Im Jahr 2025 zeigte eine ESG-Studie (Teil von Omdia) auf Basis von Daten aus Nordamerika, dass 92 % der Unternehmen in den vergangenen zwölf Monaten von einem Ransomware-Angriff betroffen waren. Fast die Hälfte stellte fest, dass sich die Schadsoftware bereits acht Tage oder länger unbemerkt im eigenen System befand.
Diese Verweildauer wird häufig unterschätzt. Moderne Ransomware-Angriffe beginnen nicht mit sofortiger Verschlüsselung. Angreifer bewegen sich zunächst im Netzwerk, erweitern ihre Zugriffsrechte und exfiltrieren Daten. Erst danach wird verschlüsselt. Die Verschlüsselung ist nicht der eigentliche Angriff, sondern der Abschluss.
Backups stehen im Fokus der Angreifer
Wenn Angreifer zuschlagen, wollen sie sicherstellen, dass ein Unternehmen sich nicht mehr erholen kann. Deshalb zielen sie nicht nur auf produktive Daten, sondern gezielt auch auf Backup-Infrastrukturen. Laut ESG geben 41 % der betroffenen Unternehmen an, dass ihre Backup-Systeme selbst angegriffen wurden. Damit sind sie das häufigste Ziel.
Das ist kein Zufall. Wenn die Wiederherstellung nicht mehr möglich ist, stellt sich die Frage nach dem Lösegeld oft gar nicht mehr. Ransomware zählt zu den größten Bedrohungen für Unternehmen und wird zunehmend gezielt eingesetzt, um Backup-Strukturen zu kompromittieren und jede Möglichkeit zur Wiederherstellung zu verhindern.
Trotz jahrelanger Investitionen in Schutzmaßnahmen zahlen viele Unternehmen im Ernstfall. ESG zufolge haben 69 % der betroffenen Organisationen nach einem Angriff Lösegeld gezahlt. Mehr als die Hälfte der erfolgreichen Angriffe führte zu finanziellen Schäden von über einer Million US-Dollar.
Selbst wenn Backups nicht direkt betroffen sind, ist das Problem damit nicht gelöst. Der Vorfall bei Colonial Pipeline im Jahr 2021 zeigt, warum. Das Unternehmen zahlte nicht, weil eine Wiederherstellung unmöglich war, sondern weil niemand verlässlich sagen konnte, wie lange sie dauern würde. Ohne eine klare Einschätzung zur Wiederherstellungszeit bleibt oft nur die Zahlung.
Minimal Viable Business Recovery als Ausgangspunkt
Was bedeutet das für Unternehmen, die vorbereitet sein wollen? Der erste Impuls ist oft, alles gleich stark zu schützen und davon auszugehen, dass sich im Ernstfall auch alles gleichzeitig wiederherstellen lässt. In der Praxis führt genau dieser Ansatz häufig dazu, dass weder Wiederherstellung noch Zeitbedarf wirklich getestet werden.
Ein sinnvollerer Ausgangspunkt ist das Konzept der minimalen betriebsfähigen Wiederherstellung. Die zentrale Frage lautet: Was braucht ein Unternehmen wirklich, um handlungsfähig zu bleiben? Können weiterhin Umsätze generiert, Buchungen abgewickelt und Mitarbeitende bezahlt werden?
Unternehmen, die klar priorisieren, welche Systeme und Daten für den Betrieb unverzichtbar sind und welche später wiederhergestellt werden können, haben in der Regel eine deutlich robustere Strategie. Der Fokus ist eng genug, um Wiederherstellungsprozesse tatsächlich zu testen und zu verifizieren.
Mehrschichtige Absicherung rund um das Wesentliche
Sobald klar ist, was unbedingt verfügbar bleiben muss, sollte genau dieser Kern konsequent geschützt werden. Es gibt einige zentrale Prinzipien, die eine solche Strategie unterstützen:
Kompromittierung einplanen: Zero-Trust-Prinzipien gelten auch hier. Es sollte davon ausgegangen werden, dass Angreifer bereits im System sind und gezielt auch auf Backups zugreifen.
Unveränderliche Speicher nutzen: Backup-Kopien sollten so abgesichert sein, dass sie auf Firmware- oder Hardware-Ebene nicht verändert werden können, unabhängig von den Zugriffsdaten im produktiven System.
Isolation durch Air Gap umsetzen: Kritische Daten sollten über getrennte Managementpfade, separate Zugangsdaten und Multi-Faktor-Authentifizierung isoliert werden. Das 3-2-1-Prinzip bleibt dabei ein bewährter Standard: drei Kopien der Daten, zwei unterschiedliche Speichermedien und eine externe Kopie, beispielsweise in der Cloud.
Anomalien erkennen: Die Analyse von Auffälligkeiten in Backups verhindert keinen Angriff, hilft aber dabei, saubere Datenstände schneller zu identifizieren und die Wiederherstellung zu beschleunigen.
Testen, messen und im Ernstfall Nein sagen können
All diese Maßnahmen sind notwendig, reichen aber allein nicht aus. Entscheidend ist, dass Wiederherstellungsprozesse getestet, gemessen und verlässlich nachgewiesen werden.
Die zentrale Frage ist nicht nur, ob ein Unternehmen Daten wiederherstellen kann, sondern wie schnell geschäftskritische Funktionen wieder verfügbar sind.
Ein funktionierender Plan darf nicht davon ausgehen, dass im Ernstfall alles reibungslos läuft. Wiederherstellungsprozesse müssen regelmäßig geübt, zeitlich gemessen und kontinuierlich verbessert werden.
Unternehmen, die eine belastbare Aussage zur Wiederherstellungszeit treffen können, sind auch in der Lage, eine Lösegeldforderung abzulehnen. Die Realität zeigt, dass viele Organisationen heute noch nicht an diesem Punkt sind. Genau hier setzen moderne Backup- und Recovery-Architekturen an, die auf unveränderlichen Speicher, isolierte Cyber-Vaults, intelligente Anomalieerkennung und schnelle Wiederherstellung ausgelegt sind.
