[datensicherheit.de, 04.04.2026] Obwohl 80 Prozent der europäischen Unternehmen glaubten, ihre Datensouveränität im Griff zu haben, haben nach Erkenntnissen aus dem „Kiteworks Data Sovereignty Report 2026“ im letzten Jahr – 2025 – 32 Prozent dennoch einen Vorfall gemeldet, wodurch sich eine kritische „Souveränitätslücke“ auftue. Das Problem ist demnach nicht mangelndes Wissen, sondern eine operative Schwäche. Trotz Millionen-Budgets klaffe eine Kluft zwischen „Compliance“-Richtlinien und technischer Architektur.

Abbildung: Kiteworks

„2026 Data Security and Compliance Risk: Data Sovereignty Report“ – Erkenntnisse für die EU

Auffällige Diskrepanz bei den Unternehmen auf ihrem Weg zur Datensouveränität

Der aktuelle „2026 Data Security and Compliance Risk: Data Sovereignty Report“ von Kiteworks deckt eine auffällige Diskrepanz auf dem Weg zur Datensouveränität auf. Die zugrundeliegende Umfrage zeige, dass Unternehmen die Vorschriften zur Datensouveränität zwar besser denn je kennen würden, jedoch auch jedes dritte Unternehmen in den letzten zwölf Monaten einen Vorfall im Zusammenhang mit Datensouveränität verzeichnet habe.

• Für diesen Report wurden laut Kiteworks 286 Fachleute, meist IT-Manager, CIOs oder CTOs, in Europa (189), Kanada (43) und dem Nahen Osten (54) befragt. Die Einhaltung der DSGVO und neue Rahmenwerke zur KI-Governance hätten dabei in Europa im Mittelpunkt gestanden. Signifikantes Ergebnis des Reports sei das Aufzeigen einer Lücke zwischen Bewusstsein für die Anforderungen von Datensouveränität und der Häufigkeit von Vorfällen.

44 Prozent der Befragten in jeder Region bezeichneten sich als „sehr gut informiert“ über die Anforderungen an die Datensouveränität. In Europa fühlten sich 80 Prozent „gut“ (36%) bis „sehr gut“ (44%) informiert. Dennoch bestätigten 32 Prozent der europäischen Befragten einen Vorfall (23% in Kanada, 44% im Nahen Osten). Zu diesen Vorfällen zählten am häufigsten unbefugte grenzüberschreitende Datenübermittlungen, behördliche Auskunftsersuche, Datenschutzverletzungen mit Auswirkungen auf die Souveränität sowie „Compliance“-Verstöße durch Dritte.

Souveränitätslücke der Unternehmen ist operativer, nicht informativer Natur

Es zeige sich: „Die verbleibende Lücke ist operativer, nicht informativer Natur – und um sie zu schließen, bedarf es einer geeigneten Architektur, nicht unbedingt weiterer Schulungen.“

• Als größtes Bedenken und Hindernis bei den Souveränitätsbestrebungen würden 44 Prozent der Befragten in Europa die Souveränitätsgarantien der Anbieter nennen – es sei der höchste Wert aller befragten Regionen und das, obwohl die DSGVO fast überall eingehalten werde.

Viele „Cloud“-Umgebungen erfüllten zwar die rechtlichen Anforderungen an den Datenstandort, böten jedoch keine alleinige Kontrolle über die Encryption-Schlüssel – „was bedeutet, dass der Anbieter weiterhin technisch in der Lage ist, auf Kundendaten zuzugreifen“. Diese Lücke untergrabe die Souveränitätsgarantien, welche viele Unternehmen benötigten.

Unternehmen in allen untersuchten Regionen geben Millionen für die Einhaltung von Datenschutzbestimmungen aus…

Des Weiteren empfänden 40 Prozent den „EU AI Act“ als Hindernis – und 36 Prozent politische Kurswechsel in den USA, 34 Prozent die Durchsetzung der Datenschutzgesetze und 23 Prozent mögliche Änderungen bei den sogenannten Angemessenheitsentscheidungen. Keine andere Region sehe sich mit so vielen regulatorischen Herausforderungen gleichzeitig konfrontiert.

• „Unternehmen in allen von uns untersuchten Regionen geben Millionen für die Einhaltung von Datenschutzbestimmungen aus, weisen ein hohes Bewusstsein für die Thematik auf und sind dennoch von Datenschutzverletzungen, unbefugten Datenübertragungen und behördlichen Auskunftsersuchen betroffen“, kommentiert Dario Perfettibile, „Vice President & GM of European Operations“ bei Kiteworks.

Er führt weiter aus: „Die Lücke liegt nicht im Wissen. Es ist die Kluft zwischen den Richtlinien und der Architektur, die die Datenresidenz tatsächlich durchsetzt, den Zugriff kontrolliert und bei Bedarf auditierbare Nachweise liefert.“

Datensouveränität mit Fokus auf unternehmenseigener Architektur

In Europa führten 58 Prozent Änderungen an der technischen Infrastruktur (59% insgesamt) sowie Fachwissen in den Bereichen Recht und „Compliance“ (53% Europa und insgesamt) als ressourcenintensivste Bereiche an. Danach kämen Dokumentation und Auditierung mit 41 Prozent als größter Ressourcenfresser (42% insgesamt).

• Die Mehrheit der Unternehmen gebe jährlich mehr als eine Million US-Dollar für die Einhaltung von Souveränitätsvorschriften aus.

Souveränität liefere einen klaren geschäftlichen Mehrwert: So sähen 61 Prozent, dass ihre Bestrebungen mit einer erhöhten Sicherheit (insgesamt 63%) sowie einem gesteigerten Kundenvertrauen einhergingen (51% in Europa, 52% insgesamt). Mehr als die Hälfte in Europa (55%) plane, in den nächsten zwei Jahren in die Automatisierung von „Compliance“-Prozessen zu investieren (insgesamt 53%). Auch verbesserte technische Kontrollen stünden in Europa (51%) wie in allen drei Regionen im Mittelpunkt der Zweijahresplanung.

KI-„Governance“ der Unternehmen entwickelt sich zum nächsten Schauplatz

Der Kiteworks-Report beleuchtet zudem die wachsende Herausforderung bei der Datensouveränität mit Blick auf den Einsatz Künstlicher Intelligenz (KI). Etwa ein Drittel aller Befragten bewahre alle KI-Trainingsdaten innerhalb der eigenen Region auf (36%), ein weiteres Drittel verfolge einen je nach Sensibilität variierenden Ansatz (34%).

• Der Rest sei noch dabei, seine KI-Souveränitätsstrategie zu entwickeln oder möchte dazu keine Aussage treffen. In Europa spiegelten sich diese Zahlen: 34 Prozent der Befragten bewahrten alle KI-Trainingsdaten innerhalb der EU auf und weitere 34 Prozent verfolgten einen gemischten Ansatz, welcher sich nach der Sensibilität der Daten richte.

„Früher bedeutete Souveränität vor allem Geographie – man musste die Daten nur im richtigen Land aufbewahren und schon war man auf der sicheren Seite“, so Perfettibile. Indes sei diese Ära nun vorbei. Abschließend gibt er zu bedenken: „Aufsichtsbehörden, Kunden und Beschaffungsteams verlangen heute Nachweise: Wer hat Zugriff auf die Daten, wer verwaltet die Schlüssel und lässt sich die Einhaltung der Vorschriften auf Anfrage nachweisen? Die Unternehmen, die diese Nachweise in ihre Architektur integrieren, werden die Nase vorn haben. Alle anderen werden zwar weiterhin die Regeln kennen, aber immer wieder ins Straucheln geraten.“

Weitere Informationen zum Thema:

Kiteworks
Über Kiteworks: Zero-Trust-Datenaustausch ermöglichen

Kiteworks
Management: Lernen Sie das Team kennen, das das Team führt

Kiteworks, 2026
2026 Data Security and Compliance Risk / Data Sovereignty Report / Awareness is high. Incidents are higher. How organizations across Canada, the Middle East, and Europe are navigating the new rules of data residency

Kiteworks, 2026
Executive Summary: 2026 Data Security and Compliance Risk: Data Sovereignty in Europe / The Most Regulated Market in the World Is Still Learning That Contracts Can’t Override Laws – and Architecture Is the Real Defence

datensicherheit.de, 23.02.2026
Regionale Datensouveränität im Zeitalter der KI: Spannungsfeld zwischen Freiheit und Regulierung mit maximalem Mehrwert / Während sich Künstliche Intelligenz rasant beschleunigt und Datenvolumina exponentiell wachsen, müssen Unternehmen in nie dagewesener Geschwindigkeit innovieren im Rahmenzunehmend strenger regulatorischer, geopolitischer und Souveränitäts-bezogener Rahmenbedingungen.

datensicherheit.de, 24.12.2025
Cloud-Nutzung: Auswege für KMU aus dem Dilemma der Datensouveränität / Mit „Hyperkonvergenter Infrastruktur“ können KMU einfacher und kostengünstiger „Hybrid Clouds“ aufbauen – und so garantieren, dass ihre kritischen Daten jederzeit am richtigen Ort zugänglich sind

datensicherheit.de, 21.03.2025
Zero Trust noch sicherer durch europäische Datensouveränität / IT-Security in hybriden IT-Infrastrukturen

datensicherheit.de, 21.03.2025
US-Clouds: Erste Warnungen vor Gefährdung der Datensouveränität in Europa / Unternehmen und Organisationen speichern und verarbeiten sensible Daten bei US-basierten „Cloud“-Anbietern – mangels europäischer Alternativen

datensicherheit.de, 29.11.2024
Datensouveränität: Bedeutung der Self Sovereign Identities / Annahme der novellierte eIDAS-Verodnung durch das EU-Parlament

datensicherheit.de, 28.02.2019
WebEngine: Stärkung der Datensouveränität / Mit der dezentralen Suchmaschine sollen Nutzer die vollständige Kontrolle über ihre Daten behalten

[datensicherheit.de, 03.04.2026] Alexander Ingelheim, CEO und Mitgründer von Proliance, warnt in seiner aktuellen Stellungnahme vor wachsenden Risiken von „KI-Washing“ bei automatisierten Zertifizierungen. Er führt aus, warum der vermeintlich bequeme, KI-gestützte „Shortcut zur Compliance“ für Unternehmen schnell zur rechtlichen und intransparenten Falle werden kann, wenn nämlich Geschwindigkeit echte Prüftiefe ersetzt: „Kaum ein Versprechen klingt so verlockend wie das, nie wieder mühsam Nachweise zusammentragen, Richtlinien formulieren und Auditoren zuarbeiten zu müssen. KI-gestützte ,Compliance’-Plattformen werben genau damit, schneller zum Zertifikat bei weniger Aufwand und automatisierter Nachweisführung.“ Doch aktuelle Fälle zeigten Schattenseiten solcher Versprechen auf.

Foto: Proliance

Alexander Ingelheim nimmt kritisch Stellung zu KI-gestützten „Compliance“-Plattformen

„KI-Washing“ für Unternehmen könnte sich zu großem Problem ausweiten

So sorgt in den USA demnach aktuell ein Fall für Aufsehen, in dem eine als KI-gestützt vermarktete Plattform offenbar Audit-Nachweise vorausgefüllt, Prüfberichte vor der eigentlichen unabhängigen Prüfung erstellt und die Grenze zwischen Prüfer und Geprüftem systematisch verwischt haben soll.

• Investoren distanzierten sich öffentlich, Kunden stünden vor der Frage, „ob ihre Zertifizierungen überhaupt belastbar sind“. Was nach einem Einzelfall aussehe, verweise auf ein strukturelles Problem: „Wenn Geschwindigkeit zum alleinigen Qualitätsmerkmal wird, leidet die Substanz!“

Dieses Phänomen habe einen Namen: „KI-Washing“. Die US-Börsenaufsicht SEC habe 2024 erstmals Strafen wegen irreführender KI-Aussagen verhängt, das Justizministerium Strafverfahren eingeleitet. In der EU adressiere der „AI Act“ künftig genau solche irreführenden Darstellungen.

EU-Unternehmen benötigen Gewissheit, wo ihre personenbezogenen Daten liegen und wer nach welchen Regeln darauf zugreift

Für den europäischen Markt komme eine weitere Dimension hinzu. Unternehmen, die personenbezogene Daten verarbeiten oder „Compliance“-Nachweise führen, brauchten Gewissheit darüber, wo ihre Daten liegen und wer nach welchen Regeln darauf zugreift. „Eine Plattform, die verspricht, DSGVO-Konformität automatisch herzustellen, aber selbst intransparent agiert, erzeugt ein Paradox, das Aufsichtsbehörden zunehmend kritisch sehen“, so Ingelheim.

• Verantwortungsvoller KI-Einsatz in der „Compliance“ lasse sich an klaren Kriterien festmachen: „Der Mensch bleibt am Steuer und trifft die Entscheidungen, während der Datenzugriff eng abgesteckt bleibt. Die eingesetzte Technologie ist nachvollziehbar, wobei europäische Open-Source-Modelle hier einen Transparenzvorteil gegenüber geschlossenen Systemen bieten. Und sensible ,Compliance’-Daten gehören zu europäischen ,Cloud’-Anbietern, im eigenen Rechtsraum.“

„Compliance“ existiere, um Vertrauen in der Wirtschaft sicherzustellen: „Wer in diesem Feld arbeitet, bekommt genau eine Chance, dieses Vertrauen zu rechtfertigen. Diese Chance verdient Sorgfalt, Sachverstand und echte Prüftiefe!“ Ingelheims Fazit: „Sie auf einen ,Shortcut’ zu reduzieren, der auf Preis und Aufwand optimiert, gefährdet am Ende genau das, was ,Compliance’ leisten soll.“

Weitere Informationen zum Thema:

proliance
Über uns: Professional Compliance aus München mit Leidenschaft für kleine und mittlere Unternehmen

proliance
Alexander Ingelheim – Co-Founder & CEO

datensicherheit.de, 25.03.2026
Den Fortschritt im Blick, Cyberangreifer im Windschatten: Wie Unternehmen Governance, Risk & Compliance (GRC) mit KI harmonisieren / Künstliche Intelligenz entwickelt sich zunehmend zu einem entscheidungsrelevanten Faktor mit unmittelbaren Auswirkungen auf Risikoexposition, Haftung und regulatorische Anforderungen. Systeme treffen automatisierte Entscheidungen, priorisieren Risiken, analysieren Anomalien oder steuern Prozesse in Echtzeit.

datensicherheit.de, 27.01.2026
Strategische Prioritäten für Unternehmen 2026: Informationssicherheit, Compliance und Datenschutz / Datenschutz, Informationssicherheit und „Compliance“ stehen für Unternehmen 2026 nicht mehr nur als regulatorische Pflichtprogramme auf der Agenda – sie werden zu zentralen Erfolgsfaktoren

[datensicherheit.de, 02.04.2026] Ontinue hat den „Threat Intelligence Report“ für das zweite Halbjahr 2025 veröffentlicht. Dessen zentrale Erkenntnis ist demnach, dass Cyberkriminelle zunehmend auf Identitätsangriffe setzen. Statt Schwachstellen in Systemen der Unternehmen anzugreifen, nutzten sie heute eher kompromittierte Zugangsdaten oder missbrauchten digitale Identitäten und vertrauenswürdige Integrationen, um sich Zugang zu ihnen zu verschaffen.​

Foto: Ontinue

Balazs Greksza warnt: Sobald Angreifer gültige Identitäten erlangen, können sie traditionelle Sicherheitskontrollen umgehen und sich als legitime Benutzer bewegen!

Mit Hilfe geraubter Zugangsdaten zum direkten Zugriff auf „Cloud“-Umgebungen und interne Unternehmenssysteme

Der „Threat Intelligence Report“ des ATO-Teams („Advanced Threat Operations“) von Ontinue zeige, dass Angriffe auf digitale Identitäten bei Sicherheitsuntersuchungen mittlerweile dominierten.

• Zu den typischen Arten von Cyberattacken gehörten AiTM-Angriffe („Adversary in the Middle“), Passwort-Spraying sowie das Suchen und anschließende Ausnutzen von unbeabsichtigt veröffentlichten „Secrets“ wie Client-Passwörter.

Cyberkriminelle nutzten die auf diese Weise gekaperten Zugangsdaten, um direkt auf „Cloud“-Umgebungen und interne Unternehmenssysteme zuzugreifen, anstatt Schwachstellen in Software auszunutzen. In diesem Zusammenhang spielten „Infostealer“ eine zentrale Rolle: Malware-Familien wie „LummaC2“ sammelten Passwörter im Browser, in „Cookies“ und Authentifizierungs-Tokens von infizierten Systemen.

Auch Cyberkriminelle ohne Hacking-Erfahrung finden im Darknet Zugangsdaten zu Unternehmensumgebungen

Die gestohlenen Zugangsdaten fassten die „Tools“ überdies zu „Logs“ zusammen, welche dann den Weg auf Verkaufsplattformen im sogenannten Darknet fänden. Auf diese Weise erhielten auch Cyberkriminelle ohne Hacking-Erfahrung auf einfachste Weise Zugangsdaten zu Unternehmensumgebungen.

• Laut dem aktuellem „Threat Intelligence Report“ ist die Anzahl von Listen gestohlener Zugangsdaten, die sich auf einen Missbrauch durch „LummaC2“-Malware zurückführen lassen, um 72 Prozent gestiegen.

Bereits ein einziger gestohlener Zugang zu internen Unternehmensumgebungen könne pro Konto Tausende von Euro einbringen. Somit sei der Diebstahl von Zugangsdaten derzeit einer der profitabelsten Hacks.

Repertoire der Hacker: Datendiebstahl, Betriebsstörungen, DDoS-Angriffe sowie direkte Einschüchterung von Mitarbeitern oder Kunden der Zielunternehmen

Trotz eines moderaten Rückgangs nachweisbarer Ransomware-Zahlungen von rund 770 Millionen Euro im Jahr 2024 auf 708 Millionen Euro im Jahr 2025, steige die Anzahl der Angriffe weiter. Das ATO-Team von Ontinue habe über 7.000 weltweit gemeldete Ransomware-Vorfälle im Jahr 2025 gezählt, welche mehr als 120 aktive Ransomware-Gruppen in unterschiedlichen Branchen lanciert hätten.

• Für ihre aktuellen Ransomware-Kampagnen kombinierten Cyberkriminelle zunehmend mehrere Druckmittel: Zum Repertoire der Hacker gehörten Datendiebstahl, Betriebsstörungen, DDoS-Angriffe („Distributed Denial of Service“) wie auch die direkte Einschüchterung von Mitarbeitern oder Kunden von Zielunternehmen. Diese Taktiken bezeichneten Experten als Double-, Triple- oder sogar Quadruple-Extortion.

Der neue „Threat Intelligence Report“ zeige überdies erste Anzeichen dafür, dass Bedrohungsakteure Generative KI (GenAI) nutzten, um die Entwicklung bösartiger „Tools“ zu beschleunigen. Die Analyse mehrerer wiederhergestellter „Webshells“ und „Commodity-Malware-Samples“ habe Programmiermuster aufgezeigt, welche auf LLM-unterstützte Entwicklung hinwiesen. Die Analysten hätten beispielsweise ausführliche erläuternde Kommentare, duplizierte Funktionen durch iteratives Prompting und visuell aufbereitete Oberflächen bei unsicheren Implementierungen gefunden. Obwohl „adversariale KI“ derzeit noch in den Kinderschuhen stecke und kein dominanter Angriffsvektor sei, weist das ATO-Team von Ontinue darauf hin, dass GenAI die technische Barriere für die Entwicklung funktionaler Malware und Angriffsinfrastruktur deutlich senken werde.

Foto: Ontinue

Craig Jones rät Unternehmen, Risiken zu reduzieren, indem sie Bedrohungen schnell erkennen, entschlossen reagieren und die betriebliche Kontinuität im Falle eines „Security Incident“ aufrechterhalten

Hacker versuchen zunehmend über Entwicklungspipelines, SaaS-Plattformen und Drittanbieter, indirekten Zugang zu Unternehmensumgebungen zu erlangen

Die Risiken im Zusammenhang mit Software-Lieferketten und „Cloud“-Integrationen nähmen ebenfalls zu. Hacker versuchten zunehmend über Entwicklungspipelines, SaaS-Plattformen und Drittanbieter, indirekten Zugang zu Unternehmensumgebungen zu erlangen.

• Solche Angriffe könnten sich schnell über vertrauenswürdige „Ökosysteme“ ausbreiten und es Angreifern ermöglichen, mehrere Organisationen gleichzeitig zu kompromittieren.

Neben identitätsgetriebenen Angriffen dokumentiere der aktuelle „Threat Intelligence Report“ zu guter Letzt auch einen dramatischen Anstieg infrastruktureller Bedrohungen. DDoS-Kampagnen hätten Spitzenwerte von 31,4 Tbps erreicht – angetrieben durch Botnets mit über 500.000 kompromittierten Systemen. Diese Angriffe zeigten die wachsende Größe und Automatisierungskapazität heutiger Bedrohungsakteure.

Zusammenarbeit mit geeignetem „Managed Security Provider“ ermöglicht es Unternehmen, fortschrittliche Technologie, Echtzeit-Bedrohungsinformationen und erfahrene Analysten zu kombinieren

„Angreifer versuchen nicht mehr, Sicherheitsbarrieren zu durchbrechen. Sie loggen sich schlicht mit gestohlenen Zugangsdaten ein!“, berichtet Balazs Greksza, „Director of Advanced Threat Operations“ bei Ontinue. Er führt weiter aus: „,Infostealer’ versorgen einen wachsenden Untergrundmarkt für ,Credentials’. Sobald Angreifer gültige Identitäten erlangen, können sie traditionelle Sicherheitskontrollen umgehen und sich als legitime Benutzer bewegen.“

Dies geschehe oft, ohne dass innerhalb des Unternehmens irgendwelche Alarme ausgelöst würden.

Craig Jones, „Chief Security Officer“ bei Ontinue, ergänzt: „Cyberresilienz bedeutet für Unternehmen heute nicht nur, Sicherheitsverletzungen zu verhindern. Wichtig ist auch, Risiken zu reduzieren, indem sie Bedrohungen schnell erkennen, entschlossen reagieren und die betriebliche Kontinuität im Falle eines ,Security Incident’ aufrechterhalten. Die Zusammenarbeit mit dem richtigen ,Managed Security Provider’ ermöglicht es Unternehmen, fortschrittliche Technologie, Echtzeit-Bedrohungsinformationen und erfahrene Analysten zu kombinieren, um Angreifern einen Schritt voraus zu sein und die Fähigkeit zur Abwehr und Wiederherstellung gegen moderne Cyberbedrohungen zu stärken.“

Weitere Informationen zum Thema:

Ontinue
Managed SecOps for Microsoft Security Customers / Tailored protection to stop attacks and prevent future threats so you don’t have to

Ontinue
2 H 2025 Threat Intelligence Report

Ontinue
Leadership

datensicherheit.de, 25.02.2026
ESET-Warnung: Gestohlene Zugangsdaten längst das gefährlichste Angriffswerkzeug / In Frankreich wurden kürzlich 1,2 Millionen Bankkonten kompromittiert – nach ESET-Erkenntnissen ohne Hacker-Attacke auf den Server, sondern über gestohlenen Login

datensicherheit.de, 13.01.2025
Cyber-Kriminellen bevorzugen Login statt Einbruch / Personenbezogene Daten Hauptziel der Cyber-Angreifer

[datensicherheit.de, 01.04.2026] Auch Rich Greene, „Certified Instructor“ beim SANS Institute, hat den diesjährigen „World Backup Day“ zum Anlass genommen, an Unternehmen zu appellieren: „Das größte Problem bei Backups im Jahr 2026 ist nicht, dass Unternehmen keine haben, sondern dass sie diese nie getestet haben!“ Dies Erkenntnis beruhe nicht zuletzt auf einer Statistik aus dem „Unified Backup Survey Report 2025“: Über 60 Prozent der Unternehmen glauben demnach, dass sie sich innerhalb weniger Stunden von einem Ausfall erholen können, aber nur 35 Prozent schaffen das tatsächlich. „Das ist keine Lücke, das ist eine Schlucht, und die Menschen stehen auf der falschen Seite des Abgrunds!“, gibt Greene zu bedenken.

Foto: SANS Institute

Rich Greene: Ein Backup, das man noch nie wiederhergestellt hat, ist kein Plan, sondern eine Hoffnung…

KMU ohne geprüfte Backups insbesondere in ihrer Existenz bedroht

Unternehmen hätten sich zu sehr daran gewöhnt, das Kästchen „Backup“ anzukreuzen, ohne jemals die schwierigere Frage zu stellen, ob sich die Daten wiederherstellen lassen. „Denn ein Backup, das man noch nie wiederhergestellt hat, ist kein Plan, sondern eine Hoffnung, und das ist keine Strategie.“

Zum Thema „Backup“ zeichneten die Daten folgendes Bild:

• 76 Prozent der Unternehmen benötigten mehr als 100 Tage, um sich vollständig von einer Sicherheitsverletzung zu erholen (IBM/Ponemon 2025).
• 87 Prozent der IT-Fachleute hätten im vergangenen Jahr einen Datenverlust bei SaaS-Diensten erlebt – und die Hauptursache seien nicht Hacker gewesen, sondern menschliches Versagen (backupify 2025).

„Und hier ist der Punkt, der jedem Kleinunternehmer Angst machen sollte: Laut dem Ponemon Institute schließen 60 Prozent der KMUs, die ihre Daten aufgrund einer Katastrophe oder eines Datenlecks verlieren, innerhalb von sechs Monaten ihre Türen.“ Auf der anderen Seite habe die Mehrzahl der Unternehmen, die über Backups und einen getesteten Wiederherstellungsplan verfügten, Cyberangriffe überstanden. „Das ist der Unterschied!“, betont Greene.

Wiederherstellungspläne erforderlich: Backups notwendig, aber allein noch nicht hinreichend

Die Schlussfolgerung sei also: Es reiche nicht nur ein Backup zu haben – Unternehmen brauchten einen Plan und müssten diesen testen. „Und sie müssen wissen, dass der Plan funktioniert, bevor sie ihn benötigen!“

• Eine Sache, der sich Unternehmen bewusst werden müssten, ist das Modell der „shared responsibilities“ bei „Cloud“-Plattformen wie „Microsoft 365“ und „Google Workspace“. Die standardmäßigen Aufbewahrungsrichtlinien auf diesen Plattformen seien nicht als Backup-Strategie konzipiert, sondern dienten der Servicekontinuität, nicht der Datenresilienz.

GRC-Teams („Governance, Risk & Compliance“) müssten diese Standardeinstellungen im Hinblick auf ihre tatsächlichen „Compliance“-, Aufbewahrungs- und Wiederherstellungsanforderungen überprüfen. Greene führt aus: „Denn wenn Unternehmen die Aufbewahrungsdauer nicht bewusst an ihr Risikoprofil angepasst haben, verlassen sie sich auf Werkseinstellungen, die nie dazu gedacht waren, sie zu schützen.“

Backups erscheinen banal – aber im Fall der Fälle sind sie von existenzieller Bedeutung

Die Herausforderung bestehe zudem darin, dass sich die Bedrohungslandschaft weiterentwickelt habe. „Der ,M-Trends 2026‘-Bericht von Mandiant zeigt, dass Ransomware-Betreiber nun gezielt die Backup-Infrastruktur ins Visier nehmen, bevor sie irgendetwas Anderes verschlüsseln. Sie wollen den Opfern die Möglichkeit nehmen, das Lösegeld zu verweigern.“

• Der „Verizon DBIR 2025“ bestätige dies. „64 Prozent der Ransomware-Opfer weigerten sich im letzten Jahr zu zahlen, vor allem weil ihre Backup- und Wiederherstellungsmaßnahmen stark genug waren, um sich aus der Affäre ziehen zu können. Das ist die Kraft der Vorbereitung.“

Deshalb müssten Unternehmen ihre Daten nicht nur absichern; sie sollten diese wiederherstellen. „Unternehmen sollten prüfen, ob genau das tatsächlich funktioniert.“ Darüber hinaus sollten sie ihre Wiederherstellungszeit kennen – „und zwar nicht nur die auf dem ,Whiteboard’, sondern die tatsächliche“. Und: „Falls das GRC-Team die ,Cloud’-Aufbewahrungseinstellungen in letzter Zeit nicht geprüft hat, ist das die Hausaufgabe für den 31. März!“ Backups sorgten nicht für Schlagzeilen – aber sie entschieden darüber, ob ein Unternehmen einen schlechten Tag übersteht oder nicht.

Weitere Informationen zum Thema:

SANS
About SANS Institute

SANS
Rich Greene – Certified InstructorSenior Solutions Engineer at SANS Institute

UNITRENDS
The State of Backup and Recovery Report 2025 / The Unified Backup Survey Report 2025 sheds light on the current trends in backup and recovery and how they are reshaping the data protection landscape.

IBM
Cost of a Data Breach Report 2025

backupify
The State of SaaS Backup and Recovery Report 2025

Mandiant
M-Trends 2026 Report: Real-world investigations and actionable defense insights / A definitive look into the threats and tactics used in breaches, grounded in over 500k hours of incident investigations in 2025 by Mandiant.

verizon business
Is your front door open and unlocked for cyber criminals?

datensicherheit.de, 31.03.2026
World Backup Day: Backups verhindern, dass aus einem schlechten Tag ein katastrophaler wird / Zu den häufigen Ursachen für Datenverluste zählen Ransomware, versehentliches Löschen, Hardwareausfälle oder Softwarefehler, Fehlkonfigurationen, Insider-Bedrohungen und sogar Naturkatastrophen – Backups kontern also nicht nur die Ransamware-Bedrohung

datensicherheit.de, 30.03.2026
Konfigurationen: Der „World Backup Day“ sollte Backups jenseits purer Datensicherung propagieren / Es geht bei Backups eben auch darum, die gesamte Betriebsumgebung – inklusive aller Konfigurationen – widerstandsfähig und wiederherstellbar zu halten

datensicherheit.de, 29.03.2026
World Backup Day 2026 voraus: BSI ruft zur Datensicherung auf / Laut „Cybersicherheitsmonitor 2025“ des BSI legt nur ein Fünftel der Internetnutzer regelmäßig ein Backup an

[datensicherheit.de, 31.03.2026] Erich Kron, „CISO Advisor“ bei KnowBe4, kommentiert den diesjährigen „World Backup Day“ am 31. März 2026: „In einer Welt voller KI, ,Zero Day’-Exploits und nationalstaatlichen Cyberbedrohungen mag die Datensicherung wie eine Aufgabe aus dem ,Grundkurs Cybersicherheit’ erscheinen. Doch einige der schwerwiegendsten Vorfälle, mit denen Unternehmen konfrontiert sind, sind nicht auf hochkomplexe Angriffe zurückzuführen, sondern darauf, dass sie nicht auf das Unvermeidliche vorbereitet sind – und Datenverlust ist unvermeidlich.“

Foto: KnowBe4

Erich Kron: Es geht auch um Resilienz, also die Fähigkeit, sich zu erholen, wenn etwas schiefgeht

Backups machen den Unterschied zwischen Fortführung des Betriebs und Insolvenz aus

Wenn die meisten Unternehmen über die Notwendigkeit von Backups nachdenken, dächten sie an Ransomware – und dies sei verständlich. „Ransomware ist nach wie vor eine der finanziell schädlichsten Cyberbedrohungen, doch zu den weiteren häufigen Ursachen für Datenverluste zählen versehentliches Löschen, Hardwareausfälle oder Softwarefehler, Fehlkonfigurationen, Insider-Bedrohungen und sogar Naturkatastrophen.“

• Bei der Sicherheit drehe sich alles um Schichten. Keine Kontrolle sei perfekt, und irgendwann werde eine Schicht durchlässig und der Schutz versagen. „Wenn dies geschieht, sind es Backups, die verhindern, dass aus einem schlechten Tag ein katastrophaler wird.“

Für Unternehmen könnten Backups den Unterschied zwischen der Fortführung des Betriebs und der Insolvenz ausmachen. Bewährt habe sich die „3-2-1-Regel“ für Backups:

• „3“ → drei Kopien Ihrer Daten
• „2“ → zwei verschiedene Speichertypen
• „1“ → eine externe (oder Offline-)Kopie

Diese Methode sei nicht neu, aber sie bleibe sicherlich nach wie vor relevant.

Backups sollten automatisiert werden

Kron warnt: „Wenn es darauf ankommt, dass jemand nur daran denkt, es zu tun, wird es nicht konsequent geschehen. Es gilt so viele Hindernisse wie möglich zwischen den Mitarbeitern und den Backup-Verfahren zu beseitigen.“

• Backups testen
  Hierbei scheiterten viele Unternehmen – und es gebe kein schlimmeres Gefühl als festzustellen, „dass die Daten weg sind und nicht wiederhergestellt werden können“.
  Wenn Sicherheitsteams die Wiederherstellung nicht getestet haben, könnten sie nicht wissen, ob ihre Backups funktionieren und wie lange die Wiederherstellung dauern wird.
• Backups schützen
  Angreifer nähmen oft zuerst Backups ins Visier. „Sie wissen, wie viel Einfluss sie haben, wenn sie die einzige brauchbare Kopie der Daten in der Hand halten.“
  Sicherheitsteams sollten daher unveränderliche Speicher vorhalten sowie starke Zugriffskontrollen und Netzwerksegmentierung vornehmen.

Der „World Backup Day“ als alljährlicher Realitätscheck

Die Wiederherstellungszeit sei entscheidend. „Ein Backup, dessen Wiederherstellung Wochen dauert, rettet ein Unternehmen möglicherweise nicht.“ Dies sei besonders wichtig, wenn Sicherheitsteams viele Systeme gleichzeitig wiederherstellen müssten.

• Sie könnten ein Netzwerk leicht mit Daten überlasten. „Deshalb sollten sie sicherstellen, dass sie wissen, was am wichtigsten ist, um es zuerst wiederherzustellen, und sie müssen bei Bedarf einen Plan für die schrittweise Wiederherstellung erstellen“, legt Kron abschließend nahe.

Der „World Backup Day“ sei nicht nur eine Erinnerung, sondern ein Realitätscheck. Bei der Cybersicherheit gehe es nicht darum, jeden Vorfall zu verhindern. „Das ist unrealistisch. Es geht auch um Resilienz, also die Fähigkeit, sich zu erholen, wenn etwas schiefgeht.“

Weitere Informationen zum Thema:

knowbe4
KnowBe4 News und Wissenswertes

knowbe4
Erich Kron / CISO Advisor

datensicherheit.de, 30.03.2026
Konfigurationen: Der „World Backup Day“ sollte Backups jenseits purer Datensicherung propagieren / Es geht bei Backups eben auch darum, die gesamte Betriebsumgebung – inklusive aller Konfigurationen – widerstandsfähig und wiederherstellbar zu halten

datensicherheit.de, 29.03.2026
World Backup Day 2026 voraus: BSI ruft zur Datensicherung auf / Laut „Cybersicherheitsmonitor 2025“ des BSI legt nur ein Fünftel der Internetnutzer regelmäßig ein Backup an

datensicherheit.de, 14.03.2026
World Backup Day: Anlass zur Neubewertung eigener Cyberresilienz als Chefsache / Der eigentliche geschäftliche Mehrwert des Backups entsteht nicht durch die Sicherung als technische Maßnahme per se – sondern eben durch die Fähigkeit zur schnellen und vollständigen Wiederherstellung aller geschäftskritischen Daten und Systeme

Von unserem Gastautor Thomas Kress, Geschäftsführer, Deutsche Cyberkom GmbH

[datensicherheit.de, 30.03.2026] NIS2 wird in vielen Unternehmen noch immer operativ interpretiert. Maßnahmen werden erweitert, Kontrollen verschärft, Compliance-Strukturen angepasst. Doch die eigentliche Veränderung liegt auf einer anderen Ebene. Geschäftsleitungen und Aufsichtsgremien müssen künftig nicht nur Verantwortung tragen, sondern diese auch aktiv und nachvollziehbar wahrnehmen.

Thomas Kress, Geschäftsführer, Deutsche Cyberkom GmbH, © Deutsche Cyberkom

Damit verschiebt sich der Maßstab. Nicht die Anzahl der Maßnahmen ist entscheidend, sondern die Fähigkeit zur Steuerung. Genau hier zeigt sich in der Praxis eine deutliche Lücke.

Vom ISMS zur echten Steuerungslogik

Viele Unternehmen verfügen über etablierte Informationssicherheitsmanagementsysteme, häufig orientiert an ISO 27001. Diese schaffen Struktur, ersetzen aber keine Steuerung auf Vorstandsebene. NIS2 fordert genau diese Übersetzung.

Cyberrisiken müssen so aufbereitet werden, dass sie für die Geschäftsleitung verständlich und entscheidungsfähig sind. Technische Schwachstellen allein reichen nicht aus. Erst die Verknüpfung mit geschäftlichen Auswirkungen macht Risiken steuerbar.

In der Praxis fehlt häufig genau dieser Schritt. Informationen bleiben technisch, während die Führungsebene keine klare Entscheidungsbasis erhält.

Die fünf Kennzahlen für die Führungsebene

Für eine wirksame Steuerung haben sich fünf Kennzahlen bewährt, die auf Vorstandsebene belastbar sind:

• Der aggregierte Risikostatus kritischer Geschäftsprozesse zeigt, wie stark das Kerngeschäft aktuell gefährdet ist und basiert auf Business Impact Analysen sowie aktuellen Bedrohungslagen.
• Die Mean Time to Detect misst die Zeit bis zur Erkennung eines Vorfalls und gibt Aufschluss über die Effektivität von Monitoring und Detection.
• Die Mean Time to Recover beschreibt die Wiederherstellungszeit kritischer Systeme und damit die operative Resilienz des Unternehmens.
• Der Umsetzungsgrad priorisierter Maßnahmen zeigt, ob definierte Sicherheitsmaßnahmen tatsächlich umgesetzt werden und wo Verzögerungen bestehen.
• Die Third-Party Risk Exposure bewertet die Risiken durch externe Dienstleister und Lieferketten, die zunehmend zum entscheidenden Angriffspunkt werden.

Diese Kennzahlen verdichten komplexe Sachverhalte auf ein Niveau, das fundierte Entscheidungen ermöglicht.

Reporting als Entscheidungsgrundlage

Ein entscheidender Erfolgsfaktor ist das Reporting. Umfangreiche technische Berichte sind auf Vorstandsebene nicht zielführend. Entscheidend ist eine klare und reduzierte Darstellung.

Ein einseitiges Management-Update hat sich in der Praxis bewährt. Es enthält eine eindeutige Gesamteinschätzung der Risikolage, die Entwicklung der zentralen Kennzahlen sowie die aktuell kritischsten Risiken.

Wesentlich ist die Übersetzung in geschäftliche Auswirkungen. Welche Prozesse sind betroffen, welche operativen oder finanziellen Konsequenzen entstehen können.

Abschließend müssen konkrete Entscheidungsbedarfe formuliert werden. Erst dadurch wird aus Reporting echte Steuerung.

Haftung als Frage der Nachvollziehbarkeit

Die persönliche Haftung wird häufig als abstraktes Risiko wahrgenommen. In der Praxis ist sie vor allem eine Frage der Nachvollziehbarkeit.

Geschäftsleitungen müssen zeigen können, dass Risiken bekannt sind, bewertet werden und auf dieser Grundlage Entscheidungen getroffen wurden. Die Existenz von Risiken ist dabei nicht ausschlaggebend.

Kritisch wird es, wenn Transparenz fehlt oder bekannte Risiken ignoriert werden. NIS2 erhöht hier die Anforderungen an strukturiertes und dokumentiertes Handeln.

Typische Schwächen in der Umsetzung

In vielen Organisationen liegt der Fokus weiterhin auf technischen Maßnahmen. Gleichzeitig fehlt die Integration in die Unternehmenssteuerung.

Cybersecurity wird operativ umgesetzt, aber nicht strategisch geführt. Risiken werden identifiziert, aber nicht priorisiert. Reporting ist vorhanden, aber nicht entscheidungsorientiert.

Diese Diskrepanz führt zu einer Scheinsicherheit, die durch NIS2 zunehmend hinterfragt wird.

Fazit

NIS2 verschiebt den Fokus von einzelnen Maßnahmen hin zur Fähigkeit, Risiken aktiv zu steuern. Geschäftsleitungen werden daran gemessen, ob sie Informationssicherheit nachvollziehbar führen.

Ein klar definiertes Set an Kennzahlen, ein reduziertes und entscheidungsorientiertes Reporting sowie die Integration in bestehende Governance-Strukturen bilden die Grundlage dafür. Unternehmen, die diese Übersetzung schaffen, erreichen nicht nur regulatorische Konformität, sondern echte Resilienz.

Über den Autor:

Thomas Kress ist ein erfahrener IT-Sicherheitsexperten im deutschsprachigen Raum und Geschäftsführer der Deutschen CyberKom. Nach über 25 Jahren in leitenden Rollen bei internationalen IT-Projekten gründete er sein eigenes Unternehmen, das heute unter dem Dach der Deutschen CyberKom IT-Security und Telekommunikation strategisch vereint. Darüber hinaus ist Kress gefragter Fachautor in IT- und Wirtschaftspublikationen. Als Berater betreut er führende Unternehmen sowie Systemhäuser in Sicherheitsfragen, Infrastruktur und digitaler Souveränität.

Weitere Informationen zum Thema:

datensicherheit.de, 28.03.2026
NIS2 wird nicht an der Technologie scheitern – sondern am Faktor Mensch

[datensicherheit.de, 30.03.2026] Der jüngste Cybercrime Report von LexisNexis® Risk Solutions analysiert zentrale globale Betrugstrends des vergangenen Jahres. Grundlage ist die Auswertung von mehr als 116 Milliarden Online-Transaktionen, die 2025 über das LexisNexis® Digital Identity Network® erfasst wurden. Der Report weist einen Anstieg der globalen Betrugsraten um 8 % aus. Treiber sind insbesondere Angriffe auf die Gaming- und Glücksspielbranche sowie den E-Commerce-Sektor, anhaltender Kostendruck durch steigende Lebenshaltungskosten und neue Betrugsmuster.

Wichtigste Erkenntnisse des Cybercrime Reports 2026:

• First-Party-Fraud dominiert: Betrug durch Kunden zulasten von Unternehmen bleibt zum zweiten Mal in Folge die weltweit führende Betrugsquelle und macht nahezu zwei von fünf Fällen (38,3 %) aus. Regional zeigen sich deutliche Unterschiede: In EMEA entfallen über die Hälfte der Betrugsfälle (51,7 %) auf First-Party-Fraud, während dieser Anteil in Lateinamerika unter 10 % liegt. Dort hingegen ist synthetischer Identitätsbetrug mit 48,3 % wesentlich stärker verbreitet.
• Synthetischer Betrug nimmt deutlich zu: Mehr als jeder zehnte Betrugsfall (11 %) basiert inzwischen auf einer synthetischen Identität. Dies entspricht einem achtfachen Anstieg gegenüber dem Vorjahr und macht diese Form zur am schnellsten wachsenden Betrugsart weltweit. Sie steht für eine strategische Verschiebung von kurzfristigem Opportunismus hin zu langfristig angelegten Vorgehensweisen, da der Aufbau entsprechender Identitäten mehrere Monate in Anspruch nehmen kann. Täter kombinieren gestohlene Identitätsmerkmale, um neue, scheinbar legitime Identitäten zu schaffen und nutzen diese für unterschiedliche Deliktsformen. Aufgrund fehlender unmittelbarer Geschädigtenmeldungen und hoher Ertragspotenziale gewinnt diese Methode global an Bedeutung, insbesondere in Lateinamerika (48,3 %).
• Agentischer Datenverkehr steigt um 450 % im Jahr 2025: Der Anstieg steht vor allem im Zusammenhang mit Kreditkartenzahlungen und Logins auf Gaming- und Glücksspielplattformen. Zwar gibt es keine eindeutigen Hinweise auf missbräuchliche Nutzung, doch stellen solche agentischen Systeme langfristig eine neue Herausforderung für die Betrugserkennung dar. Sie etablieren neben menschlichen Interaktionen und klassischen, regelbasierten Bots eine dritte Kategorie digitaler Interaktion.
• „Bad Bots“ imitieren menschliches Verhalten zunehmend präzise: Sie sind in der Lage, menschliche Verhaltensmuster – etwa Mausbewegungen auf Login-Seiten – realitätsnah nachzuahmen, um verhaltensbasierte Betrugserkennungssysteme zu umgehen. 2025 stieg die Zahl solcher Angriffe um 59 %, während Kriminelle diese Technologien testen und operationalisieren. Deutliche Ausschläge im Identity Abuse Index wurden insbesondere im März und April sowie erneut im August 2025 verzeichnet.
• E-Commerce und Online-Wettkonten im Fokus: Die Angriffsrate im E-Commerce stieg im Jahresvergleich um 64 %, während Login-basierte Angriffe zur Übernahme von Kundenkonten um 216 % zunahmen. Wachstum zeigte sich in allen Regionen, besonders ausgeprägt in Nordamerika und APAC. Plattformen für Gaming und Glücksspiel verzeichneten 2025 einen globalen Anstieg der Angriffsrate um 76 %.

Stephen Topliss, Vice President Fraud and Identity bei LexisNexis Risk Solutions, © LexisNexis Risk Solutions

„Betrug entwickelt sich mit der digitalen Innovation weiter und gewinnt an Dynamik“, erklärt Stephen Topliss, Vice President Fraud and Identity bei LexisNexis Risk Solutions. „Während Unternehmen ihre Abwehrmechanismen über alle Kanäle hinweg stärken, skalieren kriminelle Netzwerke ihre Automatisierung, passen ihre Taktiken an und testen systematisch Schwachstellen entlang der gesamten digitalen Customer Journey. Zunehmend setzen Angreifer auf fortgeschrittene Bots und KI-gestützte Tools, um menschliches Verhalten zu imitieren und Sicherheitsmechanismen mit bislang unerreichter Geschwindigkeit und Präzision zu prüfen.“

Regionale Entwicklungen verdeutlichen differenzierte Bedrohungslagen:

• EMEA: Die Angriffsrate stieg erstmals seit mehreren Jahren signifikant an, um 27 % im Jahresvergleich. Haupttreiber sind Versuche der Kontoübernahme, bei denen Schwachstellen in Authentifizierungsprozessen digitaler Dienste gezielt ausgenutzt werden.
• Nordamerika: Im Jahresverlauf kam es zu wiederkehrenden Spitzen bei E-Commerce-Betrugsaktivitäten, während die Gesamtangriffsrate mit rund 2,2 % stabil blieb. Angriffe konzentrieren sich vor allem auf Login-Prozesse und E-Commerce-Plattformen.
• APAC: Die Region verzeichnet weiterhin starkes Wachstum digitaler Transaktionen bei gleichzeitig steigender Betrugsaktivität. Die Angriffsrate erhöhte sich auf 1,7 %. Besonders auffällig ist der deutliche Anstieg von Angriffen über Desktop-Browser, da Betrüger zunehmend auf fortgeschrittene automatisierte Werkzeuge setzen.
• Lateinamerika: Das Betrugsgeschehen bleibt branchenübergreifend heterogen. Gleichzeitig nehmen Risiken durch synthetischen Identitätsbetrug zu, insbesondere im Zuge wachsender digitaler Dienstleistungen und regulierter Online-Gaming-Märkte.

Topliss ergänzt: „Cyberkriminelle experimentieren mit denselben Technologien, die den digitalen Handel transformieren. Unternehmen müssen sich auf ein Umfeld einstellen, in dem sowohl legitime Nutzer als auch böswillige Akteure automatisierte Agenten für Online-Interaktionen einsetzen. Erfolgreich werden diejenigen sein, die sicher zwischen Menschen, Bots und agentischen Systemen unterscheiden und zugleich die zugrunde liegende Intention bewerten können. Zugleich beobachten wir eine zunehmende Zusammenarbeit zwischen Unternehmen mit globaler „digital intelligence“, fortgeschrittener Analytik und belastbaren branchenübergreifenden Partnerschaften. Unternehmen, die Risiko- und Bedrohungsinformationen teilen, sind am besten positioniert, um Verbraucher zu schützen und Vertrauen in die digitale Ökonomie aufzubauen.“

Methodik: Der Report analysiert nach eigenen Angaben mehr als 116 Milliarden Transaktionen, die zwischen Januar und Dezember 2025 über das LexisNexis Digital Identity Network verarbeitet wurden. Identifiziert werden Betrugsversuche in nahezu Echtzeit entlang der gesamten digitalen Interaktionskette, von der Kontoeröffnung über Logins und Zahlungsprozesse bis hin zu ergänzenden Vorgängen wie Passwortzurücksetzungen und Überweisungen.

Weitere Informationen zum Thema:

LexisNexis® Risk Solutions
Evolving Threats Beneath the Surface LexisNexis® Risk Solutions Cybercrime Report

datensicherheit.de, 14.05.2025
LexisNexis® Risk Solutions Cybercrime Report 2025: Ruhe vor dem Sturm

[datensicherheit.de, 30.03.2026] Der diesjährige „World Backup Day“ wird am 31. März 2026 begangen: In seinem Kommentar erörtert Rob Edmondson, „Principal Technologist, Microsoft 365“ von CoreView, den Sinn dieses Tages: „Wie bei den meisten Gedenk- und Aktionstagen stellt sich auch beim ,World Backup Day’ die Frage, ob es ihn überhaupt noch braucht.“ Schließlich sicherten laut der Backup-Studie 2025 des Datenrettungsspezialisten DATA REVERSE 77 Prozent der deutschen Unternehmen ihre Daten mindestens wöchentlich. Regelmäßige Datensicherung sei damit längst gelebte Praxis. „Backups sind, so scheint es, kein Nischenthema mehr, sondern Teil der grundlegenden Cyberhygiene…“ Im Bereich des Backups gebe es jedoch einen enormen Blinden Fleck, so Edmondson, welcher die Sicherung der Konfigurationen betreffe. Der „World Backup Day“ verdiene somit eine Erweiterung seines Anliegens: „Backup bedeutet im Jahr 2026 nicht mehr nur Datensicherung. Es bedeutet auch, die gesamte Betriebsumgebung – inklusive aller Konfigurationen – widerstandsfähig und wiederherstellbar zu halten. Wer diesen Schritt noch nicht gegangen ist, sollte ihn nicht auf den nächsten ,World Backup Day’ verschieben.“

Foto: CoreView

Rob Edmondson: Wer hier im Krisenfall nur seine Daten parat hat, steht trotzdem vor einem Scherbenhaufen!

„Backup“ umfasst für viele Unternehmen nur Datensicherung – z.B. für „Microsoft 365“ leichtsinning

„Unternehmen sichern ihre Daten, aber vergessen dabei systematisch ihre Konfigurationen. Besonders dramatisch ist das in ,Microsoft 365‘-Umgebungen, die heute das operative Rückgrat der meisten Unternehmen bilden.“

• „Microsoft 365“ umfasse mehr als 10.000 individuelle Konfigurationselemente. Jede davon könne zudem Varianten aufweisen. So verfüge eine größere „Microsoft 365“-Umgebung schnell über 100.000 einzigartige Konfigurationen. „Eine manuelle Wiederherstellung ist in der Praxis kaum leistbar“, so Edmondson.

Er warnt: „Wer hier im Krisenfall nur seine Daten parat hat, steht trotzdem vor einem Scherbenhaufen! Man kann sich den ,Tenant’  wie ein Glas Wasser vorstellen: Die Daten sind das Wasser, die Konfigurationen das Glas. Nur wenn dieses (noch oder wieder) vorhanden ist und keine Risse hat, kann es das Wasser sicher bewahren.“

Wer keine Konfigurations-Backups hat, bemerkt Manipulationen oft erst, wenn es zu spät ist

Jeder zweite IT-Verantwortliche gehe fälschlicherweise davon aus, dass Microsoft Backups der „M365-Tenant“-Konfigurationen erstellt – oder ihr Backup-Anbieter. Diese sicherten jedoch in aller Regel nur die Daten, jedoch keine Konfigurationen. Dieser Unterschied sei keine Kleinigkeit. „Vielmehr handelt es sich um ein strukturelles Missverständnis, das im Ernstfall ganze Betriebe lahmlegen kann!“

• Edmondson führt weiter aus: „Was sind ,Tenant’-Konfigurationen überhaupt? Es sind die Einstellungen, die festlegen, wer auf was zugreifen darf, welche Sicherheitsrichtlinien gelten, wie Conditional-Access-Regeln und Multi-Faktor-Authentifizierung konfiguriert sind, wie DLP-Policies greifen und wie Applikationsberechtigungen vergeben wurden. Kurz: Tenant-Konfigurationen sind das Nervensystem einer ,M365‘-Umgebung. Fällt es aus, funktioniert nichts mehr, auch nicht die sorgfältig gesicherten Daten.“

Konfigurationen seien außerdem ein bevorzugtes Angriffsziel. Microsoft selbst habe in seinem „Digital Defense Report 2024“ allein für den Monat Mai 2024 rund 176.000 Fälle von gezielten Manipulationen von Systemeinstellungen dokumentiert. Angreifer deaktivierten Audit-Logs, lockerten Zugriffsregeln oder unterwanderten DLP-Richtlinien. „Wer keine Konfigurations-Backups hat, bemerkt solche Manipulationen oft erst dann, wenn es zu spät ist. IT-Verantwortliche stehen dann vor der Aufgabe, Tausende von Einstellungen manuell zu rekonstruieren.“

Weitere Informationen zum Thema:

CoreView
Microsoft 365 breaks. CoreView restores tenant continuity. / Attackers break your Microsoft 365 tenant by changing roles, policies and configurations. CoreView restores your tenant, so you’re back to business in minutes.

CoreView
Rob Edmondson – Sr. Director, Product Marketing

DATA REVERSE
Studie: Backupverhalten KMU 2025 / Trotz Notfallplanung und Datensicherungskonzepten in deutschen KMU’s zeigt die Backup-Studie 2025 diesmal deutliche Defizite in der Sicherung von unternehmenskritischen Daten aufgrund fehlender Rücksicherungs-Test der vorhandenen Backups.

WIKIPEDIA
Tenant / s. Mandantenfähigkeit

MICROSOFT
Microsoft Digital Defense Report 2024

datensicherheit.de, 29.03.2026
World Backup Day 2026 voraus: BSI ruft zur Datensicherung auf / Laut „Cybersicherheitsmonitor 2025“ des BSI legt nur ein Fünftel der Internetnutzer regelmäßig ein Backup an

datensicherheit.de, 14.03.2026
World Backup Day: Anlass zur Neubewertung eigener Cyberresilienz als Chefsache / Der eigentliche geschäftliche Mehrwert des Backups entsteht nicht durch die Sicherung als technische Maßnahme per se – sondern eben durch die Fähigkeit zur schnellen und vollständigen Wiederherstellung aller geschäftskritischen Daten und Systeme

datensicherheit.de, 30.03.2025
World Backup Day 2025 als Anlass für Überlegungen zu einer resilienten Datenschutzstrategie / Unternehmen sollte klar sein, in der heutigen digitalen Geschäftslandschaft ihre Daten nicht ungeschützt lassen zu können

datensicherheit.de, 27.03.2025
World Backup Day 2025: Regelmäßige Datensicherung laut BSI unverzichtbar / Datenverluste können unerwartet und in den unterschiedlichsten Formen auftreten – etwa durch technische Defekte, Cyber-Angriffe oder Unfälle

[datensicherheit.de, 28.03.2026] NIS2 hat die Messlatte für die Cybersicherheit in ganz Europa höher gelegt, und das aus gutem Grund. Die Bedrohungen sind hartnäckiger, raffinierter und störender als je zuvor. Die Aufsichtsbehörden reagieren darauf, indem sie stärkere Sicherheitskontrollen, eine klarere Rechenschaftspflicht und einen besseren Einblick in das Risikomanagement von Unternehmen fordern. Als Reaktion darauf haben viele Unternehmen bekannte und sinnvolle Schritte unternommen. Sie haben in neue Sicherheitstools investiert, ihre technischen Schutzmaßnahmen verstärkt, Richtlinien verfeinert und die Risikoberichterstattung an die Unternehmensleitung verstärkt. All dies spielt eine wichtige Rolle bei der Verbesserung der Sicherheitslage.

MetaCompliance, Anbieter für Human Risk Management, warnt jedoch, dass Erfahrung aus der Praxis zeigen, dass diese Maßnahmen allein nicht ausreichen werden:

Wenn es zu Sicherheitsverletzungen kommt, beginnt dies selten mit einem technischen Defekt. Sie beginnen mit einer menschlichen Entscheidung, die oft schnell, unter Druck oder ohne genügend Kontext getroffen wird, um das Risiko in diesem Moment zu erkennen. Daran wird sich der Erfolg oder Misserfolg von NIS2 letztlich entscheiden.

NIS2 rückt den Menschen fest in den Blickpunkt

Eines der häufigsten Missverständnisse im Zusammenhang mit NIS2 ist, dass es sich in erster Linie um eine technische oder IT-gesteuerte Verordnung handelt. Sie enthält zwar Anforderungen in Bezug auf Systeme, Überwachung, Meldung von Vorfällen und Sicherheit der Lieferkette, aber ihr Anwendungsbereich ist viel breiter.

NIS2 legt den Schwerpunkt eindeutig auf Risikomanagement, Governance und organisatorische Resilienz. Unternehmen müssen verstehen, wo ihre wirklichen Risiken bestehen, wie sich diese Risiken im Laufe der Zeit entwickeln und ob die vorhandenen Kontrollen wirklich wirksam sind, um sie zu reduzieren. Diese Wirksamkeit wird nicht daran gemessen, wie viele Tools eingesetzt werden oder wie umfangreich eine Richtlinienbibliothek auf dem Papier aussieht, sondern daran, ob die Risiken in der Praxis verwaltet werden.

Auch die Verantwortung wird fest nach oben verlagert. Von der Geschäftsleitung wird erwartet, dass sie die Maßnahmen zum Risikomanagement genehmigt und ihre laufende Wirksamkeit überwacht. In diesem Zusammenhang kann menschliches Verhalten nicht mehr ignoriert werden. Entscheidungen über den Zugang, den Umgang mit Anmeldeinformationen, die gemeinsame Nutzung von Daten und Reaktionen unter Druck haben einen direkten Einfluss darauf, ob die Kontrollen bei Tests Bestand haben.

NIS2 betrachtet dieses Thema nicht als zweitrangig oder weich, sondern das menschliche Verhalten als Kernkomponente des organisatorischen Risikos.

Die meisten Angriffe beginnen immer noch mit alltäglichen Entscheidungen

Trotz jahrelanger Fortschritte in der Cybersicherheitstechnologie bleiben die häufigsten Angriffswege bemerkenswert gleich. Laut des neuesten Verizon Data Breach Investigations Report (DBIR) sind rund 60 Prozent der Sicherheitsverletzungen auf menschliches Verhalten zurückzuführen, darunter Phishing, kompromittierte Zugangsdaten und Routinefehler. Dies zeigt, wie sehr menschliches Verhalten das Risiko immer noch beeinflusst. In demselben Bericht waren gestohlene oder missbräuchlich verwendete Zugangsdaten in etwa 22 Prozent der Fälle der primäre Einstiegsvektor, während Phishing etwa 15 Prozent ausmachte. Diese Zahlen verdeutlichen, dass viele Vorfälle nicht auf einen Fehler in den Sicherheitstools zurückzuführen sind, sondern auf alltägliche Entscheidungen, die getroffen werden, wenn Menschen beschäftigt, abgelenkt oder unter Druck sind.

Diese Situationen entstehen nicht, weil Mitarbeiter unvorsichtig oder böswillig sind. Sie entstehen, weil die Menschen versuchen, ihre Arbeit in einer schnelllebigen Umgebung zu erledigen, in der Bequemlichkeit, Dringlichkeit und konkurrierende Prioritäten das Verhalten oft bestimmen. Angreifer verstehen diese Dynamik sehr gut, weshalb Social Engineering nach wie vor eine so effektive Taktik ist. Gemäß des DBIR sind Social-Engineering-Techniken an fast drei Vierteln der Sicherheitsverletzungen beteiligt. Damit ist dies eine der erfolgreichsten Methoden für Angreifer, sich Zugang zu verschaffen, indem sie menschliche Entscheidungen und nicht technische Schwächen ausnutzen.

Technologie ist auf definierte Prozesse und vorhersehbare Eingaben ausgelegt, aber sie geht oft davon aus, dass Menschen sich konsistent verhalten, selbst wenn sie müde sind, unter Druck stehen oder mit unvollständigen Informationen arbeiten. Aus Sicht von NIS2 ist diese Lücke wichtig. Die Aufsichtsbehörden interessieren sich nicht nur dafür, ob es Kontrollen gibt, sondern auch dafür, ob sie belastbar genug sind, um den realen Bedingungen standzuhalten.

Wenn eine Kontrolle von perfektem Verhalten unter unvollkommenen Umständen abhängt, stellt dies ein Risiko dar, das verstanden und verwaltet werden muss.

Warum Politik und jährliche Schulungen zu kurz greifen

Die meisten Unternehmen können nachweisen, dass sie über Sicherheitsrichtlinien verfügen und dass ihre Mitarbeiter regelmäßig Schulungen zur Sensibilisierung absolvieren. Lange Zeit wurde dies als angemessener Beweis für die gebotene Sorgfalt angesehen. Unter NIS2 wird es schwieriger, diese Annahme zu verteidigen. Richtlinien beschreiben, wie die Dinge funktionieren sollten, und jährliche Schulungen erklären das erwartete Verhalten in der Theorie. Was sie nicht zeigen, ist, wie Menschen tatsächlich reagieren, wenn sie mit realistischen Szenarien konfrontiert werden, die den Druck ihrer täglichen Aufgaben widerspiegeln.

Vom Standpunkt der Regulierung aus betrachtet, schafft dies eine Lücke in der Sichtbarkeit. Abschlussquoten und Bestätigungen von Richtlinien zeigen die Aktivität, aber nicht die Wirksamkeit. Da NIS2 einen risikobasierten und ergebnisorientierten Ansatz für die Einhaltung der Vorschriften vorantreibt, müssen die Unternehmen nachweisen, dass ihre Sensibilisierungsprogramme das Verhalten auf messbare Weise beeinflussen.

Verhaltensnachweise sind wichtiger als Anwesenheit

Eine der wichtigsten Änderungen, die durch NIS2 eingeführt wurden, ist die Konzentration auf das laufende Risikomanagement und nicht auf die punktuelle Einhaltung von Vorschriften.

Wenn es um menschliche Risiken geht, bedeutet das, dass wir in der Lage sind, praktische Fragen zu beantworten:

• Womit haben die Mitarbeiter am meisten zu kämpfen?
• Welche Verhaltensweisen bergen die größten Risiken?
• Wie variiert dieses Risiko je nach Funktion, Team oder Standort?
• Welche Beweise gibt es, die belegen, dass Lerninterventionen tatsächlich Wirkung zeigen?

Verhaltensbasierte Erkenntnisse helfen bei der Beantwortung dieser Fragen. Daten zum Engagement, Reaktionen auf realistische Szenarien und Muster bei der Entscheidungsfindung liefern wertvolle Erkenntnisse darüber, wie sich Menschen verhalten, wenn sie mit wichtigen Situationen konfrontiert sind. Anwesenheits- und Abschlusskennzahlen allein können dieses Maß an Sicherheit nicht bieten.

Engagement ist kein Nice-to-have

Das Engagement im Bereich des Sicherheitsbewusstseins wird oft in Bezug auf die Teilnahme oder den Abschluss diskutiert und nicht in Bezug auf die Auswirkungen auf die Art und Weise, wie Menschen denken und handeln, wenn sie mit Risiken konfrontiert werden.

Wenn Mitarbeiter unmotiviert sind, ist es viel unwahrscheinlicher, dass sie Anleitungen aufnehmen, Warnzeichen erkennen oder das Gelernte anwenden, wenn es am wichtigsten ist. Aus der Sicht von NIS2 ist dies kein Problem des Lerndesigns, sondern ein Problem des Risikomanagements.

Interaktive, szenariobasierte Inhalte spielen hier eine wertvolle Rolle, da sie widerspiegeln, wie Menschen am besten lernen. Dieser Ansatz steht in engem Einklang mit den Erwartungen der Regulierungsbehörden in Bezug auf Effektivität und kontinuierliche Verbesserung.

Technologie unterstützt die Resilienz, Menschen bestimmen sie

Starke technische Kontrollen sind weiterhin unerlässlich. Firewalls, Überwachungstools, Identitätssysteme und Erkennungsfunktionen spielen eine entscheidende Rolle. Was NIS2 außerdem fordert, ist ein klares Verständnis dafür, wie diese Kontrollen mit dem menschlichen Verhalten interagieren. Unternehmen, die NIS2 als reines Technologieprojekt betrachten, laufen Gefahr, dies völlig zu verpassen.

Aufbau einer vertretbaren NIS2-Ausrichtung

Da die Durchsetzung von NIS2 näher rückt, werden die Unternehmen zunehmend aufgefordert werden, nachzuweisen, wie sie in der Praxis mit Risiken umgehen. Eine vertretbare Ausrichtung beruht auf Beweisen. Letztendlich wird die Einhaltung von NIS2 nicht daran scheitern, dass ein Tool fehlt. Sie wird scheitern, wenn menschliches Verhalten als nachträglicher Gedanke behandelt wird und nicht als zentraler Bestandteil des Risikomanagements.

Management menschlicher Risiken

Die Erfüllung der NIS2-Erwartungen erfordert mehr als den Nachweis, dass eine Schulung stattgefunden hat. NIS2 führt zu mehr Verantwortlichkeit und Kontrolle. Unternehmen, die klar zeigen können, wie sie ihre Mitarbeiter vorbereiten, werden am besten in der Lage sein, sowohl die Erwartungen der Regulierungsbehörden zu erfüllen als auch reale Bedrohungen zu bewältigen.

Weitere Informationen zum Thema:

datensicherheit.de, 11.12.2025
NIS-2 offiziell in Kraft: Proliance-Handlungsempfehlungen für Unternehmen

[datensicherheit.de, 28.03.2026] Gemäß einer aktuellen Stellungnahme von NETSCOUT ist Deutschland offenbar wieder in Reisestimmung, denn die Nachfrage nach Flugreisen nehme weiter zu. „Im Sommerflugplan 2025 reisten rund 68,5 Millionen Passagiere von deutschen Hauptverkehrsflughäfen ins Ausland – 4,6 Prozent mehr als im Vorjahr.“ Mit einer positiven Entwicklung stiegen jedoch auch die Anforderungen an einen reibungslosen Betrieb. Je höher das Passagieraufkommen, desto entscheidender werde das Zusammenspiel von Systemen, Prozessen und Infrastruktur.

Digitale Infrastruktur der Fluggesellschaften und sonstiger Flughafendienstleistungen unter enormem Druck

Treffen steigende Passagierzahlen zusätzlich auf unvermeidbare externe Störungen, wie etwa Luftraumsperrungen und kurzfristige Flugumleitungen aufgrund anhaltender geopolitischer Konflikte, gerate die digitale Infrastruktur von Fluggesellschaften und sonstigen Flughafendienstleistungen unter enormen Druck.

• Da viele Einflussfaktoren außerhalb ihrer Kontrolle lägen, stehe die Luftfahrtindustrie mehr denn je in der Pflicht, ihre IT-Systeme gegen vermeidbare Ausfälle zu schützen – insbesondere während intensiver Reisephasen wie jetzt wieder zu Ostern.

Eileen Haggerty, „Area Vice President für Product & Solutions“ bei NETSCOUT, führt in ihrer aktuellen Stellungnahme aus, warum eine kontinuierliche End-to-End-Überwachung für Fluggesellschaften unerlässlich ist, um im Vorfeld der Osterreisezeit die nötige Resilienz zu gewährleisten.

Fluggesellschaften können und sollen Kontrolle über ihre IT-Resilienz behalten

Sie unterstreicht: „Fluggesellschaften können globale Konflikte oder plötzliche Luftraumbeschränkungen nicht beeinflussen, doch sie können Kontrolle über ihre IT-Resilienz behalten. Wenn externe Schocks zu schnellen operativen Kurskorrekturen zwingen, sind vernetzte Backend-Systeme unmittelbar betroffen. Zu diesen Systemen zählen unter anderem die Crew-Einsatzplanung, das Ticketing oder die Gepäckabfertigung.“

• Das Gleiche gelte für Störungen bei den IT-Diensten am Flughafen, etwa bei der Zuweisung des Bodenpersonals, der automatisierten Passkontrolle und den Fluginformationssystemen. In einer Hauptreisesaison wie eben Ostern verschärfe sich dieser Druck zusätzlich, wenn erhöhte Passagierzahlen bei sehr eng getakteten Zeitplänen die ohnehin komplexen Systeme weiter belasteten.

Um negative Auswirkungen auf die Passagiere zu vermeiden, müssten Fluggesellschaften und andere Flughafendienstleistungen sicherstellen, „dass kürzlich durchgeführte IT-Wartungsarbeiten die operative Effizienz ihrer digitalen Systeme nicht beeinträchtigen“, denn routinemäßige Software- oder Hardware-Updates sollten kein betriebliches Chaos auslösen. Stattdessen könnten IT-Teams durch den Wechsel von reaktiver Fehlersuche hin zu einer kontinuierlichen Überwachung – vor, während und nach der Wartung – veränderungsbedingte Verlangsamungen sofort erkennen und beheben. „Auf diese Weise werden Umsatz, Betrieb und Reputation wirksam geschützt“, so Haggerty.

Flughafendienstleistungen mit so wenig Unterbrechungen wie möglich bereitstellen können

Umfassende End-to-End-Netzwerktransparenz diene längst nicht mehr nur der Vermeidung von Ausfällen, sondern sei entscheidend für Agilität, Resilienz und den operativen Fortbestand. Diese umfassende „Observability“ ermögliche es IT-Teams, die Mittlere Reparaturzeit (MTTR) erheblich zu verkürzen und so die Auswirkungen von IT-Vorfällen zu minimieren.

• „Bis zu 90 Prozent der MTTR entfallen darauf, die Ursache eines Problems zu identifizieren und zu verstehen. Eine Optimierung dieser Diagnosephase – bekannt als ,Mean Time to Knowledge’ (MTTK) – ist daher maßgeblich, um die Wiederherstellung zu beschleunigen und Flughafendienstleistungen mit so wenig Unterbrechungen wie möglich bereitzustellen.“

Durch eine kontinuierliche Echtzeitüberwachung ihrer digitalen Infrastruktur könnten Fluggesellschaften interne Engpässe identifizieren und beheben, bevor daraus Verspätungen entstehen – „und verhindern so, dass vermeidbare IT-Ausfälle Reisechaos zur Osterzeit verursachen“.

Weitere Informationen zum Thema:

NETSCOUT
ABOUT US: We are the Guardians of the Connected World.

NETSCOUT
Eileen Haggerty / Area Vice President, Product and Solutions Marketing

DESTATIS Statistisches Bundesamt, 01.12.2025
Flugsommer 2025: 4,6 % mehr Reisende ins Ausland als im Vorjahr

datensicherheit.de, 15.04.2025
Luftfahrt-Infrastruktur unter Druck: Flugreisen in den Osterferien erhöhen Herausforderungen / Ostern als eine der Hauptreisezeiten könnte Probleme für Urlauber mit sich bringen, denn die Flugsicherungszentren haben u.a. mit Personalknappheit zu kämpfen

datensicherheit.de, 16.10.2025
Passagiererlebnis soll weiter verbessert werden: SITA liefert Flughafen Genf Echtzeit-Operationsplattform / SITA, ein IT-Anbieter der Luftverkehrsbranche – für Fluggesellschaften, Flughäfen, Flugzeuge und Regierungen – befindet sich zu 100 Prozent im Besitz der Branche und wird von deren Bedürfnissen angetrieben

datensicherheit.de, 25.09.2025
Cybersicherheit im Flughafenbetrieb erfordert Resilienz – vom Check-in bis zum Gate / Nach einem von der EU-Cybersicherheitsagentur ENISA bestätigten Ransomware-Angriff auf Flughafen-Software kam es an mehreren europäischen Flughäfen zu massiven Störungen

datensicherheit.de, 15.07.2025]
VIE im Aufwärtstrend: Stärkung der Cybersicherheit am Flughafen Wien / Cohesity sorgt für Cyberresilienz und KI-gestützte Backups am größten österreichischen Flughafen (VIE in Schwechat), dessen europäische und internationale Bedeutung 2024 sprunghaft gestiegen ist