Time to Recovery als Schlüsselmetrik moderner Cybersicherheit

Der blinde Fleck der Wiederherstellung

Viele Unternehmen wissen nicht, wie lange ihre Wiederherstellung tatsächlich dauert. Häufig fehlt es an belastbaren Tests, an dokumentierten Abläufen oder an einer abgestimmten Verantwortungsstruktur zwischen IT, Security und Business Continuity Management.

Hier entsteht eine nicht abgedeckte Risikozone, denn Ausfallzeiten sind heute nicht nur ein operatives, sondern ein existenzielles Risiko für Unternehmen. Eine Woche Produktionsstillstand, blockierte Datenbanken oder nicht erreichbare Kundensysteme können Millionenverluste bedeuten und neben einem hohen finanziellen Schaden auch das Vertrauen von Kunden und Partnern dauerhaft beschädigen.

Dabei steigen die Wiederanlaufzeiten: Aktuell glauben laut aktuellem Rubrik Zero Labs Report in Deutschland 32 Prozent der Befragten, dass sie sich innerhalb von 12 Stunden oder weniger vollständig von einem Cybervorfall erholen könnten, verglichen mit weltweit nur 28 Prozent. 2024 waren es weltweit noch 43 Prozent. Und mit zunehmender Automatisierung der Angriffe sowie dem Einsatz von KI dürfte sich diese Zahl nicht verbessern. Über die Hälfte der weltweiten Entscheidungsträger im Bereich IT-Sicherheit schätzt, dass im nächsten Jahr 50 Prozent oder mehr der Cyberangriffe, mit denen sie zu tun haben, von agentenbasierter KI ausgehen werden. In Deutschland ist man hier mit 38 Prozent skeptischer.

Das Ende der Ära der Erkennung

Time to Recovery misst, wie lange ein Unternehmen benötigt, um nach einem Sicherheitsvorfall ein sauberes, stabiles Betriebsumfeld wiederherzustellen. Sie beschreibt also nicht, wie schnell eine Bedrohung erkannt wurde, sondern wie effizient und belastbar die Wiederherstellungsprozesse greifen.

Damit unterscheidet sich TTR fundamental von klassischen Kennzahlen wie MTTD oder Mean Time to Respond (MTTR): Sie blickt nicht zurück, sondern bewertet die Zukunftsfähigkeit einer Organisation. Unternehmen, die ihre TTR regelmäßig messen und verbessern, erhalten ein realistisches Bild ihrer operativen Widerstandskraft und einen KPI, der auch auf Vorstandsebene verstanden wird. Denn für Führungsgremien geht es längst nicht mehr um technische Details, sondern um Geschäftskontinuität.

Von Prävention zu Resilienz – ein Strategiewechsel

Dieser Paradigmenwechsel hat unmittelbare Folgen für die Budgetplanung. Zwar bleibt Prävention (zum Beispiel Firewalls, Endpoint-Schutz, Schwachstellenmanagement) weiterhin ein fester Bestandteil der Ausgaben, doch ein stärkeres Bewusstsein für Investitionen in Wiederherstellungsmechanismen entsteht.

Im Zentrum stehen Technologien und Prozesse, die ein sauberes, automatisiertes und überprüfbares Recovery ermöglichen:

• Unveränderliche Backups (Immutable Backups), die selbst bei einem Angriff nicht manipuliert werden können.
• Isolierte Wiederherstellungsumgebungen, in denen kompromittierte Systeme gefahrlos rekonstruiert werden können.
• Orchestrierte Workflows, die den gesamten Wiederanlauf standardisieren und beschleunigen.
• Regelmäßige Recovery-Tests, um Schwachstellen in Prozessen frühzeitig zu identifizieren.

Diese Verschiebung zeigt sich auch auf wirtschaftlicher Ebene: Laut Statista wächst der Markt für Disaster Recovery as a Service (DRaaS) in Deutschland bis 2029 voraussichtlich von derzeit rund 750 Millionen auf über 1,3 Milliarden Euro – ein klares Indiz dafür, dass Unternehmen Resilienz zunehmend als Wettbewerbsfaktor begreifen.

Wiederherstellung als Führungsaufgabe

Time to Recovery ist heute ein Thema für das gesamte Top-Management. Denn Cyberangriffe betreffen heute längst nicht mehr nur Server oder Netzwerke, sondern ganze Wertschöpfungsketten einschließlich Menschenleben. Wenn kritische Systeme ausfallen, steht nicht nur der Betrieb, sondern häufig auch die Glaubwürdigkeit der Führung auf dem Spiel. Der Rubrik Zero Labs Report aus dem Frühling 2025 zeigt, dass bei mehr als einem Drittel der schweren Cybervorfälle innerhalb weniger Monate personelle Veränderungen auf C-Level-Ebene erfolgen. Die Verantwortung für Cyberresilienz lässt sich also nicht delegieren; sie ist Teil der Unternehmensführung.

„Time to Recovery ist heute ein Thema für das gesamte Top-Management. Denn Cyberangriffe betreffen heute längst nicht mehr nur Server oder Netzwerke, sondern ganze Wertschöpfungsketten einschließlich Menschenleben. Somit wird Cyberresilienz Teil der Unternehmensführung.“

Richard Cassidy, Rubrik

Entsprechend verändern sich auch die Gespräche zwischen Sicherheitsteams und Vorständen: Statt über Risikobewertungen oder Compliance-Berichte zu sprechen, rücken Szenarien der Wiederherstellung in den Mittelpunkt mit folgenden Fragen: Wie schnell können wir unsere Kernsysteme wiederherstellen? Welche Dienste haben Priorität? Und: Haben wir das getestet – unter realen Bedingungen?

Gerade der letzte Aspekt ist entscheidend: Unternehmen müssen eine Testkultur der Wiederherstellung etablieren – vergleichbar mit den regelmäßigen Feuerübungen im physischen Katastrophenschutz. Das bedeutet: Recovery-Prozesse müssen wiederholt, simuliert und dokumentiert werden – nicht nur einmal jährlich, sondern kontinuierlich. Automatisierte Tests können hier helfen, Schwachstellen frühzeitig zu erkennen und Prozesse zu optimieren.

Fazit: Geschwindigkeit ist nichts ohne Erholung

Die Geschwindigkeit, mit der Angriffe erkannt werden, verliert an Bedeutung, wenn die Wiederherstellung Wochen dauert. Unternehmen, die auf Time to Recovery setzen, verschieben den Fokus von reaktiver Verteidigung zu nachhaltiger Widerstandsfähigkeit.

Cyberresilienz bedeutet heute, den Geschäftsbetrieb unter allen Umständen aufrechterhalten zu können. Wer nach einem Vorfall schneller wieder aufsteht als der Wettbewerb, schützt nicht nur Daten und Systeme, sondern das Vertrauen in die eigene Marke. Time to Recovery ist damit mehr als eine Kennzahl – sie ist die neue Währung für Überlebensfähigkeit in der digitalen Ära.

Über den Autor:
Richard Cassidy, CISO für EMEA bei Rubrik, ist eine vielseitige Führungspersönlichkeit mit über 20 Jahren Erfahrung in der Skalierung von Tech-Start-ups und der Gestaltung digitaler Sicherheit. Er ist bekannt für seinen strategischen Scharfsinn und seine Expertise in Sachen Cybersicherheit und SecOps-Transformation. Seine beratenden Funktionen erstrecken sich auf den MedTech-Sektor und das öffentliche Gesundheitswesen. Als gefragter Keynote-Sprecher und Referent ist Richard der bevorzugte strategische Partner für CEOs, Investoren und Medien, die in der komplexen digitalen Landschaft von heute nach umsetzbaren Erkenntnissen und nachhaltigem Wachstum suchen.

Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.