frenta - Fotolia
Saubere und zügige Recoverys werden Kern der Cyberresilienz
Cyberangriffe manipulieren Daten über lange Zeiträume, oft bis in die Backups. Gefordert sind neue Recovery-Konzepte, bei denen Metriken wie MTCR über reinen RTO/RPO hinaus
Cyberangriffe haben sich in den vergangenen Jahren nicht nur in ihrer Häufigkeit, sondern vor allem in ihrer Qualität verändert. Immer mehr Attacken zielen darauf ab, Unternehmensdaten über lange Zeiträume unbemerkt zu manipulieren, Backup-Umgebungen zu kontaminieren oder Wiederherstellungsprozesse gezielt zu sabotieren. Für viele IT-Abteilungen wird damit eine unbequeme Wahrheit sichtbar: Klassische Backup-Maßnahmen, die primär auf Prävention ausgerichtet sind, greifen in modernen Bedrohungsszenarien zu kurz. Ebenso erweist sich die traditionelle Sicht auf Backup und Restore als unzureichend, wenn Unternehmen im Ernstfall nicht sicher sagen können, welche Daten sauber, vertrauenswürdig und tatsächlich wiederherstellbar sind.
Parallel dazu verschärfen Regulatorik und Cyberversicherer ihre Anforderungen. Rahmenwerke wie NIS2 oder DORA verlangen explizit nach belastbaren Nachweisen, dass kritische Systeme innerhalb definierter Zeiträume wiederhergestellt werden können – und zwar ohne das Risiko, kompromittierte Daten erneut produktiv zu setzen. Unternehmen stehen damit vor einer Doppelaufgabe: Sie müssen ihre Schutzmechanismen ausbauen und gleichzeitig sicherstellen, dass ihre Recovery-Strategien auch unter realen Bedingungen funktionieren.
Der Markt reagiert darauf mit neuen Lösungsansätzen, die über klassische Backup-Mechanismen hinausgehen. Hersteller wie Commvault entwickeln mit Plattformen wie Unity neue Konzepte, bei denen Wiederherstellung nicht länger eine rein technische, sondern eine sicherheitskritische Funktion ist. Dabei steht die Kombination aus präziser Anomalieerkennung, sauberer Wiederherstellung und automatisierten Prüfmechanismen im Vordergrund. Anbieter integrieren KI-gestützte Analysen, automatisierte Validierungsprozesse und forensische Prüfschritte, um Unternehmen beim Aufbau einer ganzheitlichen Cyberresilienz zu unterstützen. Das Ziel ist es, nicht nur Daten zurückzuspielen, sondern diese in einem nachweislich sauberen Zustand wiederherzustellen.
Cyberresilienz als neue unternehmerische Kernkompetenz
Die Zeit bis zum Abschluss eines erfolgreichen und sauberen Recoverys wird immer wichtiger für die Business Continuity und Cyberresilienz. Die Basis hierfür sind nach wie vor qualitativ hochwertige, nicht manipulierte Backups. Allerdings reichen hierfür reine Backup-Funktionen nicht mehr aus, um zügige und gelungene Daten- und Systemwiederherstellungen gewährleisten zu können.
Im Zentrum steht nicht mehr nur die Verfügbarkeit von Backups, sondern die Frage, wie schnell und wie verlässlich Organisationen nach einem Angriff wieder zu einem sauberen, arbeitsfähigen Zustand gelangen. Das setzt eine tiefere Integration von Datenmanagement, Angriffserkennung, Forensik und automatisierten Recovery-Prozessen voraus. Technologien wie isolierte Wiederherstellungsumgebungen (Clean Rooms) oder neue Key Performance Indicators – etwa die Mean Time to Clean Recovery (MTCR) – gewinnen an Bedeutung, weil sie messbar machen, was bisher kaum adressiert wurde: Die Fähigkeit, kompromittierte Datenstände zuverlässig zu erkennen und eine geprüfte, saubere Wiederherstellung durchzuführen.
Die Grundlage: Saubere, belastbare Datensicherungen
Viele Unternehmen gehen noch immer davon aus, dass ein vorhandenes Backup automatisch auch ein belastbarer Rettungsanker ist. In der Praxis zeigt sich jedoch ein anderes Bild. Moderne Angreifer richten ihren Fokus längst nicht mehr nur auf produktive Systeme, sondern zunehmend auf die Backup- und Wiederherstellungsprozesse selbst. Damit geraten Backups, Repositories und Orchestrierungsmechanismen in den direkten Wirkungsbereich von Angriffsketten. Das führt zu einer zentralen Frage: Wie sicher ist das, was im Notfall wiederhergestellt wird?
„Viele Unternehmen investieren stark in Schutzmaßnahmen,“ sagt Darren Thomson, Vice President und CTO EMEA/India bei Commvault. „Doch sie investieren deutlich weniger in Response und Recovery. Hier muss ein Umdenken erfolgen.“
Ein Grundproblem besteht darin, dass sich Manipulationen oder schädliche Artefakte oft tief in alltäglichen Betriebsprozessen verbergen können. Angriffe, die über Wochen oder Monate vorbereitet werden, hinterlassen Spuren, die bei einer reinen Integritätsprüfung oder einem klassischen Malware-Scan nicht zwangsläufig auffallen. Ransomware-Akteure platzieren zunehmend Komponenten, die erst lange nach einer initialen Infektion aktiv werden, oder verändern Datenbestände so subtil, dass eine Wiederherstellung zwar technisch möglich ist, aber dennoch ein kompromittierter Zustand reproduziert wird. Hinzu kommen vermehrte Insider-Bedrohungen, bei denen böswillige oder fahrlässige Eingriffe erst spät entdeckt werden, oft erst dann, wenn die manipulierten Daten bereits in ein Backup eingeflossen sind.
Vertrauen in Wiederherstellungspunkte schaffen
Diese verschärfte Bedrohungslage legt ein Defizit offen: Die wenigsten Organisationen verfügen über einen systematischen Nachweis, ob ihre Backups sauber, vollständig und angriffsfrei sind. Selbst umfassende Sicherheits-Tools erkennen nicht zwingend, ob ein bestimmter Wiederherstellungspunkt verdeckte Schadsoftware, verschlüsselte Payloads oder unautorisierte Änderungen enthält. Der operative Druck der IT führt zudem häufig dazu, dass Backups zwar überprüft, aber nicht wirklich getestet werden. Eine Wiederherstellung bleibt in diesem Fall ein theoretischer Vorgang, der weder realistisch simuliert noch unter echten Bedingungen validiert wird.
„Es reicht nicht nur, ein Backup zu haben,“ betont Thomson. „Man muss beweisen können, dass es sauber ist.“
Diese Lücke zwischen Sicherungsroutine und verlässlicher Wiederherstellbarkeit wird besonders dann sichtbar, wenn Unternehmen von Cyberangriffen getroffen werden. Forensische Analysen zeigen immer wieder, dass Backup-Ketten über längere Zeiträume hinweg kompromittiert waren oder dass keine eindeutige Abgrenzung zwischen sauberen und infizierten Datenständen möglich war. In solchen Situationen verlängert sich der Wiederherstellungsprozess erheblich, nicht aufgrund fehlender Backups, sondern aufgrund fehlender Gewissheit darüber, welche Daten unbedenklich genutzt werden können. Das Schadensausmaß ergibt sich dann nicht nur aus dem Angriff selbst, sondern auch aus der Unsicherheit über die Integrität der eigenen Datenbasis.
Damit wird deutlich: Das klassische Backup-Verständnis reicht nicht mehr aus, um den Anforderungen moderner Cyberbedrohungen gerecht zu werden. Unternehmen benötigen Mechanismen, die über das reine Vorhandensein von Sicherungskopien hinausgehen und stattdessen Vertrauen in die Wiederherstellbarkeit schaffen. Dieses Vertrauen kann nur durch nachvollziehbare, forensisch belastbare Prüfungen und regelmäßige Tests entstehen. Genau hier setzt der Wandel von einer traditionell reaktiven Backup-Strategie hin zu einer umfassenden Cyberresilienz-Architektur an.
Neue Anforderungen an die Recovery-Fähigkeiten
Backup- und Recovery-Lösungen müssen nun erweiterte Funktionalitäten offerieren, um die oben genannten neuen Herausforderungen zu meistern. Dazu gehören unter anderem vier Kernfunktionen.
Forensisch prüfbare Wiederherstellungspunkte
Unternehmen müssen sicherstellen, dass sie kompromittierte Datensätze sicher erkennen und ausschließen können. Eine mehrstufige Erkennung, bestehend aus Anomalieanalyse, Signaturerkennung, heuristischer Malware-Analyse und Machine-Learning-gestützten Verfahren kann dies unterstützen und versteckte Angriffsartefakte identifizieren.
Isolierte Test- und Wiederherstellungsumgebungen
Um tatsächlich saubere Recoverys umsetzen zu können, sollte in isolierten Umgebungen überprüft werden, ob die Backup-Daten nicht mit Malware infiziert sind und das Risiko einer Re-Infektion bergen. Dafür gibt es so genannte Cleanrooms, die auch Teil der Commvault-Lösung sind. Sie ermöglichen es, Systeme wiederherzustellen und zu prüfen, ohne Produktionssysteme zu gefährden, und bieten zudem eine Plattform für forensische Analysen.
In unserem Beispiel richtet sich das Cleanroom-Recovery-Angebot des Herstellers an Software- und SaaS-Kunden und ermöglicht die automatisierte Wiederherstellung der Steuerungsebene, die Integration mit einer tertiären Kopie der Daten in Air Gap Protect und einen optimierten, benutzerfreundlichen Wiederherstellungsassistenten. Dies soll eine saubere und einfache Wiederherstellung in einem neuen, nicht kontaminierten Reinraum garantieren.
Automatisierte Erkennung kompromittierter Daten
Um bei der Entdeckung von Anomalien möglichst effizient zu sein, kann eine Automatisierung des Prozesses genutzt werden. Dies erfolgt in der Commvault-Lösung beispielsweise mit dem Threat Scan, der Daten automatisch auf Malware-Signaturen, Verschlüsselungsereignisse und ungewöhnliche Dateiänderungen prüft und verdächtige Dateien in Quarantäne versetzt und deren Wiederherstellung verhindert.
Dafür wird signaturbasierte Malware-Erkennung, Heuristik und Anomalieerkennung kombiniert, inklusive Nutzung umfangreicher Threat-Intelligence-Indikatoren, um auch neue oder veränderte Bedrohungen zu erkennen.
Orchestrierte und reproduzierbare Recovery-Prozesse
Wiederherstellungsprozesse müssen klar definiert, weitgehend automatisiert und reproduzierbar sein, um im Ernstfall konsistente und vertrauenswürdige Ergebnisse zu liefern. Besonders deutlich wird dies bei Synthetic-Recovery-Ansätzen wie dem von Commvault, bei denen sich aus mehreren inkrementellen Sicherungen automatisiert ein konsistenter Datenstand zusammensetzen lässt. In Kombination mit Bedrohungs- und Anomalie-Scans können dabei verdächtige oder kompromittierte Dateien identifiziert und von der Wiederherstellung ausgeschlossen werden, sodass jeweils die sauberste verfügbare Version eines Datenbestands rekonstruiert wird.
KPIs für Cyberresilienz: Warum MTCR und MTR entscheidend werden
Zur Messung von Wiederherstellungsfähigkeit reichen klassische Kennzahlen wie RTO und RPO nicht mehr aus. Sie geben weder Auskunft über die Sauberkeit eines Wiederherstellungspunktes noch über die Qualität des Recovery-Prozesses selbst. Hier wird die Zeit bis eine erfolgreiche Wiederherstellung abgeschlossen ist zunehmend wichtiger.
MTCR: Mean Time to Clean Recovery
MTCR misst die Zeitspanne, bis ein nachweislich sauberer Zustand wiederhergestellt ist.
Damit bildet diese Kennzahl nicht nur die technische Wiederherstellungsdauer ab, sondern die Dauer bis zu einer vertrauenswürdigen, überprüften Betriebsumgebung.
„MTCR muss als eine Management-KPI erkannt werden,“ erklärt Darren Thomson. „Mit ihr lässt sich eine Transparenz zwischen IT, Security und Vorstandsebene schafften. Der Admin kann exzellente RTO- und RPO-Werte liefern – aber was nützen sie, wenn die Daten schmutzig sind? Entscheidend ist nicht nur, wie schnell ein System wieder online ist, sondern ob der wiederhergestellte Datenstand nachweislich sauber und vertrauenswürdig ist. Erst wenn diese Frage beantwortet ist, sprechen wir wirklich über Cyberresilienz und nicht nur über klassische Disaster Recovery.“
MTR: Mean Time to Recovery
MTR beschreibt die reine Zeitdauer bis zum erfolgreichen Recovery, unabhängig davon, ob das Ergebnis sauber oder kompromittiert ist. Das heißt, hier geht der Admin davon aus, dass er eine saubere Backup-Version hat, die nicht überprüft werden muss. Das lässt ein Restrisiko offen, dessen sich Unternehmen bewusst sein müssen. Falls eine Re-Infektion passiert, bezahlt die Firma die Schnelligkeit mit einem weiteren Ausfall.
Beide KPIs bilden zusammen ein Bild davon, wie gut Organisationen auf Datenkorruption, Angriffe und nicht erkannte Manipulationen reagieren können.
Von klassischem DR zu Cyber Recovery und ResOps
Während klassische Disaster-Recovery-Konzepte primär davon ausgehen, dass ein zweites Rechenzentrum oder ein Ausweichstandort im Notfall einfach einspringt, greifen diese Ansätze bei Ransomware-Angriffen und gezielten Datenmanipulationen zu kurz. In vielen Fällen werden kompromittierte Datensätze synchron in die Ausweichumgebung repliziert – der formale RTO mag erreicht sein, aber das Ergebnis bleibt unsauber und betrugsanfällig. Genau hier setzt die Verschiebung hin zu Cyber Recovery an: Im Fokus steht nicht mehr nur die Wiederherstellungsdauer, sondern die Fähigkeit, saubere Applikations-Stacks nachweislich kontrolliert neu aufzubauen
Darren Thomson beschreibt dieses Spannungsfeld aus seiner Zeit in der Cyberversicherung so: Viele Unternehmen hätten zwar massiv in Prävention investiert, aber kaum in strukturierte Prozesse für Reaktion und Wiederherstellung. Häufig sei er auf DR-Pläne gestoßen, die auf physische Ausfälle zugeschnitten waren, jedoch für Ransomware-Szenarien praktisch wertlos wurden. Aus seiner Sicht müssen Backup- und Security-Teams deshalb enger zusammenrücken: Erst wenn Schutz, Angriffserkennung und Wiederherstellung als gemeinsamer Prozess (Resilience Operations) verstanden werden, lasse sich die Mean Time to Clean Recovery tatsächlich senken und gegenüber Management und Aufsicht konkret beziffern.
