Warum die Wiederherstellungsgeschwindigkeit der eigentliche Maßstab für Cyber-Resilienz ist

Einleitung: Verlagerung des Schwerpunkts von der Prävention zur Wiederherstellung

In den letzten 20 Jahren lag der Hauptgrund für Investitionen in Cybersicherheit überwiegend auf der Prävention: Firewalls, Endgeräteschutz, Bedrohungsinformationen und das Ziel, Angreifer um jeden Preis fernzuhalten. Dieses Konzept war sinnvoll, als Vorfälle noch seltener auftraten und leichter eingedämmt werden konnten.

Dieser Ansatz ist in einer Welt, in der sich für viele Unternehmen die Frage von „Werden wir einen schwerwiegenden Vorfall erleben?“ zu „Wie schnell werden wir uns nach einem Vorfall wieder erholen?“ gewandelt hat, weitaus weniger sinnvoll.

Die geschäftlichen Auswirkungen von Ausfallzeiten und Ransomware-Angriffen

Da Unternehmen zunehmend auf einen unterbrechungsfreien Informationszugang angewiesen sind, haben die finanziellen und betrieblichen Auswirkungen ungeplanter Ausfallzeiten erheblich zugenommen. In Branchen wie dem Gesundheitswesen, den Finanzdienstleistungen und der kritischen Infrastruktur kann eine mehrstündige Offline-Phase zu einer Vielzahl nachteiliger Folgen führen:

• Verzögerte Abläufe
• Fehlgeschlagene Transaktionen
• Behördliche Strafen
• Schädigung des Markenrufs, die über die eigentliche Ausfallzeit hinaus andauert

Moderne Ransomware hat diese Dynamik erheblich verändert. Es ist mittlerweile gängige Praxis, neben den Primärsystemen auch die Backups anzugreifen, schon allein, um die Wiederherstellungsmöglichkeiten (und den Verhandlungsspielraum) der angegriffenen Organisation einzuschränken. Die Zahlung eines Lösegelds garantiert zudem nicht die Wiederherstellung des Geschäftsbetriebs – Entschlüsselungsschlüssel sind oft langsam oder unvollständig, und die wiederhergestellten Daten könnten weiterhin schlummernden Schadcode enthalten. Daher geht es beim Wiederherstellungsprozess nicht nur darum, den Verschlüsselungsprozess rückgängig zu machen.

Definition von Cyber-Resilienz: über Schutz und Erkennung hinaus

Cyber-Resilienz wird häufig als Synonym für Cybersicherheit angesehen, obwohl sich beide Konzepte von Natur aus unterscheiden. Cybersicherheit konzentriert sich darauf, die Wahrscheinlichkeit eines Vorfalls zu minimieren, während Cyber-Resilienz beschreibt, wie ein Unternehmen die erforderlichen Funktionen wiederherstellen würde, falls präventive Kontrollmaßnahmen versagen. Angesichts der Raffinesse moderner Bedrohungen ist die Frage, ob diese Kontrollmaßnahmen versagen, nicht „ob“, sondern „wann“.

Eine widerstandsfähige Organisation ist keine Organisation, in der keine Vorfälle auftreten. Eine widerstandsfähige Organisation ist eine Organisation, die sich schneller, reibungsloser und mit geringeren nachhaltigen Auswirkungen auf den Betrieb von Vorfällen erholt. Diese Unterscheidung ist entscheidend für die Festlegung der Strategie, die Zuweisung von Budgets und die Bewertung, ob bestehende Kontrollen überhaupt angemessen sind.

Traditionelle Kennzahlen vs. wiederherstellungsorientierte Resilienz

Die meisten Kennzahlen, mit denen üblicherweise die Sicherheitslage gemessen wird, wurden in einer Zeit entwickelt, in der Eindämmung das primäre Sicherheitsziel war. Sie sind nach wie vor wertvoll, liefern jedoch ein unvollständiges Bild davon, wie gut sich eine Organisation bei einem schwerwiegenden Vorfall behaupten wird – da sie enden, sobald der Angreifer entfernt wurde. Der Ansatz der wiederherstellungsorientierten Resilienz hingegen betrachtet diesen Punkt als Anfang und nicht als Ende und konzentriert sich darauf, wie effizient und reibungslos ein Unternehmen zum normalen Betrieb zurückkehren kann.

Kurzer Überblick über MTTD, MTTR, RPO und RTO

MTTD (Mean Time to Detect) bezeichnet die Zeit zwischen dem Eintreten eines Vorfalls und dessen Entdeckung.

MTTR (Mean Time to Respond, im Sicherheitskontext) bezeichnet die Zeit zwischen der Erkennung und der Eindämmung.

RPO (Recovery Point Objective) definiert den maximal akzeptablen Datenverlust als einen Zeitpunkt, RTO (Recovery Time Objective) definiert, wie schnell Systeme wiederhergestellt werden müssen.

Diese Kennzahlen sind im Sicherheitsbereich nicht neu, und sie selbst sind nicht das eigentliche Problem. Das Problem liegt darin, wie viel Gewicht Unternehmen ihnen im Verhältnis zueinander beimessen.

Grenzen der Erkennungsgeschwindigkeit und der Ausgaben für Prävention

Die Erkennungsgeschwindigkeit ist ein Faktor, jedoch nur bis zu einem gewissen Grad. Die sofortige Kenntnis eines Eindringens ist an sich vorteilhaft, doch wenn die Infrastruktur des Unternehmens nicht in der Lage ist, sich eindeutig wiederherzustellen, sobald das Problem identifiziert und eingedämmt wurde, gibt es keine nennenswerte Verringerung der geschäftlichen Auswirkungen.

Präventionsausgaben stoßen auf eine ähnliche Art von Grenze – keine einzelne präventive Kontrollmaßnahme kann das Risiko vollständig beseitigen, und ein Sicherheitsbudget, das stark auf Prävention ausgerichtet ist und die Wiederherstellungsfähigkeit vernachlässigt, wird dazu führen, dass ein Unternehmen zwar gut geschützt, aber gleichzeitig schlecht vorbereitet ist.

Warum die durchschnittliche Wiederherstellungszeit (MTTR/MTCR) wichtiger ist

Die Kennzahl, die die Widerstandsfähigkeit eines Unternehmens am besten widerspiegelt, ist die Zeit, die tatsächlich benötigt wird, um von einem verifizierten, sauberen Zustand zum normalen Betrieb zurückzukehren. Dieser Ansatz geht auch weit über die übliche Definition von MTTR im Sicherheitsbetrieb hinaus.

Im Zusammenhang mit der Datenwiederherstellung wird die Mean Time to Clean Recovery (MTCR) als der Zeitraum zwischen der Bestätigung eines Vorfalls und einem vertrauenswürdigen, malwarefreien System definiert, das mit voller Kapazität läuft. Diese Unterscheidung wird äußerst wichtig, wenn es um die Integrität des wiederhergestellten Datenbestands geht und nicht nur um die reine Wiederherstellungsgeschwindigkeit.

Die Lücke bei der Cyber-Wiederherstellung: Lehren aus aktuellen Vorfällen und Forschungsergebnissen

Die Lücke zwischen der angenommenen Wiederherstellungsfähigkeit und der tatsächlichen Wiederherstellungsleistung ist oft beträchtlich. Es ist nicht ungewöhnlich, dass Unternehmen diesen Unterschied erst während eines Vorfalls entdecken und nicht im Rahmen von Tests – was bei weitem nicht der geeignetste Zeitpunkt ist, um dies festzustellen.

Hohe Ausfallraten bei der Wiederherstellung nach Ransomware-Angriffen im Gesundheitswesen und anderen Branchen

Das Gesundheitswesen ist eines der Hauptziele für Ransomware, sowohl aufgrund der allgemeinen Bedeutung des Betriebs im Gesundheitswesen als auch wegen der veralteten Infrastrukturen und unterfinanzierten IT-Abteilungen, die in diesem Bereich häufig anzutreffen sind.

Laut dem Sophos-Bericht State of Ransomware in Healthcare 2024 konnten sich nur 22 % der Organisationen im Gesundheitswesen innerhalb einer Woche oder weniger von Ransomware-Angriffen erholen, was einen deutlichen Rückgang gegenüber den 54 % der Organisationen darstellt, die im Jahr 2022 eine erfolgreiche Wiederherstellung meldeten.

Derselbe Bericht zeigte zudem, dass Angreifer häufig versuchen, die Backups von Einrichtungen des Gesundheitswesens auszunutzen (in 95 % der Fälle gemeldet), wobei zwei Drittel dieser Versuche erfolgreich waren. Es zeigte sich auch, dass Einrichtungen mit kompromittierten Backups doppelt so häufig das Lösegeld zahlten (63 % gegenüber 27 %).

Daten, die auf begrenzte Wiederherstellungsmaßnahmen und kompromittierte Backups hinweisen

Die Häufigkeit von Wiederherstellungstests ist an sich schon eine anhaltende Schwachstelle. Eine von dem DR-Experten Dale Shulmistra zitierte Studie aus dem Jahr 2021 ergab, dass fast die Hälfte der Unternehmen die Notfallwiederherstellung einmal im Jahr oder seltener testet und 7 % sie überhaupt nicht testen.

Angreifer lernen, diese Schwachstelle auszunutzen: Die Verweildauer (die Zeit zwischen dem Zugriff des Eindringlings und der Auslösung der Ransomware) kann Tage bis Monate betragen, was der Malware Zeit gibt, in die Backup-Kette einzudringen. Sofern keine Integritätsprüfung in den Backup-Prozess integriert ist, lässt sich nicht abschätzen, wie weit man suchen müsste, um ein nicht kompromittiertes Backup zu finden.

Typische Wiederherstellungsgeschwindigkeiten für verschiedene Speichermedien

Die Geschwindigkeit der Wiederherstellung wird stark von den verwendeten Speichermedien beeinflusst.

Zur schnellsten Kategorie gehören NVMe-SSDs und Storage-Class-Memory (SCM). Herkömmliche SAS-/SATA-Laufwerke sind im Vergleich dazu deutlich langsamer, die Leistung von Objektspeichern hängt vom Netzwerk und der Objektgröße ab, und Bandlaufwerke verursachen erhebliche Latenzzeiten bei der Datenwiederherstellung (bis zu mehreren Stunden bei großen Datensätzen).

Genaue Durchsatzwerte sind umgebungsspezifisch und finden sich in der Regel eher in Hersteller-Benchmarks als in unabhängigen Studien – doch der Unterschied zwischen den Speicherebenen ist groß genug, um zu bestimmen, ob ein dokumentierter RTO tatsächlich realisierbar ist oder nicht.

Wiederherstellungsgeschwindigkeit als echter Maßstab für Ausfallsicherheit

Definition der Mean Time to Recovery (MTTR) im Vergleich zur Mean Time to Clean Recovery (MTCR)

Da wir bereits sowohl MTTR als auch MTCR definiert haben, ist es wichtig, auch näher auf ihre Unterschiede einzugehen – Unterschiede, die unter Angriffsbedingungen am deutlichsten zutage treten. Die folgende Tabelle zeigt, wie sich MTTR je nach Art des Vorfalls von MTCR unterscheidet:

Wie eine schnelle und saubere Wiederherstellung das regulatorische Risiko und die Ausfallkosten senkt

Die Kosten eines Vorfalls steigen mit der Zeit, und die Geschwindigkeit der Wiederherstellung ist einer der wichtigsten Faktoren, die den endgültigen Wert bestimmen. Die veröffentlichten Schätzungen zu den Ausfallkosten variieren in der Regel erheblich je nach Branche, Unternehmensgröße und Methodik – von Zehntausenden bis zu mehreren Hunderttausend Dollar pro Stunde in datenintensiven Branchen (wobei diese Schwankungen teilweise darauf zurückzuführen sind, dass Unternehmen ihre tatsächlichen Kosten nur selten öffentlich bekannt geben).

Alle Datenquellen stimmen darin überein, dass jede Stunde Ausfallzeit messbare finanzielle Kosten verursacht, während erprobte und bewährte Wiederherstellungsprozesse es zudem schaffen, das regulatorische Risiko in Situationen zu verringern, in denen die zeitnahe Wiederherstellung der Datenverfügbarkeit ein Compliance-Faktor ist.

Regulatorischer Druck: EU-Cyber-Resilience-Act und andere Rahmenwerke

Der genaue Geltungsbereich des EU-Cyber-Resilience-Act (Verordnung (EU) 2024/2847) verdient eine detaillierte Erörterung.

Der CRA trat am 10. Dezember 2024 in Kraft, wobei die wichtigsten Verpflichtungen am 11. Dezember 2027 in Kraft treten. Er gilt speziell für Produkte mit digitalen Elementen – sowohl Hardware als auch Software, die in der EU bereitgestellt werden –, wobei die Hersteller für die Cybersicherheit in allen Phasen des Produktlebenszyklus verantwortlich sind.

Die für die Wiederherstellungsfähigkeit von Organisationen unmittelbar relevanten Rahmenwerke sind NIS2 (Netz- und Informationssysteme), das kritische Sektoren und Lieferketten abdeckt, sowie DORA (Digital Operational Resilience Act), das Finanzinstituten spezifische Anforderungen an die operative Widerstandsfähigkeit und an Tests auferlegt.

Faktoren, die die Wiederherstellungsgeschwindigkeit beeinflussen

Die Wiederherstellungsgeschwindigkeit ist nicht nur eine einzelne, isolierte Variable, sondern das Ergebnis mehrerer miteinander verbundener Faktoren. Um die MTCR sinnvoll zu verbessern, muss man verstehen, wo Engpässe am wahrscheinlichsten auftreten.

Infrastruktur und Speicherleistung (SCM, SSD, SAS, Object, Tape)

Maximale Wiederherstellungsgeschwindigkeiten werden in erster Linie durch die Durchsatzkapazität der Medien bestimmt, auf die die wiederhergestellten Daten geschrieben werden.

Storage-Tiering (die Verwendung von Hochgeschwindigkeitsmedien für geschäftskritische Anwendungen bei gleichzeitiger Reservierung langsamerer Speicher für weniger zeitkritische Daten) kann eingesetzt werden, um eine akzeptable Wiederherstellungsgeschwindigkeit für Schlüsseldaten zu erreichen, ohne die Kosten für durchgängigen Hochleistungsspeicher zu verursachen.

Ebenso wird die Netzwerkbandbreite zum Engpass bei der Wiederherstellung, wenn ein großer Datensatz über ein stark ausgelastetes Netzwerk wiederhergestellt wird – selbst die Wiederherstellung von Daten aus Hochleistungsspeichern würde länger dauern, wenn sie durch die Kapazitäten der Netzwerkinfrastruktur gebremst wird.

Datenintegrität: Sicherstellung sauberer, malwarefreier Backups

Geschwindigkeit ohne Integrität ist im Kontext der Cybersicherheit tatsächlich schlimmer als nutzlos – denn eine schnelle Wiederherstellung unter Verwendung eines kompromittierten Backups verlängert den Vorfall nur.

Eine effektive Wiederherstellung hängt davon ab, dass sowohl die Integritätsprüfung als auch das Malware-Scannen Teil des Backup-Prozesses sind und nicht nur eine einmalige Überprüfung während des Wiederherstellungsprozesses darstellen.

Backups auf WORM-Speicher können von Ransomware weder verschlüsselt noch verändert werden, selbst wenn das Backup-System selbst unter der Kontrolle eines Angreifers steht.

All dies, kombiniert mit versionsbasierter Aufbewahrung, schafft einen wiederherstellbaren Zustand, der schwer zu infizieren ist – sofern die Aufbewahrungsfrist lang genug ist, um die ursprüngliche Infektion einzudämmen.

Automatisierung, Orchestrierung und Priorisierung von Wiederherstellungsaufträgen

Manuelle Wiederherstellungsprozesse führen zu Schwankungen, die unter Druck nur schwer zu bewältigen sind. Standardisierte Playbooks können dabei helfen, kritische Systeme zu priorisieren, Abhängigkeiten korrekt zu ordnen und Wiederherstellungsaufträge nach Möglichkeit parallel auszuführen – und es ist nicht erforderlich, in einer Notsituation bei jedem Schritt eine menschliche Entscheidung zu treffen.

Hier geht es nicht darum, die menschliche Aufsicht zu beseitigen, sondern sicherzustellen, dass Entscheidungen, die menschliches Urteilsvermögen erfordern, bereits während der Planung getroffen werden, anstatt spontan vor Ort improvisiert zu werden.

Menschliche Faktoren: Regelmäßiges Testen von Wiederherstellungsplänen und Fähigkeiten

Ein Wiederherstellungsplan, der nur in der Dokumentation existiert, ist nicht so zuverlässig wie ein Plan, der bereits ausgeführt wurde. Tabletop-Übungen decken Schwachstellen in der Kommunikation und Entscheidungsfindung innerhalb einer Organisation auf, während vollständige Wiederherstellungstests potenzielle technische Fehler aufzeigen – undokumentierte Abhängigkeiten, Systeme, die sich nicht sauber wiederherstellen lassen, Zeitpläne, die die ursprünglichen Erwartungen nicht erfüllen.

Diese Tests müssen häufig genug stattfinden, um mit den Änderungen an der Infrastruktur Schritt zu halten, und es ist zudem wichtig, dass diese Tests reale Bedrohungsszenarien so gut wie möglich nachbilden, anstatt sich ausschließlich auf Hardwareausfälle zu konzentrieren.

Auswahl der richtigen Kennzahlen und KPIs

Kombination von RPO, RTO, MTTR und MTCR für einen ganzheitlichen Überblick

Keine einzelne Kennzahl kann in diesem Fall das Gesamtbild erfassen.

• RPO definiert den akzeptablen Datenverlust und bestimmt die Backup-Häufigkeit
• RTO legt das Wiederherstellungsziel fest
• MTTR verfolgt die tatsächliche Leistung im Vergleich zu diesem Ziel
• MTCR fügt die Dimension der Integrität hinzu, die in Cyber-Recovery-Szenarien am wichtigsten ist

In Kombination ermöglichen diese Kennzahlen einem Unternehmen, spezifische Schwachstellen zu identifizieren. Beispielsweise deutet eine Kombination aus robustem RTO und schlechtem MTCR darauf hin, dass die Backup-Integrität das größte Problem darstellt. Alternativ bedeutet ein hoher MTCR bei verfehlter MTTR, dass das Problem entweder bei den Ressourcen oder im Prozessbereich liegt.

Abstimmung der Kennzahlen auf Geschäftskontinuitäts- und Compliance-Ziele

Kennzahlen sind am nützlichsten, wenn sie mit Ergebnissen verknüpft werden können, die für das Unternehmen wirklich von Bedeutung sind. RTOs, die auf einer Business-Impact-Analyse basieren (und die tatsächlichen Betriebskosten von Ausfallzeiten aufzeigen), sind umsetzbarer als RTOs, die an Hersteller-Standardwerte angepasst oder aus generischen Rahmenwerken übernommen wurden.

Ebenso sollten MTCR-Ziele die praktischen Integritätsanforderungen der betreffenden Daten sowie die für sie geltenden regulatorischen Verpflichtungen widerspiegeln.

Warum Bacula bei schneller, fehlerfreier Wiederherstellung überzeugt

Die oben beschriebenen Probleme – kompromittierte Backups, langsame Wiederherstellung, Unsicherheit hinsichtlich der Integrität, Variabilität manueller Prozesse – sind genau die Probleme, für deren Lösung Lösungen wie Bacula Enterprise entwickelt wurden. Seine Architektur spiegelt deutlich die Idee wider, dass die Fehlerfreiheit von Backups und die Wiederherstellungsleistung nicht als voneinander getrennte Belange behandelt werden können.

Die modulare Architektur und Skalierbarkeit von Bacula

Das modulare Design von Bacula trägt dazu bei, dass Unternehmen keinen Single Point of Failure haben, selbst bei der Verwaltung großer und verteilter Umgebungen. Die Plattform besteht aus drei Hauptkomponenten: dem Director, dem Storage-Daemon und dem File-Daemon. Jede Komponente kann unabhängig voneinander entsprechend den Durchsatz- und Kapazitätsanforderungen eines Unternehmens skaliert werden.

Dieser Aufbau unterstützt große und komplexe Umgebungen (einschließlich Hybrid- und Multi-Cloud-Bereitstellungen), ohne dass eine monolithische Infrastruktur erforderlich ist, die zu einem Single Point of Failure werden könnte.

Granulare Wiederherstellung: Schnelle Wiederherstellung einzelner Dateien und Systeme

Nicht jedes Problem erfordert eine vollständige Systemwiederherstellung. In den meisten Fällen ist die Wiederherstellung bestimmter Dateien, Datenbanken oder Dienste ein schnellerer Weg zur Wiederherstellung des Betriebszustands als die Wiederherstellung ganzer Systeme von Grund auf.

Die granulare Wiederherstellung von Bacula ermöglicht es dem Systemadministrator, genau auszuwählen, welche Elemente wiederhergestellt werden sollen, wodurch die Wiederherstellungszeit verkürzt und das Risiko der erneuten Einführung potenziell infizierter Daten begrenzt wird.

Integration mit WORM-Speicher, Unveränderlichkeit und Malware-Scans

Bacula Enterprise ermöglicht die Integration mit WORM-Speichergeräten und unveränderlichen Backup-Zielen, wodurch das Risiko sowohl von Manipulationen als auch von Verschlüsselung der Backups verringert wird. Die Malware-Scan-Funktionen überprüfen die Integrität des Backups vor der Wiederherstellung und mindern so das Risiko, von einem beschädigten Backup-Punkt aus wiederherzustellen.

Diese Funktionen gehen direkt auf die MTCR-Herausforderung ein – sie helfen zu überprüfen, ob die Wiederherstellung von einer vertrauenswürdigen Backup-Kopie aus erfolgt.

Priorisierung von Wiederherstellungsaufträgen und Automatisierung von Wiederherstellungsabläufen

Die von Bacula angebotenen Skript- und API-Funktionen können automatisierte Wiederherstellungsabläufe und sequenzierte Runbooks ermöglichen. Systemwiederherstellungsaufträge können nach geschäftlicher Wichtigkeit priorisiert werden, wobei Systemabhängigkeiten verwaltet werden, um sicherzustellen, dass alles in der richtigen Reihenfolge wieder online geht. Dies kann dazu beitragen, die praktische MTTR zu verbessern und auch die RTOs zu optimieren, falls dies erforderlich wird.

Strategien zur Beschleunigung der Wiederherstellung und zur Verbesserung der Ausfallsicherheit

Regelmäßiges Testen von Backups und Überprüfen der Datenintegrität

Ein erfolgreicher Backup-Job ist nicht gleichbedeutend mit einem Backup, das einwandfrei wiederhergestellt werden kann. Bei der Integritätsprüfung geht es darum, regelmäßige Wiederherstellungstests durchzuführen – nicht nur zu überprüfen, ob der Backup-Prozess läuft, sondern sicherzustellen, dass die dabei erzeugten Daten wiederherstellbar, unbeschädigt und frei von Malware sind.

Die Häufigkeit der Wiederherstellungstests sollte zwei Hauptfaktoren widerspiegeln:

• Die Kritikalität der betroffenen Systeme
• Das Tempo, in dem sich die Infrastruktur verändert

Einsatz von mehrstufigem Speicher und Hochgeschwindigkeitsmedien für kritische Daten

Nicht jede einzelne Dateneinheit muss auf dem schnellsten Medium gespeichert werden, über das das Unternehmen verfügt, aber diejenigen, die kurze RTOs erfordern, sollten auf jeden Fall auf diese Weise gespeichert werden. Die Einführung eines mehrstufigen Ansatzes – bei dem leistungsstarke Medien mit hohem Durchsatz für die Anwendungen genutzt werden, die dies erfordern, während weniger kritische Daten auf langsameren, kostengünstigeren Speichermedien abgelegt werden – hilft Unternehmen dabei, die Wiederherstellungsgeschwindigkeit dort zu optimieren, wo es am wichtigsten ist, ohne die Kosten für durchgängig leistungsstarken Speicher tragen zu müssen.

Automatisierung von Playbooks für die Reaktion auf Vorfälle und die Notfallwiederherstellung

Wiederherstellungs-Playbooks, die erst im Vorfallfall zusammengestellt werden müssen, sind weitaus weniger zuverlässig als solche, die im Voraus erstellt und getestet wurden. Automatisierung als Funktion trägt dazu bei, die Abhängigkeit von Echtzeit-Beurteilungen bei Entscheidungen zu verringern, die vordefiniert werden können – sei es die Reihenfolge der Systemwiederherstellung, die Abfolge von Abhängigkeiten oder die parallele Ausführung von Jobs. Automatisierung führt zudem zu besser vorhersehbaren Ergebnissen, wodurch die Nachbetrachtung und Verbesserung nach einem Vorfall deutlich gewinnbringender wird.

Messung und Verbesserung von MTTR und MTCR im Zeitverlauf

Die Ausfallsicherheit verbessert sich, wenn sie auf einheitliche Weise gemessen wird. Die Überwachung von MTTR und MTCR sowohl bei Tests als auch bei Live-Vorfällen (anstatt jede Übung als einmaliges Ereignis zu behandeln) ermöglicht es Unternehmen, herauszufinden, wo Zeit verloren geht – sei es bei der Erkennung, der Überprüfung der Backup-Integrität, der Wiederherstellungsreihenfolge oder der menschlichen Koordination.

Diese Daten tragen dazu bei, die Wiederherstellungsplanung von einer reinen Compliance-Maßnahme in ein nützliches Programm mit messbaren Ergebnissen zu verwandeln.

Fazit: Eine „Recovery-First“-Denkweise annehmen

Zusammenfassung, warum die Wiederherstellungsgeschwindigkeit die Cyber-Resilienz bestimmt

Zwar sind Prävention und Erkennung notwendig, doch bestimmen sowohl die Geschwindigkeit als auch die Sauberkeit der Wiederherstellung die tatsächlichen Kosten eines Vorfalls. MTCR – die Zeit bis zu einem verifizierten, nicht infizierten, funktionsfähigen Zustand – ist ein weitaus ehrlicherer Indikator für Resilienz als reine Kennzahlen zur Sicherheitslage allein, und es ist zudem die am besten kontrollierbare Kennzahl, die einer Organisation während eines Angriffs zur Verfügung steht.

Unternehmen dazu ermutigen, ihre Wiederherstellungskennzahlen zu bewerten und zu verbessern

Organisationen wären nicht in der Lage, sich ein genaues Bild von ihrem tatsächlichen MTCR zu machen, wenn sie ihre Wiederherstellungsfähigkeiten nicht kürzlich anhand realistischer Szenarien getestet hätten, wie beispielsweise kompromittierte Backup-Ketten oder verlängerte Verweildauer.

Bacula Enterprise bietet die Architektur, Integritätskontrollen und Automatisierungsfunktionen, die erforderlich sind, um diese Lücke selbst in den komplexesten, groß angelegten Umgebungen sinnvoll zu schließen, und hilft gleichzeitig dabei, eine Wiederherstellungsfähigkeit zu entwickeln, die nachgewiesen werden kann, anstatt nur angenommen zu werden.

Häufig gestellte Fragen

Ist die Wiederherstellungsgeschwindigkeit wichtiger als die Verhinderung von Sicherheitsverletzungen?

Keine der beiden Optionen schließt die andere aus. Prävention minimiert das Risiko des Auftretens von Vorfällen; starke Wiederherstellungsfähigkeiten minimieren die Auswirkungen, falls ein Vorfall tatsächlich eintritt. Das praktische Argument dafür, der Wiederherstellung mehr Gewicht beizumessen als üblicherweise, ist, dass Prävention eine gewisse Grenze hat – komplexe Angriffe werden irgendwann selbst gegen die robustesten Ziele erfolgreich sein –, während die Wiederherstellungsfähigkeit direkt proportional zu den allgemeinen Kosten eines Vorfalls ist.

Wie bewerten Cyberversicherungsanbieter Wiederherstellungsfähigkeiten?

Versicherer sind in diesem Bereich in letzter Zeit strenger geworden. Die meisten fragen mittlerweile ausdrücklich nach der Häufigkeit der Datensicherung, der Verfügbarkeit von externen und unveränderlichen Backups, der Häufigkeit der Tests des Wiederherstellungsprozesses und danach, ob Backups vom Produktionsnetzwerk isoliert sind. Unternehmen mit dokumentierten, regelmäßig getesteten Wiederherstellungsprozessen und überprüfbaren, lückenlosen Backup-Ketten erhalten in der Regel günstigere Konditionen als solche, deren Backup-Strategie hauptsächlich auf dem Papier existiert.

Welche Wiederherstellungskennzahlen sind für Aufsichtsbehörden und Prüfer tatsächlich von Bedeutung?

Zwar unterscheiden sich die regulatorischen Anforderungen je nach Rahmenwerk und Sektor, doch gelten Verpflichtungen und der Nachweis der Praktikabilität für RTO und RPO allgemein. Die Fähigkeit, den Zugriff auf personenbezogene Daten innerhalb eines akzeptablen Zeitrahmens nach einer Datenschutzverletzung wiederherzustellen, ist eine spezifische Anforderung der DSGVO und vergleichbarer Datenschutzgesetze. In der Zwischenzeit liefert DORA spezifische Testvorgaben für Finanzinstitute. Prüfer verlangen zunehmend die Vorlage von Testergebnissen und nicht nur von dokumentierten Zielvorgaben.