Cyberresilienz ist längst kein reines IT-Thema mehr, sondern rückt zunehmend in den strategischen Fokus von Unternehmen. Cyberangriffe werden komplexer, IT-Landschaften dynamischer und mit dem Einsatz von Künstlicher Intelligenz steigen auch die Anforderungen an Sicherheit und Wiederherstellung. Welche Konsequenzen das für Unternehmen hat und wie sich Cyberresilienz derzeit verändert, erläutert Nicolas Veltzé, Regional Sales Senior Director and General Manager Alps bei Commvault, im Interview.

Die Commvault Shift behandelt, wie der Name schon andeutet, den aktuellen Umbruch in der Cybersecurity. Was bedeutet dieser Wandel konkret für Unternehmen in der Schweiz? Nicolas Veltzé: Am besten drücken die Zahlen 24 und 5 aus, warum ein Wandel bei Backup- und Disaster-Recovery-Ansätzen dringend nötig ist. Die Geschäftsführung geht davon aus, dass Systeme und Daten spätestens nach fünf Tagen wieder online sind. Im Schnitt dauert die Wiederherstellung aber laut einer Commvault-Umfrage 24 Tage. Dieser Diskrepanz fällt nicht nur das Vertrauen in die Fähigkeiten der IT-Teams zum Opfer, sondern auch die Umsätze oder sogar das ganze Schweizer Unternehmen.

Welchen Handlungsbedarf sehen Sie? Den Hauptgrund, warum Standard-Recovery nicht mehr reicht, liefern die Cyberkriminellen: Aktuelle Expertenanalysen deuten darauf hin, dass Hacker durchschnittlich über 200 Tage in Opfernetzwerken bleiben, um Dutzende von Systemen und damit auch Backup-Datensätze zu manipulieren. Firmen dürfen ihren Daten also nicht mehr blind vertrauen.

Denn wer Daten aus Backups einfach wiederherstellt, ohne sie vorab auf Befall zu durchleuchten, stellt mit den unkontrollierten Backups alle Hintertüren, Malware-Codes und Fake Accounts wieder her, durch die Hacker einfach wieder ins Netz einbrechen. Die Systeme sind wieder korrumpiert, die IT-Teams stehen wieder ganz am Anfang der Operation und müssen entscheiden, wie weit sie in der Zeit zurückgehen, um ein sauberes Backup zu finden. All das geschieht unter hohem Zeitdruck und Stress und die Reputation bei der Geschäftsführung sinkt mit jedem verlorenen Tag.

Was ist der richtige Ansatz? IT-Sicherheits- und Infrastrukturteams müssen während einer laufenden Attacke eng zusammenarbeiten, um die Integrität der Daten zu untersuchen, bevor man die Daten aus den Backups wieder einspielt. Dieses Verfahren setzt voraus, dass Firmen Backup-Daten "air gapped", also unsichtbar vor dem Hacker, an einer entfernten Stelle platziert haben. Diese Daten müssen im Cleanroom erst gezielt durchleuchtet, nach Angriffsartefakten durchsucht und dann in der isolierten Umgebung aufgespielt werden.

Commvault hat mit der Cloud Unity Plattform alle diese Fähigkeiten gebündelt und erlaubt Schweizer Firmen, alle ihre Daten lokal, in hybriden Netzen und der privaten sowie öffentlichen Cloud von einer Konsole aus zu sichern und kontrolliert wiederherzustellen.

Wie hat sich die Bedrohungslage in den letzten Jahren verändert – gerade durch KI-gestützte Angriffe? In der KI-Welt verändern Agenten den Zustand von Daten, Systemen und Konfigurationen schnell und die Änderungen sind schwer nachvollziehbar. Wenn etwas schiefgeht, müssen Teams nicht nur die Daten, sondern den gesamten Stack aus Anwendungen, Agentenkonfigurationen und deren Abhängigkeiten in einen bekannten, funktionierenden Zustand zurückversetzen.

Dabei müssen die Teams den gesamten Lebenszyklus ihrer KI-Agenten komplett steuern können. Dieser beginnt mit der sicheren Aktivierung von Daten für KI-Zwecke und erstreckt sich über Discovery, Governance sowie Schutz bis hin zur Wiederherstellung von KI-Agenten in On-Premises-, SaaS- und Hybrid-Cloud-Umgebungen.

Denn erst wenn Teams alle KI-Agenten in der Firma kennen und genau überblicken, auf welche Daten sie zugreifen und wie sie diese verändern, mit wem die Agenten intern und extern interagieren, können die Teams die Integrität der Daten und den Zugriff darauf kontrollieren und reglementieren. Und wenn ein KI-Agent dann von der Norm abweicht, lässt sich das ebenso feststellen und per Recovery in einen gesunden Zustand zurückführen. Das sind wichtige Kernanforderungen im Zeitalter der KI.

Wo stehen Unternehmen heute wirklich beim Thema Cyber Resilience und wo gibt es noch die grössten Lücken? Schweizer Firmen unterschätzen ihre Resilienzlücke und überschätzen die Fähigkeiten ihrer Standard-Disaster-Recovery-Prozesse. Diese Lücken werden oft aufgedeckt, wenn man seine Wiederherstellungsabläufe regelmässig im Team testet. Leider geschieht das viel zu selten, da sich viele Entscheider an Wochenenden zusammenfinden und den Ernstfall durchspielen müssen, mit echten Daten und echter Infrastruktur. Das kostet Zeit und Geld.

Damit das essenzielle Testen der Abläufe leichter und günstiger geschieht, hat Commvault automatisierte, KI-gestützte Cleanrooms in seine Plattform integriert. Diese bauen auf Knopfdruck in einer isolierten Cloud-Umgebung ein echtes Testfeld auf, in dem die Infrastruktur- und Sicherheitsteams gemeinsam die Wiederherstellung mit Forensik durchspielen können. Playbooks geben den Teams vor, welche Schritte sie wann und wie ausführen müssen, um sie durch manchmal komplexe Szenerien sicher durchzuführen. So gewinnen die Teams an Erfahrung, Zuversicht und werden im Ernstfall genau wissen, was zu tun ist. Das spart Reaktionszeit und wird mögliche Ausfallzeiten massiv verkürzen.

Identität ist eine zentrale Schwachstelle in der Cybersicherheit. Warum wird dieses Thema Ihrer Meinung nach noch so oft unterschätzt? Verzeichnisdienste werden in neun von zehn Angriffen ins Visier genommen und missbraucht. Sie wiederherzustellen ist aufwändig, da Dienste wie die Active Directory komplexe Strukturen haben können. Der Microsoft Guide für diese Aufgabe ist 90 Seiten stark und eine falsche Abfolge in der Wiederherstellung beispielsweise kann ganze Vorhaben sabotieren. Zeitgleich nimmt die Menge von Identitäten massiv zu. Die Unternehmensberatung McKinsey hat Anfang des Jahres erklärt, ihre 40'000 Mitarbeiter starke Consulting-Truppe wurde um 25'000 AI Agents aufgestockt – innerhalb von nur zwei Jahren.

Wie können Unternehmen ihre Identitäten besser schützen? Jeder KI-Agent greift auf nutzerspezifische Daten und Workflows zu und braucht hierfür eine eindeutige Identität und klar formulierte Zugriffsrechte. Da kommen also viele neue Einträge auf die grossen Identitäts-Management-Systeme zu.

Um diesem Risiko zu begegnen, hat Commvault seine Lösungen im Bereich Identity Resilience erweitert. Unternehmen können Schwachstellen erkennen, Änderungen überwachen und ungewöhnliche Aktivitäten analysieren. Detaillierte Audit-Protokolle zeigen, wer wann und von wo aus Änderungen vorgenommen hat. Im Ernstfall lassen sich verdächtige Änderungen direkt zurücksetzen – schnell und ohne aufwändige manuelle Wiederherstellungsprozesse.

Wenn Sie den Leserinnen und Lesern heute eine konkrete Handlung mitgeben könnten – was sollten Unternehmen morgen anders machen als heute? Cyberresilienz ist eine Frage der Unternehmenskultur und nicht ausschliesslich eine technische Angelegenheit. Sie muss in der Firma verankert und von der Geschäftsführung als Priorität definiert sein.

Wer diesem Prinzip folgt, wird regelmässige Tests der Resilienz anordnen und schmerzhafte Lücken frühzeitig aufdecken, vor dem Ernstfall. Denn nur wenn die Mitarbeitenden und Verantwortlichen die Resilienzlücken verstehen, ihre aktuelle Umgebung testen, und Cyber- Recovery üben, werden sie im Ernstfall richtig handeln und aus Theorie wird wirksame Cyber-Resilienz.

Vor zwei Jahren sprachen Sie von ambitionierten Zielen in der Schweiz. Konnten Sie den Marktanteil von damals (10%) schon erhöhen? Wenn ja: Wie haben Sie das geschafft? Unsere jüngsten weltweiten Ergebnisse bestätigen, dass wir nachhaltiges Wachstum erzielen, das vor allem durch unsere Innovationen und das SaaS-Geschäft vorangetrieben wird. Im Geschäftsjahr 2027 wird der Aufstieg der KI zu mehr Daten und damit zu mehr Risiken führen – was wiederum die Nachfrage nach den bewährten Schutz-, Governance- und Wiederherstellungsfunktionen unserer Plattform erhöht. Wir sind überzeugt, dass wir so weiter wachsen werden.

Was treibt Sie persönlich an, sich mit diesem Thema so intensiv zu beschäftigen? Cyberattacken bedrohen nicht nur die Wirtschaft. Weil Ticketsysteme ausgefallen sind, haben Familien ihren Flug in die Ferien verpasst. Ganze Lieferketten und Zulieferbetriebe wurden gestört, als ein grosser britischer Autohersteller lange Zeit offline war. Und der Staat diskutiert nun Subventionen, um den Schaden zu mindern. Spitäler mussten wegen Ransomware-Attacken ihre Notaufnahme schliessen oder haben Operationen verschoben.

Wir alle sind in unserem Alltag inzwischen von den Folgen von Cyberattacken betroffen. Ich möchte jeder Organisation helfen, besser durch diese Krise zu kommen und sie mit möglichst geringem Schaden zu überstehen.

Waren Sie selbst schon Ziel eines Cyberangriffs? Nein, zum Glück noch nicht. Ich bin aber auch sehr vorsichtig, was das Thema Passwörter und persönliche Daten betrifft. Wenn man gewisse Grundregeln beachtet, Security Tools richtig einsetzt und bedacht mit seinen Daten umgeht, kann man schon viel verhindern. Gefeit ist man natürlich nie.