--- title: "Cyber-Resilienz vs. IT-Sicherheit: Warum beides nötig ist" date: 2026-05-08T14:25:00+02:00 author: FAST LTA canonical_url: "https://www.fast-lta.de//de/blog/cyber-resilienz-vs-it-sicherheit-warum-beides-nötig-ist" section: "Entries: Articles" --- ### 3 Prin­zi­pi­en der Cyber-Resi­li­enz [\#](#3-prinzipien-der-cyber-resilienz "3 Prinzipien der Cyber-Resilienz") Eine gute Cyber-Resi­li­enz-Stra­te­gie ruht auf drei Prinzipien: #### 1. Assu­me Breach [\#](#1-assume-breach "1. Assume Breach") **Das Kon­zept:** ​“Nicht ob, son­dern wann wer­den wir angegriffen?” Das ist nicht Pes­si­mis­mus — das ist Rea­lis­mus. Die Sta­tis­ti­ken sind ein­deu­tig: 76% der Unter­neh­men wer­den Opfer von Ran­som­wa­re (Vee­am 2024). Jede Prä­ven­ti­ons-Maß­nah­me ist wich­tig. Aber kei­ne Maß­nah­me schafft 100% Schutz. Assu­me Breach bedeu­tet: Baue Dei­ne Archi­tek­tur so auf, als ob dein Netz­werk kom­pro­mit­tiert ist. Das hat Konsequenzen: - **Zero Trust:** Kein impli­zi­tes Ver­trau­en basie­rend auf Netz­werk-Posi­ti­on. Jede Authen­ti­fi­zie­rung ist veri­fi­ziert, jede Auto­ri­sie­rung ist granular. - **Micro-Seg­men­tie­rung:** Netz­werk-Zonen, die von­ein­an­der iso­liert sind. Ein Ein­dring­ling in Zone A kann nicht ein­fach zu Zone B gehen. - **Air-Gap:** Back­up-Infra­struk­tur, die von der Pro­duc­tion-Infra­struk­tur phy­sisch getrennt ist. - **Sepa­ra­te Admin-Kon­tex­te:** Admin-Accounts haben nur auf ihren eige­nen Sys­te­men Zugriff, nicht auf alle. #### 2. Iso­lier­te Reco­very-Fähig­keit [\#](#2-isolierte-recovery-f%C3%A4higkeit "2. Isolierte Recovery-Fähigkeit") **Das Kon­zept:** ​“Wir kön­nen Sys­te­me aus einem bekann­ter­ma­ßen siche­ren Zustand wie­der­her­stel­len, ohne dass der Angrei­fer sie wie­der kompromittiert.” Das ist tech­nisch viel schwä­cher als es klingt. Wenn Sie einen Ser­ver aus einem Online-Back­up in Ihr Pro­duc­tion-Netz­werk zurück­brin­gen, und das Netz­werk ist noch kom­pro­mit­tiert, ist Ihre Reco­very nichts wert — der Angrei­fer wird den Ser­ver wie­der infi­zie­ren, bevor Sie ihn nut­zen können. Iso­lier­te Reco­very bedeutet: - **Tier 2 (Air-Gap):** Back­up-Tier mit phy­si­scher oder logi­scher Iso­la­ti­on vom Pro­duc­tion-Netz­werk. Nicht täg­lich syn­chro­ni­siert. Ein­mal täg­lich oder wöchent­lich wird eine Kopie *off­line* genommen. - **Iso­lier­te Reco­very-Umge­bung (Zone 3):** Ein sepa­ra­tes Netz­werk-Seg­ment, in dem Sie Sys­te­me tes­te und veri­fi­zie­ren kön­nen, bevor Sie sie zurück in Pro­duc­tion gehen. - **Kei­ne Rück­kehr­ver­bin­dung:** Wäh­rend der Reco­very läuft der wie­der­her­ge­stell­te Ser­ver nicht auto­ma­tisch gegen Pro­duc­tion-AD oder File­ser­ver. Er ist iso­liert bis verifiziert. #### 3. Veri­fi­zier­te Wie­der­her­stell­bar­keit [\#](#3-verifizierte-wiederherstellbarkeit "3. Verifizierte Wiederherstellbarkeit") **Das Kon­zept:** ​“Wir tes­ten nicht nur die Theo­rie, son­dern die Realität.” Das ist wo vie­le Orga­ni­sa­tio­nen schei­tern. Sie sagen ​“Wir haben ein Back­up-Sys­tem” — aber sie haben nie einen ech­ten Reco­very durch­ge­spielt. Wenn der Not­fall kommt, stel­len Sie fest, dass: - Die Back­up-Hard­ware ist beschädigt - Die Reco­very-Soft­ware funk­tio­niert nicht mit der aktu­el­len Version - Der Reco­very-Run­book ist veraltet - Die Admin-Cre­den­ti­als funk­tio­nie­ren nicht mehr Veri­fi­zier­te Wie­der­her­stell­bar­keit bedeutet: - **Quar­ter­ly Reco­very Tests:** Min­des­tens 4x pro Jahr einen ech­ten Reco­very durch­füh­ren (oder simu­lie­ren, wenn Pro­duc­tion nicht beein­träch­tigt wer­den darf). - **RTO-Mes­sung:** Bei jedem Test die tat­säch­li­che Reco­very-Zeit mes­sen. Nicht geschätzt — getestet. - **Inte­gri­tät-Veri­fi­ka­ti­on:** Nach Reco­very nicht nur ​“Sys­tem boo­tet” — son­dern ​“Daten sind intakt, kei­ne Kor­rup­ti­on, Anwen­dun­gen funktionieren”. - **Audi­ta­ble:** Doku­men­tie­ren Sie die Test-Ergeb­nis­se. Das ist spä­ter dein Beweis, dass du dich tat­säch­lich wie­der­her­stel­len kannst. ### Archi­tek­tur-Kon­se­quen­zen [\#](#architektur-konsequenzen "Architektur-Konsequenzen") Die­se drei Prin­zi­pi­en haben kon­kre­te Architektur-Konsequenzen: AspektIT-Resi­li­enz StandardCyber-Resi­li­enz Standard\*\*Back­up-Tiers\*\*2 – 3 Tiers (Online, Archive)4 Tiers (Online, Air-Gap, WORM, Geo)\*\*Back­up-Syn­chro­ni­sa­ti­on\*\*Kon­ti­nu­ier­lich, automatisiertTier 2 ist off­line, manu­ell getrennt\*\*Reco­very-Umge­bung\*\*Pro­duc­tion-Netz­werkZone 3, phy­sisch isoliert\*\*Admin-Seg­men­tie­rung\*\*Ein Admin-Kon­textMul­ti­ple seg­re­gier­te Admin-Kontexte\*\*Reco­very-Test­ing\*\*Jähr­lichQuar­tals­wei­se, dokumentiert\*\*Iden­ti­tät & Access\*\*Direc­to­ry-basiert (AD)Zero Trust, kon­ti­nu­ier­li­che Verifikation### Cyber-Resi­li­enz ist nicht bil­li­ger als IT-Sicher­heit [\#](#cyber-resilienz-ist-nicht-billiger-als-it-sicherheit "Cyber-Resilienz ist nicht billiger als IT-Sicherheit") Ein wich­ti­ger Punkt: Cyber-Resi­li­enz ist **teu­er**. Eine gute Cyber-Resi­li­enz-Infra­struk­tur kos­tet 30 – 50% mehr als Standard-IT-Resilienz: - Air-Gap-Back­up-Hard­ware (Silent Brick) - Hard­ware-WORM-Archiv (Silent Cubes) - Sepa­ra­te Reco­very-Infra­struk­tur (Zone 3) - Pro­fes­sio­nel­le Recovery-Testing-Services - Doku­men­ta­ti­on und Training Das ist nicht ver­schwen­de­tes Geld — es ist Ver­si­che­rung gegen Ran­som­wa­re. Aber es ist real. Die Alter­na­ti­ve: Kei­ne Cyber-Resi­li­enz bedeu­tet, dass Ihr Unter­neh­men 56% Chan­ce hat, Löse­geld zu zah­len (Sophos 2024). Für ein Unter­neh­men mit 5 Mio. EUR jähr­li­chen Cyber­an­griff-Schä­den (Bit­kom, Schät­zung) ist das eine gro­ße Chan­ce auf 2,8 Mio. EUR Löse­geld **plus** Ausfallzeiten. Eine gute Cyber-Resi­li­enz-Inves­ti­ti­on zahlt sich bei dem ers­ten blo­ckier­ten Angriff aus. ### Häu­fi­ge Fra­gen [\#](#h%C3%A4ufige-fragen "Häufige Fragen") **Kann Cyber-Resi­li­enz ohne IT-Sicher­heit funktionieren?** Nein. Wenn Sie kei­ne Prä­ven­ti­on haben, wer­den Sie so oft ange­grif­fen, dass selbst gute Cyber-Resi­li­enz über­wäl­tigt wird. Bei­des ist notwendig. **Ist Cyber-Resi­li­enz nur für gro­ße Unternehmen?** Nein. Ein KMU mit 100 Mit­ar­bei­tern und kri­ti­schen Daten soll­te auch Cyber-Resi­li­enz imple­men­tie­ren — ska­liert auf Größe. **Wie unter­schei­det sich eine Cyber-Resi­li­enz-Archi­tek­tur von Dis­as­ter Recovery?** DR behan­delt alle Aus­fäl­le gleich. Cyber-Resi­li­enz geht davon aus, dass der Angrei­fer intel­li­gent han­delt und ver­sucht Reco­very zu sabotieren. --- ### IT-Resilienz IT-Resilienz ist die Fähigkeit einer IT-Infrastruktur, unter widrigen Bedingungen — von Cyberangriffen über Hardwareausfälle bis zu Naturkatastrophen — funktionsfähig zu bleiben oder die Funktionsfähigkeit in definierter Zeit wiederherzustellen, sodass kritische Geschäftsprozesse aufrechterhalten werden. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/it-resilienz) ### Disaster Recovery Disaster Recovery bezeichnet die strukturierten Prozesse und technischen Maßnahmen, die sicherstellen, dass IT-Systeme nach einem schwerwiegenden Ausfall — Ransomware-Angriff, Hardwareversagen, Rechenzentrumsausfall — innerhalb definierter Zeitrahmen (RTO) mit maximalem Datenverlust (RPO) wiederhergestellt werden können. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/disaster-recovery) ### WORM WORM (Write Once, Read Many) bezeichnet ein Speicherprinzip, bei dem Daten einmal geschrieben und danach technisch nicht mehr verändert oder gelöscht werden können — bei Hardware-WORM ist diese Unveränderlichkeit eine physikalische Eigenschaft des Speicher-Controllers, unabhängig von Software, Betriebssystem oder Benutzerprivilegien. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/worm) ### WORM WORM (Write Once, Read Many) bezeichnet ein Speicherprinzip, bei dem Daten einmal geschrieben und danach technisch nicht mehr verändert oder gelöscht werden können — bei Hardware-WORM ist diese Unveränderlichkeit eine physikalische Eigenschaft des Speicher-Controllers, unabhängig von Software, Betriebssystem oder Benutzerprivilegien. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/worm)