Es sind bewegte Zeiten, in der die Künstliche Intelligenz erwacht. Auch in Sachen Backup und Disaster Recovery ist die Dynamik groß. Doch nicht nur die Angreifer nutzen neue Möglichkeiten der KI, sondern auch die Verteidiger der IT-Systeme.
Künstliche Intelligenz kennt kein gut und böse – sie könnte Moral nur simulieren.
(Bild: Midjourney / KI-generiert)
Eines steht fest: Nach einem Angriff oder Ausfall ist es essenziell, saubere Datensätze wiederherstellen zu können. Anderenfalls riskieren Unternehmen, ihre Umgebungen erneut mit kompromittierten Daten und Malware zu infizieren. „Nichts ist schlimmer als kurz vor Abschluss der gesamten Cyber-Recovery, aus Versehen ein infiziertes System wiederherzustellen, welches die komplette neue Produktion erneut befällt“, sagt Christian Kubik, Manager Field Advisory Services Team EMEAI bei Commvault. Wichtig sei es daher, Daten sauber, vollständig und automatisiert wiederherstellen zu können – auch und gerade im Ernstfall. So viel zu den Kernaufgaben von Backup- und Disaster-Recovery-Systemen – unabhängig von aktuellen technischen Einflüssen.
KI ist ein Gamechanger
Künstliche Intelligenz gibt den Hackern und Erpressern neue Möglichkeiten an die Hand, beispielsweise beim „Vishing“. Die Zeiten ändern sich schnell, wie eigentlich immer in der IT, aber durch KI kam nochmal ein neues Maß an Dynamik in die Branche.
Hintergrund
Phishing, Vishing, Smishing, Spoofing
Phishing bezeichnet Betrugsversuche über E‑Mails oder gefälschte Websites, mit dem Ziel, vertrauliche Informationen wie Passwörter oder Zahlungsdaten zu erbeuten.
Vishing ist Phishing per Telefon oder Internettelefonie: Anrufer geben sich als Support, Bank oder Behörde aus, um sensible Angaben oder einen Fernzugriff zu erhalten.
Smishing ist Phishing per Kurznachricht (SMS, Short Message Service) oder Messenger. Links oder Aufforderungen in der Nachricht sollen zu unbedachten Handlungen verleiten.
Spoofing bedeutet das Vortäuschen einer falschen Identität, etwa durch gefälschte Absenderadressen oder manipulierte, scheinbar vertrauenswürdige Rufnummern.
Verdächtige Dateien identifizieren
Christian Kubik, Manager Field Advisory Services Team EMEAI, Commvault
(Bild: Commvault)
Doch Künstliche Intelligenz hilft auch den „Guten“, um verdächtige Dateien zu identifizieren, zu analysieren und unter Quarantäne zu stellen, weiß Kubik und spricht von „intellektueller Nachhilfe auch für das Backup“. Das System kann dabei erkennen, welche Dateien erst vor kurzem verschlüsselt wurden und sucht nach neuen oder spezifischen Indikatoren für eine Kompromittierung (Indicators of Compromise – IoC). Die KI erkennt dann schadhafte Verschlüsselungen von Dateien im Zeitverlauf und sieht die Erpresser schon im Vorfeld kommen, beziehungsweise hilft dabei derlei Szenarien zu verhindern.
Der Backup-Spagat
Ebenso wichtig sei der gelungene Spagat einerseits zwischen der Sicherheit, möglicherweise auf Wochen alte Backups zurückzugreifen und andererseits der Gefahr aktuelle, aber kompromittierte Sicherungen wiederherzustellen. „KI hilft hier Bedrohungen automatisch zu erkennen und sie während der Wiederherstellung gezielt zu entfernen, während die eigentlichen Daten erhalten bleiben: Bestmöglich vollständig, bestmöglich sauber, bestmöglich schnell“, so der Manager.
Hintergrund
Die 3-2-1-, die 6-4-2- und die 3-2-1-1-0-Backup-Strategie
Die 3-2-1-Backup-Regel schützt davor, wenn man statt dem sprichwörtlichen „Glück im Unglück“ einmal „Pech im Unglück“ haben sollte: Drei Datenkopien auf zwei Medien und ein externes Backup: Das ist der Kern des 3-2-1-Prinzips.
Insbesondere Cloud-Speicher hilft hier, indem ein weiteres Speichermedium sowie der externe Charakter einer Kopie gewährleistet werden können.
Angenommen, die Ausfallwahrscheinlichkeit für eine Sicherungskopie beträgt 1/ 100, sinkt die Wahrscheinlichkeit bei zwei eingesetzten Systemen bereits auf: 1/ 100 * 1/ 100 = 1/ 10.000. Kommt ein weiteres Backup auf einem dritten System hinzu, bedeutet dies, dass die Wahrscheinlichkeit eines gleichzeitigen Ausfalls aller drei Geräte auf 1/ 1.000.000 abnimmt.
Geprägt wurde das Konzept, das mitunter als „goldene Regel der Datensicherung“ bezeichnet wird, vom Fotografen Peter Krogh. Die Zahl der zu erstellenden Kopien, verwendeten Speichermedien und Offsite-Standorte, an denen Backups aufbewahrt werden, lässt sich nach oben variieren. So kann aus 3-2-1 auch beispielsweise 6-4-2 werden, das das Datenverlustrisiko enorm reduziert.
Die „3-2-1-1-0-Backup-Strategie“ erweitert den Klassiker „3-2-1-Regel“ und zwar folgendermaßen: drei Kopien der Daten auf zwei verschiedenen Medien gespeichert und eine Kopie extern gelagert. Außerdem soll eine Kopie schreibgeschützt oder unveränderlich gespeichert werden, und zu guter Letzt: Null Fehler bei der Wiederherstellung sollen durch regelmäßige Tests garantiert werden können, um Daten im Ernstfall tatsächlich planmäßig wiederherstellen zu können.
Übung macht den Meister
Ebenso wichtig sei es, schon in stillen Zeiten regelmäßig die Wiederherstellung zu üben. „Cyberresilienz ist Trainingssache und Training findet im Vorfeld statt“, so Kubik. Gerade ein Ansatz wie die Minimum Viable Company baue darauf auf, sich im Vorfeld Gedanken zu machen, wo man in der IT mit der Recovery im Ernstfall anfangen will und muss.
Ransomware-Problematik beschleunigt sich
Leider habe sich die Ransomware-Problematik im negativen Sinne beschleunigt, so der Security-Profi. Erpresserische Angriffe seien nicht nur mehr geworden – die KI habe sie auch intelligenter gemacht. Das BSI habe zudem in seinem Lagebericht 2025 die geopolitischen Entwicklungen als einen der antreibenden Faktoren benannt.
Aufgeschlaute Angreifer
Außerdem werden die Angriffe immer ausgefeilter: „Technisch kompetente Akteure avisieren die Verwaltung von digitalen Identitäten, denn das Eskalieren von Rechten ist das Handwerkszeug für weiterreichende komplexe Angriffe“, so der Commvault-Manager. Im Visier seien vor allem die Backups: „Laut Sophos wollen 94 Prozent der Ransomware-Angreifer die Backups kompromittieren“, so Kubik. Mit dieser Dynamik wachse die Bedeutung der Aufgabe, Daten, Anwendungen und Systeme zu sichern, zu schützen und im Ernstfall schnell, zuverlässig und sauber wiederherzustellen.
Die Verhandlungsfrage
Sollte man mit Ransomware-Erpressern verhandeln? Kubik findet, dass sich die IT-Verantwortlichen besser mit anderen Dingen beschäftigen sollten und fragt: „Denn warum geraten Unternehmen und Behörden unter Druck, dass sie sich diese Fragen überhaupt stellen müssen?“ Ein situativer Handlungsbedarf entstehe seiner Ansicht nach daraus, dass die IT im Schnitt 24 Tage benötigt, um den Betrieb nach einer Attacke wiederherzustellen. „Für kleine und mittelgroße Firmen kann dies die Insolvenz bedeuten, für große Firmen Millionenschäden“, sagt der Manager. Derart in die Enge getrieben, erscheine es vielen Unternehmen sehr verlockend zu sein, den Erpressern nachzugeben. Vor allem dann, wenn ein Lösegeld in der Situation verlockend niedrig erscheint.
Es gibt keine echte Gaunerehre
„Aber jedem Entscheider sollten die Folgen klar sein. Niemand garantiert den wiederhergestellten Datenzugriff. Die Verschlüsselungstrojaner sind darauf getrimmt, so schnell wie möglich Daten zu kapern – und nicht darauf, Daten fehlerfrei zurückzuspielen“, so Kubik. Wer bezahlt, bewirbt sich zudem für den Folgeangriff durch die einmal erprobte Hintertür, bringt es der Sicherheitsexperte auf den Punkt. Außerdem könne kein Lösegeld rückgängig machen, „dass Daten nicht eh schon kopiert und monetarisiert wurden“.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Gefahr der Unterstützung terroristischer Vereinigungen
Hinzu kommen rechtliche Implikationen. So könnte eine Zahlung laut Kubik gar als Unterstützung terroristischer Vereinigungen gewertet werden: „Auch wenn die juristischen Umstände komplex sind, eine professionelle Rechtsberatung deshalb erfolgen muss und nicht immer eine Straftat vorliegt: Wer Lösegelder zahlt, hat nicht immer Recht.“
So könnte eine Zahlung [an Ransomware-Erpresser] als Unterstützung terroristischer Vereinigungen gewertet werden.
Christian Kubik, Manager Field Advisory Services Team EMEAI, Commvault
Recovery unter hohem Druck
Besser sei es, Risiken zu vermeiden und sich für den Ernstfall einer Recovery unter hohem Druck vorzubereiten, findet der Manager Field Advisory Services. Jede Erpressung laufe ins Leere, wenn Geschäftsabläufe und Daten wieder verfügbar gemacht werden können. „Bei komplexer IT gilt es aber, sich dabei zu fokussieren“, so der Manager und empfiehlt Unternehmen, dem Konzept der Minimum Viability Company (MVC) zu folgen. Bei diesem Ansatz wird die Wiederherstellung der für das Kerngeschäft nötigen Assets priorisiert, bis die vollständige Wiederherstellung erreicht ist. Hier definieren alle Beteiligten im Unternehmen die wichtigsten Systeme, Assets, Prozesse und Mitarbeiter, die es braucht, um essenzielle Dienste, während eines Cyberangriffs weiter betreiben zu können.
Hintergrund
Was ist ein Air Gap?
Ein Air Gap ist die Trennung zwischen Sicherungen und dem Produktionsnetz, sodass Backups nicht dauerhaft erreichbar sind. Dadurch bleiben sie auch bei Malware-Befall, kompromittierten Konten oder Fehlbedienung vor Manipulation und Löschung geschützt.
Physisches Air Gap: Die Backups sind tatsächlich offline und vom Netz getrennt; es gibt keine permanente Verbindung. Typische Beispiele sind Bandmedien, abgesteckte oder ausgeschaltete Wechselfestplatten und Offsite-Lagerung. Zugriff erfolgt nur gezielt während kurzer Sicherungs- oder Wiederherstellungsfenster.
Logisches Air Gap: Die Backups bleiben technisch erreichbar, sind aber durch strikte logische Barrieren geschützt. Dazu gehören getrennte Identitäten und Netzsegmente, isolierte Backup-Vaults sowie unveränderlicher Speicher, die Änderungen zeitlich oder grundsätzlich verhindern.
Air-Gap-Szenarien für den Ernstfall
Commvault unterstützt zusammen mit den strategischen Cloud-Partnern AWS, Google und Microsoft sowie den Hardware-Partnern des Unternehmens zahlreiche Szenarien beim Air Gap, erläutert Kubik. Der Kunde könne so jene Optionen umsetzen, die er für seine Umgebung für geeignet hält. „Natürlich werden reine Datentransfers aus der Cloud immer langsamer sein als die Transfers aus einer lokalen Infrastruktur“, sagt Kubik und wird konkret: „Die WAN-Leitung ist in den meisten Fällen schlicht viel langsamer als das lokale Netz. Aber das spiegelt sich dann in den unterschiedlichen RTOs wider: eine gängige Praxis seit Jahren.“
Die Technik dahinter
Dabei werden nicht nur rein logische Air Gaps (also beispielsweise Firewall-Regeln zwischen der gesicherten und der regulären Umgebung unterstützt. Die Lösung dahinter nennt sich „Commvault HyperScale X“. Damit kann auch ein echter Air Gap durch automatische Abschaltung der Netzwerkinterfaces realisiert werden. Die Server sind außerhalb des eigentlichen Replikationsfensters dabei gar nicht im Netzwerk vorhanden.
Hintergrund RPO, RTO, CDP, BCM
Viel Wirbel um die Abkürzungen einer Branche
Eine wichtige Kenngröße, die beim Disaster Recovery bemüht wird, ist der „Recovery Point Objective“ (RPO), der die Frage widerspiegelt, wie viel Datenverlust in Kauf genommen werden kann. Es liegt in der Natur der Backup-Technologie, dass RPO letztlich der Zeitraum ist, der zwischen zwei Datensicherungen liegen darf, da diese Zeit bestimmt, wie viele Daten oder Transaktionen verloren gehen, wenn der vielzitierte Komet in das Datacenter einschlägt.
Wenn für den Betrieb kein Datenverlust hinnehmbar ist, beträgt die RPO null Sekunden, wie beispielsweise beim elektronischen Geldverkehr. Hier ist von so genannter „Continuous Data Protection“ (CDP) die Rede, beziehungsweise in anderem Kontext von „Realtime Backup“.
Die Kennzahl „Recovery Time Objective“ (RTO) ist artverwandt und beschäftigt sich mit der Frage, wie viel Zeit ab dem katastrophenbedingten Ausfall der Systeme bis zu ihrer Wiederinbetriebnahme vergehen darf. Die Bandbreite reicht hier von (mehr oder weniger fiktiven) null Minuten, bei denen der Geschäftsbetrieb, egal was kommt, nicht abbrechen darf, bis bin zu mehreren Wochen. Bei sehr niedrigen RTO-Werten geht es nicht um die Wiederherstellung, sondern darum, unterbrechungsfreie Geschäftsabläufe als Maßstab anzusetzen. In diesem Fall ist dann eher von „Business Continuity Management“ (BCM) die Rede.
Die Maximalforderung an IT-Verantwortliche sind folgerichtig Vorstellungen wie „RPO 0“, „RTO 0“, also „Continuous Data Protection“ und vollumfängliche „Business Continuity“. Vor diesem Hintergrund gilt der alte Spruch „Ein Kompromiss ist dann vollkommen, wenn alle unzufrieden sind.“
Ein Attribut namens „Unveränderlichkeit“
Commvault unterstützt im Bereich Object Lock und WORM Write Once, Read Many), also dem unveränderbaren Backup-Speicher, bei dem es darum geht, einmal zu schreiben und beliebig oft zu lesen, sagt Kubik. Außerdem sei sowohl die Nutzung von S3 Object Locking auf S3-kompatiblen Speichern als auch alternativ die Filesystem-basierende Unveränderlichkeit (wie NetApp Snaplock und andere) möglich. Zudem sei die Commvault-eigene Hyperscale-Lösung unveränderlich und unlöschbar und bietet auch ohne zusätzliche Hardwareunterstützung einen sicheren Speicherort.
Ein sicherer Ort für Daten
Zusätzlich zu hardware- bzw. storageseitiger Sicherung der Daten gegen unerwünschte Veränderung oder Löschung bietet die Software laut Kubik viele zusätzliche Schutzbarrieren in der Kombination an: „Compliance Lock“ verhindert, dass ein Administrator die Aufbewahrungszeiten von Backups reduziert oder diese löscht. Multifaktor-Authentifizierung und ein Vier-Augen-Prinzip bei potenziell gefährlichen Aktionen ziehen ein weiteres Sicherheitslevel ein.
Hintergrund
Object Lock, WORM und S3-Speicher
S3‑Speicher steht für Amazon S3 (Simple Storage Service), einem Objektspeicher in der Cloud. Daten werden als „Objekte“ in „Buckets“ abgelegt, sind hochskalierbar und über Programmierschnittstellen abrufbar. Für Backups wichtig: optionale Versionierung, verschiedene Speicherklassen und Funktionen für Replikation und Lebenszyklusregeln.
Object Lock ist eine S3‑Funktion, die Objekte für eine festgelegte Aufbewahrungsfrist unveränderbar macht. Voraussetzung ist die Versionierung. Es gibt zwei Modi: Governance Mode (mit streng geregelten Admin-Ausnahmen) und Compliance Mode (absolut unveränderbar bis zum Fristende). Zusätzlich möglich: Legal Hold als Sperre ohne Frist. Ziel ist der Schutz vor Löschen oder Überschreiben – auch durch Fehler oder Angriffe.
WORM (Write Once, Read Many) beschreibt das Prinzip „einmal schreiben, beliebig oft lesen“: Daten sind nach dem Schreiben nicht mehr veränderbar oder löschbar. Das erhöht die Beweissicherheit und schützt Backups vor Manipulation, etwa durch Ransomware. In S3 lässt sich WORM‑Schutz praktisch über Object Lock plus Versionierung umsetzen. (Nicht zu verwechseln mit dem „Computerwurm“, einer Schadsoftware.)
Kurz gesagt: S3‑Speicher ist die Plattform, Object Lock liefert die Unveränderbarkeit, und WORM ist das dahinterstehende Schutzprinzip für manipulationssichere Backups.
Keine Grundsatzdebatten mehr
Ein jahrzehntealtes Missverständnis besagt, dass Festplattenspiegelung als Backup ausreicht. „Wir haben doch ein RAID-Set“: Dieser Irrtum, dem so mancher IT-Leiter in den frühen 2000er-Jahre folgte, hatte ein erstaunlich langes Leben, blickt Kubik zurück und ergänzt: „Zum Glück haben mittlerweile alle Unternehmen den Sinn von Backups erkannt. Doch viele verfolgen dabei nur die Strategien einer Operational oder Disaster Recovery, nicht aber einer Cyber Recovery.“
Der Unterschied:
Operational Recovery bezieht sich auf bestimmte Komponenten des Systems, Dateien, Applikationen oder virtuelle Maschinen nach einem kleineren Zwischenfall oder Ausfall. Sie umfasst das Wiederherstellen versehentlich gelöschter Dateien, die Recovery nach Abstürzen oder Fehlern von Applikationen und das Reparieren beschädigter Daten.
Disaster Recovery umfasst hingegen ganze Systeme und Infrastrukturen nach einem Großereignis wie einer Naturkatastrophe, größeren Hardwareausfällen, wie zum Beispiel nach einem Brand im Serverraum, oder längerfristigen Stromausfällen.
Cyber Recovery zielt hingegen auf die Wiederverfügbarkeit speziell nach Cyberangriffen ab. Die Recovery kann dabei eine Teilmenge der Daten oder die gesamte Infrastruktur betreffen.
Die Fähigkeit zur Cyber Recovery
„Die heutige Bedrohungslage erzwingt die Fähigkeit zur Cyber Recovery als Reaktion auf einen unvermeidlichen Angriff“, bringt es der Manager auf den Punkt. Es gehe nicht nur um die schnelle Erholung, sondern um die saubere und nachhaltige Recovery. „Denn angesichts einer Dwell Time zwischen 120 oder fünf KI-getriebenen Tagen haben die Hacker genug Zeit, die Hintertüren für die nächste Erpressung schnell einzubauen“, sagt Kubik. Dwell Time (deutsch etwa: Verweilzeit) bezeichnet in der IT-Sicherheit die Zeitspanne, die ein Angreifer nach der ersten Kompromittierung unentdeckt in einer Umgebung bleibt – bis zur Entdeckung und idealerweise Eindämmung beziehungsweise Entfernung. Je kürzer die Dwell Time, desto geringer sind typischerweise Schaden, Ausbreitung und Datenabfluss.
Schadcode spiegeln ist keine gute Idee
„Und wer als IT-Administrator dann seine Daten einfach spiegelt, kopiert im Ernstfall die Hintertür und das Angriffsartefakt gleich mit“, warnt der Manager. Daher brauche es einen „digitalen Reinraum“, ein Erkennen kompromittierter Dateien und die Identifikation von Angriffen auf Sicherungen sind daher das unerlässliche zweite Standbein einer Cyberresilienz neben dem Backup. Diese Kombination ermögliche es, IT-Teams, die Daten zu validieren und so einen sauberen Zustand zu erfassen, mit dem der Betrieb wiederhergestellt werden kann. Nur so bleibe man im Zeitalter der KI-Bedrohung resilient.
Das Backup als zentraler Angriffspunkt
Der These „Angreifer zielen zuerst auf Backups“ stimmt der Commvault-Experte zu und rekurriert dabei auf eine Studie aus dem Hause Sophos. Demzufolge wollen 94 Prozent der Ransomware-Angreifer die Backups kompromittieren. Das sei nachvollziehbar, denn Backups mit der Sammlung der monetarisierbaren, konzentriert gelagerten Kronjuwelen wirken wie ein Honeypot. „Angriffe auf die Sicherung tun doppelt weh, denn sie treffen die Verantwortlichen direkt in ihrer Fähigkeit, die Assets sauber, sicher und vollständig wiederherzustellen“, kommentiert Kubik.
Das Shared-Responsibility-Prinzip
Das Modell „Shared Responsibility“ habe sich inzwischen herumgesprochen. Die Verantwortlichen in den Unternehmen haben laut Kubik endlich erkannt, dass die Shared Responsibility ihnen den Ball zuspielt, die eigenen Daten, Systeme und Anwendungen in der Cloud zu sichern. Bei Commvault beobachte man jedoch jedoch den Trend, „dass sie [die Unternehmen] nun im Kurzpassspiel den Weg eines vermeintlich geringen Widerstands gehen wollen: Dabei nutzen sie native Werkzeuge, mit denen sie die Daten recht simpel sichern können. Dezentrale isolierte Tools folgen aber inkonsistenten Schutzrichtlinien und verursachen hohe Intransparenz.“
Hintergrund
Das Shared-Responsibility-Modell
Das Shared-Responsibility-Modell besagt: Der Cloud-Anbieter schützt die Cloud (Infrastruktur, Betrieb), der Kunde schützt, was er in der Cloud nutzt (Identitäten, Daten, Konfigurationen). Je nach Servicemodell verschiebt sich die Grenze; bei SaaS bleibt der Schutz der Daten beim Kunden. Beispiel Microsoft 365: Microsoft betreibt und sichert die Dienste (Exchange, SharePoint, Teams), der Kunde verantwortet Tenant-Einstellungen, Zugriffe, Datenklassifizierung, Aufbewahrung und Wiederherstellbarkeit. M365 bietet Basisfunktionen (Versionierung, Retention), ersetzt aber kein frei steuerbares Backup – dafür ist der Kunde zuständig.
Multi-Cloud ist der Standard
„Rund 86 Prozent der Unternehmen leben mittlerweile mit Multi-Cloud-Umgebungen – und fast die Hälfte der Cloud-Ausgaben ist dann nicht mehr nachvollziehbar. Der Bedarf an einem einheitlichen Ansatz ist dringender denn je“, findet der Manager. Transparenz fängt in diesem Zusammenhang schon dabei an, einen Überblick zu haben, welche Workloads überhaupt geschützt sind und welche nicht.
Active Directory als Angriffsziel
Auch der Active Directory (AD) sei eines der häufigsten Ziele von Cyberkriminellen. „Neun von zehn Attacken nehmen den Verzeichnisdienst ins Visier, da er den Zugriff auf Daten, Systeme und Anwendungen steuert – ohne das AD kommt der Geschäftsbetrieb zum Erliegen“, sagt der Commvault-Mitarbeiter. Solche Angriffe würden zunächst oft unbemerkt bleiben, da sie mit gestohlenen Anmeldeinformationen und erweiterten User-Privilegien hantieren, um auf sensible interne Daten und Systeme zuzugreifen.
Rückgängig per Rollback
Backup, Recovery und Resilience seien nicht nur die Routine, Daten zu sichern. Das Aufgabenfeld erweitere sich sukzessive. „Identity-Resilience-Funktionen erfassen etwa kontinuierlich Benutzer-, Gruppen- und Richtlinienänderungen im Active Directory mithilfe integrierter Anomalieerkennung – nicht nur beim Backup“, sagt der Manager. Mit einer Identitätsresilienz erhalten IT- und Sicherheitsteams zudem in Echtzeit einen Überblick darüber, wer welche Änderungen wann und von wo aus vorgenommen hat. Wird eine verdächtige Änderung erkannt, können Teams diese detailliert prüfen und sofort per Rollback rückgängig machen. Die Auswahl eines Wiederherstellungspunkts sei dann nicht erforderlich – Benutzer stellen einfach das geänderte Objekt oder Attribut wieder her. „Dank dieser schnellen Rollback-Funktion können Unternehmen unautorisierte oder versehentliche Änderungen umgehend korrigieren und die Verfügbarkeit ihrer kritischen Identitätsdienste gewährleisten“, beschreibt Kubik die empfohlene Vorgehensweise.
Kommentar
Theorie und Praxis zusammenführen
Es soll schon vorgekommen sein, dass IT-Verantwortliche erst einmal schlagartig arbeitsunfähig wurden, als der Tag X kam und alle guten Pläne versagten. Denn auf dem Reißbrett lässt sich Backup & Disaster Recovery leicht planen. Aber wenn Ransomware zuschlägt, zählen saubere Datenwiederherstellung, die richtige Boot-Reihenfolge der Produktivsysteme, klare Zuständigkeiten und belastbare Runbooks. In der Hitze des Moments kommt oft etwas anderes heraus, als in der Dokumentation steht – das ist der Unterschied zwischen Theorie und Praxis. Deshalb: regelmäßig proben, unter Realbedingungen testen und die Abläufe scharfziehen. Nur wer übt, kann im Ernstfall schnell wieder produktiv werden.
:quality(80)/p7i.vogel.de/wcms/53/9a/539a7369f3f6420e59149463d2a30c44/0128372174v3.jpeg "Wie sollte man im IT-Channel die Segel setzen, um auch 2026 erfolgreich zu sein? (Bild: © AlfaSmart - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/f7/01/f701d737e67de7edf60a815556f87792/0128380190v2.jpeg "Europa spielt bei der Produktion von IT-Hardware überwiegend nur als Standort für die Endmontage von importierten Komponenten eine Rolle. (Bild: © Khusi - stock.adobe.com / KI-generiert)")
![KI in Deutschland: was muss passieren, dass Deutschland bei KI nicht den Anschluss verliert? (Bild: midjourney / KI-generiert - [M] J Rath)](https://cdn1.vogel.de/OR9Fozt0vJYiF8WyvqFIobegcW8=/288x162/smart/filters:format(jpg):quality(80)/p7i.vogel.de/wcms/59/e9/59e942e7bcde7a66e41bfbb69823c213/0127869976v3.jpeg "KI in Deutschland: was muss passieren, dass Deutschland bei KI nicht den Anschluss verliert? (Bild: midjourney / KI-generiert - [M] J Rath)")
:quality(80)/p7i.vogel.de/wcms/82/7d/827d53211ad894c4bbae3c9d377c80fe/0127628471v2.jpeg "Im Kundenservice können KI-Agenten zum Gamechanger werden und zu mehr Zufriedenheit bei Kunden und Mitarbeitern führen. (Bild: © Nasira Mai - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/73/8a/738a14c02d5f128dc1aeeb97426878cb/0129113507v1.jpeg "Wire hat sein Führungsteam erweitert und Adam Low (l.) zum CTO sowie Oliver Brown zum CCO berufen. (Bild: Wire)")
:quality(80)/p7i.vogel.de/wcms/f6/51/f651404395d1655ecfa20879930712cd/0129045915v2.jpeg "Gregor Liedhegener gehört nun zur Firmenleitung von Enreach am deutschen Standort Bochum. (Bild: © Enreach)")
:quality(80)/p7i.vogel.de/wcms/76/71/7671625a0fed3298a58928830fccd075/0129044146v2.jpeg "Ben Jones, Chief Technology Officer (CTO) bei Infinigate (Bild: Infinigate)")
:quality(80)/p7i.vogel.de/wcms/ec/57/ec578f26cbc8dd2cb06a61728c77afde/0129045922v1.jpeg "Michael Stuhr übernimmt als Country Manager die Leitung von Acer Deutschland. (Bild: Acer)")
:quality(80)/p7i.vogel.de/wcms/d8/24/d82467f22cedecb6b9e352aed1e7761f/0129130135v1.jpeg "Die EU erarbeitet Vorschläge für Google mit Blick auf deren KI-Einsatz. (Bild: © bluedesign - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/27/37/2737f8902c2221e4fcd30eb390df45f5/0129136870v2.jpeg "Der Datenschutz in Europa wird derzeit von einer Vielzahl von Faktoren beeinflusst. Dazu zählen rasante Entwicklungen im Bereich der Künstlichen Intelligenz, zunehmende Cyberbedrohungen sowie neue nationale und internationale gesetzliche Rahmenbedingungen. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/df/44/df441c26901f6171b5fac6baf7add441/0129107400v2.jpeg "Die Initiatoren des „German Digital Commerce Operation Model“von Stackit, Empiriecom und Adesso: (v. l.) Samuel Boger, Quan Mach, Nico Kollmar, Udo Bischof, Ralf Männlein, Bernd Wagner, Oliver Schobert (Bild: Stackit, Empiriecom & Adesso)")
:quality(80)/p7i.vogel.de/wcms/0a/fc/0afc6036f91d235a93a0527f9339f81f/0128573226v1.jpeg "Microsoft Intune ermöglicht die zentrale Steuerung von Secure-Boot-Zertifikatupdates und bindet sicherheitskritische Firmware-Updates in bestehende Windows-Update-Prozesse ein. (Bild: © MT.PHOTOSTOCK - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/73/71/7371e98d1d3083c53e9c2e4547e1a95c/0129134273v2.jpeg "KI-Projekte erfordern eine leistungsfähige Infrastruktur. Ohne Partner, die das Know-how dafür mitbringen, ist der Weg zu erfolgreichen Lösungen schwer zu finden. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/1d/00/1d0036c8b1393bfba719437de22a0659/0129020958v2.jpeg "Wer zieht noch die Fäden? Autonome KI-Systeme stellen Governance und Sicherheit in Unternehmen infrage. (Bild: © Autism in Focus - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/7d/63/7d634afbaa49454d513a3567bdfeaae7/0129100796v1.jpeg "Microsoft hat einen neuen KI-Chip, Maia 200, vorgestellt. Der Spezialchip soll KI-Anwendungen schneller und günstiger machen. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/fe/6e/fe6e0f99b50670d6972a1236a3009602/0128950755v2.jpeg "Microsofts Agentic Workspace umfasst separate, abgeschlossene Windows-Sitzungen für KI-Agenten. Viele User empfindendie Entwicklung als unnötig und haben Sicherheitsbedenken. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/08/41/084122c6fc26b3269f951ead2c69e923/0128893676v1.jpeg "Bis jetzt war die Umsetzung des Digital Operational Resilience Act (Dora) für die Unternehmen noch bequem, sagt Autor Andreas Seibert. (Bild: © john - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/2b/ab/2bab9bf9922e330aaca10908c33f2ba5/0128978843v2.jpeg "Ab Anfang 2027 gelten mit der neuen Maschinenverordnung (2023/1230/EU) der Europäischen Union (EU) für Fertigungsunternehmen verschärfte Anforderungen für den Schutz vor Cyberangriffen. (Bild: © Pisit - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/98/50/9850475c7e7526e33d2cafc5ad0c5d1b/0128095819v1.jpeg "Lösungen für modernes Datenmanagement (Bild: AvePoint, vom AvePoint-Grafikteam gestaltet )")
:quality(80)/p7i.vogel.de/wcms/76/cb/76cbe49cfea473087f6945c0ce27b878/0128603154v2.jpeg "(Bild: Samsung)")
:quality(80)/p7i.vogel.de/wcms/1c/93/1c9397c3fcd862e27d544c1da0a2e6ec/0128411324v1.jpeg "Klare Kommunikation - auf das richtige Headset kommt es an! (Bild: Herweck)")
:quality(80)/p7i.vogel.de/wcms/1e/ab/1eab169e9eb77aed17ecb731bc0aaa81/0128441842v2.jpeg "(Bild: TD SYNNEX)")
:quality(80)/p7i.vogel.de/wcms/8a/3c/8a3ca24fcd1aad93d9217fad474cf3b4/0129050382v2.jpeg "Der Europa-Park Rust wird vom 23.03.-26.03.2026 wieder von den Cloud-Enthusiasten bevölkert. (Bild: René Lamb Fotodesign GmbH)")
:quality(80)/p7i.vogel.de/wcms/3d/4e/3d4eb05a9bb6148a258e1d7a320a0595/0128770700v1.jpeg "Der Lego Smart Brick ist vollgepackt Beschleunigungsmessern, Lichtsensoren und einem Schallsensor sowie einem Miniaturlautsprecher, der von einem integrierten Synthesizer angetrieben wird,. (Bild: Lego)")
:quality(80)/p7i.vogel.de/wcms/37/68/3768a9690d67761ff08303668746b35f/0128683978v1.jpeg "Auf der CES in Las Vegas lässt sich zum Jahresauftakt ablesen, was die Tech-Trends 2026 werden. (Bild: CTA)")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/133500/133538/65.jpg "Logo_WatchGuard_Color_Vector_HighRes.jpg ()")
:fill(fff,0)/p7i.vogel.de/companies/68/b9/68b9bb61e8f14/ic-logo-black-green.png "ic-logo-black-green (Impossible Cloud)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/69/2e/692ecb7bb8f78/xopero-logo-color.png "xopero-logo-color (Xopero)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/99/b3/99b376524484bd41f161be1e2dfcc5d0/0128202817v2.jpeg "Im Falle eines Ransomware-Angriffs werden gut vorbereitete IT-Verantwortliche zu Superhelden. (Bilder: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/f5/75/f5755dd97fe742f475ee0f6610680142/0128106074v1.jpeg "Daten sind wertvoll und auch in SaaS-Zeiten muss gesichert werden. (Bild: Midjourney / KI-generiert)")