Rich Greene, Certified Instructor beim SANS Institute
Das größte Problem bei Backups im Jahr 2026 ist nicht, dass Unternehmen keine haben, sondern dass sie diese nie getestet haben. Die Erkenntnis beruht nicht zuletzt auf einer Statistik aus dem Unified Backup Survey Report 2025: Über 60 Prozent der Unternehmen glauben, dass sie sich innerhalb weniger Stunden von einem Ausfall erholen können, aber nur 35 Prozent schaffen das tatsächlich. Das ist keine Lücke, das ist eine Schlucht, und die Menschen stehen auf der falschen Seite des Abgrunds.
Unternehmen haben sich zu sehr daran gewöhnt, das Kästchen „Backup“ anzukreuzen, ohne jemals die schwierigere Frage zu stellen, ob sich die Daten wiederherstellen lassen. Denn ein Backup, das man noch nie wiederhergestellt hat, ist kein Plan, sondern eine Hoffnung, und das ist keine Strategie.
Zum Thema Backup zeichnen die Daten folgendes Bild:
- 76 Prozent der Unternehmen benötigen mehr als 100 Tage, um sich vollständig von einer Sicherheitsverletzung zu erholen (IBM/Ponemon 2025).
- 87 Prozent der IT-Fachleute haben im vergangenen Jahr einen Datenverlust bei SaaS-Diensten erlebt, und die Hauptursache waren nicht Hacker, sondern menschliches Versagen (backupify 2025).
Und hier ist der Punkt, der jedem Kleinunternehmer Angst machen sollte: Laut dem Ponemon Institute schließen 60 Prozent der KMUs, die ihre Daten aufgrund einer Katastrophe oder eines Datenlecks verlieren, innerhalb von sechs Monaten ihre Türen.
Auf der anderen Seite hat die Mehrzahl der Unternehmen, die über Backups und einen getesteten Wiederherstellungsplan verfügten, Cyberangriffe überstanden. Das ist der Unterschied.
Die Schlussfolgerung ist also, es reicht nicht nur ein Backup zu haben. Unternehmen brauchen einen Plan und müssen diesen testen. Und sie müssen wissen, dass der Plan funktioniert, bevor sie ihn benötigen. Eine Sache, der sich Unternehmen bewusst werden müssen, ist das Modell der „shared responsibilities“ bei Cloud-Plattformen wie Microsoft 365 und Google Workspace. Die standardmäßigen Aufbewahrungsrichtlinien auf diesen Plattformen sind nicht als Backup-Strategie konzipiert, sondern dienen der Servicekontinuität, nicht der Datenresilienz. GRC (Governance, Risk & Compliance)-Teams müssen diese Standardeinstellungen im Hinblick auf ihre tatsächlichen Compliance-, Aufbewahrungs- und Wiederherstellungsanforderungen überprüfen. Denn wenn Unternehmen die Aufbewahrungsdauer nicht bewusst an ihr Risikoprofil angepasst haben, verlassen sie sich auf Werkseinstellungen, die nie dazu gedacht waren, sie zu schützen.
Die Herausforderung besteht zudem darin, dass sich die Bedrohungslandschaft weiterentwickelt hat. Der M-Trends 2026-Bericht von Mandiant zeigt, dass Ransomware-Betreiber nun gezielt die Backup-Infrastruktur ins Visier nehmen, bevor sie irgendetwas anderes verschlüsseln. Sie wollen den Opfern die Möglichkeit nehmen, das Lösegeld zu verweigern. Der Verizon DBIR 2025 bestätigt dies. 64 Prozent der Ransomware-Opfer weigerten sich im letzten Jahr zu zahlen, vor allem weil ihre Backup- und Wiederherstellungsmaßnahmen stark genug waren, um sich aus der Affäre ziehen zu können. Das ist die Kraft der Vorbereitung.
Fazit
Deshalb müssen Unternehmen ihre Daten nicht nur absichern. Sie sollten diese wieder herstellen. Unternehmen sollten prüfen, ob genau das tatsächlich funktioniert. Darüber hinaus sollten sie ihre Wiederherstellungszeit kennen, und zwar nicht nur die auf dem Whiteboard, sondern die tatsächliche. Und falls das GRC-Team die Cloud-Aufbewahrungseinstellungen in letzter Zeit nicht geprüft hat, ist das die Hausaufgabe für den 31. März. Backups sorgen nicht für Schlagzeilen. Aber sie entscheiden darüber, ob ein Unternehmen einen schlechten Tag übersteht oder nicht.
