Da KI-gestützte Angriffe in Sekundenschnelle geschehen, reicht die bloße Erkennung in der heutigen Cyberlandschaft nicht mehr aus. Die eigentliche Frage lautet: Wie schnell können Unternehmen sich davon erholen?
Unternehmen müssen angesichts schneller KI-Angriffe und steigender Risiken durch Ransomware vor allem ihre Time-to-Recovery optimieren, um cyberresilient zu bleiben beziehungsweise zu werden.
(Bild: ryanking999 - stock.adobe.com)
In der Vergangenheit war der Erfolg im Bereich der Cybersicherheit an die Frühwarnung gebunden. Wenn ein Unternehmen eine Sicherheitslücke schnell genug erkannte, so die Überlegung, konnte der Schaden minimiert werden. Dieser Ansatz, der in Frameworks wie MITRE ATT&CK verwurzelt ist, konzentriert sich auf die frühzeitige Identifizierung von Angreifern, sei es durch Signaturen, Verhaltensweisen oder bekannte Muster. Doch Künstliche Intelligenz (KI) hat dieses Modell auf den Kopf gestellt. Bedrohungsakteure können ihre Tools jetzt in Echtzeit anpassen, Malware neu schreiben, die Infrastruktur neu konfigurieren und Angriffe innerhalb weniger Minuten neu starten. Die Zeit, die früher den Verteidigern in die Karten spielte, ist jetzt auf der Seite der Angreifer. Für Chief Information Officers (CIOs) wird Time-to-Recovery (TTR) zum wichtigsten KPI für das Überleben, während Vorstände darüber nachdenken müssen, was Cyberresilienz wirklich bedeutet.
Die Abhängigkeit der Branche von Kennzahlen wie der Mean Time to Detect (MTTD) und der Mean Time to Respond (MTTR) hat ein falsches Gefühl der Sicherheit geschaffen. Diese Indikatoren zeigen, was nachträglich passiert ist. Sie helfen Unternehmen nicht dabei, Betriebsunterbrechungen zu verhindern. Selbst die schnellste Erkennung kann Ransomware nicht davon abhalten, Systeme zu sperren oder Daten zu vernichten. Die Realität zeigt, dass Cybersecurity-Teams es sich nicht mehr leisten können, Bedrohungen nur schnell zu erkennen. Stattdessen müssen sie sich darauf konzentrieren, wie effektiv sie sich von ihnen erholen können.
Das eigentliche Risiko liegt in der Wiederherstellung. Nicht nur Datenverluste, sondern auch Ausfallzeiten führen oft zu Rufschädigung, finanziellen Auswirkungen und Geschäftsausfällen. Eine Sicherheitslücke, die den Kernbetrieb für eine Woche zum Erliegen bringt, kann katastrophale Folgen haben. Dennoch haben viele Chief Information Security Officers (CISOs) immer noch keine klare Vorstellung davon, wie lange die Wiederherstellung tatsächlich dauert. Oft haben sie es noch nie getestet – ein entscheidender blinder Fleck.
Statistiken zeigen, dass die durchschnittliche Ausfallzeit nach einem Ransomware-Angriff bei Unternehmen in den USA zwischen 2020 und 2021 bereits von 15 auf 24 Tage gestiegen ist. In den letzten Jahren sind die Angriffe, auch durch den Einsatz von KI, immer schwerwiegender, ausgefeilter und präziser geworden, was sich gravierend auf die Wiederherstellungszeit auswirken wird.
Time-To-Recovery: Die Kennzahl, die über das Überleben entscheidet
Time-to-Recovery bietet einen Weg, diese Lücke zu schließen. Diese Kennzahl erfasst, wie lange es dauert, bis ein sauberes, sicheres und funktionierendes System nach einem Vorfall wiederhergestellt ist. Im Gegensatz zu Erkennungsmetriken kann die TTR durch Tests gemessen und validiert werden. Sie gibt den Vorständen greifbare Einblicke in die Widerstandsfähigkeit ihrer Organisation. Außerdem spiegelt sie die tatsächliche Resilienz wider, indem sie verdeutlicht, ob ein Vorfall nur eine vorübergehende Störung oder eine ausgewachsene Krise darstellt.
Die Folge der Aufwertung der TTR zu einem KPI auf Vorstandsebene ist erheblich. Sie erzwingt eine Umverteilung der Budgets für Cybersicherheit, die heute noch stark auf Präventionstools ausgerichtet sind. Firewalls, Endpunktüberwachung und Erkennungssysteme dominieren die Ausgaben. Diese Investitionen bringen jedoch immer weniger ein, wenn sich der Angreifer schneller weiterentwickelt als die Tools, die ihn aufhalten sollen. Eine Denkweise, die sich auf Recovery fokussiert, verlagert die Investitionen auf eine Infrastruktur, die eine schnelle Regeneration erlaubt: unveränderliche Backups, orchestrierte Reperatur-Workflows, isolierte Umgebungen für saubere Wiederherstellungen und automatisierte Tests von Disaster-Recovery-Plänen.
Unternehmen in Deutschland haben die Relevanz von Disaster Recovery erkannt und investieren kräftig. Das bestätigt die Statista-Studie zur Marktentwicklung von Disaster Recovery as a Service (DRaaS) im Public-Cloud-Markt in Deutschland. Der aktuelle Umsatz von knapp 750 Millionen Euro soll bis 2029 auf 1,3 Milliarden Euro steigen. Im weltweiten Vergleich wird der größte Umsatzanteil in den USA erwartet mit 4,67 Milliarden Euro im Jahr 2025.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Durch die Verlagerung des Fokus werden die Gespräche zwischen den Sicherheitsteams und dem Vorstand neugestaltet. Derzeit neigen Vorstände dazu, nach der Auditbereitschaft, den Risikowerten und der Anzahl der Vorfälle zu fragen. Mit der Umstellung auf TTR wird die Diskussion jedoch auf die Geschäftskontinuität gelenkt. Wie schnell könnten wir kritische Dienste wiederherstellen, wenn morgen ein Cyberangriff stattfinden würde? Wie können wir das wissen? Testen wir das? Diese Fragen zwingen zu einem strategischeren, ergebnisorientierten Ansatz für die Ausfallsicherheit.
Darüber hinaus ist diese Metrik nicht nur eine technische Notwendigkeit, sondern eine Führungsaufgabe. Cyberangriffe legen nicht nur Server lahm, sondern unterbrechen auch Lieferketten, stoppen die Produktion und führen in einigen Fällen zu einem Wechsel der Führungskräfte. Wie der aktuelle Bericht von Rubrik Zero Labs zeigt, kommt es bei mehr als einem Drittel der Cybervorfälle innerhalb weniger Monate zu einem Wechsel auf Führungsebene. Wenn der Betrieb zum Stillstand kommt, wird die Schuld nach oben verlagert. Vorstände haben daher ein eigenes Interesse daran, sicherzustellen, dass sich das Unternehmen schnell und sauber erholen kann.
Fazit: Cyberresilienz ist der neue Wettbewerbsvorteil
In Zukunft wird Cyberresilienz zum neuen Wettbewerbsvorteil. Unternehmen, die sich am schnellsten von unvermeidlichen Sicherheitsverletzungen erholen, werden diejenigen übertreffen, die dies nicht tun. Der Fokus liegt nicht mehr darauf, jeden Vorfall zu verhindern, sondern die Geschäftskontinuität unter allen Umständen zu garantieren. Obwohl die Prävention im Geschäftsumfeld nach wie vor notwendig ist, reicht sie allein nicht mehr aus.
Die Verantwortlichen in den Unternehmen müssen sich jetzt intensiv mit ihrer Vorbereitung auseinandersetzen. Recovery ist nicht nur ein IT-Thema, sondern betrifft die Vorstandsetage. Wenn TTR nicht auf höchster Ebene diskutiert wird, befindet sich das Unternehmen im Blindflug. Die Führungsebene muss sich folgende Fragen stellen: Wissen wir, wie lange die Wiederherstellung dauert? Wird dieser Zeitrahmen validiert? Sind wir darauf vorbereitet, die nächste Sicherheitsverletzung zu überleben?
Es gibt kein Patentrezept für die Cybersicherheit. Es wird Angriffe geben. Systeme werden kompromittiert. Aber der Unterschied zwischen widerstandsfähigen und anfälligen Unternehmen besteht nicht darin, wer angegriffen wird, sondern wer am schnellsten wieder einsatzbereit ist. Das ist die neue Realität. Und deshalb muss die Time-to-Recovery zur führenden Kennzahl für die Cyber-Widerstandsfähigkeit werden.
Über den Autor: Richard Cassidy ist CISO bei Rubrik.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8b/bc/8bbc7f8f7dd3167fcc3ab5e1e8188770/0129039996v2.jpeg "Manipulierte Trainings- und Eingabedaten gehören zu den zentralen Angriffsflächen agentischer Künstlicher Intelligenz: Data Poisoning und Prompt Injection setzen dort an, wo KI Entscheidungen ableitet und Aktionen auslöst. (Bild: © Xchip - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b0/cd/b0cd6ad0db8b7b584295c04c4084023d/0125494472v2.jpeg "Am 3. Juli waren auf einmal die Webseiten des Distributors Ingram Micro nicht mehr erreichbar. Schnell wurde von Mitarbeitern und Kunden ein Cyberangriff vermutet. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/6c/dd/6cddbcf249f31748feae7096189632a2/0128612351v1.jpeg "Um die sich schnell ändernden Bedrohungen der KI-Technologie effektiv zu adressieren, sollten Unternehmen im Zuge einer aggressiven Cloud-Strategie ihre Sicherheitsvorkehrungen überdenken und konsolidieren. (Bild: © Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b3/f7/b3f75dd711f2385a1e7d528acc79b1c7/0128774540v1.jpeg "Mit der Übernahme von Armis will ServiceNow eine einheitliche Sicherheitsplattform für die gesamte Angriffsfläche schaffen, die die Lücke zwischen dem Erkennen von Schwachstellen und deren Behebung schließt und so Milliarden von vernetzten Geräten autonom schützt. (Bild: © twindesigner - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/63/11/63115ba1d37c1e9499d599c744c80ab4/0123849100v1.jpeg "Jörg Hollerith, Produktmanager bei Paessler, betont die Bedeutung klar definierter Schwellenwerte, um Warnmeldungen verlässlicher einzuordnen. (Bild: Paessler)")
:quality(80)/p7i.vogel.de/wcms/ca/54/ca546583f644634e8620e31635a34b88/0129056071v2.jpeg "Blick in die Zukunft: Der Nachfolger von Windows Server 2025 heißt wahrscheinlich Windows Server 2028/2029. Bereits jetzt gibt es eine Testversion und neue Funktionen sickern durch. (Bild: © PNG City - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/cc/df/ccdf983e4b47b1a7895509210d721d8c/0129059286v1.jpeg "Waren 2025 Speaker bei der ISX (v.l.n.r.): Georgia Voudoulaki beim Think Tank, Lukas Wagner und Leonard Bunjaku bei ihren Vorträgen (Bild: Vogel IT-Akademie)")
:quality(80)/p7i.vogel.de/wcms/4d/da/4dda0e5edf9ddd0c31363f92becb045e/0127807026v1.jpeg "Proaktive IT-Wartung: Unified Endpoint Management und Digital Employee Experience sollen Fehler erkennen, bevor sie den Betrieb beeinträchtigen. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0b/22/0b22469f85709c1d30f4fa6db4f832f4/0129015808v2.jpeg "Unternehmen verlieren den Überblick über ihre Daten. Um sensible Informationen angemessen schützen zu können, müssen sie alle ihre Daten erst sorgfältig klassifizieren. (Bild: © mnirat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/cf/d0/cfd05fb7d685daeef671838eb3edf725/0128875949v2.jpeg "Drei teils kritische Schwachstellen betreffen lokale Windows-Versionen von Trend Micro Apex Central. Sie ermöglichen eine vollständige Systemübernahme durch Remote-Code-Ausführung sowie Denial-of-Service-Angriffe. (Bild: Melinda Nagy - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e5/20/e520a4ead3ccf0de1445916fd8a89cdc/0129077672v2.jpeg "Sicherheitsforscher Jeremiah Fowler hat auf einem ungeschützten Server 149 Millionen gestohlene Passwörter entdeckt, die durch Infostealer-Malware gesammelt wurden. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/a8/09/a809c2b47ea5879bc108f0e713988bb5/0129070533v2.jpeg "Das Ziel der EU-Kommission hinter der Änderung des Cybersecurity Acts besteht darin, die Cybersicherheitsresilienz und -kapazitäten zu stärken, um Unternehmen und Institutionen besser gegen wachsende Cyberbedrohungen zu schützen und gleichzeitig die Compliance-Anforderungen zu vereinfachen. (Bild: © lucadp - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/13/01/1301d39b914ab1dc9ffa517f98f26840/0126593157v1.jpeg "Prompt Injection ist eine auf Sprachmodelle abzielende Form von Cyberangriff durch einschleusen manipulativer KI-Anweisungen. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/ab/f9/abf9df1f15ee1b1e9920eec42f491548/0126593157v1.jpeg "Eine Zero-Click-Schwachstelle ist eine ohne Benutzerinteraktion ausnutzbare Sicherheitslücke, ein Zero-Click-Angriff ist damit ein Cyberangriff ohne bewusste Interaktion eines Anwenders. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:fill(fff,0)/p7i.vogel.de/companies/63/db/63dbd1915b7af/2023-fastlta-logo-square-positive.jpeg "2023-fastlta-logo-square-positive (FAST LTA GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/95/bb/95bbd9abdcef3a607b8a8f1841efe072/0124594202v2.jpeg "Cyberkriminelle attackieren Unternehmen zunehmend simultan über diverse Kommunikationswege. Der Artikel beleuchtet, wie diese Multivektor-Angriffe funktionieren und welche Strategien IT-Sicherheits-Experten ergreifen können, um ihre Organisationen wirksam zu schützen. (Bild: © StockUp - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f8/f7/f8f7e90c23f6260dcc0e4ef6423100a2/0127615087v2.jpeg "Echtzeit-Observability liefert den Überblick über komplexe Systemlandschaften und hilft, Ausfälle präventiv zu vermeiden. (Bild: © jijomathai - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/2a/012a331797a0b7a2137252a7421d4e5a/0125111769v1.jpeg "„Nur jedes vierte Unternehmen testet die Wiederherstellbarkeit seiner Datensicherungen“, konstatiert Stephan Köninger, IT-Consultant bei codecentric. (Bild: codecentric)")
:quality(80)/p7i.vogel.de/wcms/c0/c7/c0c7c8f562d1dfb3091923f3b63a93a9/0124217623v2.jpeg "Eine Notfallplanung darf nicht nur auf dem Papier gut aussehen, denn auch gut durchdachte Pläne können scheitern, wenn wichtige Grundprinzipien nicht beachtet werden. (Bild: .shock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8b/5e/8b5ea3efd78cb31bdc53749cfa2c5b85/0122220339v1.jpeg "Es führt kein Weg daran vorbei: Unternehmen müssen auf den Ernstfall vorbereitet sein. (Bild: ©Vertigo3d via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/62/93/62934e164217cf60ff409396d42ebc71/0124834913v2.jpeg "Databarracks hat die Einführung von Air Gap Recover angekündigt, einem neuen Service, der verbesserten Schutz vor Cyberbedrohungen bieten soll. (Bild: Bastian Weltjen - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/de/17/de17fc3ed6f81b4697b9ed46aa18220d/0128108116v1.jpeg "Im Ernstfall müssen Expertenteams Vorfälle erkennen, betroffene Systeme isolieren und Geschäftsprozesse so schnell wie möglich stabilisieren. (Bild: © Zamrznuti tonovi - stock.adobe.com)")