Die Anzahl der Cyber-Angriffe auf Unternehmen wächst stetig und erfordert einen anderen Umgang mit der Bedrohungslage. Das bedeutet neben ausgereiften Sicherheitskonzepten auch die Abkehr von klassischen Backup-Strategien. Stattdessen sollte die IT das Thema Datensicherung voll auf Recovery ausrichten.
Nach erfolgreichen Cyber-Angriffen drängt die Zeit. Die Backup-Strategie muss sich deshalb an der Wiederherstellung orientieren – und nicht an der Sicherung.
Die Bedrohungslage bei Cyberattacken hat sich in den letzten Jahren massiv verschärft; das BSI bewertet die Lage als „so hoch wie nie“. Kein Wunder also, dass in den meisten IT-Trends-Vorhersagen für das Jahr 2023 das Thema Security an vorderer Stelle steht.
In der Praxis zeigt sich immer wieder, dass Unternehmen viel Zeit benötigen, um nach einem Ransomware-Angriff wieder arbeitsfähig zu werden. „Bis zu vier Wochen braucht es, um die wichtigsten Prozesse herzustellen. Aber es dauert bis zu einem Jahr, bis alles wieder normal läuft. Das ist für viele schockierend, und sie wollen es nicht wahrhaben“, erklärte beispielsweise Wolfgang Straßer, Security-Experte für Forensik und Risikomanagement und Geschäftsführer der @-yet GmbH auf dem Maschinenbau-Gipfel 2022.
Fast jedes zweite Unternehmen hat keine Notfallpläne
Ein Grund für die Schwierigkeiten sind oft nicht vorhandene und nicht gut eingeübte Notfall- und Recovery-Pläne, die eigentlich jedes Unternehmen in der Schublade haben sollte. Doch bei weitem noch nicht alle Unternehmen sind entsprechend vorbereitet; nur 54 Prozent haben ausreichende Notfallpläne, fand der Branchenverband Bitkom letzten Herbst in einer Umfrage unter mehr als tausend Unternehmen heraus.
Sind die Unternehmenssysteme verschlüsselt worden, herrscht erst einmal Panik. Gerade dann ist es allerdings besonders wichtig, kontrolliert und schnell zu reagieren. Mit jeder Stunde wird der Schaden höher, insbesondere, wenn nicht schnellstmöglich Kunden und Partner verständigt werden, damit diese sich wiederum schützen können. Ein guter Plan, der Zuständigkeiten und Meldewege im Unternehmen, aber auch hin zu Sicherheitsbehörden, Kunden und Partnern definiert, ist deshalb entscheidend. Besonders wichtig: Die Notfallpläne müssen außerhalb der IT-Infrastruktur schriftlich aufbewahrt werden!
Datenklassifikation als Grundlage einer effizienten Backup-Strategie
Hinzu kommt, dass die Backup-Strategie bei sehr vielen Organisationen nicht ausreichend erprobt ist. Eine Veeam-Studie aus dem Jahr 2021 unter 3.000 IT-Entscheidern aus Unternehmen mit mehr als 1.000 Mitarbeitenden zeigte, dass in Deutschland ganze 54 Prozent der Backup-Wiederherstellungen fehlschlagen.
Die angespannte Sicherheitslage erfordert einen deutlichen Wandel im Bereich Datensicherung. Weil die Notwendigkeit einer Daten-Recovery heute als wahrscheinlich angenommen werden muss, reicht das traditionelle Sicherheitskopie-Backup nicht mehr aus. Für die „Genesung“ kompromittierter Systeme innerhalb einer möglichst kurzen Zeitspanne braucht es schlicht andere Voraussetzungen. Dazu gehört, dass Unternehmen, Behörden und Organisationen ihre Daten kennen und klassifizieren. Unterschiedliche Datenklassen erfordern individuell angepasste Sicherungskonzepte, die den jeweiligen Recovery-Constraints folgen.
Genaues Abwägen der Speicherklassen notwendig
Konkret bedeutet das also: Die Strategie zur Datensicherung muss sich an der Wiederherstellung orientieren – und nicht an der Sicherung. Dabei definieren die Datenklassen, welche Art der Wiederherstellung jeweils notwendig ist. Die Sicherungsstrategie folgt dann unter Berücksichtigung der bestehenden Rahmenbedingungen. Obwohl eine sofortige Verfügbarkeit mit höchster Performance aller Daten sicher wünschenswert ist, setzt das zur Verfügung stehende Budget in den allermeisten Fällen enge Grenzen.
Dabei gilt es auch, sich darüber Gedanken zu machen, welche Daten sich aus der klassischen Datensicherung herauslösen lassen, indem sie frühzeitig und regelmäßig in ein Archiv verdrängt werden. Das sind zum Beispiel E-Mail-Anhänge oder Aufzeichnungen, die sich nicht mehr ändern. Sie sollten möglichst frühzeitig schon nach wenigen Tagen ins Archiv wandern.
Am Anfang der Datenklassen stehen die Daten, die nach einem erfolgten Angriff auf jeden Fall und so schnell wie möglich wieder verfügbar sein müssen. Die maximale Ausfallzeit, die sich ein Unternehmen, eine Behörde oder Einrichtung leisten kann, wird als RTO – Recovery Time Objective – bezeichnet. Diese Daten erfordern höchste Performance bei der Wiederherstellung – oder sollten sogar schon während der Wiederherstellung wieder zur Verfügung stehen. Backup-Software bietet dazu oft die Möglichkeit, virtuelle Maschinen vom Recovery-Medium zu starten. So kann ein operativer Betrieb bereits sichergestellt werden, während die Wiederherstellung noch läuft.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Der Wiederherstellungspunkt RPO im Fokus
In der Praxis hat es sich bewährt, für besonders schützenswerte Daten in sich geschlossene Dateninseln zu bilden. Das Konzept der Recovery Point Objective (RPO) definiert, wie lang die Abstände zwischen zwei komplett gesicherten Datensätzen sein dürfen – oder in der Folge, wie viele Daten in der Zwischenzeit verloren gehen dürfen. Je nach Datenklasse und Anforderung kann diese Zeit von einigen Minuten bis zu mehreren Tagen oder Wochen betragen, was eine besonders flexible Speichertechnologie erforderlich macht.
Hier sind insbesondere sogenannter „Immutable Storage“ (unveränderbarer Speicher) oder sogar „Multi-Immutable Storage“ geeignet. Denn die unterschiedlichen Datenklassen und damit verbundenen Speichertechnologien erfordern verschiedene Schutzmechanismen. Klar ist: Backup-Daten müssen besonders geschützt werden, da über 90 Prozent der Angriffe inzwischen zunächst auf Backups abzielen.
Für kurzlebige Daten (RTO-Bereich) haben sich automatische, regelmäßige Snapshots als Sicherungsmaßnahme bewährt. Diese werden vom Speichersystem eigenständig erzeugt und können von außen nicht manipuliert oder gelöscht werden. Diese „Continuous Snapshots“ erlauben es, zu früheren Versionen einer Sicherung zurückzugehen. Langlebigere Sicherungsdaten (RPO-Bereich) werden je nach Datenklassifizierung zusätzlich abgesichert. Von Geo-Redundanz über Air-Gap bis hin zu echter WORM-Versiegelung für Archive stehen hier mehrere Technologien zur Verfügung. Auch die Daten, die auf Objektspeicher kopiert oder verdrängt werden, können inzwischen besonders geschützt werden: Beim Object Locking sind diese Daten für einen bestimmten Zeitraum nur lesend verfügbar.
Jedem Objekt wird in diesem Konzept eine Mindestaufbewahrungsdauer zugewiesen, und es wird mit einem Zeitstempel für eine Woche, einen Monat oder ein Jahr versehen. Im System ist fest verankert, dass das Objekt nicht verändert und erst nach Ablauf des Zeitstempels gelöscht werden kann. Die Mechanismen, um eine Veränderung auszulösen, müssen so gut abgesichert sein, dass kein Angreifer dazu in der Lage ist.
RTO und RPO
Bei der Wiederherstellung verlorener Daten wird mit zwei Kennzahlen gearbeitet: Recovery Time Objective (RTO) bezieht sich auf die Zeit, in der Daten nach einem Ausfall wieder hergestellt sein sollten. Recovery Point Objective (RPO) hingegen definiert den letzten Zeitpunkt, bis zu dem Daten wiederhergestellt werden müssen.
Vom klassischen 3-2-1-Backup zum 3-2-1-1-0-Recovery
Es gilt, das seit Jahrzehnten bewährte 3-2-1-Prinzip, mit dem Datenverlust vorgebeugt wird, jetzt um zwei wichtige Parameter zum Schutz vor den Folgen einer Cyber-Attacke zu erweitern. Weiterhin sind mindestens drei Datenkopien auf mindestens zwei Medien oder Formaten nötig, mindestens eine davon in einem separaten Speichersystem. Hinzu kommt nun mindestens eine Kopie, die durch ein sogenanntes Air-Gap vollständig offline ist und auf die potenzielle Angreifer keinen Zugriff erlangen können. Dafür eignen sich Datenträger, die sich sicher außerhalb der IT lagern lassen, beispielsweise in einem Safe.
Doch auch hier sollte aus Recovery-Sicht gedacht werden: So haben sich Magnetbänder zwar als günstiges Backup-Medium etabliert; zu Recovery-Zwecken sind sie jedoch nur bedingt geeignet, da sie nur stark eingeschränkten Zugriff auf die Daten bieten. Besser passen dafür beispielsweise die Silent Bricks von FAST LTA, die in transportablen Speicher-Containern Flash- oder Festplattenspeicher mit hoher Redundanz verbaut haben. Der wahlfreie Zugriff auf jeden Datensatz ist so sofort nach dem erneuten Einstecken in die zugehörigen Controller verfügbar.
Vor allem die Anforderung an ein garantiert fehlerfreies Recovery müssen erfüllt sein: Dafür werden Worst-Case-Szenarien durchgespielt, Notfallpläne erstellt, getestet und verbessert sowie Systeme und Prozesse optimiert. Am Ende sollten Recovery-Pläne für die einzelnen Datenklassen stehen, die jeder Belastung standhalten.
Daniela Hoffmann, freie IT-Fachjournalistin aus Berlin.
(Bild: Daniela Hoffmann)
Die Autorin: Daniela Hoffmann lebt und arbeitet als freie Fachjournalistin in Berlin. Seit 2000 befasst sich die Journalistin, die an der F.U. Berlin Germanistik und Informatik studiert hat, mit IT-Trendthemen. Sie schreibt für Publikationen wie die „Produktion“, „automotiveIT“, „IT-Director“ und „IT-Mittelstand“.
Aktuelles eBook
Storage-Security – wie sichern Unternehmen ihre Daten ab?
eBook „Storage-Security“
(Bild: Storage-Insider)
Sich mit der Sicherheit von Storage-Systemen zu beschäftigen, ist heute notwendiger denn je. Neun von zehn Unternehmen wurden bereits mit Ransomware angegriffen. Einen Überblick über Schutzmaßnahmen und -technologien bietet dieses eBook.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/24/aa/24aad994e872a642db8ce5e566b2ff5a/0128652115v2.jpeg "Mit Agentic AI wollen Cyberkriminelle Angriffe effizienter durchführen, um ihren ROI zu erhöhen. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/07/97/07979550bc313aa202a7481391f76ce6/0129212062v2.jpeg "Am 29. Januar 2026 befasste sich der Deutsche Bundestag in zweiter und dritter Lesung mit dem KRITIS-Dachgesetz. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/c6/7e/c67ee3c3d518dfe5a48378e20a95fde5/0129075400v1.jpeg "Clickjacking nutzt Autofill aus um an Zugangsdaten zu gelangen, aber die Deaktivierung der Funktion sorgt eher für mehr Probleme! Endpoint-Security, MFA und URL-Abgleich schützen wirksamer. (Bild: © Montri - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e4/03/e403d8463e7796490cc475b2403f6db3/0128970281v2.jpeg "Crowdstrike und Nord Security ermöglichen KMU umfassende Cybersicherheit über die Falcon-Plattform. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/9a/c4/9ac49e87ca2e15d5c87112420f91805f/0129092634v1.jpeg "Security-Analysten im Security Operations Center (SOC) korrelieren Telemetrie, Identitäten und Netzwerkdaten, um autonome Angriffsmuster frühzeitig zu erkennen und Eindämmungsschritte zu automatisieren. (Bild: © whitestorm - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bd/16/bd16fac8755e7f1c18fda7a9d2c13ed2/0128306930v1.jpeg "Unternehmen können einiges machen, um sich widerstandsfähiger gegen Cyberangriffe aufzustellen. (Bild: © AD – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5f/01/5f01f4759ed9713f2d51b9ac93f87e4e/0129075784v2.jpeg "2026 wird KI-Governance Pflicht, Datensouveränität entscheidet über Clouds, Exposure Management läuft kontinuierlich und IT/OT konvergiert durch NIS2-Druck. (Bild: © Celt Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2c/7f/2c7f325ab87e8cde7456fb75e3fd2e0b/0128865641v2.jpeg "Die Code-Injection-Sicherheitslücke in PowerPoint von 2009 ermöglicht es Angreifern, durch speziell gestaltete PowerPoint-Dateien beliebigen Code auszuführen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/f4/07/f40741c3efecd5069f248cf96f033389/0129088128v1.jpeg "Der Data Act verpflichtet Hersteller seit September 2025 zu Datenzugang, aber die Abgrenzung zwischen Bereitstellungspflicht und DSGVO-Schutz bleibt komplex. (Bild: © Zay Win Htai - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b0/7c/b07c2afa7203635856ba0d1fdea2bc28/0129154622v2.jpeg "Die häufigsten Passwörter in Deutschland sind nach einer Auswertung geleakter Daten einfache Kombinationen wie „123456“ und „123456789“, die eine Einladung für Hacker darstellen und Sicherheitsrisiken bergen. (Bild: vinnstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/09/7b/097be8af7888fc22051e329663da4ecc/0128787261v2.jpeg "Ein iranischer Cyberangreifer konnte über einen unbestimmten Zeitraum hinweg in 50 Unternehmen einbrechen, da diese keine Mulifaktor-Authentifizierung hatten. (Bild: oz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/63/db/63dbd1915b7af/2023-fastlta-logo-square-positive.jpeg "2023-fastlta-logo-square-positive (FAST LTA GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/54/78/54780e8ebe0fefba82e3c57c8e27d8c0/0110251928v1.jpeg "Im Podcast steckt diesmal die geballte Expertise zweier Chefredakteure für Security und Storage. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/5b/5a/5b5adfce7ce58d10c1087e005a6e24b0/0123039749v1.jpeg "Mehr als 30 Prozent der IT-Profis sind laut einer neuen Kaseya-Umfrage angesichts ihrer Backup- und Recovery-Vorkehrungen besorgt. (Bild: Murrstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/a9/aca949e4f6dac22eea788436e9d4811f/0125094675v1.jpeg "Herkömmliche Backup-Methoden reichen angesichts der sich ständig weiterentwickelnden Cyberbedrohungen von heute nicht mehr aus. Pure Storage nennt sechs bewährte Best Practices für moderne Datensicherung. (Bild: © Andrea Danti - stock.adobe.com)")