Back­up ist kein Schutz mehr. Reco­very ist es.

92 Pro­zent. So hoch ist der Anteil west­li­cher Daten, der auf Ser­vern ame­ri­ka­ni­scher Anbie­ter liegt – doku­men­tiert in einem aktu­el­len Bericht des Euro­päi­schen Par­la­ments. Die­se Zahl stand in der ver­gan­ge­nen Woche gleich mehr­fach im Mit­tel­punkt: in der poli­ti­schen Debat­te um digi­ta­le Sou­ve­rä­ni­tät, in der Dis­kus­si­on über Com­pli­ance-Pflich­ten und in der anhal­ten­den Aus­ein­an­der­set­zung damit, was Back­up 2026 tat­säch­lich leis­ten muss.

Digi­ta­le Sou­ve­rä­ni­tät: Vom Schlag­wort zur regu­la­to­ri­schen Realität

Lan­ge galt digi­ta­le Sou­ve­rä­ni­tät als stra­te­gi­sches Wunsch­ziel ohne ver­bind­li­che Kon­se­quen­zen. Das ändert sich. Die EU treibt 2026 ein umfang­rei­ches Geset­zes­pa­ket vor­an – dar­un­ter den Cloud- und KI-Ent­wick­lungs­akt, der struk­tu­rel­le Abhän­gig­kei­ten von außer­eu­ro­päi­schen Anbie­tern abbau­en soll. Über 60 Pro­zent der Unter­neh­men der deut­schen Infor­ma­ti­ons­wirt­schaft geben an, in min­des­tens einem von acht Tech­no­lo­gie­fel­dern stark abhän­gig von Anbie­tern außer­halb Euro­pas zu sein.

Das Kern­pro­blem bleibt dabei juris­ti­scher Natur: Ame­ri­ka­ni­sche Anbie­ter – unab­hän­gig davon, ob ihre Rechen­zen­tren in Frank­furt oder Dub­lin ste­hen – unter­lie­gen dem US CLOUD Act. Das bedeu­tet, dass US-Behör­den unter bestimm­ten Vor­aus­set­zun­gen Zugriff auf gespei­cher­te Daten ver­lan­gen kön­nen, ohne dass euro­päi­sche Daten­schutz­recht dem ent­ge­gen­stün­de. Für Unter­neh­men, die NIS2, DORA oder das KRI­TIS-Dach­ge­setz ein­hal­ten müs­sen, ist das kei­ne abs­trak­te Bedro­hung mehr, son­dern ein Beschaffungskriterium.

NIS2 und KRI­TIS-Dach­ge­setz: Der dop­pel­te Fristendruck

Das NIS2-Umset­zungs­ge­setz gilt seit Dezem­ber 2025 ohne Über­gangs­frist für rund 29.500 Unter­neh­men in 18 Sek­to­ren. Back­up- und Not­fall­ma­nage­ment ist nach § 30 BSIG eine expli­zit vor­ge­schrie­be­ne Maß­nah­me – kei­ne Emp­feh­lung, son­dern gesetz­li­che Pflicht. Par­al­lel dazu ist das KRI­TIS-Dach­ge­setz am 16. März 2026 in Kraft getre­ten. Betrei­ber kri­ti­scher Anla­gen – in den Berei­chen Ener­gie, Was­ser, Gesund­heit, Trans­port und öffent­li­che Ver­wal­tung – müs­sen sich bis zum 17. Juli 2026 auf der gemein­sa­men Platt­form von BBK und BSI regis­trie­ren und in den Fol­ge­mo­na­ten Risi­ko­ana­ly­sen und Resi­li­en­z­plä­ne vorlegen.

Bei Ver­stö­ßen dro­hen Buß­gel­der bis zu 10 Mil­lio­nen Euro; Geschäfts­füh­rer haf­ten gemäß § 38 BSIG per­sön­lich. Der Zeit­druck ist real: Die Regis­trie­rungs­frist für NIS2 lief bereits am 6. März 2026 ab, ver­spä­te­te Anmel­dun­gen sind noch mög­lich, aber das Fens­ter schließt sich.

Im Finanz­sek­tor kommt DORA hin­zu: Aktu­el­le Aus­wer­tun­gen zei­gen, dass zwi­schen 44 und 50 Pro­zent der euro­päi­schen Finanz­un­ter­neh­men noch nicht voll­stän­dig DORA-kon­form sind. Die BaFin hat seit Janu­ar 2026 akti­ve Prü­fun­gen ein­ge­lei­tet. DORA ver­langt – wie NIS2 – expli­zit aus­ge­reif­te Back­up-Kon­zep­te, Busi­ness-Con­ti­nui­ty-Plä­ne und nach­weis­li­che Resilienztests.

Reco­very als eigent­li­cher Maßstab

Der World Back­up Day 2026 (31. März) hat eine Debat­te aus­ge­löst, die in der abge­lau­fe­nen Woche wei­ter nach­ge­wirkt hat: Back­up wird nicht mehr an der gesi­cher­ten Daten­men­ge gemes­sen, son­dern dar­an, ob Daten im Ernst­fall auch tat­säch­lich wie­der­her­ge­stellt wer­den kön­nen. Spei​cher​gui​de​.de for­mu­lier­te es prä­gnant: Back­up wird zur Fra­ge der Wiederherstellung.”

Der Hin­ter­grund: Ran­som­wa­re-Angrif­fe neh­men in Volu­men und Sophis­ti­ka­ti­on wei­ter zu – laut BSI stie­gen die gemel­de­ten Vor­fäl­le in der ers­ten Jah­res­hälf­te 2025 um mehr als 40 Pro­zent gegen­über dem Vor­jahr. Beson­ders alar­mie­rend ist die ver­än­der­te Angriffs­stra­te­gie: Angrei­fer ver­schlüs­seln zuneh­mend zuerst die Back­up-Repo­si­to­ries, bevor sie sich in der Pro­duk­ti­ons­um­ge­bung offen­ba­ren. Soft­ware­ba­sier­te Immu­ta­bi­li­tät, die über kom­pro­mit­tier­te Admin-Accounts umgan­gen wer­den kann, bie­tet in die­sem Sze­na­rio kei­nen zuver­läs­si­gen Schutz. Der Fokus ver­schiebt sich daher auf phy­sisch iso­lier­te, hard­ware-gesi­cher­te Archi­tek­tu­ren – und auf den Nach­weis, dass Back­ups im Ernst­fall auch unter Druck wie­der­her­stell­bar sind.

Laut einer aktu­el­len Erhe­bung sind nur 39 Pro­zent der Unter­neh­men voll­stän­dig zuver­sicht­lich, ihre Daten nach einem Cyber­an­griff ver­lust­frei wie­der­her­stel­len zu können.

Sove­reign AI: Loka­le KI-Infe­renz als stra­te­gi­sche Anforderung

Ein wei­te­res The­ma, das die­se Woche an Schär­fe gewann: On-Pre­mi­ses-KI. Unter­neh­men ver­la­gern KI-Workloads zuneh­mend aus der Cloud in eige­ne Infra­struk­tu­ren – getrie­ben durch DSGVO-Anfor­de­run­gen, den EU AI Act (voll­stän­di­ge Com­pli­ance-Pflich­ten ab August 2026) und den Wunsch, kei­ne Abhän­gig­keit von exter­nen Anbie­tern zu ris­kie­ren. Laut einer Gart­ner-Erhe­bung stu­fen inzwi­schen 93 Pro­zent der Unter­neh­mens­füh­rer KI-Sou­ve­rä­ni­tät als stra­te­gi­sche Prio­ri­tät ein – gegen­über 41 Pro­zent im Jahr 2024.

Das Bun­des­mi­nis­te­ri­um för­dert aktiv die Ent­wick­lung von On-Pre­mi­ses-KI-Platt­for­men für den deut­schen Markt. Die tech­ni­sche Kon­se­quenz ist eine drei-stu­fi­ge Hybrid-Archi­tek­tur, die sich als neu­er Stan­dard her­aus­kris­tal­li­siert: Public Cloud für das Trai­ning, loka­le Rechen­zen­tren für die Pro­duk­ti­ons-Infe­renz, Edge-Infra­struk­tur für latenz-kri­ti­sche Anwen­dun­gen. Für regu­lier­te Bran­chen – Phar­ma, Finan­ce, Gesund­heit, Behör­den – ist loka­le Infe­renz dabei nicht optio­nal, son­dern regu­la­to­risch geboten.

Was die­se Woche auf Lin­ke­dIn dis­ku­tiert wurde

Auf Lin­ke­dIn domi­nier­ten in der ver­gan­ge­nen Woche zwei The­men die Fach­com­mu­ni­ty: die 29-Minu­ten-Brea­kout-Zeit aus dem CrowdStrike Glo­bal Thre­at Report 2026 und die Fra­ge, was Back­up heu­te wirk­lich leis­ten muss. Die FAST LTA Unter­neh­mens­sei­te griff die CrowdStrike-Zahl als Auf­hän­ger auf und ver­knüpf­te sie mit dem Argu­ment, dass Daten­sou­ve­rä­ni­tät und phy­si­scher Air Gap kei­ne tech­ni­schen Nischen­the­men mehr sind, son­dern ope­ra­ti­ve Rea­li­tät. Der Bei­trag erziel­te die meis­ten Reak­tio­nen aller Cor­po­ra­te-Posts der ver­gan­ge­nen 30 Tage.

In der Fach­com­mu­ni­ty wur­de par­al­lel inten­siv dis­ku­tiert, dass her­kömm­li­che Back­up-Kon­zep­te im Ernst­fall ver­sa­gen – der Gedan­ke The Cloud is just someone else’s com­pu­ter” wur­de geteilt und kom­men­tiert. Zum Abschluss der Woche the­ma­ti­sier­te ein wei­te­rer Bei­trag die Reco­very-Lücke: Nur 39 Pro­zent der Unter­neh­men sind laut World Back­up Day 2026 zuver­sicht­lich, ihre Daten nach einem Angriff ver­lust­frei wie­der­her­stel­len zu kön­nen. Die­ser Post erschien heu­te und mar­kiert damit the­ma­tisch den Über­gang von der ver­gan­ge­nen Woche in die neue. Durch­ge­hend prä­sent waren die Hash­tags #Cyber­re­si­li­enz, #NIS2, #KRI­TIS, #OnPrem und #ZeroLoss.

Fazit

Die Woche vom 13. bis 17. April hat drei sich über­la­gern­de Trends sicht­bar gemacht: den wach­sen­den Regu­lie­rungs­druck durch NIS2, KRI­TIS-Dach­ge­setz und DORA, die stra­te­gi­sche Neu­aus­rich­tung im Bereich KI hin zu loka­ler, sou­ve­rä­ner Infra­struk­tur und den Para­dig­men­wech­sel im Back­up-Markt von der Daten­si­che­rung zur nach­weis­ba­ren Wie­der­her­stell­bar­keit. Die­se drei Ent­wick­lun­gen sind kein Zufall – sie spie­geln eine brei­te­re Neu­be­wer­tung des­sen wider, was IT-Resi­li­enz 2026 bedeutet.