Das Problem
Site wird gehackt, Hacker bekommt S3-Credentials und löscht alle Backups bevor er Ransomware deployed.
S3 Object Lock + Glacier Vault Lock. Backup kann für N Tage NICHT gelöscht werden — auch nicht vom Account-Owner mit Admin-Credentials. Ransomware-Schutz.
Site wird gehackt, Hacker bekommt S3-Credentials und löscht alle Backups bevor er Ransomware deployed.
Backsta setzt bei jedem S3-Upload x-amz-object-lock-mode auf GOVERNANCE oder COMPLIANCE plus Retain-Until-Date. Ein Hacker mit deinen S3-Credentials kann das Backup nicht löschen. Bucket muss bei Erstellung Object-Lock haben (AWS-Constraint, nachträglich nicht aktivierbar).
Tab „Sicherheit" → WORM-Lock.