ralwel - stock.adobe.com

Meinung

Resilienz als Priorität: Der Schlüssel zum Härten der IT

Unternehmen können nicht jedes Risiko ausschalten. Entscheidend ist, Prioritäten zu setzen, kritische Assets zu schützen und Resilienz durch fundierte Risikobewertung aufzubauen.

von
  • Rick Vanon, Veeam
Zuletzt aktualisiert:13 Okt. 2025

Die stetig wachsende Menge von Cyberbedrohungen, Kriminellen und Störungen forcieren Unternehmen, die Datensicherheit zu einer zentralen Komponente ihrer IT-Strategie machen. Wer es versäumt, seine Daten angemessen zu schützen, der gefährdet die eigene Geschäftskontinuität (Business Continuity, BC) nachhaltig.

Seit KI-gesteuerte Systeme, Multi-Cloud-Strategien und Edge Computing die Gespräche in der Geschäftswelt dominieren, ist die Versuchung groß, jedes aufkommende Risiko mit gleicher Dringlichkeit zu verfolgen. Aber wenn es um Resilienz geht, liegt der Erfolg nicht darin, alles zu tun, sondern darin, die wichtigen Dinge zu tun.

Unternehmen werden heute mit einer komplexen Bedrohungslandschaft konfrontiert, die unerbittlich und unvorhersehbar ist. Ob es sich um Ransomware, Unterbrechungen der Lieferkette oder die wachsende Bedeutung der Datensouveränität handelt – alle Risiken können nicht ausgeschaltet werden. Echte Resilienz beginnt daher mit der Einsicht, dass nicht alles gelöst oder verhindert werden kann.

Fokus auf das Wesentliche

Resiliente Organisationen gehen schrittweise an Risiken heran. Sie versuchen nicht, jede Schwachstelle zu beseitigen, sondern setzen Prioritäten auf der Grundlage der Wahrscheinlichkeit eines Angriffes. Sie stellen sicher, dass kritische Assets geschützt sind sowie Wiederherstellungsstrategien mit den Zielen der Geschäftskontinuität übereinstimmen.

Die aktuelle Lage

Backup-Repositories sind bei Ransomware-Kampagnen zunehmend das Ziel von Cyberangriffen – weltweit richten sich 89 Prozent der Attacken gegen Unternehmen auf diese kritischen Datenspeicher. Dies geht aus den Ergebnissen des 2025 Ransomware Trends Reports hervor.

Lediglich nur 30 Prozent der Unternehmen verfügen über eine formalisierte Befehlskette für den Ernstfall.

Auch Playbooks, also Notfallhandbücher mit technischen Szenarien, Abläufen und Maßnahmen, sind zwar bei 98 Prozent der Unternehmen vorhanden, doch weniger als die Hälfte dieser Dokumente enthält die technischen Details, die im entscheidenden Moment den Unterschied machen. Der Ernstfall ist also Teil der Planung, jedoch zu oft nur in der Theorie. Es überrascht daher nicht, dass 90 Prozent der Ransomware-Opfer der Meinung waren, dass sie vor einem Angriff vorbereitet waren, während das Vertrauen nach einem Angriff um 17 Prozent sank.

Die Schlussfolgerung? Sogar gut vorbereitete Unternehmen müssen ständig neu bewerten, welche Risiken wirklich wichtig sind, und entsprechend handeln.

Resilienz beginnt mit einer soliden Risikobewertung

Jedes Unternehmen, unabhängig von Größe oder Branche, muss Gefahreneinschätzung als regelmäßige betriebliche Disziplin einführen, statt einmal im Jahr die Einhaltung von Vorschriften zu prüfen. Dies bedeutet, dass Lücken in Backup-Repositories, Backup-Integrität und Wiederherstellbarkeit kontinuierlich evaluiert werden müssen, denn trotz der zunehmenden Kontrolle durch die Aufsichtsbehörden in Europa sind viele Unternehmen noch immer nicht darauf vorbereitet.

Rick Vanover, Veeam

„Grundsätzlich kann man beobachten, dass Unternehmen, die ihre Bemühungen konzentrieren, bessere Ergebnisse erzielen. Bei Firmen, die bei der Reaktion auf einen Vorfall mit Drittanbie-ter-Experten zusammenarbeiten, ist die Wahrscheinlichkeit, dass sie Lösegeld zahlen, um 156 Prozent geringer.“

Rick Vanover, Veeam

Viele Firmen sind der Meinung, dass sie eine umfassende Überarbeitung benötigen, um den IT-Betrieb vollständig mit den Teams für Cybersicherheit abzustimmen. Ohne eine solide Grundlage für die Widerstandsfähigkeit von Daten können auch die fortschrittlichsten KI-gesteuerten Verteidigungsmaßnahmen eine erneute Infektion oder eine laterale Verschiebung nach einem Vorfall nicht verhindern.

Um die Nase vorn zu haben, muss die Notfallplanung anpassungsfähig sein, denn Bedrohungen werden weiterentwickelt. Das sollte auch für die Sicherheitslösungen gelten. Ob es nun darum geht, die Verweildauer von Ransomware zu ermitteln (die in vielen Fällen inzwischen unter 24 Stunden liegt) oder Änderungen bei den Erwartungen der Aufsichtsbehörden zu berücksichtigen– eine regelmäßige Neubewertung ist unerlässlich.

Die Allgemeingültigkeit der Resilienz-Prinzipien

Unabhängig von der Branche oder Region ist die zugrundeliegende Herausforderung dieselbe: Wie kann man die Resilienz stärken, ohne die Lösungen zu überfrachten oder die Teams zu überfordern?

Grundsätzlich kann man beobachten, dass Unternehmen, die ihre Bemühungen konzentrieren, bessere Ergebnisse erzielen. Bei Firmen, die bei der Reaktion auf einen Vorfall mit Drittanbieter-Experten zusammenarbeiten, ist die Wahrscheinlichkeit, dass sie Lösegeld zahlen, um 156 Prozent geringer. Sogar wenn dies nicht der Fall ist, zahlen sie 45 Prozent weniger als der Durchschnittswert. Dies ist nicht nur ein finanzieller Gewinn, sondern auch ein Zeichen für operative Reife.

Resilienz hat somit nichts mit Perfektion zu tun. Es geht um Vertrauen, das durch kluge, bewusste Entscheidungen aufgebaut wird. Ob in Sydney oder Singapur, New York oder München, der Grundsatz gilt: Resilienz entsteht, indem man wenig Dinge besser tut, aber nicht alles auf einmal.

Mit begrenzten Ressourcen klügere Entscheidungen treffen

Angesichts knapper werdender Budgets und steigender Erwartungen müssen IT-Leiter bei der Prioritätensetzung rücksichtslos vorgehen. 74 Prozent der Unternehmen weltweit erfüllen nicht die Best Practices für die Datensicherheit und fast ein Drittel der CIOs überschätzen ihren Reifegrad – dies geht aus einer gemeinsamen Studie von Veeam und McKinsey hervor. Die Unternehmen, die es gut machen erholen sich dagegen von Ausfällen bis zu sieben Mal schneller und haben nur ein Drittel der Ausfallzeiten.

Dafür sind nicht unbedingt große Investitionen erforderlich. Für jeden US-Dollar, der für Maßnahmen zur Verbesserung der Datensicherheit ausgegeben wird, gewinnen Unternehmen oft 3 bis 5 US-Dollar an vermiedenen Ausfallzeiten, rechtlichen Risiken und betrieblichen Störungen. Der ROI einer intelligenten Prioritätensetzung ist eindeutig.

Fortschritt, nicht Perfektion

Beim Streben nach Resilienz geht es also nicht darum, alle Bedrohungen zu beseitigen. Es geht darum, zu wissen, wo man anpacken muss und dabei entschlossen zu handeln. Die widerstandsfähigsten Organisationen streben nicht nach Perfektion. Sie streben ein Maß an Resilienz an, das Vertrauen schafft. Sie erkennen ihre größten Risiken, setzen ihre Ressourcen effektiv ein und sorgen für eine interne Ausrichtung auf das, was am wichtigsten ist.

Wenn wir in die Zukunft blicken, sollten wir die Diskussion weg von der Frage verlagern, wie wir alles verhindern können, hin zu der Frage, wie wir sicherstellen können, dass alles, was wichtig ist, tatsächlich gespeichert, geschützt und wiederherstellbar ist. Angesichts von Störungen geht es bei der Resilienz somit weniger um Prävention als um die Gewissheit, dass die Auswirkungen so gering wie möglich ausfallen werden.

Über den Autor:
Rick Vanover ist Senior Director of Product Strategy bei Veeam. Ricks Leidenschaft für Herausforderungen führte dazu, dass er sich der Weiterbildung und Kommunikation auf allen Ebenen verschrieben hat – sowohl für Neulinge im Bereich Verfügbarkeitstechnologien als auch für Experten. Als Blogger, Podcaster und aktives Mitglied der IT-Community baut Rick Beziehungen auf und verbreitet Begeisterung für Veeam-Lösungen. Bevor er zum Ansprechpartner für Fragen zu Veeam wurde, war Rick in der Systemadministration und im IT-Management tätig. Zu seinen Community-Auszeichnungen zählen Microsoft MVP, VMware vExpert und Cisco Champion.

Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.

Erfahren Sie mehr über Backup-Lösungen und Tools