Cloud- und Virtualisierungsumgebungen gelten oft als flexibel und sicher. Dennoch mehren sich Berichte über erfolgreiche Angriffe. Wo sehen Sie aktuell die größten Schwachstellen in solchen Infrastrukturen?

Die größte Schwachstelle liegt häufig in einer Sicherheitsarchitektur, die sich fast ausschließlich auf Prävention konzentriert. Viele Unternehmen investieren zu Recht in Firewalls, EDR- oder XDR-Systeme, VPNs und Netzwerksegmentierung. Doch diese Maßnahmen bilden nur einen Teil des Schutzkonzepts. In der Realität erleben wir regelmäßig, dass zentrale Managementsysteme wie vCenter, Hyper-V oder auch die Backup-Verwaltungstools von Veeam, Acronis oder ArcServe unzureichend abgesichert sind.

Diese Systeme greifen tief in die Infrastruktur ein. Wer sie kompromittiert, kann Daten abgreifen, virtuelle Maschinen verschlüsseln oder gezielt Backups löschen. Auch falsch konfigurierte Zugriffsrechte oder eine fehlende Trennung von Produktiv- und Sicherungssystemen sind in der Praxis typische Schwachstellen. Sicherheit endet nicht bei der Abwehr. Wer nicht gesamtheitlich denkt – inklusive Recovery und Wiederanlauf – lässt im Ernstfall die kritischste Lücke offen.

Viele Unternehmen setzen auf klassische Schutzmaßnahmen wie Firewalls, Patches und EDR-Systeme. Reicht das Ihrer Einschätzung nach noch aus, um moderne Bedrohungen abzuwehren?

Kurz: Nein. Diese Schutzmechanismen sind notwendig, aber sie reichen nicht aus. Wir begleiten Unternehmen regelmäßig in akuten Ransomware-Fällen, obwohl ihre Sicherheitsarchitektur auf dem Papier solide war. Die entscheidende Frage lautet nicht mehr: "Wie verhindere ich einen Angriff", sondern, "Wie schnell bin ich nach einem erfolgreichen Angriff wieder einsatzfähig?" Hat ein Unternehmen eine funktionierende Reaktions strategie? Oder beginnt dann die Impro visation?

In der Praxis begleiten wir regelmäßig Organisationen, bei denen alles vorhanden ist – außer einem getesteten Wiederanlaufplan. Recovery wird dann zur größten Schwachstelle. Selbst wer perfekte Prävention betreibt, steht ohne funktionierende Rückfallebene vor einem Totalausfall. Eine wirksame reaktive Sicherheitsstrategie umfasst mehr als Backups. Sie braucht klar definierte Rollen, Entscheidungswege, Kommunikationspläne und ein technisches Setup, das im Ernstfall nicht nur theoretisch, sondern praktisch funktioniert.

Die Organisation muss üben, testen, lernen – und das kontinuierlich

In komplexen, hybriden Infrastrukturen spielen Konfiguration und Architektur auch eine zentrale Rolle. Welche Fehler oder Versäumnisse begegnen Ihnen in der Praxis besonders häufig?

Es gibt drei Fehler, die uns immer wieder in der Praxis begegnen. Das wäre erstens eine fehlende Isolation: Kritische Systeme wie Backup, Active Directory und Storage sind oft zu eng gekoppelt. Ein schwaches Glied in der Kette hat weitreichende Folgen. Zweitens ist da der Rechte-Wildwuchs: Admins verfügen über zu weitreichende Berechtigungen. Rollenkonzepte sind selten konsequent umgesetzt. Drittens befinden sich Backups oft im selben Netz: Immer wieder liegen sie physisch und logisch im selben Netzwerk wie die Produktivsysteme. Das beschleunigt im Ernstfall die Eskalation und macht Recovery mit herkömmlichen Mitteln fast unmöglich.

Immer häufiger ist von Resilienz statt reinem Schutz die Rede. Was bedeutet dieser Ansatz für die Absicherung moderner IT-Infrastrukturen?

Resilienz bedeutet: Ich plane nicht nur gegen, sondern mit dem Angriff. Die Frage ist also nicht, ob etwas passiert, sondern wann. Diese Denkweise verändert alles. Es geht um Vorbereitung, Isolation, Kommunikation und die Fähigkeit, im Fall der Kompromittierung handlungsfähig zu bleiben. Es reicht nicht, technische Systeme abzusichern. Die Organisation muss üben, testen, lernen – und das kontinuierlich.

Wie sollte eine Backupstrategie heute aussehen, um auch im Fall eines erfolgreichen Angriffs ein schnelles Wiederanlaufen zu ermöglichen?

Ein Backupkonzept muss Ransomwareresilient sein. Das heißt unter anderem: Datensicherungen dürfen nicht durch denselben Admin verwaltet werden, der das Netzwerk betreibt. Es braucht echte physische oder logische Isolation. Air Gap ist gut, reicht aber nicht immer. Nicht jedes "Immutable" ist wirklich unveränderlich. Viele als immutable deklarierte Systeme können doch manipuliert werden, wie wir in der Praxis mehrfach erlebt haben. Ich erinnere mich an einen konkreten Fall eines Automobilzulieferers: Fünf NAS-Systeme, für jeden Wochentag eines, getrennt vom Netz nach jeder Sicherung mit automatischer E-Mail-Benachrichtigung an den CISO: Das Backup ist erfolgreich gelaufen. Klingt solide.

Doch die Angreifer waren schon längst im System. Sie haben tagelang nacheinander die Sicherungen gelöscht – immer nachdem die automatische E-Mail-Bestätigung versendet wurde – bis am Samstag die Verschlüsselung erfolgte. Hätten die Admins am Dienstag das Montagsbackup geprüft, hätten sie es bemerkt und noch die Daten vom Freitagsbackup gehabt. Ein relativ kleiner Verlust im Vergleich zu: gar keine Daten mehr. Das ist das Entscheidende: Backups müssen nicht nur gemacht, sondern auch regelmäßig kontrolliert und getestet werden.

Sie haben in der Praxis erlebt, wie ein einzelner kompromittierter Server ein ganzes Rechenzentrum lahmlegen konnte. Was lässt sich aus solchen Vorfällen lernen?

Ja, da hat ein Kunde seine Systeme innerhalb eines Rechenzentrums eigenständig verwaltet. Das Rechenzentrum hatte ihn mehrfach darauf hingewiesen, dass bestimmte Systeme dringend aktualisiert werden müssten. Diese Hinweise wurden ignoriert. Genau über diesen veralteten Server gelang es Hackern schließlich, sich Zugang zu verschaffen. In der Folge breiteten sie sich ungehindert lateral aus, mit Auswirkungen weit über den eigentlichen Mandanten hinaus. Auch andere Kunden des Rechenzentrums waren betroffen. Zwar konnten wir die Daten am Ende ohne Lösegeldzahlung retten, aber aufgrund der enormen Datenmengen dauerte es mehrere Wochen, bis alle geschäftskritischen Systeme wiederhergestellt waren. Der operative und finanzielle Schaden war erheblich.

Was bedeutet dies für Firmen, die auf die Cloud setzen – gerade aus Sicherheitsgründen?

Die Cloud ist kein geschützter, abstrakter Raum, sondern letztlich nur die Infrastruktur eines anderen Anbieters. Dort existieren dieselben Risiken wie anderswo auch: veraltete Systeme, Zero-Day-Schwachstellen, falsche Konfigurationen und menschliches Versagen. Wer sich auf die Cloud als pauschale Sicherheitslösung verlässt, handelt fahrlässig. Ohne eine unabhängige, wirklich Ransomware-resiliente Backupstrategie ist jede Umgebung verwundbar. Es braucht mindestens zwei Sicherungen – eine lokal, eine in einer separat verwalteten Cloud – technisch tatsächlich unveränderlich und organisatorisch voneinander getrennt. Nur so ist im Ernstfall auf die Sicherungen Verlass. Darüber hinaus braucht es klare Notfallprozesse. Wer in der Krise nicht weiß, wer Entscheidungen trifft, wie kommuniziert wird und welche Systeme zuerst wiederhergestellt werden müssen, verliert wertvolle Zeit.

KMU stehen beim Thema IT-Sicherheit besonders unter Druck. Welche Maßnahmen lassen sich auch mit begrenzten Mitteln realisieren, um die Ausfallsicherheit zu erhöhen?

Resilienz ist nicht primär eine Frage des Budgets, sondern der Haltung. Drei konkrete Maßnahmen lassen sich auch mit knappen Mitteln umsetzen. Erstens Backuptests entsprechend dem definierten RPO, dem Recovery Point Objective. Der RPO beschreibt die maximal tolerierbare Datenverlustspanne, die ein Unternehmen im Krisenfall noch hinnehmen kann. Backupwiederherstellungen sollten so häufig getestet werden, dass der Abstand zwischen den Tests nie größer ist als dieses definierte RPO. Eine einfache Wiederherstellung auf einem separaten System bringt schnell Klarheit über die tatsächliche Funktionsfähigkeit der Sicherungen.

Zweitens wäre die Umsetzung von Minimalzugriffen zu nennen: Nicht mehr benötigte oder veraltete Konten konsequent abschalten, Multifaktor-Authentifizierung aktivieren, Rollen- und Rechtevergabe regelmäßig prüfen. An dritter Stelle kommt ein funktionierender Krisenplan: Wer ruft wen an? Wer trifft Entscheidungen? Wer kennt die Backupprozesse? Notfallkontakte, Kommunikationswege und Entscheidungsstrukturen sollten klar dokumentiert und trainiert sein.

Zusätzlich sind ein externer Sicherheitscheck oder eine Notfallübung hilfreich. Gerade hier zeigt sich oft, dass Entscheider sich auf Erfolgsmeldungen aus Backuptools verlassen, ohne dass jemand jemals ein Restore unter realen Bedingungen getestet hat. Externe Perspektiven decken regelmäßig Schwachstellen auf, die intern übersehen werden. In über hundert Ransomware-Fällen, die wir in Deutschland, Österreich und der Schweiz begleitet haben, sehen wir täglich Unternehmen, die betroffen sind – insbesondere an Wochenenden und Feiertagen, wenn IT-Teams in reduzierter Besetzung arbeiten.

Vielen Dank für das Gespräch!

Mehr interessante Artikel zum Themenschwerpunkt "Sicherheit für Cloud & Virtualisierung" finden Sie in der Oktober-Ausgabe 2025 des IT-Administrator.