Oder: Das ist die Auflösung des Empalis Silvesterrätsels 2025/26

Für die rege Teilnahme an unserem Cyber Rätsel möchten wir uns herzlich bedanken und den GewinnerInnen nochmals unsere Glückwünsche aussprechen. Und hier kommt die Auflösung:

Die Rätselfrage: Cyber Recovery Time

Im Kern des Rätsels stand die Frage: „Wie hoch ist die durchschnittliche Cyber Recovery Time?“

– und: Kennen Sie die Wiederherstellungszeit in Ihrem eigenen Unternehmen?

Wonach wir im Rätsel gesucht haben, war nicht eine einzelne, konkrete Zahl – sondern das Verständnis, dass die Bewertung der Cyber Recovery Time (CRT) kein Allgemeinwert, sondern stets nur für ein konkretes Unternehmen gilt.

Definition Cyber Recovery Time (CRT)

Die Cyber Recovery Time ist die Kennzahl für die Zeit, die ein Unternehmen benötigt, bis es im Ernstfall wieder betriebsbereit ist – d.h. auf einem definierten operativen Niveau wieder produktiv arbeiten kann (wird oft auch „Minimum-Valuable-Company“ genannt). Somit ist sie zugleich Bestandteil der MTTR (Mean Time To Recover). Die Cyber Recovery Time schließt neben der reinen Recovery Time Objective (RTO) auch die Validierung der Backupdaten und Bereinigung möglicher Schadsoftware ein.

Branchenbezogen bietet die durchschnittlich gemessene Dauer des „DACH Deck – Global Security Research Reports 2024“ Orientierung. Demnach lag die durchschnittliche Cyber Recovery Time in der DACH-Region im Jahr 2025 empirisch bei 8,6 Monaten. 

Des Rätsels Lösung: Cyber Recovery Time messen

Die Lösung besteht demzufolge darin, eine fundierte Schätzung bzw. Messung der eigenen Cyber Recovery Time vorzunehmen und diese im Kontext der eigenen Resilienz im Unternehmen einzuordnen. Eine einzelne „richtige“ Zahl gibt es daher so nicht.

Möglich waren Antworten, die dieses Verständnis der durchschnittlichen Cyber Recovery Time aufgreifen oder in den Kontext stellen, dass diese je nach Organisation und Reifegrad der Cyber Resilience sehr unterschiedlich ausfallen kann und insofern konkret gemessen werden muss. Wichtig für ein jedes Unternehmen ist daher die Erkenntnis, dass die eigene Wiederherstellungszeit eine zentrale Kennzahl moderner Cyberresilienz ist.

Warum die Cyber Recovery Time unterschiedlich ausfallen kann

Je nach Unternehmen und seiner IT-Umgebung variiert die Cyber Recovery Time beträchtlich, wie einige der folgenden Gründe veranschaulichen:

Reifegrad der Restorefähigkeit

Je robuster und getesteter Wiederherstellungsprozesse sind (z.B. durch Versionierung, Immutability etc.), desto schneller kann die Wiederherstellung beginnen und validiert werden – was die Cyber Recovery Time verkürzt.

Organisatorische Abläufe und Verantwortlichkeiten

Notfallpläne und definierte Business Continuity Management-Prozesse erlauben eine schnellere Reaktion auf einen Vorfall, was die Recovery-Dauer beeinflusst.

Komplexität und Umfang der IT-Landschaft

Größere bzw. heterogene IT-Umgebungen erfordern, dass zumeist mehrere oder gar viele  Systeme und Komponenten koordiniert werden müssen – was ebenfalls die Cyber Recovery Time verlängern kann.

Art des Cyberangriffs und Datenintegrität

Ein Cybervorfall kann nicht nur Systeme lahmlegen, sondern auch Backup-Datensätze kompromittieren. Müssen diese erst bereinigt und validiert werden, fällt die Cyber Recovery Time länger aus als die reine Berechnung der Recovery Time Objective (RTO).

Weitere Einflussfaktoren auf die Cyber Recovery Time

Externe Faktoren wie bspw. externe Dienstleister, Compliance-Faktoren wie Meldepflichten und rechtliche Anforderungen können sich auf den Wiederherstellungsprozess auswirken.

Aus diesen Gründen ist die Cyber Recovery Time keine feste Kennzahl, sondern eine organisations- und situationsabhängige Größe.

Auf einen Blick: Technische, organisatorische und menschlich-prozessuale Faktoren für die Cyber Recovery Time

Wie Sie in 6 Schritten die beste Cyber Recovery Time erreichen

Ein systematisches Vorgehen entlang bewährter Best-Practices ist zu empfehlen:

1. Messwerte definieren und kontrollieren: Einführung von KPIs wie Mean Time to Detect (MTTD), Mean Time to Restore (MTTR) und aktuelle Cyber Recovery Time.
2. Regelmäßige Backups implementieren: Immutable Backups, Versionierung und Air-Gap-Speicher verhindern, dass Backups selbst kompromittiert werden.
3. Wiederherstellungsprozesse testen: Simulierte Ransomware-Szenarien und regelmäßige Wiederherstellungstests validieren Abläufe und identifizieren Lücken.
4. Notfallpläne überprüfen, testen, oder einführen: Dokumentierte, rollenbasierte Abläufe beschleunigen Entscheidungen im Ernstfall.
5. Cyberresiliente Architektur-Ansätze strategisch aufbauen: Segmentierung, Zero-Trust-Ansätze und Cloud-basierte resilientere Strukturen minimieren Angriffsflächen und Recovery-Aufwand.
6. Kontinuierlich optimieren: Nach jedem Test oder Vorfall sollte eine Analyse zur Anpassung der Strategie erfolgen, um anhand der Lessons-Learned zu optimieren.

FAZIT: Warnzeichen Cyber Recovery Time

Wir wissen es schon lange: Ob ein Angriff erfolgt, ist nicht mehr die Frage, sondern ob Unternehmen cyberresilient genug sind, um möglichst schnell nach einem Angriff wieder handlungsfähig zu sein.

Dass der durchschnittliche Wert, wann ein Unternehmen nach einem Cyberangriff wieder voll betriebsfähig ist, in der DACH-Region vergangenes Jahr auf 8,6 Monate gemessen wurde, lässt sich daher vielmehr als Warnsignal deuten. Denn solange Unternehmen ihre eigene Cyber Recovery Time (CRT) nicht kennen, also nicht messen und somit nicht proaktiv verkürzen können, sind sie potentiell Cyberangreifern stärker ausgeliefert, als andere ihrer Branche. Ein Risiko, das heute auch die gesamte Existenz des Unternehmens kosten kann.

Daher empfiehlt es sich, die Cyber Recovery Time als KPI auf Managementebene aufzunehmen. So gewinnen Sie mit Zunahme und Verbesserung Ihrer Maßnahmen im Ernstfall kostbare Zeit, um Ihre Handlungsfähigkeit zu erhalten - und das Vertrauen Ihrer Partner und Kunden.