.
Warum Cloud Resilience zunehmend wichtiger wird
Die Bedeutung von Resilienz im Allgemeinen ist in den letzten Jahren stark angestiegen. Dazu beigetragen haben neben gesetzlichen Anforderungen - wie NIS2 und DORA - auch das deutlich gestiegene Risiko durch Cyberangriffe. Laut Bitkom waren dieses Jahr etwa 87 Prozent der Unternehmen von Cyberangriffen betroffen. Viele Unternehmen sind bereits dabei, gemeinsam mit Partnern Konzepte zu entwickeln, um ihre On-Premise-Infrastruktur möglichst resilient gegen Bedrohungen aus dem Netz aufzustellen. Diesen Wandel konnte man in den letzten Jahren auch auf der Herstellerseite beobachten. Gerade im Disaster Recovery-Umfeld hat sich der Funktionsumfang deutlich in Richtung Cyberresilienz verschoben. Dabei ist ein Kernthema, welches die meisten Hersteller - wie Rubrik oder Veeam - in dem Bereich versuchen abzudecken, eine möglichst schnelle und erfolgreiche Wiederherstellung nach einem Cyberangriff.
Auch im Cloud-Umfeld gewinnt das Thema zunehmend an Wichtigkeit. Kunden modernisieren ihre Infrastruktur kontinuierlich, und viele greifen dabei ganz oder zumindest teilweise auf Hyperscaler zurück, um ihre Anforderungen ganzheitlich abzudecken. In Zuge dessen entstehen viele Cloud-, Hybrid- und Multi Cloud-Umgebungen. Bitkom sagt voraus, dass in 5 Jahren jedes Unternehmen Cloud-Dienste in Anspruch nehmen wird.
Auch wenn die Einfachheit der Cloud typischerweise suggeriert, dass man sich mit den klassischen IT-Infrastruktur-Themen nicht mehr auseinandersetzen muss, so sind nach den Shared Responsibility-Modellen der Anbieter die Unternehmen selbst für die Sicherheit ihrer Daten verantwortlich. Findet also ein Cyberangriff auf eine Cloud-Umgebung eines Unternehmens statt, so muss dieses selbstständig in der Lage sein, seine kritischen Geschäftsprozesse wieder zum Laufen zu bringen.
Die Nutzung der Cloud bedeutet also nicht, dass man automatisch resilient aufgestellt ist, sondern erschafft einen weiteren Bereich in der Infrastruktur, in welchem man selbst für eine vollumfängliche Datensicherung und die Recovery-Fähigkeit verantwortlich ist. Im Alltag zeigt sich häufig, dass diese Thematik für viele Cloud Teams noch neues Terrain ist. Neben der technologischen Absicherung zeigen sich zudem des Öfteren Lücken in der Verknüpfung zum allgemeinen Business Continuity Management (BCM) und zur Notfallstrategie in Bezug auf die Cloud.
Was ist Cloud Resilienz – und was ist Resilience in der Cloud?
Cloud Computing Insider definiert Cloud-Resilienz als die „Widerstandsfähigkeit gegenüber Störungen und Problemen wie Hardwaredefekte, Softwarefehler, Cyberangriffe, Netzwerkausfälle oder Naturkatastrophen. Die Resilienz umfasst dabei alle Cloud-Komponenten und -Systeme wie Server, Speichersysteme, Netzwerke und Anwendungen.“ Dabei wird betont, dass es „bei der Cloud-Resilienz […] um die Vorhersage möglicher IT-Unterbrechungen in einem Unternehmen [geht]. Dazu gehört auch die Planung der Geschäftskontinuität sowie die Frage, wie wesentliche Cloud-Dienste aufrecht gehalten oder nach einem Ausfall möglichst schnell wieder bereitgestellt werden können.“ (Quelle: Cloud Computing Insider, 04.12.2025)
In der Praxis lässt sich mit Blick auf die Umsetzung aus unserer Sicht in zwei unterschiedliche strategische Ausrichtungen unterteilen:
Datenverluste in der Cloud können nicht nur durch Cyberangriffe entstehen. Auch Fehlkonfigurationen, versehentliches Löschen, bewusstes Löschen durch Mitarbeiter, IAM-Fehler und falsch angelegte Policies im Storage können zu einem signifikanten und geschäftskritischen Datenverlust führen. Wenn auch sehr selten, so können auch Ausfälle beim Cloud-Anbieter selbst zur vorübergehenden Unerreichbarkeit der geschäftskritischen Daten führen.
Was es für durchgängige Cloud Resilience zu beachten gibt
Es gibt verschiedene Gründe, warum das Thema Resilienz in der Cloud oft eine hohe Komplexität mit sich bringt. Zum einen aufgrund der hohen technischen Komplexität.
Hyperscaler-Architekturen und Funktionalitäten
Bei allen Gemeinsamkeiten haben verschiedene Hyperscaler dennoch unterschiedliche Architekturen und Funktionsweisen. Man muss klar verstehen, wie die Standardkonfigurationen funktionieren und welche Vor- und Nachteile diese mit sich bringen. Zusätzlich gibt es bei allen Hyperscalern eine Vielzahl an Services, die in Abhängigkeit zueinander stehen und so die Komplexität erhöhen. Durch die Verteilung von Daten über mehrere Regionen kann es komplex sein, die Konsistenz dieser Services und Funktionalitäten durchgehend zu bewahren. Komplexe Berechtigungsmodelle können dazu führen, dass User Berechtigungen erhalten, die sie eigentlich nicht erhalten sollten. Häufig sind beispielsweise Entwicklungsteams in der Lage, Datenbestände aus Produktivumgebungen zu kopieren und ihre Testumgebungen damit zu füttern. Werden bei diesen Testumgebungen nicht die gleichen Sicherheitsrichtlinien wie in der Produktivumgebung eingehalten, bietet das eine potenzielle Angriffsfläche.
Hybride Infrastrukturen
Eine weitere Komplexität ergibt sich durch hybride Infrastrukturen. In den meisten Unternehmen ist häufig noch eine On-Premise-Infrastruktur vorhanden und viele setzen auch gleich auf mehrere Hyperscaler. Die unterschiedlichen Datenquellen, Applikationsarchitekturen und Abhängigkeiten, können eine saubere Disaster Recoverystark verkomplizieren.
Sicherung von Workloads
Neben diesen eher technischen Punkten bringt das Thema Cloud auch eine organisatorische Komplexität mit. Durch verschiedene Teams mit unterschiedlichen Verantwortungen (Cloud, Security, Netzwerk, Devops) und unterschiedlichen Tools und Prozessen fehlen häufig zusammenhängende Dokumentationen und klare Ownership-Strukturen für bestimmte Workloads. Häufig gibt es kein organisatorisches Gesamtkonzept, das die gesamte Infrastruktur im Hinblick auf ihre Resilienz im Blick hat.
Externe und interne Bedrohungen der Cloudresilienz
Neben der Bedrohung durch Cyberangriffe, Fehlkonfigurationen, versehentlichem oder böswilligem Löschen und technischen Risiken spielt auch das Thema Vendor Lock-in und Portabilität der Daten, sowie Audit, Compliance und Legal Hold relevanter Prozesse eine große Rolle darin, wieso ein solches Gesamtkonzept unerlässlich ist.
Zwischenfazit: Ganzheitliche Recovery-Strategie ist essenziell
Zusammenfassend kann man festhalten, dass besonders in einer Cloud- oder Hybridumgebung eine klare und ganzheitliche Recovery-Strategie essenziell ist, um den Geschäftserfolg sicherzustellen.
Welches Resilience- und Recovery-Konzept passt zu meiner Infrastruktur?
Zu Anfang ist es entscheidend, im Vorgehen einer Prozess- und darauf basierenden Gap-Analyse den genauen Bedarf und alle Systeme und Anforderungen zu betrachten, die für die Resilienz des Unternehmens tragend sind.
Schritt 1: Prozessanalyse über Dataclassification bis hin zum Wiederherstellungsplan
Bevor es an die technischen Entscheidungen und Umsetzung geht, ist es im Bereich Cloud Resilience wie auch generell im Thema Cyber Resilienceunerlässlich, zunächst anhand einer strukturierten Prozessanalyse:
Nachdem alle kritischen Prozesse und dazugehörigen Systeme dokumentiert wurden, werden die zu den Systemen zugehörigen Objekte und Daten identifiziert. Häufig gibt es auch übergreifende Systeme wie das Identity und Access Management (IAM), das für die Lauffähigkeit aller Systeme entscheidend ist. Nach dieser Kategorisierung kann ein konkreter Plan erstellt werden in welcher Reihenfolge welche technischen Objekte im Falle eines Datenverlusts wiederherzustellen sind.
Nach der Zuordnung der einzelnen technischen Objekte zu konkreten Wiederherstellungsprozessen und Zeiten im Einklang mit den in den SLAs festgelegten KPIs (RTO/RPO), werden, basierend auf den aktuell technisch verfügbaren Möglichkeiten, verschiedene Wiederherstellungstests gefahren. Diese unterscheiden sich hauptsächlich nach dem Auslöser für eine Wiederherstellung (Datenverschlüsselung, Datenverlust, Hardwareausfall, Ausfall einzelner Systeme).
Schritt 2: Gap-Analyse und Entscheidungsfindung
Mithilfe dieser Testszenarien wird eine Gap-Analyse erstellt, welche dann herangezogen wird, um technische Lösungen zu identifizieren, die zukünftig zum Einsatz kommen müssen.
Die identifizierten Lücken helfen dabei, den Funktionsumfang einer neuen Lösung zu definieren und klare Anforderungen an die zu sichernden Technologien festzulegen. Neben dem klassischen Backup spielen hier Themen wie Disaster Recovery, Failover und Failback, Malware Scanning, Immutability, Air-Gapping und Threat Hunting, sowie Hochverfügbarkeit für bestimmte Systeme eine wichtige Rolle.
Auch die vorhandenen Skills im Unternehmen, die Bedienbarkeit des Tools, sowie Möglichkeiten zur Automatisierung sind relevant. Selbstverständlich spielen auch Anforderungen an die Datenaufbewahrung und die Verfügbarkeit wichtige Aspekte der Entscheidungsfindung dar. (In-Cloud, Cross-Region, On-Premis, Datensouveränität)
Nicht zuletzt entscheiden selbstverständlich auch die Kosten und Lizenzmodelle von den verschiedenen Anbietern über die bestpassende Lösung.
Sobald alle Faktoren identifiziert sind, kann eine qualifizierte Entscheidung für ein zukunftsfähiges Cloud Resilience-Konzept getroffen werden, welches sich nahtlos in die vorhandene Strategie, Prozesse und bestehende Infrastruktur einfügt.
Vergleich: Welche technischen Anbieter für Cloud Resilience gibt es am Markt?
Im Folgenden zeigen wir im Vergleich, worauf es bei der Auswahl an Herstellern am Markt, die die Cloud Resilience erhöhen, zu achten gilt, welche Anbieter aus unserer Erfahrung Vorteile mitbringen, und welche Rolle die Lösungen der bekannten Hyperscaler dabei spielen.
Alle Hyperscaler sichern auch? – Ja, aber als Standardlösungen nicht weitreichend genug
Alle der bekanntesten Hyperscaler (AWS Cloud, Microsoft Azure und Google Cloud Platform (GCP)) bieten eigene Lösungen zur Erhöhung der Resilienz an. Das umfasst sowohl Backup Lösungen (AWS-Backup, Azure Backup, Google Cloud Backup & DR) als auch Lösungen zur schnelleren Datenwiederherstellung, wie einer Snapshot-basierten Sicherung der Primärdaten. In den meisten Fällen führen diese auch standardmäßig eine Sicherung der vorhandenen Daten bis zu einem gewissen Grad durch.
Möchte man diese Lösungen allerdings als Teil einer komplexeren Infrastruktur einsetzen, oder hat man mehrere Applikationen, Datenquellen, eine Vielzahl technischer Objekte oder auch Sub-Organisationen innerhalb seines Hyperscalers, wird vor allem der Einsatz der Tools zur Datensicherung und Disaster Recovery zu einer komplexen Aufgabe. Allen zu sichernden Objekten müssen die SLAs von Hand zugewiesen werden.
Datensicherung in der Cloud – selten Sache von Cloud- oder Entwicklersteams
Diese Aufgabe liegt meistens nicht in den Infrastrukturteams, sondern in Cloud- oder Entwicklungsteams, die sich seltener mit der Thematik Datensicherung auseinandersetzen. Recovery-Szenarien und Recovery Tests müssen manuell konfiguriert und aufgesetzt werden und die Cloud-eigenen Tools bieten keine Möglichkeiten, vorhandene Backups auf Malware zu überprüfen, um so im Falle eines Cyberangriffs die Recovery Time bestmöglich zu verkürzen. Zudem kann man mit den Bordmitteln nur die Cloud-eigenen Workloads adäquat sichern, was dazu führt, dass man in einer hybriden oder Multi Cloud-Infrastruktur unterschiedliche Tools für die Disaster Recovery einsetzen muss - was eine zusätzliche Erhöhung der Komplexität bedeutet.
Falsche Einstellungen können zusätzlich zu hohen unerwarteten Kosten führen. Um ein solides technisches Gesamtkonzept mit den Bordmitteln umzusetzen, empfiehlt es sich, sich von spezialisierten Experten zu den bestehenden Möglichkeiten beraten zu lassen.
Cloud-Sicherungsarchitekturen mit Veeam, Rubrik, Cohesity und Commvault
Mittlerweile haben sich die meisten größeren Backup-Hersteller im Umfeld des Themas Cyber Resilience auch in den Cloud-Markt entwickelt und bieten dort ihre Disaster Recovery-Lösungen an. Die bekanntesten Hersteller mit Cloud Resilience-Lösungen sind Veeam, Rubrik, Cohesity und Commvault. Jeder Hersteller hat Stärken und Schwächen und legt den Fokus auf unterschiedliche Themenfelder. Die Entscheidung für den passenden Anbieter liegt also immer im Auge des Betrachters und sollte nicht ohne die zuvor beschriebene fundierte Prozess- und Gap-Analyse durchgeführt werden.
Veeam
Veeam ist als Backup-Hersteller schon lange im Markt und bedient vor allem im Mittelstand, aber auch im Enterprise-Sektor einen sehr großen Kundenstamm. Die Backup-Lösungen von Veeam sind daher sehr zuverlässig und haben ein breites Einsatzspektrum. Unternehmen, die bereits Veeam für das Backup ihrer On-Premise-Systeme im Einsatz haben, ziehen häufig auch Veeam in Betracht, wenn es in Richtung Datensicherung in der Cloud geht. Veeam hat sich im letzten Jahrzehnt zu einem der führenden Backup-Hersteller positioniert und entwickelt sich auch im Bereich Cyber Resilience stetig weiter. Mit dem Multi-Cloud Ansatz bietet Veeam die Möglichkeit, auch in Infrastrukturen, in denen mehrere Cloud Anbieter genutzt werden, Daten innerhalb einer Plattform zu sichern. Mit der Veeam Data Plattform, lassen sich AWS, Azure und GCP sichern. Die Cloud spezifischen Sicherungslösungen von Veeam sind wie gewohnt in den Marktplätzen der Hyperscaler erhältlich.
Ein Nachteil der Veeam-Lösung ist die recht komplexe Architektur, da Veeam verschiedene Lösungen in einer Plattform vereint. Man muss sich mit jeder Oberfläche einzeln vertraut machen, und es ist ein hoher Aufwand, die Backup-Policies für alle nötigen Workloads einzurichten.
Rubrik Security Cloud
Rubrik positionierte sich von Beginn an nicht als „einfacher Backup-Hersteller“, sondern klar als Leader im Cyber Resilience-Umfeld. Mit dem Ziel, die Cyber Recovery-Zeit ihrer Kunden so weit wie möglich zu reduzieren und so sicherzustellen, dass sie nach einem Cyber-Angriff möglichst schnell wieder lauffähig sind. Auch Rubrik bietet die Möglichkeit, die Daten aus allen großen Hyperscalern über ihre Plattform, die Rubrik Security Cloud, zu sichern.
Besonders hervorzuheben ist hier die Einfachheit in der Nutzung. Durch SLA-basierte Backup-Policies, die sich nach einmaligen Anlegen auf alle technischen Objekte übertragen lassen, lassen sich strukturierte Cyber Resilience-Prozesse, wie im ersten Teil des Artikels beschrieben, sehr gut im System abbilden. Zusätzlich indiziert Rubrik die Metadaten eines jeden Backups, was dafür sorgt, dass Backups nach einem Cyberangriff in Sekundenschnelle nach Ransomware durchsucht werden können. Das sorgt für eine schnelle Identifikation des letzten sauberen Wiederherstellungszeitpunktes und einer deutlich verkürzten Recovery-Zeit.
Auch bei Trendthemen wie zum Beispiel Agentic AI ist die Rubrik häufig Vorreiter. Durch den sehr starken Security-Fokus der Rubrik ist das Ökosystem stärker eingeschränkt als bei anderen Anbietern und es wird stark auf eigenentwickelte Lösungen gesetzt.
Der Nachteil der Rubrik Security Cloud könnte für einige Endkunden im Preismodell liegen, das auf dem genutzten Funktionsumfang der Kunden basiert.
Cohesity Data Cloud
Die Cohesity Data Cloud ist die gesamtheitliche Cyber Resilience-Lösung des Herstellers Cohesity. Durch die Akquisition von Veritas hat sich die Cohesity im Jahr 2025 deutlich verbreitert und kann dadurch auf eine große Kundenbasis zugreifen. Auch die Cohesity verfolgt einen Plattformansatz und ist in der Lage, verschiedenste Hyperscaler aus einer Oberfläche heraus zu sichern. Über vordefinierte Policies können auch hier den einzelnen Ressourcen vordefinierte Sicherungsregeln zugewiesen werden. Die Einstellung der Policies bringt eine etwas höhere Komplexität mit sich und sollte von Experten vorgenommen werden, um eine möglichst gute Performance und Abdeckung zu gewährleisten.
Mit Cohesity DataHawk als zusätzliche Funktionalität bietet Cohesity zudem die Möglichkeit, durch KI-gesteuerte Anomalie-Erkennung in Backups frühzeitig auf mögliche Bedrohungen zu reagieren und die Bedrohungslage zu reduzieren. Auch können Backups nach Angriffsvektoren durchsucht werden, um Malware in Backups oder einen sauberen Wiederherstellungszeitpunkt zu identifizieren. Durch das sehr offene Ökosystem bietet Cohesity auch Drittanbietern die Möglichkeit, Apps auf der Plattform anzubieten. Auch Cohesity gehört eher zu den hochpreisigen Lösungen im Markt und bringt teilweise eine höhere Komplexität im Lizenzmodell mit sich, als andere Hersteller.
Commvault
Der Hersteller Commvault bietet mit langjähriger Erfahrung am Markt eine sehr umfassende Cyber Resilience-Platform - die Commvault Cloud - die vor allem bei vielen Enterprise-Kunden im Einsatz ist. Auch Commvault ist in der Lage, die Daten aller großen Hyperscaler innerhalb einer Plattform zu sichern. Die Plattform ist über mehrere Jahre gewachsen und sehr umfassend.
Besonders hervorzuheben ist bei Commvault der sogenannte CleanRoom-Ansatz, der es ermöglicht, einzelne Workloads innerhalb einer kontrollierten Umgebung wiederherzustellen, um so die Wiederherstellbarkeitzu überprüfen und Malware in Backups zu identifizieren. Dadurch sind ganzheitliche automatisierte Recovery-Tests einfacher umzusetzen und zu überwachen. Zudem gibt es weitreichende Funktionalitäten, um die Wiederherstellung auf Unternehmensebene zu automatisieren.
Zudem bietet Commvault teilweise die Möglichkeit, Infrastrukturkonfigurationen wiederherzustellen und bietet eine Vielzahl an sicherbaren Workloads an.
Der größte Nachteil bei Commvault ist die Komplexität der historisch gewachsenen Umgebung, bzw. bei den einzelnen Tools, was zu erhöhten internen Kosten führen kann.
Zwischenfazit Herstellervergleich
Zusammenfassend lässt sich festhalten, dass es zwischen den einzelnen Tools einige Gemeinsamkeiten gibt, wie zentrale Steuerung, Monitoring, Automatisierung und eine Entlastung der vorhandenen Teams.
Es gibt allerdings auch Unterschiede, die je nach Use Case, vorhandener Infrastruktur und festgelegter strategischer Ziele evaluiert werden sollten. Auch die technischen und prozessualen Bedarfe im On-Premise-Umfeld sollten dabei mit einbezogen werden.
Cloud Resilience: Fundierte Strategien im Zusammenspiel von Technologie, Organisation und Mensch
Insgesamt lässt sich sagen, dass die Nutzung von Hyperscalern Unternehmen nicht aus ihrer Verantwortung nimmt, sich mit dem Thema Resilience und Cyber Recovery auseinanderzusetzen und regulatorische sowie compliance Anforderungen zu erfüllen. Mit den Shared Responsibility-Modellen der Anbieter von Hyperscaler-Lösungen liegt die Verantwortung für die Datensicherheit beim Unternehmen selbst.
Bevor es an eine technische Evaluierung von benötigten Tools geht, sollten zunächst die organisatorischen Grundlagen geschaffen werden, die in einem Ernstfall entscheiden können. Durch klare Governance und festgelegt KPIs sollten strukturierte Wiederherstellungspläne im Einklang mit der gesamten BCM-Strategie des Unternehmens erstellt werden. Das Verständnis für die Kritikalität einzelner Prozesse und damit zusammenhängenden Applikationen und Daten sowie die Identifikation von Lücken in der Einhaltung der festgelegten KPIs bietet dabei die Grundlage für die Erstellung eines technologischen Zukunftsbildes.
Die Resilienz ist dabei immer ein Zusammenspiel zwischen Technologie, Prozessen, Organisation und den Menschen. Eine Kombination aus Hyperscaler-nativen Tools mit Tools bspw. von oben genannten Herstellern, gepaart mit Cyber Resilience- und Cloud-Expertise, können entscheidende Bausteine sein, um eine Business Continuity Management-Strategie in der Umsetzung erfolgreich zu machen. Dies befreit aber Unternehmen nicht von der Verantwortung, die richtigen Strategien zu definieren und in zukunftsfähigen Architekturen umzusetzen. In einem solchen Prozess sollten Unternehmen gemeinsam mit Experten die nötigen Strategien definieren und darauf basierend eine fundierte Auswahl der nötigen Tools treffen.
AUTOR: Philip Röder
Als Wirtschaftsinformatiker bringt Philip Röder 10 Jahre Erfahrung in Digitalisierung und Management aus dem Konzern-Umfeld bei der Empalis ein. Seine Schwerpunkte sind Go2Market-Strategien und digitale Produktentwicklung.
Warum Cloud Resilience zunehmend wichtiger wird
Die Bedeutung von Resilienz im Allgemeinen ist in den letzten Jahren stark angestiegen. Dazu beigetragen haben neben gesetzlichen Anforderungen - wie NIS2 und DORA - auch das deutlich gestiegene Risiko durch Cyberangriffe. Laut Bitkom waren dieses Jahr etwa 87 Prozent der Unternehmen von Cyberangriffen betroffen. Viele Unternehmen sind bereits dabei, gemeinsam mit Partnern Konzepte zu entwickeln, um ihre On-Premise-Infrastruktur möglichst resilient gegen Bedrohungen aus dem Netz aufzustellen. Diesen Wandel konnte man in den letzten Jahren auch auf der Herstellerseite beobachten. Gerade im Disaster Recovery-Umfeld hat sich der Funktionsumfang deutlich in Richtung Cyberresilienz verschoben. Dabei ist ein Kernthema, welches die meisten Hersteller - wie Rubrik oder Veeam - in dem Bereich versuchen abzudecken, eine möglichst schnelle und erfolgreiche Wiederherstellung nach einem Cyberangriff.
Auch im Cloud-Umfeld gewinnt das Thema zunehmend an Wichtigkeit. Kunden modernisieren ihre Infrastruktur kontinuierlich, und viele greifen dabei ganz oder zumindest teilweise auf Hyperscaler zurück, um ihre Anforderungen ganzheitlich abzudecken. In Zuge dessen entstehen viele Cloud-, Hybrid- und Multi Cloud-Umgebungen. Bitkom sagt voraus, dass in 5 Jahren jedes Unternehmen Cloud-Dienste in Anspruch nehmen wird.
Auch wenn die Einfachheit der Cloud typischerweise suggeriert, dass man sich mit den klassischen IT-Infrastruktur-Themen nicht mehr auseinandersetzen muss, so sind nach den Shared Responsibility-Modellen der Anbieter die Unternehmen selbst für die Sicherheit ihrer Daten verantwortlich. Findet also ein Cyberangriff auf eine Cloud-Umgebung eines Unternehmens statt, so muss dieses selbstständig in der Lage sein, seine kritischen Geschäftsprozesse wieder zum Laufen zu bringen.
Die Nutzung der Cloud bedeutet also nicht, dass man automatisch resilient aufgestellt ist, sondern erschafft einen weiteren Bereich in der Infrastruktur, in welchem man selbst für eine vollumfängliche Datensicherung und die Recovery-Fähigkeit verantwortlich ist. Im Alltag zeigt sich häufig, dass diese Thematik für viele Cloud Teams noch neues Terrain ist. Neben der technologischen Absicherung zeigen sich zudem des Öfteren Lücken in der Verknüpfung zum allgemeinen Business Continuity Management (BCM) und zur Notfallstrategie in Bezug auf die Cloud.
Was ist Cloud Resilienz – und was ist Resilience in der Cloud?
Cloud Computing Insider definiert Cloud-Resilienz als die „Widerstandsfähigkeit gegenüber Störungen und Problemen wie Hardwaredefekte, Softwarefehler, Cyberangriffe, Netzwerkausfälle oder Naturkatastrophen. Die Resilienz umfasst dabei alle Cloud-Komponenten und -Systeme wie Server, Speichersysteme, Netzwerke und Anwendungen.“ Dabei wird betont, dass es „bei der Cloud-Resilienz […] um die Vorhersage möglicher IT-Unterbrechungen in einem Unternehmen [geht]. Dazu gehört auch die Planung der Geschäftskontinuität sowie die Frage, wie wesentliche Cloud-Dienste aufrecht gehalten oder nach einem Ausfall möglichst schnell wieder bereitgestellt werden können.“ (Quelle: Cloud Computing Insider, 04.12.2025)
In der Praxis lässt sich mit Blick auf die Umsetzung aus unserer Sicht in zwei unterschiedliche strategische Ausrichtungen unterteilen:
- Unternehmen, die noch nicht in der Cloud sind bzw. einen Großteil ihrer Infrastruktur on premise hosted, wollen ihre Gesamtresilienz mithilfe der Cloud verbessern. Beispiele sind automatisierte Recovery-Tests in die Cloud, zusätzliche Datensicherung in die Cloud und Fail-Over-Szenarien von On-Premise in die Cloud. Hier wird die Cloud als Teil eines umfassenden BCM-/DR- Konzepts eingesetzt.
- Wie kann ich Cloud-native Werkzeuge und zusätzliche Tools nutzen, um eine Cloud-Architektur aufzubauen, die mir maximale Ausfallsicherheit für meine kritischen Geschäftsprozesse gewährleistet? Zentrale Prinzipien dabei sind Datenredundanz und verteilte Systeme, Automatisierung, Monitoring, Failover/Multiregion, Zero-Trust und Backup & Desaster Recovery.
Datenverluste in der Cloud können nicht nur durch Cyberangriffe entstehen. Auch Fehlkonfigurationen, versehentliches Löschen, bewusstes Löschen durch Mitarbeiter, IAM-Fehler und falsch angelegte Policies im Storage können zu einem signifikanten und geschäftskritischen Datenverlust führen. Wenn auch sehr selten, so können auch Ausfälle beim Cloud-Anbieter selbst zur vorübergehenden Unerreichbarkeit der geschäftskritischen Daten führen.
Was es für durchgängige Cloud Resilience zu beachten gibt
Es gibt verschiedene Gründe, warum das Thema Resilienz in der Cloud oft eine hohe Komplexität mit sich bringt. Zum einen aufgrund der hohen technischen Komplexität.
Hyperscaler-Architekturen und Funktionalitäten
Bei allen Gemeinsamkeiten haben verschiedene Hyperscaler dennoch unterschiedliche Architekturen und Funktionsweisen. Man muss klar verstehen, wie die Standardkonfigurationen funktionieren und welche Vor- und Nachteile diese mit sich bringen. Zusätzlich gibt es bei allen Hyperscalern eine Vielzahl an Services, die in Abhängigkeit zueinander stehen und so die Komplexität erhöhen. Durch die Verteilung von Daten über mehrere Regionen kann es komplex sein, die Konsistenz dieser Services und Funktionalitäten durchgehend zu bewahren. Komplexe Berechtigungsmodelle können dazu führen, dass User Berechtigungen erhalten, die sie eigentlich nicht erhalten sollten. Häufig sind beispielsweise Entwicklungsteams in der Lage, Datenbestände aus Produktivumgebungen zu kopieren und ihre Testumgebungen damit zu füttern. Werden bei diesen Testumgebungen nicht die gleichen Sicherheitsrichtlinien wie in der Produktivumgebung eingehalten, bietet das eine potenzielle Angriffsfläche.
Hybride Infrastrukturen
Eine weitere Komplexität ergibt sich durch hybride Infrastrukturen. In den meisten Unternehmen ist häufig noch eine On-Premise-Infrastruktur vorhanden und viele setzen auch gleich auf mehrere Hyperscaler. Die unterschiedlichen Datenquellen, Applikationsarchitekturen und Abhängigkeiten, können eine saubere Disaster Recoverystark verkomplizieren.
Sicherung von Workloads
Neben diesen eher technischen Punkten bringt das Thema Cloud auch eine organisatorische Komplexität mit. Durch verschiedene Teams mit unterschiedlichen Verantwortungen (Cloud, Security, Netzwerk, Devops) und unterschiedlichen Tools und Prozessen fehlen häufig zusammenhängende Dokumentationen und klare Ownership-Strukturen für bestimmte Workloads. Häufig gibt es kein organisatorisches Gesamtkonzept, das die gesamte Infrastruktur im Hinblick auf ihre Resilienz im Blick hat.
Externe und interne Bedrohungen der Cloudresilienz
Neben der Bedrohung durch Cyberangriffe, Fehlkonfigurationen, versehentlichem oder böswilligem Löschen und technischen Risiken spielt auch das Thema Vendor Lock-in und Portabilität der Daten, sowie Audit, Compliance und Legal Hold relevanter Prozesse eine große Rolle darin, wieso ein solches Gesamtkonzept unerlässlich ist.
Zwischenfazit: Ganzheitliche Recovery-Strategie ist essenziell
Zusammenfassend kann man festhalten, dass besonders in einer Cloud- oder Hybridumgebung eine klare und ganzheitliche Recovery-Strategie essenziell ist, um den Geschäftserfolg sicherzustellen.
Welches Resilience- und Recovery-Konzept passt zu meiner Infrastruktur?
Zu Anfang ist es entscheidend, im Vorgehen einer Prozess- und darauf basierenden Gap-Analyse den genauen Bedarf und alle Systeme und Anforderungen zu betrachten, die für die Resilienz des Unternehmens tragend sind.
Schritt 1: Prozessanalyse über Dataclassification bis hin zum Wiederherstellungsplan
Bevor es an die technischen Entscheidungen und Umsetzung geht, ist es im Bereich Cloud Resilience wie auch generell im Thema Cyber Resilienceunerlässlich, zunächst anhand einer strukturierten Prozessanalyse:
- zum einen mögliche Lücken zur BCM-Strategie und regulatorischen Anforderungen zu definieren,
- zum anderen die geschäftskritischen Applikationen und Daten zu klassifizieren.
- Wichtig: Auch die restliche Infrastruktur und genutzte SaaS-Anwendungen sollten dabei nicht außen vorgelassen werden.
Nachdem alle kritischen Prozesse und dazugehörigen Systeme dokumentiert wurden, werden die zu den Systemen zugehörigen Objekte und Daten identifiziert. Häufig gibt es auch übergreifende Systeme wie das Identity und Access Management (IAM), das für die Lauffähigkeit aller Systeme entscheidend ist. Nach dieser Kategorisierung kann ein konkreter Plan erstellt werden in welcher Reihenfolge welche technischen Objekte im Falle eines Datenverlusts wiederherzustellen sind.
Nach der Zuordnung der einzelnen technischen Objekte zu konkreten Wiederherstellungsprozessen und Zeiten im Einklang mit den in den SLAs festgelegten KPIs (RTO/RPO), werden, basierend auf den aktuell technisch verfügbaren Möglichkeiten, verschiedene Wiederherstellungstests gefahren. Diese unterscheiden sich hauptsächlich nach dem Auslöser für eine Wiederherstellung (Datenverschlüsselung, Datenverlust, Hardwareausfall, Ausfall einzelner Systeme).
Schritt 2: Gap-Analyse und Entscheidungsfindung
Mithilfe dieser Testszenarien wird eine Gap-Analyse erstellt, welche dann herangezogen wird, um technische Lösungen zu identifizieren, die zukünftig zum Einsatz kommen müssen.
Die identifizierten Lücken helfen dabei, den Funktionsumfang einer neuen Lösung zu definieren und klare Anforderungen an die zu sichernden Technologien festzulegen. Neben dem klassischen Backup spielen hier Themen wie Disaster Recovery, Failover und Failback, Malware Scanning, Immutability, Air-Gapping und Threat Hunting, sowie Hochverfügbarkeit für bestimmte Systeme eine wichtige Rolle.
Auch die vorhandenen Skills im Unternehmen, die Bedienbarkeit des Tools, sowie Möglichkeiten zur Automatisierung sind relevant. Selbstverständlich spielen auch Anforderungen an die Datenaufbewahrung und die Verfügbarkeit wichtige Aspekte der Entscheidungsfindung dar. (In-Cloud, Cross-Region, On-Premis, Datensouveränität)
Nicht zuletzt entscheiden selbstverständlich auch die Kosten und Lizenzmodelle von den verschiedenen Anbietern über die bestpassende Lösung.
Sobald alle Faktoren identifiziert sind, kann eine qualifizierte Entscheidung für ein zukunftsfähiges Cloud Resilience-Konzept getroffen werden, welches sich nahtlos in die vorhandene Strategie, Prozesse und bestehende Infrastruktur einfügt.
Vergleich: Welche technischen Anbieter für Cloud Resilience gibt es am Markt?
Im Folgenden zeigen wir im Vergleich, worauf es bei der Auswahl an Herstellern am Markt, die die Cloud Resilience erhöhen, zu achten gilt, welche Anbieter aus unserer Erfahrung Vorteile mitbringen, und welche Rolle die Lösungen der bekannten Hyperscaler dabei spielen.
Alle Hyperscaler sichern auch? – Ja, aber als Standardlösungen nicht weitreichend genug
Alle der bekanntesten Hyperscaler (AWS Cloud, Microsoft Azure und Google Cloud Platform (GCP)) bieten eigene Lösungen zur Erhöhung der Resilienz an. Das umfasst sowohl Backup Lösungen (AWS-Backup, Azure Backup, Google Cloud Backup & DR) als auch Lösungen zur schnelleren Datenwiederherstellung, wie einer Snapshot-basierten Sicherung der Primärdaten. In den meisten Fällen führen diese auch standardmäßig eine Sicherung der vorhandenen Daten bis zu einem gewissen Grad durch.
Möchte man diese Lösungen allerdings als Teil einer komplexeren Infrastruktur einsetzen, oder hat man mehrere Applikationen, Datenquellen, eine Vielzahl technischer Objekte oder auch Sub-Organisationen innerhalb seines Hyperscalers, wird vor allem der Einsatz der Tools zur Datensicherung und Disaster Recovery zu einer komplexen Aufgabe. Allen zu sichernden Objekten müssen die SLAs von Hand zugewiesen werden.
Datensicherung in der Cloud – selten Sache von Cloud- oder Entwicklersteams
Diese Aufgabe liegt meistens nicht in den Infrastrukturteams, sondern in Cloud- oder Entwicklungsteams, die sich seltener mit der Thematik Datensicherung auseinandersetzen. Recovery-Szenarien und Recovery Tests müssen manuell konfiguriert und aufgesetzt werden und die Cloud-eigenen Tools bieten keine Möglichkeiten, vorhandene Backups auf Malware zu überprüfen, um so im Falle eines Cyberangriffs die Recovery Time bestmöglich zu verkürzen. Zudem kann man mit den Bordmitteln nur die Cloud-eigenen Workloads adäquat sichern, was dazu führt, dass man in einer hybriden oder Multi Cloud-Infrastruktur unterschiedliche Tools für die Disaster Recovery einsetzen muss - was eine zusätzliche Erhöhung der Komplexität bedeutet.
Falsche Einstellungen können zusätzlich zu hohen unerwarteten Kosten führen. Um ein solides technisches Gesamtkonzept mit den Bordmitteln umzusetzen, empfiehlt es sich, sich von spezialisierten Experten zu den bestehenden Möglichkeiten beraten zu lassen.
Cloud-Sicherungsarchitekturen mit Veeam, Rubrik, Cohesity und Commvault
Mittlerweile haben sich die meisten größeren Backup-Hersteller im Umfeld des Themas Cyber Resilience auch in den Cloud-Markt entwickelt und bieten dort ihre Disaster Recovery-Lösungen an. Die bekanntesten Hersteller mit Cloud Resilience-Lösungen sind Veeam, Rubrik, Cohesity und Commvault. Jeder Hersteller hat Stärken und Schwächen und legt den Fokus auf unterschiedliche Themenfelder. Die Entscheidung für den passenden Anbieter liegt also immer im Auge des Betrachters und sollte nicht ohne die zuvor beschriebene fundierte Prozess- und Gap-Analyse durchgeführt werden.
Veeam
Veeam ist als Backup-Hersteller schon lange im Markt und bedient vor allem im Mittelstand, aber auch im Enterprise-Sektor einen sehr großen Kundenstamm. Die Backup-Lösungen von Veeam sind daher sehr zuverlässig und haben ein breites Einsatzspektrum. Unternehmen, die bereits Veeam für das Backup ihrer On-Premise-Systeme im Einsatz haben, ziehen häufig auch Veeam in Betracht, wenn es in Richtung Datensicherung in der Cloud geht. Veeam hat sich im letzten Jahrzehnt zu einem der führenden Backup-Hersteller positioniert und entwickelt sich auch im Bereich Cyber Resilience stetig weiter. Mit dem Multi-Cloud Ansatz bietet Veeam die Möglichkeit, auch in Infrastrukturen, in denen mehrere Cloud Anbieter genutzt werden, Daten innerhalb einer Plattform zu sichern. Mit der Veeam Data Plattform, lassen sich AWS, Azure und GCP sichern. Die Cloud spezifischen Sicherungslösungen von Veeam sind wie gewohnt in den Marktplätzen der Hyperscaler erhältlich.
Ein Nachteil der Veeam-Lösung ist die recht komplexe Architektur, da Veeam verschiedene Lösungen in einer Plattform vereint. Man muss sich mit jeder Oberfläche einzeln vertraut machen, und es ist ein hoher Aufwand, die Backup-Policies für alle nötigen Workloads einzurichten.
Rubrik Security Cloud
Rubrik positionierte sich von Beginn an nicht als „einfacher Backup-Hersteller“, sondern klar als Leader im Cyber Resilience-Umfeld. Mit dem Ziel, die Cyber Recovery-Zeit ihrer Kunden so weit wie möglich zu reduzieren und so sicherzustellen, dass sie nach einem Cyber-Angriff möglichst schnell wieder lauffähig sind. Auch Rubrik bietet die Möglichkeit, die Daten aus allen großen Hyperscalern über ihre Plattform, die Rubrik Security Cloud, zu sichern.
Besonders hervorzuheben ist hier die Einfachheit in der Nutzung. Durch SLA-basierte Backup-Policies, die sich nach einmaligen Anlegen auf alle technischen Objekte übertragen lassen, lassen sich strukturierte Cyber Resilience-Prozesse, wie im ersten Teil des Artikels beschrieben, sehr gut im System abbilden. Zusätzlich indiziert Rubrik die Metadaten eines jeden Backups, was dafür sorgt, dass Backups nach einem Cyberangriff in Sekundenschnelle nach Ransomware durchsucht werden können. Das sorgt für eine schnelle Identifikation des letzten sauberen Wiederherstellungszeitpunktes und einer deutlich verkürzten Recovery-Zeit.
Auch bei Trendthemen wie zum Beispiel Agentic AI ist die Rubrik häufig Vorreiter. Durch den sehr starken Security-Fokus der Rubrik ist das Ökosystem stärker eingeschränkt als bei anderen Anbietern und es wird stark auf eigenentwickelte Lösungen gesetzt.
Der Nachteil der Rubrik Security Cloud könnte für einige Endkunden im Preismodell liegen, das auf dem genutzten Funktionsumfang der Kunden basiert.
Cohesity Data Cloud
Die Cohesity Data Cloud ist die gesamtheitliche Cyber Resilience-Lösung des Herstellers Cohesity. Durch die Akquisition von Veritas hat sich die Cohesity im Jahr 2025 deutlich verbreitert und kann dadurch auf eine große Kundenbasis zugreifen. Auch die Cohesity verfolgt einen Plattformansatz und ist in der Lage, verschiedenste Hyperscaler aus einer Oberfläche heraus zu sichern. Über vordefinierte Policies können auch hier den einzelnen Ressourcen vordefinierte Sicherungsregeln zugewiesen werden. Die Einstellung der Policies bringt eine etwas höhere Komplexität mit sich und sollte von Experten vorgenommen werden, um eine möglichst gute Performance und Abdeckung zu gewährleisten.
Mit Cohesity DataHawk als zusätzliche Funktionalität bietet Cohesity zudem die Möglichkeit, durch KI-gesteuerte Anomalie-Erkennung in Backups frühzeitig auf mögliche Bedrohungen zu reagieren und die Bedrohungslage zu reduzieren. Auch können Backups nach Angriffsvektoren durchsucht werden, um Malware in Backups oder einen sauberen Wiederherstellungszeitpunkt zu identifizieren. Durch das sehr offene Ökosystem bietet Cohesity auch Drittanbietern die Möglichkeit, Apps auf der Plattform anzubieten. Auch Cohesity gehört eher zu den hochpreisigen Lösungen im Markt und bringt teilweise eine höhere Komplexität im Lizenzmodell mit sich, als andere Hersteller.
Commvault
Der Hersteller Commvault bietet mit langjähriger Erfahrung am Markt eine sehr umfassende Cyber Resilience-Platform - die Commvault Cloud - die vor allem bei vielen Enterprise-Kunden im Einsatz ist. Auch Commvault ist in der Lage, die Daten aller großen Hyperscaler innerhalb einer Plattform zu sichern. Die Plattform ist über mehrere Jahre gewachsen und sehr umfassend.
Besonders hervorzuheben ist bei Commvault der sogenannte CleanRoom-Ansatz, der es ermöglicht, einzelne Workloads innerhalb einer kontrollierten Umgebung wiederherzustellen, um so die Wiederherstellbarkeitzu überprüfen und Malware in Backups zu identifizieren. Dadurch sind ganzheitliche automatisierte Recovery-Tests einfacher umzusetzen und zu überwachen. Zudem gibt es weitreichende Funktionalitäten, um die Wiederherstellung auf Unternehmensebene zu automatisieren.
Zudem bietet Commvault teilweise die Möglichkeit, Infrastrukturkonfigurationen wiederherzustellen und bietet eine Vielzahl an sicherbaren Workloads an.
Der größte Nachteil bei Commvault ist die Komplexität der historisch gewachsenen Umgebung, bzw. bei den einzelnen Tools, was zu erhöhten internen Kosten führen kann.
Zwischenfazit Herstellervergleich
Zusammenfassend lässt sich festhalten, dass es zwischen den einzelnen Tools einige Gemeinsamkeiten gibt, wie zentrale Steuerung, Monitoring, Automatisierung und eine Entlastung der vorhandenen Teams.
Es gibt allerdings auch Unterschiede, die je nach Use Case, vorhandener Infrastruktur und festgelegter strategischer Ziele evaluiert werden sollten. Auch die technischen und prozessualen Bedarfe im On-Premise-Umfeld sollten dabei mit einbezogen werden.
Cloud Resilience: Fundierte Strategien im Zusammenspiel von Technologie, Organisation und Mensch
Insgesamt lässt sich sagen, dass die Nutzung von Hyperscalern Unternehmen nicht aus ihrer Verantwortung nimmt, sich mit dem Thema Resilience und Cyber Recovery auseinanderzusetzen und regulatorische sowie compliance Anforderungen zu erfüllen. Mit den Shared Responsibility-Modellen der Anbieter von Hyperscaler-Lösungen liegt die Verantwortung für die Datensicherheit beim Unternehmen selbst.
Bevor es an eine technische Evaluierung von benötigten Tools geht, sollten zunächst die organisatorischen Grundlagen geschaffen werden, die in einem Ernstfall entscheiden können. Durch klare Governance und festgelegt KPIs sollten strukturierte Wiederherstellungspläne im Einklang mit der gesamten BCM-Strategie des Unternehmens erstellt werden. Das Verständnis für die Kritikalität einzelner Prozesse und damit zusammenhängenden Applikationen und Daten sowie die Identifikation von Lücken in der Einhaltung der festgelegten KPIs bietet dabei die Grundlage für die Erstellung eines technologischen Zukunftsbildes.
Die Resilienz ist dabei immer ein Zusammenspiel zwischen Technologie, Prozessen, Organisation und den Menschen. Eine Kombination aus Hyperscaler-nativen Tools mit Tools bspw. von oben genannten Herstellern, gepaart mit Cyber Resilience- und Cloud-Expertise, können entscheidende Bausteine sein, um eine Business Continuity Management-Strategie in der Umsetzung erfolgreich zu machen. Dies befreit aber Unternehmen nicht von der Verantwortung, die richtigen Strategien zu definieren und in zukunftsfähigen Architekturen umzusetzen. In einem solchen Prozess sollten Unternehmen gemeinsam mit Experten die nötigen Strategien definieren und darauf basierend eine fundierte Auswahl der nötigen Tools treffen.
AUTOR: Philip Röder
Als Wirtschaftsinformatiker bringt Philip Röder 10 Jahre Erfahrung in Digitalisierung und Management aus dem Konzern-Umfeld bei der Empalis ein. Seine Schwerpunkte sind Go2Market-Strategien und digitale Produktentwicklung.
