ArtikelRahmen V5 BCKAllgemein

Backup und Recovery: Strategien und Tools

19. Januar 2025 Backup & Recovery

Backups sind das unverzichtbare Fundament jeder IT-Strategie. Sie schützen nicht nur vor Datenverlust durch Hardwaredefekte oder Ransomware, sondern garantieren auch die Business Continuity. Für IT-Verantwortliche bedeutet eine funktionierende Backup-Strategie vor allem eines: Ruhiger schlafen.

Doch Backup ist nicht gleich Backup. In heterogenen Umgebungen, in denen Windows-Server, Linux-Maschinen und SaaS-Dienste gesichert werden müssen, stoßen simple „Copy-Paste“-Methoden schnell an ihre Grenzen. In diesem Artikel beleuchten wir die wichtigsten Konzepte – von Full- über Inkrementell- bis hin zu Differentiellen Backups – und werfen einen Blick auf moderne Ansätze wie Cloud-Tiering und Immutable Backups.

Ziel ist es, dir einen praxisnahen Überblick zu geben: Welche Strategie passt zu deiner Infrastruktur? Wann lohnt sich der Weg in die Cloud und welches Tool (oftmals unter Windows gehostet) eignet sich für deine Umgebung?

Warum Backups unverzichtbar sind: Die Bedrohungslage

Daten sind das operative Rückgrat jedes Unternehmens. Egal ob ERP-Datenbanken, Produktentwicklungen oder Kundenakten – ein Verlust zieht nicht nur finanzielle Einbußen nach sich, sondern hat oft auch gravierende rechtliche Konsequenzen (Stichwort: DSGVO).

Auch bei redundanter Hardware (RAID, Cluster) gilt der Grundsatz: Ausfallsicherheit ist keine Datensicherung. Ein RAID schützt vor Festplattenausfall, aber nicht vor:

  • Human Error (Layer 8): Versehentliches Löschen, Überschreiben oder falsche Skripte.
  • Logischen Fehlern: Korrupte Dateisysteme oder Datenbanken nach fehlerhaften Updates.
  • Cyber-Bedrohungen: Allen voran Ransomware. Wenn Angreifer Produktionsdaten verschlüsseln, ist ein sauberes, idealerweise offline (Air-Gapped) oder immutable Backup oft die einzige Rettung, um Lösegeldzahlungen zu vermeiden.

Dennoch wird das Backup-Management oft stiefmütterlich behandelt („Set and Forget“). Das Problem: Backups werden eingerichtet, aber Restore-Tests finden im Alltag kaum statt. Ein Backup, dessen Wiederherstellung nie verifiziert wurde, ist im Ernstfall wertlos. Ein solider Backup-Prozess erfordert daher nicht nur Speicherplatz, sondern eine klare Strategie, regelmäßige Validierung und das Bewusstsein, dass Backups die letzte Verteidigungslinie sind.

Verschiedene Backup-Konzepte

Die Wahl der richtigen Sicherungsmethode ist immer ein Kompromiss aus drei Faktoren: Speicherbedarf, Backup-Fenster (Dauer der Sicherung) und RTO (Recovery Time Objective – wie schnell muss der Restore gehen?).

Während man früher auf Bandlaufwerken strikte Rotationsschemata (wie Großvater-Vater-Sohn) fahren musste, bieten moderne Disk-based Backup-Systeme mehr Flexibilität. Dennoch ist das Verständnis der drei grundlegenden Backup-Typen essenziell,

Hier die klassischen Konzepte im direkten Vergleich:

MethodeFunktionsweiseVorteileNachteile
Voll-Backup
(Full Backup)		Sichert alle ausgewählten Daten/Sektoren, unabhängig vom Änderungsstatus (Archive Bit).Schnellster Restore: Es wird nur ein einziger Mediensatz benötigt.
Einfaches Handling: Keine Abhängigkeiten zu vorherigen Jobs.		Hoher Speicherbedarf: Daten werden redundant gespeichert.
Langes Backup-Fenster: Blockiert I/O und Netzwerk am längsten.
Inkrementelles Backup
(Incremental)		Sichert nur Änderungen seit dem letzten Backup (egal ob Voll oder Inkrementell).Geringster Speicherplatz: Nur Delta-Daten werden geschrieben.
Schnellstes Backup: Das Backup-Fenster ist minimal.		Komplexer Restore: Die Kette muss lückenlos sein (Full + Inc 1 + Inc 2 …).
Hohes Risiko: Ist ein Glied der Kette defekt, sind alle folgenden Backups nutzlos.
Differentielles Backup
(Differential)		Sichert alle Änderungen seit dem letzten Voll-Backup. Die Daten wachsen kumulativ an.Kompromiss beim Restore: Man benötigt nur das Full + das neueste Diff.
Sicherer als Inkrementell: Keine lange Abhängigkeitskette.		Redundanz: Änderungen von Tag 2 sind auch im Diff von Tag 3 enthalten.
Wachsender Platzbedarf: Gegen Ende der Periode fast so groß wie ein Full Backup.

Tipp zu modernen Verfahren: Viele moderne Lösungen (wie Veeam, Datto oder Proxmox Backup Server) nutzen Variationen dieser Klassiker, um die Nachteile zu minimieren.

  • Synthetic Full: Das System baut aus dem letzten Full und den Inkrementals ein „neues“ Voll-Backup zusammen, ohne die Daten erneut vom Produktionsserver zu ziehen. Das schont die Bandbreite.
  • Forever Forward Incremental: Es wird einmal ein Full erstellt, danach nur noch Inkrementals. Alte Inkrementals werden in das Full „gemerged“, um Speicherplatz freizugeben.

Backup-Strategien in der Praxis

Bevor du einen Backup-Job einrichtest, musst du die Business-Anforderungen kennen. Eine Backup-Strategie ist kein technisches, sondern ein geschäftliches Konzept. Sie basiert im Kern auf zwei entscheidenden Kennzahlen, die du mit der Geschäftsleitung oder den Abteilungen definieren musst:

1. RPO und RTO: Die Währung der Datensicherung

Diese beiden Werte bestimmen, wie teuer und aufwendig deine Backup-Lösung sein muss.

  • RPO (Recovery Point Objective): Dies definiert den maximal tolerierbaren Datenverlust. Frage: „Wie viele Daten dürfen verloren gehen, ohne dass das Unternehmen Schaden nimmt?“
    • Beispiel: Ein RPO von 24 Stunden erlaubt ein nächtliches Backup. Ein RPO von 15 Minuten erfordert Snapshots oder Continuous Data Protection (CDP).
  • RTO (Recovery Time Objective): Dies legt fest, wie schnell der Betrieb wieder laufen muss. Frage: „Wie lange darf der Server stillstehen?“
    • Beispiel: Muss der Onlineshop in 10 Minuten wieder da sein (High Availability/Cluster), oder reicht es, wenn der File-Server am nächsten Morgen wieder läuft?

2. Umsetzung in der Praxis

Basierend auf RPO und RTO ergeben sich meist folgende Umsetzungskonzepte für Administratoren:

Das GFS-Prinzip (Großvater-Vater-Sohn) Um Speicherplatz und Historie in Einklang zu bringen, hat sich das Rotationsprinzip bewährt. Hierbei kombinierst du verschiedene Backup-Typen und Aufbewahrungsfristen (Retention Policies):

  • Täglich (Sohn): Inkrementelle oder differenzielle Backups (kurze Aufbewahrung, z. B. 14 Tage).
  • Wöchentlich (Vater): Voll-Backups (mittlere Aufbewahrung, z. B. 4-5 Wochen).
  • Monatlich/Jährlich (Großvater): Voll-Backups zur Langzeitarchivierung (z. B. für Compliance/Finanzamt).

Versionierung und Ransomware-Schutz Ein einfaches Überschreiben der alten Sicherung ist fatal. Wenn eine Datei am Montag korrumpiert (oder verschlüsselt) wird und du das Backup am Dienstag überschreibst, sicherst du den defekten Zustand.

  • Strategie: Halte immer mehrere Dateiversionen vor. Moderne Filesysteme (wie ZFS oder ReFS) und Backup-Tools nutzen dafür effiziente Snapshot-Technologien, die kaum Speicherplatz belegen, aber eine Rückkehr zu jedem beliebigen Zeitpunkt ermöglichen.

Georedundanz und die 3-2-1 Regel Daten nur im eigenen Serverraum zu sichern, schützt nicht vor physischen Katastrophen (Brand, Wasser, Diebstahl). Der Goldstandard ist hier die 3-2-1 Regel:

  • 3 Kopien der Daten (1x Original, 2x Backup).
  • 2 unterschiedliche Medien (z. B. NAS und Tape/externe Disk).
  • 1 Kopie an einem externen Standort (Offsite).

Heute wird der „Offsite“-Teil meist durch Cloud-Repositories (S3, Azure Blob, Wasabi) oder private Cloud-Speicher abgebildet. Dies garantiert, dass selbst bei einem Totalausfall des Standorts die Daten wiederherstellbar bleiben.

Disaster Recovery: Was tun, wenn alles schiefgeht?

Backup ist die Pflicht, Disaster Recovery ist die Kür. Während das Backup dafür sorgt, dass deine Daten sicher sind, sorgt Disaster Recovery dafür, dass deine Services und Applikationen wieder laufen. Das Ziel ist die Business Continuity: Wie schnell kannst du nach einem Totalausfall (Brand, Ransomware-Verschlüsselung des gesamten Rz, Hardware-Meltdown) wieder produktiv arbeiten?

DR ist zu 20 % Technik und zu 80 % Organisation. Hier sind die vier Säulen eines funktionierenden DR-Konzepts:

1. Der Notfallplan (Das Runbook)

Ein DR-Plan darf kein theoretisches Papier für die Schublade sein. Er muss ein „Runbook“ sein – eine exakte Schritt-für-Schritt-Anleitung.

  • Kommunikationskette: Wer entscheidet, wann der „Disaster-Fall“ ausgerufen wird? Wer informiert Geschäftsführung, Kunden und Datenschutzbeauftragte?
  • Offline-Verfügbarkeit: Der wichtigste Tipp: Dein Runbook darf nicht nur digital auf dem File-Server liegen. Wenn das Netzwerk unten ist, kommst du nicht dran. Halte gedruckte Exemplare oder Offline-Kopien auf Tablets bereit.

2. Ressourcen-Priorisierung (Tiering)

Nicht alle Systeme sind gleich wichtig. Wenn du versuchst, alles gleichzeitig hochzufahren, bricht deine (Notfall-)Infrastruktur zusammen. Teile deine Systeme in Prioritätsstufen (Tiers) ein:

  • Tier 1 (Mission Critical): Active Directory, DNS, DHCP, MFA-Server. Ohne diese Basisdienste funktioniert kein Login.
  • Tier 2 (Business Critical): ERP-System, E-Mail-Server, Datenbanken.
  • Tier 3 (Operational): Archiv-Server, Interne Wikis, Test-Umgebungen.

[PLATZHALTER SCREENSHOT] Motiv: Flussdiagramm eines DR-Ablaufs (Entscheidung -> Infrastruktur-Start -> Tier 1 -> Tier 2 -> Tier 3). Pfad: /wp-content/uploads/2024/backup-recovery/05-dr-runbook-flowchart.png

3. Drills und Validation: Die simulierte Katastrophe

Ein ungetesteter Plan ist nur eine Hypothese. In der Praxis scheitern Restores oft an Kleinigkeiten: Ein fehlendes Passwort, ein abgelaufenes Zertifikat oder schlicht fehlende Bandbreite.

  • Tabletop-Übungen: Gehe das Runbook theoretisch mit dem Team durch. Stimmen die Telefonnummern noch?
  • Technische Drills: Viele Tools (z. B. Veeam DataLabs) ermöglichen das Hochfahren von Backups in einer isolierten Sandbox-Umgebung. So kannst du prüfen, ob der SQL-Server auch wirklich bootet, ohne das Produktivnetz zu stören.

4. DRaaS: Die Cloud als Rettungsanker

Früher brauchte man für echtes Disaster Recovery ein zweites, gespiegeltes Rechenzentrum (Cold/Hot Standby) – ein immenser Kostenfaktor. Heute ist Disaster Recovery as a Service (DRaaS) oft die klügere Wahl für KMUs. Dabei werden VM-Replikate permanent in die Cloud (z. B. Azure Site Recovery oder zu einem Service Provider) übertragen. Im Katastrophenfall legst du einen Schalter um („Failover“), und die Cloud übernimmt den Betrieb. Vorteil: Du zahlst meist nur für den Speicherplatz; die teure Rechenleistung (Compute) wird erst bei einem tatsächlichen Failover berechnet.

Tools und Technologien für Backup und Recovery

Die Strategie steht, das Notfall-Handbuch ist geschrieben – jetzt geht es an die Umsetzung. Der Markt für Backup-Lösungen ist riesig, reicht von kostenlosen Skripten bis hin zu komplexen Enterprise-Suites. Für Administratoren ist entscheidend: Wie gut integriert sich das Tool in die bestehende (meist Windows-lastige) Infrastruktur und wie einfach ist das Handling im Ernstfall?

Hier ein Vergleich der gängigsten Lösungen, kategorisiert nach Einsatzzweck:

Tool / LösungKategorieStärken & BesonderheitenIdeal für…
Veeam Backup & ReplicationDer PlatzhirschStandard für Virtualisierung (vSphere/Hyper-V).
• Instant VM Recovery (Starten aus dem Backup).
• Starke Cloud-Integration (S3/Azure) & Immutable Backups.		Mittelstand bis Enterprise mit hohem Virtualisierungsgrad.
Acronis Cyber ProtectSecurity-Fokus• Kombiniert Backup mit Antivirus/Anti-Ransomware.
• Sehr breiter Plattform-Support (inkl. Mobile & Workstations).
• Intuitive Web-Oberfläche.		MSPs und Umgebungen, die Security & Backup in einer Konsole wollen.
Veritas NetBackupEnterprise• Extrem skalierbar, unterstützt fast jedes Legacy-System und jede DB.
• Starke Deduplizierung (spart Storage).		Große Konzerne mit komplexer, heterogener IT.
Microsoft Azure Backup / AWS BackupCloud-NativeKeine Hardware-Kosten (Pay-as-you-go).
• Perfekt für hybride Szenarien (lokaler Agent pusht in die Cloud).
• Schutz vor lokalen Katastrophen (Offsite by design).		Cloud-First-Strategien oder als Ergänzung (Offsite-Copy) für KMUs.
Restic / BorgBackupOpen Source (CLI)• Kostenlos, extrem effizient, verschlüsselt.
Restic: Ein Go-Binary, läuft nativ & performant auch unter Windows.
Borg: Der Standard unter Linux, unter Windows jedoch umständlicher.		Admins, die Skripte lieben, oder für spezifische Dateisystem-Backups ohne GUI-Overhead.
Windows Server BackupBuilt-in• Lizenzkostenfrei (da integriert).
• Kann „Bare Metal“ Restores und AD-Sicherungen.
• Keine zentrale Verwaltung, keine E-Mail-Alerts ohne Skripting.		Sehr kleine Umgebungen oder Einzelserver ohne Budget.

Qual der Wahl: Was passt zu dir?

Die Auswahl des richtigen Werkzeugs hängt nicht nur vom Funktionsumfang ab, sondern von deinen Ressourcen:

  1. Unternehmensgröße & Budget: Ein Konzern mit global verteilten Standorten benötigt Deduplizierung und WAN-Beschleunigung (Veritas/Veeam), während ein kleiner Handwerksbetrieb oft mit einer soliden NAS-Lösung oder Cloud-Backup (Azure/Acronis) bestens bedient ist.
  2. Infrastruktur: Hast du 90% virtuelle Maschinen? Dann ist ein Tool, das auf Hypervisor-Ebene sichert (agentless), Pflicht. Hast du viele physische Laptops im Außendienst? Dann brauchst du starke Agenten-basierte Lösungen (Acronis).
  3. Know-how: Open-Source-Tools wie Restic sind mächtig und kostenlos, erfordern aber Wartung und Shell-Kenntnisse. Wenn du im Urlaub bist, muss auch deine Vertretung den Restore per GUI bedienen können – hier punkten kommerzielle Lösungen mit Usability.

Fazit: Backup ist keine Option, sondern eine Lebensversicherung

Ein durchdachtes Backup- und Recovery-Konzept ist weit mehr als nur das Kopieren von Dateien auf eine externe Festplatte. Es ist das strategische Management von Risiken, Speicherplatz und Zeit. Wie wir gesehen haben, definieren Kennzahlen wie RPO und RTO den Rahmen, während die Wahl zwischen Voll-, Inkrementellen und Differentiellen Backups die technische Umsetzung bestimmt.

Egal ob du dich für Enterprise-Lösungen wie Veeam oder schlanke Open-Source-Tools wie Restic entscheidest: Die Technologie ist nur so gut wie der Prozess dahinter. In Zeiten, in denen Ransomware nicht fragt, ob, sondern wann sie zuschlägt, sind Offline-Backups (Immutable) und regelmäßige Restore-Tests die einzigen Garanten für ruhigen Schlaf.

Das Admin-Mantra: „Backups sind wie Feuerlöscher – man hofft, sie nie zu brauchen, aber man ist unendlich dankbar, wenn sie im Ernstfall funktionieren.“

Sorge dafür, dass dein Feuerlöscher nicht nur an der Wand hängt, sondern auch gewartet ist.

Checkliste: Ist deine Strategie „Bulletproof“?

Bevor du diesen Tab schließt, prüfe kurz diese 5 Punkte für deine Umgebung:

  • [ ] 3-2-1 Regel erfüllt? (3 Kopien, 2 Medien, 1x Offsite/Cloud)
  • [ ] Ransomware-Schutz aktiv? (Gibt es eine Kopie, die nicht verändert/gelöscht werden kann?)
  • [ ] Restore getestet? (Wann hast du das letzte Mal nicht nur gesichert, sondern erfolgreich wiederhergestellt?)
  • [ ] Notfallplan griffbereit? (Weißt du, wen du anrufen musst und wo die Passwörter liegen, wenn das AD down ist?)
  • [ ] Alerting sauber? (Bekommst du eine Mail, wenn das Backup fehlschlägt – und schaust du sie auch an?)

Backup-Management ist ein fortlaufender Prozess, kein einmaliges Projekt. Bleib dran!

weitere Links

BSI IT-Grundschutz: CON.3 Datensicherungskonzept
Der offizielle Baustein des Bundesamtes für Sicherheit in der Informationstechnik (BSI)		https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/IT-GS-Kompendium_Einzel_PDFs_2023/03_CON_Konzepte_und_Vorgehensweisen/CON_3_Datensicherungskonzept_Edition_2023.pdf
DSGVO Art. 32: Sicherheit der Verarbeitung
Gesetzestext, der technische und organisatorische Maßnahmen (TOMs) zur Wiederherstellung der Verfügbarkeit von Daten vorschreibt.		https://dsgvo-gesetz.de/art-32-dsgvo/
The No More Ransom Project
Initiative von Europol und IT-Sicherheitsunternehmen, die Präventionstipps und Entschlüsselungstools für Ransomware-Opfer bereitstellt.		https://www.nomoreransom.org/de/index.html
Restic Documentation
offizielle Handbuch und die Referenzdokumentation		https://restic.readthedocs.io/en/stable/

This post is also available in: Deutsch

Ähnliche Artikel