IT-Resilienz

1. Was bedeu­tet IT-Resi­li­enz? #

IT-Resi­li­enz ist die Fähig­keit einer IT-Infra­struk­tur, unter wid­ri­gen Bedin­gun­gen funk­ti­ons­fä­hig zu blei­ben oder die Funk­ti­ons­fä­hig­keit in defi­nier­ter Zeit wie­der­her­zu­stel­len. Der Begriff geht über klas­si­sche Hoch­ver­füg­bar­keit hin­aus: Ver­füg­bar­keit schützt gegen ein­zel­ne Kom­po­nen­ten­aus­fäl­le. Resi­li­enz schützt gegen Sze­na­ri­en, in denen gan­ze Sys­te­me, Stand­or­te oder Infra­struk­tur­schich­ten gleich­zei­tig ausfallen.

Resi­li­enz vs. Ver­füg­bar­keit vs. Sicher­heit #

Die kri­ti­sche Erkennt­nis: Ver­füg­bar­keit und Sicher­heit kön­nen ver­sa­gen. Resi­li­enz darf nicht ver­sa­gen — sie ist das letz­te Sicher­heits­netz, wenn alle ande­ren Schich­ten durch­bro­chen wurden.

War­um IT-Resi­li­enz jetzt Chef­sa­che ist #

Drei Ent­wick­lun­gen machen IT-Resi­li­enz zu einer Vorstandsaufgabe:

1. Ran­som­wa­re als exis­ten­zi­el­le Bedro­hung: Ein erfolg­rei­cher Angriff kann wochen- bis mona­te­lan­gen Betriebs­aus­fall ver­ur­sa­chen. Unter­neh­men, die sich nicht wie­der­her­stel­len kön­nen, über­le­ben nicht.

2. Regu­la­to­ri­scher Druck: NIS2, KRI­TIS-Dach­ge­setz und bran­chen­spe­zi­fi­sche Regu­lie­run­gen (BAIT, DORA) machen Resi­li­enz zur Rechts­pflicht — mit per­sön­li­cher Haf­tung der Geschäftsleitung.

3. Lie­fer­ket­ten-Abhän­gig­kei­ten: Ein Aus­fall bei einem kri­ti­schen Zulie­fe­rer oder Cloud-Pro­vi­der kann gan­ze Wert­schöp­fungs­ket­ten unter­bre­chen. Resi­li­enz muss über die eige­ne Orga­ni­sa­ti­on hin­aus gedacht werden.

2. Die fünf Säu­len der IT-Resi­li­enz #

IT-Resi­li­enz ist kein ein­zel­nes Pro­dukt und kei­ne ein­zel­ne Maß­nah­me — sie ist ein Archi­tek­tur­prin­zip, das auf fünf Säu­len ruht.

Säu­le 1: Prä­ven­ti­on #

Angrif­fe und Aus­fäl­le ver­hin­dern, wo möglich.

• Patch-Manage­ment und Schwachstellenmanagement
• End­point Detec­tion and Respon­se (EDR)
• Netz­werk­seg­men­tie­rung
• Zero-Trust-Archi­tek­tur
• Secu­ri­ty Awa­re­ness Training

Rea­li­täts­check: Prä­ven­ti­on redu­ziert das Risi­ko, eli­mi­niert es aber nicht. Angrei­fer blei­ben oft wochen­lang, teils mona­te­lang unent­deckt im Netz­werk — vie­le Angrif­fe wer­den erst ent­deckt, wenn der Scha­den bereits ange­rich­tet ist.

Säu­le 2: Detek­ti­on #

Angrif­fe und Anoma­lien erken­nen, bevor der maxi­ma­le Scha­den eintritt.

• SIEM (Secu­ri­ty Infor­ma­ti­on and Event Management)
• Net­work Detec­tion and Respon­se (NDR)
• Anoma­lie-Erken­nung in Backup-Systemen
• Log-Ana­ly­se und Korrelation
• ²⁴⁄₇ Secu­ri­ty Ope­ra­ti­ons Cen­ter (SOC)

Säu­le 3: Reak­ti­on (Inci­dent Respon­se) #

Schnell und struk­tu­riert han­deln, wenn ein Vor­fall eintritt.

• Inci­dent-Respon­se-Plan mit defi­nier­ten Rol­len und Eskalationsstufen
• Kom­mu­ni­ka­ti­ons­plan (intern und extern)
• Foren­si­sche Analyse-Fähigkeit
• Koor­di­na­ti­on mit Behör­den (BSI, LKA)
• Doku­men­ta­ti­ons­pflich­ten nach NIS2

Säu­le 4: Wie­der­her­stel­lung (Reco­very) #

Die kri­tischs­te Säu­le: Sys­te­me und Daten in akzep­ta­bler Zeit wiederherstellen.

• Mehr­stu­fi­ge Back­up-Archi­tek­tur mit Air-Gap-Layer
• Doku­men­tier­te Reco­very Time Objec­ti­ves (RTO) und Reco­very Point Objec­ti­ves (RPO)
• Reco­very-Run­books für alle kri­ti­schen Systeme
• Regel­mä­ßi­ge Reco­very-Tests (quar­tals­wei­se)
• Prio­ri­sier­te Wiederherstellungsreihenfolge

War­um Reco­very die ent­schei­den­de Säu­le ist: Prä­ven­ti­on, Detek­ti­on und Reak­ti­on kön­nen ver­sa­gen. Reco­very ist der Punkt, an dem sich ent­schei­det, ob ein Unter­neh­men wei­ter­be­steht oder nicht. Und Reco­very funk­tio­niert nur, wenn die Daten, aus denen wie­der­her­ge­stellt wird, nicht eben­falls kom­pro­mit­tiert sind.

Säu­le 5: Anpas­sung (Adapt­a­ti­on) #

Aus Vor­fäl­len ler­nen und die Resi­li­enz kon­ti­nu­ier­lich verbessern.

• Post-Inci­dent Reviews (Les­sons Learned)
• Anpas­sung der Archi­tek­tur an neue Bedrohungen
• Table­top Exer­ci­s­es und Simulationen
• Jähr­li­che Architektur-Reviews
• Aus­tausch in Bran­chen-CERTs und ISACs

3. Cyber-Resi­li­enz: Wenn Prä­ven­ti­on nicht reicht #

Cyber-Resi­li­enz ist die Spe­zia­li­sie­rung von IT-Resi­li­enz auf Cyber­an­grif­fe. Sie adres­siert ein spe­zi­fi­sches Pro­blem: Cyber­an­grif­fe — ins­be­son­de­re Ran­som­wa­re — sind dar­auf aus­ge­legt, nicht nur ein­zel­ne Sys­te­me zu stö­ren, son­dern die gesam­te Wie­der­her­stel­lungs­fä­hig­keit zu zerstören.

Das Ran­som­wa­re-Dilem­ma #

Moder­ne Ran­som­wa­re greift gezielt Back­up-Infra­struk­tur an. Das bedeu­tet: Der klas­si­sche Dis­as­ter-Reco­very-Plan, der davon aus­geht, dass Back­ups intakt sind, greift nicht mehr.

Das Sze­na­rio, das Cyber-Resi­li­enz lösen muss:

• Pro­duk­tiv­sys­te­me: verschlüsselt ✗
• Acti­ve Direc­to­ry: kompromittiert ✗
• Online-Back­up: gelöscht ✗
• Cloud-Back­up: über kom­pro­mit­tier­te IAM-Cre­den­ti­als gelöscht ✗
• Air-Gap-Back­up: intakt ✓ — phy­sisch nicht erreich­bar gewesen

Cyber-Resi­li­enz bedeu­tet: Auch im abso­lu­ten Worst Case — wenn ein Angrei­fer Domä­nen­ad­mi­nis­tra­tor-Rech­te hat­te und wochen- lang unent­deckt blieb — bleibt min­des­tens ein Wie­der­her­stel­lungs­pfad intakt.

Die drei Prin­zi­pi­en der Cyber-Resi­li­enz #

Prin­zip 1: Assu­me Breach Gehen Sie davon aus, dass Ihr Netz­werk kom­pro­mit­tiert wird. Bau­en Sie Ihre Reco­very-Archi­tek­tur so, dass sie auch dann funktioniert.

Prin­zip 2: Iso­lier­te Recovery-Fähigkeit Min­des­tens ein Wie­der­her­stel­lungs­pfad muss phy­sisch vom Pro­duk­ti­ons­netz­werk getrennt sein — nicht nur logisch, nicht nur durch Soft­ware-Poli­ci­es, son­dern phy­sisch unerreichbar.

Prin­zip 3: Veri­fi­zier­te Wiederherstellbarkeit Ein Back­up, das nie getes­tet wur­de, ist kein Reco­very-Plan — es ist eine Annah­me. Quar­tals­wei­se Reco­very-Tests sind das Minimum.

Cyber-Resi­li­enz-Archi­tek­tur: Die drei Zonen #

Zone 1: Produktionszone
├── Server, VMs, Datenbanken, Applikationen
├── Netzwerkgebundene Systeme
└── Angriffsfläche: HOCH

Zone 2: Backup-Zone (netzwerkgebunden)
├── Primäres Backup-Repository
├── Snapshot-Immutabilität (ergänzend)
└── Angriffsfläche: MITTEL (credentials-erreichbar)

Zone 3: Isolierte Recovery-Zone (Air Gap)
├── Hardware Air Gap System
├── Nur während Backup-Fenster erreichbar
├── Keine Netzwerkschnittstelle im Offline-Zustand
└── Angriffsfläche: MINIMAL

Zone 3 ist die Cyber-Resi­li­enz-Ver­si­che­rung: Selbst wenn Zone 1 und Zone 2 voll­stän­dig kom­pro­mit­tiert wer­den, blei­ben die Daten in Zone 3 intakt.

4. Busi­ness Con­ti­nui­ty und Dis­as­ter Reco­very #

Busi­ness Con­ti­nui­ty Manage­ment (BCM) #

Busi­ness Con­ti­nui­ty Manage­ment ist der orga­ni­sa­to­ri­sche Rah­men, in dem IT-Resi­li­enz ope­riert. BCM definiert:

• Kri­ti­sche Geschäfts­pro­zes­se: Wel­che Pro­zes­se müs­sen als ers­tes wie­der­her­ge­stellt werden?
• Maxi­mum Tole­ra­ble Down­ti­me (MTD): Wie lan­ge kann ein Pro­zess maxi­mal aus­fal­len, bevor das Unter­neh­men exis­tenz­be­dro­hen­de Schä­den erleidet?
• Busi­ness Impact Ana­ly­sis (BIA): Wel­che finan­zi­el­len, ope­ra­ti­ven und repu­ta­ti­ven Schä­den ent­ste­hen pro Stun­de Ausfall?

RTO und RPO: Die zwei Kenn­zah­len, die alles bestim­men #

Der häu­figs­te Feh­ler: RTO und RPO wer­den defi­niert, aber nie gegen die tat­säch­li­che Back­up-Archi­tek­tur getes­tet. Ein RTO von 4 Stun­den ist wert­los, wenn der tat­säch­li­che Res­to­re 48 Stun­den dauert.

Dis­as­ter Reco­very: Der Plan für den Ernst­fall #

Ein Dis­as­ter-Reco­very-Plan doku­men­tiert exakt, wie Sys­te­me nach einem Total­aus­fall wie­der­her­ge­stellt wer­den. Er muss fol­gen­de Ele­men­te enthalten:

1. Aus­lö­se­kri­te­ri­en: Wann wird der DR-Plan aktiviert?
2. Rol­len und Ver­ant­wort­lich­kei­ten: Wer ent­schei­det, wer handelt?
3. Wie­der­her­stel­lungs­rei­hen­fol­ge: Wel­che Sys­te­me zuerst?
4. Tech­ni­sche Reco­very-Schrit­te: Schritt-für-Schritt-Anlei­tung je System
5. Kom­mu­ni­ka­ti­ons­plan: Wer wird wann wie informiert?
6. Erfolgs­kri­te­ri­en: Wor­an erken­nen wir, dass die Wie­der­her­stel­lung abge­schlos­sen ist?

Kri­tisch: Der DR-Plan muss off­line ver­füg­bar sein — gedruckt, im Tre­sor. Wenn Ihre IT-Infra­struk­tur kom­pro­mit­tiert ist, ist Ihr Share­Point-Ord­ner mit dem DR-Plan mög­li­cher­wei­se auch nicht mehr zugänglich.

Typi­sche RTO-Wer­te nach Back­up-Archi­tek­tur #

*Online-Back­up: RTO nur erreich­bar, wenn Back­up nicht kom­pro­mit­tiert — bei Ran­som­wa­re kei­ne Garantie.

5. Die Rol­le der Back­up-Archi­tek­tur #

Back­up als Fun­da­ment der Resi­li­enz #

Die Back­up-Archi­tek­tur ist das tech­ni­sche Fun­da­ment jeder Resi­li­enz-Stra­te­gie. Ohne intak­te Back­ups gibt es kei­ne Wie­der­her­stel­lung — und ohne Wie­der­her­stel­lung gibt es kei­ne Resilienz.

Die mehr­stu­fi­ge Refe­renz­ar­chi­tek­tur #

Eine resi­li­en­te Back­up-Archi­tek­tur arbei­tet in Tiers — jede Stu­fe adres­siert ein ande­res Risikoszenario:

Tier 1 — Pri­mä­res Back­up (Online)

• Netz­werk­ge­bun­de­nes Backup-Repository
• Funk­ti­on: Schnel­le Wie­der­her­stel­lung ein­zel­ner Datei­en und VMs
• RPO: 1 – 4 Stun­den | RTO: < 1 Stunde
• Risi­ko: Cre­den­ti­als-erreich­bar → bei Ran­som­wa­re kompromittierbar

Tier 2 — Air-Gap-Lay­er (phy­sisch isoliert)

• Hard­ware Air Gap Sys­tem (z.B. Silent Brick System)
• Funk­ti­on: Ran­som­wa­re-siche­re Wie­der­her­stel­lung gan­zer Systeme
• RPO: 24 Stun­den | RTO: 4 – 8 Stunden
• Risi­ko: Mini­mal — phy­sisch nicht erreich­bar außer­halb des Backup-Fensters

Tier 3 — Lang­zeit­ar­chiv (WORM)

• Unver­än­der­li­ches Archiv (z.B. Silent Cubes)
• Funk­ti­on: Revi­si­ons­si­che­re Lang­zeit­auf­be­wah­rung, his­to­ri­sche Recovery
• RPO: 7 Tage | RTO: 8 – 24 Stunden
• Risi­ko: Sehr nied­rig — beschrie­be­ne Daten phy­sisch unveränderlich

Tier 4 — Geo­gra­fi­sche Redundanz

• Off-Site-Repli­ka­ti­on an zwei­ten Standort
• Funk­ti­on: Schutz gegen Standortkatastrophen
• RPO: 4 – 24 Stun­den | RTO: 4 – 24 Stunden

War­um der Air-Gap-Lay­er ent­schei­dend ist #

In einer Ran­som­wa­re-Situa­ti­on sind Tier 1 (Online-Back­up) und Tier 4 (Cloud-Repli­ka­ti­on) poten­zi­ell kom­pro­mit­tiert — bei­de sind netz­wer­ker­reich­bar. Tier 3 (WORM) schützt Archiv­da­ten, aber nicht not­wen­di­ger­wei­se aktu­el­le Backup-Generationen.

Tier 2 — der Air-Gap-Lay­er — ist die Resi­li­enz-Ver­si­che­rung: Er ent­hält aktu­el­le Back­up-Daten, die phy­sisch nicht angreif­bar waren.

→ Silent Brick Sys­tem: Air-Gap-Backup → Silent Cubes: WORM-Archivierung

6. NIS2 und KRI­TIS: Resi­li­enz als Rechts­pflicht #

NIS2: Resi­li­enz ist kei­ne Emp­feh­lung mehr #

Die NIS2-Richt­li­nie und das NIS2UmsuCG machen IT-Resi­li­enz für tau­sen­de deut­sche Unter­neh­men zur Rechts­pflicht. §30 BSIG-neu ver­langt konkret:

Per­sön­li­che Haf­tung der Geschäfts­lei­tung #

NIS2 ver­schärft die Haf­tung: Geschäfts­füh­rer und Vor­stän­de haf­ten per­sön­lich dafür, dass ange­mes­se­ne Risi­ko­ma­nage­ment­maß­nah­men umge­setzt wer­den. ​„Wir wuss­ten es nicht” ist kei­ne Ver­tei­di­gung — das NIS2UmsuCG ver­pflich­tet die Geschäfts­lei­tung, sich regel­mä­ßig über die Cyber­si­cher­heits­la­ge zu infor­mie­ren und Maß­nah­men zu genehmigen.

KRI­TIS-Dach­ge­setz: Phy­si­sche und IT-Resi­li­enz ver­schmel­zen #

Das KRI­TIS-Dach­ge­setz erwei­tert den Resi­li­enz-Begriff auf phy­si­sche Sicher­heit. Für KRI­TIS-Betrei­ber bedeu­tet das: IT-Resi­li­enz und phy­si­sche Resi­li­enz müs­sen gemein­sam gedacht wer­den. Ein Rechen­zen­trum braucht nicht nur Ran­som­wa­re-Schutz, son­dern auch Schutz gegen Strom­aus­fall, Hoch­was­ser und phy­si­schen Zugang.

Was Audi­to­ren prü­fen wer­den #

Betrof­fe­ne Ein­rich­tun­gen müs­sen mit Audits rech­nen. Typi­sche Prüf­punk­te im Bereich Resilienz:

• [ ] Ist ein doku­men­tier­tes Daten­si­che­rungs­kon­zept vor­han­den? (BSI CON.3)
• [ ] Sind RTO/RPO je Sys­tem doku­men­tiert und durch Tests belegt?
• [ ] Exis­tiert ein phy­sisch getrenn­tes (air-gap­ped) Backup?
• [ ] Wer­den Reco­very-Tests regel­mä­ßig durch­ge­führt und dokumentiert?
• [ ] Exis­tiert ein DR-Plan mit defi­nier­ten Rol­len und Kommunikationswegen?
• [ ] Ist der DR-Plan off­line ver­füg­bar (gedruckt, im Tresor)?
• [ ] Wer­den Back­up-Sys­te­me mit eige­nen Admi­nis­tra­tor­kon­ten verwaltet?
• [ ] Ist die Geschäfts­lei­tung über die Resi­li­enz-Maß­nah­men informiert?

7. Resi­li­enz-Rei­fe­grad: Wo steht Ihr Unter­neh­men? #

Das Resi­li­enz-Rei­fe­grad­mo­dell #

Ver­wen­den Sie die­ses Modell zur Selbst­ein­schät­zung. Wo ord­nen Sie Ihre Orga­ni­sa­ti­on ein?

Stu­fe 1 — Reak­tiv (unvor­be­rei­tet)

• Kein doku­men­tier­ter DR-Plan
• Back­ups exis­tie­ren, wer­den aber nie getestet
• RTO/RPO nicht definiert
• Kein Inci­dent-Respon­se-Pro­zess
• Risi­ko: Exis­tenz­be­dro­hend bei Ransomware-Angriff

Stu­fe 2 — Grund­le­gend (teil­wei­se vorbereitet)

• DR-Plan exis­tiert, ist aber veraltet
• Back­ups wer­den durch­ge­führt, Reco­very-Tests selten
• RTO/RPO defi­niert, aber nicht verifiziert
• Back­up-Sys­te­me mit Pro­duk­ti­ons-Cre­den­ti­als verwaltet
• Risi­ko: Wochen- bis mona­te­lan­ger Aus­fall möglich

Stu­fe 3 — Defi­niert (struk­tu­riert vorbereitet)

• Aktu­el­ler DR-Plan mit defi­nier­ten Rollen
• Regel­mä­ßi­ge Back­ups mit gele­gent­li­chen Recovery-Tests
• RTO/RPO doku­men­tiert und in Back­up-Archi­tek­tur reflektiert
• Netz­werk­seg­men­tie­rung vorhanden
• Risi­ko: Tage bis Wochen Aus­fall bei Ransomware

Stu­fe 4 — Gema­nagt (resi­li­ent)

• Mehr­stu­fi­ge Back­up-Archi­tek­tur mit Air-Gap-Layer
• Quar­tals­wei­se Reco­very-Tests mit doku­men­tier­ten Ergebnissen
• Getrenn­te Admi­nis­tra­tor­kon­ten für Backup-Systeme
• Inci­dent-Respon­se-Plan mit regel­mä­ßi­gen Übungen
• DR-Plan off­line verfügbar
• Risi­ko: Stun­den bis Tage Aus­fall — kontrollierbar

Stu­fe 5 — Opti­miert (cyber-resi­li­ent)

• Auto­ma­ti­sier­ter Hard­ware Air Gap mit veri­fi­zier­tem Recovery
• Cyber-Resi­li­enz-Archi­tek­tur mit iso­lier­ter Recovery-Zone
• Jähr­li­che Table­top Exer­ci­s­es und Red-Team-Tests
• Kon­ti­nu­ier­li­che Ver­bes­se­rung nach jedem Vorfall
• NIS2/­KRI­TIS-kon­form mit voll­stän­di­ger Dokumentation
• Risi­ko: Kon­trol­liert — Wie­der­her­stel­lung in defi­nier­ten Zeit­rah­men belegt

Wo die meis­ten Unter­neh­men ste­hen #

Nach unse­rer Erfah­rung aus über 2.500 Instal­la­tio­nen befin­den sich die meis­ten deut­schen Unter­neh­men auf Stu­fe 2 oder 3 — sie haben Back­ups und grund­le­gen­de Pro­zes­se, aber kei­ne nach­ge­wie­se­ne Wie­der­her­stel­lungs­fä­hig­keit bei einem Ran­som­wa­re-Angriff, der auch die Back­up-Infra­struk­tur trifft.

Der Sprung von Stu­fe 3 auf Stu­fe 4 — die Ein­füh­rung eines Air-Gap-Lay­ers und regel­mä­ßi­ger Reco­very-Tests — ist der wir­kungs­volls­te ein­zel­ne Schritt zur Stei­ge­rung der IT-Resilienz.

8. Auf­bau einer resi­li­en­ten IT-Archi­tek­tur #

Der 10-Punk­te-Plan für IT-Resi­li­enz #

Quick Wins: Was Sie die­se Woche tun kön­nen #

1. Back­up-Inven­tar erstel­len: Lis­ten Sie alle Back­up-Sys­te­me auf. Für jedes Sys­tem: Kann ein Angrei­fer mit Admin-Cre­den­ti­als es löschen? Wenn ja → gefährdet.
2. Letz­ten Reco­very-Test recher­chie­ren: Wann wur­de zuletzt ein voll­stän­di­ger Res­to­re getes­tet? Wenn die Ant­wort ​„nie” oder ​„vor über einem Jahr” ist → kri­ti­sche Lücke.
3. DR-Plan aus­dru­cken: Wenn Ihr DR-Plan nur digi­tal exis­tiert, dru­cken Sie die kri­tischs­ten Abschnit­te aus und depo­nie­ren Sie sie im Tresor.
4. Resi­li­enz-Assess­ment anfra­gen: Las­sen Sie Ihre Archi­tek­tur von außen bewer­ten — fri­sche Augen sehen Lücken, die im All­tag über­se­hen werden.