Fachartikel vom 9. Juli 2026
Cloud-Abhängigkeit als KRITIS-Risiko
Bitkom befragt 603 Unternehmen, und die Zahlen zur sind unbequem. Noch dazu treffen sie auf eine regulatorische Frist, die nicht ignorieren können.
Lesezeit: ca. 6 Minuten | Zuletzt aktualisiert: Juli 2026
Datensouveränität
Datensouveränität beschreibt die vollständige Kontrolle einer Organisation über ihre Daten: wo sie gespeichert werden, wer darauf zugreifen kann, welchem Rechtsrahmen sie unterliegen und ob sie jederzeit ohne Abhängigkeit von einem einzelnen Anbieter verfügbar sind.
KRITIS
KRITIS bezeichnet Organisationen und Einrichtungen, deren Ausfall oder Beeinträchtigung zu erheblichen Versorgungsengpässen oder Gefährdungen der öffentlichen Sicherheit führen würde — KRITIS-Betreiber unterliegen nach §8a BSI-Gesetz verschärften Anforderungen an IT-Sicherheit und müssen diese alle zwei Jahre gegenüber dem BSI nachweisen.
KRITIS
KRITIS bezeichnet Organisationen und Einrichtungen, deren Ausfall oder Beeinträchtigung zu erheblichen Versorgungsengpässen oder Gefährdungen der öffentlichen Sicherheit führen würde — KRITIS-Betreiber unterliegen nach §8a BSI-Gesetz verschärften Anforderungen an IT-Sicherheit und müssen diese alle zwei Jahre gegenüber dem BSI nachweisen.
85 Prozent der deutschen Unternehmen halten Deutschland für zu abhängig von US-Cloud-Anbietern. 95 Prozent nennen Vertrauen in IT-Sicherheit, Datenschutz und Compliance als Must-have-Kriterium bei der Providerwahl. Und 87 Prozent fordern Schutz vor unbefugtem Zugriff, auch durch den Cloud-Anbieter selbst.
Das sind keine abstrakten Stimmungsbilder. Das sind Signale, die auf eine konkrete regulatorische Realität treffen: Das
Für CIOs und CISOs in kritischen Infrastrukturen stellt sich damit eine Frage, die der Bitkom Cloud Report 2026 schärfer formuliert als jede Compliance-Broschüre: Wie souverän ist Ihre Infrastruktur wirklich?
Was das KRITIS-Dachgesetz konkret fordert
Das
- Redundanten Systemen für Daten und Betrieb
- Meldepflichten bei Vorfällen gegenüber dem BBK (binnen 24 Stunden)
- Risikoanalysen und dokumentierten Resilienzplänen
- Nachweisbarer Resilienz gegenüber physischen und digitalen Bedrohungen
Ergänzend dazu greift
Was der Bitkom Cloud Report 2026 zeigt
Der jährlich erscheinende Cloud Report von Bitkom Research liefert dieses Jahr Daten, die für
IT-Sicherheit ist das wichtigste Cloud-Ziel. Aber das allein reicht nicht
75 Prozent der Cloud-nutzenden Unternehmen geben an, mit der Cloud primär die IT-Sicherheit erhöhen zu wollen. Das ist eine deutliche Steigerung um 18 Prozentpunkte gegenüber 2024. Der Impuls ist verständlich, die Umsetzung birgt jedoch einen strukturellen Widerspruch, den der Report selbst benennt.
Bei der Auswahl von Cloud-Providern nennen 87 Prozent der Unternehmen den Schutz vor unbefugtem Zugriff des Cloud-Anbieters selbst als Must-have-Kriterium. Wer also die Sicherheit erhöhen will, indem er Daten in die Cloud verlagert, erwartet gleichzeitig, dass der Anbieter keinen unkontrollierten Zugriff auf diese Daten hat. Das ist ein Ziel, das viele Public-Cloud-Verträge strukturell nicht erfüllen können.
Die Souveränitätslücke: Wunsch und Realität klaffen weit auseinander
71 Prozent der befragten Unternehmen nutzen aktuell Cloud-Dienste von Anbietern aus den USA. Bevorzugen würden diesen Ansatz nur 8 Prozent. Umgekehrt: 91 Prozent würden deutsche Cloud-Anbieter bevorzugen, tatsächlich genutzt werden sie von 53 Prozent.
Diese Lücke ist kein Nischenproblem. 85 Prozent der Unternehmen halten Deutschland für zu abhängig von US-Anbietern. 80 Prozent fordern deutsche oder europäische Hyperscaler. Und 64 Prozent der Cloud-Nutzer sagen, die aktuelle US-Politik zwingt sie, ihre Cloud-Strategie zu überdenken (im Vorjahr waren es 50 Prozent).

Für
Lock-in als operatives Risiko
Das größte Hindernis beim Cloud-Providerwechsel sind laut Report Lock-in-Effekte: 59 Prozent der Unternehmen nennen sie als zentrale Wechselbarriere, verursacht durch schwierige Datenexporte, Migrationskomplexität oder proprietäre Formate. 45 Prozent nennen zu hohen personellen Aufwand und Anwendungskomplexität, 28 Prozent sehen ein zu hohes Risiko.
Für
Cloud-Kosten: Kalkulation wird schwieriger
64 Prozent der cloud-nutzenden Unternehmen berichten, dass ihre Betriebskosten 2025 gestiegen sind. Für 2026 erwarten 54 Prozent erneut steigende Ausgaben. Der Report hält fest: „Schwer kalkulierbare Kosten können ein Grund dafür sein, dass Unternehmen nicht sämtliche IT-Anwendungen in die Cloud verlagern."
Für
Was ein Cloud-Ausfall tatsächlich kostet
Bitkom Research hat in derselben Erhebung gefragt, wie lange Unternehmen ohne Cloud-Zugang überhaupt arbeitsfähig bleiben. Das Ergebnis: Knapp die Hälfte der Unternehmen käme irgendwann zum Stillstand, ein kleiner Teil sofort.
Das ist keine Worst-Case-Spekulation. 28 Prozent der Cloud-Nutzer hatten in den vergangenen zwölf Monaten bereits einen gravierenden Ausfall erlebt.
Was das bedeutet, lässt sich beziffern: Branchenstudien (Gartner, ITIC) setzen IT-Ausfallkosten für mittelgroße und große Unternehmen bei mehreren hunderttausend Euro pro Stunde an. 41 Prozent der Großunternehmen berichten laut ITIC von Verlusten zwischen einer und fünf Millionen Euro pro Ausfallstunde. Für
Bemerkenswert ist, was Unternehmen daraus gezogen haben: Drei Viertel sichern wichtige Daten bereits außerhalb der Cloud. Zwei Drittel haben Notfall- und

Das ist kein Argument gegen die Cloud. Es ist ein Argument dafür, dass kritische Daten und Betriebsfähigkeit nicht ausschließlich von ihr abhängen dürfen. Für
Was das für Ihre Infrastruktur bedeutet
Der Bitkom Cloud Report beschreibt ein Spannungsfeld, das sich nicht durch einen weiteren Cloud-Vertrag auflösen lässt. Die Antwort liegt in einer Infrastrukturentscheidung: Was muss vollständig unter Ihrer Kontrolle bleiben?
Für Datensicherung, Langzeitarchivierung und
Was Zero Loss Storage bedeutet
Zero Loss Storage bezeichnet eine Speicherarchitektur, bei der Daten ohne Ausnahme integer, vollständig und wiederherstellbar gespeichert werden. Das setzt voraus: keine stillen Bit-Fehler, nachweisliche Integrität, definierte Recovery-Zeiten und kein Single Point of Failure. Es ist kein Marketing-Begriff. Es ist eine Eigenschaft, die sich in der Infrastruktur entweder nachweisen lässt oder nicht.
Was ein Air Gap leistet
Was WORM für KRITIS bedeutet
Fazit
Der Bitkom Cloud Report 2026 liefert keine neuen Argumente gegen die Cloud. Er liefert belastbare Zahlen dafür, dass
Das
FAST LTA entwickelt und produziert Speichersysteme für genau diesen Anspruch: in München, seit über 25 Jahren, ohne Cloud-Zwang.
Jetzt Gespräch vereinbaren: Sprechen Sie mit unseren Experten darüber, wie Silent Bricks und Silent Cubes Ihre KRITIS-konforme Backup- und Archivierungsstrategie absichern.
Häufig gestellte Fragen (FAQ)
Gilt das
Ja. Das
Reicht ein Cloud-Backup für
Ein Cloud-Backup kann Teil einer
Was unterscheidet On-Premises-Backup von Cloud-Backup regulatorisch?
Bei On-Premises-Speichern liegt die vollständige
Wie lange müssen
Das hängt vom Sektor ab. Im Gesundheitswesen gelten teils 10 Jahre und mehr, im Finanzsektor schreibt
Kann On-Premises-Infrastruktur mit Cloud-Diensten kombiniert werden?
Ja. Ein hybrider Ansatz ist möglich und für viele Organisationen sinnvoll. Entscheidend ist, dass die kritischen Daten und die Backup-Infrastruktur unter vollständiger eigener Kontrolle bleiben. Cloud-Dienste können ergänzend genutzt werden, etwa für weniger kritische Arbeitslasten.
Quelle: Bitkom Cloud Report 2026, Bitkom Research GmbH, DOI: 10.64022/2026-cloud-report-2026. Repräsentative Befragung von 603 Unternehmen in Deutschland, CATI-Methode.
Disaster Recovery
Disaster Recovery bezeichnet die strukturierten Prozesse und technischen Maßnahmen, die sicherstellen, dass IT-Systeme nach einem schwerwiegenden Ausfall — Ransomware-Angriff, Hardwareversagen, Rechenzentrumsausfall — innerhalb definierter Zeitrahmen (RTO) mit maximalem Datenverlust (RPO) wiederhergestellt werden können.
KRITIS
KRITIS bezeichnet Organisationen und Einrichtungen, deren Ausfall oder Beeinträchtigung zu erheblichen Versorgungsengpässen oder Gefährdungen der öffentlichen Sicherheit führen würde — KRITIS-Betreiber unterliegen nach §8a BSI-Gesetz verschärften Anforderungen an IT-Sicherheit und müssen diese alle zwei Jahre gegenüber dem BSI nachweisen.
KRITIS
KRITIS bezeichnet Organisationen und Einrichtungen, deren Ausfall oder Beeinträchtigung zu erheblichen Versorgungsengpässen oder Gefährdungen der öffentlichen Sicherheit führen würde — KRITIS-Betreiber unterliegen nach §8a BSI-Gesetz verschärften Anforderungen an IT-Sicherheit und müssen diese alle zwei Jahre gegenüber dem BSI nachweisen.
KRITIS
KRITIS bezeichnet Organisationen und Einrichtungen, deren Ausfall oder Beeinträchtigung zu erheblichen Versorgungsengpässen oder Gefährdungen der öffentlichen Sicherheit führen würde — KRITIS-Betreiber unterliegen nach §8a BSI-Gesetz verschärften Anforderungen an IT-Sicherheit und müssen diese alle zwei Jahre gegenüber dem BSI nachweisen.
KRITIS
KRITIS bezeichnet Organisationen und Einrichtungen, deren Ausfall oder Beeinträchtigung zu erheblichen Versorgungsengpässen oder Gefährdungen der öffentlichen Sicherheit führen würde — KRITIS-Betreiber unterliegen nach §8a BSI-Gesetz verschärften Anforderungen an IT-Sicherheit und müssen diese alle zwei Jahre gegenüber dem BSI nachweisen.
KRITIS
KRITIS bezeichnet Organisationen und Einrichtungen, deren Ausfall oder Beeinträchtigung zu erheblichen Versorgungsengpässen oder Gefährdungen der öffentlichen Sicherheit führen würde — KRITIS-Betreiber unterliegen nach §8a BSI-Gesetz verschärften Anforderungen an IT-Sicherheit und müssen diese alle zwei Jahre gegenüber dem BSI nachweisen.
KRITIS
KRITIS bezeichnet Organisationen und Einrichtungen, deren Ausfall oder Beeinträchtigung zu erheblichen Versorgungsengpässen oder Gefährdungen der öffentlichen Sicherheit führen würde — KRITIS-Betreiber unterliegen nach §8a BSI-Gesetz verschärften Anforderungen an IT-Sicherheit und müssen diese alle zwei Jahre gegenüber dem BSI nachweisen.
KRITIS
KRITIS bezeichnet Organisationen und Einrichtungen, deren Ausfall oder Beeinträchtigung zu erheblichen Versorgungsengpässen oder Gefährdungen der öffentlichen Sicherheit führen würde — KRITIS-Betreiber unterliegen nach §8a BSI-Gesetz verschärften Anforderungen an IT-Sicherheit und müssen diese alle zwei Jahre gegenüber dem BSI nachweisen.
NIS2
Die NIS2-Richtlinie (EU 2022/2555) ist eine EU-Regulierung, die wesentliche und wichtige Einrichtungen zu konkreten Cybersicherheitsmaßnahmen verpflichtet — darunter nachweisbares Backup-Management, Krisenmanagement und Meldepflichten — mit persönlicher Haftung der Geschäftsleitung bei Versäumnissen.
KRITIS
KRITIS bezeichnet Organisationen und Einrichtungen, deren Ausfall oder Beeinträchtigung zu erheblichen Versorgungsengpässen oder Gefährdungen der öffentlichen Sicherheit führen würde — KRITIS-Betreiber unterliegen nach §8a BSI-Gesetz verschärften Anforderungen an IT-Sicherheit und müssen diese alle zwei Jahre gegenüber dem BSI nachweisen.
KRITIS
KRITIS bezeichnet Organisationen und Einrichtungen, deren Ausfall oder Beeinträchtigung zu erheblichen Versorgungsengpässen oder Gefährdungen der öffentlichen Sicherheit führen würde — KRITIS-Betreiber unterliegen nach §8a BSI-Gesetz verschärften Anforderungen an IT-Sicherheit und müssen diese alle zwei Jahre gegenüber dem BSI nachweisen.
KRITIS
KRITIS bezeichnet Organisationen und Einrichtungen, deren Ausfall oder Beeinträchtigung zu erheblichen Versorgungsengpässen oder Gefährdungen der öffentlichen Sicherheit führen würde — KRITIS-Betreiber unterliegen nach §8a BSI-Gesetz verschärften Anforderungen an IT-Sicherheit und müssen diese alle zwei Jahre gegenüber dem BSI nachweisen.
KRITIS
KRITIS bezeichnet Organisationen und Einrichtungen, deren Ausfall oder Beeinträchtigung zu erheblichen Versorgungsengpässen oder Gefährdungen der öffentlichen Sicherheit führen würde — KRITIS-Betreiber unterliegen nach §8a BSI-Gesetz verschärften Anforderungen an IT-Sicherheit und müssen diese alle zwei Jahre gegenüber dem BSI nachweisen.
KRITIS
KRITIS bezeichnet Organisationen und Einrichtungen, deren Ausfall oder Beeinträchtigung zu erheblichen Versorgungsengpässen oder Gefährdungen der öffentlichen Sicherheit führen würde — KRITIS-Betreiber unterliegen nach §8a BSI-Gesetz verschärften Anforderungen an IT-Sicherheit und müssen diese alle zwei Jahre gegenüber dem BSI nachweisen.
NIS2
Die NIS2-Richtlinie (EU 2022/2555) ist eine EU-Regulierung, die wesentliche und wichtige Einrichtungen zu konkreten Cybersicherheitsmaßnahmen verpflichtet — darunter nachweisbares Backup-Management, Krisenmanagement und Meldepflichten — mit persönlicher Haftung der Geschäftsleitung bei Versäumnissen.
KRITIS
KRITIS bezeichnet Organisationen und Einrichtungen, deren Ausfall oder Beeinträchtigung zu erheblichen Versorgungsengpässen oder Gefährdungen der öffentlichen Sicherheit führen würde — KRITIS-Betreiber unterliegen nach §8a BSI-Gesetz verschärften Anforderungen an IT-Sicherheit und müssen diese alle zwei Jahre gegenüber dem BSI nachweisen.
KRITIS
KRITIS bezeichnet Organisationen und Einrichtungen, deren Ausfall oder Beeinträchtigung zu erheblichen Versorgungsengpässen oder Gefährdungen der öffentlichen Sicherheit führen würde — KRITIS-Betreiber unterliegen nach §8a BSI-Gesetz verschärften Anforderungen an IT-Sicherheit und müssen diese alle zwei Jahre gegenüber dem BSI nachweisen.
KRITIS
KRITIS bezeichnet Organisationen und Einrichtungen, deren Ausfall oder Beeinträchtigung zu erheblichen Versorgungsengpässen oder Gefährdungen der öffentlichen Sicherheit führen würde — KRITIS-Betreiber unterliegen nach §8a BSI-Gesetz verschärften Anforderungen an IT-Sicherheit und müssen diese alle zwei Jahre gegenüber dem BSI nachweisen.
KRITIS
KRITIS bezeichnet Organisationen und Einrichtungen, deren Ausfall oder Beeinträchtigung zu erheblichen Versorgungsengpässen oder Gefährdungen der öffentlichen Sicherheit führen würde — KRITIS-Betreiber unterliegen nach §8a BSI-Gesetz verschärften Anforderungen an IT-Sicherheit und müssen diese alle zwei Jahre gegenüber dem BSI nachweisen.
KRITIS
KRITIS bezeichnet Organisationen und Einrichtungen, deren Ausfall oder Beeinträchtigung zu erheblichen Versorgungsengpässen oder Gefährdungen der öffentlichen Sicherheit führen würde — KRITIS-Betreiber unterliegen nach §8a BSI-Gesetz verschärften Anforderungen an IT-Sicherheit und müssen diese alle zwei Jahre gegenüber dem BSI nachweisen.
KRITIS
KRITIS bezeichnet Organisationen und Einrichtungen, deren Ausfall oder Beeinträchtigung zu erheblichen Versorgungsengpässen oder Gefährdungen der öffentlichen Sicherheit führen würde — KRITIS-Betreiber unterliegen nach §8a BSI-Gesetz verschärften Anforderungen an IT-Sicherheit und müssen diese alle zwei Jahre gegenüber dem BSI nachweisen.
Disaster Recovery
Disaster Recovery bezeichnet die strukturierten Prozesse und technischen Maßnahmen, die sicherstellen, dass IT-Systeme nach einem schwerwiegenden Ausfall — Ransomware-Angriff, Hardwareversagen, Rechenzentrumsausfall — innerhalb definierter Zeitrahmen (RTO) mit maximalem Datenverlust (RPO) wiederhergestellt werden können.
KRITIS
KRITIS bezeichnet Organisationen und Einrichtungen, deren Ausfall oder Beeinträchtigung zu erheblichen Versorgungsengpässen oder Gefährdungen der öffentlichen Sicherheit führen würde — KRITIS-Betreiber unterliegen nach §8a BSI-Gesetz verschärften Anforderungen an IT-Sicherheit und müssen diese alle zwei Jahre gegenüber dem BSI nachweisen.
KRITIS
KRITIS bezeichnet Organisationen und Einrichtungen, deren Ausfall oder Beeinträchtigung zu erheblichen Versorgungsengpässen oder Gefährdungen der öffentlichen Sicherheit führen würde — KRITIS-Betreiber unterliegen nach §8a BSI-Gesetz verschärften Anforderungen an IT-Sicherheit und müssen diese alle zwei Jahre gegenüber dem BSI nachweisen.
KRITIS
KRITIS bezeichnet Organisationen und Einrichtungen, deren Ausfall oder Beeinträchtigung zu erheblichen Versorgungsengpässen oder Gefährdungen der öffentlichen Sicherheit führen würde — KRITIS-Betreiber unterliegen nach §8a BSI-Gesetz verschärften Anforderungen an IT-Sicherheit und müssen diese alle zwei Jahre gegenüber dem BSI nachweisen.
Disaster Recovery
Disaster Recovery bezeichnet die strukturierten Prozesse und technischen Maßnahmen, die sicherstellen, dass IT-Systeme nach einem schwerwiegenden Ausfall — Ransomware-Angriff, Hardwareversagen, Rechenzentrumsausfall — innerhalb definierter Zeitrahmen (RTO) mit maximalem Datenverlust (RPO) wiederhergestellt werden können.
Ransomware
Ransomware ist Schadsoftware, die Daten auf infizierten Systemen verschlüsselt und ein Lösegeld für die Entschlüsselung fordert — mit dem Ziel, Unternehmen und Behörden zur Zahlung zu zwingen, indem sie deren Betrieb lahmlegen.
Ransomware
Ransomware ist Schadsoftware, die Daten auf infizierten Systemen verschlüsselt und ein Lösegeld für die Entschlüsselung fordert — mit dem Ziel, Unternehmen und Behörden zur Zahlung zu zwingen, indem sie deren Betrieb lahmlegen.
Air Gap
Ein Air Gap ist die physische Unterbrechung jeder Netzwerkverbindung zwischen einem Backup-System und der übrigen IT-Infrastruktur, sodass das System im Offline-Zustand keine adressierbare Netzwerkschnittstelle besitzt und damit für Ransomware und Angreifer unerreichbar ist.
Air Gap
Ein Air Gap ist die physische Unterbrechung jeder Netzwerkverbindung zwischen einem Backup-System und der übrigen IT-Infrastruktur, sodass das System im Offline-Zustand keine adressierbare Netzwerkschnittstelle besitzt und damit für Ransomware und Angreifer unerreichbar ist.
KRITIS
KRITIS bezeichnet Organisationen und Einrichtungen, deren Ausfall oder Beeinträchtigung zu erheblichen Versorgungsengpässen oder Gefährdungen der öffentlichen Sicherheit führen würde — KRITIS-Betreiber unterliegen nach §8a BSI-Gesetz verschärften Anforderungen an IT-Sicherheit und müssen diese alle zwei Jahre gegenüber dem BSI nachweisen.
BSI IT-Grundschutz
Der BSI IT-Grundschutz ist ein vom Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickeltes Rahmenwerk mit standardisierten Sicherheitsanforderungen für IT-Systeme — für KRITIS-Betreiber, NIS2-betroffene Organisationen und Behörden ist er die zentrale Referenz für nachweisbare IT-Sicherheitsmaßnahmen.
KRITIS
KRITIS bezeichnet Organisationen und Einrichtungen, deren Ausfall oder Beeinträchtigung zu erheblichen Versorgungsengpässen oder Gefährdungen der öffentlichen Sicherheit führen würde — KRITIS-Betreiber unterliegen nach §8a BSI-Gesetz verschärften Anforderungen an IT-Sicherheit und müssen diese alle zwei Jahre gegenüber dem BSI nachweisen.
DORA
DORA (Digital Operational Resilience Act, EU 2022/2554) ist eine EU-Verordnung, die seit Januar 2025 für alle regulierten Finanzmarktteilnehmer gilt und konkrete Anforderungen an IKT-Risikomanagement, Backup-Systeme (Art. 11 und 12), Drittanbieter-Management (Art. 28–30) sowie Incident-Meldung stellt.
NIS2
Die NIS2-Richtlinie (EU 2022/2555) ist eine EU-Regulierung, die wesentliche und wichtige Einrichtungen zu konkreten Cybersicherheitsmaßnahmen verpflichtet — darunter nachweisbares Backup-Management, Krisenmanagement und Meldepflichten — mit persönlicher Haftung der Geschäftsleitung bei Versäumnissen.
WORM
WORM (Write Once, Read Many) bezeichnet ein Speicherprinzip, bei dem Daten einmal geschrieben und danach technisch nicht mehr verändert oder gelöscht werden können — bei Hardware-WORM ist diese Unveränderlichkeit eine physikalische Eigenschaft des Speicher-Controllers, unabhängig von Software, Betriebssystem oder Benutzerprivilegien.
WORM
WORM (Write Once, Read Many) bezeichnet ein Speicherprinzip, bei dem Daten einmal geschrieben und danach technisch nicht mehr verändert oder gelöscht werden können — bei Hardware-WORM ist diese Unveränderlichkeit eine physikalische Eigenschaft des Speicher-Controllers, unabhängig von Software, Betriebssystem oder Benutzerprivilegien.
Datensouveränität
Datensouveränität beschreibt die vollständige Kontrolle einer Organisation über ihre Daten: wo sie gespeichert werden, wer darauf zugreifen kann, welchem Rechtsrahmen sie unterliegen und ob sie jederzeit ohne Abhängigkeit von einem einzelnen Anbieter verfügbar sind.
KRITIS
KRITIS bezeichnet Organisationen und Einrichtungen, deren Ausfall oder Beeinträchtigung zu erheblichen Versorgungsengpässen oder Gefährdungen der öffentlichen Sicherheit führen würde — KRITIS-Betreiber unterliegen nach §8a BSI-Gesetz verschärften Anforderungen an IT-Sicherheit und müssen diese alle zwei Jahre gegenüber dem BSI nachweisen.
KRITIS
KRITIS bezeichnet Organisationen und Einrichtungen, deren Ausfall oder Beeinträchtigung zu erheblichen Versorgungsengpässen oder Gefährdungen der öffentlichen Sicherheit führen würde — KRITIS-Betreiber unterliegen nach §8a BSI-Gesetz verschärften Anforderungen an IT-Sicherheit und müssen diese alle zwei Jahre gegenüber dem BSI nachweisen.
KRITIS
KRITIS bezeichnet Organisationen und Einrichtungen, deren Ausfall oder Beeinträchtigung zu erheblichen Versorgungsengpässen oder Gefährdungen der öffentlichen Sicherheit führen würde — KRITIS-Betreiber unterliegen nach §8a BSI-Gesetz verschärften Anforderungen an IT-Sicherheit und müssen diese alle zwei Jahre gegenüber dem BSI nachweisen.
KRITIS
KRITIS bezeichnet Organisationen und Einrichtungen, deren Ausfall oder Beeinträchtigung zu erheblichen Versorgungsengpässen oder Gefährdungen der öffentlichen Sicherheit führen würde — KRITIS-Betreiber unterliegen nach §8a BSI-Gesetz verschärften Anforderungen an IT-Sicherheit und müssen diese alle zwei Jahre gegenüber dem BSI nachweisen.
KRITIS
KRITIS bezeichnet Organisationen und Einrichtungen, deren Ausfall oder Beeinträchtigung zu erheblichen Versorgungsengpässen oder Gefährdungen der öffentlichen Sicherheit führen würde — KRITIS-Betreiber unterliegen nach §8a BSI-Gesetz verschärften Anforderungen an IT-Sicherheit und müssen diese alle zwei Jahre gegenüber dem BSI nachweisen.
KRITIS
KRITIS bezeichnet Organisationen und Einrichtungen, deren Ausfall oder Beeinträchtigung zu erheblichen Versorgungsengpässen oder Gefährdungen der öffentlichen Sicherheit führen würde — KRITIS-Betreiber unterliegen nach §8a BSI-Gesetz verschärften Anforderungen an IT-Sicherheit und müssen diese alle zwei Jahre gegenüber dem BSI nachweisen.
KRITIS
KRITIS bezeichnet Organisationen und Einrichtungen, deren Ausfall oder Beeinträchtigung zu erheblichen Versorgungsengpässen oder Gefährdungen der öffentlichen Sicherheit führen würde — KRITIS-Betreiber unterliegen nach §8a BSI-Gesetz verschärften Anforderungen an IT-Sicherheit und müssen diese alle zwei Jahre gegenüber dem BSI nachweisen.
KRITIS
KRITIS bezeichnet Organisationen und Einrichtungen, deren Ausfall oder Beeinträchtigung zu erheblichen Versorgungsengpässen oder Gefährdungen der öffentlichen Sicherheit führen würde — KRITIS-Betreiber unterliegen nach §8a BSI-Gesetz verschärften Anforderungen an IT-Sicherheit und müssen diese alle zwei Jahre gegenüber dem BSI nachweisen.
Datensouveränität
Datensouveränität beschreibt die vollständige Kontrolle einer Organisation über ihre Daten: wo sie gespeichert werden, wer darauf zugreifen kann, welchem Rechtsrahmen sie unterliegen und ob sie jederzeit ohne Abhängigkeit von einem einzelnen Anbieter verfügbar sind.
3-2-1-1-0-Backup-Regel
Die 3-2-1-1-0-Regel ist der aktuelle Standard für ransomware-resiliente Backup-Strategien: drei Kopien der Daten, auf zwei verschiedenen Medientypen, an einem Off-Site-Standort, mit einer physisch vom Netzwerk getrennten (offline/air-gapped) Kopie und null unverifizierten Backups.
KRITIS
KRITIS bezeichnet Organisationen und Einrichtungen, deren Ausfall oder Beeinträchtigung zu erheblichen Versorgungsengpässen oder Gefährdungen der öffentlichen Sicherheit führen würde — KRITIS-Betreiber unterliegen nach §8a BSI-Gesetz verschärften Anforderungen an IT-Sicherheit und müssen diese alle zwei Jahre gegenüber dem BSI nachweisen.
KRITIS
KRITIS bezeichnet Organisationen und Einrichtungen, deren Ausfall oder Beeinträchtigung zu erheblichen Versorgungsengpässen oder Gefährdungen der öffentlichen Sicherheit führen würde — KRITIS-Betreiber unterliegen nach §8a BSI-Gesetz verschärften Anforderungen an IT-Sicherheit und müssen diese alle zwei Jahre gegenüber dem BSI nachweisen.
NIS2
Die NIS2-Richtlinie (EU 2022/2555) ist eine EU-Regulierung, die wesentliche und wichtige Einrichtungen zu konkreten Cybersicherheitsmaßnahmen verpflichtet — darunter nachweisbares Backup-Management, Krisenmanagement und Meldepflichten — mit persönlicher Haftung der Geschäftsleitung bei Versäumnissen.
Datensouveränität
Datensouveränität beschreibt die vollständige Kontrolle einer Organisation über ihre Daten: wo sie gespeichert werden, wer darauf zugreifen kann, welchem Rechtsrahmen sie unterliegen und ob sie jederzeit ohne Abhängigkeit von einem einzelnen Anbieter verfügbar sind.
Revisionssicherheit
Revisionssicherheit beschreibt die gesetzlich geforderte Eigenschaft eines Archivierungssystems, Dokumente so aufzubewahren, dass sie vollständig, unveränderlich, nachvollziehbar und jederzeit verfügbar sind — und dass dies gegenüber Finanzbehörden, Wirtschaftsprüfern und Datenschutzaufsichtsbehörden lückenlos nachgewiesen werden kann.
KRITIS
KRITIS bezeichnet Organisationen und Einrichtungen, deren Ausfall oder Beeinträchtigung zu erheblichen Versorgungsengpässen oder Gefährdungen der öffentlichen Sicherheit führen würde — KRITIS-Betreiber unterliegen nach §8a BSI-Gesetz verschärften Anforderungen an IT-Sicherheit und müssen diese alle zwei Jahre gegenüber dem BSI nachweisen.
DORA
DORA (Digital Operational Resilience Act, EU 2022/2554) ist eine EU-Verordnung, die seit Januar 2025 für alle regulierten Finanzmarktteilnehmer gilt und konkrete Anforderungen an IKT-Risikomanagement, Backup-Systeme (Art. 11 und 12), Drittanbieter-Management (Art. 28–30) sowie Incident-Meldung stellt.
WORM
WORM (Write Once, Read Many) bezeichnet ein Speicherprinzip, bei dem Daten einmal geschrieben und danach technisch nicht mehr verändert oder gelöscht werden können — bei Hardware-WORM ist diese Unveränderlichkeit eine physikalische Eigenschaft des Speicher-Controllers, unabhängig von Software, Betriebssystem oder Benutzerprivilegien.

