Die aufgedeckten Schwachstellen in der weit verbreiteten Commvault-Software sind ein klarer Warnruf für jede C-Level-Führungskraft: Denn betroffen sind nicht irgendwelche unbedeutenden Systeme, sondern der empfindlichste Bereich jeder modernen IT-Landschaft – die Unternehmens-Backups. Die kritischen Sicherheitslücken führen nicht nur dazu, dass Angreifer potenziell vollständigen Zugriff auf archivierte Daten erlangen können. Viel schwerwiegender ist: Ein kompromittiertes Backup bedeutet im Ernstfall das Ende aller Wiederherstellungsstrategien, das Ende der Resilienz – und damit oft auch das Ende der Geschäftsfähigkeit.
Mit diesem Beitrag zeige ich auf, was die aktuelle Bedrohungslage bedeutet, wo strategische Fehler häufig gemacht werden und warum insbesondere Führungskräfte in der Verantwortung stehen, Cyberrisiken als geschäftskritische Risiken zu bewerten – und entsprechend zu handeln.
Bis vor wenigen Jahren galt Backup-Software im Unternehmenskontext als reine Versicherungsstrategie. Wer regelmäßig sichert, kann Daten im Ernstfall wiederherstellen – so die Annahme. Doch diese Perspektive greift zu kurz. Denn genau dort, wo im Ernstfall „alles wieder gut werden“ soll, liegt heute eine der größten Gefahrenquellen: Die zunehmende Komplexität, die breite Integration in Systeme und Netzwerke sowie die oft vernachlässigte Härtung machen Backup-Lösungen wie Commvault zum attraktiven Ziel für organisierte Angreifer.
Die nun offengelegten Schwachstellen – darunter Path Traversal (CVE-2025-57790), Manipulation von Kommandozeilenparametern (CVE-2025-57791) und unautorisierte API-Zugriffe (CVE-2025-57788) – zeigen, dass es sich hier nicht um theoretische Lücken handelt. Sie ermöglichen das Einschleusen von Schadcode, das vollständige Auslesen oder Manipulieren von Daten und das Umgehen von Zugriffskontrollen. Dass diese Schwachstellen existieren, ist kein Betriebsunfall – es ist ein strukturelles Problem in Software-Lieferketten und im Sicherheitsdenken vieler Unternehmen.
Viele Vorstände und CIOs sehen IT noch immer als rein unterstützende Funktion. Dabei ist längst jeder Prozess digitalisiert – sei es durch ERP-Systeme, Cloud-Plattformen oder eben auch durch Backup-Software. Sobald ein Angreifer eine dieser kritischen Komponenten kompromittieren kann, kippt das Gleichgewicht. Und genau das tun professionelle Angreifer.
Man kann nicht davon ausgehen, dass Backup-Software „von sich aus sicher“ ist. Im Gegenteil: Kein Hersteller kann vollständige Sicherheit garantieren. Wie auch in diesem Fall, steht Commvault selbst unter Druck und hat zwar Patches veröffentlicht, aber das allein ist keine Lösung. Denn: Wer garantiert Ihnen, dass Ihre Installationen vollständig aktuell sind? Dass keine Reste der Lücke im System verblieben sind? Dass kein Angreifer bereits Spuren verwischt hat?
Die gängige Praxis, Maßnahmen erst nach Erscheinen von Exploits zu ergreifen, ist riskant. Reaktive Sicherheit scheitert systematisch an hochorganisierten Bedrohungsakteuren, darunter auch staatlich unterstützte Gruppen.
Was passiert, wenn das letzte Rückfallnetz kompromittiert wurde? Unternehmen sind im Ernstfall dann erpressbar, nicht mehr geschäftsfähig oder temporär vollständig gelähmt. Der volkswirtschaftliche Schaden geht in die Milliarden. Das Reputationsrisiko ist mindestens ebenso hoch: Partner, Kunden und Investoren verlieren das Vertrauen.
Die Vorstellung, ein Luftspalt (Air Gap) sei ausreichender Schutz, mag vor zehn Jahren noch funktioniert haben – in heutigen hybriden Infrastrukturen durch CI/CD-Pipelines, DevOps und API-Verknüpfungen ist ein solcher Glaube fatal.
Eine ungeschützte oder nur sporadisch überprüfte Backup-Infrastruktur ist ein einziger Fehler von einem Totalausfall Ihrer IT entfernt. Backups müssen heute nicht nur vorhanden, sondern vor allem: verteidigt, kontrolliert, geprüft und ständig gehärtet sein.
Die Verteidigung gegen diese Bedrohungen ist keine Sache einzelner IT-Abteilungen. Es genügt nicht, Updates bereitzustellen und auf die sorgfältige Arbeit einzelner Systemadministrator:innen zu hoffen. Die Verantwortung für Sicherheitsstrategien liegt auf der Führungsebene – bei CEO, CIO, CISO und CSO.
Was fehlt, ist nicht Technologie, sondern Struktur, Risikobewusstsein und Kontrolle. Dazu gehören unter anderem:
Nur wer diese Themen strukturiert und strategisch priorisiert, kann Bedrohungen wie in Commvault-Szenarien wirksam begegnen.
Angriffe auf Backup-Systeme erfolgen längst nicht mehr aus reiner finanzieller Motivation. Immer häufiger sind Unternehmen das Ziel von Spionage – durch andere Unternehmen oder staatlich unterstützte Cyberakteure.
Was wäre, wenn jemand aus Ihrer Konkurrenz Ihre Jahresplanung, geistiges Eigentum oder Kundendaten aus Ihrem Backup extrahieren kann – verborgen und unbemerkt über Monate?
Gerade durch Path Traversal oder privilegierte API-Zugriffe können sich Angreifer leicht seitlich durch das Netzwerk bewegen, ohne dass klassische Sicherheitsmaßnahmen Alarm schlagen. Zielgerichtete, langfristige Ausspähung ist so einfacher denn je – und der Schaden extrem schwer zu quantifizieren.
Ein zusätzlicher Risikofaktor kommt aus ganz anderer Richtung: der Gesetzgeber wird – zurecht – zunehmend anspruchsvoll. Datenschutz, KRITIS-Verordnung, NIS2, DORA im Finanzwesen – überall entstehen Berichtspflichten, Prüfanforderungen und Nachweiserfordernisse.
Eine nicht gehärtete Backup-Umgebung kann, sobald sie kompromittiert wird, auch regulatorisch zum Verhängnis werden. Neben Bußgeldern droht hier vor allem eins: Vertrauensverlust bei Behörden, Märkten und Anteilseignern.
Was es jetzt braucht, ist eine tiefintegrierte Sicht auf Security – nicht als IT-Thema, sondern als Unternehmensstrategie.
Die Realität in vielen Unternehmen sieht leider so aus: Eine Anleitung wird an die IT geschickt („Bitte installieren, laut Hersteller wichtig“) – ohne Tests, ohne Review, ohne Analyse der Auswirkungen. Genau in diese Lücken schlägt eine Bedrohung wie bei Commvault.
Ein Patch ist kein Allheilmittel. Jede Maßnahme muss kontextualisiert werden: Ist das System extern erreichbar? Gibt es Alarme im SIEM? Ist RBAC korrekt aufgesetzt? Was wurde bisher geloggt? Sind Credential-Safes involviert?
Viele Unternehmen wissen diese Antworten schlicht nicht – und das ist ein Führungsproblem, kein technisches.
Jede Stunde, die vergeht, ohne valide Absicherung Ihrer Backup-Systeme, ist ein Risiko für alle weiteren Ebenen Ihrer IT-Landschaft. Unabhängig davon, ob Sie Commvault im Einsatz haben oder ein anderes Backup-Tool: Das hier ist ein Präzedenzfall.
Konkret empfehlen wir:
Als auf operative IT-Sicherheit spezialisierter Dienstleister begleiten wir Unternehmen dabei, aus Cyberrisiken planbare Prozesse zu machen. Unsere Security-Analysen sind nicht nur technisch, sondern strategisch – mit besonderem Fokus auf Geschäftsprozesse, Datenflüsse und Compliance-Anforderungen.
Im Fall von Commvault und ähnlicher Software bieten wir Ihnen:
✅ eine ganzheitliche Risikoanalyse Ihrer Backup- und Recovery-Infrastruktur,
✅ simulierte Angriffsverfahren zur Bewertung realer Expositionsrisiken,
✅ Unterstützung bei der schnellen Umsetzung von Schutzmaßnahmen,
✅ kontinuierliches Monitoring kritischer Systeme,
✅ sowie gezielte Schulungen für Führungskräfte, damit Cybersecurity verständlich, entscheidbar und steuerbar wird.
IT-Security ist kein Kostenfaktor mehr, sondern Wirtschaftsschutz. Und dieser beginnt nicht im Rechenzentrum, sondern in der Chefetage.
