Cyber-Resilienz: Warum Prävention allein nicht reicht
Das Wichtigste in Kürze
- 89 % der deutschen Unternehmen waren laut PwC Digital Trust Insights 2026 in den letzten drei Jahren von Sicherheitsvorfällen betroffen — reine Prävention ist keine ausreichende Strategie
- Cyber-Resilienz ergänzt Prävention um Erkennung, Reaktion und Wiederherstellung: alle drei Säulen müssen strategisch aufgestellt sein
- Ein Incident-Response-Plan muss existieren, allen Beteiligten bekannt sein und regelmäßig geübt werden — ein SharePoint-Dokument ist kein Ersatz
- Backups, die nie getestet wurden, sind im Ernstfall wertlos — mindestens eine jährliche Wiederherstellungsübung ist Pflicht
- Microsoft Sentinel bietet für Unternehmen im Microsoft-Ökosystem einen pragmatischen Einstieg in die zentrale Sicherheitsüberwachung
Die Vorstellung, alle Cyberangriffe durch Prävention verhindern zu können, ist überholt. Laut den PwC Digital Trust Insights 2026 waren 89 Prozent der deutschen Unternehmen in den vergangenen drei Jahren von Datendiebstahl oder anderen Sicherheitsvorfällen betroffen. Unternehmen, die ausschließlich auf Abwehr setzen, sind auf den Ernstfall nicht vorbereitet.
Was Cyber-Resilienz bedeutet
Cyber-Resilienz beschreibt die Fähigkeit eines Unternehmens, Sicherheitsvorfälle zu überstehen, ohne dass der Geschäftsbetrieb dauerhaft beeinträchtigt wird. Das Konzept ergänzt die klassische Prävention um zwei weitere Säulen: Erkennung und Reaktion sowie Wiederherstellung.
Prävention bleibt wichtig. Firewalls, Zugriffskontrollen und gehärtete Systeme verringern die Angriffsfläche. Aber keine Präventionsmaßnahme bietet hundertprozentigen Schutz. Entscheidend ist, was passiert, wenn ein Angreifer trotzdem eindringt.
Die drei Säulen in der Praxis
Prävention umfasst die Maßnahmen, die Sie vermutlich bereits kennen: Multi-Faktor-Authentifizierung, Endpoint-Schutz, Patch-Management, Mitarbeiterschulungen. Diese Maßnahmen reduzieren die Wahrscheinlichkeit eines erfolgreichen Angriffs.
Erkennung und Reaktion bedeutet, dass Ihr Unternehmen in der Lage ist, einen laufenden Angriff zu identifizieren und einzudämmen. Das erfordert eine zentrale Sicherheitsüberwachung (SIEM), definierte Erkennungsregeln und einen Incident-Response-Plan, der festlegt, wer im Ernstfall was tut. Für viele mittelständische Unternehmen ist ein vollständiges Security Operations Center (SOC) nicht wirtschaftlich. Managed-Detection-and-Response-Dienste oder die gezielte Nutzung von Microsoft Sentinel können eine pragmatische Alternative sein.
Wiederherstellung stellt sicher, dass Ihr Unternehmen nach einem Vorfall handlungsfähig bleibt. Das umfasst getestete Backup-Konzepte, dokumentierte Wiederherstellungsverfahren und Krisenkommunikationspläne. Ein Backup, das nie getestet wurde, ist im Ernstfall wertlos.
Welche Maßnahmen den größten Hebel haben
Für ein mittelständisches Unternehmen empfehlen wir, mit drei konkreten Schritten zu beginnen:
Erstens: Erstellen Sie einen Incident-Response-Plan. Definieren Sie, wer bei einem Sicherheitsvorfall entscheidet, wer intern und extern informiert wird und welche technischen Sofortmaßnahmen ergriffen werden. Dieser Plan muss nicht hundert Seiten lang sein, aber er muss existieren und allen Beteiligten bekannt sein.
Zweitens: Testen Sie Ihre Backups. Nicht die Existenz der Backups zählt, sondern die Fähigkeit, Systeme innerhalb eines definierten Zeitraums wiederherzustellen. Führen Sie mindestens einmal jährlich eine Wiederherstellungsübung durch.
Drittens: Etablieren Sie eine zentrale Sicherheitsüberwachung. Ohne Monitoring können Sie einen laufenden Angriff nicht erkennen. Microsoft Sentinel bietet für Unternehmen im Microsoft-Ökosystem einen niedrigschwelligen Einstieg.
Handlungsempfehlung
Cyber-Resilienz ist kein Projekt mit einem festen Enddatum, sondern eine kontinuierliche Aufgabe. Der erste Schritt ist eine ehrliche Bestandsaufnahme: Wie schnell würden Sie einen laufenden Angriff bemerken? Wie lange bräuchten Sie, um den Betrieb wiederherzustellen? Die Antworten auf diese Fragen zeigen, wo der dringendste Handlungsbedarf liegt.
Haeufig gestellte Fragen
Was unterscheidet Cyber-Resilienz von klassischer IT-Sicherheit?
Klassische IT-Sicherheit konzentriert sich hauptsächlich auf Prävention: Firewalls, Zugriffskontrollen, Patch-Management. Cyber-Resilienz ergänzt das um die Fähigkeit, einen Angriff während seines Verlaufs zu erkennen, ihn einzudämmen und danach schnell wieder arbeitsfähig zu sein. Der Unterschied liegt in der Frage: Was tun wir, wenn die Prävention versagt?
Ist ein Security Operations Center (SOC) Voraussetzung für Cyber-Resilienz?
Nein. Ein vollständiges internes SOC ist für die meisten mittelständischen Unternehmen nicht wirtschaftlich darstellbar. Managed Detection and Response (MDR) Dienste oder die gezielte Nutzung von Microsoft Sentinel können die gleiche Funktion übernehmen — zu einem Bruchteil der Kosten und ohne den eigenen Aufbau einer Analysten-Mannschaft.
Wie oft sollten Backups wirklich getestet werden?
Mindestens einmal jährlich sollte eine vollständige Wiederherstellungsübung stattfinden — nicht nur ein Backup-Überprüfungslauf, sondern ein tatsächlicher Restore kritischer Systeme. Dabei wird oft erst sichtbar, dass definierte Recovery-Time-Objectives in der Praxis nicht erreichbar sind.
Was gehört in einen Incident-Response-Plan, der wirklich funktioniert?
Ein wirksamer Plan definiert klare Rollen mit Stellvertretern, ein Severity-Modell mit abgestuften Reaktionsanforderungen, Kommunikationsvorlagen für interne und externe Kommunikation sowie einen verbindlichen Übungsrhythmus. Er muss kurz, verständlich und für alle Beteiligten zugänglich sein — kein hundert Seiten starkes Dokument.