„Wie lange dauert es, bis wir wieder online sind?“ Diese Frage dominiert jede Vorstandssitzung unmittelbar nach einem Ransomware-Angriff. Der Druck ist enorm. Geschäftsbereiche warten auf die Wiederaufnahme ihrer Prozesse, Kunden erwarten Transparenz und Aufsichtsbehörden fordern fristgerechte Meldungen. In dieser Situation zählt scheinbar nur Geschwindigkeit. Doch genau dieser Reflex führt häufig zu überhasteten Wiederherstellungen – mit gravierenden Folgen: Reinfektionen, verlängerte Ausfälle und zusätzlicher Reputationsschaden.
Nach einem Ransomware-Angriff tickt die Uhr. Doch eine überhastete Wiederherstellung kann fatale Folgen nach sich ziehen.
(Bild: Midjourney / KI-generiert)
Insbesondere Cybersecurity-Teams geraten bei Angriffen zwischen die Fronten. Einerseits müssen sie sicherstellen, dass keine Hintertüren, Persistenzmechanismen oder kompromittierten Identitäten wieder in produktive Systeme gelangen. Andererseits fordert das Management schnelle Ergebnisse. Werden Prüf-, Forensik- und Bereinigungsschritte abgekürzt, droht der erneute Angriff, oft mit noch längerer Ausfallzeit. Gerade in virtualisierten Umgebungen oder komplexen Storage-Architekturen ist die Gewährleistung technisch anspruchsvoll, dass wiederhergestellte Datenbestände tatsächlich frei von Schadcode, kompromittierten Konfigurationen oder versteckten Backdoors sind.
Wahrnehmung und Realität klaffen auseinander
Wie gravierend die Auswirkungen sind, zeigt die aktuelle Cohesity-Studie „Risk-Ready or Risk-Exposed“. Mehr als die Hälfte (52 Prozent) der Unternehmen in Deutschland hat in den vergangenen zwölf Monaten einen schwerwiegenden Cyberangriff erlebt. 31 Prozent verloren dadurch zwischen ein und zehn Prozent ihres Jahresumsatzes. 45 Prozent der börsennotierten Unternehmen verzeichneten spürbare Auswirkungen auf ihren Aktienkurs. Mehr als 80 Prozent haben im Zusammenhang mit Ransomware Lösegeld bezahlt.
Trotz dieser alarmierenden Zahlen geben 45 Prozent der Führungskräfte in Deutschland an, volles Vertrauen in ihre Resilienzstrategie zu haben. Gleichzeitig halten 54 Prozent ihre Cyber-Resilienz für verbesserungswürdig. Diese Diskrepanz deutet auf ein strukturelles Problem hin: Zwischen strategischer Selbsteinschätzung auf C-Level und operativer Realität in IT- und Security-Teams fehlt ein objektiver Referenzrahmen.
Die zentrale Forderung: ein operativer Branchenbenchmark für Recovery
Dazu genügen kein weiteres Whitepaper und keine zusätzliche Einzelstudie. Gefordert ist ein branchenweit akzeptierter, transparenter und operativ nutzbarer Benchmark für Ransomware-Response und -Recovery. Ein solcher Benchmark müsste:
anonymisierte, aggregierte Durchschnittswerte liefern zur Verweildauer von Angreifern (Dwell-Time), Zeit bis zur Erkennung eines Angriffs, Dauer der Eindämmung (Containment), Zeit bis zur sicheren Wiederherstellung geschäftskritischer Systeme,
qualitative Kriterien definieren, etwa zur Integrität von Backups, zur Bereinigung kompromittierter Identitäten und zur Entfernung von Persistenzmechanismen,
branchenspezifische Vergleichswerte bieten.
Es geht hier also nicht primär um Schadenssummen oder Lösegeldhöhen, sondern um belastbare Referenzwerte für die Prozesse zur sicheren Wiederherstellung produktiver Umgebungen.
Warum bestehende Regularien das nicht leisten
In Europa existieren zwar bereits umfassende Meldepflichten – etwa durch DSGVO, NIS-2 oder DORA. Doch diese schaffen nur Transparenz gegenüber Aufsichtsbehörden und definieren Mindestanforderungen an Governance, Risikomanagement und Incident-Reporting. Sie bieten keinen öffentlich verfügbaren, operativen Branchenbenchmark für Recovery-Prozesse. Denn die Aufsichtsbehörden veröffentlichen weder tatsächliche Durchschnittswerte für die Recovery-Dauer noch standardisierte technische Kennzahlen für die Remediation-Qualität oder Vergleichswerte zur Reife von Wiederherstellungsprozessen. Die Regelungen sorgen zwar für Verantwortlichkeit, aber nicht für Vergleichbarkeit.
Wie ein solcher Benchmark entstehen könnte
Ein belastbarer Branchenbenchmark könnte aber auf Basis dieser strukturierten, standardisierten und verpflichtenden Incident-Meldungen entstehen. Denn bestehende Meldepflichten – etwa nach NIS-2 oder DORA – bieten bereits einen formalen Rahmen für zeitgebundene Vorfallberichte. Würden diese Berichte systematisch um klar definierte technische Kennzahlen zur Containment-, Remediation- und Recovery-Phase ergänzt sowie anonymisiert aggregiert ausgewertet und veröffentlicht, entstünde eine valide Datengrundlage für realistische Referenzwerte.
Entscheidend ist dabei: Es geht ausdrücklich nicht um die Offenlegung einzelner Unternehmensdaten, sondern um die anonymisierte, sektorbezogene Zusammenführung strukturierter Informationen. Ein solcher Mechanismus würde nicht in Konkurrenz zu bestehenden EU- oder nationalen Regularien stehen, sondern auf ihnen aufbauen. Ein Branchenbenchmark würde diese Daten nutzen, um operative Vergleichswerte für sichere Recovery-Prozesse zu etablieren.
Dazu sind kaum neue Berichtspflichten nötig, da eine strukturierte Auswertung und Standardisierung der bereits erhobenen Informationen weitgehend ausreichen würde – lediglich ergänzt um klar definierte technische Recovery-Metriken. Durch die Kombination einheitlicher Klassifizierungen, fester Meldefristen und strukturierter Datenerhebung würde eine belastbare Grundlage für Vergleichbarkeit entstehen. Ohne diesen Rahmen bleibt Recovery-Benchmarking fragmentiert und abhängig von Einzelstudien oder Herstellerangaben.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Resilienz ist mehr als Geschwindigkeit
Ein solcher Benchmark wäre kein Instrument zur Beschleunigung um jeden Preis. Im Gegenteil: Er würde verdeutlichen, dass sichere Recovery auch Zeit braucht. Laut der Cohesity-Studie geben 94 Prozent der deutschen Unternehmen an, dass die Wiederherstellung aus Backups länger als einen Tag dauert, in jedem zehnten Fall sogar mindestens eine Woche. Gleichzeitig fordern viele Befragte eine stärkere Automatisierung von Erkennung, Reaktion und Recovery.
Automatisierung ist wichtig – etwa für Malware-Scans, Snapshot-Validierung oder isolierte Test-Recoverys. Doch Automatisierung ersetzt keine strukturierte, überprüfbare Prozesskette. Wer Systeme zu schnell hochfährt, ohne Persistenzmechanismen vollständig zu entfernen oder privilegierte Identitäten zurückzusetzen, riskiert eine erneute Kompromittierung. Ein belastbarer Benchmark würde daher neben Zeitparametern auch qualitative Kriterien definieren – und Führungskräften verdeutlichen, dass Recovery kein „Reset-Knopf“, sondern ein mehrstufiger Validierungsprozess ist.
Warum das für Storage- und Backup-Verantwortliche entscheidend ist
Für Storage- und Backup-Teams hätte ein solcher Referenzrahmen auch eine strategische Funktion: Er liefert belastbare Argumentationsgrundlagen gegenüber dem Management. Wenn klar ist, dass sichere Recovery branchenweit anhand definierter Kennzahlen bewertet wird – etwa Dwell-Time, Time-to-Detect, Time-to-Contain, Integritätsprüfung von Backups und erfolgreiche Wiederherstellung ohne Reinfektion –, reduziert dies unrealistische Erwartungen an sofortige Wiederanlaufzeiten. Transparenz schlägt Geschwindigkeit.
Die Forderung ist klar: Es braucht einen strukturierten, branchenweit nutzbaren Benchmark für sichere Ransomware-Recovery – nicht als Ersatz für NIS-2, DORA oder DSGVO, sondern als operative Ergänzung. Regulierung definiert Mindestanforderungen und Berichtspflichten. Ein Benchmark würde darüber hinaus Vergleichbarkeit, Reifegradtransparenz und realistische Erwartungswerte schaffen. Bis ein solcher Standard etabliert ist, sollten Unternehmen eigene strukturierte Kennzahlen erfassen und interne Benchmarks aufbauen. Denn Cyber-Resilienz entsteht durch messbare, überprüfbare und konsequent angewandte Prozesse.
* Die Autorin: Isabell Rauchenecker, Vetriebsleiterin Cohesity Deutschland
Aktuelles eBook
Ransomware-Schutz durch Object Lock und WORM
eBook „Ransomware-Schutz“
(Bild: Storage-Insider)
Um ein Storage-System effektiv von Ransomware-Angriffen zu schützen, bieten sich neben Backup/Disaster Recovery und Verschlüsselung vor allem Object Lock und WORM an. Das gelingt nicht nur im eigenen Haus, sondern auch in der Hybrid-Cloud.
:quality(80)/p7i.vogel.de/wcms/b5/ad/b5ade2e50671d986cabb091cc33de39f/0127234511v1.jpeg "Das sind die Gewinner der IT-Awards 2025! (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/2d/69/2d69b27f3f8f5f290f7ae2b3d9123b1b/0127206601v1.jpeg "Storage-Insider verleiht heute die IT-Awards 2025 in sechs Kategorien. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/94/d2/94d28e3faac411c22b54d80ea354d2e3/0124559320v1.jpeg "Die digitale Souveränität Europas ist spätestens seit der Wiederwahl von Donald aktueller denn je. (Bild: erstellt durch iTernity GmbH mit Canva)")
:quality(80)/p7i.vogel.de/wcms/ca/b3/cab330ef06324344f47f1715af71ffb8/0121296602v1.jpeg "Das sind die Gewinner der Storage-Insider Readers' Choice Awards 2024. (Bild: Manuel Emme Fotografie)")
:quality(80)/p7i.vogel.de/wcms/da/d4/dad496fe9c17391d1b32c1a7e51abaaf/0129384459v1.jpeg "Der „Cristie Resilience Booster“ von der Cristie Data GmbH soll mit integrierten XDR-Tools dafür sorgen, dass kompromittierte Wiederherstellungen erkannt, isoliert und bereinigt werden. (Bild: Cristie Data GmbH)")
:quality(80)/p7i.vogel.de/wcms/52/e6/52e63b3a5ff2384b5930914ef9298217/0129740446v1.jpeg "Nach einem Ransomware-Angriff tickt die Uhr. Doch eine überhastete Wiederherstellung kann fatale Folgen nach sich ziehen. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/67/8b/678b23a687f2e05910843d62ea76fb28/0129747816v2.jpeg "Cyber-Resilienz 2026 bedeutet Handlungsfähigkeit unter einem laufenden Angriff, aber unkontrollierte Identitäten untergraben genau diese Fähigkeit und machen Systeme unsteuerbar. (Bild: © AminaDesign - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/38/bc/38bc737f33460770e900e6ceb53ba172/0129348895v1.jpeg "Vor der Datenspeicherung steht die Formatierung des jeweiligen Datenträgers. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/04/a8/04a8cee9a000034acbcb204c148c83b6/0129900951v1.jpeg "Vertikal integrierte Photonik soll Seagate zufolge die Kontrolle über Ertrag, Zuverlässigkeit und Widerstandsfähigkeit der Lieferkette stärken. (Bild: Seagate)")
:quality(80)/p7i.vogel.de/wcms/90/ad/90ad0fa911794026b057ef99e1d76509/0129742551v1.jpeg "Die Lösung von Scality und Weka biete Flash-Performance für aktive KI- und HPC-Daten sowie skalierbare, langlebige Kapazität für große Datensätze. (Bild: © xyz+ – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/09/0e/090e72d878284f29c52bb8d082e9e839/0128982948v1.jpeg "Die Arbeitsweise von SpiceDB ähnelt einer relationalen Datenbank, verzichtet jedoch auf Tabellen im klassischen Sinn. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/ed/da/eddad8ef5d7db2fb553dc8478d6676e1/0129023468v1.jpeg "Die ersten Schritte sind getan. 2026 muss sich künstliche Intelligenz – in welcher Form auch immer – bewähren. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/7c/51/7c5151b2e89ee6a02dfd5474ae384c53/0129335303v1.jpeg "Mit CXL lassen sich Rechnerarchitekturen realisieren, die riesige Datenmengen mit hoher Geschwindigkeit verarbeiten. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/d9/13/d9139aeba124cd1d528ab5aabd56fcbc/0128794900v2.jpeg "Das US‑Recht kann selbst bei EU‑Rechenzentren Zugriff auf Unternehmensdaten erlauben; entscheidend ist der Rechtsraum des Anbieters, nicht allein der Serverstandort. (Bild: © Viktoriia - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/30/e9/30e9d905326971ea2d22ffd09193e68c/0129704585v1.jpeg "Souveränität als Spektrum: Agnes Heftberger (CEO Microsoft Deutschland & Österreich) und Brad Smith (Vice Chair und President, Microsoft) bei der Eröffnung des ersten „European Sovereignty & Digital Resilience Studios“ in München. (Bild: @alexschelbertphotography)")
:quality(80)/p7i.vogel.de/wcms/fe/01/fe0107d0a796c556f004c3ba31f0709a/0129558736v1.jpeg "Das italienische Unternehmen Cubbit und der Schweizer IT-Systemintegrator Ailanto sind strategische Partner. (Bild: Cubbit / Ailanto)")
:quality(80)/p7i.vogel.de/wcms/2b/eb/2beb093a4b15a43e77a5fddc51617012/0129334977v1.jpeg "Der Remote Dictionary Server ist ein quelloffener Datenspeicher mit einer einfachen Schlüssel-Werte-Datenstruktur und legt die Daten direkt im Arbeitsspeicher ab. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/ac/1a/ac1a1644cd6f2fde0e46796ebbb48984/0129335954v1.jpeg "Die zehnte LTO-Generation ermöglicht komprimiert bis zu 100 TB an Daten auf einem Medium. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/51/96/51965391328bb2fd4e6e616ebcaa486d/0129531873v1.jpeg "Commvault-CPO Rajiv Kottomtharayil: „Unternehmen müssen Cyberangriffen, die zunehmend auf Backup-Umgebungen abzielen, einen Schritt voraus sein.“ (Bild: Commvault)")
:quality(80)/p7i.vogel.de/wcms/e4/83/e48315c7b4fd3a018ed443683a58b4b1/0128408290v1.jpeg "Viele IT-Leiter müssen sich mit den versteckten Risiken der SaaS-Datenaufbewahrungsrichtlinien auseinandersetzen. (Bild: © Esfandjar - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/79/9979759c56eb7a08b242e4c0a1c4d8ff/0129619703v1.jpeg "Die Eternus CS8000 unterstützt Data Lakes und bietet neue Cloud-Objektreplikationsfunktionen. (Bild: Fsas Technologies)")
:quality(80)/images.vogel.de/vogelonline/bdb/1552300/1552323/original.jpg "Cloud-Speicher für Einsteiger – Microsoft OneDrive zusammen mit macOS und iOS nutzen. (©georgejmclittle - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1644500/1644561/original.jpg "Online-Speicher bei Web.de und GMX: So funktioniert die Verwaltung. (© stokkete - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1641800/1641842/original.jpg "All-Flash-Arrays versprechen unschlagbar niedrige Latenzen. (© pozdeevvs - stock.adobe.com)")
:fill(fff,0)/p7i.vogel.de/companies/63/db/63dbd1915b7af/2023-fastlta-logo-square-positive.jpeg "2023-fastlta-logo-square-positive (FAST LTA GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/68/b9/68b9bb61e8f14/ic-logo-black-green.png "ic-logo-black-green (Impossible Cloud)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/eb/f0/ebf0fe8c87e9c4e4363d2fc3e55e902a/0129129428v1.jpeg "Digitale und menschliche Identitäten zu schützen und wiederherzustellen, ist eine entscheidende Aufgabe beim Datenschutz. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/2e/8e/2e8ea6945b08f3ccf0514e135b95a4b5/0128772245v1.jpeg "„In Summe muss eine zeitgemäße Backup-Strategie im Jahr 2026 die zunehmenden Risiken minimieren, eine hochgradig sichere Datenspeicherung beinhalten und langfristig die Geschäftskontinuität gewährleisten.“ – Greg Hansbuer von Pink Elephant (Bild: Midjourney / KI-generiert)")