Publiziert: Zuletzt aktualisiert:

Backup- und Restore-Strategie

Backup und Restore: Wiederherstellung als Versicherung gegen Datenverlust

Eine Backup- und Restore-Strategie ist die Disziplin, die festlegt, welche Daten wie oft, auf welche Medien und für wie lange gesichert werden, und die beweist, dass sich daraus ein lauffähiges System wiederherstellen lässt. Ein Backup ist erst dann eines, wenn der Restore getestet ist.

Fast jedes Unternehmen sichert seine Daten. Deutlich weniger Unternehmen wissen, ob sich aus diesen Sicherungen im Ernstfall wieder ein funktionierendes System bauen lässt, in welcher Zeit und mit welchem Datenverlust. Genau hier liegt der Unterschied zwischen einem Werkzeug und einer Strategie. Ein Sicherungsprogramm läuft nachts durch und meldet Erfolg; die Strategie entscheidet, ob dieser Erfolg im Krisenfall etwas wert ist. Diese Seite beschreibt die vier Säulen der Disziplin, warum der getestete Restore die einzige Säule ist, die zählt, und wo die Praxis regelmässig bricht.

Die vier Säulen

Eine Backup-Strategie steht auf vier Festlegungen, die jede für sich messbar sind:

  • Die 3-2-1-Regel. Drei Kopien der Daten, auf zwei verschiedenen Medientypen, davon eine an einem externen, physisch getrennten Ort. Die Regel ist bewusst einfach, weil sie gegen drei unabhängige Ausfallarten zugleich schützt: defektes Original, defektes Medium und lokale Katastrophe.
  • RPO, der tolerierbare Datenverlust. Das Recovery Point Objective legt fest, wie viel Arbeit im schlimmsten Fall verloren gehen darf, etwa eine Stunde. Daraus folgt direkt die Sicherungsfrequenz: Ein RPO von einer Stunde verlangt mindestens stündliche Sicherungen.
  • RTO, die tolerierbare Ausfallzeit. Das Recovery Time Objective legt fest, wie schnell ein System wieder laufen muss. Es bestimmt, wie schnell die Sicherung lesbar und wie automatisiert der Wiederherstellungsweg sein muss.
  • Aufbewahrung. Wie lange wird jede Sicherungsstufe vorgehalten? Aufbewahrungsregeln, oft als Generationenprinzip mit täglichen, wöchentlichen und monatlichen Ständen, entscheiden, wie weit zurück eine Wiederherstellung reichen kann. Das ist gerade bei spät entdeckter Datenkorruption oder Ransomware der Unterschied zwischen verfügbar und verloren.

Diese vier Festlegungen sind keine technische Detailfrage, sondern eine Geschäftsentscheidung. Was eine Stunde Ausfall kostet und was eine kürzere Wiederherstellung kostet, ist eine Abwägung, die zur übergeordneten Disaster Recovery gehört. Backup liefert dort die Datengrundlage, Disaster Recovery den Plan, der daraus wieder ein Gesamtsystem macht.

Der getestete Restore

Der Kern der Disziplin ist eine einzige Aussage: Eine Sicherung, die nie erfolgreich wiederhergestellt wurde, existiert faktisch nicht. Backup-Jobs melden Erfolg, wenn Bytes geschrieben wurden, nicht, wenn diese Bytes später wieder ein bootendes System ergeben. Zwischen beidem liegen stille Fehlerquellen: eine unvollständige Datenbank-Konsistenz, ein fehlender Verschlüsselungskey, ein Sicherungsformat, das die heutige Software nicht mehr liest, oder schlicht eine Abhängigkeit, die niemand mitgesichert hat. Erst der probeweise Restore deckt diese Lücken auf, bevor es der Ernstfall tut.

Wirksam ist die Probe nur, wenn sie in eine isolierte Umgebung zurückspielt und das Ergebnis gegen messbare Kriterien prüft: Bootet das System, sind die Daten konsistent, und liegt die gemessene Wiederherstellungszeit innerhalb des RTO? Die Kadenz dieser Tests richtet sich nach Kritikalität, regulatorischen Vorgaben und Änderungsrate des Systems; für Kernsysteme ist eine quartalsweise Probe üblich. Wer den Restore zusätzlich automatisiert nachweist, nähert sich der erweiterten 3-2-1-1-0-Variante an, die eine unveränderliche Kopie und null Wiederherstellungsfehler fordert.

Schutz vor Ransomware

Moderne Ransomware sucht gezielt die Sicherungen, weil ein gelöschtes Backup das Lösegeld erzwingt. Die klassische 3-2-1-Regel allein reicht dagegen nicht, wenn alle drei Kopien online und beschreibbar sind. Zwei Ergänzungen schliessen die Lücke:

  • Unveränderliche Sicherungen. Eine als unveränderlich konfigurierte Kopie lässt sich bei korrekt eingerichteter Unveränderlichkeit innerhalb ihrer Aufbewahrungsfrist auch durch ein kompromittiertes normales Administrator- oder Backup-Konto nicht löschen oder überschreiben. Voraussetzung ist die richtige Konfiguration; eine schreibgeschützte Ablage allein genügt nicht.
  • Air-Gap. Eine physisch oder logisch getrennte Kopie, die der laufende Angriff nicht erreicht, sei es ein abgekoppeltes Band oder ein separates Konto mit eigenen Zugangsdaten.

Beide ergänzen, ersetzen aber nicht die getestete Wiederherstellung: Eine unveränderliche Sicherung, die sich nicht zurückspielen lässt, schützt vor dem Löschen, nicht vor dem Datenverlust. Diese Linie gehört zur breiteren Security-Strategie und zur Zero-Trust-Annahme, dass auch interne Konten kompromittiert sein können.

Der Lebenszyklus einer Sicherung

Backup ist kein einmaliger Job, sondern ein Kreislauf aus Festlegen, Sichern, Prüfen und im Ernstfall Wiederherstellen. Erst die Rückkopplung aus Test und Restore in die nächste Festlegung macht aus Sicherungen eine Strategie:

flowchart TD
    A["Festlegen<br/>RPO, RTO, Aufbewahrung"] --> B["Sichern<br/>3-2-1, unveränderlich"]
    B --> C["Prüfen<br/>Restore in Isolation"]
    C --> D["Bewerten<br/>RTO eingehalten? Daten konsistent?"]
    D --> E["Wiederherstellen<br/>im Ernstfall, nach Priorität"]
    D --> A
    E --> A

Der entscheidende Pfeil führt von der Bewertung zurück zur Festlegung. Verfehlt der Test das RTO oder zeigt er Inkonsistenzen, sind nicht die Daten das Problem, sondern die Strategie, und sie wird angepasst, bevor der Ernstfall sie prüft. Im Ernstfall selbst läuft die Wiederherstellung nach Geschäftspriorität, nicht alphabetisch: zuerst die Systeme, deren Ausfall am teuersten ist.

Wo die Praxis bricht

  • Ungetestete Sicherungen. Der Job läuft grün, niemand hat je zurückgespielt. Das ist der häufigste und teuerste Fehler, weil er sich erst im Ernstfall zeigt.
  • Alle Kopien online. Drei Kopien auf demselben erreichbaren Speicher sind gegen Ransomware faktisch eine Kopie. Erst die getrennte, unveränderliche Stufe schliesst die Lücke.
  • RPO und RTO nie definiert. Ohne Zielwerte ist jede Sicherungsfrequenz beliebig und jede Wiederherstellung führungslos. Die Ziele kommen aus dem Geschäft, nicht aus der IT-Abteilung.
  • Aufbewahrung zu kurz. Wird eine Korruption oder Verschlüsselung erst nach Wochen entdeckt, sind zu knapp aufbewahrte Stände längst überschrieben.
  • Restore nicht beobachtet. Ohne Telemetrie über Erfolg, Dauer und Vollständigkeit der Sicherungen bleibt die Strategie eine Behauptung. Diese Sicht liefert die Observability der Sicherungspipeline.

Werkzeuge sind austauschbar, die Disziplin nicht

Welches Programm die Bytes schreibt, ist sekundär. Ein einfacher Dateiabgleich mit rsync, ein Ordnerspiegel über Syncthing oder eine vollwertige Sicherungssoftware wie Duplicati mit Versionierung und Verschlüsselung lösen jeweils einen Teil der Aufgabe. Keines davon ersetzt die Strategie dahinter. Syncthing etwa spiegelt Änderungen sofort, also auch eine versehentliche Löschung oder eine Verschlüsselung durch Ransomware, und ist damit ohne versionierte, getrennte Sicherungsstufe kein Backup im Sinne dieser Disziplin. Die Werkzeugfrage steht erst an, wenn RPO, RTO, Aufbewahrung und der Restore-Test feststehen.

Im laufenden Betrieb gehört die Sicherung damit weniger zur Software als zur Betriebsdisziplin, wie sie das Service Management als regelmässigen, gemessenen Prozess verankert. Die durchgängige Sicht auf Erfolg, Dauer und Restore-Fähigkeit der Pipeline behandelt Observability und Telemetrie. Tritt der Ernstfall ein, greift die Wiederherstellung in den geordneten Ablauf der Incident Response.

Referenzen

  • Backblaze Data Backup Strategies, Why the 3-2-1 Backup Strategy is the Best. Herleitung der 3-2-1-Regel und ihrer Grenzen mit aktuellen Medienbeispielen. (23.05.2024). www.backblaze.com/blog/the-3-2-1-backup-strategy/
  • Veeam What is the 3-2-1 Backup Rule. Grundlagen der 3-2-1-Regel und die erweiterte 3-2-1-1-0-Variante mit unveränderlicher Kopie und null Wiederherstellungsfehlern. (05.02.2024). www.veeam.com/blog/321-backup-rule.html
  • ISO 22301:2019, Business Continuity Management Systems. Internationaler Standard für Geschäftskontinuität, der Wiederherstellungsziele und geprüfte Vorsorge organisatorisch verankert. (2019). www.iso.org/standard/75154.html
  • NIST SP 800-34 Rev. 1, Contingency Planning Guide for Federal Information Systems. Offizieller Leitfaden zur IT-Notfallplanung mit Backup-, Wiederherstellungs- und Teststrategien. (2010). csrc.nist.gov/pubs/sp/800/34/r1/upd1/final

Verwandte Themen

  • Disaster Recovery, der übergeordnete Plan, der aus gesicherten Daten wieder ein Gesamtsystem macht.
  • Incident Response, der geordnete Ablauf, in den die Wiederherstellung im Ernstfall greift.
  • Observability, die Sicht auf Erfolg, Dauer und Vollständigkeit der Sicherungspipeline.
  • Security-Strategie, in die der Schutz der Sicherungen vor Ransomware eingebettet ist.
  • Service Management, das die Sicherung als gemessenen Betriebsprozess verankert.

KI fragen

Diese Links öffnen externe KI-Dienste, die Unterhaltung und deren Inhalt werden dabei an den jeweiligen Anbieter übertragen.