--- title: IT-Resilienz date: 2026-06-01T17:22:00+02:00 canonical_url: "https://www.fast-lta.de//de/glossar/it-resilienz" section: Glossar --- IT-Resi­li­enz geht über klas­si­sche Hoch­ver­füg­bar­keit und IT-Sicher­heit hin­aus. Ver­füg­bar­keit schützt gegen ein­zel­ne Kom­po­nen­ten­aus­fäl­le (RAID, Clus­ter). Sicher­heit schützt gegen Angrif­fe (Fire­wall, EDR). Resi­li­enz schützt gegen Sze­na­ri­en, in denen gan­ze Sys­te­me, Stand­or­te oder Infra­struk­tur­schich­ten gleich­zei­tig aus­fal­len — und stellt sicher, dass die Orga­ni­sa­ti­on danach wie­der arbeits­fä­hig wird. Laut Alli­anz Risk Baro­me­ter 2025 sind Cyber­vor­fäl­le das größ­te Geschäfts­ri­si­ko für Unter­neh­men welt­weit — zum vier­ten Mal in Fol­ge. Ran­som­wa­re-Angrif­fe ver­ur­sa­chen durch­schnitt­lich 23 Tage Aus­fall­zeit (Sophos 2024). Die zen­tra­le Fra­ge lau­tet daher nicht mehr: ​„Wer­den wir ange­grif­fen?” Son­dern: ​„Wie schnell kön­nen wir danach wie­der arbeiten?” IT-Resi­li­enz ruht auf fünf Säu­len: Prä­ven­ti­on (Angrif­fe ver­hin­dern), Detek­ti­on (Angrif­fe erken­nen), Reak­ti­on (Inci­dent Respon­se), Wie­der­her­stel­lung (Reco­very) und Anpas­sung (Les­sons Lear­ned). Die Wie­der­her­stel­lungs­säu­le ist die kri­tischs­te: Prä­ven­ti­on, Detek­ti­on und Reak­ti­on kön­nen ver­sa­gen. Reco­very darf nicht ver­sa­gen — sie ist das letz­te Sicher­heits­netz. Reco­very funk­tio­niert nur, wenn die Daten, aus denen wie­der­her­ge­stellt wird, nicht eben­falls kom­pro­mit­tiert sind. Cyber-Resi­li­enz ist die Spe­zia­li­sie­rung auf Cyber­an­grif­fe und adres­siert ein spe­zi­fi­sches Pro­blem: Moder­ne Ran­som­wa­re zer­stört gezielt Back­up-Infra­struk­tur, bevor sie Pro­duk­tiv­sys­te­me ver­schlüs­selt. Das bedeu­tet: Der klas­si­sche Dis­as­ter-Reco­very-Plan, der von intak­ten Back­ups aus­geht, greift nicht mehr. Cyber-Resi­li­enz erfor­dert min­des­tens einen phy­sisch iso­lier­ten Wie­der­her­stel­lungs­pfad (Air Gap), der auch dann intakt bleibt, wenn alle ande­ren Schich­ten kom­pro­mit­tiert wurden. NIS2 (§30 NIS2UmsuCG) und DORA (Art. 11, 12) machen IT-Resi­li­enz für tau­sen­de Unter­neh­men zur Rechts­pflicht — mit per­sön­li­cher Haf­tung der Geschäftsleitung. ### Disaster Recovery Disaster Recovery bezeichnet die strukturierten Prozesse und technischen Maßnahmen, die sicherstellen, dass IT-Systeme nach einem schwerwiegenden Ausfall — Ransomware-Angriff, Hardwareversagen, Rechenzentrumsausfall — innerhalb definierter Zeitrahmen (RTO) mit maximalem Datenverlust (RPO) wiederhergestellt werden können. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/disaster-recovery) ### Air Gap Ein Air Gap ist die physische Unterbrechung jeder Netzwerkverbindung zwischen einem Backup-System und der übrigen IT-Infrastruktur, sodass das System im Offline-Zustand keine adressierbare Netzwerkschnittstelle besitzt und damit für Ransomware und Angreifer unerreichbar ist. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/air-gap) ### DORA DORA (Digital Operational Resilience Act, EU 2022/2554) ist eine EU-Verordnung, die seit Januar 2025 für alle regulierten Finanzmarktteilnehmer gilt und konkrete Anforderungen an IKT-Risikomanagement, Backup-Systeme (Art. 11 und 12), Drittanbieter-Management (Art. 28–30) sowie Incident-Meldung stellt. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/dora) ## Fragen und Antworten #### Was ist der Unterschied zwischen IT-Resilienz und IT-Sicherheit? IT-Sicherheit zielt darauf ab, Angriffe und Vorfälle zu verhindern. IT-Resilienz akzeptiert, dass Prävention nicht immer gelingt, und stellt sicher, dass die Organisation auch nach einem erfolgreichen Angriff wieder arbeitsfähig wird. Sicherheit ist eine Teilmenge von Resilienz — Resilienz umfasst zusätzlich Recovery, Business Continuity und Anpassungsfähigkeit. #### Wie oft sollten Recovery-Tests durchgeführt werden? Quartalsweise Recovery-Tests kritischer Systeme sind das Minimum — das empfehlen sowohl das BSI (CON.3.A11) als auch NIS2. Zusätzlich sollte einmal jährlich ein vollständiger Recovery-Test aller kritischen Systeme mit Zeitmessung gegen die RTO-Ziele durchgeführt werden. Ein Backup, das nie getestet wurde, ist kein Recovery-Plan — es ist eine Annahme.