[datensicherheit.de, 01.08.2025] Mittels der Datenschutz-Grundverordnung (DSGVO) hat die Europäische Union (EU) offensichtlich den regulatorischen Druck auf IT- und Sicherheitsprozesse bereits spürbar erhöht. Die neuen NIS-2-Richtlinien verschärften nun diese Tendenz zu mehr „Compliance“ Kritischer Infrastrukturen (KRITIS) und digitaler Prozesse. Organisationen, welche bereits DSGVO-konforme Strukturen etabliert haben, scheinen nun klar im Vorteil zu sein. Ihre Anstrengungen rund um Datenschutz werden nämlich zu De-Facto-Vorarbeiten, um die neuen Anforderungen und Maßnahmen zur Risikoprävention schneller erfüllen zu können. Ricardo José Garrido Reichelt, „Principal Security Technologist EMEA, Office of the CTO“ bei Commvault, erläutert in seiner aktuellen Stellungnahme, welche bestehenden Prozesse sich fortführen lassen, welche neuen Pflichten auf Unternehmen zukommen und wie sich die beiden „Compliance“-Projekte sinnvoll miteinander verzahnen lassen.

Foto: Commvault

Ricardo José Garrido Reichelt: Haben Unternehmen bei DSGVO-Verstößen 72 Stunden Zeit, fordern die NIS-2-Vorgaben die Information des BSI über gravierende Cybersicherheitsvorfälle innerhalb eines Tages

Mit NIS-2 führt die EU den Kurs IT-Prozesse strenger zu regulieren resolut weiter

Reichelt ruft in Erinnerung: „Sieben Jahre ist es her, dass die DSGVO in Kraft getreten ist. Damit startete 2018 der Trend, IT-Prozesse strenger zu regulieren.“ Mit NIS-2 führe die EU diesen Kurs resolut weiter; die Bundesregierung arbeite an der Umsetzung und habe erst jüngst einen Referentenentwurf des Bundesministeriums des Innern (BMI) von Ende Juni 2025 bekanntgegeben.

• „Auch wenn offen ist, wie NIS-2 hierzulande ein Gesetz wird, das Ziel ist bereits klar: Die Infrastrukturen und digitalen Prozesse in Unternehmen sollen widerstandsfähiger sein. Ein langer Weg und Vorarbeit lohnen sich.“ Wer die Maßgaben der DSGVO schon jetzt entschlossen und zielstrebig verfolgt hat, um Datensicherheit und Datenschutz zu berücksichtigen, habe es leichter, wenn NIS-2 auf die Agenda rückt.

Um die Konsequenzen erfolgreicher Angriffe souveräner abzufedern und effektiver zu beseitigen, müsse Cybersicherheit eine größere Rolle spielen. Der Nachholbedarf sei enorm angesichts der kontinuierlichen Cyberattacken der jüngsten Zeit, welche Datenverluste, große Schäden und sogar Totalausfälle verursachten, auch große Unternehmen träfen und in Einzelfällen sogar in ein Insolvenzverfahren trieben.

Um NIS-2 zum Durchbruch zu verhelfen, ist ebenfalls ein Bußgeldkonzept geplant

Immerhin, so Reichelt: „Dank DSGVO verwenden Datenschutzverantwortliche in der Wirtschaft personenbezogene Daten inzwischen mit mehr Bedacht – nicht zuletzt, da Verstöße zu einer kostspieligen Angelegenheit geworden sind.“ Seit die DSGVO in Kraft getreten ist, verhängten Richter laut der „GDPR Fines and Data Breach Survey“ der Wirtschaftskanzlei DLA Piper Sanktionen in einer Höhe von insgesamt 5,88 Milliarden Euro – in Deutschland seien es allein 2024 über 89,1 Millionen Euro gewesen.

• Um nun NIS-2 zum Durchbruch zu verhelfen, planten die Verantwortlichen ein entsprechendes Bußgeldkonzept. Darüber hinaus sollten Unternehmensinhaber und Geschäftsführer mit ihrem privaten Vermögen bürgen. „Deshalb arbeiten manche Organisationen bereits seit einiger Zeit an der NIS-,Compliance’ und haben sich externe Hilfe ins Boot geholt.“

Experten von KPMG wüssten, dass Unternehmen mit verschiedensten Schwierigkeiten zu kämpfen hätten, da die Vorschrift viel Raum für Interpretation lasse und nur für ein individuelles Unternehmensumfeld zu realisieren sei. „Zu sehr kommt es auf Details an: Welche Organe sind verantwortlich? Wie geht man mit Meldepflichten bei Angriffen um? Wer stellt im Ernstfall die für den Betrieb notwendigen Technologien, Werkzeuge und Ressourcen bereit?“

NIS-2 setzt strengere Maßstäbe zur Meldung von Vorfällen

NIS-2 lege strengere Maßstäbe an, Vorfälle zu melden. Reichelt erläutert: „Haben Unternehmen bei Verstößen gegen die DSGVO 72 Stunden Zeit, fordern die NIS-2-Vorgaben die Information des Bundesamtes für Sicherheit in der Informationstechnik (BSI) über gravierende Cybersicherheitsvorfälle innerhalb eines Tages.“ Notwendige Abläufe sollten also seit dem Inkrafttreten der DSGVO vorhanden sein. „Wer aber die einschlägigen Nachrichtenwege schon vordefiniert hat, tut sich jetzt leichter, diese noch weiter zu beschleunigen.“

• Gleichermaßen wichtig sei es aber zu wissen, welche Informationen über einen Schaden bereitzustellen sind. „Dafür sind automatisierte Prozesse nötig, mit denen IT-Verantwortliche nachvollziehen können, welche Daten im Unternehmen überhaupt vorhanden sind.“ Die zweite Frage, die es zu beantworten gelte, lautet: „Welche Informationen sind für die NIS-2-Compliance zu kategorisieren?“

Reichelt unterstreicht: „Nur wer unverzüglich in die Analyse des Schadens übergehen kann, kann die knappe Meldepflicht einhalten und relevante sowie notwendige Informationen wahrheitsgetreu liefern.“

NIS-2 setzt auch kontinuierliches Testen der Wiederherstellung von Systemen und Daten auf die Agenda

Während die DSGVO eine Datenschutz-Folgenabschätzung (DSFA) für Hochrisikoverarbeitungen beanspruche, erwarte NIS-2 ein Risikomanagement für die IT-Infrastruktur, „wie etwa Risikoanalysen und Strategien für die Beständigkeit der Arbeitsabläufe“. Dafür könnten Unternehmen für die DSGVO implementierte Analyseprozesse verwenden und gleichermaßen ausbauen.

• „Verantwortliche für die IT-Sicherheit sollten etwa ihren Datenbestand auf Gefahren überprüfen. Damit sie ihre produktive IT dabei möglichst wenig beeinträchtigen, rentiert es sich, Sicherungskopien zu überprüfen.“ Auch hierbei ließen sich Auffälligkeiten als Alarmzeichen eines beginnenden Angriffs bereits frühzeitig erkennen und unterbinden.

NIS-2 rufe aber auch das kontinuierliche Testen der „Recovery“ von Systemen und Daten auf die Agenda. „Das Training der Interaktion aller Mitwirkenden kann hierfür in einem digitalen ,Cleanroom’ als einer wirklichkeitsgetreuen Teststruktur anhand der relevanten Assets erfolgen“, erläutert Reichelt. Ergebnis sei dann ein realistisches Zeugnis der „Recovery“-Strategie und ihrer Abläufe.

NIS-2 erfordert, unentbehrliche Prozesse, Anwendungen und Umgebungen für den Notbetrieb zu identifizieren

Essenziell sei es zudem, auch während eines erfolgreichen Angriffs arbeitsfähig zu bleiben – oder es so schnell wie möglich wieder zu werden. „Ein ,Minimum-Viabel-Company’-Ansatz hilft, im Vorfeld genau zu bestimmen, welche Prozesse, Anwendungen und Umgebungen für den Notbetrieb unentbehrlich sind.“

• Im Idealfall träfen die Verantwortlichen in jeder Abteilung eine für ihre spezifischen IT- und Geschäftsprozesse relevante Entscheidung. Ein daraus resultierendes, an einem separaten Ort manipulationsgeschützt gesichertes Notfallpaket sei dann die Basis, um Daten, Applikationen und Systeme in einem digitalen Reinraum sauber wiederherzustellen.

„Gemeinsam arbeiten IT-Ops und Sec-Ops daran, die Produktions-IT gehärtet neu aufzuspielen – und parallel den Angriff, betroffene Informationen sowie die ausgenutzten und existierenden Hintertüren zu untersuchen und zu schließen“, führt Reichelt aus.

DSGVO-Konformität als Vorarbeit für NIS-2 verstehen

Viele Prozesse, die IT-Verantwortliche aus Anlass der DSGVO etabliert haben, ließen sich auch für die NIS-2-„Compliance“ weiterführen:

• Weiterentwicklung der „Governance“-Organisation
  Die DSGVO habe den Datenschutzbeauftragten und andere „Governance“-Strukturen eingeführt. Nun verlange NIS-2 eindeutige Zuständigkeiten für Cybersicherheit – so verpflichtend die Position eines „Chief Information Security Officers“ (CISO) oder vergleichbarer Funktionsträger. Unternehmen könnten die im Rahmen der DSGVO etablierten „Governance“-Strukturen adaptieren oder ausbauen.
• Weiterführung der Sichereitsmaßnahmen
  Die DSGVO fordere unter anderem Standards zu Pseudonymisierung, Verschlüsselung, Authentifikation und Zugangskontrolle. NIS-2 erwarte vergleichbare, aber eher operativ eingestellte Cybersicherheitschecks. Viele der DSGVO-Sicherheitskontrollen realisierten die NIS-2-Vorgaben vollständig oder zumindest zum Teil. So genüge es häufig bereits, vorhandene IT-Sicherheitsmaßnahmen auszubauen.
• Umfassende Dokumentation der Arbeit mit personenbezogenen Daten
  DSGVO-Meldungen müssten dokumentieren, wie Unternehmen Daten verarbeiten und Datenschutz-Folgebewertungen liefern. NIS-2 verlange Belege über Vorfallreaktionen, Sicherheitsrichtlinien und Auditergebnisse. Verantwortliche für die Datensicherheit könnten die für eine DSGVO-„Compliance“ aufgebauten zentralisierten Dokumentationssysteme zum Zweck der NIS-2-Konformität weiterbenutzen und ausbauen.

NIS-2 bietet große Chance, Sicherheitslevel insgesamt zu steigern

Verantwortliche hätten mit NIS-2 viel zu tun. „Doch wer sich bereits für die DSGVO gut aufgestellt hat, kann sich jetzt die erbrachten Vorarbeiten zunutze machen!“

• NIS-2 biete eine große Chance, dass der Sicherheitslevel insgesamt ansteige. „Wer seine Cyberresilienz dadurch stärkt, erarbeitet sich zudem einen klaren Wettbewerbsvorteil!“

Bisher seien Cyberangriffe Alltag. „NIS-2-Compliance mit geprüften und getesteten Strukturen und Prozessen kann es erreichen, echte Cyberresilienz zur Gewohnheit zu machen“, gibt Reichelt abschließend zu bedenken.

Weitere Informationen zum Thema:

Commvault
What Commvault Does for Our Customers / Commvault gives you an unfair advantage to enable resilience in the face of ransomware and other advanced threats in today’s hybrid world – and tomorrow’s

Industrie.de, 27.01.2025
Datenschutzgrundverordnung: Europaweit 1,2 Milliarden Euro DSGVO-Bußgelder in 2024 verhängt

KPMG
Network and Information Systems Directive (NIS2) / What NIS2 means for business: Practical insights from KPMG’s global work

datensicherheit.de, 15.07.2025
Erfahrungsbericht WienIT: Reduzierung des Backup-Datenspeichers um 50 Prozent und NIS-2-Konformität / WienIT sorgt im Hintergrund dafür, dass die IT-Infrastruktur der Wiener Stadtwerke-Gruppe nebst wichtiger Back-Office-Prozesse und Services möglichst reibungslos zur Verfügung steht

datensicherheit.de, 07.07.2025
Neuer ISACA-Leitfaden: Navigationshilfe für Unternehmen durch NIS-2- und DORA-Vorschriften / Selbst nach der ersten Jahreshälfte 2025 haben viele Unternehmen ihre Verpflichtungen im Rahmen der NIS-2-Richtlinie und der DORA-Verordnung noch nicht vollständig verstanden

datensicherheit.de, 06.07.2025
NIS-2: Vereinheitlichung der Meldewege für IT-Sicherheitsvorfälle und Datenpannen gefordert / Die unabhängigen Datenschutzaufsichtsbehörden der Länder sprechen sich für deutliche Entlastung der Verantwortlichen bei Erfüllung der NIS-2-Meldepflichten aus

datensicherheit.de, 06.07.2025
NIS-2: DAV-Forderung nach Einbindung der Cloud-Anbieter / Mit der NIS-2-Richtlinie soll ein hohes gemeinsames Cybersicherheitsniveau in der Europäischen Union EU geschaffen werden

datensicherheit.de, 08.02.2025
NIS-2-Umsetzung: Gesetzgebungsverfahren offenbar vorerst gescheitert / 5 Schritte zur Vorbereitung auf deutsche NIS-2-Umsetzung jetzt für Unternehmen entscheidend – Entscheider sollten ihre neue Verantwortung ernst nehmen

[datensicherheit.de, 27.06.2025] Angesichts zunehmender Bedrohungen stehen CISOs (Chief Information Security Officers) immer mehr unter Druck, die Sicherheit ihres Unternehmens ganzheitlich neu zu denken: Wo nämlich technische Schutzmaßnahmen an ihre Grenzen stoßen, wird die generelle Cyberresilienz zum entscheidenden Erfolgsfaktor. Wie nun Unternehmen in fünf Stufen ihre eigene Cyberesilienz stärken können, erläutert Javier Dominguez, CISO von Commvault, in seiner aktuellen Stellungnahme:

Foto: Commvault

Javier Dominguez: In Sachen Cybersicherheit gleicht kein Unternehmen dem anderen

Zwangsläufige Lücken in der Defensive erfordern vor allem ausgereifte und belastbare Cyberresilienz

Der CISO von heute steht demnach vor grundlegenden und kontinuierlich wachsenden Herausforderungen, welche maßgeblich für die Sicherheit und Stabilität des Unternehmens sind.

• „Cyberangriffe mit erpresserischem Hintergrund erschweren seinen Arbeitsalltag – da Cybersicherheit trotz aller Maßnahmen keinen vollständigen Schutz gewährleisten kann.“

Zwangsläufige Lücken in der Defensive erforderten vor allem eines: „Eine ausgereifte und belastbare Cyberresilienz und eine Evolution von Datensicherheit: weg von Einzelmaßnahmen hin zu Sicherheit als Design-Grundsatz für die IT!“

Viele Unternehmen fühlen sich nicht ausreichend für eine sich zuspitzende Situation gerüstet

CISOs tragen laut Check Point immer mehr Verantwortung, da Cyberangriffe Rekordzahlen erreichen: „Die Studie ergab, dass die Zahl der globalen Cyberangriffe im dritten Quartal 2024 im Vergleich zum Vorjahr um beeindruckende 75 Prozent gestiegen ist.“

• Es braue sich also immer mehr zusammen, und so scheine es nur eine Frage der Zeit zu sein, bis die Krise in der eigenen Infrastruktur ankomme.

„Dennoch fühlen sich viele Unternehmen nicht ausreichend für diese sich zuspitzende Situation gerüstet“, so Dominguez. In einer aktuellen Commvault-Umfrage hätten nur 13 Prozent der befragten Unternehmen angegeben, die nötige Cybersicherheitsreife zu haben, um einen Angriff effektiv abzuwehren und sich davon erholen zu können.

Einige Unternehmen haben sich bereits auf den Ernstfall vorbereitet und proben ihn regelmäßig

Dominguez reflektiert: „Aber wieso sind manche Unternehmen in der Lage, die Wiederherstellung ihrer Systeme und Daten viel schneller umzusetzen als andere? Sie akzeptieren das Scheitern ihrer Sicherheitsarchitektur als reale Option und etablieren entsprechende Maßnahmen!“

• Ihre Sicherheitstools würden aktuelle Risiken frühzeitig erkennen und ermöglichten es den IT-Teams, gemeldete Vorfälle strukturiert anhand definierter Runbooks, klarer Rollenverteilungen und etablierter Prozesse zu bearbeiten.

Genauso unerlässlich sei eine zuverlässige saubere „Dark Site“ oder ein sekundäres Backup-System in einer isolierten Umgebung, „in der Immutable-Kopien kritischer Daten abgelegt sind“, sowie fortlaufende Tests der Cyber-Recovery-Praktiken, um die Prozesse funktionstüchtig zu halten. Manche Unternehmen hätten sich also auf den Ernstfall vorbereitet und probten ihn regelmäßig.

Reifegrad der Cyberresilienz lässt sich typischerweise anhand von fünf Stufen ermitteln

Dominguez unterstreicht: „CISOs sind dafür zuständig, solche Maßnahmen umzusetzen und routinemäßig zu prüfen, wie effizient sie greifen.“ Deren Autorität und Kompetenz variiere jedoch erheblich. Auf einer niedrigen Reife-Ebene liege die Sicherheit möglicherweise in den Händen von Mitarbeitern, welche lediglich Anweisungen entgegennähmen, während CISOs in hochentwickelten Strukturen eng mit dem Vorstand kooperierten und sicherstellten, „dass Cybersicherheit strategisch im gesamten Unternehmen verankert ist“. Der Reifegrad der Cyberresilienz lasse sich typischerweise anhand von fünf Stufen ermitteln:

1. Stufe: Sicherheit nach dem Häkchenprinzip
   „In Unternehmen, die in punkto Cybersicherheit eher unreif sind, sind die Sicherheitsverantwortlichen selten Entscheidungsträger.“ Die meisten dieser Unternehmen hätten keinen eigenen CISO. Stattdessen werde die Cybersicherheit von einem Teil des IT-Teams betreut.
   Diese Teams seien aber oft mit den täglichen Routineaufgaben ausgelastet, wie beispielsweise die Konfiguration von Servern, die Installation von Software-Updates und die Einrichtung von Laptops.
2. Stufe: Der richtige Zeitpunkt für einen CISO
   Mit dem Wachstum eines Unternehmens vergrößere sich auch seine Angriffsfläche. Mehr Beschäftigte, Kunden, Partner und Lieferanten bedeuteten zusätzliche Prozesse und Anwendungen, welche wiederum mehr Schwachstellen für Angreifer schafften. An diesem Punkt stellten viele Unternehmen einen expliziten Cybersicherheitsexperten (CISO) ein.
   Diese Position werde mit der Erwartung verknüpft, dass der Stelleninhaber einen Teil seiner Zeit gemeinsam mit den Entwicklungsmitarbeitern in die Programmierung investiere. Für den CISO bleibe oft wenig Spielraum für die Planung und Umsetzung einer übergreifenden Cyberstrategie. „IT und Sicherheit sollten effektive Kommunikationskanäle etablieren, um sicherzustellen, dass die Sicherheitsziele gemeinsam vereinbart und eine Kluft zwischen den beiden Funktionen vermieden wird.“ Eine regelmäßige Interaktion zwischen CISO und CIO fördere eine produktive Zusammenarbeit ihrer Teams.
3. Stufe: Mehr als ein technischer CISO
   Auf dieser Reifestufe werde klar, dass der CISO mehr Autonomie benötige, um Sicherheitskontrollen und -verfahren unternehmensweit zu bewerten und einzusetzen. CISOs brauchten die Befugnis, umfassendere Maßnahmen zum Schutz von Bereichen wie der „Cloud“-Sicherheit zu implementieren und den Zugriff auf alle Unternehmenssysteme mithilfe von Zugriffsmanagementlösungen zu kontrollieren.
   Auch wenn andere Führungskräfte Bedenken hinsichtlich der Sicherheitsinitiativen äußern würden, welche möglicherweise die Markteinführungszeit verlangsamten, müssten Führungskräfte den CISO unterstützen und wichtige neue Cybersicherheitsinitiativen fördern. „Obwohl IT und Sicherheit nun getrennte Teams sind, sollten CIO und CISO weiterhin eng zusammenarbeiten, um IT-Ziele mit Sicherheitsanforderungen in Einklang zu bringen.“ Diese kontinuierliche Abstimmung sei für die Sicherheit und einen reibungslosen Geschäftsbetrieb unerlässlich.
4. Stufe: Der bevollmächtigte CISO
   Bei Unternehmen mit hohem Resilienzgrad nehme der CISO an strategischen Meetings mit dem Vorstand teil und berate zu Cybersicherheitsrisiken, Resilienz und Wiederherstellungsfähigkeiten. „In Zusammenarbeit mit dem Führungsteam ermittelt der CISO proaktiv die Risikotoleranz des Unternehmens und erstellt Analysen, um Veränderungen im Risikoprofil des Unternehmens aufzuzeigen.“
   Darüber hinaus habe er die passende Strategie und Sicherheitsrichtlinien zu entwickeln, um die vereinbarten Toleranzen einzuhalten. Auf dieser Stufe berieten CISOs den Vorstand auch über die Vorteile bzw. Risiken neuer Technologien wie KI. „Cybersicherheit ist ein fester Bestandteil der strategischen und operativen Planung!“
5. Stufe: Sicherheit durch Design
   In Unternehmen, welche die höchste Stufe erreichen, sei Sicherheit fest in der Organisation verankert. Nach den Grundsätzen von „Secure by Design“ hielten sich die Beschäftigten unternehmensweit an Sicherheitsprozesse und -richtlinien.
   Cybersicherheit sei damit die Grundlage aller Unternehmensaktivitäten. „Kontinuierliche Tests der Unternehmenssysteme werden erwartet, und die Teams sind gut in der Vorfalls- und Datenwiederherstellung geübt.“

Analyse des Reifegrads hilft auch, Lücken bei Kompetenzen und Rollenverständnis aufzudecken

„In Sachen Cybersicherheit gleicht kein Unternehmen dem anderen“, betont Dominguez. Jedes habe seine eigene technische Infrastruktur, Arbeitsweise und strategischen Ziele. Daher sei es nicht einfach, die Geschwindigkeit des Fortschritts im Cybersicherheits-Reifezyklus zu berechnen.

• Durch das Verständnis der Merkmale der einzelnen Stufen könnten CIOs und Führungskräfte jedoch die Entwicklung interner Kandidaten oder die Rekrutierung eines CISO mit den richtigen Fähigkeiten und Qualitäten für ihre spezifischen Bedürfnisse besser aufeinander abstimmen.

„Dies trägt dazu bei, einen Reifegrad zu erreichen, der der Risikotoleranz der eigenen Organisation entspricht.“ Die Analyse des Reifegrads helfe auch, Lücken bei Kompetenzen und dem Rollenverständnis zu finden. Dominguez abschließend: „Wer diese Lücken findet, kann sie schließen und somit eine höhere Cyberresilienz erreichen!“

Weitere Informationen zum Thema:

CHECK POINT, Check Point Team, 18.10.2024
A Closer Look at Q3 2024: 75% Surge in Cyber Attacks Worldwide

Commvault, 24.06.2024
New Commvault Survey Uncovers Five Capabilities that Helped Companies Recover Faster from Cyberattacks / Conducted in conjunction with GigaOm, global survey finds resiliency markers impact confidence, preparedness, and recoverability

datensicherheit.de, 08.06.2025
Jährlich droht die Ransomware: eco fordert konsequente Cyberresilienz-Strategien / Laut „Bundeslagebild Cybercrime 2024“ des BKA bleibt Ransomware die größte Bedrohung für Unternehmen und KRITIS

datensicherheit.de, 09.04.2025
Cyber-Resilienz statt bloße Cyber-Resistenz: 5 Tipps für mehr Widerstandsfähigkeit gegenüber -angriffen / Cyber-Angriffe sind für Unternehmen und Organisationen zur alltäglichen Bedrohung geworden

datensicherheit.de, 31.03.2025
Cyberresilienz: Empfehlungen für die Entscheiderebene / Die Führungsebene muss sowohl Compliance-Anforderungen als auch die Sicherheit des eigenen Unternehmen im Auge haben

datensicherheit.de, 19.02.2025
2025 als Jahr gute IT-Security-Vorsätze: Vier CISO-Prioritäten auf der Agenda / 44 Prozent der CISOs machtlos – zwischen 2023 und 2024 waren sie nicht in der Lage, Sicherheitsvorfälle rechtzeitig zu erkennen

datensicherheit.de, 25.09.2023
Handbuch für CISOs: Check Point gibt 8 Tipps zur Stärkung der Cyber-Resilienz / Die Tipps reichen von KI-gesteuerter Bedrohungsabwehr in Echtzeit bis hin zu verständlicher Kommunikation mit der Vorstandsebene

[datensicherheit.de, 30.03.2022] Commvault nimmt den „World Backup Day“ am 31. März 2022 zum Anlass, die Bedeutung der Datensicherung im Unternehmensumfeld zu betonen – angesichts einer sich verschärfenden Bedrohungslandschaft und der zunehmenden Heterogenität der IT-Infrastrukturen von Organisationen ein umso drängenderes Thema. Für die Verantwortlichen in den Unternehmen sei der alljährliche „World Backup Day“ immer eine gute Gelegenheit, um sich über die eigenen Datensicherungsvorkehrungen Gedanken zu machen – „und diese Überlegungen sollten auch Daten miteinschließen, die sich nicht im eigenen Rechenzentrum befinden“. Komme man dabei zu dem Schluss, dass die eigene Organisation hierbei Defizite aufweist, sei es höchste Zeit zu handeln. Denn ansonsten drohe schlimmstenfalls der Verlust wertvoller Unternehmensdaten und folglich ein monetärer Schaden.

Gründe für Datenverlust vielfältig

Mit dem alljährlich am 31. März stattfindenden „World Backup Day“ solle die Öffentlichkeit regelmäßig auf die Wichtigkeit von Datensicherungsmaßnahmen aufmerksam gemacht werden. Neben Privatanwendern seien hiermit vor allem Unternehmen aufgefordert, ihre Vorkehrungen im Falle eines Datenverlustes zu überdenken.

Ob bedingt durch ausgefallene Hardware, Naturkatastrophen, menschliches Versagen oder Ransomware-Attacken – die Gründe für Datenverlust seien vielfältig. Umso wichtiger sei es, entsprechende Maßnahmen zu ergreifen, um im Notfall Daten rasch wiederherstellen zu können.

„Der überwiegende Teil deutscher Unternehmen verfügt zwar über Datenschutzstrategien, aber nur allzu oft wird hier ein in die Jahre gekommener Ansatz angewendet und es wird auf Lösungen zurückgegriffen, die modernisiert werden müssten. Viele Organisationen versuchen, ihre Bestandslösungen irgendwie für die sich verändernde Bedrohungslandschaft fit zu machen, doch dieses Vorgehen entfaltet lediglich eine begrenzte Wirkung und bietet oft nur unzureichenden Schutz für die Unternehmensdaten“, warnt Elke Steinegger, „Area Vice President“ und „General Manager“ bei Commvault Deutschland, und erläutert:

„Um sicher zu sein, dass die aktuellen Strategien der heutigen Zeit Rechnung tragen, sollten Mittel für Investitionen in neue Datensicherungslösungen bereitgestellt werden.“ Aktuell würden diese neuen Technologien von den Unternehmen noch nicht überall eingesetzt, „allerdings gehe ich davon aus, dass sich dies mit der Zeit allmählich ändern wird“. Viele hinkten der Entwicklung hinterher, weil der Markt selbst noch modernisiert werde. Steinegger betont: „Wir bewegen uns in die richtige Richtung, aber es gibt noch viel zu tun.“

Schnell und vollständig verlorengegangene Daten wiederherstellen können

Ferner gibt Steinegger aus aktuellem Anlass Tipps, worauf Unternehmen beim Thema Backup besonders achten müssten: „Der wichtigste Aspekt in Sachen Datensicherung besteht darin, wie schnell und vollständig verlorengegangene Daten wiederhergestellt werden können, wenn es zum ,Worst Case‘ kommt.“ Um sicherzustellen, dass diese Wiederherstellung schnell und reibungslos erfolgen kann, müssten Unternehmen die folgenden Punkte beachten:

Auf dem neuesten Stand bleiben!
Es müsse sichergestellt werden, „dass die Datensicherungsplattform immer auf dem neuesten Stand ist“. Auch sollten dazu neue von Anbietern auf den Markt gebrachte Funktionen implementiert werden, „um zu verhindern, dass bestimmte Daten durchs Raster einer bestehenden Lösung fallen“.

Mehrschichtiger Schutz!
„Wie beim Zwiebelprinzip für Winterkleidung, wenn es kalt ist, braucht es auch in puncto Datensicherung verschiedene Sicherheitsebenen!“ Die Einführung eines Zero-Trust-Ansatzes zur Stärkung der Sicherheit, die Beschränkung des Zugangs von Mitarbeitern auf Bereiche, die diese für ihre Arbeit benötigen, die Verwendung von Lösungen mit speziell abgesicherten Bereichen für die kritischsten Daten und die Nutzung einer Multifaktor-Authentifizierung seien nur einige Beispiele dafür, was Unternehmen tun könnten, um ihre Daten besser zu schützen.

Es kommt auf das Testen an!
IT-Verantwortliche müssten auf ihre Datensicherungslösungen vertrauen können, „indem sie deren Fähigkeit, Daten wiederherzustellen und Angriffsversuche abzuwehren, umfassend testen“.

Weitere Informationen zum Thema:

datensicherheit.de, 22.03.2022
Ransomware-Attacken: Wirkung von Backups oft überschätzt / Wiederherstellung nach Ransomware-Vorfall kann sehr lange dauern

datensicherheit.de, 17.04.2020
Ransomware-Angriffe: Backups allein nicht ausreichend / Milliardengeschäft und lukrativste Einnahmequellen für Cyberkriminelle