Cohesity-Studie: Backup sind essenziell für Cyberresilienz

Cyberangriffe: Häufiger und folgenreicher denn je

Laut der Studie waren 77 Prozent der deutschen Unternehmen mindestens einmal von einem schwerwiegenden Cyberangriff betroffen, 52 Prozent allein im letzten Jahr. Jedes vierte Unternehmen meldete sogar mehrere schwerwiegende Vorfälle innerhalb von zwölf Monaten.

Die Folgen sind erheblich:

• 81 Prozent verzeichneten Umsatzeinbußen.
• 84 Prozent der börsennotierten Firmen mussten ihre Finanzprognosen anpassen.
• 62 Prozent sahen sich rechtlichen oder regulatorischen Konsequenzen ausgesetzt.

In den vergangenen zwölf Monaten zahlten Unternehmen durchschnittlich 1,2 Millionen Euro Lösegeld pro Vorfall.

Trotz dieser Zahlen gaben 45 Prozent der Befragten an, hohes Vertrauen in ihre Cyberresilienzstrategie zu besitzen – ein deutlicher Widerspruch zu den realen Schäden.

Backups: Fragmentiert, unvollständig und damit riskant

Eine zentrale Erkenntnis der Studie ist, dass die Datensicherung den Schwachpunkt vieler Unternehmen darstellt. Das gilt vor allem für Backups in hybriden und Multi-Cloud-Umgebungen.

Zwar identifizieren 89 Prozent sensible Daten und sichern sie für eine spätere Wiederherstellung, und etwa die Hälfte setzt globale Backup-Richtlinien ein. Dennoch bleibt die Backup-Landschaft ein Flickenteppich:

• Weniger als 50 Prozent sichern tatsächlich alle Workloads.
• Nur 44 Prozent nutzen eine zentrale Backup-Plattform.
• Nur 35 Prozent gewährleisten die Unveränderlichkeit ihrer Backups.

Gerade die fehlende Unveränderlichkeit ist kritisch. Sind Backups nach einem Angriff kompromittiert oder lassen sich manipulieren, wird eine Wiederherstellung unsicher oder unmöglich – ein Risiko, das viele Unternehmen unterschätzen. Die Studie zeigt deutlich: Backups sind essenziell für Cyberresilienz, doch viele sind darauf nicht ausreichend vorbereitet.

Wiederherstellung: Der Engpass nach dem Angriff

Die Fähigkeit zur Wiederherstellung entscheidet darüber, wie schnell Unternehmen den Betrieb wieder aufnehmen können. Doch hier zeigt die Studie massive Defizite:

• Nur etwa die Hälfte führt umfassende forensische Analysen durch, bevor Systeme wieder online gehen.
• 36 Prozent stellen Systeme ohne vollständige Überprüfung der Integrität wieder her – ein Risiko für erneute Infektionen.
• 54 Prozent berichten, dass Sicherheitsmaßnahmen während des Angriffs umgangen und Backups selbst angegriffen wurden.

Häufig standen Teams unter massivem Druck aus der Führungsebene, Systeme zu schnell wiederherzustellen (42 Prozent). Das erhöht die Gefahr, dass Bedrohungen erneut eingeschleppt werden. Dies passierte 37 Prozent der befragten Unternehmen, da die Bedrohung nicht vollständig entfernt wurde.

Darüber hinaus sind die einzelnen Maßnahmen für ein Recovery entscheidend. Hier sind Aktivitäten direkt nach der Bestätigung des Angriffs und vor der Wiederinbetriebnahme von Daten und Systemen beachten. Es überrascht, dass nur 53 Prozent direkt nach dem Angriff mit der Vorbereitung der Wiederherstellungsressourcen begannen und nur 39 Prozent den dokumentierten Incident-Response-Prozess aktivierten. Firmen, die nicht schnell genug und in der korrekten – idealerweise hinterlegten – Weise ihre Recovery-Prozesse umsetzen, können im Zweifel kein erfolgreiches Recovery gewährleisten.

Vor der Wiederinbetriebnahme führten 53 Prozent der Umfragebeteiligten umfassende forensische Analysen durch, nur 44 Prozent prüften die Daten- und Anwendungsintegrität und 34 Prozent beschränkten sich nur auf die Prüfung verschlüsselter und sichtbar betroffener Systeme. Bleibt im letzten Fall eine umfassende Umgebungsanalyse aus, sind eine Neuinfektion oder Datenverlust nicht auszuschließen.

Eine gute Wiederherstellung kann nur so gut sein wie das Backup und die dokumentierten Prozesse für ein Recovery.

Threat Detection: Technologien vorhanden, aber kaum ausgeschöpft

Die meisten Unternehmen nutzen moderne Tools wie EDR/XDR, Threat-Intelligence-Feeds oder strukturierte Threat-Hunting-Programme. Allerdings schöpfen nur rund 30 Prozent deren Potenzial voll aus.

So führen beispielsweise 66 Prozent der Befragten ein kontinuierliches Threat-Hunting-Programm zur Erkennung unerkannter oder neu auftretender Bedrohungen durch, aber nur 30 Prozent nutzen dieses Tool optimal aus. Endpoint-Lösungen werden von 60 Prozent der Teilnehmer eingesetzt, jedoch nur 34 Prozent davon schöpfen den vollen Nutzen daraus.

Cohesity folgert aus diesen Ergebnissen, dass die Resilienz nicht an fehlenden Tools scheitert, sondern an mangelnder Integration und Nutzung. Diese Kluft ist nur schwer zu überwinden, da es nicht an der technischen Basis, sondern wohl eher an fehlendem Personal beziehungsweise mangelnder Zeit für Aufgaben scheitert.

Anwendungsresilienz: Verbesserungen – aber weiterhin Lücken

Bei Recovery-Übungen und der Behebung von Sicherheitslücken zeigt sich ein positiver Trend: Rund 57 Prozent führen regelmäßige simulationsbasierte Übungen durch. Dennoch:

• Nur 35 Prozent stellen sicher, dass alle Backup-Daten unveränderlich sind.
• Etwa die Hälfte (47 Prozent) nutzt isolierte Umgebungen (Reinräume), um Systeme sicher zu untersuchen, aber eben nicht alle.

Gerade die fehlende Isolation macht Unternehmen anfällig für erneute Infektionen.

Datenermittlung und Risikomanagement

Zwar steht oft die Einhaltung von Compliance im Fokus, jedoch fehlt häufig der Blick auf Backup-Optimierungen. Viele Unternehmen nutzen Datenklassifizierungsverfahren vor allem, um Compliance-Verpflichtungen zu erfüllen. Doch nur wenige setzen diese Tools ein, um Backups strategisch zu priorisieren oder Risiken aktiv zu reduzieren. So führen nur 54 Prozent der Studienteilnehmer eine Identifizierung und Priorisierung von Backup-Systemen durch, wohingegen 62 Prozent Fokus auf das Erkennen von Datenschutzverletzungen legen.

Damit bleibt ein wichtiges Element der Cyberresilienz ungenutzt: Risikobasierte Backup-Strategien, die geschäftskritische Daten systematisch priorisieren.

Reifegrad: Nur 7 Prozent wirklich resilient

Die Studie kategorisiert Unternehmen anhand ihrer Cyberresilienz in fünf Stufen. Das Ergebnis:

• 57 Prozent befinden sich lediglich in einer Entwicklungsphase.
• 20 Prozent gelten als aufstrebend.
• 8 Prozent sind am wenigsten ausgereift.

Nur 7 Prozent erreichen die höchste Reifegradstufe – sie verfügen über integrierte, konsistente und überprüfbare Prozesse in allen fünf NIST-Dimensionen (Identifizieren, Sichern, Erkennen, Reagieren, Wiederherstellen).

KI und Automatisierung: Der zukünftige Kraftmultiplikator

Die Mehrheit der Unternehmen sieht künstliche Intelligenz (KI) als entscheidenden Faktor für die nächste Entwicklungsstufe der Cyberresilienz:

• 63 Prozent erkennen nach einem Angriff, dass mehr Automatisierung nötig ist.
• 41 Prozent erwarten, dass KI künftig eine zentrale Rolle in Erkennung und Reaktion übernimmt – einschließlich autonomer Entscheidungen.
• 99 Prozent planen, KI bis 2026 zur Unterstützung ihrer Datensicherheitsvorgänge einzusetzen.

KI wird damit zunehmend als Motor für Geschwindigkeit, Genauigkeit und Effizienz in Erkennung, Reaktion und Wiederherstellung gesehen.

Fazit: Resilienz beginnt bei durchdachten Backups

Der Cohesity-Report zeigt eindrücklich: Backups sind die Grundlage jeder Cyberresilienzstrategie, doch viele Unternehmen sichern zwar Daten, schaffen aber keine sichere, konsistente und überprüfbare Wiederherstellungsbasis.

Die Zukunft wird den Organisationen gehören, die:

• Backups zentralisieren und unveränderlich machen,
• Wiederherstellungsprozesse regelmäßig testen,
• Silos zwischen Security und IT aufbrechen,
• KI-gestützte Automatisierung konsequent nutzen.

Die Studie verdeutlichte auch, dass Investitionen in Wiederherstellungsmaßnahmen leider immer noch stiefmütterliche behandelt werden und im Hintertreffen sind. Der Fokus liegt bei Neuinvestitionen nach wie vor im Sichern der Daten, die Wiederherstellung landet auf Platz 5.

Cyberangriffe lassen sich nicht vollständig verhindern, aber Unternehmen können entscheiden, wie schnell sie danach wieder arbeitsfähig sind und die Basis hierfür sind saubere, prüfbare und unveränderliche Backups..