Von Dave Russell, Senior Vice President, Head of Strategy bei Veeam

Lange Zeit fristete das Thema Datenresilienz in vielen Unternehmen ein Dasein am Rande. Zwischen Alltagsgeschäft und IT-Sicherheitsprojekten ging es oft unter. Doch das hat sich geändert: Wachsende Bedrohungen, strengere Vorgaben und ein klareres Verständnis von Best Practices haben Datenresilienz auf die Prioritätenliste vieler Unternehmen katapultiert – und das aus gutem Grund.

Erkannt ist nicht gleich gebannt

Ein wachsendes Bewusstsein für das Thema ist ein wichtiger erster Schritt – echte Vorbereitung aber sieht anders aus. Zwar gibt es mittlerweile mehr Standards und Orientierungshilfen, doch viele Unternehmen stellen ernüchtert fest: Wir sind längst nicht so gut aufgestellt, wie wir sein sollten.

Ein gemeinsamer Bericht von Veeam und McKinsey zeigt, dass selbst grundlegende Aspekte wie "Menschen und Prozesse" häufig deutliche Schwächen aufweisen. Viele haben Datenresilienz bisher mit allgemeiner IT-Sicherheit gleichgesetzt – nach dem Motto: Wenn die IT sicher ist, sind es die Daten schon auch. Doch das ist ein gefährlicher Irrglaube. Datenresilienz ist wie ein Airbag: Man merkt erst, wie wichtig er ist, wenn es knallt.

Auch wenn Strafverfolgungsbehörden zuletzt Erfolge gegen bekannte Hackergruppen wie BlackCat oder LockBit erzielten, ist das Risiko keineswegs gebannt. Neue Gruppen entstehen, Lücken werden schnell gefüllt, und Angriffe werden raffinierter. 69 Prozent der befragten Unternehmen waren allein im letzten Jahr betroffen – 74 Prozent erfüllen nach wie vor nicht die Mindestanforderungen an Datenresilienz.

Jetzt ist der richtige Zeitpunkt für den Realitätscheck

Dass so viele Unternehmen ihre Schwächen mittlerweile selbst benennen, ist zumindest ein Fortschritt. Gründe für die zögerliche Reaktion gibt es viele: Manches wurde schlicht übersehen, anderes durch neue regulatorische Anforderungen wie NIS2 oder DORA erst sichtbar gemacht. Die Folge: Eine neue Aufmerksamkeit – und der erste richtige Blick unter die Motorhaube.

Viele Unternehmen mussten 2024 erstmals ihr gesamtes Datenmanagement kritisch hinterfragen. Dabei kamen Schwachstellen ans Licht, die oft über Jahre gewachsen waren – etwa durch neue Technologien, unkoordinierte KI-Einführungen oder schlicht unübersichtliche Datenmengen. Das Datenprofil hat sich stark verändert – doch die Sicherheitsmaßnahmen hinken hinterher.

Und es wird gefährlich, wenn man sich dabei an falschen Maßstäben orientiert. Nur weil ein theoretisches Notfallkonzept existiert, heißt das nicht, dass es im Ernstfall funktioniert. Papier ist geduldig – Cyberangreifer sind es nicht.

Vorbereitung muss zum Dauerzustand werden

Statt auf den Ernstfall zu warten, sollten Unternehmen sich auf einen Dauerzustand der Wachsamkeit einstellen. Der erste Schritt: Klarheit über das eigene Datenprofil. Welche Daten gibt es überhaupt? Wo liegen sie? Und wofür werden sie benötigt?

Durch das Aussortieren unnötiger, veralteter oder redundanter Daten lassen sich Risiken verringern und Ressourcen gezielter absichern. Doch damit endet die Arbeit nicht. Neue Maßnahmen müssen regelmäßig getestet werden – und zwar realitätsnah. Was passiert, wenn der Sicherheitsverantwortliche im Urlaub ist? Oder wenn mehrere Probleme gleichzeitig auftreten? Solche Stresstests decken echte Lücken auf – bevor ein Angreifer es tut.

Mehr Resilienz, bessere Ergebnisse

Der Aufwand lohnt sich. Laut dem Bericht erzielen Unternehmen mit fortgeschrittener Datenresilienz ein um zehn Prozent höheres Umsatzwachstum im Jahr als jene, die hier hinterherhinken. Nicht, weil Resilienz direkt Gewinne schafft – sondern weil sie Strukturen und Prozesse im Unternehmen verbessert. Die Botschaft an IT- und Unternehmensverantwortliche ist klar: Bedrohungen nehmen weiter zu, der Daten-Fußabdruck wächst – und Abwarten ist keine Option mehr. Wer jetzt investiert, bleibt handlungsfähig. Wer es aufschiebt, riskiert im Ernstfall alles.