Cyberresilienz: Empfehlungen für die Entscheiderebene

Die Führungsebene muss sowohl Compliance-Anforderungen  als auch die Sicherheit des eigenen Unternehmen im Auge haben

Von unserem Gastautor Greg Hansbuer, Regional Manager Germany Austria Switzerland at DataManagement

[datensicherheit.de, 31.03.2025] Die Umfrage „Preparedness Gap: Warum Cyber-Recovery einen anderen Ansatz erfordert als Disaster Recovery“ von Commvault und ESG aus dem Jahr 2024 unterstreicht die große Komplexität moderner Cyberresilienz. Nur 26 % der Befragten sind zuversichtlich, alle geschäftskritischen Anwendungen und Daten schützen zu können. Und nur 20 % sind überzeugt, alle für den Betrieb erforderlichen Apps und Daten zu schützen. 85 % geben an, dass eine Wiederherstellung ohne die Einrichtung einer Cleanroom-Umgebung ein erhebliches Risiko einer erneuten Infektion birgt. Ähnlich viele Befragte (83 %) befürchten, dass eine überstürzte Wiederherstellung nach einem Cyber-Vorfall wertvolle Beweise zerstören könnte. Die Lehre daraus? Konforme und zuverlässige Cyber-Resilienz und Backups sind keine leichte Aufgabe.

Cyberresilienz als Antwort auf immer raffiniertere Cyberangriffe

Mangelndes Risikobewusstsein bei gleichzeitig zunehmenden und immer raffinierteren Cyberangriffen machen eine solide Backup- und Recovery-Strategie für die Kontinuität des Geschäftsbetriebs unerlässlich. Die Bedrohung durch Ransomware, der anhaltende Trend zu SaaS-Anwendungen wie Office 365 und Salesforce und die Frage nach der Sicherheit von Cloud-Daten zeigen, dass ein funktionierendes Backup wichtiger denn je ist.

Greg Hansbuer, Regional Manager Germany Austria Switzerland at DataManagement Professionals, Bild: privat

Diese fünf Tipps helfen bei der Auswahl einer Backup-Lösung

1. Eine einzige Backup-Lösung einsetzen.
   Wenn sich Unternehmen bei einem Vorfall auf mehrere Backup-Pakete verlassen müssen, wirkt sich dies oft negativ auf die Qualität aus. Da Backups in Unternehmen lange Zeit vernachlässigt wurden, sind die Managementkapazitäten oft nicht ausreichend, um die Lösung ordnungsgemäß zu warten. Darüber hinaus kostet eine Lösung mit mehreren Paketen zusätzlichen Speicherplatz, da globale Effizienztechniken fehlen.
2. Sicherstellen, dass das Backup vollständig ist.
   Es klingt einfach, aber es passiert immer noch viel zu oft, dass IT-Teams vergessen, einen neuen Server in das Backup aufzunehmen. Dies kann aus verschiedenen Gründen geschehen, wie Arbeitsüberlastung oder Kommunikationsfehler. Ein vollständiges Backup ist jedoch unerlässlich, um Datenverluste zu vermeiden. Das Backup muss zu einem festen Bestandteil von Projekten und Implementierungen werden.
3. Eine Backup-Richtlinie erstellen.
   Auch dies ist eine Selbstverständlichkeit, aber allzu oft entspricht die Praxis nicht den Erwartungen. Grundlegende Fragen wie die Häufigkeit und Aufbewahrung von Backups gilt es zu besprechen und die Ergebnisse festzuhalten. Ebenso ist darauf zu achten, dass die Anforderungen und Wünsche jährlich mit dem Setup übereinstimmen.
4. Neueste Technologie für die Backup-Lösung einsetzen.
   Infrastruktur, Virtualisierung, Container, Microservices, Cloud und Serverless – dies sind nur einige der Stichworte des modernen IT-Alltags. Geschäftskritische Daten in allen Umgebungen müssen gesichert werden. Die IT-Abteilung muss sicherstellen, dass ihre Backup-Lösung dafür eingerichtet ist. Dies erfordert es, bei der Einführung neuer Technologien frühzeitig in einem Projekt oder Prozess das Thema Backup aktiv anzusprechen. Zu berücksichtigen sind auch Aspekte wie Deduplizierung, Live-Wiederherstellung und Speicherintegration, um das Backup gut und effizient zu machen.
5. Testen, testen, testen
   Mindestens zweimal im Jahr ist es sinnvoll, eine Reihe von Szenarien zu testen. Nichts ist ärgerlicher, als nicht zu wissen, ob eine Wiederherstellung funktioniert oder wie lange sie dauert, wenn man sie wirklich braucht. Wenn möglich, ist es vorteilhaft, diese Tests zu automatisieren und sich Berichte erstellen zu lassen.
   Vermehrte Cyberkriminalität, die wachsende Unverzichtbarkeit digitaler Daten für den Geschäftsbetrieb und die wachsende Beliebtheit von Cloud-Services haben sich auch die Anforderungen für das Backup erweitert. Recovery muss sicherstellen, dass die Anforderungen der Behörden erfüllt werden und dass nur kontaminationsfreie Daten wiederhergestellt werden. Gerade für die Bereiche Disaster Recovery und Cyber Recovery bieten sich Cloud-Backups an, weil sie einem vom betroffenen Unternehmen getrennten Standort liegen. Die Daten sind meistens mit Air Gap und Verschlüsselungen besonders „gehärtet“ worden. Auch kann die Wiederherstellung eins Cloud-Backups in der Cloud effizient die Geschäftskontinuität sicherstellen.

Spezialisierte Anbieter stellen unterschiedliche Varianten der Offsite-Cloud-Speicherung bereit. Darüber hinaus bieten Hybrid-Cloud-Lösungen die Produktion der Apps, Files und Datenbanken als Notfallbetrieb an. Weitere wichtige Funktionen sind Compliance und Sicherheit. Cloud-Backups erfüllen gesetzliche Anforderungen (z.B. DSGVO) und bieten durch Verschlüsselungen sowie physische Sicherheitsmaßnahmen Schutz vor unbefugtem Zugriff.

Darüber hinaus skalieren Cloud-Lösungen besser als On-prem-Backups, die weiterhin für operationale Backup- und Restore-Tätigkeiten mit LAN-Geschwindigkeit notwendig bleiben, falls Unternehmen sich noch in der Cloud-Transformation befinden. Last but not least werden Kosten für den Betrieb eines weiteren Rechenzentrums sowie Hardware- und Admin-Kosten eingespart. In Summe muss eine Backup-Strategie die Risiken minimieren, Daten sicher speichern und langfristig den Geschäftsbetrieb gewährleisten.

Compliance-Fragen beim Backup

Ein aktuell kontrovers diskutiertes Thema ist die Fragestellung, ob deutsche bzw. europäische Unternehmen in erster Linie auf heimische Anbieter setzen sollten, wenn es um Backups in- bzw. aus der Cloud geht. Die klassischen US-Anbieter unterliegen dem CLOUD Act, der US-Behörden Zugriffsrechte auf gespeicherte Daten einräumt. Dies steht in krassem Widerspruch zur DSGVO. Das Trans Atlantic Data Privacy Framework (TADPF) sollte diesen Widerspruch überwinden, steht jedoch – auch aufgrund der aktuellen politischen Lage in den USA – auf instabilem Fundament. Fällt das TADPF, so entsteht quasi über Nacht ein Compliance-Risiko. Europäische Unternehmen sind also gut beraten, sich jetzt über alle Aspekte ihrer Cyber-Resilienz-Strategie Gedanken zu machen.

Weitere Informationen zum Thema:

DMP–Data Management Professionals
Your data in safe hands