Zurück zur Übersicht

Ein Datenleck durch einen Cyber-Angriff, ein versehentlich gelöschter Server oder ein defekter Speicher — in Sekunden können kritische Geschäftsdaten verloren gehen. Mittelständische Unternehmen sind hier besonders verwundbar: Sie haben oft weniger Ressourcen für Sicherheit, sind aber genauso lukrative Ziele für Cyberkriminelle wie Großunternehmen. Eine professionelle Backup-Strategie ist daher nicht nur ein Nice-to-have, sondern eine Überlebensfrage.

Warum Backups für den Mittelstand unverzichtbar sind

Die Bedrohungslage ist ernst. Laut aktuellen Studien steigen Ransomware-Attacken exponentiell. Cyberkriminelle verschlüsseln Daten und fordern Lösegeld. Eine lückenlose Backup-Strategie ist der zuverlässigste Weg, schnell reagieren zu können — ohne erpressbar zu sein.

Hinzu kommt: Auch regulatorisch sind Backups nicht verhandelbar. Die DSGVO und weitere Compliance-Anforderungen schreiben technische und organisatorische Schutzmaßnahmen vor. Wer diese nicht nachweisen kann, riskiert empfindliche Bußgelder.

Gleichzeitig arbeiten viele Mittelständler noch mit veralteten Backup-Lösungen — Excel-Listen, externe Festplatten ohne System, oder gar keine Tests der Wiederherstellbarkeit. Das ist fahrlässig:

  • Datenverlust: Ohne funktionierende Backups ist ein Datenverlust oft endgültig.
  • Betriebsstillstand: Lange Ausfallzeiten kosten direkt Geld und beschädigen das Vertrauen.
  • Reputationsschaden: Kunden und Partner verlieren das Vertrauen in die Zuverlässigkeit.
  • Compliance-Bußgelder: Regulatoren ahnden mangelnde Schutzmaßnahmen ab.

Die 3-2-1-Regel als Grundlage jeder Backup-Strategie

Professionelle Backup-Strategien folgen einem bewährten Prinzip: der 3-2-1-Regel. Dieses Framework ist einfach, aber wirksam:

  • 3 Kopien der Daten: Original plus mindestens zwei Backups
  • 2 verschiedene Speichermedien: z.B. Festplatte und Cloud, oder Band und SAN
  • 1 Kopie offsite: Mindestens eine Kopie muss räumlich getrennt gelagert werden

Praktisch umgesetzt könnte das so aussehen:

  • Original-Daten auf dem Produktionsserver
  • Backup 1: Inkrementelles Backup auf NAS im Büro (täglich)
  • Backup 2: Vollbackup in der Cloud oder bei einem externen Dienstleister (wöchentlich/monatlich)

Vollbackup, inkrementell oder differenziell?

Bei der Wahl der Backup-Art spielen Zeit, Speicher und Wiederherstellungsgeschwindigkeit eine Rolle:

  • Vollbackup: Sichert alle Daten komplett. Speicher- und zeitintensiv, aber schnelle Wiederherstellung. Geeignet für wöchentliche oder monatliche Backups.
  • Inkrementelles Backup: Sichert nur Änderungen seit dem letzten Backup. Sehr speichereffizient, aber Wiederherstellung ist aufwändiger (mehrere Bänder/Dateien nötig). Ideal für tägliche Läufe.
  • Differenzielles Backup: Sichert Änderungen seit dem letzten Vollbackup. Guter Kompromiss zwischen Speicher und Wiederherstellungsgeschwindigkeit.

Empfohlen wird eine Kombination: Monatliches Vollbackup, wöchentliche Differenzbackups und tägliche inkrementelle Backups.

DSGVO-Anforderungen an Backup-Strategien

Die DSGVO stellt hohe Anforderungen an den Datenschutz. Das betrifft auch Backups. Artikel 32 DSGVO fordert technische und organisatorische Maßnahmen, um Daten zu schützen — und das gilt ausdrücklich auch für Sicherungen:

  • Verschlüsselung: Backups müssen verschlüsselt sein — bei der Übertragung (in transit) und bei der Speicherung (at rest).
  • Zugriffskontrolle: Nur autorisierte Personen dürfen auf Backups zugreifen. Admin-Kennwörter sollten getrennt von den Backups gelagert sein.
  • Integrität: Es muss nachgewiesen werden, dass Backups nicht manipuliert wurden. Checksummen und digitale Signaturen sind Standard.
  • Dokumentation: Ein Backup-Plan mit Verantwortlichkeiten, Frequenzen und Testprotokollen muss vorliegen.
  • Verfügbarkeit: Das Unternehmen muss zeigen, dass es jederzeit auf Backups zugreifen und diese wiederherstellen kann.

Kernprinzip

Eine Backup-Strategie ist der Plan, der festlegt, wie Daten gesichert und bei Bedarf wiederhergestellt werden. Wer vorbereitet ist, kann schneller reagieren und muss bei einer Cyberattacke nicht hilflos zusehen.

Löschkonzepte und Aufbewahrungsfristen

Das Recht auf Löschung (Art. 17 DSGVO) steht in Spannung zu Backup-Strategien: Wenn ein Nutzer die Löschung seiner Daten fordert, müssen diese auch aus Backups entfernt werden — irgendwann. Aber wie praktiziert man das, wenn Backups für die Geschäftskontinuität unverzichtbar sind?

Die Lösung ist ein durchdachtes Löschkonzept:

  • Kurze Aufbewahrungsfristen für Backups definieren (z.B. 30 Tage für tägl. Backups, 90 Tage für monatliche).
  • Ein Prozess für Löschanfragen: Kennzeichnung des betroffenen Datensatzes und Löschung beim nächsten Backup-Zyklus nach Ablauf der Aufbewahrungsfrist.
  • Eine Dokumentation, die zeigt, wann die Daten aus den Backups entfernt wurden.
  • Für archivierte Backups (älter als definierte Frist): Entweder löschen oder anonymisieren, wenn sie nicht mehr für Compliance relevant sind.

Backup-Tests: Der am häufigsten vergessene Schritt

Ein Backup, das nicht getestet wurde, ist kein Backup — es ist nur Hoffnung. Trotzdem: In vielen Unternehmen werden Backups eingerichtet, dann aber nie ernsthaft überprüft, ob sie tatsächlich funktionieren.

Die Folge: Im Ernstfall stellt sich heraus, dass die Backups beschädigt, unvollständig oder die Wiederherstellung doppelt so lange dauert wie gedacht.

Professionelle Backup-Tests sollten umfassen:

  • Regelmäßige Restore-Tests: Mindestens vierteljährlich ein Backup vollständig oder teilweise wiederherstellen und validieren.
  • Disaster-Recovery-Drills: Mindestens einmal pro Jahr einen kompletten Ausfall simulieren und die Wiederherstellung üben.
  • Dokumentation: Jeder Test muss protokolliert werden — Dauer, Fehler, Erkenntnisse.
  • Monitoring: Automatische Checks, ob tägliche Backups erfolgreich laufen und welche Fehlerquoten entstehen.

Viele Unternehmen entdecken erst beim Test, dass die RTO (Recovery Time Objective) unrealistisch ist oder dass bestimmte Daten nicht richtig gesichert werden.

Fazit: Backup-Strategie als Überlebensfrage

Eine professionelle Backup-Strategie ist kein Luxus, sondern Notwendigkeit — für den Betrieb, die Compliance und das Vertrauen von Kunden und Partnern. Die 3-2-1-Regel bietet eine bewährte Grundlage. DSGVO-Anforderungen wie Verschlüsselung und Zugriffskontrolle sind nicht verhandelbar. Und regelmäßige Tests sind der entscheidende Unterschied zwischen einer wirksamen Strategie und einem falschen Sicherheitsgefühl.

Der beste Zeitpunkt, eine Backup-Strategie zu überprüfen und zu optimieren, ist jetzt — nicht erst nach einem Sicherheitsvorfall.

Ihr Ansprechpartner für IT Sicherheit Patrick Friesen Lead Consultant IT Security & Governance E-Mail schreiben
Backup DSGVO Datensicherung Mittelstand