Die meisten Unternehmen stellen erst dann fest, dass ihre Backup-Strategie nicht funktioniert, wenn es zu spät ist.

Oberflächlich betrachtet scheint alles in Ordnung zu sein: Backups laufen, Aufbewahrungsrichtlinien sind vorhanden, Wiederherstellungspläne wurden getestet, und vor sechs Monaten hat jemand eine Bewertung durchgeführt, die besagt, dass alles "angemessen" ist. Vielleicht sogar "ausgereift".

Aber wenn Ransomware zuschlägt, bedeuten diese Kontrollkästchen nicht viel.

Denn die Wahrheit ist: Die meisten Bewertungen sind nicht darauf ausgerichtet, was bei einem echten Ransomware-Angriff passiert. Sie basieren auf "Best Practices" und Annahmen, nicht auf dem tatsächlichen Verhalten der Bedrohungsakteure. Und sie lassen IT- und Sicherheitsteams mit etwas Gefährlichem zurück: einem falschen Gefühl der Bereitschaft, das unter Druck nicht standhalten wird.

Wir waren bei Hunderten von realen Sicherheitsverletzungen dabei. Wir wissen, wo (und warum) herkömmliche Bewertungen zu kurz greifen - und wie man einen Ansatz entwickelt, der tatsächlich funktioniert.

Was traditionelle Beurteilungen falsch machen

Die meisten Bewertungen sind auf die Einhaltung von Vorschriften ausgerichtet, nicht auf Krisen.

Sie folgen einer vorhersehbaren Formel:

• Werden Backups nach einem Zeitplan durchgeführt?
• Werden sie außer Haus oder in einem unveränderlichen Speicher aufbewahrt?
• Gibt es einen dokumentierten Wiederherstellungsplan?
• Wurde es in den letzten 12 Monaten getestet?

Wenn Sie diese Fragen mit "Ja" beantworten, werden Sie die meisten Prüfungen bestehen. Es gibt jedoch ein Problem. Angreifern ist es egal, was auf Ihrer Compliance-Checkliste steht. Sie interessieren sich dafür, was sie verschlüsseln, exfiltrieren oder zerstören können, bevor Sie es merken.

Die folgenden Punkte werden bei typischen Beurteilungen routinemäßig ignoriert:

Verhalten des Bedrohungsakteurs

Bei herkömmlichen Bewertungen wird nicht auf die Aufzählung oder Zerstörung von Backups geprüft. Dies sind die Taktiken, die Angreifer als erstes anwenden, sobald sie Zugang erhalten haben. Von Hypervisor-Snapshots bis hin zu Wiederherstellungssoftware und mit der Domäne verbundenen Diensten haben wir wiederholt festgestellt, dass in der realen Welt die Backup-Infrastruktur in der Regel der erste Angriff ist. Wenn Ihre Backups nicht von Ihrer Domäne getrennt sind (was bei den meisten nicht der Fall ist), sind sie bereits gefährdet.

Seitliche Bewegung

Traditionelle Bewertungsberichte neigen dazu, Systeme isoliert zu betrachten. Dateifreigaben hier, AD dort, Backups in einer anderen Blase. Bei einem realen Einbruch bewegen sich die Bedrohungsakteure seitlich und aggressiv. Eine Kompromittierung einer mit der Domäne verbundenen Administrator-Workstation könnte schließlich zu einer Backup-Infrastruktur führen, wenn Segmentierung und Zugriffskontrolle nicht einwandfrei sind. Herkömmliche Bewertungen simulieren selten, was passiert, wenn der Angreifer von der Personalabteilung über die IT-Abteilung zur Infrastruktur wechselt. Es gibt keinen Test der Eindämmung (oder des Fehlens einer solchen).

Stresstests

Es ist eine Sache, eine Test-VM in einer kontrollierten Umgebung wiederherzustellen. Eine andere Sache ist es, kritische Systeme mit beschädigten Backups, kompromittierten Anmeldedaten und Führungskräften, die alle fünf Minuten Antworten verlangen, wiederherzustellen. Herkömmliche Bewertungen fragen: "Gibt es einen Plan?", während sie fragen sollten: "Kann Ihr Team diesen Plan ausführen, während die Hälfte Ihrer Mitarbeiter ausgesperrt ist und die Angreifer noch aktiv sind?"

Annahmen

Die Leute sind oft sehr zuversichtlich, was die Erfolgsquote bei der Datensicherung angeht. Das sollten sie aber nicht sein. In einem Bericht steht vielleicht, dass 90 % der Backups erfolgreich abgeschlossen werden. Aber wer überprüft die Integrität und Wiederherstellbarkeit? Beschädigte ACLs, falsch ausgerichtete Agenten und Fehler auf Anwendungsebene können diese "erfolgreichen" Backups unbrauchbar machen.

Fazit: Die meisten Beurteilungen dienen dazu, das zu bestätigen, was man bereits zu wissen glaubt. Sie bieten Komfort, nicht Klarheit. Sie stellen keine Annahmen in Frage. Sie bilden keine Bedrohungsakteure ab. Und sie spiegeln nicht die Komplexität eines realen Ransomware-Angriffs wider.

Was passiert bei einer Sicherheitsverletzung?

Es hält sich hartnäckig der Mythos, dass Ransomware-Angriffe isoliert, offensichtlich und mit einer sauberen Wiederherstellung leicht zu beheben sind.

Wir haben mehr als 300 Wiederherstellungen von Ransomware durchgeführt und können Ihnen sagen, dass das nicht stimmt.

Unserer Erfahrung nach sind Ihre Backups ein Hauptziel. Bedrohungsakteure sind nicht nur daran interessiert, Daten zu verschlüsseln. Sie wollen die Wiederherstellung lahmlegen. Sie wissen, dass der schnellste Weg zu Geld führt, wenn sie Ihnen keine andere Wahl lassen. Deshalb ist die Backup-Infrastruktur eine der ersten Anlaufstellen für sie.

Selbst unter idealen Bedingungen ist die Wiederherstellung einer Produktionsumgebung kein simpler Knopfdruck. Es ist ein Prozess, der die Segmentierung des Netzwerks, das Zurücksetzen von Anmeldeinformationen, die Eindämmung von Malware, den Wiederaufbau der Infrastruktur und die Validierung jedes wieder online geschalteten Systems umfasst. Wenn dann noch Ransomware hinzukommt, haben Sie es mit unvollständigen oder fehlgeschlagenen Backups, unklaren RPO/RTO-Entscheidungen, fehlenden Runbooks, verbrannten Anmeldeinformationen und Druck aus dem gesamten Unternehmen zu tun - von der Geschäftsführung über die Rechtsabteilung und PR-Abteilung bis hin zu Führungskräften und Aufsichtsbehörden.

Ihr "ausgereifter Plan" könnte schon in der zweiten Stunde zusammenbrechen.

Sie brauchen eine andere Art der Bewertung

Typische Bewertungen sind zwar manchmal nützlich, berücksichtigen aber selten die kritischen Zusammenhänge zwischen Richtlinien, Produkten, Mitarbeitern und Prozessen. Sie können Unternehmen nicht dabei helfen, sich auf Ransomware-Ereignisse vorzubereiten, da sie auf Annahmen über die Überlebensfähigkeit und Unveränderlichkeit von Daten und die MTTR (Mean Time to Recover) basieren, anstatt eine realistische Einschätzung darüber vorzunehmen, wie die Infrastruktur und die Backups eines Unternehmens einen Angriff durch moderne Bedrohungsakteure überstehen werden.

Aus diesem Grund haben wir unser Ransomware Backup & Resiliency Assessment (RBRA) so konzipiert, dass es sich grundlegend unterscheidet.

Das RBRA wurde vom Athena7-Bataillon unter Fenix24 entwickelt und bereitgestellt und stellt das traditionelle Bewertungsmodell auf den Kopf. Auf der Grundlage unserer praktischen Erfahrungen als weltweit führende Experten für die Wiederherstellung von Ransomware analysieren wir Ihre Backup-Konfigurationen und Ihre Widerstandsfähigkeit durch "Shoulder-Surfing" und automatisierte Mittel, damit wir Ihnen sagen können, wie die Backups und die Infrastruktur Ihres Unternehmens angesichts der heutigen Bedrohungsakteure funktionieren werden. Wir orientieren uns bei unseren Bewertungen am Verhalten von Ransomware-Angreifern. Es handelt sich um eine praktische Bewertung, die auf Tausenden von Stunden in realen Umgebungen nach einem Einbruch basiert.

Der Schwerpunkt liegt auf Ihrer Überlebensfähigkeit und Erholungsfähigkeit.

Der Schlüssel zur Widerstandsfähigkeit eines Unternehmens liegt letztlich darin, zu verstehen, was einen Angriff überleben wird und wie lange es dauern wird, bis Sie sich wieder erholt haben. Um dies zu verstehen, bewerten wir:

• Wie viele Ihrer Daten werden überleben? Selten sind es 100 %, selbst wenn Lösegeld gezahlt wird.
• Werden Ihre Backups überleben/verwendbar sein? Unseren Informationen zufolge überleben 80 % der Backups, die als unveränderlich gelten, nicht.
• Wird Ihre Infrastruktur, einschließlich AD, überleben? Dies ist erforderlich, um wiederhergestellte Daten zu rehydrieren und die Identität zu validieren.
• Verfügen Sie über ausreichend Speicherplatz, Bandbreite und Konnektivität? Dies ist für eine schnelle Wiederherstellung erforderlich.

Das RBRA deckt die Lücken auf, die Sie bei einem echten Angriff lahmlegen würden, solange noch Zeit ist, sie zu schließen. Wir gehen auf jede der oben genannten Fragen ein, um Ihnen eine realistische Einschätzung zu geben, welche Daten und welche Anwendungen überleben und nutzbar sein werden, und um Ihnen einen mehrstufigen Zeitplan für Ihre Wiederherstellung anzubieten.

Prüfen Sie Ihre Widerstandsfähigkeit, bevor Angreifer es für Sie tun

Kein Bedrohungsakteur wurde jemals durch eine Checkliste zur Einhaltung der Vorschriften aufgehalten.

Es ist ihnen egal, wie oft Sie Backups durchführen oder wie gut Ihre Wiederherstellungsdokumentation organisiert ist. Und schon gar nicht, wie sicher Sie sich sind, dass Sie Ihre Daten wiederherstellen können.

Was sie interessiert, sind Zugang, Privilegien und Geschwindigkeit. Wenn Ihre Systeme ihnen die Möglichkeit bieten, Backups zu zerstören, Daten zu verschlüsseln und Ihren Betrieb lahmzulegen, werden sie diese Möglichkeit nutzen. Und sie werden es wahrscheinlich schneller tun, als Ihr Team darauf vorbereitet ist. Der CrowdStrike Global Threat Report 2025 fand heraus, dass die Ausbruchszeiten (wie lange ein Angreifer braucht, um sich seitlich durch Ihr Netzwerk zu bewegen) auf durchschnittlich 48 Minuten gesunken sind. Die schnellste Ausbruchszeit, die sie sahen, betrug nur 51 Sekunden.

Aus diesem Grund haben wir den RBRA entwickelt: um Ihre Backup- und Wiederherstellungsstrategie gegen genau die Taktiken zu testen, die Ransomware-Angreifer in der Praxis einsetzen. Keine Hypothesen. Keine Checkbox-Übungen. Nur ein klarer Blick darauf, wo Sie verwundbar sind und was Sie tun müssen, um dies zu beheben.

Wenden Sie sich noch heute an Fenix24, um zu erfahren, wie das Ransomware Backup & Resiliency Assessment Ihnen helfen kann, sich auf einen Ransomware-Angriff vorzubereiten.