Menschen machen Fehler und sind anfällig für Phishing-Attacken, die zu den häufigsten Einfallstoren für Ransomware-Attacken zählen. Daher muss man mit dem „Tag X“ rechnen und bei der Vorbereitung darauf, lautet die Devise „testen und üben“.
Hacker setzen nach wie vor auf Phishing und nutzen menschliche Einfallstore in digitale Firmen-Infrastrukturen.
(Bild: Midjourney / KI-generiert)
Zu den großen Unsicherheitsfaktoren, die Unternehmen „an einem ganz normalen Donnerstag“ aus dem Spiel nehmen können, zählt Ransomware – und es ist fast schon eine Binse, dass es jede Firma treffen kann, egal, wie gut sie sich schützt. Umso wichtiger ist es, darauf vorbereitet zu sein, sich von dem Schlag ins Kontor wieder zu erholen. Doch wie sieht gute Vorbereitung auf den Tag X aus?
Zunächst einmal sollte man sich klar machen, dass menschliche Fehler und Phishing weiterhin zu den häufigsten Einfallstoren zählen. Resilienz sei daher nicht nur eine Frage der Technologie, sondern auch der Unternehmenskultur, findet Michael Hon-Mong, Country Manager DACH bei Kaseya. „Ein geschultes Team, kombiniert mit unveränderlichen und orchestrierten Recovery-Lösungen, macht den Unterschied zwischen einer Krise und einem kontrollierten Wiederherstellungsprozess“, sagt Hon-Mong.
Hintergrund
Phishing, Vishing, Smishing, Spoofing
Phishing bezeichnet Betrugsversuche über E‑Mails oder gefälschte Websites, mit dem Ziel, vertrauliche Informationen wie Passwörter oder Zahlungsdaten zu erbeuten.
Vishing ist Phishing per Telefon oder Internettelefonie: Anrufer geben sich als Support, Bank oder Behörde aus, um sensible Angaben oder einen Fernzugriff zu erhalten.
Smishing ist Phishing per Kurznachricht (SMS, Short Message Service) oder Messenger. Links oder Aufforderungen in der Nachricht sollen zu unbedachten Handlungen verleiten.
Spoofing bedeutet das Vortäuschen einer falschen Identität, etwa durch gefälschte Absenderadressen oder manipulierte, scheinbar vertrauenswürdige Rufnummern.
Zentrale Botschaft: Testen!
Wenn es in diesem Zusammenhang eine zentrale Botschaft an die IT-Verantwortlichen gibt, dann lautet diese folgendermaßen: „Ein Backup ist erst dann getestet, wenn es erfolgreich wiederhergestellt wurde.“ Er bezieht sich auf aktuelle Studien aus seinem Unternehmen. Danach glauben zwar mehr als 60 Prozent der Unternehmen, dass sie innerhalb eines Tages alles wiederherstellen können – tatsächlich schaffen das aber nur 35 Prozent. Regelmäßige, automatisierte Disaster-Recovery-Tests sind der effektivste Weg, diese Lücke zwischen Erwartung und Realität zu schließen. Hon-Mong nennt ein Beispiel aus der Praxis: Ein Unternehmen aus der Fertigungsindustrie führt seit einiger Zeit regelmäßige, automatisierte Disaster-Recovery-Tests über die Kaseya-Umgebung durch. Bei einem dieser Tests wurde festgestellt, dass ein Schritt im Wiederherstellungsablauf nicht wie vorgesehen funktionierte. Im Ernstfall hätte dies einen langen Stillstand zur Folge haben können.
Übung macht den Meister
Das IT-Team konnte den Fehler auf dieser Grundlage beheben und den Prozess anpassen. Einige Monate später brach „Tag X“ über das Unternehmen ein – es wurde tatsächlich Ziel eines Ransomware-Angriffs. „Das Team konnte die Umgebung innerhalb weniger Stunden wieder hochfahren, ohne auf LösegeldForderungen einzugehen“, so der Manager. Der Vorfall mache deutlich, wie wichtig Vorbereitung und Überprüfungen der Wiederherstellungsprozesse sind, insbesondere in einer Produktionsumgebung.
Hintergrund
Object Lock, WORM und S3-Speicher
S3‑Speicher steht für Amazon S3 (Simple Storage Service), einen Objektspeicher in der Cloud. Daten werden als „Objekte“ in „Buckets“ abgelegt, sind hochskalierbar und über Programmierschnittstellen abrufbar. Für Backups wichtig: optionale Versionierung, verschiedene Speicherklassen und Funktionen für Replikation und Lebenszyklusregeln.
Object Lock ist eine S3‑Funktion, die Objekte für eine festgelegte Aufbewahrungsfrist unveränderbar macht. Voraussetzung ist die Versionierung. Es gibt zwei Modi: Governance Mode (mit streng geregelten Admin-Ausnahmen) und Compliance Mode (absolut unveränderbar bis zum Fristende). Zusätzlich möglich: Legal Hold als Sperre ohne Frist. Ziel ist der Schutz vor Löschen oder Überschreiben – auch durch Fehler oder Angriffe.
WORM (Write Once, Read Many) beschreibt das Prinzip „einmal schreiben, beliebig oft lesen“: Daten sind nach dem Schreiben nicht mehr veränderbar oder löschbar. Das erhöht die Beweissicherheit und schützt Backups vor Manipulation, etwa durch Ransomware. In S3 lässt sich WORM‑Schutz praktisch über Object Lock plus Versionierung umsetzen. (Nicht zu verwechseln mit dem „Computerwurm“, einer Schadsoftware.)
Kurz gesagt: S3‑Speicher ist die Plattform, Object Lock liefert die Unveränderbarkeit, und WORM ist das dahinterstehende Schutzprinzip für manipulationssichere Backups.
Die aktuelle Ransomware-Dynamik
Bei Kaseya beobachte man derzeit eine interessante Verschiebung in den Ransomware-Trends, verrät der Manager. Einerseits sei die Gesamtfrequenz erfolgreicher Angriffe zurückgegangen, was darauf hindeutet, dass Unternehmen durch bessere Abwehrmechanismen und mehr Bewusstsein widerstandsfähiger geworden sind: „Laut unserer aktuellen Untersuchung Kaseya Cybersecurity Outlook 2026 sank der Anteil der Unternehmen, die von Ransomware betroffen waren, innerhalb von nur zwölf Monaten von 34 auf 18 Prozent“, so der Manager.
Andererseits seien die Auswirkungen erfolgreicher Angriffe heute gravierender denn je: Rund 20 Prozent der Opfer zahlten 2025 ein Lösegeld, fast doppelt so viele wie im Vorjahr, wo es nach diesen Zahlen noch 11 Prozent waren. Doch diese Zahlungen würden selten zum gewünschten Ergebnis führen: Nur 56 Prozent jener, die gezahlt haben, konnten ihre Daten vollständig entschlüsseln, 41 Prozent nur teilweise. Bemerkenswert ist für Hon-Mong zudem, dass fast die Hälfte der Unternehmen, nämlich 47 Prozent, die sich weigerten zu zahlen, ihre Systeme mithilfe sicherer Backups vollständig wiederherstellen konnten.
Mit Erpressern verhandelt man nicht
Sollte man bei dieser Gemengelage mit Ransomware-Erpressern verhandeln? Hon-Mong sagt: „Grundsätzlich nein – die Datenlage zeigt klar, dass die Verhandlungen mit Cyberkriminellen keineswegs zu den erwünschten Ergebnissen führen“. Die jüngsten Untersuchungen belegen, dass nur eine ganz knappe Mehrheit jener, die gezahlt haben, ihre Daten tatsächlich zurückerhalten. Zahlreiche Opfer werden hingegen entweder erneut erpresst oder können nur einen Teil ihrer Daten entschlüsseln. Neben den praktischen Risiken gebe es auch schwerwiegende rechtliche und ethische Bedenken. Außerdem: Wer zahlt, erhöht häufig sogar sein zukünftiges Risiko.
Die Datenlage zeigt klar, dass Verhandlungen mit Cyberkriminellen keineswegs zu den erwünschten Ergebnissen führen.
Michael Hon-Mong, Country Manager DACH, Kaseya
Vorbereitung für den Tag X
Stattdessen sollten Unternehmen demnach auf Prävention, Vorbereitung und Wiederherstellung setzen. Investitionen in unveränderliche Backups (Immutable Backups), getestete Disaster-Recovery-Prozesse und Automatisierung seien deutlich verlässlicher, als mit Kriminellen unter Druck zu verhandeln. Der Ansatz in seinem Hause: Die Situationen vermeiden, die Verhandlungen erst zu einer Option machen. Konkret: „Mit sicheren Backup-Architekturen wie etwa Dattos Cloud Deletion Defense, automatisierten Wiederherstellungs-Workflows und mehrschichtigen BCDR-Strukturen können Unternehmen ihre Systeme vollständig wiederherstellen, ohne über eine Lösegeldzahlung nachdenken zu müssen“, so der Backup-Profi.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Ausfälle sind teuer
Michael Hon-Mong, Country Manager DACH, Kaseya
(Bild: Datto)
Auch die wirtschaftlichen Folgen nehmen zu. Etwa 40 Prozent der betroffenen Unternehmen verzeichneten nach der Kaseya-Studie mindestens einen kompletten Tag Ausfallzeit, und fast jedes fünfte meldete finanzielle Schäden in Höhe von mehr als 100.000 US-Dollar. Weitere 12 Prozent verloren infolge von Ransomware-Angriffen Kunden.
„Um es gar nicht erst so weit kommen zu lassen, verfügen unsere RMM-Lösungen [Remote Monitoring & Management] über eine integrierte Ransomware-Erkennung, die Endpoints verhaltensbasiert überwacht, infizierte Geräte isoliert und schädliche Prozesse in Echtzeit stoppt“, so der Country Manager. In Kombination mit den hausseigenen BCDR-Lösungen (Business Continuity Disaster Recovery) verkürze dieses Zusammenspiel, die Wiederherstellungszeiten erheblich und könne die Auswirkungen von Angriffen auf ein Minimum begrenzen, sagt der Manager.
Hintergrund
Die 3-2-1-, die 6-4-2- und die 3-2-1-1-0-Backup-Strategie
Die 3-2-1-Backup-Regel schützt davor, wenn man statt dem sprichwörtlichen „Glück im Unglück“ einmal „Pech im Unglück“ haben sollte: Drei Datenkopien auf zwei Medien und ein externes Backup: Das ist der Kern des 3-2-1-Prinzips.
Insbesondere Cloud-Speicher hilft hier, indem ein weiteres Speichermedium sowie der externe Charakter einer Kopie gewährleistet werden können.
Angenommen, die Ausfallwahrscheinlichkeit für eine Sicherungskopie beträgt 1/ 100, sinkt die Wahrscheinlichkeit bei zwei eingesetzten Systemen bereits auf: 1/ 100 * 1/ 100 = 1/ 10.000. Kommt ein weiteres Backup auf einem dritten System hinzu, bedeutet dies, dass die Wahrscheinlichkeit eines gleichzeitigen Ausfalls aller drei Geräte auf 1/ 1.000.000 abnimmt.
Geprägt wurde das Konzept, das mitunter als „goldene Regel der Datensicherung“ bezeichnet wird, vom Fotografen Peter Krogh. Die Zahl der zu erstellenden Kopien, verwendeten Speichermedien und Offsite-Standorte, an denen Backups aufbewahrt werden, lässt sich nach oben variieren. So kann aus 3-2-1 auch beispielsweise 6-4-2 werden, das das Datenverlustrisiko enorm reduziert.
Die „3-2-1-1-0-Backup-Strategie“ erweitert den Klassiker „3-2-1-Regel“ und zwar folgendermaßen: drei Kopien der Daten auf zwei verschiedenen Medien gespeichert und eine Kopie extern gelagert. Außerdem soll eine Kopie schreibgeschützt oder unveränderlich gespeichert werden, und zu guter Letzt: Null Fehler bei der Wiederherstellung sollen durch regelmäßige Tests garantiert werden können, um Daten im Ernstfall tatsächlich planmäßig wiederherstellen zu können.
Drei Trends der Branche
Die Backup- und Disaster-Recovery-Branche wird aus der Sicht von Kaseya derzeit vor allem von drei Trends getrieben, die Hon-Mong folgendermaßen skizziert:
Erstens: Künstliche Intelligenz verändert die Art und Weise, wie Unternehmen Bedrohungen erkennen und darauf reagieren. Laut dem Kaseya Cybersecurity Outlook 2026 nutzen fast die Hälfte aller Unternehmen KI zur E-Mail-Sicherheit, rund ein Drittel für Endpoint-Schutz und Anomalieerkennung.
Zweitens: Einheitliche Automatisierung und Integration revolutionieren das Resilienzmanagement. Unternehmen wollen keine Vielzahl isolierter Tools mehr, sondern eine zentrale Lösung, die IT-Management, Endpoint-Protection und BCDR miteinander verbindet.
Drittens: Unveränderlichkeit und Verifizierbarkeit sind zur Voraussetzung moderner Datensicherheit geworden. Dattos Inverse Chain Technology stellt seiner Beschreibung nach sicher, dass jeder Wiederherstellungspunkt unabhängig ist, während Cloud Deletion Defense auch dann eine Wiederherstellung ermöglicht, wenn Daten gelöscht wurden. Unitrends Recovery Assurance testet die Notfallwiederherstellung automatisch, prüft dabei die Einhaltung von RTO und RPO und bietet SLA‑gestützte Failover‑Garantien – bei kritischen Workloads laut Hon‑Mong in unter einer Stunde.
Hintergrund
Was ist ein Air Gap?
Ein Air Gap ist die Trennung zwischen Sicherungen und dem Produktionsnetz, sodass Backups nicht dauerhaft erreichbar sind. Dadurch bleiben sie auch bei Malware-Befall, kompromittierten Konten oder Fehlbedienung vor Manipulation und Löschung geschützt.
Physisches Air Gap: Die Backups sind tatsächlich offline und vom Netz getrennt; es gibt keine permanente Verbindung. Typische Beispiele sind Bandmedien, abgesteckte oder ausgeschaltete Wechselfestplatten und Offsite-Lagerung. Zugriff erfolgt nur gezielt während kurzer Sicherungs- oder Wiederherstellungsfenster.
Logisches Air Gap: Die Backups bleiben technisch erreichbar, sind aber durch strikte logische Barrieren geschützt. Dazu gehören getrennte Identitäten und Netzsegmente, isolierte Backup-Vaults sowie unveränderlicher Speicher, die Änderungen zeitlich oder grundsätzlich verhindern.
Air Gaps – logisch oder physisch?
„Wir empfehlen in der Regel logische Air Gaps gegenüber klassischer physischer Trennung“, sagt der DACH-Chef. Logische Air Gaps – etwa durch unveränderlichen Cloud Storage, rollenbasierte Zugriffsrechte und Multi-Faktor-Authentifizierung – bieten demnach starken Schutz vor Manipulation, ohne die Agilität für schnelle Wiederherstellung einzuschränken. Physische Air Gaps haben zwar weiterhin ihre Berechtigung, etwa in streng regulierten Branchen, gehen jedoch oft mit längeren RTOs einher, da manuelle Prozesse und Medienwechsel erforderlich sind. „Bei Datto SIRIS werden Backups sowohl lokal als auch in der Datto Cloud gespeichert. Diese ist geografisch redundant, vollständig verschlüsselt und durch Cloud Deletion Defense sowie 2FA geschützt. So entsteht ein logischer Air Gap, der schnelle Wiederherstellung bei maximaler Sicherheit ermöglicht“, so Hon-Mong. Für Nutzer mit strengeren Compliance-Vorgaben bietet Unitrends flexible Offline- oder Air-Gap-Konfigurationen, fügt der Manager an.
Unveränderlichkeit bildet das Fundament
„Unveränderlichkeit ist das Fundament unserer Backup-Strategie“, formuliert der Kaseya-DACH-Chef. „Lösungsübergreifend setzen wir mehrere Schutzebenen ein, um sicherzustellen, dass ein Backup nach seiner Erstellung weder verändert noch gelöscht werden kann – von niemandem.“ Konkret umgesetzt wird das mit der „Dattos Inverse Chain Technology“, die dafür sorgen soll, dass jeder Wiederherstellungspunkt vollständig und eigenständig ist, wodurch sich Datenkorruption nicht auf andere Backups überträgt. Die Lösung „Cloud Deletion Defense“ bietet eine zusätzliche Sicherheitsebene, da so gelöschte Snapshots wiederhergestellt werden können. Ergänzend prüft „Screenshot Verification“ automatisiert die Wiederherstellbarkeit der Backups, so der Anspruch von Kaseya an die eigene Produktlinien. „Unitrends Recovery Assurance“ führt zudem vergleichbare Überprüfungen durch, indem es komplette Disaster-Recovery-Simulationen in isolierten Umgebungen startet, um Retention und Unveränderbarkeit zu validieren. „Auf Verwaltungsebene gewährleisten MFA [Multi-Faktor-Authentifizierung], rollenbasierte Rechte und Audit-Logs – also ein ‚Vier-Augen-Prinzip‘ – zusätzliche Sicherheit“, sagt der DACH-Manager. Das Ergebnis sei eine „nachweisbar manipulationssichere Backup-Umgebung“.
Hintergrund RPO, RTO, CDP, BCM
Viel Wirbel um die Abkürzungen einer Branche
Eine wichtige Kenngröße, die beim Disaster Recovery bemüht wird, ist der „Recovery Point Objective“ (RPO), der die Frage widerspiegelt, wie viel Datenverlust in Kauf genommen werden kann. Es liegt in der Natur der Backup-Technologie, dass RPO letztlich der Zeitraum ist, der zwischen zwei Datensicherungen liegen darf, da diese Zeit bestimmt, wie viele Daten oder Transaktionen verloren gehen, wenn der vielzitierte Komet in das Datacenter einschlägt.
Wenn für den Betrieb kein Datenverlust hinnehmbar ist, beträgt die RPO null Sekunden, wie beispielsweise beim elektronischen Geldverkehr. Hier ist von so genannter „Continuous Data Protection“ (CDP) die Rede, beziehungsweise in anderem Kontext von „Realtime Backup“.
Die Kennzahl „Recovery Time Objective“ (RTO) ist artverwandt und beschäftigt sich mit der Frage, wie viel Zeit ab dem katastrophenbedingten Ausfall der Systeme bis zu ihrer Wiederinbetriebnahme vergehen darf. Die Bandbreite reicht hier von (mehr oder weniger fiktiven) null Minuten, bei denen der Geschäftsbetrieb, egal was kommt, nicht abbrechen darf, bis bin zu mehreren Wochen. Bei sehr niedrigen RTO-Werten geht es nicht um die Wiederherstellung, sondern darum, unterbrechungsfreie Geschäftsabläufe als Maßstab anzusetzen. In diesem Fall ist dann eher von „Business Continuity Management“ (BCM) die Rede.
Die Maximalforderung an IT-Verantwortliche sind folgerichtig Vorstellungen wie „RPO 0“, „RTO 0“, also „Continuous Data Protection“ und vollumfängliche „Business Continuity“. Vor diesem Hintergrund gilt der alte Spruch „Ein Kompromiss ist dann vollkommen, wenn alle unzufrieden sind.“
Der gefährliche Irrglaube
Ein jahrzehntealtes Missverständnis besagt, dass Festplattenspiegelung als Backup ausreicht. Für Michael Hon-Mong ist das ist einer der ältesten und gefährlichsten Irrtümer in der IT. „Festplattenspiegelung oder RAID-Replikation schützt lediglich vor Hardwareausfall, nicht aber vor Ransomware, Löschung oder Datenkorruption. Es spiegelt schlicht alles – auch Löschungen, Fehler oder Verschlüsselungen – in Echtzeit auf ein anderes Laufwerk“, bringt es der Manager auf den Punkt. Echte Datensicherung erfordert hingegen versionierte, unabhängige und unveränderliche Kopien, idealerweise extern oder in der Cloud. Dattos Inverse Chain Technology und die Incremental-Forever-Architektur von Unitrends bieten laut dem Kaseya-Chef genau das: Wiederherstellungspunkte, die auf jeden beliebigen Zeitpunkt zurückgesetzt werden können. „Oder einfacher gesagt: Spiegelung kann die Verfügbarkeit unterstützen, aber echte Backups sichern das Unternehmen“, so Hon-Mong.
Ohne Backups kein Restore
Angreifer zielen zuerst auf Backups“ – das könne in nahezu jeder größeren Ransomware-Welle beobachtet werden. „Cyberkriminellewissen, dass Backups der Schlüssel zur Wiederherstellung sind. Deshalb versuchen sie gezielt, diese zu löschen, zu verschlüsseln oder unbrauchbar zu machen. Umso wichtiger sind heute Unveränderlichkeit, Air Gaps und eine klare Zugriffstrennung“, stellt der Manager klar. Bei Dattos „Immutable Cloud Storage“ und „Cloud Deletion Defense“ gilt laut Hon-Mong: „Selbst wenn Angreifer Produktionssysteme oder Administratorzugänge kompromittieren, bleiben die Backup-Kopien geschützt und wiederherstellbar.“ Unitrends isoliert demnach zusätzlich die Backup-Umgebungen und prüft die Integrität durch Ransomware Detection und Recovery Assurance. Das Ziel formuliert er so: Backups sollen nicht nur vorhanden, sondern unverwundbar sein.
Die Budgets steigen
Die Budgets für Backup- und Disaster-Recovery-Lösungen sind im Aufwind. Bei Kaseya beobachtet man branchenweit einen kontinuierlichen Anstieg der Investitionen in Backup und Cybersicherheit. So haben laut dem Paper „Kaseya 2025 Global IT Trends Report“ 44 Prozent der Unternehmen ihre Security- und Backup-Budgets im laufenden Jahr erhöht, fast die Hälfte plant demnach weitere Steigerungen im nächsten Jahr. Geht man nach diesen Zahlen, investieren die meisten Unternehmen inzwischen zwischen 10 und 50 Prozent ihres IT-Budgets in Sicherheit, wobei sich die meisten Ausgaben eher am unteren Ende der Spanne bewegen würden. Die größte Veränderung hierbei betrifft die Prioritäten: Statt klassischer On-Premises-Backups setzen Unternehmen demnach zunehmend auf unveränderliche Cloud-Lösungen.
Hintergrund
Das Shared-Responsibility-Modell
Das Shared-Responsibility-Modell besagt: Der Cloud-Anbieter schützt die Cloud (Infrastruktur, Betrieb), der Kunde schützt, was er in der Cloud nutzt (Identitäten, Daten, Konfigurationen). Je nach Servicemodell verschiebt sich die Grenze; bei SaaS bleibt der Schutz der Daten beim Kunden. Beispiel Microsoft 365: Microsoft betreibt und sichert die Dienste (Exchange, SharePoint, Teams), der Kunde verantwortet Tenant-Einstellungen, Zugriffe, Datenklassifizierung, Aufbewahrung und Wiederherstellbarkeit. M365 bietet Basisfunktionen (Versionierung, Retention), ersetzt aber kein frei steuerbares Backup – dafür ist der Kunde zuständig.
Geteilte Verantwortung
Das Bewusstsein für das Shared-Responsibility-Modell hat sich nach Ansicht von Hon-Mong verbessert, aber Missverständnisse gebe es weiterhin. So würden viele Unternehmen immer noch glauben, dass ihr Cloud- oder SaaS-Anbieter automatisch für Datensicherung und Wiederherstellung verantwortlich ist, um dann im Ernstfall festzustellen, dass dies nicht zutrifft.
Der Manager führt aus: „In Wirklichkeit sorgen Anbieter wie Microsoft 365 oder Google Workspace für Verfügbarkeit und Plattform-Sicherheit, während der Schutz und die Wiederherstellung der Kundendaten in der Verantwortung des Kunden liegen.“ Genau hier will Datto SaaS Protection ansetzen, indem die Lösung Microsoft-365- und Google-Workspace-Daten bis zu dreimal täglich sichert und granulare Wiederherstellung einzelner E-Mails, Dateien oder ganzer Accounts ermöglicht. Dass sei in letzter Konsequenz ein unverzichtbarer Schutz vor versehentlicher Löschung, böswilligen Aktionen oder auch Ransomware.
Kommentar
Theorie und Praxis zusammenführen
Es soll schon vorgekommen sein, dass IT-Verantwortliche erst einmal schlagartig arbeitsunfähig wurden, als der Tag X kam und alle guten Pläne versagten. Denn auf dem Reißbrett lässt sich Backup & Disaster Recovery leicht planen. Aber wenn Ransomware zuschlägt, zählen saubere Datenwiederherstellung, die richtige Boot-Reihenfolge der Produktivsysteme, klare Zuständigkeiten und belastbare Runbooks. In der Hitze des Moments kommt oft etwas anderes heraus, als in der Dokumentation steht – das ist der Unterschied zwischen Theorie und Praxis. Deshalb: regelmäßig proben, unter Realbedingungen testen und die Abläufe scharfziehen. Nur wer übt, kann im Ernstfall schnell wieder produktiv werden.
:quality(80)/p7i.vogel.de/wcms/53/9a/539a7369f3f6420e59149463d2a30c44/0128372174v3.jpeg "Wie sollte man im IT-Channel die Segel setzen, um auch 2026 erfolgreich zu sein? (Bild: © AlfaSmart - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/f7/01/f701d737e67de7edf60a815556f87792/0128380190v2.jpeg "Europa spielt bei der Produktion von IT-Hardware überwiegend nur als Standort für die Endmontage von importierten Komponenten eine Rolle. (Bild: © Khusi - stock.adobe.com / KI-generiert)")
![KI in Deutschland: was muss passieren, dass Deutschland bei KI nicht den Anschluss verliert? (Bild: midjourney / KI-generiert - [M] J Rath)](https://cdn1.vogel.de/OR9Fozt0vJYiF8WyvqFIobegcW8=/288x162/smart/filters:format(jpg):quality(80)/p7i.vogel.de/wcms/59/e9/59e942e7bcde7a66e41bfbb69823c213/0127869976v3.jpeg "KI in Deutschland: was muss passieren, dass Deutschland bei KI nicht den Anschluss verliert? (Bild: midjourney / KI-generiert - [M] J Rath)")
:quality(80)/p7i.vogel.de/wcms/82/7d/827d53211ad894c4bbae3c9d377c80fe/0127628471v2.jpeg "Im Kundenservice können KI-Agenten zum Gamechanger werden und zu mehr Zufriedenheit bei Kunden und Mitarbeitern führen. (Bild: © Nasira Mai - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/73/8a/738a14c02d5f128dc1aeeb97426878cb/0129113507v1.jpeg "Wire hat sein Führungsteam erweitert und Adam Low (l.) zum CTO sowie Oliver Brown zum CCO berufen. (Bild: Wire)")
:quality(80)/p7i.vogel.de/wcms/f6/51/f651404395d1655ecfa20879930712cd/0129045915v2.jpeg "Gregor Liedhegener gehört nun zur Firmenleitung von Enreach am deutschen Standort Bochum. (Bild: © Enreach)")
:quality(80)/p7i.vogel.de/wcms/76/71/7671625a0fed3298a58928830fccd075/0129044146v2.jpeg "Ben Jones, Chief Technology Officer (CTO) bei Infinigate (Bild: Infinigate)")
:quality(80)/p7i.vogel.de/wcms/ec/57/ec578f26cbc8dd2cb06a61728c77afde/0129045922v1.jpeg "Michael Stuhr übernimmt als Country Manager die Leitung von Acer Deutschland. (Bild: Acer)")
:quality(80)/p7i.vogel.de/wcms/2b/d9/2bd9722b3e4e44a20a193b8bddcc5cfa/0129148723v1.jpeg "Genau die Nachricht, die Angst schürt: Amazon entlässt Mitarbeiter und automatisiert vieles mit KI. (Bild: © S.JR Stocker - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/d8/24/d82467f22cedecb6b9e352aed1e7761f/0129130135v1.jpeg "Die EU erarbeitet Vorschläge für Google mit Blick auf deren KI-Einsatz. (Bild: © bluedesign - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/27/37/2737f8902c2221e4fcd30eb390df45f5/0129136870v2.jpeg "Der Datenschutz in Europa wird derzeit von einer Vielzahl von Faktoren beeinflusst. Dazu zählen rasante Entwicklungen im Bereich der Künstlichen Intelligenz, zunehmende Cyberbedrohungen sowie neue nationale und internationale gesetzliche Rahmenbedingungen. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/df/44/df441c26901f6171b5fac6baf7add441/0129107400v2.jpeg "Die Initiatoren des „German Digital Commerce Operation Model“von Stackit, Empiriecom und Adesso: (v. l.) Samuel Boger, Quan Mach, Nico Kollmar, Udo Bischof, Ralf Männlein, Bernd Wagner, Oliver Schobert (Bild: Stackit, Empiriecom & Adesso)")
:quality(80)/p7i.vogel.de/wcms/0a/fc/0afc6036f91d235a93a0527f9339f81f/0128573226v1.jpeg "Microsoft Intune ermöglicht die zentrale Steuerung von Secure-Boot-Zertifikatupdates und bindet sicherheitskritische Firmware-Updates in bestehende Windows-Update-Prozesse ein. (Bild: © MT.PHOTOSTOCK - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/73/71/7371e98d1d3083c53e9c2e4547e1a95c/0129134273v2.jpeg "KI-Projekte erfordern eine leistungsfähige Infrastruktur. Ohne Partner, die das Know-how dafür mitbringen, ist der Weg zu erfolgreichen Lösungen schwer zu finden. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/1d/00/1d0036c8b1393bfba719437de22a0659/0129020958v2.jpeg "Wer zieht noch die Fäden? Autonome KI-Systeme stellen Governance und Sicherheit in Unternehmen infrage. (Bild: © Autism in Focus - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/7d/63/7d634afbaa49454d513a3567bdfeaae7/0129100796v1.jpeg "Microsoft hat einen neuen KI-Chip, Maia 200, vorgestellt. Der Spezialchip soll KI-Anwendungen schneller und günstiger machen. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/fe/6e/fe6e0f99b50670d6972a1236a3009602/0128950755v2.jpeg "Microsofts Agentic Workspace umfasst separate, abgeschlossene Windows-Sitzungen für KI-Agenten. Viele User empfindendie Entwicklung als unnötig und haben Sicherheitsbedenken. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/08/41/084122c6fc26b3269f951ead2c69e923/0128893676v1.jpeg "Bis jetzt war die Umsetzung des Digital Operational Resilience Act (Dora) für die Unternehmen noch bequem, sagt Autor Andreas Seibert. (Bild: © john - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/2b/ab/2bab9bf9922e330aaca10908c33f2ba5/0128978843v2.jpeg "Ab Anfang 2027 gelten mit der neuen Maschinenverordnung (2023/1230/EU) der Europäischen Union (EU) für Fertigungsunternehmen verschärfte Anforderungen für den Schutz vor Cyberangriffen. (Bild: © Pisit - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/98/50/9850475c7e7526e33d2cafc5ad0c5d1b/0128095819v1.jpeg "Lösungen für modernes Datenmanagement (Bild: AvePoint, vom AvePoint-Grafikteam gestaltet )")
:quality(80)/p7i.vogel.de/wcms/76/cb/76cbe49cfea473087f6945c0ce27b878/0128603154v2.jpeg "(Bild: Samsung)")
:quality(80)/p7i.vogel.de/wcms/1c/93/1c9397c3fcd862e27d544c1da0a2e6ec/0128411324v1.jpeg "Klare Kommunikation - auf das richtige Headset kommt es an! (Bild: Herweck)")
:quality(80)/p7i.vogel.de/wcms/1e/ab/1eab169e9eb77aed17ecb731bc0aaa81/0128441842v2.jpeg "(Bild: TD SYNNEX)")
:quality(80)/p7i.vogel.de/wcms/8a/3c/8a3ca24fcd1aad93d9217fad474cf3b4/0129050382v2.jpeg "Der Europa-Park Rust wird vom 23.03.-26.03.2026 wieder von den Cloud-Enthusiasten bevölkert. (Bild: René Lamb Fotodesign GmbH)")
:quality(80)/p7i.vogel.de/wcms/3d/4e/3d4eb05a9bb6148a258e1d7a320a0595/0128770700v1.jpeg "Der Lego Smart Brick ist vollgepackt Beschleunigungsmessern, Lichtsensoren und einem Schallsensor sowie einem Miniaturlautsprecher, der von einem integrierten Synthesizer angetrieben wird,. (Bild: Lego)")
:quality(80)/p7i.vogel.de/wcms/37/68/3768a9690d67761ff08303668746b35f/0128683978v1.jpeg "Auf der CES in Las Vegas lässt sich zum Jahresauftakt ablesen, was die Tech-Trends 2026 werden. (Bild: CTA)")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/133500/133538/65.jpg "Logo_WatchGuard_Color_Vector_HighRes.jpg ()")
:fill(fff,0)/p7i.vogel.de/companies/68/b9/68b9bb61e8f14/ic-logo-black-green.png "ic-logo-black-green (Impossible Cloud)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/69/2e/692ecb7bb8f78/xopero-logo-color.png "xopero-logo-color (Xopero)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/99/b3/99b376524484bd41f161be1e2dfcc5d0/0128202817v2.jpeg "Im Falle eines Ransomware-Angriffs werden gut vorbereitete IT-Verantwortliche zu Superhelden. (Bilder: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/5a/c0/5ac0d7454f80fc76f4d61b14963ab268/0128107858v1.jpeg "Das Backup muss für Ransomware unerreichbar sein. (Bild: Midjourney / KI-generiert)")