Laut dem Veeam 2025 Ransomware Trends Report hielten sich die meisten Unternehmen für gut vorbereitet - doch nur jedes zehnte Unternehmen konnte mehr als 90 Prozent seiner Server wiederherstellen.
Inhalt
Zum World Backup Day 2026 am vergangenen Dienstag zeigte sich: 69 Prozent der Unternehmen, die vergangenes Jahr Opfer eines Ransomware-Angriffs wurden, hielten sich vorab für laut Veeam 2025 Ransomware Trends Reports gut vorbereitet. Tatsächlich konnte danach nur jedes zehnte Unternehmen mehr als 90 Prozent seiner Server wiederherstellen. Grund ist nicht die technologische Seite der Backuplösung, sondern die fehlender Recovery-Fähigkeit.
Backup ohne Recovery-Nachweis bietet keine Sicherheit
Wir erleben das regelmäßig, wenn wir in Projekte kommen: Backup-Jobs laufen seit Jahren zuverlässig, Retentionzeiten sind sauber konfiguriert, der Storage-Verbrauch wird monatlich geprüft. Doch wenn ich nachfrage, ob im Angriffsfall auch wirklich alle Daten wiederherstellbar sind, ob Restore-Tests unter realistischen Bedingungen, ein definierterRTO (Recovery Time Objective) und ein dokumentierter Prozess vorliegen – Fehlanzeige.
Inzwischen hat sich das Problem verschärft, seit Angreifer Backup-Infrastrukturen gezielt ins Visier nehmen. Ransomware sucht vor dem eigentlichen Angriff nach Backup-Repositories, um sie zu verschlüsseln oder zu löschen. Und laut Veeam sind hiervon nur 32% der Repositories unveränderlich gesichert (immutable).
Was Recovery Readiness bedeutet
Recovery Readiness besteht nur auf Basis eines nachweislich recoveryfähigen Zustands. Vier Dimensionen sind entscheidend:
Was bislang Best Practice war, wird durch regulatorische Anforderungen zur dokumentierten Pflicht. Die EU-Direktive NIS2 schreibt Unternehmen vor, Maßnahmen zur Betriebskontinuität und zur Wiederherstellung nach Sicherheitsvorfällen zu implementieren und nachzuweisen. Dies betrifft Unternehmen in kritischen und wichtigen Sektoren — von Energie und Gesundheit bis zu digitaler Infrastruktur und IT-Dienstleistungen.
DORA (Digital Operational Resilience Act) gilt für Finanzunternehmen und ihre IT-Dienstleister und ist seit dem 17. Januar 2025 vollständig gültig. DORA fordert explizit regelmäßige Tests der Wiederherstellungsfähigkeit. Es reicht nicht aus, dass Backups vorhanden sind: Die Systeme müssen – nachweislich – in definierten Zeitfenstern wiederhergestellt werden können.
Cyber-Versicherungen folgen diesem Druck: Viele Anbieter verlangen inzwischen den Nachweis von MFA (Multi-Factor Authentication)auf Backup-Konsolen sowie dokumentierte unveränderliche Kopien als Voraussetzung für den Versicherungsschutz. Wer das nicht nachweisen kann, zahlt mehr — oder bekommt keinen Schutz.
Fazit: Recovery Readiness entscheidet, ob ein Unternehmen einen Angriff übersteht
Es ist klar, dass Backups unverzichtbar sind. Doch erst die jeweilige Recovery Readiness entscheidet, ob das betreffende Unternehmen einen Angriff übersteht – oder nicht. Diese Frage ist nicht in der Auswahl der Technologie begründet, sondern in Dokumentation, Tests und im tatsächlichen Recovery-Prozess. NIS2, DORA und Cyber-Versicherungen erzwingen diesen Wandel gerade, und wer ihn proaktiv angeht, ist besser aufgestellt, als jene die abwarten.
Quellen
Matthias Mrugalla:
Matthias Mrugalla, Head of Managed Solutions bei Empalis, bringt seine Erfahrung als langjähriger Consultant sowie technischer Projektleiter mit Schwerpunkt Sicherung von virtuellen Systemen mit IBM Storage Protect und Veeam ein.
Kontakt
Wenn Sie wissen möchten, wo Ihre Organisation in Sachen Recovery Readiness steht, sprechen Sie uns an. Mit einem Cyber Resilience Assessment identifizieren wir gemeinsam Lücken — bevor jemand anderes sie findet.
Matthias Mrugalla, Head of Managed Solutions
Telefon +49 174 310 81 84
E-Mail senden
Inhalt
- Backup ohne Recovery-Nachweis bietet keine Sicherheit
- Was Recovery Readiness bedeutet
- NIS2 und DORA machen Recovery zur nachweisbaren Pflicht
- Fazit: Recovery Readiness entscheidet, ob ein Unternehmen einen Angriff übersteht
- Quellen
Zum World Backup Day 2026 am vergangenen Dienstag zeigte sich: 69 Prozent der Unternehmen, die vergangenes Jahr Opfer eines Ransomware-Angriffs wurden, hielten sich vorab für laut Veeam 2025 Ransomware Trends Reports gut vorbereitet. Tatsächlich konnte danach nur jedes zehnte Unternehmen mehr als 90 Prozent seiner Server wiederherstellen. Grund ist nicht die technologische Seite der Backuplösung, sondern die fehlender Recovery-Fähigkeit.
Backup ohne Recovery-Nachweis bietet keine Sicherheit
Wir erleben das regelmäßig, wenn wir in Projekte kommen: Backup-Jobs laufen seit Jahren zuverlässig, Retentionzeiten sind sauber konfiguriert, der Storage-Verbrauch wird monatlich geprüft. Doch wenn ich nachfrage, ob im Angriffsfall auch wirklich alle Daten wiederherstellbar sind, ob Restore-Tests unter realistischen Bedingungen, ein definierterRTO (Recovery Time Objective) und ein dokumentierter Prozess vorliegen – Fehlanzeige.
Inzwischen hat sich das Problem verschärft, seit Angreifer Backup-Infrastrukturen gezielt ins Visier nehmen. Ransomware sucht vor dem eigentlichen Angriff nach Backup-Repositories, um sie zu verschlüsseln oder zu löschen. Und laut Veeam sind hiervon nur 32% der Repositories unveränderlich gesichert (immutable).
Was Recovery Readiness bedeutet
Recovery Readiness besteht nur auf Basis eines nachweislich recoveryfähigen Zustands. Vier Dimensionen sind entscheidend:
- Technische Integrität: Backups müssen unveränderbar gespeichert (Immutable Storage), isoliert aufbewahrt (Air-Gap oder logische Separation) und regelmäßig auf Wiederherstellbarkeit geprüft sein.
- Messbare Recovery-Fähigkeit: RTOund RPO(Recovery Point Objective) müssen definiert und mit realen Tests belegt sein. Gemeint ist damit ein Full-System-Recovery unter Zeitdruck.
- Prozesssicherheit: Wer trägt im Ernstfall Verantwortung? Welche Systeme werden in welcher Reihenfolge wiederhergestellt? Wen informiert man wann? Diese Fragen müssen schriftlich beantwortet sein, bevor es zum Angriff kommt.
- Saubere Isolation: Nur 28 Prozent der Unternehmen stellen Daten in einer Sandbox-Umgebung wieder her und prüfen sie vor dem Transfer in die Produktion (Veeam 2025 Ransomware Trends Report, S. 12). Ohne diesen Schritt besteht das Risiko, Malware direkt aus dem Backup zurück in die Produktion zu tragen.
Was bislang Best Practice war, wird durch regulatorische Anforderungen zur dokumentierten Pflicht. Die EU-Direktive NIS2 schreibt Unternehmen vor, Maßnahmen zur Betriebskontinuität und zur Wiederherstellung nach Sicherheitsvorfällen zu implementieren und nachzuweisen. Dies betrifft Unternehmen in kritischen und wichtigen Sektoren — von Energie und Gesundheit bis zu digitaler Infrastruktur und IT-Dienstleistungen.
DORA (Digital Operational Resilience Act) gilt für Finanzunternehmen und ihre IT-Dienstleister und ist seit dem 17. Januar 2025 vollständig gültig. DORA fordert explizit regelmäßige Tests der Wiederherstellungsfähigkeit. Es reicht nicht aus, dass Backups vorhanden sind: Die Systeme müssen – nachweislich – in definierten Zeitfenstern wiederhergestellt werden können.
Cyber-Versicherungen folgen diesem Druck: Viele Anbieter verlangen inzwischen den Nachweis von MFA (Multi-Factor Authentication)auf Backup-Konsolen sowie dokumentierte unveränderliche Kopien als Voraussetzung für den Versicherungsschutz. Wer das nicht nachweisen kann, zahlt mehr — oder bekommt keinen Schutz.
Fazit: Recovery Readiness entscheidet, ob ein Unternehmen einen Angriff übersteht
Es ist klar, dass Backups unverzichtbar sind. Doch erst die jeweilige Recovery Readiness entscheidet, ob das betreffende Unternehmen einen Angriff übersteht – oder nicht. Diese Frage ist nicht in der Auswahl der Technologie begründet, sondern in Dokumentation, Tests und im tatsächlichen Recovery-Prozess. NIS2, DORA und Cyber-Versicherungen erzwingen diesen Wandel gerade, und wer ihn proaktiv angeht, ist besser aufgestellt, als jene die abwarten.
Quellen
- Veeam: „2025 Ransomware Trends and Proactive Strategies“, Veeam Insights, 2025. Verifizierte Daten: 69 % der Opfer hielten sich für vorbereitet (S. 11); <10 % stellten >90 % der Server im Rahmen der Erwartungen wieder her (S. 12); 28 % nutzen Sandbox-Recovery (S. 12); 89 % der Backup-Repositories wurden angegriffen (S. 12). Verfügbar unter: https://go.veeam.com/...
- Europäische Union: Richtlinie (EU) 2022/2555 (NIS2), in Kraft seit 16. Januar 2023. Umsetzungsfrist für Mitgliedstaaten: 17. Oktober 2024. Stand Deutsches Umsetzungsgesetz (NIS2UmsuCG): pending.
- Europäisches Parlament: Verordnung (EU) 2022/2554 (DORA), anwendbar ab 17. Januar 2025. Verfügbar unter: https://eur-lex.europa.eu
Matthias Mrugalla:
Matthias Mrugalla, Head of Managed Solutions bei Empalis, bringt seine Erfahrung als langjähriger Consultant sowie technischer Projektleiter mit Schwerpunkt Sicherung von virtuellen Systemen mit IBM Storage Protect und Veeam ein.
Kontakt
Wenn Sie wissen möchten, wo Ihre Organisation in Sachen Recovery Readiness steht, sprechen Sie uns an. Mit einem Cyber Resilience Assessment identifizieren wir gemeinsam Lücken — bevor jemand anderes sie findet.
Matthias Mrugalla, Head of Managed Solutions
Telefon +49 174 310 81 84
E-Mail senden
