Was ist ein IT-Backupkonzept?
- Marc Borgers
- 2. Sept. 2025
- 3 Min. Lesezeit
Aktualisiert: 11. Nov. 2025
Ein IT-Backupkonzept ist ein verbindlicher Plan, der beschreibt, wie Daten und Systeme in einem Unternehmen gesichert, überprüft und im Notfall wiederhergestellt werden können. Für viele Unternehmen ist das Thema besonders kritisch, weil ein Ausfall oft direkt zu Produktionsstillstand, Lieferschwierigkeiten und hohen Kosten führt. Daraus ergeben sich oft die folgenden Ziele:
Schutz vor Datenverlust (z. B. durch Hardware-Defekte, Malware, Bedienfehler, Brand).
Sicherstellung der Betriebsfähigkeit und Minimierung von Ausfallzeiten.
Einhaltung von gesetzlichen, regulatorischen und vertraglichen Anforderungen (z. B. GoBD, ISO 27001, TISAX®, branchenspezifische Vorgaben).
🅾️ Redundanz ≠ Backup
• Logische Fehler & Löschungen replizieren sich sofort überall.
• Ransomware wird mitgespiegelt.
• Keine Versionierung, gleiche Rechte/Plattform, ein kompromittierter Account trifft alle Kopien.
• Gleicher Konfig-/Softwarefehler schlägt überall durch (Policy, Update, Schema).
• Gemeinsame Abhängigkeiten (AD/KMS/vCenter/Key-Vault) → keine getrennte Vertrauensdomäne/Air-Gap.
• Kann in derselben Versorgungsdomäne liegen (Strom/Netz/Provider/Region) → gleichzeitiger Ausfall möglich.
Redundanz (Georedundanz, Cluster, RAID) hält Systeme verfügbar – sie speichert aber keinen „Stand von gestern“.
🅾️ Snapshot ≠ Backup
• Gleiche Plattform & Risikodomäne wie das Produktivsystem.
• Nicht automatisch unveränderbar; können gelöscht/verschlüsselt werden.
• Begrenzte Aufbewahrung, oft nicht applikationskonsistent, kein echtes Offsite.
• Ohne transaktionale Historie (Logs/WAL) kein PITR.
✅ Backup = Backup
• Isoliert (anderes Konto/Medium), versioniert, offsite/off-cloud.
• 3-2-1-Prinzip, Immutability/WORM, getrennte Keys, regelmäßige Restore- & Funktionstests.
• Applikationskonsistent (DB-Quiesce/VSS, konsistente Log-Sicherungen).Pflichtaspekte eines IT-Backupkonzepts
Ziele und Geltungsbereich
Welche Systeme, Datenbanken, Server, Endgeräte und Produktionsanlagen fallen in den Sicherungsumfang?
Welche Daten gelten als kritisch (z. B. ERP, MES, Produktionspläne, Rezepturen, CAD-Dateien)?
Backup-Strategie
Art der Sicherung (Vollsicherung, inkrementell, differentiell).
Speicherorte (lokal, extern, Cloud, Band, Offsite).
Redundanz (3-2-1-Regel: drei Kopien, zwei Medien, eine extern).
Frequenz und Zeitpläne
Wie oft wird gesichert (stündlich, täglich, wöchentlich)?
Wann erfolgen Sicherungen (außerhalb der Produktionszeiten, kontinuierlich während der Schicht)?
Verantwortlichkeiten
Wer ist für die Durchführung verantwortlich?
Wer kontrolliert, dokumentiert und testet die Backups?
Aufbewahrungs- und Löschfristen
Wie lange werden Sicherungen aufbewahrt (gesetzliche Vorgaben, interne Richtlinien)?
Umgang mit Alt-Backups (Datenminimierung, DSGVO).
Technische und organisatorische Maßnahmen
Verschlüsselung der Sicherungen (Schutz bei Diebstahl).
Zugriffskontrolle (nur autorisierte Personen dürfen Backups einsehen oder wiederherstellen).
Schutz vor Manipulation.
Angemessene räumliche Redundanz (z. B. separater Brandabschnitt, separater Raum, separates Rechenzentrum, separater Standort).
Wiederherstellung (Recovery)
Klare Recovery-Zeiten (RTO: Recovery Time Objective).
Datenverlustgrenzen (RPO: Recovery Point Objective).
Identifikation und Sicherstellung aller für die Wiederherstellung benötigten Ressourcen, einschließlich Personal, Hardware und Systemkapazitäten.
Maßnahmen zur Vermeidung von Überlastungsszenarien während der Wiederherstellung.
Regelmäßige Testwiederherstellungen mit Funktionstests (Protokollierung der Ergebnisse).
Notfall- und Eskalationsplan
Vorgehen bei Ausfällen oder Datenverlust.
Ansprechpartner und Eskalationsstufen (IT, Produktion, Management).
Dokumentation und Auditierbarkeit
Protokolle über jede Sicherung und Wiederherstellung.
Nachweisbarkeit für interne und externe Audits (z. B. ISO 9001, ISO 27001).
Integration in das Business Continuity Management
Verknüpfung mit Notfallhandbuch und Desaster-Recovery-Plänen.
Sicherstellung, dass auch produktionskritische Maschinen- und Sensordaten berücksichtigt sind.
👨⚖️ Reichen Redundanz/Snapshots aus?
1) DSGVO (alle, die personenbezogene Daten verarbeiten) – indirekt
Art. 32 verlangt u. a. die Fähigkeit, Verfügbarkeit und Zugriff auf personenbezogene Daten nach einem Vorfall zeitnah wiederherzustellen. Das setzt ein belastbares Backup/Restore voraus – Hochverfügbarkeit/Snapshots allein decken Lösch-, Integritäts- oder Ransomware-Fälle nicht ab. 
2) NIS2 (wesentliche/wichtige Einrichtungen) – direkt
Art. 21(2)(c) verlangt Business Continuity „wie z. B. Backup-Management und Disaster-Recovery“. Wer nach NIS2 als „wichtig“/„wesentlich“ fällt, braucht damit ausdrücklich geregeltes Backup-Management. (Deutschland hat NIS2 ins nationale Recht überführt.)  
3) Finanzsektor (DORA) – direkt
DORA Art. 12 schreibt Backup-Policies und -Prozeduren sowie Restore/Recovery-Verfahren vor. Für Banken/Versicherungen & Co. ist das eine klare Backup-Pflicht.  
4) KRITIS / BSIG – Stand der Technik
§ 8a BSIG verpflichtet KRITIS-Betreiber zu Maßnahmen nach Stand der Technik; in der Praxis wird gegen BSI-Grundschutz/B3S geprüft, die ein Datensicherungskonzept und regelmäßige Wiederherstellungstests fordern.  
5) Handels-/Steuerrecht (alle Kaufleute) – indirekt
HGB § 257 und AO § 147 verlangen, dass Unterlagen über die Aufbewahrungsfrist verfügbar und innerhalb angemessener Frist lesbar gemacht werden können; die GoBD konkretisieren die organisatorisch-technischen Anforderungen. Ohne echte Backups ist diese Verfügbarkeit/Lesbarkeit kaum sicherzustellen. 
Redundanz/Snapshots ≠ Backup
Der BSI-Umsetzungshinweis sagt es explizit: „RAID-Systeme ersetzen jedoch keine Datensicherung!“; zudem empfiehlt das BSI Offline-/getrennte Backups als Top-Maßnahme gegen Ransomware.
Hinweis: Die Informationen sind lediglich allgemeiner Natur und für Aufklärungszwecke gedacht. Sie haben keinen Anspruch auf Vollständigkeit, stellen keine Rechtsberatung dar und sind auch nicht als solche auszulegen.