World Backup Day 2025

Patrick Englisch, Director & Head of Technology Sales Central Europe bei Cohesity, erklärt: „Ransomware- und Wiper-Angriffe werden immer raffinierter. Unternehmen benötigen eine ordnungsgemäße Datenindizierung und -klassifizierung für priorisierte Backups mit unveränderlichen Dateien. Außerdem können Sicherheitsteams mit einem Clean Room jede Art von Bedrohung sofort untersuchen und eindämmen.Unternehmen werden häufig von Ransomware- und Wiper-Angriffen bedroht. Eine ordnungsgemäße Datenindexierung und -klassifizierung kann die Zugriffskontrolle verbessern und IT-Sicherheitsteams dabei helfen, den Wert von Daten einzuschätzen, für die Lösegeld gezahlt werden soll. Zudem enthält ein Clean Room die zur Reaktion auf einen Vorfall erforderlichen Tools, Software, Konfigurationsdateien und Dokumentationen in einem unveränderlichen Tresor außerhalb der Reichweite von Angreifern. Damit können Security-Teams sofort die nötigen Maßnahmen einleiten, um jede Art von Bedrohung zu untersuchen und einzudämmen.

Schutz vor destruktiven Angriffen: Effektive Datenstrategie und -Governance

Cyberangriffe in Form von Ransomware und Wiper sind eine weiter steigende Bedrohung für Unternehmen. Um ihre Geschäftskontinuität zu sichern, brauchen sie einen strategischen Ansatz für Datensicherheit und Compliance. Eine grundlegende Säule ist dabei die Indexierung und Klassifizierung von Daten. Sie schafft Klarheit und Kontrolle über die gespeicherten Informationen für eine strenge Datenhygiene.

Die Implementierung eines standardisierten Data-Governance-Prozesses ist ein weiterer Schritt. Dazu gehören die Festlegung klarer Datenschutzrichtlinien, die Durchführung regelmäßiger Datenaudits und die Schulung der Mitarbeiter in Bezug auf bewährte Datenschutz- und Sicherheitsverfahren.

Regelmäßige Backups mit unveränderlichen Sicherungskopien bilden einen weiteren zentralen Faktor. Nur damit lässt sich eine schnelle Wiederherstellung gewährleisten.

Doch was geschieht, wenn der Angriff auch die Recovery-Prozesse verhindert? Dann können Unternehmen mit Hilfe eines Clean Rooms trotzdem die nötigen Maßnahmen einleiten, um jede Art von Bedrohung zu untersuchen und einzudämmen. Denn er enthält die zur Reaktion auf einen Vorfall erforderlichen Tools, Software, Konfigurationsdateien und Dokumentationen in einem unveränderlichen Tresor außerhalb der Reichweite von Angreifern.“

Paul Speciale, CMO, Scality, kommentiert: „Der World Backup Day am 31.März ist eine jährlich wiederkehrende Erinnerung: Planung, defensiver Schutz sowie die Bereitschaft zur Datenwiederherstellung gehören ins Zentrum der Arbeit von IT-Experten und Entscheidungsträgern. In einer Zeit, in der die Bedrohungslage potentielle Infiltration und  Verschlüsselung und unbemerkte Ausbreitung beinhaltet, reicht traditionelles Backup alleine nicht mehr aus.

Der Schlüssel zur Ausfallsicherheit liegt nicht nur in der Speicherung von Backup-Daten, sondern gerade auch in der Einbettung von Künstlicher Intelligenz in den Speicher selbst.

KI-gestützte Speicherintelligenz verwandelt das Backup von einem passiven, reaktiven Sicherheitsnetz in eine aktive Verteidigungsschicht, welche die generelle Fähigkeit eines Unternehmens unterstützt, Bedrohungen proaktiv zu erkennen, vorherzusagen und darauf zu reagieren, bevor diese eskalieren. Um tatsächliche Cyber-Resilienz aufzubauen, müssen Unternehmen

• KI-gesteuerte Dienste zur Identifikation von Anomalien einsetzen, die ungewöhnliche Datenzugriffsaktivitäten erkennen, bevor Ransomware aktiv wird
• Intelligente Sicherheitswarnungen nutzen, die Fehlkonfigurationen, unbefugte oder unregelmäßige Zugriffsversuche sowie aufkommende Schwachstellen in Echtzeit aufzeigen.

Speicher sollten optimiert werden, bevor es zu Leistungsengpässen kommt, um Ausfallzeiten aufgrund von Überlastung und Ressourcenbeanspruchung zu vermeiden.

Ferner müssen Compliance- und Aufbewahrungsrichtlinien beachtet werden, um zu gewährleisten, dass Backups ohne manuelle Kontrolle sicher, überprüfbar und korruptionsfrei bleiben.

Die Zukunft der Datensicherung liegt nicht nur in der Wiederherstellung, sondern gerade auch in der Ausfallsicherheit mithilfe Künstlicher Intelligenz. Gerade am Welt-Backup-Tag müssen Unternehmen erkennen, dass die Fragestellung weitaus komplexer geworden ist: Es geht nicht mehr nur darum, ob Daten gesichert sind, sondern auch darum, ob der Speicher intelligent genug ist, sich selbst zu schützen.“

Trevor Dearing, Director of Critical Infrastructure Solutions bei Illumio, erklärt: “Heute, am 31. März, macht der World Backup Day auf die Bedeutung regelmäßiger Datensicherungen aufmerksam.

Backups sind ein unverzichtbarer Bestandteil jeder modernen IT-Sicherheitsstrategie. Allerdings werden Backups hierzulande maßlos überschätzt: Laut der vom Ponemon Institute durchgeführten Studie „The Global Cost of Ransomware“, ist mehr als die Hälfte der deutschen Unternehmen der Meinung, dass ein vollständiges und akkurates Backup eine ausreichende Verteidigung gegen Ransomware darstellt. Das ist ein gefährlicher Trugschluss.

Backups sind kein Allheilmittel gegen Ransomware. Sie funktionieren nicht immer, können unbeabsichtigt auch Malware sichern – und selbst wenn sie wie vorgesehen greifen, birgt eine übermäßige Abhängigkeit von ihnen enorme Risiken.

Denn Backups konzentrieren sich auf die Wiederherstellung von Systemen und Daten – doch moderne Angreifer zielen vor allem auf die Störung des Geschäftsbetriebs ab. Laut der Ponemon Studie mussten 55 % der befragten deutschen Unternehmen nach einem Ransomware-Angriff den Geschäftsbetrieb vorübergehend einstellen, 45 % berichteten auch von erheblichen Umsatzeinbußen. Die Wiederherstellung von Systemen kostet Zeit – Zeit, die Unternehmen im Ernstfall nicht haben.

Anstatt auf eine erfolgreiche Wiederherstellung zu hoffen, müssen Organisationen den Fokus auf Resilienz legen – und Angriffe möglichst früh eindämmen (Breach Containment), idealerweise direkt am Eintrittspunkt. Backups sind wichtig, aber sie sind nicht narrensicher. Sie können weder die Millionenverluste durch Ausfallzeiten noch den Imageschaden wiedergutmachen.

Was es braucht, ist eine Sicherheitsstrategie, die den Realitäten moderner Cyberbedrohungen gerecht wird – eine Strategie, die akzeptiert, dass Sicherheitsverletzungen unvermeidlich sind, und darauf abzielt, sie einzudämmen, bevor sie zu Cyberkatastrophen werden. Nur in Kombination mit wirksamen Maßnahmen zur Cyberhygiene – darunter regelmäßige Backups – lässt sich echte Resilienz gegenüber zunehmend ausgeklügelten Cyberangriffen aufbauen.“

Dieter Kehl, Director Sales DACH/MEA/CEE bei OpenText Cybersecurity, betont:

„Mit dem zunehmenden Einsatz von KI in verschiedenen Branchen sind Unternehmen immer stärker auf Daten angewiesen, um KI-gestützte Entscheidungen zu treffen und Modelle zu trainieren. Dieser stetige technologische Fortschritt bedeutet, dass Unternehmen mehr Daten als je zuvor erzeugen und speichern, weshalb sie diese proaktiv verwalten müssen – angefangen bei der Reduzierung von Daten.

Die Sicherung von Daten ist für Unternehmen unerlässlich, um die Geschäftskontinuität aufrechtzuerhalten und im Falle eines Cyberangriffs schnell zu reagieren. Dabei müssen Unternehmen darauf achten, welche Daten sie absichern, denn nicht alle Daten sind kritisch – 33 Prozent der Daten sind redundant, veraltet oder trivial (ROT).

Durch die Identifizierung und Bereinigung überflüssiger Daten und das Entfernen veralteter Software können Unternehmen ihre Angriffsfläche erheblich verringern und somit ihre Sicherheit verbessern. Die Datenreduzierung sorgt nicht nur dafür, dass Unternehmen angesichts von Sicherheitsbedrohungen widerstandsfähiger werden, sondern hilft auch dabei, die Effizienz innerhalb des Unternehmens zu verbessern, da wertvoller Speicherplatz sowie Ressourcen frei werden. Angesichts der zunehmenden Nutzung von KI und entsprechender Regularien bietet die Reduzierung von Daten Unternehmen zudem mehr Kontrolle über ihre sensiblen Daten, was die Komplexität und die Kosten für die Einhaltung von Vorschriften verringert und Abläufe im gesamten Unternehmen schützt.“

Tobias Pföhler, Regional Sales Manager DACH bei StorMagic, betont: „Die Debatte ob agentenbasierte oder agentenlose Datensicherung besser sind, wird in der Backup-Branche schon seit Jahren geführt. Die agentenlose Datensicherung wurde speziell in virtuellen Umgebungen in den letzten Jahren immer beliebter, da nicht auf jedem virtuellen Server eine Backup-Agentensoftware installiert und gemanagt werden muss. Die größten Anbieter von Virtualisierungssoftware – VMware, Microsoft, Nutanix – kooperieren auch schon seit langem mit zahlreichen Anbietern von Backup-Software, um kundenspezifische Integrationen für agentenloses Backup zu entwickeln. Deswegen ist agentenloses Backup in virtuellen Umgebungen inzwischen die Norm.

Außerhalb des Ökosystems der großen drei und den Anbietern von Backup-Software gibt es für Unternehmen jedoch noch zahlreiche sehr gute Alternativen, die die gleiche Funktionstiefe bieten aber deutlich kostengünstiger sind. Die Anbieter von Backup-Software verfügen meist jedoch nicht über die Ressourcen, um mit allen alternativen Hypervisor-Anbietern zusammenzuarbeiten und die für die agentenlose Backup-Integration erforderliche kundenspezifische Entwicklungsarbeit zu leisten. Das schränkt die Auswahl für Unternehmen, die sich derzeit nach Alternative außerhalb der „großen 3“ umsehen, auf den ersten Blick ein.

Idealerweise würden Anbieter von Backup-Lösungen die notwendige Entwicklungsarbeit früher oder später auch für andere Hypervisoren außerhalb der großen drei Hersteller leisten und so agentenloses Backup möglich machen. Bis es soweit ist, könnten Unternehmen mit kleineren Umgebungen als Kompromiss einen agentenbasierten Ansatz nutzen. Agentenbasierte Datensicherung funktioniert mit jedem Hypervisor und alle Anbieter von Backup-Software haben Agenten im Angebot, die in der Regel die bei gleichen Kosten dieselben Funktionen wie agentenlose Lösungen bieten. Die Entscheidung für oder gegen Agenten gilt es im Einzelfall zu entscheiden, da sehr viele Faktoren eine Rolle spielen. Im Kern geht es jedoch darum, ob Unternehmen der hohe Aufpreis bei Lösungen mit den großen drei Anbietern wirklich wert ist, nur um keine Agenten nutzen zu müssen.“

Salih Altuntas, Director of Investigations CEMEA bei Chainalysis, erklärt den Zusammenhang zwischen Backups, Ransomware und dem Missbrauch von Kryptowährungen: „Um dieser Kriminalitätsform nachhaltig zu begegnen, müssen einerseits IT-Systeme potentieller Opfer vor Angriffen gehärtet werden. Andererseits müssen die Finanzierungs- und Geldwäsche-Netzwerke der Täter auf eine Weise beschädigt werden, dass sich die Erpressung finanziell nicht mehr lohnt. Letzteres bedarf der Analyse inkriminierter Kryptowährungen und die Verfolgung der Geldwäscheströme, um die Gelder im besten Fall den Opfern zurückführen. Dabei ist es wichtig, ein aktuelles Lagebild vor Augen zu haben, um die neuesten Verschleierungstechniken der Cyberkriminellen besser zu verstehen.

Kryptowährungen spielen weiterhin eine zentrale Rolle bei Erpressungen

Neueste Erkenntnisse zum Thema Ransomware und Kryptowährungen liefert ein aktueller Report von Chainalysis. So erlebte die Ransomware-Landschaft im Jahr 2024 erhebliche Veränderungen, wobei Kryptowährungen weiterhin eine zentrale Rolle bei Erpressungen spielen. Das Gesamtvolumen der Lösegeldzahlungen ging im Jahresvergleich um etwa 35 Prozent zurück, was insbesondere auf verstärkte Strafverfolgungsmaßnahmen, eine verbesserte internationale Zusammenarbeit und eine zunehmende Zahlungsverweigerung der Opfer zurückzuführen ist.

Als Reaktion darauf änderten viele Angreifer ihre Taktik. So entstanden neue Ransomware-Stämme aus geleaktem oder gekauftem Code, was auf eine anpassungsfähigere und agilere Bedrohungslandschaft hindeutet. Ransomware-Operationen sind auch schneller geworden, wobei Verhandlungen oft innerhalb von Stunden nach der Datenexfiltration beginnen. Die Angreifer reichen von nationalstaatlich initiierten Akteuren bis hin zu technisch weniger versierten Nutzern von Ransomware-as-a-Service (RaaS), Einzeltätern und Erpressergruppen, die Datendiebstahl begehen. Ein Beispiel für Letzteres ist der Fall von Snowflake, ein Cloud-Serviceprovider, der erpresst und bestohlen wurde.

Insgesamt Zahlungsrückgang, aber Zunahme am oberen Ende

Im Jahr 2024 erhielten Ransomware-Angreifer Zahlungen in Höhe von etwa 813,55 Millionen US-Dollar von Opfern, was immerhin einem Rückgang von 35 Prozent gegenüber dem Rekordjahr 2023 mit 1,25 Milliarden US-Dollar entspricht. Laut 2024 Crypto Crime Mid-year Update Part 1 von Chainalysis gab es im ersten Halbjahr 2024 auch einige außergewöhnlich hohe Zahlungen, wie z. B. die rekordverdächtigen 75 Millionen US-Dollar, die an Dark Angels gingen.

Eine genauere Betrachtung der wichtigsten Ransomware-Arten liefert wertvolle Einblicke in die Entwicklung einschlägiger Gruppen. So war Akira, die seit März 2023 mehr als 250 Unternehmen ins Visier genommen hat, laut Sophos die einzige Ransomware-Variante unter den Top 10 im ersten Halbjahr 2024, die ihre Bemühungen im zweiten Halbjahr 2024 verstärkt hat. LockBit, das Anfang 2024 von der britischen National Crime Agency (NCA) und dem FBI sowie weiteren internationalen Strafverfolgungsbehörden Anfang 2024 gestört wurde, verzeichnete laut Angaben von Chainalysis im zweiten Halbjahr einen Rückgang der Zahlungen um etwa 79 Prozent. Dies stellt die Wirksamkeit der internationalen Zusammenarbeit der Strafverfolgungsbehörden unter Beweis.

Im Jahr 2024 gab es drei Klassen von Lösegeldakteuren. Einige, wie Phobos, erhielten laut Chainalysis durchschnittliche Zahlungen, die sich auf weniger als 500 bis 1.000 US-Dollar belaufen. Es folgt eine weitere Gruppe im Bereich von 10.000 US-Dollar und eine dritte mit Zahlungen von über 100.000 US-Dollar, mitunter bis zu einer Million US-Dollar Lösegeld oder mehr. Zu beobachten ist eine Zunahme am oberen Ende des Spektrums, also proportional mehr Lösegeldzahlungen im Millionenbereich.

Reinliche Erpresser – der Weg der Geldwäscheströme

Das Verständnis der Geldwäschemethoden bietet wichtige Einblicke in das Verhalten von Ransomware-Akteuren und ermöglicht es Strafverfolgungsbehörden, effizienter zu reagieren und anhand von wiederkehrenden Mustern Aktivitäten vorherzusehen.

So fließen die erpressten Summen derzeit hauptsächlich über zentralisierte Börsen (CEXs), persönliche Wallets zur Geldaufbewahrung sowie Bridges, um zu versuchen, Geldbewegungen zu verschleiern. Chainalysis stellte hierbei einen erheblichen Rückgang bei der Nutzung von Mixing-Diensten im vergangenen Jahr fest. Dies ist ein Beleg für die störende Wirkung von Sanktionen und Strafverfolgungsmaßnahmen, wie sie beispielsweise gegen Chipmixer, Tornado Cash und Sinbad verhängt wurden. Ransomware-Akteure setzen dafür zunehmend auf Cross-Chain-Bridges, um ihr Off-Ramping zu erleichtern. Im Gegensatz dazu sind CEXs weiterhin eine tragende Säule des Ransomware-Off-Ramping.

Laut Chainalysis ist erwähnenswert, dass sich erhebliche Geldmengen in privaten Wallets befinden. Seltsamerweise verzichten Ransomware-Betreiber mehr denn je auf tatsächliche Auszahlungen. Angesichts der unkalkulierbaren Maßnahmen der Strafverfolgungsbehörden macht sich offensichtlich eine erhöhte Vorsicht und Unsicherheit bemerkbar, wie und wo die kriminellen Akteure ihre Gelder am besten verschwinden lassen können. Der Rückgang der Nutzung von No-KYC-Börsen seit Oktober 2024 könnte Chainalysis zufolge auf die Benennung der in Russland ansässigen Börse Cryptex und die Beschlagnahmung von 47 russischsprachigen No-KYC-Krypto-Börsen durch das BKA im September 2024 zurückzuführen sein. Der Zeitpunkt dieser Durchsetzungsmaßnahmen fällt mit dem Zeitraum zusammen, in dem die Zuflüsse von Ransomware zu No-KYC-Börsen zurückgingen.

Ransomware wird weiterhin ein Problem bleiben

Auch wenn die Strafverfolgungsbehörden erste Erfolge erzielen, werden in diesem Jahr viele weitere Unternehmen den Erpressern ausgeliefert sein oder gar erneut zum Opfer fallen. Der weltweite Tag des Backups ist daher auch ein Aufruf, die Resilienz zu erhöhen, um gar nicht erst erpressbar zu sein.“

Marie Menke, Expertin für Verbraucherschutz beim BSI, warnt: „Die zunehmende Bedrohung durch Cyberkriminalität macht Backups heute wichtiger denn je. Wer auf ein aktuelles Backup zurückgreifen kann, bleibt im Ernstfall nicht auf fremde Hilfe angewiesen und kann das System schnell wiederherstellen. Eine Datensicherung ist daher auch ein wirksamer Schutz gegen digitale Erpressung und andere Formen der Cyberkriminalität. Im Cybersicherheitsmonitor sehen wir jedoch: Nicht einmal ein Viertel der Verbraucherinnen und Verbraucher legt regelmäßig eine Sicherheitskopie an.“

Eun-Kyung Hong, Senior Specialist Product Marketing Management, Storage Products Division bei Toshiba Electronics Europe:

“Am 31. März ist es wieder soweit: Der World Backup Day wirft ein Schlaglicht auf die kritische Bedeutung von Datensicherungen und Datenresilienz. Daten gelten als eines unserer wertvollsten Güter, daher kann die Notwendigkeit regelmäßiger Backups gar nicht hoch genug eingeschätzt werden. Dennoch ist das Bewusstsein von Anwendern dafür nach wie vor gering. Ein kürzlich veröffentlichter Bericht von Acronis, einem weltweit tätigen Unternehmen für Datenschutz, zeigt, dass von den 2.500 befragten Verbrauchern etwa ein Drittel ihre Daten nicht regelmäßig sichert. Noch besorgniserregender ist die Tatsache, dass mit 100 Personen vier Prozent der Befragten nicht wussten, was „Backup“ überhaupt bedeutet.

Zwar nutzen die meisten Menschen irgendeine Form von Cloud-Speicher für Backups. Aber es ist nicht empfehlenswert, sich darauf als alleinige Lösung zu verlassen. Ideal ist es, regelmäßige Sicherungen mit einem Mix verschiedener Methoden durchzuführen. Dies kann eine Kombination verschiedener Cloud-Dienste sein oder eine Mischung aus externem Speicher und Cloud. Mit externen Festplatten, wie beispielsweise der Canvio Flex von Toshiba, können Anwender ihre Fotos, Videos, Kontakte und vieles mehr über den USB-Anschluss direkt vom Smartphone sichern, ohne dafür einen Laptop oder PC zu benötigen. Außerdem sind diese Festplatten mit den meisten gängigen Geräteplattformen und Betriebssystemen kompatibel. Vorformatiert für Macs, Windows-PCs, Smartphones und Tablets ermöglichen sie den nahtlosen Zugriff auf Daten und die Nutzung an verschiedenen Geräten.“

Fred Lherault, Field CTO, EMEA/Emerging Markets bei Pure Storage, erwartet ein herausforderndes Jahr und erläutert verfügbare Lösungsansätze:

„Malware ist eine der Hauptursachen für Datenverluste. Ransomware, die Daten durch Verschlüsselung unbrauchbar macht, gehört zu den häufigsten Formen von Malware. Im Jahr 2024 wurden weltweit 5.414 Ransomware-Angriffe gemeldet, was einem Anstieg von elf Prozent gegenüber 2023 entspricht. Aufgrund der sensiblen Natur dieser Art von Sicherheitsverletzungen kann man davon ausgehen, dass die tatsächliche Zahl viel höher ist. Es ist daher durchaus anzunehmen, dass 2025 ein Rekordjahr für Ransomware-Angriffe werden könnte. Angesichts dieser alarmierenden Zahlen ist eine „Das wird mir nicht passieren“-Einstellung hier fehl am Platz. Unternehmen müssen proaktiv und nicht reaktiv planen, nicht nur zu ihrer eigenen Beruhigung, sondern auch im Zuge der neuen, von internationalen Regierungen erlassenen Vorschriften zur Cyber-Resilienz.

Leider haben Backup-Systeme in der Vergangenheit zwar eine Art Versicherung gegen Angriffe geboten, doch Hacker versuchen nun, auch diese zu durchbrechen. Sobald ein Angreifer in die Systeme eines Unternehmens eingedrungen ist, wird er versuchen, Zugangsdaten zu finden, um Backups zu deaktivieren. Dies erschwert, verlängert und verteuert die Wiederherstellung.

Minimierung von Ausfallzeiten zum Schutz von Geschäft und Reputation

Ausfallzeiten sind der kostspieligste Aspekt eines Ransomware-Angriffs, da jeder Ausfall schwerwiegende finanzielle und rufschädigende Folgen haben kann. Laut einer diesjährigen Studie machen sich 93 Prozent der Unternehmen Sorgen über die Auswirkungen von Ausfallzeiten – und 100 Prozent berichteten von ausfallbedingten Einnahmeverlusten im vergangenen Jahr. Angesichts der Ausfallzeiten, die durch einen Ransomware-Angriff entstehen können, ist es für Unternehmen unerlässlich, Technologien und Prozesse einzurichten, um sich zu schützen. Wie können sie dies bewerkstelligen?

Datensicherungen sind nach wie vor von entscheidender Bedeutung für den Datenschutz, reichen aber nicht aus. Die Implementierung fortschrittlicher Datenschutzfunktionen hilft Unternehmen, sich besser auf Ransomware und Cyberangriffe vorzubereiten und sich schnell davon zu erholen. Dies erfordert im Wesentlichen einen zweigleisigen Ansatz: regelmäßige, unveränderliche und nicht löschbare Kopien von Daten zu erstellen und über die erforderliche Infrastruktur zu verfügen, um Backups schnell und in großem Umfang wiederherzustellen.

Auf eine zuverlässige  und schnelle Wiederherstellung kommt es an

Im Falle eines Cyberangriffs oder eines anderen Ereignisses, das Daten gefährdet oder den Betrieb stört, können Unternehmen kritische Daten aus ihren unveränderlichen Kopien wiederherstellen, sodass sie den Betrieb schnell wiederaufnehmen können – ohne dabei den Forderungen von Cyberkriminellen nachgeben zu müssen. Ein unveränderliches und nicht löschbares Backup bedeutet, dass Datenkopien in keiner Weise verändert (z. B. verschlüsselt) oder – was ebenso wichtig ist – von niemandem gelöscht werden können, selbst wenn es jemandem gelingt, an die Zugangsdaten des Administrators zu gelangen. Dadurch sind Backups dieser Art im Falle eines Cyberangriffs wesentlich widerstandsfähiger und zuverlässiger.

Ebenso wichtig ist die Fähigkeit, Daten so schnell wie möglich wiederherzustellen, da zuverlässige Backups in ihrer Wirksamkeit eingeschränkt sind, wenn Vorgänge nicht schnell wiederhergestellt werden können. Einige der fortschrittlichsten Flash-basierten Speicherlösungen erhöhen die Geschwindigkeit der Datenwiederherstellung erheblich. Die führenden Lösungen bieten eine Wiederherstellungsleistung von bis zu vielen hundert TB pro Stunde. Unternehmen können somit ihre Systeme innerhalb von Stunden – statt Wochen – wiederherstellen, sodass sie mit minimalen Auswirkungen wieder den Geschäftsbetrieb fortsetzen können.

Die Fähigkeit, kritische Dienste schnell wiederherzustellen, ist in einigen regulierten Branchen mittlerweile obligatorisch. So ist beispielsweise der Digital Operational Resilience Act (DORA) eine EU-Verordnung, die im Januar 2025 vollständig in Kraft getreten ist. Diese Verordnung verlangt, dass kritische Bankensysteme im Katastrophenfall in weniger als zwei Stunden wiederhergestellt werden können. Mit herkömmlichen Datenschutzlösungen, die nie für eine schnelle Wiederherstellung konzipiert wurden, wäre dies nur sehr schwer zu erreichen. Es ist wahrscheinlich, dass immer mehr Länder und Branchen eine schnelle Wiederherstellung kritischer Dienste vorschreiben werden.

Ransomware-Recovery-SLAs sind jetzt Teil der Lösung

Der Schutz von Daten ist von entscheidender Bedeutung, aber es ist ebenso wichtig, nach einem Ransomware-Angriff auch andere kritische Aspekte zu berücksichtigen. Ein wichtiger Aspekt ist die potenzielle Unzugänglichkeit der betroffenen Speicher-Arrays. In vielen Fällen werden diese Arrays für forensische Untersuchungen durch Cyberversicherer oder Strafverfolgungsbehörden gesperrt, sodass Unternehmen nicht auf Daten von kompromittierten Systemen zugreifen oder diese wiederherstellen können. Ohne eine alternative Datenspeicherlösung können Unternehmen zum Stillstand kommen und sich nicht schnell erholen.

Mittlerweile gibt es jedoch Lösungen, die dieses Risiko gezielt angehen. Einige Storage-Hersteller bieten Service Level Agreements (SLAs) für die Wiederherstellung nach Ransomware-Angriffen als Teil eines bestehenden Storage-as-a-Service (STaaS)-Plans an. Diese Dienste gewährleisten eine saubere, betriebsbereite Speicherumgebung nach einem Angriff, einschließlich technischem Support. Das bedeutet, dass Unternehmen bei einem Ausfall ihrer ursprünglichen Speicher-Arrays innerhalb weniger Stunden einen voll funktionsfähigen Ersatz erhalten. Diese zusätzliche Sicherheitsebene hilft Unternehmen, sich schnell von einem Angriff zu erholen, selbst wenn ihr primärer Speicher für Untersuchungen gesperrt ist.

Resilienz und Agilität zur Entspannung der Bedrohungslage

Der World Backup Day ist eine gute Gelegenheit für Unternehmen, ihr Datensicherheitskonzept zu überdenken. In der heutigen Zeit, in der ständig neue Bedrohungen auftauchen, ist es unerlässlich, dass Unternehmen fortschrittliche Datenschutzstrategien anwenden, um sich 365 Tage im Jahr sicher zu fühlen. Durch Investitionen in eine zukunftssichere IT-Infrastruktur und die Umsetzung eines robusten, modernen Datenschutzplans, der effiziente Prozesse zur Sicherung und Wiederherstellung von Daten umfasst, können Unternehmen die Risiken von Cybersicherheitsverletzungen mindern und kostspielige Ausfallzeiten minimieren.“

Rob T. Lee, Chief of Research & Head of Faculty beim SANS Institute: “Am World Backup Day wird wieder viel über das Backup von Daten gesprochen. Die Frage, die aber niemand gerne beantwortet ist: Wohin gehen die Daten, wenn sie nicht mehr gebraucht werden? Sie verschwinden schließlich nicht einfach. Früher wurden Daten vor allem von gebrauchten Festplatten gerettet. Gefunden wurden bei diesen Datenrettungen ganze digitale Leben. Teil dieser Daten sind beispielsweise Steuerunterlagen, Geschäftspläne, medizinische Informationen, alles ungeschützt, unverschlüsselt, einfach offen für jeden einsehbar.

Heute ist die Situation noch schlimmer. Daten gibt es jetzt überall, in der Cloud, auf Laptops, auf Handys, auf USB-Sticks oder gemeinsam genutzten Laufwerken. Darüber hinaus auch noch viele Geräte, über die kaum jemand nachdenkt. Das Risiko ist nicht auf alte Hardware beschränkt, die im Schrank steht und verstaubt. Es sind die aktiven und vergessenen Daten auf Systemen, die nicht mehr überwacht werden.

Was passiert mit den Daten, die übrig bleiben, wenn Unternehmen ihre Systeme aktualisieren, Anwendungen abschalten oder Mitarbeiter wechseln? Werden all diese Daten sicher gelöscht? Führen alle Unternehmen und Firmen überhaupt ein Inventar über ihre Daten und wo diese liegen?

Wenn Unternehmen nicht wissen, wo ihre Daten liegen, können sie auch nicht wissen, wo sie am Ende landen. Deshalb sollte es auch ein Tag sein, Daten aufzuräumen. Denn vergessene Daten sind überall und im schlimmsten Fall auch noch nach Jahren zugänglich. Und all diese Daten können durchaus wiederhergestellt werden.

Aus diesem Grund sollten Unternehmen drei Tipps befolgen, um zu verhindern, dass ihre Geschäftsdaten verloren gehen:

1. Ein vollständiges Dateninventar erstellen: Unternehmen können keine Daten sichern oder löschen, von denen sie nicht wissen, dass sie existieren. Deshalb sollten sie mit einer vollständigen Bestandsaufnahme beginnen. Dazu gehört zu verfolgen, wo Daten in Cloud-Diensten, Geräten, Sicherungssystemen und sogar in der Hardware Ihrer Mitarbeiter gespeichert sind.
2. Die Datenentsorgung in jedes Offboarding und Upgrade integrieren: Unabhängig davon, ob ein Mitarbeiter das Unternehmen verlässt oder ein ganzes System außer Betrieb genommen wird, sollten Unternehmen einen Prozess zur sicheren Löschung oder Vernichtung von Daten einrichten. Dies sollte so routinemäßig erfolgen wie die Abholung eines Ausweises oder Laptops.
3. Aufbewahrungs- und Vernichtungsrichtlinien automatisieren: Unternehmen sollten Tools verwenden, die Regeln zur Datenaufbewahrung durchsetzen. Daten, die nicht mehr benötigt werden, sollten nicht für den „Fall der Fälle“ aufbewahrt werden. Sie können sichere Löschzeitpläne automatisieren und sicherstellen, dass sensible Daten ein digitales Verfallsdatum haben.“

Volker Eschenbächer, VP International (EMEA & APAC) bei Onapsis, berichtet: „Am 31. März erinnert der World Backup Day Unternehmen weltweit daran, ihre Daten regelmäßig zu sichern. Backups sind zweifellos ein essenzieller Bestandteil jeder IT-Sicherheitsstrategie – gleichzeitig vermitteln sie oft eine trügerische Sicherheit. Denn wer glaubt, dass ein solides Backup allein ausreicht, um ERP-Systeme vor Cyberangriffen zu schützen, setzt auf eine gefährliche Fehleinschätzung. Volker Eschenbächer, VP Sales International (EMEA & APAC) bei Onapsis, schätzt die aktuelle Bedrohungslage ein und beleuchtet, welche Maßnahmen Unternehmen neben klassischen Backups noch ergreifen sollten, um sich zu schützen.

Ransomware 2.0 – Erpressung durch Datenveröffentlichung statt Verschlüsselung

Lange Zeit war das größte Risiko von Ransomware-Angriffen, dass Unternehmen den Zugriff auf ihre Daten verlieren. Doch da viele Organisationen mittlerweile über robuste Backup-Strategien verfügen, setzen immer mehr Cyberkriminelle auf eine neue Taktik mit doppelter und sogar dreifacher Erpressungsmethode: Verschlüsselung, Datenexfiltration und Erpressung durch Veröffentlichungsdrohungen. Statt „nur“ Daten zu verschlüsseln, stehlen Angreifer sensible Informationen, beispielsweise aus ERP-Systemen – etwa Kundendetails, Lieferantenkonditionen oder strategische Finanzdaten oder technische Unterlagen wie Baupläne, Produktionsverfahren und Softwarecodes – und drohen, diese offenzulegen oder zu verkaufen.

Dieser Ansatz ist nicht nur potenziell existenzbedrohend und rufschädigend, sondern auch besonders gefährlich für Unternehmen mit strengen Datenschutz- und Compliance-Anforderungen, da eine Veröffentlichung erhebliche regulatorische Konsequenzen nach sich ziehen kann. In vielen Fällen sind Unternehmen dann gezwungen, hohe geforderte Summen zu zahlen, selbst wenn Backups eine Wiederherstellung der Systeme ermöglichen würden.

Backups sind wichtig – aber nicht genug

Ein Backup schützt also vor Datenverlust, aber nicht vor ungewollten Veränderungen oder gezielten Angriffen auf kritische Geschäftsprozesse. ERP-Systeme enthalten hochsensible Informationen, die nicht nur gesichert, sondern aktiv geschützt und überwacht werden müssen. Ohne eine ganzheitliche Sicherheitsstrategie können Angreifer unbemerkt Zugriff auf ERP-Daten erlangen, bösartige Änderungen vornehmen oder mit der Veröffentlichung gestohlener Daten erpressen.

Wie Unternehmen ihre ERP-Daten umfassend absichern

Neben regelmäßigen Backups, die eine bewährte Methode zur Schadensminimierung bei Systemausfällen oder klassischen Ransomware-Attacken mit Verschlüsselung sind, braucht es ein mehrschichtiges Sicherheitskonzept, das potentielle Angriffsflächen frühzeitig erkennt, Schwachstellen automatisch schließt, Manipulationen verhindert und die Systemintegrität sicherstellt. Dazu gehören:

• Automatisiertes Log-Monitoring und 24/7 Überwachungauf Anomalien und verdächtige Aktivitäten in ERP-Systemen
• Zero-Trust-Sicherheitsmodelle mit strikten Zugriffskontrollen, um unautorisierte Zugriffe und Änderungen sowie Exfiltrationen zu verhindern
• Automatisiertes Patching von Schwachstellen, um zu verhindern, dass sich Angreifer überhaupt erst Zugang zu Netzwerken und Systemen verschaffen
• Transaktions- und Code-Überprüfungen, um versteckte Manipulationen zu erkennen

Der World Backup Day ist eine wertvolle Erinnerung für Unternehmen, sich der essenziellen Rolle der Datensicherung bewusst zu werden. Ein reines Wiederherstellungskonzept kann angesichts modernster Angriffstaktiken jedoch nicht verhindern, dass Geschäftsdaten und -prozesse kompromittiert oder regulatorische Vorgaben verletzt werden. Daher muss ein ganzheitlicher Sicherheitsansatz darüber hinausgehen. Unternehmen sollten auf präventive Maßnahmen wie kontinuierliches Log-Monitoring, Schwachstellen-Scanning und Zero-Trust-Konzepte setzen, um Bedrohungen frühzeitig zu erkennen und abzuwehren. Ergänzend dazu sind automatisierte Security-Lösungen essenziell, um Fehlkonfigurationen in Echtzeit zu identifizieren und Compliance-Anforderungen durchgehend einzuhalten. Letztlich gilt: Ein Backup ist gut, Sicherheitsmaßnahmen, die verhindern, dass es überhaupt zum Ernstfall kommt, sind besser.“

Daniel Werner, Director Technical Services, Infinigate, betont: “Wie die Bitkom-Studie „Wirtschaftsschutz 2024“ zeigt, ist die Bedrohung durch Industriespionage, Datendiebstahl und Sabotage für 81 Prozent der deutschen Unternehmen real – mit einem wirtschaftlichen Schaden von rund 267 Milliarden Euro. Als ob die steigende Anzahl von Datenschutzverletzungen nicht schon genug wäre, haben Cyberkriminelle bei fast allen ihren Angriffen auch Backups ins Visier genommen, um die Wiederherstellung sensibler Daten zu blockieren.

Um zu unterbinden, dass Angreifer Backups kompromittieren und die Datenrettung verhindern, sollten Unternehmen auf mehrschichtige Sicherheitsstrategien setzen. Eine zentrale Rolle spielt hierbei das Konzept des Air Gap, bei dem eine physische oder logische Trennung zwischen aktiven Systemen und Backup-Daten geschaffen wird. Dies kann durch die Verwendung von Tape-Backups oder Hardened Repositories realisiert werden, wodurch selbst bei einer Netzwerkinfiltration kein direkter Zugriff auf die gesicherten Daten möglich ist.

Zusätzlich ist es ratsam, für Backup-Software isolierte Benutzerkonten, die nicht mit dem Active Directory verknüpft sind, sowie eine kontinuierliche Überwachung innerhalb des Speichersystems einzurichten. Eine strikte Trennung von Verantwortlichkeiten, bei der unterschiedliche Personengruppen für verschiedene Backup-Medien verantwortlich sind, reduziert das Risiko einer weitreichenden Kompromittierung.

Zu den bewährten Sicherheitsverfahren gehört auch die Verwendung der Multi-Faktor-Authentifizierung (MFA), insbesondere für Cloud-Backup-Konten, um unbefugten Zugriff zu verhindern. Regelmäßige Backups nach der 3-2-1-Regel, bei der Daten an mehreren Orten gespeichert werden, erhöhen die Resilienz gegen Angriffe. Ebenso wichtig sind routinemäßige Tests und Übungen zur Datenwiederherstellung, um im Ernstfall schnell und effektiv reagieren zu können.

Präventive Maßnahmen wie Data Loss Prevention (DLP) Systeme, starke Verschlüsselung und strenge Zugriffskontrollen bilden eine weitere Verteidigungslinie. Ergänzend dazu ermöglichen detektive DLP-Methoden, wie Protokollanalysen und forensische Untersuchungen, eine frühzeitige Erkennung von Sicherheitsverletzungen. Nicht zuletzt spielen regelmäßige Software-Updates und die Installation zuverlässiger Sicherheitslösungen auf allen Endgeräten eine entscheidende Rolle beim Schutz vor Cyberangriffen.

Durch die Kombination dieser Strategien sind Unternehmen in der Lage, ein robustes Verteidigungssystem aufzubauen, das die Integrität ihrer Backups gewährleistet und die Chancen einer erfolgreichen Datenrettung im Falle eines Angriffs erheblich verbessert.

Technologien, die die Datensicherheit verändern werden

KI und Automatisierung prägen die Zukunft der Backup-Lösungen. Unternehmen setzen zunehmend auf fortschrittliche Technologien, wie künstliche Intelligenz und maschinelles Lernen, um Backup-Prozesse zu optimieren und Bedrohungen frühzeitig zu erkennen. Diese Entwicklung steigert nicht nur die Effizienz, sondern verbessert auch die Sicherheit durch frühzeitige Erkennung und Abwehr von Cyberbedrohungen.

Darüber hinaus gewinnen automatisierte Backup-Lösungen weiter an Bedeutung, da sie menschliche Fehler minimieren und die Zuverlässigkeit der Datensicherung erhöhen. Zudem ermöglichen sie eine konsistente und regelmäßige Sicherung der Daten – ein unerlässlicher Aspekt angesichts wachsender Datenmengen und komplexer werdender IT-Infrastrukturen.

Die steigende Komplexität der IT-Architekturen, insbesondere durch die Verbreitung von Multi-Cloud- und hybriden Umgebungen, stellt Unternehmen vor weitere Herausforderungen. Moderne Backup-Lösungen müssen nahtlose Sicherungs- und Wiederherstellungsprozesse über verschiedene Cloud-Plattformen hinweg gewährleisten. Dies erfordert flexible und skalierbare Ansätze, die sich an die spezifischen Anforderungen unterschiedlicher Umgebungen anpassen können.

Gleichzeitig gewinnen Datenschutz und Datensouveränität in globalen Netzwerken an Bedeutung. Der Trend zur Datenlokalisierung in der EU, getrieben vom Wunsch nach digitaler Souveränität, steht in einem Spannungsverhältnis zur Notwendigkeit globaler Cybersicherheitsmaßnahmen. Zukünftige Lösungen müssen eine Balance zwischen lokalem Datenschutz und der Nutzung globaler Sicherheitsinfrastrukturen finden, um sowohl regulatorische Anforderungen zu erfüllen als auch effektiven Schutz vor Cyberbedrohungen zu bieten.“

Patrick Englisch, Director & Head of Technology Sales Central Europe at Cohesity, explains:

“Ransomware and wiper attacks are becoming increasingly sophisticated. Companies need proper data indexing and classification for prioritized backups with immutable files. Also, with a clean room, security teams can immediately investigate and contain any type of threat. Organizations are frequently threatened by ransomware and wiper attacks. Proper data indexing and classification can improve access control and help IT security teams assess the value of data to be held for ransom. In addition, a clean room contains the tools, software, configuration files and documentation required to respond to an incident in an immutable vault out of the reach of attackers. This allows security teams to take immediate action to investigate and contain any type of threat.

Protection against destructive attacks: Effective data strategy and governance

Cyberattacks in the form of ransomware and wipers are a growing threat to businesses. To ensure business continuity, they need a strategic approach to data security and compliance. A fundamental pillar of this is the indexing and classification of data. It creates clarity and control over the stored information for strict data hygiene.

The implementation of a standardized data governance process is a further step. This includes establishing clear data protection guidelines, conducting regular data audits and training employees on best data protection and security practices.

Regular backups with unalterable backup copies are another key factor. This is the only way to ensure rapid recovery.

But what happens if the attack also prevents recovery processes? Then companies can still use a clean room to initiate the necessary measures to investigate and contain any type of threat. This is because it contains the tools, software, configuration files and documentation required to respond to an incident in an immutable vault out of the reach of attackers.”

Paul Speciale, CMO, Scality, comments:

“World Backup Day on March 31st is an annual reminder that planning, defensive protection and data recovery readiness are at the heart of IT professionals‘ and decision makers’ work. At a time when the threat landscape includes potential infiltration and encryption and undetected propagation, traditional backup alone is no longer enough.

The key to resilience lies not only in the storage of backup data, but also in the embedding of artificial intelligence into the storage itself.

AI-powered storage intelligence transforms backup from a passive, reactive safety net into an active layer of defense that supports an organization’s overall ability to proactively detect, predict and respond to threats before they escalate. To build true cyber resilience, organizations must

– Deploy AI-driven anomaly identification services that detect unusual data access activity before ransomware becomes active

– Use intelligent security alerts that highlight misconfigurations, unauthorized or irregular access attempts and emerging vulnerabilities in real time

Storage should be optimized before performance bottlenecks occur to avoid downtime due to overload and resource strain.

Compliance and retention policies must also be observed to ensure that backups remain secure, auditable and corruption-free without manual control.

The future of data backup lies not only in recovery, but also in resilience with the help of artificial intelligence. Especially on World Backup Day, companies need to recognize that the issue has become far more complex: it’s no longer just about whether data is backed up, but also whether the storage is intelligent enough to protect itself.”

Trevor Dearing, Director of Critical Infrastructure Solutions at Illumio, explains:

“Today, March 31, World Backup Day draws attention to the importance of regular data backups. Backups are an essential part of any modern IT security strategy. However, backups are grossly overrated in this country: According to the study “The Global Cost of Ransomware” conducted by the Ponemon Institute, more than half of German companies believe that a complete and accurate backup is a sufficient defense against ransomware. This is a dangerous fallacy.

Backups are not a panacea against ransomware. They don’t always work, they can also inadvertently secure malware – and even when they do work as intended, over-reliance on them carries huge risks.

This is because backups focus on restoring systems and data – but modern attackers are primarily aiming to disrupt business operations. According to the Ponemon study, 55% of German companies surveyed had to temporarily suspend business operations following a ransomware attack, while 45% also reported significant revenue losses. Restoring systems takes time – time that companies do not have in an emergency.

Instead of hoping for a successful recovery, organizations need to focus on resilience – and contain attacks as early as possible (breach containment), ideally right at the point of entry. Backups are important, but they are not foolproof. They cannot make up for the millions lost through downtime or the damage to a company’s image.

What is needed is a security strategy that reflects the realities of modern cyber threats – a strategy that accepts that breaches are inevitable and aims to contain them before they become cyber disasters. Only in combination with effective cyber hygiene measures – including regular backups – can true resilience to increasingly sophisticated cyber attacks be built.”

Dieter Kehl, Director Sales DACH/MEA/CEE at OpenText Cybersecurity, emphasizes:

“With the increasing use of AI in various industries, companies are becoming more and more dependent on data to make AI-based decisions and train models. This constant technological advancement means that organizations are generating and storing more data than ever before, so they need to proactively manage it – starting with data reduction.

Securing data is essential for companies to maintain business continuity and respond quickly in the event of a cyber-attack.

Companies need to be careful about what data they back up, as not all data is critical – 33 percent of data is redundant, obsolete or trivial (ROT) By identifying and cleansing redundant data and removing outdated software, companies can significantly reduce their attack surface and thus improve their security. Not only does data reduction make organizations more resilient in the face of security threats, but it also helps to improve efficiency within the organization by freeing up valuable storage space and resources. With the increasing use of AI and regulations, data reduction also gives organizations more control over their sensitive data, reducing the complexity and cost of compliance and protecting operations across the enterprise.”

Tobias Pföhler, Regional Sales Manager DACH at StorMagic, emphasizes:

“The debate as to whether agent-based or agentless data protection is better has been going on in the backup industry for years. Agentless backup has become increasingly popular in recent years, especially in virtual environments, as there is no need to install and manage backup agent software on every virtual server. The largest providers of virtualization software – VMware, Microsoft, Nutanix – have also been cooperating with numerous backup software providers for a long time to develop customer-specific integrations for agentless backup. As a result, agentless backup is now the norm in virtual environments.

However, outside the ecosystem of the big three and the backup software providers, there are still numerous very good alternatives for companies that offer the same depth of functionality but are significantly more cost-effective. However, backup software vendors usually do not have the resources to work with all alternative hypervisor vendors and do the custom development work required for agentless backup integration. At first glance, this limits the choice for companies currently looking for alternatives outside the “big 3”.

Ideally, providers of backup solutions would sooner or later carry out the necessary development work for other hypervisors outside the big three manufacturers and thus make agentless backup possible. Until then, companies with smaller environments could use an agent-based approach as a compromise. Agent-based backup works with any hypervisor and all backup software vendors offer agents that generally provide the same functionality as agentless solutions at the same cost. The decision for or against agents must be made on a case-by-case basis, as many factors play a role. Essentially, however, it’s about whether companies are really worth paying the high premium for solutions with the big three providers just to avoid having to use agents.”

Salih Altuntas, Director of Investigations CEMEA at Chainalysis, explains the connection between backups, ransomware and the misuse of cryptocurrencies:

“In order to counter this form of crime in the long term, IT systems of potential victims must be hardened against attacks. On the other hand, the perpetrators‘ financing and money laundering networks must be damaged in such a way that extortion is no longer financially viable. The latter requires the analysis of incriminated cryptocurrencies and the tracing of money laundering flows in order to return the funds to the victims in the best case scenario. It is important to have an up-to-date picture of the situation in order to better understand the latest concealment techniques used by cyber criminals.

Cryptocurrencies continue to play a central role in extortion

A recent report by Chainalysis provides the latest findings on ransomware and cryptocurrencies. The ransomware landscape underwent significant changes in 2024, with cryptocurrencies continuing to play a central role in extortion. The total volume of ransom payments fell by around 35 percent year-on-year, due in particular to increased law enforcement measures, improved international cooperation and an increasing refusal to pay by victims.

In response, many attackers changed their tactics. New ransomware strains emerged from leaked or purchased code, indicating a more adaptable and agile threat landscape. Ransomware operations have also become faster, with negotiations often starting within hours of data exfiltration. Attackers range from nation-state initiated actors to less tech-savvy users of Ransomware-as-a-Service (RaaS), lone actors and extortion groups committing data theft. An example of the latter is the case of Snowflake, a cloud service provider that was blackmailed and robbed.

Overall decrease in payments, but increase at the upper end

In 2024, ransomware attackers received around USD 813.55 million in payments from victims, a 35% decrease from the record year of USD 1.25 billion in 2023. According to Chainalysis‘ 2024 Crypto Crime Mid-year Update Part 1, there were also some exceptionally high payments in the first half of 2024, such as the record-breaking $75 million that went to Dark Angels.

A closer look at the most important types of ransomware provides valuable insights into the development of relevant groups. According to Sophos, Akira, which has targeted more than 250 companies since March 2023, was the only ransomware variant in the top 10 in the first half of 2024 that stepped up its efforts in the second half of 2024. LockBit, which was disrupted by the UK’s National Crime Agency (NCA) and the FBI and other international law enforcement agencies in early 2024, saw a drop in payments of around 79 percent in the second half of the year, according to Chainalysis. This demonstrates the effectiveness of international law enforcement cooperation.

In 2024, there were three classes of ransomware actors. Some, such as Phobos, received average payments amounting to less than 500 to 1,000 US dollars, according to Chainalysis. This is followed by another group in the USD 10,000 range and a third with payments of over USD 100,000, sometimes up to USD 1 million ransom or more. An increase can be observed at the upper end of the spectrum, i.e. proportionally more ransom payments in the millions.

Clean extortionists – the path of money laundering flows

Understanding money laundering methods provides important insights into the behavior of ransomware actors and enables law enforcement agencies to respond more effectively and predict activity based on recurring patterns.

For example, the extorted sums currently flow mainly via centralized exchanges (CEXs), personal wallets for storing money and bridges to attempt to conceal money movements. Chainalysis noted a significant decline in the use of mixing services over the past year. This is evidence of the disruptive effect of sanctions and law enforcement measures, such as those imposed against Chipmixer, Tornado Cash and Sinbad. Ransomware actors are increasingly relying on cross-chain bridges to facilitate their off-ramping. In contrast, CEXs continue to be a mainstay of ransomware off-ramping.

According to Chainalysis, it is worth noting that significant amounts of money are held in private wallets. Strangely, ransomware operators are refraining from actual payouts more than ever. Given the unpredictable measures taken by law enforcement agencies, there is obviously an increased caution and uncertainty about how and where criminal actors can best make their funds disappear. The decline in the use of no-KYC exchanges since October 2024 could be due to the designation of the Russian-based exchange Cryptex and the seizure of 47 Russian-language no-KYC crypto exchanges by the BKA in September 2024, according to Chainalysis. The timing of these enforcement actions coincides with the period in which ransomware inflows to no-KYC exchanges declined.

Ransomware will continue to be a problem

Even if law enforcement agencies achieve initial successes, many more companies will be at the mercy of the extortionists this year or even fall victim again. Global Backup Day is therefore also a call to increase resilience in order to avoid being blackmailed in the first place.”

Marie Menke, consumer protection expert at the BSI, warns: “The increasing threat of cybercrime makes backups more important than ever. If you have access to an up-to-date backup, you don’t have to rely on outside help in an emergency and can restore the system quickly. A data backup is therefore also effective protection against digital blackmail and other forms of cybercrime. However, the Cybersecurity Monitor shows that not even a quarter of consumers regularly back up their data.”

Eun-Kyung Hong, Senior Specialist Product Marketing Management, Storage Products Division at Toshiba Electronics Europe:

“March 31st marks World Backup Day and highlights the critical importance of data backup and data resilience. Data is considered one of our most valuable assets, so the need for regular backups cannot be overstated. However, user awareness of this is still low. A recent report by Acronis, a global data protection company, shows that of the 2,500 consumers surveyed, around a third do not regularly back up their data. Even more worrying is the fact that of the 100 people surveyed, four percent did not know what “backup” even meant.

True, most people use some form of cloud storage for backups. But it is not advisable to rely on this as the sole solution. The ideal is to perform regular backups using a mix of different methods. This can be a combination of different cloud services or a mixture of external storage and cloud. With external hard drives, such as the Canvio Flex from Toshiba, users can back up their photos, videos, contacts and much more directly from their smartphone via the USB port without the need for a laptop or PC. These hard drives are also compatible with most common device platforms and operating systems. Preformatted for Macs, Windows PCs, smartphones and tablets, they allow seamless access to data and use on multiple devices.”

Fred Lherault, Field CTO, EMEA/Emerging Markets at Pure Storage, expects a challenging year and explains available solutions:

“Malware is one of the main causes of data loss. Ransomware, which renders data unusable through encryption, is one of the most common forms of malware. In 2024, 5,414 ransomware attacks were reported worldwide, an increase of eleven percent compared to 2023. Due to the sensitive nature of this type of security breach, it can be assumed that the actual number is much higher. It is therefore reasonable to assume that 2025 could be a record year for ransomware attacks. Given these alarming figures, a “it won’t happen to me” attitude is misplaced here. Businesses need to plan proactively rather than reactively, not only for their own peace of mind, but also in the wake of new cyber resilience regulations issued by international governments.

Unfortunately, while backup systems have provided a form of insurance against attacks in the past, hackers are now trying to break through them. Once an attacker has penetrated an organization’s systems, they will try to find credentials to disable backups. This makes recovery more difficult, longer and more expensive.

Minimizing downtime to protect business and reputation

Downtime is the most costly aspect of a ransomware attack, as any downtime can have serious financial and reputational consequences. According to a study this year, 93 percent of organizations are concerned about the impact of downtime – and 100 percent reported downtime-related revenue losses in the past year. Given the downtime that can result from a ransomware attack, it’s essential for businesses to put technology and processes in place to protect themselves. How can they do this?

Data backups are still crucial for data protection, but they are not enough. Implementing advanced data protection capabilities helps organizations better prepare for and quickly recover from ransomware and cyberattacks. This essentially requires a two-pronged approach: making regular, immutable and non-erasable copies of data and having the infrastructure in place to restore backups quickly and at scale.

Reliable and fast recovery is key

In the event of a cyberattack or other event that compromises data or disrupts operations, organizations can restore critical data from their immutable copies so they can quickly resume operations – without having to give in to the demands of cybercriminals. An immutable and non-erasable backup means that copies of data cannot be altered in any way (e.g. encrypted) or, just as importantly, deleted by anyone, even if someone manages to get hold of the administrator’s credentials. This makes backups of this type much more resilient and reliable in the event of a cyberattack.

Equally important is the ability to restore data as quickly as possible, as reliable backups are limited in their effectiveness if operations cannot be restored quickly. Some of the most advanced flash-based storage solutions significantly increase the speed of data recovery. The leading solutions offer recovery performance of up to several hundred TB per hour. This allows organizations to restore their systems in hours – not weeks – so they can get back to business with minimal impact.

The ability to quickly restore critical services is now mandatory in some regulated industries. For example, the Digital Operational Resilience Act (DORA) is an EU regulation that came fully into force in January 2025. This regulation requires that critical banking systems can be restored in less than two hours in the event of a disaster. This would be very difficult to achieve with traditional data protection solutions, which were never designed for rapid recovery. It is likely that more and more countries and industries will mandate rapid recovery of critical services.

Ransomware recovery SLAs are now part of the solution

Protecting data is crucial, but it is equally important to consider other critical aspects following a ransomware attack. One important aspect is the potential inaccessibility of the affected storage arrays. In many cases, these arrays are locked down for forensic investigations by cyber insurers or law enforcement agencies, preventing organizations from accessing or recovering data from compromised systems. Without an alternative data storage solution, businesses can grind to a halt and fail to recover quickly.

However, there are now solutions that specifically address this risk. Some storage vendors offer Service Level Agreements (SLAs) for recovery from ransomware attacks as part of an existing Storage-as-a-Service (STaaS) plan. These services ensure a clean, operational storage environment after an attack, including technical support. This means that if their original storage arrays fail, companies receive a fully operational replacement within hours. This additional layer of security helps organizations recover quickly from an attack, even if their primary storage is locked down for investigation.

Resilience and agility to ease the threat situation

World Backup Day is a good opportunity for companies to rethink their data security approach. In today’s world, where new threats are constantly emerging, it’s essential that companies adopt advanced data protection strategies to feel secure 365 days a year. By investing in a future-proof IT infrastructure and implementing a robust, modern data protection plan that includes efficient processes for backing up and restoring data, organizations can mitigate the risks of cybersecurity breaches and minimize costly downtime.”

Rob T. Lee, Chief of Research & Head of Faculty at the SANS Institute: “On World Backup Day, there is once again a lot of talk about backing up data. But the question that nobody likes to answer is: Where does the data go when it is no longer needed? After all, it doesn’t just disappear. In the past, data was mainly recovered from used hard disks. Entire digital lives were found during these data rescues. This data included, for example, tax documents, business plans and medical information – all unprotected, unencrypted and open for anyone to see.

Today, the situation is even worse. Data is now everywhere, in the cloud, on laptops, on cell phones, on USB sticks or shared drives. There are also many devices that hardly anyone thinks about. The risk is not limited to old hardware sitting in a cupboard gathering dust. It is the active and forgotten data on systems that are no longer monitored.

What happens to the data that remains when companies update their systems, switch off applications or change employees? Is all this data securely deleted? Do all companies and businesses even keep an inventory of their data and where it is located?

If companies don’t know where their data is, they can’t know where it ends up. That’s why it should be a day to tidy up data. Because forgotten data is everywhere and, in the worst case, can still be accessed years later. And all this data can certainly be recovered.

For this reason, companies should follow three tips to prevent their business data from being lost:

1. create a complete data inventory: Businesses can’t back up or delete data they don’t know exists. Therefore, they should start with a complete inventory. This includes tracking where data is stored in cloud services, devices, backup systems and even your employees‘ hardware.
2. integrate data disposal into every offboarding and upgrade: Whether an employee is leaving the company or an entire system is being decommissioned, organizations should have a process in place to securely delete or destroy data. This should be as routine as picking up an ID card or laptop.
3. automate retention and destruction policies: Organizations should use tools that enforce data retention rules. Data that is no longer needed should not be kept “just in case”. You can automate secure deletion schedules and ensure that sensitive data has a digital expiration date.”

Volker Eschenbächer, VP International (EMEA & APAC) at Onapsis, reports:

“On March 31st, World Backup Day reminds companies worldwide to back up their data regularly. Backups are undoubtedly an essential part of any IT security strategy – at the same time, they often provide a deceptive sense of security. Anyone who believes that a solid backup alone is enough to protect ERP systems from cyberattacks is making a dangerous misjudgement. Volker Eschenbächer, VP Sales International (EMEA & APAC) at Onapsis, assesses the current threat situation and sheds light on what measures companies should take to protect themselves in addition to traditional backups.

Ransomware 2.0 – blackmail through data publication instead of encryption

For a long time, the biggest risk of ransomware attacks was that companies would lose access to their data. However, as many organizations now have robust backup strategies in place, more and more cybercriminals are turning to a new tactic with a double and even triple extortion method: encryption, data exfiltration and extortion through publication threats. Instead of “just” encrypting data, attackers are stealing sensitive information, for example from ERP systems – such as customer details, supplier conditions or strategic financial data or technical documents such as construction plans, production processes and software codes – and threatening to disclose or sell them.

This approach is not only potentially life-threatening and reputationally damaging, but also particularly dangerous for companies with strict data protection and compliance requirements, as disclosure can have significant regulatory consequences. In many cases, companies are then forced to pay large sums of money, even if backups would allow the systems to be restored.

Backups are important – but not enough

A backup protects against data loss, but not against unwanted changes or targeted attacks on critical business processes. ERP systems contain highly sensitive information that not only needs to be backed up, but also actively protected and monitored. Without a holistic security strategy, attackers can gain undetected access to ERP data, make malicious changes or blackmail with the publication of stolen data.

How companies comprehensively secure their ERP data

In addition to regular backups, which are a proven method of minimizing damage in the event of system failures or classic ransomware attacks with encryption, a multi-layered security concept is required that detects potential attack surfaces at an early stage, automatically closes vulnerabilities, prevents manipulation and ensures system integrity. This includes

– Automated log monitoring and 24/7 monitoring for anomalies and suspicious activities in ERP systems

– Zero-trust security models with strict access controls to prevent unauthorized access, changes and exfiltration

– Automated patching of vulnerabilities to prevent attackers from gaining access to networks and systems in the first place

– Transaction and code checks to detect hidden manipulations

World Backup Day is a valuable reminder for companies to be aware of the essential role of data protection. However, a recovery-only approach cannot prevent business data and processes from being compromised or regulatory requirements from being breached in the face of the latest attack tactics. A holistic approach to security must therefore go beyond this. Companies should rely on preventative measures such as continuous log monitoring, vulnerability scanning and zero-trust concepts in order to detect and ward off threats at an early stage. In addition, automated security solutions are essential for identifying misconfigurations in real time and consistently meeting compliance requirements. Ultimately, a backup is good, but security measures that prevent an emergency from occurring in the first place are better.”

Daniel Werner, Director Technical Services, Infinigate, emphasizes: “As the Bitkom study ‘Wirtschaftsschutz 2024’ shows, the threat of industrial espionage, data theft and sabotage is real for 81 percent of German companies – with an economic loss of around 267 billion euros. As if the increasing number of data breaches wasn’t enough, cyber criminals have also targeted backups in almost all of their attacks in order to block the recovery of sensitive data.

To prevent attackers from compromising backups and preventing data recovery, companies should rely on multi-layered security strategies. The concept of the air gap, in which a physical or logical separation is created between active systems and backup data, plays a central role here. This can be achieved by using tape backups or hardened repositories, which prevents direct access to the backed-up data even in the event of network infiltration.

In addition, it is advisable to set up isolated user accounts for backup software that are not linked to the Active Directory, as well as continuous monitoring within the storage system. A strict separation of responsibilities, where different groups of people are responsible for different backup media, reduces the risk of widespread compromise.

The latest security best practices also include the use of multi-factor authentication (MFA), especially for cloud backup accounts, to prevent unauthorized access. Regular backups using the 3-2-1 rule, where data is stored in multiple locations, increases resilience against attacks. Equally important are routine tests and exercises for data recovery in order to be able to react quickly and effectively in the event of an emergency.

Preventive measures such as data loss prevention (DLP) systems, strong encryption and strict access controls form another line of defense. In addition, detective DLP methods, such as log analyses and forensic investigations, enable early detection of security breaches. Last but not least, regular software updates and the installation of reliable security solutions on all end devices play a crucial role in protecting against cyberattacks.

By combining these strategies, companies are able to build a robust defense system that ensures the integrity of their backups and significantly improves the chances of successful data recovery in the event of an attack.

Technologies that will change data security

AI and automation are shaping the future of backup solutions. Companies are increasingly relying on advanced technologies such as artificial intelligence and machine learning to optimize backup processes and detect threats at an early stage. This development not only increases efficiency, but also improves security through early detection and defense against cyber threats.

Automated backup solutions are also becoming increasingly important as they minimize human error and increase the reliability of data backups. They also enable data to be backed up consistently and regularly – an essential aspect in view of growing data volumes and increasingly complex IT infrastructures.

The increasing complexity of IT architectures, particularly due to the spread of multi-cloud and hybrid environments, presents companies with further challenges. Modern backup solutions must ensure seamless backup and recovery processes across different cloud platforms. This requires flexible and scalable approaches that can adapt to the specific requirements of different environments.

At the same time, data protection and data sovereignty are becoming increasingly important in global networks. The trend towards data localization in the EU, driven by the desire for digital sovereignty, is in tension with the need for global cybersecurity measures. Future solutions must strike a balance between local data protection and the use of global security infrastructures in order to both meet regulatory requirements and provide effective protection against cyber threats.”