Klassische Backup-Lösungen gelten für viele Unternehmen als Sicherheitsnetz gegen Datenverlust. Doch die aktuellen Ransomware-Wellen, darunter Angriffe mit LockBit 5.0, zeigen einen klaren Trend: Auch scheinbar ausfallsichere Sicherungen können Angriffsziel werden und im Ernstfall wertlos sein. Christoph Demiriz von Digital Recovery gibt im Interview Einblicke, woran sich gravierende Schwachstellen bei Datensicherungen erkennen lassen, wie eine erfolgreiche Datenwiederherstellung nach Cyberangriffen heute funktioniert und welche Prinzipien eine cyber-resiliente Backup-Strategie erfüllen muss.
Wirtschaftsmacher.com: Herr Demiriz, viele Firmen verlassen sich auf klassische Backup-Konzepte. Wo liegen darin nach Ihrer Erfahrung die größten Risiken?
Christoph Demiriz: Die zentrale Schwachstelle klassischer Backups ist ihre Verwundbarkeit gegenüber gezielten Angriffen: Neueste Ransomware-Varianten wie LockBit 5.0 suchen systematisch nach Backup-Architekturen und verschlüsseln sie oft, bevor der eigentliche Angriff auf das Produktivsystem beginnt. Besonders kritisch ist das bei virtualisierten Umgebungen. Hier fehlen häufig segmentierte Schutzmechanismen. In unseren Einsätzen sehen wir regelmäßig, dass Unternehmen zwar Backups haben, diese aber entweder mitverschlüsselt werden oder so veraltet sind, dass sie für eine sinnvolle Wiederherstellung nicht ausreichen. Ein weiteres Problem ist fehlende Forensik: Viele Firmen erkennen zu spät, dass Angreifer schon wochenlang Spuren verwischt und Backups manipuliert haben.
Wirtschaftsmacher.com: Wie genau unterscheidet sich die professionelle Ransomware-Datenrettung von der herkömmlichen Wiederherstellung?
Christoph Demiriz: Der wesentliche Unterschied liegt in der Herangehensweise. Während viele IT-Teams im Notfall einfach versuchen, das letzte Backup zurückzuspielen, reicht das bei modernen Ransomware-Angriffen selten aus. In der Praxis analysieren wir zuerst das gesamte System, rekonstruieren die Angriffswege und prüfen die Integrität der gesicherten Daten. Bei Digital Recovery nutzen wir unter anderem unsere eigene entwickelte Analyseplattform Tracer, die darauf ausgelegt ist, verschlüsselte oder fragmentierte Datenstrukturen tiefgehend zu untersuchen. Mithilfe solcher Tools können selbst in stark kompromittierten Umgebungen noch Wiederherstellungsoptionen identifiziert werden, etwa durch die gezielte Analyse von Schattenkopien, Raw-Images oder beschädigten Dateisystemstrukturen. Ein Beispiel: Anfang 2026 konnten wir bei einem Automobilzulieferer trotz totaler Verschlüsselung über ein Terabyte kritischer Produktionsdaten rekonstruieren, indem wir mehrere Recovery-Pfade miteinander verknüpft haben. Diese Tiefe in der Analyse und die Kombination aus forensischem Vorgehen und Incident Response ermöglicht es, verlorene Daten auch nach komplexen Angriffen wiederherzustellen.
Wirtschaftsmacher.com: Was sind die entscheidenden Merkmale einer wirklich cyber-resilienten Backup-Architektur?
Christoph Demiriz: Eine cyber-resiliente Backup-Architektur baut auf mehreren Ebenen auf. Zunächst müssen Backups „immutable“, also unveränderbar gespeichert werden, sodass Angreifer keine Möglichkeit haben, Sicherungen zu überschreiben oder zu löschen. Moderne Systeme wie Datto SIRIS bieten solche Funktionen. Darüber hinaus sind die Segmentierung der Backup-Umgebung, gezielte Zugriffsbeschränkungen sowie eine regelmäßige Überprüfung der Backup-Integrität notwendig. Incident Response und regelmäßige Penetrationstests sorgen dafür, dass Angriffswege früh erkannt und abgesichert werden. Ein robustes Konzept verknüpft die Backup-Strategie mit klaren Notfallprotokollen und einer schnellen Datenwiederherstellung, damit im Schadensfall keine Panik entsteht und der Betrieb schnell wieder aufgenommen werden kann.
Wirtschaftsmacher.com: Lässt sich angesichts fortschrittlicher Ransomware überhaupt noch von echter Datensicherheit sprechen?
Christoph Demiriz: Absolut. Vorausgesetzt, es werden moderne Prinzipien von Cyber-Resilienz beachtet. Die entscheidende Grundlage ist eine Kombination aus Immutable Backup, einer lückenlosen Backup-Architektur und gestaffelten Incident Response-Prozessen. Unsere Erfahrung zeigt: Selbst bei komplexen LockBit 5.0-Attacken können Unternehmen, die proaktiv mit solchen Methoden arbeiten, Betriebsunterbrechungen deutlich minimieren. Entgegen verbreiteter Mythen ist die Ransomware-Datenrettung auch nach vollständiger Verschlüsselung möglich, wenn professionelle Forensik und spezialisierte Tools eingesetzt werden. Wichtig ist jedoch, regelmäßig die eigene IT-Notfallhilfe auf reale Szenarien zu testen, Schwachstellen früh zu erkennen und die Resilienz kontinuierlich zu verbessern.
Wirtschaftsmacher.com: Ihr Ausblick, worauf sollten IT-Entscheider in Zukunft besonders achten?
Christoph Demiriz: Die Angriffsgefahr durch Verschlüsselungstrojaner steigt kontinuierlich; insbesondere KI-gestützte Ransomware und gezielte Attacken auf Backup-Infrastrukturen werden zunehmen. IT-Entscheider sollten verstärkt auf manipulationssichere und mehrfach redundante Sicherungssysteme setzen. Dabei zählt nicht nur die Hardware, sondern die gesamte Backup-Strategie: regelmäßige Resilienz-Checks, gerichtsfeste Dokumentation von Wiederherstellungsprotokollen und ein Notfallplan, der Incident Response, Backup-Architektur und Datenwiederherstellung nahtlos miteinander verbindet. Unser kostenfreier SIRIS Backup Check, der ab September 2025 startet, ist ein erster Schritt für Unternehmen, bestehende Schwachstellen zu erkennen, bevor der Ernstfall eintritt.
Weitere Informationen und Ansprechpartner für einen persönlichen SIRIS Backup Check gibt es unter www.digitalrecovery.com/de.
Impressum:
Digital Recovery PHD GmbH
W-Tec Haus 4
Heinz-Fangman-Str. 2-6
42287 Wuppertal
info@digitalrecovery.de
www.digitalrecovery.com/de
