Illustration Absmeier foto freepik

Nur jedes fünfte Unternehmen ist zuversichtlich, den Geschäftsbetrieb nach einer Cyberattacke weiterführen zu können
Backups in 92 Prozent der Fälle Angriffsziel – bei 13 Prozent in jedem Fall
Jedes vierte Unternehmen zahlt Ransomware-Lösegeld

Unternehmen sehen die besonderen Probleme, die eine Cyber Recovery (CR) im Vergleich zu einer herkömmlichen Datenwiederherstellung, Disaster Recovery (DR), stellt. So die Studie der Enterprise Strategy Group (ESG) »Preparedness Gap: Why Cyber-Recovery Demands a Different Approach From Disaster Recovery«, die das Institut im Auftrag von Commvault durchgeführt und jetzt veröffentlicht hat [1]. Nur 26 Prozent haben Vertrauen in ihre Fähigkeit, alle unternehmenskritischen Applikationen und Daten zu sichern. Lediglich 20 Prozent vertrauen darauf, alle notwendigen Applikationen und Daten verfügbar zu halten, um den Betrieb aufrecht zu erhalten. Der Schaden ist dabei beträchtlich: 52 Prozent der Befragten gaben an, ihr höchstes gezahltes Lösegeld habe über eine Million US-Dollar betragen.

Cyber Recovery umfasst die erweiterten Prozesse und Technologien, um Daten und Systemen nach einer absichtsvollen Cyberattacke wiederherzustellen. Ein solches Ereignis erfordert besondere Strategien für Backup und Restore sowie einen Plan zur Reaktion auf den sicherheitsrelevanten Vorfall. Zudem sind erweiterte Methoden nötig, um Datenverlust und Ausfallzeit zu minimieren sowie zugleich nachhaltig und sauber Daten, Systeme und Applikationen in der angegriffenen IT-Infrastruktur wiederherzustellen. Ebenso notwendig ist die Analyse des Falles, um nachhaltig Folgeangriffe zu verhindern. Diese Messlatten liegen deutlich höher als bei der allgemeineren Disaster Recovery (DR), welche auch die Wiederherstellung nach längeren Ausfällen, etwa durch Stromausfall oder eine Naturkatastrophe, umfasst.

Die Studienteilnehmer sehen im Fall einer CR große Probleme auf sich zukommen und zweifeln an ihrer Cyberresilienz. Wichtige Ergebnisse der Studie sind:

Höhere Komplexität einer CR: Rund 54 Prozent sehen die höhere Komplexität der Reaktion auf ein Cyberereignis im Vergleich zu einem herkömmlichen Ausfall. Je 68 Prozent der Befragten erklärten dies mit der Notwendigkeit unterschiedlicher Prozesse und Workflows beziehungsweise Technologien und Funktionalitäten. 58 Prozent sehen den Bedarf nach besonders geschultem Personal oder speziellen Fähigkeiten. 59 Prozent finden es schwieriger, geeignete Mitarbeiter zu finden oder zu trainieren – nur 15 Prozent sehen dieses Problem bei einer DR. 49 Prozent halten es bei einer CR für schwieriger, Service Level Agreements einzuhalten, nur 26 Prozent bei einer DR.

Forensik und Recovery im Widerstreit: Die Herausforderungen einer CR resultieren für 91 Prozent der Befragten aus der zeitraubenden und aufwändigen forensischen Analyse eines Angriffs. Gleichzeitig befürchten 83 Prozent der Befragten, dass der Zwang zu einer schnellen Wiederherstellung wichtige Beweise über den Angriff vernichtet. Hinzu kommt die Notwendigkeit, eine reine Wiederherstellungsumgebung vor der Recovery zu installieren. 85 Prozent der Befragten sehen andernfalls das Risiko einer Reinfektion mit der Malware.

CR nicht in allen Unternehmen ein eigener Prozess: Trotz der zusätzlichen Komplexität behandeln 52 Prozent der Unternehmen CR lediglich als einen Teil eines erweiterten DR-Programms. Nur ganze 6 Prozent planen CR-Prozesse als eigene Prozesse, die sich in Ablauf und Protokollierung unterscheiden. Nur jedes zweite Unternehmen setzt andere Cyber-Recovery-Ziele im Vergleich zu einer Disaster Recovery fest.

Angriffsziel Backup: Backup ist ein beliebtes Ziel der Cyberkriminellen. Bei 13 Prozent der Opfer galten alle Angriffe den Sicherungen, bei 37 Prozent in den meisten Fällen, bei 21 Prozent in jedem zweiten Fall. Insgesamt waren bei 92 Prozent der Studienteilnehmer Backups von Cyberereignissen betroffen.

Vom Kundenverlust bis zur Haftung: 42 Prozent der Befragten beklagten einen beschädigten Ruf des Unternehmens und Kundenverluste. 42 Prozent berichten vom Diebstahl sensibler Daten von Angestellten, Kunden und Partnern, 40 Prozent von Compliance-Verstößen. Für 32 Prozent folgten aus den Angriffen Haftungsverpflichtungen oder rechtliche Schritte betroffener Dritten. 23 Prozent erlitten finanziellen Schaden. 18 Prozent glaubten, von keinem dieser Probleme betroffen zu sein.

Höchstes gezahltes Lösegeld im Schnitt bei drei Millionen US-Dollar: Fast jedes vierte Unternehmen (23 Prozent) zahlte ein Lösegeld. 8 Prozent der Befragten gaben an, im Höchstfall weniger als 50.000 Euro bezahlt zu haben, bei 28 Prozent lag dieser Wert aber zwischen einer und fünf Millionen Dollar. Das höchste Lösegeld, das Unternehmen durchschnittlich bezahlten, betrug rund drei Millionen Dollar. Die Möglichkeit von Mehrfachzahlungen ist gegeben und bei einem einmal erfolgreichen Angriff naheliegend.

»Cyberresilienz ist völlig zu Recht zu einer Hauptaufgabe für IT- und Sicherheitsverantwortliche gleichermaßen geworden. Sicher haben die für die Wiederaufnahme des IT- und Geschäftsbetriebs verfügbaren Strategien einen höheren Reifegrad erreicht. Um das Resilienzziel tatsächlich zu erreichen, ist die Zusammenarbeit zwischen Geschäfts- und Tech-Entscheidern notwendig«, sagt Uli Simon, Director Sales Engineering bei Commvault. »Strategien für eine Disaster Recovery sind in den meisten Fällen verstanden und hinreichend implementiert. Cyber Recovery stellt aber unterschiedliche und oft umfassendere Anforderungen an Personen, Prozesse und Technologien. Alle Facetten der Betriebsinfrastruktur müssen berücksichtigt, priorisiert und geschützt werden, um kontinuierlich geschäftliche und finanzielle Risiken verringern zu können.«

[1] Die Enterprise Strategy Group hat im Auftrag von Commvault weltweit 500 IT- und Cybersicherheitsprofessionelle aus Unternehmen der unterschiedlichsten Größen und Branchen in den Regionen Nordamerika (35 Prozent der Befragten) mit USA, Kanada, Westeuropa (35 Prozent) mit Frankreich, Deutschland und Großbritannien sowie Asia/Pacific (30 Prozent) mit Australien/Neuseeland für die Studie »Preparedness Gap: Why Cyber-recovery Demands a Different Approach From Disaster Recovery« befragt.

Die gesamte Studie finden Sie unter dem Link: https://www.commvault.com/resources/ebook/cyber-recovery-demands-a-different-approach-from-disaster-recovery.

Backups sind kein Allheilmittel

6. April 2025

foto freepik

Ein Kommentar von Trevor Dearing, Director of Critical Infrastructure Solutions bei Illumio

Am 31. März, macht der World Backup Day auf die Bedeutung regelmäßiger Datensicherungen aufmerksam.

Backups sind ein unverzichtbarer Bestandteil jeder modernen IT-Sicherheitsstrategie. Allerdings werden Backups hierzulande maßlos überschätzt: Laut der vom Ponemon Institute durchgeführten Studie »The Global Cost of Ransomware«, ist mehr als die Hälfte der deutschen Unternehmen der Meinung, dass ein vollständiges und akkurates Backup eine ausreichende Verteidigung gegen Ransomware darstellt. Das ist ein gefährlicher Trugschluss.

Backups sind kein Allheilmittel gegen Ransomware. Sie funktionieren nicht immer, können unbeabsichtigt auch Malware sichern – und selbst wenn sie wie vorgesehen greifen, birgt eine übermäßige Abhängigkeit von ihnen enorme Risiken.

Denn Backups konzentrieren sich auf die Wiederherstellung von Systemen und Daten – doch moderne Angreifer zielen vor allem auf die Störung des Geschäftsbetriebs ab. Laut der Ponemon-Studie mussten 55 % der befragten deutschen Unternehmen nach einem Ransomware-Angriff den Geschäftsbetrieb vorübergehend einstellen, 45 % berichteten auch von erheblichen Umsatzeinbußen. Die Wiederherstellung von Systemen kostet Zeit – Zeit, die Unternehmen im Ernstfall nicht haben.

Anstatt auf eine erfolgreiche Wiederherstellung zu hoffen, müssen Organisationen den Fokus auf Resilienz legen – und Angriffe möglichst früh eindämmen (Breach Containment), idealerweise direkt am Eintrittspunkt. Backups sind wichtig, aber sie sind nicht narrensicher. Sie können weder die Millionenverluste durch Ausfallzeiten noch den Imageschaden wiedergutmachen.

Was es braucht, ist eine Sicherheitsstrategie, die den Realitäten moderner Cyberbedrohungen gerecht wird – eine Strategie, die akzeptiert, dass Sicherheitsverletzungen unvermeidlich sind, und darauf abzielt, sie einzudämmen, bevor sie zu Cyberkatastrophen werden. Nur in Kombination mit wirksamen Maßnahmen zur Cyberhygiene – darunter regelmäßige Backups – lässt sich echte Resilienz gegenüber zunehmend ausgeklügelten Cyberangriffen aufbauen.

[1] https://www.illumio.com/de/resource-center/cost-of-ransomware

Cyberkriminelle haben raffinierte Methoden entwickelt, um Backups zu kompromittieren und Unternehmen daran zu hindern, ihre Daten wiederherzustellen. Hier sind einige gängige Techniken:

Gezielte Ransomware-Angriffe: Moderne Ransomware attackiert nicht nur Produktionsdaten, sondern auch Backup-Systeme, um Unternehmen zur Zahlung von Lösegeld zu zwingen.
Manipulation von Backup-Software: Angreifer nutzen gestohlene Zugangsdaten oder Sicherheitslücken, um Backup-Software direkt zu manipulieren und Daten zu löschen.
Löschen von Schattenkopien: Viele Ransomware-Varianten entfernen Volume-Shadow-Copies, um lokale Wiederherstellungspunkte auszuschalten.
Angriffe auf Netzwerklaufwerke und Backup-Server: Cyberkriminelle infiltrieren Netzwerke und nehmen gezielt Backup-Server ins Visier.
Sabotage von Offline-Backups: Selbst physische Backup-Medien wie Tapes sind nicht immun – Angreifer können sie durch Schnellformatierung oder physische Manipulation unbrauchbar machen.

Um sich zu schützen, sollten Unternehmen auf Immutable Backups, Air Gap-Technologien und Multi-Faktor-Authentifizierung setzen. Regelmäßige Tests der Wiederherstellungsprozesse sind ebenfalls entscheidend.

Genki Absmeier

518 Artikel zu „Cyber Recovery“

News | Trends 2024 | Trends Security | IT-Security

Cyberresilienz und Cyber Recovery: Vorbereitung zahlt sich aus

16. September 2024

Neue Ergebnisse aus dem »2024 Cyber Recovery Readiness Report« zu Effekten von Investitionen in Cyberresilienz. Einmal angegriffene Unternehmen konnten durch Cyber-Recovery-Maßnahmen ihre Wiederherstellungszeit verbessern. Die globale Befragung von 1.000 IT- und IT-Sicherheitsverantwortlichen belegt, dass Unternehmen, die Opfer eines fremden Zugriffs auf Daten wurden, ihr Verhalten, Daten zu sichern, verändert haben und damit ihre Recovery deutlich…