NIS-2
Backup-Management: So vermeiden Sie Datenverlust wirklich
Von Joachim Reinke
Gründer & Geschäftsführer
Backups gehören zu den Themen, bei denen viele Unternehmen denken: Haben wir doch. Läuft. Genau das ist gefährlich. Ein Backup ist nicht schon dann gut, wenn irgendwo Kopien von Daten existieren. Ein brauchbares Backup-Management sorgt dafür, dass Daten im Ernstfall wirklich wiederhergestellt werden können - nach Ransomware, Fehlbedienung, Hardwaredefekt, Cloud-Ausfall oder versehentlichem Löschen.
NIST beschreibt Backup deshalb ausdrücklich nicht nur als Datensicherung, sondern als Teil wirksamer Pläne, um die Auswirkungen von Datenverlustereignissen zu reduzieren. Und NIS-2 nennt Backup-Management ausdrücklich als Teil von Business Continuity und Disaster Recovery.
Die kurze Antwort
Gutes Backup-Management heißt nicht: "Wir kopieren regelmäßig irgendetwas irgendwohin."
Es heißt: Sie wissen, welche Daten kritisch sind, wie oft sie gesichert werden müssen, wo sie sicher liegen, wie sie vor Angriffen geschützt sind und ob die Wiederherstellung wirklich klappt. CISA empfiehlt dafür ausdrücklich offline verschlüsselte Backups und regelmäßige Tests. NIST betont zusätzlich Planung, Verfügbarkeit und Nutzbarkeit der Backups im Ernstfall.
Backup-Management ist mehr als Datensicherung
Ein Backup ist technisch nur eine Kopie. Backup-Management ist der organisierte Umgang damit. Dazu gehören Auswahl der zu sichernden Daten, Schutz der Sicherungen, Aufbewahrung, Verantwortlichkeiten, Wiederherstellung und Tests. Genau deshalb taucht das Thema in NIS-2 nicht isoliert, sondern im Zusammenhang mit Business Continuity und Disaster Recovery auf. Der Punkt ist nicht, dass irgendwo Sicherungen liegen. Der Punkt ist, dass Ihr Unternehmen nach einem Vorfall weiterarbeiten oder sauber wieder anlaufen kann.
Erst klären, was wirklich gesichert werden muss
Der erste sinnvolle Schritt ist nicht die Auswahl eines Produkts, sondern eine ehrliche Priorisierung. Welche Daten, Systeme und Konfigurationen sind für Ihr Unternehmen wirklich kritisch? Kundendaten, Buchhaltung, Projektstände, Quellcode, Mails, ERP-Daten, Identitätsdaten, Konfigurationen, virtuelle Maschinen oder Build-Umgebungen können sehr unterschiedliche Priorität haben. NIST empfiehlt ausdrücklich, schon in der Planungsphase zu klären, was gesichert werden muss und welche Anforderungen an das Backup bestehen.
Nicht alles braucht denselben Takt
Gute Backups sind nicht nur vollständig, sondern passend zum tatsächlichen Bedarf. Manche Daten müssen engmaschig gesichert werden, andere reichen täglich oder seltener. Dahinter stecken im Kern zwei praktische Fragen: Wie viel Datenverlust ist maximal akzeptabel, und wie schnell muss etwas wieder verfügbar sein? NIS-2 schreibt Ihnen dafür keine universellen Zeiten vor, verlangt aber angemessene und verhältnismäßige Maßnahmen passend zum Risiko. Genau deshalb ist Backup-Management immer auch eine Priorisierungsfrage und keine Einheitsübung.
Das Backup darf nicht am selben Risiko hängen wie das Original
Ein Backup schützt nur dann, wenn es nicht am selben Ausfall oder Angriff scheitert wie die Primärdaten. Der Hintergrund ist klar: Viele Ransomware-Angriffe zielen heute gezielt auf erreichbare Sicherungen, um Wiederherstellung unmöglich zu machen. Backups müssen so geplant und betrieben werden, dass sie im Ernstfall nützlich und verfügbar sind.
Cloud-Sync ist nicht automatisch ein Backup
Ein häufiger Irrtum lautet: "Die Daten liegen doch in der Cloud, also sind sie sicher."
Nein! Das ist zu kurz gedacht. Wenn verschlüsselte oder gelöschte Dateien automatisch synchronisiert werden, kann genau dieser Zustand auch in die Cloud kopiert werden. Automatisierte Cloud-Backups allein reichen nicht aus, weil kompromittierte lokale Dateien in die Cloud synchronisiert und dort gesunde Daten überschreiben können.
Davon abgesehen: Cloudsysteme können Daten auch "verlieren" - und Backups sind meist in den SLA nicht enthalten.
Automatisierung schlägt gute Vorsätze
Manuelle Backups klingen in kleinen Umgebungen erstmal machbar. In der Praxis werden sie vergessen, verschoben oder nicht sauber kontrolliert. NIST empfiehlt deshalb, Backup-Planung und -Durchführung so aufzusetzen, dass die Chance steigt, dass Sicherungen regelmäßig und verlässlich vorhanden sind, wenn sie gebraucht werden. Automatisierung ist kein Luxus, sondern meist die Voraussetzung dafür, dass Backups nicht vom Tagesgeschäft verdrängt werden.
Der Restore-Test ist der eigentliche Wahrheitstest
Der wichtigste Satz beim Backup-Management lautet: Ein Backup ist erst dann gut, wenn die Wiederherstellung funktioniert. Regelmäßige Tests der Verfügbarkeit und Integrität von Backups in einem Disaster-Recovery-Szenario sind daher unumgänglich. Wer nie testet, hat keine belastbare Sicherheit, sondern nur Hoffnung mit Speicherplatzbedarf.
Dokumentation gehört dazu
Backup-Management ist nicht nur Technik, sondern auch Organisation. Es sollte klar sein, welche Systeme und Daten gesichert werden, wie oft das passiert, wo die Sicherungen liegen, wer Zugriff hat, wie lange sie aufbewahrt werden und wie die Wiederherstellung abläuft. Wenn erst nach einem Vorfall mühsam rekonstruiert werden muss, was eigentlich gesichert wurde und wie ein Restore gedacht war, ist das meistens zu spät. NIS-2 verlangt insgesamt dokumentierte, angemessene und verhältnismäßige Maßnahmen; Backup-Management ist darin ausdrücklich enthalten.
Der häufigste Fehler
Der häufigste Fehler ist, Backup-Management mit "Backups sind vorhanden" zu verwechseln. Das ist ungefähr so, als würde man sagen: "Wir haben einen Feuerlöscher, also sind wir brandsicher." Ein paar Sicherungen irgendwo im System sind noch kein belastbares Backup-Konzept. Erst Priorisierung, getrennte Ablage, Schutz vor Manipulation, klare Wiederherstellungswege und echte Tests machen daraus einen wirksamen Schutz gegen Datenverlust.
Was will der Auditor sehen?
Ein Auditor will in der Regel nicht nur hören, dass "Backups gemacht werden". Er will erkennen, dass das Thema gesteuert wird: Welche Daten und Systeme sind im Scope? Wie oft wird gesichert? Wo liegen die Sicherungen? Wie sind sie geschützt? Wann wurde zuletzt erfolgreich wiederhergestellt? NIS-2 ordnet Backup-Management ausdrücklich als Teil von Business Continuity und Disaster Recovery ein. Genau deshalb wirkt ein getesteter, nachvollziehbarer Backup-Prozess fast immer stärker als jede schöne Tool-Folie.
Interesse geweckt?
Wenn Sie Ihr Backup-Management so aufbauen wollen, dass es im Ernstfall nicht nur gut klingt, sondern wirklich trägt, dann lassen Sie uns sprechen.
Häufig gestellte Fragen
Was ist Backup-Management?
Backup-Management ist der organisierte Umgang mit Datensicherungen: also Planung, Durchführung, Schutz, Aufbewahrung, Wiederherstellung und Testen von Backups. NIST beschreibt Backups ausdrücklich als Teil wirksamer Pläne zur Reduzierung der Auswirkungen von Datenverlustereignissen.
Reicht es, wenn Daten regelmäßig in die Cloud synchronisiert werden?
Nein, nicht automatisch. Rein automatisierte Cloud-Backups sind unzureichend wenn kompromittierte lokale Dateien in die Cloud synchronisiert und dort gesunde Daten überschreiben.
Warum sollten Backups offline sein?
Weil viele Ransomware-Angriffe gezielt erreichbare Sicherungen verschlüsseln oder löschen. Daher werden ausdrücklich offline und verschlüsselte Backups empfohlen.
Wie oft sollte man Backups testen?
Regelmäßig. Die Verfügbarkeit und Integrität von Backups sollte in einem Disaster-Recovery-Szenario regelmäßig zu getestet werde . NIST fordert ebenfalls, dass Backups durchgeführt, gepflegt und getestet werden.
Gehört Backup-Management zu NIS-2?
Ja. NIS-2 nennt Business Continuity, einschließlich Backup-Management und Disaster Recovery, ausdrücklich als Teil der Risikomanagementmaßnahmen.
Was ist der häufigste Fehler beim Backup-Management?
Zu glauben, vorhandene Backups seien automatisch gute Backups. Ohne Priorisierung, getrennte Ablage, Schutz vor Manipulation und getestete Wiederherstellung bleibt das Sicherheitsgefühl oft größer als die tatsächliche Resilienz.
Dieser Artikel gehört zum Thema NIS-2 — erfahren Sie mehr über die Zertifizierung.