Ist VSS unter Windows 10/11 standardmäßig aktiviert?

Ja, aber nur auf der Systempartition (meist C:). Der Computerschutz ist von Haus aus für das Volume aktiviert, auf dem Windows installiert ist, mit einem reservierten Speicherbereich von 1 bis 15 % des Volumes je nach Größe. Andere Volumes (D:, E:, externe Datenträger) haben VSS standardmäßig deaktiviert – Sie müssen es manuell unter Systemeigenschaften > Computerschutz > Konfigurieren aktivieren.

Wie oft erstellt Windows Wiederherstellungspunkte und Schattenkopien?

Windows erstellt automatisch einen Wiederherstellungspunkt vor jeder Installation eines Windows-Updates, vor jeder Installation eines signierten Treibers und einmal alle 24 Stunden, wenn kein anderer erstellt wurde (Win 10 1607+). Schattenkopien von Benutzerdateien werden auf Nicht-System-Volumes nicht automatisch erstellt – Sie aktivieren entweder den Dateiversionsverlauf (Windows 10) / Dateiversionsverlauf (Windows 11) oder planen manuell eine `vssadmin create shadow`-Aufgabe.

Können Schattenkopien nach vssadmin delete shadows /all wiederhergestellt werden?

Teilweise. Der Befehl löscht die sichtbaren VSS-Einträge, überschreibt aber nicht zwingend die zugrunde liegenden Blöcke des Speicherbereichs unter System Volume Information. Wiederherstellungssoftware wie EaseUS Data Recovery Wizard oder NirSoft ShadowCopyView kann manchmal Fragmente zurückholen. Das Zeitfenster ist kurz (Stunden bis Tage je nach Festplattenaktivität) – jeder neue Schreibvorgang überschreibt diese Fragmente.

Wie viel Speicherplatz sollte VSS für einen wirksamen Schutz zugewiesen bekommen?

Microsoft empfiehlt 10 bis 15 % des Volumes für den Standardgebrauch. Auf einer 512-GB-SSD mit moderaten Office-Arbeitslasten decken 50 GB zugewiesen rund 3 bis 4 Wochen an Dateiversionen ab. Für intensive Nutzung (Videobearbeitung, Entwicklung, virtuelle Maschinen) auf 20 % erhöhen. Mit dem Befehl `vssadmin resize shadowstorage` lässt sich dieses Limit nachträglich anpassen.

Was ist der Unterschied zwischen VSS, Dateiversionsverlauf und Windows-Sicherung?

VSS ist die Low-Level-Engine (Copy-on-Write auf Blockebene), auf der alle drei Funktionen aufbauen. Der Dateiversionsverlauf (Win 10) / Dateiversionsverlauf (Win 11) sichert Benutzerbibliotheken in regelmäßigen Abständen auf einem externen Datenträger. Die Windows-Sicherung (Win 10) / Sichern und Wiederherstellen erstellt vollständige Systemabbilder. Alle drei nutzen VSS, um das System zum Aufnahmezeitpunkt einzufrieren, unterscheiden sich aber in Speicherziel und Granularität.

Windows-Schattenkopien: Dateiwiederherstellung und Ransomware-Schwächen

Der Volume Shadow Copy Service (VSS) ist einer der mächtigsten – und am wenigsten bekannten – Mechanismen in Windows zur Wiederherstellung gelöschter, geänderter oder verschlüsselter Dateien. Seit Windows XP / Server 2003 vorhanden, bildet er die Grundlage für die Registerkarte Vorgängerversionen, den Dateiversionsverlauf, die Windows-Sicherung, die meisten Backup-Tools von Drittanbietern (Veeam, Acronis, Macrium) sowie forensische Werkzeuge, die von Ermittlern eingesetzt werden.

Es gibt eine Kehrseite: Moderne Ransomware-Betreiber (LockBit, Conti, REvil, Royal, BlackCat) kennen ihn. Der erste Befehl, den ihr Dropper ausführt, noch bevor die Verschlüsselung beginnt, ist fast immer vssadmin delete shadows /all /quiet. VSS zu verstehen – wie er funktioniert, wie man ihn nutzt und wie man Daten selbst nach der Zerstörung wiederherstellt – ist der Unterschied zwischen Totalverlust und einer Wiederherstellung in Minuten.

Dieser Leitfaden behandelt die VSS-Interna, betriebliche Befehle, Tools von Drittanbietern und forensische Techniken nach einem Angriff.

Volume Shadow Copy Service: Architektur und Funktionsweise

Ursprünge und Rolle

VSS wurde mit Windows Server 2003 eingeführt (und auf Windows XP SP1 zurückportiert), um ein industrielles Problem zu lösen: das Sichern eines aktiven Volumes, ohne die schreibenden Anwendungen zu stoppen. Vor VSS erforderten Backups entweder das vollständige Herunterfahren eines Dienstes (SQL Server, Exchange) oder das Hinnehmen inkonsistenter Dateien.

VSS führt einen Point-in-Time-Snapshot-Mechanismus ein, der den logischen Zustand des Volumes zum Zeitpunkt T einfriert, während die Schreibvorgänge weiterlaufen. Jeder Lesevorgang auf dem Snapshot sieht die Daten so, wie sie zum Zeitpunkt T waren; neue Schreibvorgänge gehen an das Live-Volume.

Die drei Komponenten

Der VSS-Dienst orchestriert drei unterschiedliche Rollen, die zusammenwirken:

Requestor: die Anwendung, die einen Snapshot anfordert (Windows-Sicherung, Dateiversionsverlauf, Veeam, robocopy mit /B, Acronis oder ein PowerShell-Skript).
Writer: Für jede Anwendung, die kontinuierlich schreibt (SQL Server, Exchange, Active Directory, Hyper-V, IIS, die Windows-Registrierung), stellt ein Writer eine Schnittstelle bereit, über die VSS vor dem Snapshot ein transaktionales Flush anfordern kann. Bei einer Standard-Windows-Installation sind über 30 Writer registriert.
Provider: die Komponente, die den Snapshot tatsächlich erstellt. Der Standard-Systemprovider (Microsoft Software Shadow Copy Provider) verwendet Copy-on-Write auf NTFS-Blockebene. Es gibt weitere Provider: Hardware (SAN-Arrays), iSCSI, ReFS unter Windows Server.

Der Copy-on-Write-Mechanismus

Zum Snapshot-Zeitpunkt kopiert VSS nichts. Es erfasst lediglich den Zustand der NTFS-Metadaten in der System Volume Information des Volumes (ein verborgener Stammordner).

Anschließend wird bei jedem Schreibvorgang auf einen Block, der zum Snapshot-Zeitpunkt existierte, der ursprüngliche Block in den Speicherbereich der System Volume Information kopiert, bevor er überschrieben wird. Neue Schreibvorgänge auf Blöcke, die zum Snapshot-Zeitpunkt leer waren, lösen keine Kopie aus.

Praktische Folgen:

Ein Snapshot verbraucht anfangs null Speicherplatz.
Der Speicherplatz wächst proportional zu den Änderungen nach dem Snapshot, nicht zur Volume-Größe.
Ein stark beanspruchtes Volume (laufende Videobearbeitung, eine aktive VM) verbraucht den reservierten Platz schnell.
Snapshots sind vergänglich: Ist der reservierte Bereich voll, werden die ältesten automatisch gelöscht (FIFO).
Schattenkopien sind nicht portabel – sie leben in der System Volume Information des Quell-Volumes. Fällt der Datenträger aus, gehen sie mit ihm verloren.

Aktivieren und Konfigurieren unter Windows 10/11

Standardzustand

Volume	Computerschutz	Reservierter Speicher	Erstellte Schattenkopien
C: (System)	Aktiviert	1 bis 15 % der Datenträgergröße	Bei jedem Update / Treiber / 24 h
D:, E:, andere interne	Deaktiviert	0	Keine
Externe USB-Datenträger	Deaktiviert	0	Keine
ReFS / Netzwerk-Volumes	Clientseitig nicht unterstützt	—	—

Computerschutz auf einem Volume aktivieren

Windows-Taste + „Wiederherstellungspunkt erstellen" eingeben > Wiederherstellungspunkt erstellen.
Registerkarte Computerschutz > Volume auswählen > Konfigurieren.
Häkchen bei Computerschutz aktivieren setzen.
Maximale Belegung festlegen (Schieberegler 1 bis 100 %). Empfohlen: 10 bis 15 % für Standardgebrauch, 20 % für intensive Arbeitslasten.
OK > einen initialen manuellen Wiederherstellungspunkt erstellen.

Feinjustierung per PowerShell

# Enable system protection on D:
Enable-ComputerRestore -Drive "D:\"

# Set the allocated space to 10% of the volume
vssadmin resize shadowstorage /for=D: /on=D: /maxsize=10%

# Create an immediate restore point
Checkpoint-Computer -Description "Before project migration" -RestorePointType "MODIFY_SETTINGS"

Hinweis: Checkpoint-Computer ist unter Windows 10/11 standardmäßig auf einen Aufruf alle 24 Stunden gedrosselt. Um das zu umgehen, setzen Sie den Registrierungsschlüssel HKLM\Software\Microsoft\Windows NT\CurrentVersion\SystemRestore\SystemRestorePointCreationFrequency auf 0.

Methode 1 – Vorgängerversionen über den Datei-Explorer

Dies ist der einfachste Weg, für jeden Benutzer zugänglich:

Klicken Sie im Datei-Explorer mit der rechten Maustaste auf die Datei oder den Ordner, deren frühere Version Sie möchten.
Eigenschaften > Registerkarte Vorgängerversionen.
Die Liste zeigt die über VSS-Schattenkopien und/oder den Dateiversionsverlauf verfügbaren Versionen an.
Wählen Sie eine Version, Öffnen für eine Vorschau, Wiederherstellen zum Überschreiben der aktuellen Datei oder Kopieren, um sie anderswohin zu exportieren.

Wenn die Registerkarte leer ist

Mehrere mögliche Ursachen:

Auf diesem Volume existiert keine Schattenkopie (mit vssadmin list shadows prüfen).
Die Datei existierte zum Zeitpunkt der verfügbaren Schattenkopien nicht.
Der Dateiversionsverlauf ist nicht konfiguriert und VSS ist deaktiviert.
Die Datei liegt auf OneDrive oder einem Netzwerk-Volume (verwenden Sie stattdessen den Versionsverlauf des Cloud-Dienstes).

Wenn Sie wissen, dass Schattenkopien existieren (der Befehl listet sie auf), die Registerkarte für einen bestimmten Ordner aber leer bleibt, wurde der Ordner seither oft umbenannt. Navigieren Sie in diesem Fall über ShadowExplorer (Methode 3) unter dem alten Namen.

Methode 2 – vssadmin auf der Befehlszeile

Das Tool vssadmin.exe ist in jeder Windows-Version enthalten. Es muss aus einer Administrator-Eingabeaufforderung gestartet werden (Rechtsklick > Als Administrator ausführen).

Wesentliche Befehle

:: List all shadow copies on the system
vssadmin list shadows

:: List only those on volume C:
vssadmin list shadows /for=C:

:: See allocated and used space per volume
vssadmin list shadowstorage

:: Resize reserved space on C:
vssadmin resize shadowstorage /for=C: /on=C: /maxsize=20GB

:: Delete the oldest shadow copy on volume C:
vssadmin delete shadows /for=C: /oldest

:: List registered writers
vssadmin list writers

Manuelle Erstellung von Schattenkopien

Wichtig: vssadmin create shadow ist nur unter Windows Server verfügbar, nicht in den Client-Editionen (Windows 10/11 Home, Pro, Enterprise). Auf einem Client-Rechner gibt es mehrere Behelfslösungen:

# Method 1: WMI / CIM (Windows 10/11 client)
(Get-WmiObject -List Win32_ShadowCopy).Create("C:\", "ClientAccessible")

# Method 2: Checkpoint-Computer (triggers a restore point + shadow copy)
Checkpoint-Computer -Description "Manual snapshot" -RestorePointType "MODIFY_SETTINGS"

# Method 3: DiskShadow (built-in utility, .txt scripts)
diskshadow /s scriptfile.txt

Eine scriptfile.txt für DiskShadow sieht so aus:

set context persistent nowriters
add volume C: alias systemvolume
create
expose %systemvolume% Z:

Nach der Ausführung wird der Snapshot schreibgeschützt auf dem Laufwerksbuchstaben Z: eingebunden und bleibt bis zum nächsten Neustart zugänglich.

Methode 3 – ShadowExplorer für die Baumnavigation

Die Oberfläche der Windows-Vorgängerversionen ist begrenzt: eine Datei nach der anderen, kein Versionsvergleich, manchmal werden gültige Schattenkopien ausgeblendet. ShadowExplorer (kostenlos, shadowexplorer.com) hebt diese Grenzen auf.

Installieren und verwenden

Laden Sie das Installationsprogramm von shadowexplorer.com herunter (prüfen Sie die Signatur; die neueste stabile Version ist 0.9, älter, aber weiterhin funktionsfähig).
Führen Sie die App als Administrator aus.
Oberes Dropdown: wählen Sie das Volume und dann das Snapshot-Datum.
Durchsuchen Sie den Baum wie im Datei-Explorer.
Rechtsklick auf die Datei oder den Ordner > Exportieren > wählen Sie ein Ziel außerhalb des Quell-Volumes.

Vorteile gegenüber der Registerkarte Vorgängerversionen

Zeigt jede Schattenkopie, einschließlich Waisen (in der Haupt-VSS-Datenbank fehlend).
Rekursiver Export ganzer Bäume mit einem Klick.
Datumsbasierte Navigation, unabhängig von aktuellen Dateinamen.
Funktioniert auch, wenn die Windows-Oberfläche beschädigt ist.

ShadowExplorer erfordert keine Schreibvorgänge auf dem Quell-Volume – strikt schreibgeschützt, kein Risiko, wiederherstellbare Daten zu überschreiben.

Methode 4 – Eine Schattenkopie manuell einbinden

Für komplexe Fälle (forensisches Skript, Zugriff auf eine bestimmte Datei ohne GUI) binden Sie die Schattenkopie direkt als Volume ein.

:: 1. List available shadow copies
vssadmin list shadows /for=C:

:: Note the "Shadow Copy Volume" which looks like:
:: \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy42

:: 2. Create a symlink to the shadow copy
mklink /D C:\shadow42 \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy42\

:: 3. Browse the folder
dir C:\shadow42\Users\Eric\Documents\

:: 4. Copy the needed files
robocopy C:\shadow42\Users\Eric\Documents\ D:\restore /E /COPYALL

:: 5. Remove the symlink after use
rmdir C:\shadow42

Der abschließende Schrägstrich im mklink-Befehl ist zwingend – ohne ihn schlägt der Zugriff mit einem Fehler über einen ungültigen Pfad fehl.

Diese Methode eignet sich ideal, um großflächige Wiederherstellungen zu skripten (Workstation-Flotten, Windows-NAS, Server) und GUI-Blocker zu umgehen.

Ransomware-Angriffe gegen VSS

Das gängige Muster

Mehr als 80 % der 2026 aktiven Ransomware-Familien führen innerhalb der ersten Sekunden einer Infektion, vor jeder Verschlüsselung, eine Variante des folgenden Befehls aus:

vssadmin delete shadows /all /quiet

Dieser Befehl löscht alle Schattenkopien auf allen Volumes, ohne Bestätigung. Der Vorgang dauert Sekunden.

In jüngeren Varianten beobachtete Befehle:

# LockBit 3.0 — wiping via WMI to bypass EDRs watching vssadmin
Get-WmiObject Win32_Shadowcopy | ForEach-Object { $_.Delete() }

# Conti — bcdedit to disable recovery options
bcdedit /set {default} recoveryenabled No
bcdedit /set {default} bootstatuspolicy ignoreallfailures

# Royal — vssadmin + wbadmin combo to also wipe Windows Backup
vssadmin delete shadows /all /quiet
wbadmin delete catalog -quiet
wbadmin delete systemstatebackup -keepversions:0

# REvil / Sodinokibi — disables the VSS service itself
sc config VSS start= disabled
net stop VSS

Warum VSS angegriffen wird

Ohne Schattenkopien hat das Opfer keine sofortige lokale Wiederherstellungsoption. Entweder gibt es ein Offline-Backup (in KMU selten) oder es wird gezahlt. Der ROI des Angriffs hängt direkt von der Zerstörung von VSS ab – deshalb liefert jedes RaaS (Ransomware-as-a-Service) diesen Code in seinen Standard-Builds aus.

Erkennung über Event-IDs

Windows protokolliert bestimmte VSS-Vorgänge. Zur Überwachung in Ereignisanzeige > Windows-Protokolle > System:

Event-ID	Quelle	Bedeutung
8224	VSS	VSS-Dienst gestoppt (verdächtig, wenn ungeplant)
8193	VSS	Fehler beim Erstellen einer Schattenkopie
524	VSS / Backup	Löschen einer Schattenkopie (Befehl vssadmin delete)
7036	Service Control Manager	VSS-Dienst deaktiviert
13	volsnap	Speicherbereich voll, älteste Schattenkopien verworfen

Eine Korrelation von Event-ID 524 + Event-ID 8224 innerhalb eines kurzen Fensters (unter einer Minute), besonders außerhalb der geplanten Backup-Zeiten, ist ein starkes Indiz für Ransomware-Aktivität. Ausgereifte EDRs (Defender for Endpoint, CrowdStrike Falcon, SentinelOne Singularity) lösen bei dieser Korrelation eine Warnung aus.

Wiederherstellung nach der Zerstörung von VSS

Sind die Schattenkopien einmal gelöscht, sind die Daten nicht sofort verloren. Das Löschen von VSS markiert die Einträge in der VSS-Datenbank als frei, überschreibt aber nicht aktiv die Blöcke des Speicherbereichs (Ordner System Volume Information).

Zeitfenster der Gelegenheit

Solange die Blöcke nicht durch neue Schreibvorgänge überschrieben werden, sind sie theoretisch wiederherstellbar. Das Fenster hängt ab von:

Festplattenaktivität (eine volle SSD mit aggressivem TRIM verkürzt das Fenster auf Minuten).
Dateisystemtyp (NTFS bewahrt länger als ReFS).
Nutzung nach dem Angriff (läuft die Maschine weiter und schreibt, verengt sich das Fenster).

Sofortreflex: Das System so schnell wie möglich herunterfahren oder schreibgeschützt setzen. Jede Aktion auf dem Datenträger senkt die Wiederherstellungschancen.

Tool 1 – EaseUS Data Recovery Wizard

EaseUS Data Recovery Wizard hat seit Version 16 ein dediziertes Modul für VSS-Restfragmente integriert. Vorgehensweise:

Installieren Sie EaseUS niemals auf dem Quelldatenträger. Installieren Sie von einem USB-Stick oder einem zweiten Laufwerk.
Schließen Sie den infizierten Datenträger schreibgeschützt an (USB-Gehäuse mit Schreibschalter oder ein Hardware-Schreibblocker).
Starten Sie EaseUS Data Recovery Wizard, wählen Sie das Ziel-Volume, wählen Sie Tiefenscan.
Filtern Sie nach Abschluss nach Dateityp und Datum vor dem Angriff.
Haken Sie die abzurufenden Dateien an, Wiederherstellen auf ein vom infizierten System getrenntes Laufwerk.

In einem Benchmark von 12 realen Fällen nach LockBit/Conti, dokumentiert 2025, liegt die durchschnittliche Wiederherstellungsrate via EaseUS auf VSS-Restfragmenten bei 22 bis 45 % des Inhalts – nicht großartig, aber oft besser, als nur temporäre Dateien wiederherzustellen.

Redaktionelle Empfehlung

4.5 / 5

Einen EaseUS Data Recovery Wizard-Scan starten

Gegründet 200430 Tage GarantieKostenlose 2-GB-Version

Das Angebot ansehen

Tool 2 – NirSoft ShadowCopyView

ShadowCopyView (kostenlos, nirsoft.net/utils/shadow_copy_view.html) ist ein portables Dienstprogramm, das System Volume Information direkt durchsucht und Schattenkopien auflistet, einschließlich der von VSS als gelöscht markierten, deren Blöcke aber noch vorhanden sind.

Kein Tiefenscan (kein File Carving), aber extrem schnell, um vor dem Einsatz eines schwereren Tools zu validieren, dass Fragmente existieren.

Tool 3 – File Carving auf System Volume Information

Als letztes Mittel können forensische Tools wie PhotoRec, R-Studio oder Autopsy File Carving (Suche nach binären Signaturen) direkt auf den freien Blöcken des Volumes durchführen. Dieser Ansatz ignoriert die NTFS-Struktur, holt aber manchmal Dateien zurück, die an ihrem Header erkennbar sind (.docx, .jpg, .pdf, .xlsx).

Die Kombination dieser Technik mit einem Durchlauf durch $RECYCLE.BIN (System-Papierkorb) und System Volume Information (VSS-Speicherbereich) erhöht die Wiederherstellungsrate in den Benchmarks um 5 bis 15 Punkte.

Siehe auch unseren Leitfaden Dateien nach einer Ransomware wiederherstellen für die vollständige Reaktionsmethodik.

Präventiver Schutz

Eine defensive Konfiguration von VSS verringert die Auswirkungen eines Angriffs.

Häufige geplante Schattenkopie-Aufgaben

Erstellen Sie auf einer Windows-10/11-Workstation eine geplante Aufgabe, die alle 6 Stunden einen Snapshot erstellt:

# Script saved as C:\Scripts\New-ShadowCopy.ps1
(Get-WmiObject -List Win32_ShadowCopy).Create("C:\", "ClientAccessible")

# Scheduled task creation
$action = New-ScheduledTaskAction -Execute 'powershell.exe' -Argument '-File C:\Scripts\New-ShadowCopy.ps1'
$trigger = New-ScheduledTaskTrigger -Daily -At 6am -RepetitionInterval (New-TimeSpan -Hours 6)
$principal = New-ScheduledTaskPrincipal -UserId "SYSTEM" -RunLevel Highest
Register-ScheduledTask -TaskName "ShadowCopy-6h" -Action $action -Trigger $trigger -Principal $principal

Unveränderliches Backup daneben

VSS ist lokal und nicht portabel – es verschwindet mit dem Datenträger. Um einen Angriff zu überstehen, der VSS löscht und die Workstation verschlüsselt, halten Sie ein Backup außerhalb der Maschine bereit:

Unveränderliches Cloud-Backup (Backblaze B2 mit Object Lock, Wasabi Compliance Mode, AWS S3 Object Lock).
Air-Gap-externer Datenträger, der nur für das wöchentliche Backup angeschlossen wird.
NAS mit unveränderlichen Snapshots (Synology Btrfs, QNAP ZFS) in einem separaten Netzwerk.

Vollständige Architekturdetails für 3-2-1-1-0 finden Sie in unserem Leitfaden Ransomware-Schutz für Unternehmen 2026.

Microsoft-Defender-ASR-Regeln

Microsoft Defender for Endpoint liefert Attack Surface Reduction-Regeln, die typische Vor-Ransomware-Verhaltensweisen blockieren. Eine zentrale: Block credential stealing from LSASS deckt das Abgreifen von Anmeldedaten ab, eine häufige Voraussetzung für laterale Bewegung.

Für den spezifischen VSS-Fall verhindert die Regel Block process creations originating from PSExec and WMI commands, dass Ransomware vssadmin delete shadows über WMI oder PsExec startet – der häufigste Vektor.

# Enable ASR rules in block mode (admin PowerShell)
Set-MpPreference -AttackSurfaceReductionRules_Ids 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 -AttackSurfaceReductionRules_Actions Enabled
Set-MpPreference -AttackSurfaceReductionRules_Ids d1e49aac-8f56-4280-b9ba-993a6d77406c -AttackSurfaceReductionRules_Actions Enabled

Überwachung der Event-IDs 524 und 8224

Zentralisieren Sie die Windows-Protokolle in einem SIEM (Wazuh Open Source, Sentinel, Splunk) und lösen Sie eine Warnung bei den Event-IDs 524 und 8224 aus. Empfohlene automatisierte Reaktion: die Maschine per Skript vom Netzwerk isolieren, wenn mehr als 3 Event-ID 524 in unter 60 Sekunden auftreten.

VSS, Dateiversionsverlauf und Sichern und Wiederherstellen: Vergleich

Drei native Windows-Funktionen nutzen VSS als zugrunde liegende Engine, decken aber unterschiedliche Anforderungen ab.

Kriterium	VSS / Vorgängerversionen	Dateiversionsverlauf (Win 10) / Dateiversionsverlauf (Win 11)	Windows-Sicherung / Systemabbild
Speicherziel	Gleiches Volume (System Volume Information)	Externer Datenträger / Netzwerk	Externer Datenträger / Netzwerk / DVD
Granularität	Einzelne Datei	Einzelne Datei	Vollständiges Volume oder System
Häufigkeit	Bei jedem Update / Treiber / 24 h	Konfigurierbar (1 h, 6 h, täglich)	Manuell oder geplant
Verbrauchter Speicher	1 bis 15 % des Quell-Volumes	Kontinuierliches Wachstum	Abbildgröße
Wiederherstellung bei Datenträgerausfall	Unmöglich (an Quelle gebunden)	Ja (von externem Medium)	Ja (von externem Medium)
Ransomware-Widerstandsfähigkeit	Gering (per vssadmin delete löschbar)	Mittel (wenn Datenträger getrennt)	Hoch (wenn Medium getrennt)
Anwendungsfall	Eine Änderung rückgängig machen, eine kürzlich gelöschte Datei zurückholen	Persönliche Dokumente versionieren	Ein vollständiges System nach Absturz oder Angriff wiederherstellen

Die bewährte Praxis kombiniert alle drei: VSS für schnelle Rollbacks (Minuten), Dateiversionsverlauf für Versionen persönlicher Dateien (Stunden bis Tage) und ein Offline-Systemabbild für den schlimmsten Fall.

Bekannte Einschränkungen

Einige Fallstricke, die man beim Einsatz von VSS zur Wiederherstellung beachten sollte:

Nicht portabel: Schattenkopien leben in der System Volume Information des Quell-Volumes. Stirbt der Datenträger oder erleidet er eine schwere Beschädigung, verschwinden sie. VSS ersetzt kein externes Backup.
Nicht verschlüsselt: Snapshots werden im Klartext gespeichert. Ein lokaler Admin-Angreifer kann sie vollständig lesen – einschließlich Dateien, die der Benutzer für längst gelöscht hielt.
Mit Admin-Rechten zugänglich: Jeder lokale Administrator kann Schattenkopien auflisten und einbinden. Auf einer gemeinsam genutzten Workstation kann das sensible Daten offenlegen.
Keine unbegrenzte Versionierung: Ist der reservierte Bereich voll, werden die ältesten Schattenkopien automatisch verworfen (FIFO). Auf einer stark genutzten Workstation kann die effektive Aufbewahrung auf wenige Tage sinken.
Ineffizient auf SSDs mit TRIM: Aggressives TRIM überschreibt freigegebene Bereiche schnell. Gelöschte Schattenkopien (durch Ransomware oder Ablauf) werden rasch unwiederherstellbar.
Auf Client-Editionen nicht ReFS-kompatibel: VSS funktioniert in Client-SKUs nur auf NTFS-Volumes. ReFS-Volumes (Storage Spaces, Workstation Pro) verwenden ihre eigenen unabhängigen Snapshots.

Für eine vergleichende Analyse von Wiederherstellungssoftware, die VSS nutzen kann, siehe unseren Vergleich EaseUS vs. Recuva und unseren Leitfaden zur besten Datenrettungssoftware für eine vollständige Aufschlüsselung der Tools nach Szenario – einschließlich der Wiederherstellung von VSS-Fragmenten nach Ransomware.

Ressourcen