Wer bei Ransomware noch an den einfachen Fall denkt — Dateien verschlüsselt, Backup einspielen, weiterarbeiten — unterschätzt die Realität. Europol beschreibt einen weiter professionalisierten Cybercrime-Markt mit arbeitsteiliger Struktur; ENISA zählt Ransomware weiterhin zu den prägenden Bedrohungen für Organisationen in Europa.

„Ransomware ist längst kein isolierter IT-Vorfall mehr, sondern Teil hochorganisierter Angriffsstrukturen. Unternehmen müssen davon ausgehen, dass hinter jedem Angriff spezialisierte Gruppen stehen, die gezielt auf maximale Schadenswirkung aus sind“, erklärt Christoph Demiriz, Geschäftsführer der Digital Recovery PHD GmbH.

Der entscheidende Punkt: Backups lösen oft nur einen Teil des Problems. Angreifer verschlüsseln heute nicht mehr nur Daten, sondern kopieren sie häufig vorher ab. Damit geht es nach einem Vorfall nicht allein um Wiederherstellung, sondern auch um Vertraulichkeit, Haftung, Meldepflichten und Reputationsrisiken. CISA und das britische ICO weisen ausdrücklich darauf hin, dass selbst eine Lösegeldzahlung keine Garantie für Entschlüsselung oder den Schutz der abgeflossenen Daten bietet.

„In der Praxis sehen wir, dass Backups allein selten ausreichen. Entscheidend ist, ob Daten vor der Verschlüsselung bereits exfiltriert wurden. Dann geht es nicht mehr nur um Verfügbarkeit, sondern um Datenschutz, Haftung und potenzielle Erpressungsszenarien“, so Christoph Demiriz, Geschäftsführer der Digital Recovery PHD GmbH.

Genau daraus ist ein eigenes Geschäftsfeld entstanden. Gefragt sind Anbieter, die mehr leisten als ein Restore: forensische Analyse, Bereinigung kompromittierter Systeme, Priorisierung kritischer Anwendungen, Wiederanlaufplanung und Abstimmung mit Management, Juristen, Versicherern und Behörden. NIST betont in seiner aktuellen Incident-Response-Leitlinie, dass moderne Reaktion und Recovery darauf ausgerichtet sein müssen, Auswirkungen zu begrenzen, den Betrieb strukturiert wiederherzustellen und Kommunikation sowie Reporting mitzudenken.

„Moderne Datenrettung nach Cyberangriffen bedeutet weit mehr als technische Wiederherstellung. Es geht um strukturierte Incident Response, forensische Aufklärung und die schnelle Wiederaufnahme kritischer Geschäftsprozesse unter realen Krisenbedingungen“, sagt Christoph Demiriz, Geschäftsführer der Digital Recovery PHD GmbH.

Treiber dieses Marktes ist auch die Regulierung. DORA gilt in der EU seit 17. Januar 2025 für den Finanzsektor. Parallel hält ENISA fest, dass relevante Einrichtungen die Wiederherstellung von Backup-Kopien regelmässig testen und dokumentieren müssen. Aus Backups wird damit ein Governance- und Prüfungsfeld — und aus Datenrettung ein professioneller Service mit Compliance-Komponente.

Besonders relevant ist das für Mittelstand, Industrie und öffentliche Einrichtungen. ENISA verweist für den Fertigungssektor auf erhebliche Auswirkungen durch Cybervorfälle; längere Betriebsunterbrechungen treffen dort nicht nur Dateien und E-Mails, sondern Produktion, Lieferketten und operative Abläufe. Wo jede Stunde Stillstand Geld kostet, wird schnelle und saubere Wiederherstellung zu einem eigenständigen wirtschaftlichen Wert.

Damit verschiebt sich auch die eigentliche Managementfrage. Früher lautete sie: Haben wir ein Backup? Heute lautet sie: Können wir nach einem Angriff belastbar und kontrolliert weiterarbeiten? Genau an dieser Lücke wächst der Markt für Datenrettung nach Ransomware — nicht als Nischenleistung, sondern als Teil moderner digitaler Resilienz.

Foto: Markus Spiske

Dieser Artikel kann Partner-Links enthalten. Sie dienen der Unterstützung redaktioneller Inhalte und haben keinerlei Einfluss auf die Berichterstattung.