Datenverlust: Vier zentrale Ursachen – und wie Unternehmen sich wappnen können

27. Mai 2025

Ob in der IT, im Sicherheitsmanagement, in der Compliance oder im operativen Geschäft: Wer in einem Unternehmen Verantwortung für Daten trägt, ist mit hoher Wahrscheinlichkeit bereits mit dem Thema Datenverlust in Berührung gekommen – oder wird es in Zukunft noch werden. Die entscheidende Frage lautet daher nicht, ob ein solcher Vorfall eintritt, sondern wann – und wie gut man darauf vorbereitet ist.

Aus zahlreichen Praxisbeispielen lassen sich vier Hauptursachen identifizieren, die besonders häufig zu Datenverlust führen. Der Experte spricht hier von den „vier Ms“: malicious attacks (böswillige Angriffe), misconfigurations (Fehlbedienungen oder Fehler durch Administratoren), mishaps (Pannen beim Cloud-Anbieter) und migration failures (gescheiterte Datenmigrationen).

Ein genauer Blick auf diese Kategorien zeigt typische Muster und Schwachstellen, aber auch konkrete Handlungsmöglichkeiten. In den kommenden Abschnitten beleuchten wir jeden dieser Bereiche, zeigen reale Fallbeispiele und geben praktische Hinweise, wie Unternehmen sich bestmöglich schützen können – damit sie im Ernstfall vorbereitet sind.

Böswillige Angriffe: Sie werden ins Visier genommen

Beginnen wir mit dem, was jeder kennt: Cyberangriffe. Sie kennen die Schlagzeilen – Ransomware, Datenlöschung, gestohlene Zugangsdaten, was auch immer. Was jedoch nicht immer in den Nachrichten erscheint, ist, dass moderne Angriffe zunehmend hybrid und weniger zielgerichtet sind.

Wir haben es nicht mehr mit isolierten Ransomware-Banden zu tun. Die heutigen Angriffe sind koordinierter, hybrider und weniger zielgerichtet als je zuvor. Nationale Akteure wie MERCURY (jetzt Mango Sandstorm) und DEV-1084 (jetzt Storm-1084) haben bewiesen, dass sie lokale Umgebungen kompromittieren, Berechtigungen erweitern und dann in Cloud-Systeme wie Azure eindringen können, wo sie Azure-basierte Backups löschen und versuchen, den Wiederherstellungspfad selbst zu vernichten. Das ist richtig: Sie haben es nicht nur auf Ihre Daten abgesehen, sondern auch auf Ihren Wiederherstellungsplan.

Das ist keine Theorie. Der Threat Intelligence Blog von Microsoft und andere haben erschreckende Fallstudien darüber veröffentlicht, wie hybride Angreifer vorgehen – und wie schwer sie zu stoppen sind, wenn sie einmal eingedrungen sind.

Angriffe müssen auch nicht besonders ausgeklügelt sein, um verheerende Folgen zu haben. Viele beginnen damit, dass ein Benutzer etwas tut, was er nicht tun sollte – auf einen Phishing-Link klicken oder Anmeldedaten preisgeben. Das ist zwar nicht beabsichtigt, aber es ist alles, was ein Angreifer braucht, um sich Zugang zu verschaffen, seine Zugriffsrechte zu erweitern und mit dem Löschen von Daten zu beginnen.

In anderen Fällen geht es weitaus raffinierter zu. Ein staatlich geförderter Akteur könnte Ihr lokales AD kompromittieren, seine Zugriffsrechte erweitern und mithilfe einer synchronisierten Identität auf Azure zugreifen. Von dort aus greift er Ihre Backups an und löscht sie. Damit sind nicht nur Ihre Betriebsdaten verloren, sondern auch Ihr Sicherheitsnetz.

Vielleicht lesen Sie das und denken: „Nun, kein Nationalstaat würde uns angreifen“, aber die traurige Wahrheit ist, dass Angriffstechnologien immer nach unten sickern. Was heute noch ein hochqualifiziertes Expertenteam benötigt, kann nächste Woche schon von einer Ransomware-Bande und nächsten Monat von einem gewöhnlichen Hacker ausgeführt werden. Mit der Expansion des Ransomware-Marktes und dem zunehmenden Wettbewerb zwischen den Kriminellen werden diese immer weniger wählerisch, wen sie angreifen, wodurch die Wahrscheinlichkeit steigt, dass Sie getroffen werden. Ein nicht gezielter Angriff kann Ihrem Unternehmen genauso viel Schaden zufügen wie ein Angriff, der speziell auf Sie ausgerichtet ist.

Tipp zur Wiederherstellung: Sie können nicht davon ausgehen, dass Ihre Backups sicher sind, nur weil sich Ihre Daten in der Cloud befinden. Backups sind oft das erste Ziel – hier erfahren Sie, warum Backups angegriffen werden. Das bedeutet, dass Sie Kopien an einem Ort aufbewahren müssen, auf den Ihr Angreifer keinen Zugriff hat. Backups müssen unveränderlich, isoliert und unabhängig von Ihren Produktionssystemen sein. Es reicht nicht aus, zu sagen, dass Sie ein Backup haben. Sie müssen sicher sein, dass Sie es wiederherstellen können, wenn es darauf ankommt.

Fehler von Administratoren: Die häufigste Ursache für Datenverluste

Wir alle machen Fehler. Ich bin schon lange genug in diesem Bereich tätig, um das mit Sicherheit sagen zu können – selbst hervorragende Administratoren können an einem guten Tag etwas falsch konfigurieren. Das Problem ist, dass kleine Änderungen in den heutigen Systemen große Auswirkungen haben können.

Ein gutes Beispiel sind Aufbewahrungsrichtlinien. Jemand konfiguriert eine Aufbewahrungsrichtlinie falsch und legt sie auf 9 statt auf 90 Tage fest. Oder ein PowerShell-Skript wird mit dem falschen Geltungsbereich bereitgestellt und löscht eine Ordnerstruktur. Das sind ehrliche Fehler, aber sie haben reale Konsequenzen.

Dann gibt es noch komplexere Fälle – wie die große US-Bank, die sich auf die Standard-Aufbewahrungsrichtlinie ihres SaaS-Anbieters verlassen hat. Es gab einen Fehler in der Logik. Das Ergebnis? Bundesweit vorgeschriebene Aufzeichnungen wurden gelöscht. Als dies bemerkt wurde, war die Wiederherstellungsfrist bereits abgelaufen, und der Risikoausschuss der Bank musste informiert werden.

Unabhängig davon, wie gut Ihre Administratoren geschult sind, in einer Welt, in der jedes IT-Team unter enormem Druck steht, mehr zu leisten, schneller zu arbeiten und dabei weniger zu verbrauchen, sind Fehler vorprogrammiert.

Tipp zur Wiederherstellung: Ihre Backup-Strategie muss Menschen berücksichtigen. Die Guten, die Müden, die Wohlmeinenden, die nur eine falsche Änderung vorgenommen haben – und diejenigen, die möglicherweise Böses im Sinn haben. Das bedeutet externe, versionierte Backups, auf die Sie unabhängig zugreifen können – selbst wenn jemand aus Ihrem eigenen Team eine kritische Änderung vorgenommen oder etwas böswillig gelöscht hat. Darüber hinaus geht es darum, Vertrauen und eine starke Sicherheitskultur aufzubauen. Die Menschen müssen sich wohlfühlen, wenn sie zugeben, dass etwas schiefgelaufen ist, bevor es eskaliert.

Pannen bei Ihrem Cloud-Anbieter: Die Realität der geteilten Verantwortung

Selbst die größten Cloud-Anbieter haben mal einen schlechten Tag. Im September 2024 verlor Microsoft aufgrund eines Fehlers in seinen internen Überwachungsagenten die Sicherheitsprotokolle einiger Kunden für mehrere Wochen. Zuvor hatte Google Cloud aufgrund einer Fehlkonfiguration der Google Cloud VMware Engine (GCVE) wichtige Rentendaten eines der größten Rentenversicherer Australiens gelöscht. Der Kunde hatte keine Möglichkeit, diese Daten über Google wiederherzustellen, verfügte jedoch glücklicherweise über ein eigenes Backup eines Drittanbieters.

Und solche Pannen sind keine Seltenheit. Diese Art von Ausfällen mag komplex sein, aber sie sind nicht unmöglich. Wenn Ihr DR-Plan davon ausgeht, dass Ihr Cloud-Anbieter keine Fehler macht – oder dass er alle von ihm verursachten Probleme beheben kann –, gehen Sie ein Risiko ein.

Tipp zur Wiederherstellung: Geteilte Verantwortung bedeutet, dass Ihr Anbieter die Infrastruktur schützt – nicht Ihre Daten. Er verspricht im Wesentlichen, dass er nicht alle Ihre Daten gleichzeitig verliert – nicht, dass er Ihnen bei der Wiederherstellung hilft, wenn Sie alle Ihre Daten gleichzeitig verlieren. Wenn etwas aufgrund eines Fehlers (Ihres oder seines) gelöscht, überschrieben oder verloren geht, sind Sie für die Wiederherstellung verantwortlich. Deshalb ist eine unabhängige Sicherung, die außerhalb der Plattform gespeichert und regelmäßig getestet wird, so wichtig.

Migrationen, die schiefgehen: Unterschätzt und mit weitreichenden Folgen

Migrationen sollten eigentlich unkompliziert sein – sind es aber selten. Sie ähneln ein wenig Renovierungsarbeiten, da sie immer länger dauern als erwartet, mehr kosten als geplant und dabei etwas kaputt geht.

Bei größeren Umstellungen, wie dem Wechsel von einem Cloud-Anbieter zu einem anderen, kann alles schiefgehen. Ein großer EU-Einzelhändler migrierte zu Google Cloud und hatte mit schwerwiegenden Synchronisierungs- und Datenintegritätsproblemen zu kämpfen. Es gab keinen Rollback-Plan. Die Wiederherstellung war nicht getestet worden. Das Unternehmen saß fest.

Wir betrachten Migrationen gerne als Upgrades. Aber sie sind auch Risikofaktoren – Zeiten, in denen Daten übertragen werden, Systeme umgestellt werden und die Sicherheitsvorkehrungen am schwächsten sind.

Tipp zur Wiederherstellung: Behandeln Sie Migrationen wie Katastrophenszenarien. Sie benötigen vollständige Point-in-Time-Backups aller kritischen Daten, bevor Sie die Umstellung vornehmen. Außerdem müssen Sie die Wiederherstellung als Teil des Migrationsplans testen. Andernfalls könnten Sie sich plötzlich damit konfrontiert sehen, das gestrige Mittagsmenü wiederherzustellen, während Ihr Abrechnungssystem offline bleibt.

Abschließende Gedanken: Planen Sie so, als würde es passieren, denn es wird passieren

In jedem Szenario, das ich beschrieben habe, gibt es ein wiederkehrendes Thema: Testen. Keine Theorie. Keine Tabellenkalkulation. Tatsächliche, geübte und überprüfbare Wiederherstellungstests.

Es reicht nicht aus, zu sagen, dass Sie einen Notfallwiederherstellungsplan haben. Sie müssen beweisen, dass er funktioniert – sich selbst, Ihrem Team und vielleicht sogar den Aufsichtsbehörden gegenüber. Darin liegt die wahre Resilienz. Nicht in Wunschdenken, sondern in der Vorbereitung.

Sie können nicht jeden Angriff vorhersagen. Sie können nicht jeden Fehler verhindern. Und Sie können nicht kontrollieren, was Ihr Cloud-Anbieter tut. Aber Sie können kontrollieren, wie Sie sich vorbereiten und wie schnell Sie wieder auf die Beine kommen.

Testen Sie also Ihren Plan. Testen Sie ihn erneut. Und wenn er versagt, beheben Sie die Fehler jetzt – nicht während eines tatsächlichen Vorfalls.

Quelle: Keepit-Blog