+1 (888) 440-2404

A Vanishing Act: When Data Disappears in the Age of AI

Ein Akt des Verschwindens:

Cyberangriffe und Datenverlust
Die neue Realität: Mehr Vorfälle, weniger Zeit zur Reaktion

Cybervorfälle entwickeln sich zu kontinuierlichen operativen Risiken mit hoher Frequenz.

Fortschritte in der künstlichen Intelligenz haben die Bedrohungslandschaft aus Angreifersicht grundlegend verändert. KI ist inzwischen in der Lage, Schwachstellen auf einem Niveau zu identifizieren und auszunutzen, das mit dem von Elite-Spezialisten vergleichbar ist, und beschleunigt sowohl die Entdeckung als auch die Angriffszyklen erheblich.

Das Ergebnis ist ein strukturelles Ungleichgewicht:

Mehr entdeckte Schwachstellen

Mehr gestartete Angriffe

Mehr Vorfälle, als menschlich geführte Response-Teams skalierbar bewältigen können

Das ist kein allmählicher Anstieg. Es ist ein grundlegender Wandel.

Für Unternehmen bedeutet dies, dass die Wahrscheinlichkeit, ein zerstörerisches Cyberereignis zu erleben, stark steigt, während das Zeitfenster für eine wirksame Reaktion schrumpft.

Von der Verschlüsselung zur Löschung: Die Entwicklung von Ransomware

Traditionelle Ransomware-Modelle konzentrierten sich auf Datenexfiltration und Verschlüsselung. Dieses Modell wandelt sich derzeit.

Moderne, durch KI beschleunigte Angriffe sind zunehmend gezielt geplante, mehrstufige Operationen, die darauf ausgelegt sind, Wiederherstellungsoptionen bereits vor der Ausführung zu eliminieren.

Im Jahr 2026 gehen Angreifer wie folgt vor:

Kartierung von Umgebungen mithilfe KI-gestützter Aufklärung

Identifizierung von Backup-Repositories, Snapshot-Ketten und Wiederherstellungs-Workflows

Diese Systeme im Vorfeld deaktivieren oder manipulieren

Die Ausführung verzögern, um die operative Störung und den Erpressungshebel zu maximieren

Anstelle einer sichtbaren „Detonation“ erleben Unternehmen eine schleichende Beeinträchtigung ihrer Wiederherstellungsfähigkeit. Wenn Systeme verschlüsselt und/oder Daten gelöscht werden, ist die Fähigkeit zur Wiederherstellung aus traditioneller Disaster-Recovery-Sicht bereits systematisch beseitigt worden.

Die verschwindende Ebene: Hypervisoren und Backup-Infrastruktur

Eine der wichtigsten Veränderungen betrifft den Ausgangspunkt von Angriffen. Bedrohungsakteure zielen nicht mehr nur auf Endpunkte oder Server ab. Sie bewegen sich weiter nach unten im Technologie-Stack:

Hypervisoren (VMware ESXi, Hyper-V)

Backup-Orchestrierungsplattformen

Cloud-Backup-APIs

Dedizierte Speichervaults mit Deduplizierung

Im Jahr 2025 haben Angreifer gezeigt, dass sie Virtualisierungsebenen kompromittieren und gleichzeitig Dutzende oder sogar Hunderte von Workloads beeinträchtigen können. 2026 wird dieses Vorgehen noch präziser:

Selektive Beschädigung von Metadaten

Manipulation von Aufbewahrungsrichtlinien

Manipulation der Snapshot-Integrität

Die Point-in-Time-Wiederherstellung unzuverlässig machen

Das ist der wahre „Verschwinde-Trick“: Daten werden nicht nur verschlüsselt, sondern von vornherein so manipuliert, dass sie nicht wiederhergestellt werden können.

Datenverlust vs. Disaster Recovery: Eine entscheidende Unterscheidung

Viele Unternehmen verlassen sich noch immer auf Disaster-Recovery-Strategien (DR), die davon ausgehen, dass Backups intakt sind.
Diese Annahme gilt nicht mehr.

  • Disaster Recovery stellt Systeme wieder her, wenn die Infrastruktur ausfällt
  • Datenwiederherstellung ist erforderlich, wenn die Daten selbst gelöscht, beschädigt oder unbrauchbar gemacht werden

Cyberangriffe zielen mittlerweile routinemäßig auf folgende Bereiche ab:

Löschung von Backups

Beschädigung von Backups

Manipulation von Snapshots

Fehler bei der Rekonstruktion großer Dateien

Nahezu jedes Unternehmen, das von einem Cybervorfall betroffen ist, erlebt ein gewisses Maß an Datenbeschädigung, insbesondere bei großen oder komplexen Datensätzen.

Und entscheidend ist: Die Zahlung eines Lösegelds garantiert keine Wiederherstellung der Daten. Selbst wenn Entschlüsselungstools bereitgestellt werden, bleiben die Erfolgsquoten für eine vollständige Wiederherstellung gering.

Regulierung verändert die Ausgangslage: Australiens Vorgabe von 2025

Im Jahr 2025 verabschiedete die australische Regierung ein Gesetz, das Unternehmen verpflichtet, Cybersicherheitsvorfälle zu melden.

Dadurch werden Cybervorfälle von internen operativen Krisen zu extern sichtbaren, regulatorisch relevanten Ereignissen.

Die Auswirkungen sind erheblich:

Erhöhte Kontrolle durch Regulierungsbehörden und Stakeholder

Rechtliche und finanzielle Risiken im Zusammenhang mit dem Incident-Handling

Stärkerer Fokus auf nachweisbare Wiederherstellungsfähigkeit, nicht nur auf Reaktionsmaßnahmen

In diesem Umfeld lautet die Frage nicht mehr: „Können Sie auf einen Vorfall reagieren?“

Sie lautet vielmehr: „Können Sie nachweisen, dass Ihre Daten und Ihr Geschäftsbetrieb wiederhergestellt werden können?“

Incident Response gerät an ihre Grenzen, Wiederherstellung muss sich weiterentwickeln

Die Incident-Response-Branche ist historisch durch den Ausbau menschlicher Expertise und die Erweiterung von Ressourcen gewachsen.

Dieses Modell steht zunehmend unter Druck.

KI erhöht das Vorfallaufkommen über das hinaus, was traditionelle Teams bewältigen können:

  • Eine Steigerung um das 2-Fache ist plausibel
  • Das 10-Fache ist nicht unrealistisch

Dies treibt den Aufstieg einer KI-nativen Incident Response voran, bei der Automatisierung Folgendes übernimmt:

  • Untersuchungs-Workflows
  • Mustererkennung
  • Erste Eindämmungsmaßnahmen

Doch selbst mit KI-gestützter Reaktion:

  • Die Wiederherstellung bleibt durch die Datenintegrität begrenzt
  • Und genau die Datenintegrität ist das erste Ziel der Angreifer
Gelöscht bedeutet nicht verschwunden, aber es bedeutet etwas anderes

Eine der am häufigsten missverstandenen Realitäten bei Cybervorfällen ist, dass Löschung nicht immer dauerhaft ist, Wiederherstellung und Datenrettung jedoch längst nicht mehr unkompliziert sind.

Eine effektive Wiederherstellung erfordert heute:

Tiefgehende Analyse von Produktions- und Backup-Umgebungen

Rekonstruktion beschädigter Dateistrukturen

Plattformübergreifende Expertise (physisch, virtuell, Cloud)

Proprietäre Tools für komplexe Datenszenarien

Standardlösungen von der Stange sind in diesen Umgebungen zunehmend ineffektiv.

Entscheidend für den Erfolg sind nicht nur die eingesetzten Tools, sondern die Tiefe der Expertise darüber, wie Daten tatsächlich gespeichert werden und wie sie sich unter Ausfallbedingungen verhalten.

Was das für 2026 und darüber hinaus bedeutet

Unternehmen müssen ihre Annahmen neu justieren.

1 Gehen Sie davon aus, dass Backups gezielt angegriffen werden
Nicht nur gelöscht, sondern auch beschädigt, manipuliert oder unzugänglich gemacht.

2 Betrachten Sie den Hypervisor als kritische Angriffsfläche
Er ist nicht länger nur Infrastruktur im Hintergrund, sondern ein primäres Angriffsziel.

3 Validieren Sie die Wiederherstellung, verlassen Sie sich nicht auf Annahmen
Testen Sie die Datenwiederherstellung UND die Datenintegrität unter Angriffsbedingungen.

4 Integrieren Sie Datenwiederherstellungs-Workflows in die Incident Response
Wiederherstellung ist keine nachgelagerte Aktivität mehr, sondern zentraler Bestandteil der Resilienz.

5 Bereiten Sie sich auf regulatorische Transparenz vor
Wiederherstellungsfähigkeit wird zunehmend zu einer Compliance- und Reputationsanforderung.

Fazit: Die Illusion der Wiederherstellung

In den vergangenen Jahren gingen Unternehmen davon aus: „Wenn wir Backups haben, können wir wiederherstellen.“

Im Jahr 2026 erweist sich diese Annahme zunehmend als falsch.

Cyberangriffe entwickeln sich von bloßen Störereignissen zu präzise konstruierten Kampagnen zur Datenvernichtung.

Das eigentliche Risiko ist nicht mehr die Ausfallzeit. Es ist ein irreversibler Datenverlust, der sich als wiederherstellbarer Infrastrukturausfall tarnt.

Die Unternehmen, die sich anpassen, werden jene sein, die erkennen, dass Resilienz nicht länger nur die Wiederherstellung von Systemen bedeutet. Es geht darum, Daten zurückzugewinnen, die darauf ausgelegt waren zu verschwinden.

Verwandte Beiträge

Warum Ransomware-Forderungen steigen, obwohl weniger Unternehmen zahlen

DailyCyber: Die Realität der Ransomware-Wiederherstellung mit Andy Maus, Leiter der Cyber-Recovery-Services bei DriveSavers

Fallstudie: SQL Server- und Datenbankwiederherstellung nach Ransomware-Angriff

Frühere Beiträge

Andy Maus ist Leiter der Cyber Recovery Services bei DriveSavers und verantwortet Initiativen, die Organisationen dabei unterstützen, nach Cybervorfällen, Ransomware-Angriffen und anderen Sicherheitsverletzungen kritische Daten wiederherzustellen. Er kam 2023 zu DriveSavers, nachdem er über zwei Jahre bei Arete Incident Response tätig war. Dort führte er Datenrettungsdienste in das Wiederherstellungsportfolio ein, erweiterte das technische Operationsteam von 10 auf über 70 Spezialisten und etablierte strategische Partnerschaften mit SentinelOne, Dell und Presidio. Zuvor leitete er bei Ontrack Data Recovery den globalen Vertrieb und unterstützte komplexe Datenwiederherstellungen in 22 Ländern. Mit über 30 Jahren Erfahrung in der Technologiebranche — darunter Führungspositionen bei Dell, Mitel und Level 3 Communications — bringt Andy umfassendes Know-how in der Reaktion auf Sicherheitsvorfälle, Datenrettungsverfahren und dem Management technischer Großprojekte mit.

An den Anfang scrollen
Suche