integritäts-Nachweise sind in SEP sesam eingebaut, und benötigen kein zusätzliches Compliance-Werkzeug. Damit erfüllen Sie die Anforderungen, die heute in NIS-2-Audits, KRITIS-Prüfungen und von Cyber-Versicherern gestellt werden – ganz ohne zusätzliche Tools anschaffen oder betreiben zu müssen.
SEP zwingt Sie nicht in eine einzige Säule. Sie kombinieren genau die Schichten, die zu Ihrem Risikoprofil und Ihrem Budget passen.
Unveränderbarkeit auf Filesystem-Ebene. Eigener Linux-Host, eigene Credentials, getrennt vom Backup-Server. Schnelle Restores ohne Cloud-Latenz, ohne Tape-Wartezeit. Ideal als erste Verteidigungslinie für täglich angesteuerte Backups.
Object-Lock-Funktion auf S3, Azure Blob und lokalem Object Storage. Gleiche Schutzlogik, ob die Daten beim Hyperscaler oder im eigenen Rechenzentrum liegen. Für Setups, die hybrid denken oder bewusst auf souveräne Cloud-Alternativen setzen.
Klassisches Tape ist bei SEP eine vollwertige Säule, und kein Auslaufmodell. Sobald ein Tape-Medium nach dem Backup ausgelagert wird, ist es vom Netz physisch getrennt und damit für netzwerkbasierte Angriffe nicht erreichbar. Eine vollständigere Form physischer Trennung gibt es nicht.
Plus: HPE StoreOnce mit eigenem Immutability-Feature und Hardware-Snapshots auf gängigen Storage-Arrays (z. B. Nimble, Alletra, PureStorage). Frei kombinierbar mit den drei Säulen, abhängig von Ihrem Storage-Setup.
Immutability wirkt nur als Teil eines Schichtenmodells. So bauen wir das mit Ihnen auf.
Bevor Immutability überhaupt ihren Beitrag leisten kann, sollten die Grundlagen stehen. Dazu gehören ein abgegrenztes Netzwerk, das Angreifern nicht freie Bahn lässt, regelmäßig eingespielte Sicherheits-Updates und Backups, die häufig genug laufen, damit im Ernstfall nicht mehrere Tage Datenstand verloren gehen. Bewährt hat sich die 3-2-1-Regel: drei Kopien Ihrer Daten, auf zwei unterschiedlichen Speichermedien, mindestens eine davon räumlich getrennt aufbewahrt.
Der Backup-Server sollte als eigenständig geschützte Umgebung aufgebaut werden, nicht als gewöhnlicher Server im allgemeinen Firmen-Netz. Konkret bedeutet das: möglichst unabhängig von der zentralen Benutzerverwaltung betreiben, damit ein im Tagesgeschäft erbeutetes Admin-Konto nicht automatisch auch den Backup-Server öffnet. Idealerweise auf einem anderen Betriebssystem als die geschützten Systeme, mit einer schlanken Konfiguration aus nur den wirklich nötigen Diensten und ohne Höchstrechte im Tagesbetrieb.
Wer am Backup arbeitet, sollte sich nicht mit dem üblichen Firmen-Login anmelden. Andernfalls genügt ein einziges kompromittiertes Konto, um Produktiv- und Backup-Umgebung gleichzeitig zu öffnen. Bewährt sind eigene Anmeldedaten, die ausschließlich für die Backup-Umgebung gelten, ein zweiter Faktor für privilegierte Zugriffe und feingranulare Berechtigungen, die klar regeln, wer welche Aktion ausführen darf. Vollzugriff sollte nur dort vergeben werden, wo er tatsächlich gebraucht wird.
Wenn die Schichten davor durchbrochen wurden, bleibt diese eine übrig: ein Backup, das selbst mit voller Admin-Kontrolle nicht zu beschädigen ist. Einmal geschrieben, bleiben die Daten unverändert. Auf diese Schicht können Sie sich im Ernstfall wirklich verlassen.
Lassen Sie uns gemeinsam prüfen, wo Ihre Backup-Architektur heute steht und welche Immutability-Schicht für Ihr Setup am meisten bringt.
Manipulationssichere Backups sind in jedem IT-Setup ein Sicherheitsgewinn. Besonders gefordert sind sie aktuell im Public Sector, wo Audits, Vergaberecht und politische Verantwortung sauber dokumentierte Backup-Prozesse erwarten. Im Gesundheitswesen, wo Patientendaten besonders schützenswert sind und Cyber-Versicherer zunehmend auf Immutability bestehen. Bei Energieversorgern und Stadtwerken, die KRITIS und NIS-2 unterliegen. Und in produzierenden Unternehmen, wo ein Tag Stillstand der Produktionssysteme reale Kosten verursacht.
SEP sesam ist eine Backup- und Recovery-Plattform für virtuelle, physische und cloud-basierte IT-Umgebungen. Sie sichert Anwendungen, Datenbanken, Server und ganze Rechenzentren aus einer einzigen Lösung, gesteuert über eine zentrale Oberfläche.
Praktisch alle gängigen Hypervisoren, Datenbanken, Betriebssysteme und Speichermedien werden direkt unterstützt. Sie binden alle relevanten Workloads aus einer Plattform an, ohne Zusatzmodule von Drittanbietern.
Sie sprechen mit dem SEP-Support-Team, das das Produkt aus dem täglichen Einsatz kennt, statt mit einem externen Service-Anbieter.
Lizenzmodelle, die zur tatsächlichen Infrastruktur passen, ohne Pflicht-Add-ons für Funktionen, die ohnehin Standard sein sollten.
SEP ist ein unabhängiger Backup-Spezialist aus Holzkirchen bei München. Seit 1992 konzentrieren wir uns ausschließlich auf Datenschutz-Software. Keine Cloud-Plattform, keine Konzern-Suite, keine Backup-Lösung als Nebenprodukt einer größeren Strategie. Wir entwickeln und testen unsere Software im eigenen Haus.
Heute setzen Behörden, Krankenhäuser, Energieversorger, Universitäten und produzierende Unternehmen SEP sesam ein, um ihre kritischen Daten zu sichern. Im PUR-S 2026 Anwender-Urteil wurde SEP sesam als Champion im Bereich Backup & Recovery ausgezeichnet, mit Top-Bewertungen für Funktionsumfang sowie Service & Support.
Wir erfassen mit Ihnen Ihre aktuelle Backup-Situation und Ihre wichtigsten Anforderungen: welche Workloads, welche Compliance-Themen, welche Schmerzpunkte heute im Vordergrund stehen.
Sie bekommen eine erste Einordnung, wie SEP sesam in Ihre Umgebung passen könnte und welche Immutability-Schichten in Ihrem Fall am meisten bringen.
Sie sprechen mit einem SEP-Backup-Experten, der Ihre Situation einordnet. Sie entscheiden im Anschluss über das weitere Vorgehen.
Füllen Sie das Formular aus. Ein SEP-Experte meldet sich innerhalb von zwei Werktagen bei Ihnen.
Die wichtigsten Antworten zum Thema Immutable Backup
Immutable Backups sind Backup-Daten, die nach dem ersten Schreiben nicht mehr verändert oder gelöscht werden können, auch nicht durch privilegierte Konten oder eine kompromittierte Backup-Software. Bei SEP sesam wird die Unveränderbarkeit auf Filesystem-Ebene erzwungen: jede Datei erhält ein sogenanntes Immutable-Bit, das selbst die Backup-Software nicht entfernen kann, weil sie auf dem Speicher-Host keine Root-Rechte besitzt. Zusätzlich bekommt jedes gespeicherte Objekt einen eigenen Hash-Wert, mit dem sich die Integrität der Daten jederzeit überprüfen lässt. Damit wird Immutability zur entscheidenden Schicht gegen Ransomware und Datenmanipulation.
Das hängt vom gewählten Säulen-Mix ab. SEP SiS läuft auf einem dedizierten Linux-Host (unterstützt sind SLES 15, RHEL 8 oder 9, Debian 11 oder 12 mit XFS- oder ext4-Filesystem). Dieser Host ist bewusst vom Backup-Server getrennt und idealerweise nur über die Konsole zugänglich, damit ein Angreifer auch bei vollständiger Übernahme des Backup-Servers keinen Zugriff auf die Immutable-Daten erhält. S3 Object Lock funktioniert auf vorhandener Cloud-Infrastruktur (S3, Azure Blob) oder lokalem Object Storage. Tape nutzt eine bestehende Tape-Umgebung. Welche Säule in Ihrer Umgebung am sinnvollsten ist, klären wir im Erstgespräch.
Nein. Immutability ist Teil der Plattform und nicht als separates Modul lizenziert. Es entstehen für die Funktion selbst keine zusätzlichen Lizenzkosten. Das gilt für alle drei Säulen: SEP SiS, S3 Object Lock und Tape sind in den Standard-Lizenzmodellen enthalten und brauchen keinen Zusatzkauf für die Sicherheits-Funktion.
SEP sesam steuert die Unveränderbarkeit auf zwei getrennten Ebenen. Auf Storage-Ebene wird festgelegt, wie lange ein Objekt physisch nicht gelöscht oder verändert werden darf. Auf Mediapool-Ebene wird festgelegt, wie lange ein Backup im Restore-Pfad sichtbar bleibt. Die Mediapool-Aufbewahrung sollte immer länger sein als die Storage-Immutability-Zeit, damit gesetzliche Pflichten und Restore-Komfort nicht miteinander kollidieren. Typische Werte sind 30 Tage Immutability plus einen Tag Puffer auf Mediapool-Seite. Längere Zeiträume sind für regulatorisch stark geprägte Umgebungen üblich. Wichtig zu wissen: Sobald Daten zur Langzeitarchivierung weiter in andere Systeme verschoben werden (etwa Cloud-Archive oder Tape außerhalb des Immutable-Bereichs), greift die SEP-sesam-eigene Immutability-Garantie für diese Kopie nicht mehr.
SEP sesam ist NIS-2- und KRITIS-tauglich. Aufbewahrungsfristen lassen sich getrennt auf Storage- und Mediapool-Ebene steuern. Logs dokumentieren alle Zugriffe und Änderungen am Datenbestand. Jedes Objekt erhält einen Hash-Wert für den Integritäts-Nachweis. Verschlüsselung sowie strenge Authentifizierung und Autorisierung sind Bestandteil der Plattform. Damit decken Sie typische Anforderungen aus NIS-2, KRITIS und DSGVO aus einer Plattform ab, ohne einen zusätzlichen Compliance-Stack betreiben zu müssen.
Ja, Sie können SEP sesam parallel zu einer bestehenden Backup-Lösung betreiben und Immutable Storage zunächst als zusätzliche Schutz-Schicht aufbauen, ohne ein laufendes Backup anzufassen. Auf diesem Weg können Sie die Immutable-Funktionen in Ihrer eigenen Umgebung testen, bevor Sie über einen kompletten Wechsel entscheiden. Eine schrittweise Migration auf SEP sesam ist möglich und wird vom Hersteller-Support begleitet, falls Sie sich später dafür entscheiden.
Ein SEP-Experte meldet sich innerhalb von zwei Werktagen bei Ihnen und vereinbart einen Termin für ein erstes Gespräch. Im Gespräch nehmen wir Ihre Anforderungen auf und skizzieren, wie SEP sesam in Ihrer Umgebung aussehen könnte. Sie entscheiden im Anschluss über das weitere Vorgehen. Unverbindlich und kostenfrei.
Erfahren Sie, wie Sie Ihre Backup-Strategie souverän und zukunftssicher aufstellen.