Visualisierung von Datenanalyse und Wiederherstellung: Digitaler Datenstrom wird in einem Rechenzentrum projiziert – Symbol für Backup, Recovery, Datensicherheit und Cyber-Resilienz.

Die Recovery-Falle: Warum saubere Daten die neue Verteidigungslinie sind

09.04.2026
um 10:41 Uhr in Aus der Praxis by

Ich habe oft gesagt, dass Ausfälle unvermeidlich sind. Doch es gibt eine bestimmte Art von Störung, die CISOs mehr schlaflose Nächte bereitet als jede andere: die Re-Infektionsschleife.

Es ist ein Szenario, das ich mehrfach in der Praxis erlebt habe. Ein Unternehmen wird Opfer eines Ransomware-Angriffs, aktiviert erfolgreich seinen Recovery-Plan – und nur wenige Stunden nach dem Wiederanlauf beginnen die Systeme erneut zu verschlüsseln. Die vermeintlich „sauberen“ Backups waren nicht sauber. Die Schadsoftware lag bereits in den Snapshots verborgen, wartend auf einen bestimmten Zeitpunkt oder das Neustarten eines Dienstes.

In der heutigen Bedrohungslandschaft ist ein Backup nicht mehr das Ziel – es ist lediglich der Ausgangspunkt.

Die Entwicklung der Bedrohung

Die Zeiten einfacher „Smash-and-Grab“-Angriffe sind vorbei. Moderne Angriffe sind geduldig. Studien zeigen, dass die durchschnittliche Verweildauer von Ransomware – also die Zeit, die sie unentdeckt im System bleibt – Wochen oder sogar Monate betragen kann.

Daraus ergeben sich ein paar grundlegende Probleme für klassische Recovery-Ansätze:

  • Die Latenzlücke: Wenn die Infektion vor 30 Tagen stattgefunden hat, aber erst heute aktiviert wird, sind die Backups der letzten 30 Tage potenziell kompromittiert.
  • Das Skalierungsproblem: Während einer Krise Petabytes an Daten manuell auf Schadsoftware zu prüfen, ist wie die Suche nach einem bestimmten Sandkorn, während die Flut steigt.
  • Der Druck: Wenn der Geschäftsbetrieb stillsteht, wächst der Druck, „einfach wiederherzustellen“. Genau in diesem Moment passieren Fehler – und Re-Infektionen werden ausgelöst.

Überleben im „Clean Room“

Wenn Resilienz das Ziel ist, muss sich Cyber Recovery klar von Standard Recovery unterscheiden. Standard Recovery steht für Geschwindigkeit, Cyber Recovery für Sicherheit und Gewissheit.

Deshalb plädiere ich für den Ansatz eines „Clean Room“ oder einer isolierten Recovery-Umgebung (Isolated Recovery Environment, IRE). Dabei geht es nicht nur um eine technische Trennung, sondern um ein grundlegendes Vorgehen: Daten werden nicht direkt in die Produktionsumgebung zurückgespielt, sondern zunächst in eine isolierte Umgebung überführt. Dort werden sie bereitgestellt, geprüft und durch Sicherheitstools validiert, bevor sie wieder in den produktiven Betrieb gelangen.

Es geht darum, den Schritt von „Ich glaube, wir sind sicher“ zu „Ich weiß, dass die Daten sauber sind“ zu machen.

Hürden auf dem Weg zur „sauberen“ Recovery

In meinen Gesprächen mit IT-Verantwortlichen zeigen sich immer wieder die gleichen Herausforderungen. Es fehlt selten am Willen. Meist ist die Kombination aus einer gewachsenen Systemlandschaft und organisatorischen Silos das größte Problem.

  • Die Scan-Lücke: Viele Unternehmen verfügen über Backup- und Security-Tools – aber diese arbeiten nicht zusammen. Wenn beim Recovery kein automatisierter Scan ausgelöst wird, fehlt die notwendige Sichtbarkeit.
  • Ressourcenengpässe: Eine zweite, saubere Umgebung aufzubauen, die der Produktionsumgebung entspricht, ist aufwendig und kostenintensiv. Dieser Schritt wird häufig übersprungen – in der Hoffnung, dass „gut genug“ ausreicht. In der Praxis tut es das selten.
  • Die Identitätsproblematik: Ransomware greift nicht nur Daten an, sondern auch Identitäten. Ist das Active Directory kompromittiert, werden selbst saubere Daten in ein Haus zurückgespielt, zu dem der Einbrecher noch die Schlüssel hat.

Reality Check für Ihren Recovery-Plan

Bevor Sie davon ausgehen, dass Ihre Cyber-Resilienz ausreichend ist, sollten Sie sich mit Ihrem Team folgende Fragen stellen:

  1. Können wir unsere Backups auf schlafende Schadsoftware prüfen, ohne sie vorher in die Produktionsumgebung zurückzuspielen?
  2. Verfügen wir über eine isolierte Recovery-Umgebung – oder müssten wir diese im Ernstfall erst aufbauen?
  3. Haben wir einen abgesicherten Offline-Weg zur Wiederherstellung, falls unser zentraler Identity Provider (z. B. AD oder Okta) kompromittiert ist?
  4. Wie korrelieren wir Sicherheitsmeldungen (SIEM) mit Backup-Metadaten, um den letzten sauberen Wiederherstellungspunkt zu identifizieren?

Mehr als nur Backup

Bei Fsas Technologies sind wir überzeugt, dass die Lücke zwischen einer „erfolgreichen Wiederherstellung“ und einem „sicheren Geschäftsbetrieb“ darüber entscheidet, wie resilient ein Unternehmen wirklich ist. Es geht nicht nur darum, Daten zu sichern, sondern darum, kontrollierte Prozesse und isolierte Umgebungen zu schaffen, die verhindern, dass die Wiederherstellung selbst zum Risiko wird.

In einer Zeit zunehmend ausgefeilter und geduldiger Angriffe sollte ein Backup mehr sein als nur eine Kopie Ihrer Daten – es sollte Ihr sicherstes Asset sein.

Lassen Sie Ihre Recovery nicht zum nächsten Risiko werden. Lassen Sie uns darüber sprechen, wie eine Recovery-Strategie aussehen kann, die den heutigen Bedrohungen gewachsen ist: Sprechen Sie mit unserem Team.

Dieser Artikel enthält KI-generierte Bilder.

Diesen Beitrag teilen:

Autor

  • André Ponte Rodrigues Pereira

    European Platform Business: Go-to-Market Data Resilience @ Fsas Technologies

    Ich schreibe über Datenresilienz und Business Continuity und beschäftige mich damit, wie Unternehmen Resilienz in ihre Prozesse integrieren können, um Risiken zu reduzieren, die Geschäftskontinuität zu sichern und Vertrauen bei Stakeholdern aufzubauen.

    Jetzt vernetzen: LinkedIn

    Alle Beiträge
Tags:
, , , , ,