---
title: "IT-Resilienz vs. IT-Sicherheit: Wo liegt der Unterschied?"
date: 2026-05-06T10:15:00+02:00
author: FAST LTA
canonical_url: "https://www.fast-lta.de//de/blog/it-resilienz-vs-it-sicherheit-wo-liegt-der-unterschied"
section: "Entries: Articles"
---
### Die kla­re Abgren­zung [\#](#die-klare-abgrenzung "Die klare Abgrenzung")

**IT-Sicher­heit** ant­wor­tet auf die Fra­ge: *Wie ver­hin­dern wir einen Angriff?* Sicher­heit ist **prä­ven­tiv**. Sie ver­sucht, Ein­dring­lin­ge drau­ßen zu hal­ten — durch Authen­ti­fi­zie­rung, Auto­ri­sie­rung, Ver­schlüs­se­lung, Log­ging und Thre­at Detection.

**IT-Resi­li­enz** ant­wor­tet auf die Fra­ge: *Wie stel­len wir uns wie­der her, wenn Prä­ven­ti­on fehlschlägt?* Resi­li­enz ist **reak­tiv**. Sie akzep­tiert, dass Prä­ven­ti­on nicht 100% ist, und berei­tet sich auf schnel­le Wie­der­her­stel­lung vor.

Die Unter­schei­dung ist nicht seman­tisch — sie ist stra­te­gisch. Ein Sys­tem kann sehr sicher sein und trotz­dem nicht resi­li­ent. Ein Bei­spiel: Ein hoch­ver­schlüs­sel­tes, authen­ti­fi­zier­tes und über­wach­tes Cloud-Spei­cher-Sys­tem, das aber täg­lich (oder noch schlim­mer, kon­ti­nu­ier­lich) mit dem Online-ERP syn­chro­ni­siert wird. Wenn der Angrei­fer das ERP kom­pro­mit­tiert und die Daten ver­schlüs­selt, repli­ziert die­se Ver­schlüs­se­lung in weni­gen Minu­ten auch in den Cloud-Spei­cher. Das Sys­tem war sehr sicher — aber völ­lig nicht-resi­li­ent, weil es kei­ne iso­lier­te Back­up-Kopie hatte.

### Das Pre­vent-Detect-Respond-Reco­ver Frame­work [\#](#das-prevent-detect-respond-recover-framework "Das Prevent-Detect-Respond-Recover Framework")

Um Sicher­heit und Resi­li­enz zu inte­grie­ren, den­ken Pro­fis in einem 4‑Stu­fen-Frame­work:

**Pre­vent (Sicher­heit):** Maß­nah­men, um Angrif­fe zu erschweren.

- Patch-Manage­ment und Vul­nerabi­li­ty Management
- End­point Detec­tion &amp; Respon­se (EDR)
- Zero Trust und Micro-Segmentierung
- Mul­ti-Fak­tor-Authen­ti­fi­zie­rung
- Employee Secu­ri­ty Awareness

Der Schlüs­sel: Die­se Maß­nah­men redu­zie­ren Angriffs­flä­che, aber sie eli­mi­nie­ren Risi­ko nicht.

**Detect (Sicher­heit + Über­wa­chung):** Die Fähig­keit, Ein­drin­gun­gen schnell zu erkennen.

- SIEM (Secu­ri­ty Infor­ma­ti­on &amp; Event Management)
- Net­work Detec­tion &amp; Respon­se (NDR)
- Thre­at Intel­li­gence und Beha­vi­oral Analytics
- Secu­ri­ty Ope­ra­ti­ons Cen­ter (SOC)

Der Schlüs­sel: Je schnel­ler Sie einen Angriff bemer­ken, des­to weni­ger Scha­den entsteht.

**Respond (Resi­li­enz-Vor­be­rei­tung):** Der struk­tu­rier­te Umgang mit erkann­tem Angriff.

- Inci­dent Respon­se Plan
- Kla­re Rol­len und Eskalationspfade
- Foren­sik-Kapa­zi­tät
- Kom­mu­ni­ka­ti­ons­plan (intern, extern, Behörden)
- Kri­sen­ma­nage­ment-Struk­tur

Der Schlüs­sel: Reak­ti­ons­ge­schwin­dig­keit mini­miert Scha­dens­aus­maß wäh­rend des Angriffs.

**Reco­ver (Resi­li­enz):** Die tech­ni­sche Fähig­keit, zu einem bekann­ter­ma­ßen siche­ren Zustand zurückzukehren.

- Back­up-Manage­ment mit iso­lier­ter (Air-Gap) Ebene
- Reco­very-Run­books und Wiederherstellungs-Verfahren
- Iso­lier­te Reco­very-Umge­bung (IRE) ohne Netzwerk-Zugang
- Regel­mä­ßi­ge Reco­very-Tests (vier­tel­jähr­lich)
- Veri­fied Reco­vera­bi­li­ty (nicht nur theo­re­tisch, son­dern getestet)

Der Schlüs­sel: Wenn Prä­ven­ti­on, Detek­ti­on und Reak­ti­on ver­sa­gen, ist Reco­very die letz­te Verteidigungslinie.

### Typi­scher Feh­ler: Nur in Prä­ven­ti­on inves­tie­ren [\#](#typischer-fehler-nur-in-pr%C3%A4vention-investieren "Typischer Fehler: Nur in Prävention investieren")

Vie­le IT-Teams fokus­sie­ren exklu­siv auf die Pre­vent-Pha­se. Sie imple­men­tie­ren EDR, SIEM, Seg­men­tie­rung — alles sehr sinn­voll. Aber sie ver­nach­läs­si­gen Recovery:

- Kei­ne iso­lier­te Back­up-Ebe­ne (Tier 2)
- Kei­ne Back­up-Iso­la­ti­on vom Produktionsnetzwerk
- Kei­ne regel­mä­ßi­gen Recovery-Tests
- Kei­ne iso­lier­te Reco­very-Umge­bung (Zone 3)

Das ist wie ein Haus mit exzel­len­ten Schlös­sern zu bau­en — aber ohne Feuerlöscher.

Die Kon­se­quenz: Wenn Ran­som­wa­re ein­dringt (und sie wer­den ein­drin­gen), sind die Back­ups genau­so ver­schlüs­selt wie die Pro­duk­ti­ons­da­ten. Reco­very ist unmög­lich, und Löse­geld wird wahr­schein­lich gezahlt.

### Kon­se­quenz bei Feh­len von Resi­li­enz [\#](#konsequenz-bei-fehlen-von-resilienz "Konsequenz bei Fehlen von Resilienz")

Die Zah­len sind beun­ru­hi­gend: 56% der Ran­som­wa­re-Opfer zah­len Löse­geld (Sophos 2024). Das ist nicht irra­tio­nal — wenn Reco­very unmög­lich ist, wird Löse­geld ratio­na­le Wirtschaft.

Aber es ist auch ein Sym­ptom dafür, dass zu vie­le Orga­ni­sa­tio­nen kein ver­trau­ens­wür­di­ges Resi­li­enz-Pro­gramm haben. Mit guter Resilienz:

- Reco­very wird mög­lich in Stun­den bis Tagen (nicht Wochen)
- Löse­geld wird unnötig
- Geschäft kann schnell weitergehen
- Kun­den­aus­fall­zei­ten sind minimal

Ohne gute Resilienz:

- Reco­very ist unmög­lich oder dau­ert Wochen
- Löse­geld wird zur Frage
- Geschäfts­un­ter­bre­chung ist gravierend
- Kun­den­ab­gang und Reputationsschaden
- Regu­la­to­ri­sche Stra­fen (NIS2 §30, DORA)

### Die Kom­ple­men­ta­ri­tät bei­der Dis­zi­pli­nen [\#](#die-komplementarit%C3%A4t-beider-disziplinen "Die Komplementarität beider Disziplinen")

Die bes­te Pra­xis ist nicht ​“Sicher­heit ODER Resi­li­enz”. Es ist ​“Sicher­heit UND Resilienz”.

**Sicher­heit redu­ziert die Wahr­schein­lich­keit eines Angriffs.** Mit guter Prä­ven­ti­on sinkt Ihre Angriffs-Expos­re erheblich.

**Resi­li­enz redu­ziert die Aus­wir­kun­gen eines Angriffs.** Mit guter Wie­der­her­stel­lungs-Fähig­keit wird selbst ein erfolg­rei­cher Angriff begrenzt.

Ein ein­fa­ches Sze­na­rio: Ein gut geschütz­tes Unter­neh­men mit schwa­cher Resi­li­enz wird von einem fort­ge­schrit­te­nen Angrei­fer mit 1% Wahr­schein­lich­keit getrof­fen — erlei­det dann aber 10 Mio. EUR Scha­den. Ein Unter­neh­men mit weni­ger Sicher­heit (3% Angriffs-Wahr­schein­lich­keit) aber guter Resi­li­enz erlei­det nur 500.000 EUR Scha­den pro Angriff. Lang­fris­tig zahlt sich eine Balan­ce aus.

### Häu­fi­ge Fra­gen [\#](#h%C3%A4ufige-fragen "Häufige Fragen")

**Ist EDR Sicher­heit oder Resilienz?** EDR (End­point Detec­tion &amp; Respon­se) ist tech­nisch Sicher­heit (Prevent/​Detect) — aber es kon­tri­bu­iert auch zu Resi­li­enz, weil eine schnel­le Detek­ti­on eine schnel­le­re Reak­ti­on ermöglicht.

**Ist Back­up Resilienz?** Back­up ist not­wen­dig für Resi­li­enz, aber nicht hin­rei­chend. Ein Back­up ohne Iso­la­ti­on vom kom­pro­mit­tier­ten Netz­werk ist nutz­los bei Ran­som­wa­re. Back­up ist also Infra­struk­tur für Resilienz.

**Kön­nen wir auf IT-Sicher­heit ver­zich­ten, wenn wir gute Resi­li­enz haben?** Nein. Ohne Prä­ven­ti­on wer­den Sie per­ma­nent ange­grif­fen, und selbst gute Resi­li­enz wird über­wäl­tigt. Die bes­te Pra­xis ist beide.

---

### Disaster Recovery

Disaster Recovery bezeichnet die strukturierten Prozesse und technischen Maßnahmen, die sicherstellen, dass IT-Systeme nach einem schwerwiegenden Ausfall — Ransomware-Angriff, Hardwareversagen, Rechenzentrumsausfall — innerhalb definierter Zeitrahmen (RTO) mit maximalem Datenverlust (RPO) wiederhergestellt werden können.

[Mehr erfahren →](https://www.fast-lta.de//de/glossar/disaster-recovery)

### Disaster Recovery

Disaster Recovery bezeichnet die strukturierten Prozesse und technischen Maßnahmen, die sicherstellen, dass IT-Systeme nach einem schwerwiegenden Ausfall — Ransomware-Angriff, Hardwareversagen, Rechenzentrumsausfall — innerhalb definierter Zeitrahmen (RTO) mit maximalem Datenverlust (RPO) wiederhergestellt werden können.

[Mehr erfahren →](https://www.fast-lta.de//de/glossar/disaster-recovery)

### Disaster Recovery

Disaster Recovery bezeichnet die strukturierten Prozesse und technischen Maßnahmen, die sicherstellen, dass IT-Systeme nach einem schwerwiegenden Ausfall — Ransomware-Angriff, Hardwareversagen, Rechenzentrumsausfall — innerhalb definierter Zeitrahmen (RTO) mit maximalem Datenverlust (RPO) wiederhergestellt werden können.

[Mehr erfahren →](https://www.fast-lta.de//de/glossar/disaster-recovery)

### Disaster Recovery

Disaster Recovery bezeichnet die strukturierten Prozesse und technischen Maßnahmen, die sicherstellen, dass IT-Systeme nach einem schwerwiegenden Ausfall — Ransomware-Angriff, Hardwareversagen, Rechenzentrumsausfall — innerhalb definierter Zeitrahmen (RTO) mit maximalem Datenverlust (RPO) wiederhergestellt werden können.

[Mehr erfahren →](https://www.fast-lta.de//de/glossar/disaster-recovery)

### Disaster Recovery

Disaster Recovery bezeichnet die strukturierten Prozesse und technischen Maßnahmen, die sicherstellen, dass IT-Systeme nach einem schwerwiegenden Ausfall — Ransomware-Angriff, Hardwareversagen, Rechenzentrumsausfall — innerhalb definierter Zeitrahmen (RTO) mit maximalem Datenverlust (RPO) wiederhergestellt werden können.

[Mehr erfahren →](https://www.fast-lta.de//de/glossar/disaster-recovery)

### DORA

DORA (Digital Operational Resilience Act, EU 2022/2554) ist eine EU-Verordnung, die seit Januar 2025 für alle regulierten Finanzmarktteilnehmer gilt und konkrete Anforderungen an IKT-Risikomanagement, Backup-Systeme (Art. 11 und 12), Drittanbieter-Management (Art. 28–30) sowie Incident-Meldung stellt.

[Mehr erfahren →](https://www.fast-lta.de//de/glossar/dora)