Ein Backup ist nur so gut wie sein letzter erfolgreich getesteter Restore. Diese Erfahrung machen viele KMU schmerzhaft im Ernstfall – wenn die Backup-Software „grün" meldet, der Restore aber scheitert oder Stunden dauert. Diese Checkliste basiert auf 15+ Jahren Praxis bei Mittelständlern in Oberfranken, Unterfranken und Südthüringen und enthält 14 Prüfpunkte, mit denen Sie Ihr Backup-Konzept selbst auditieren.
Auch als Druck-Vorlage
8-seitige Druck-Version zum Abhaken. Kein E-Mail-Gate, keine Tracking-Pixel.
Strategie & Konzept
Bevor Sie technische Details prüfen, klären Sie das Konzept. Ohne dokumentierte Strategie operieren Sie blind – und merken erst beim Restore, ob Sie das Richtige gesichert haben.
-
3-2-1-Regel umgesetzt
3 Datenkopien (Original + 2 Backups), auf 2 unterschiedlichen Medien, 1 davon räumlich getrennt (Off-Site). Das ist der Mindeststandard – darunter ist kein verlässliches Backup.
-
RPO und RTO schriftlich definiert
Recovery Point Objective (max. zulässiger Datenverlust in Stunden) und Recovery Time Objective (max. Wiederanlaufzeit) sind pro System dokumentiert und vom Management abgenommen. Wer das nicht definiert hat, kann nicht messen, ob das Backup ausreicht.
-
Air-Gap gegen Ransomware
Mindestens eine Backup-Kopie ist aktiv vom Produktivnetz getrennt – per Tape, immutable Storage oder separatem Tenant. Ransomware kann diese Kopie technisch nicht erreichen, auch wenn Domain-Admin-Konten kompromittiert sind.
Häufiger Befund in KMU-Audits: Backup läuft auf einer NAS im selben Gebäude, im selben Netz, ohne Air-Gap. Bei Ransomware-Verschlüsselung sind Original und Backup gleichzeitig betroffen. Dies ist kein Backup, das ist Datenkopie.
Technische Umsetzung
Sind Konzept und Strategie geklärt, geht es an die Technik. Hier sind die Stellschrauben, die im Ernstfall den Unterschied machen.
-
Verschlüsselung der Backup-Daten
Alle Backups sind at-rest und in-transit verschlüsselt. Das Schlüssel-Management ist dokumentiert; der Admin-Schlüssel liegt nicht ausschließlich auf demselben System, das er sichert.
-
Off-Site-Lokation georedundant
Die Off-Site-Kopie liegt in einem anderen Brandabschnitt oder Rechenzentrum (mind. 5 km Entfernung). Ein lokaler Brand-, Wasser- oder Stromschaden vernichtet nicht beide Kopien.
-
Backup-Software aktuell und supportet
Die eingesetzte Backup-Lösung (Veeam, Proxmox Backup Server, Acronis, Synology Active Backup oder andere) ist auf aktueller Major-Version mit aktivem Hersteller-Support. Veraltete Versionen kennen neue Ransomware-Patterns nicht.
-
Microsoft 365 wird aktiv gesichert
Microsoft sichert Ihre Daten in M365 nicht gegen versehentliches Löschen, böswillige Mitarbeiter oder Ransomware. Eine separate Backup-Lösung für Exchange, OneDrive, SharePoint und Teams ist im Einsatz – das ist kein Microsoft-Service, das müssen Sie selbst stellen.
Test & Nachweis
Ein nicht getestetes Backup ist Schrödingers Backup: gleichzeitig vorhanden und nicht vorhanden, bis Sie es im Ernstfall öffnen. Der einzige verlässliche Beweis ist ein dokumentierter Restore.
-
Restore-Test in den letzten 90 Tagen
Ein dokumentierter, vollständiger Restore (mindestens VM, Datenbank, einzelne Datei) wurde in den letzten 90 Tagen erfolgreich durchgeführt. Niemand hat „nur" auf den Erfolg-Status der Backup-Software vertraut.
-
Test-Protokoll mit Zeitmessung
Die Restore-Zeit wurde gemessen und passt zum vereinbarten RTO. Das Ergebnis ist schriftlich dokumentiert und vom Management gegengezeichnet. Ohne Zeitmessung wissen Sie nicht, ob Sie Ihre RTO einhalten.
-
Bare-Metal-Restore-Fähigkeit getestet
Im Notfall (Server-Hardware-Totalausfall) kann ein komplettes System auf neuer Hardware wiederhergestellt werden. Voraussetzungen wie Boot-Medium, Treiber-Pakete und Lizenz-Schlüssel liegen griffbereit.
Aus der Praxis: In über 60% unserer Erstanalysen scheitert der erste echte Restore-Test. Häufige Ursachen: falsches Boot-Medium, fehlende Treiber, abgelaufene Lizenzen, beschädigte Backup-Kette. Erst der getestete Restore bringt Sicherheit.
Organisation & Compliance
Technik ist die halbe Miete. Die andere Hälfte sind klare Verantwortlichkeiten und Compliance-Anforderungen Ihrer Branche.
-
Aufbewahrungs-Konzept GoBD-konform
Steuerlich relevante Daten werden 10 Jahre revisionssicher aufbewahrt. Die Aufbewahrungs-Strategie unterscheidet klar zwischen Backup (operativ) und Archiv (langfristig). Ein Backup ersetzt kein Archiv.
-
Verantwortlichkeiten dokumentiert
Wer prüft täglich oder wöchentlich den Backup-Status? Wer wird im Fehlerfall alarmiert? Vertretungsregelung im Urlaub und bei Krankheit? Alles schriftlich festgehalten – nicht im Kopf eines einzelnen Admins.
-
Notfall-Plan inkl. Wiederanlauf-Reihenfolge
Bei Totalausfall: Welche Systeme werden in welcher Reihenfolge wiederhergestellt? Wer informiert Mitarbeiter, Kunden und Behörden? Schriftlich dokumentiert, nicht im Kopf eines Admins, der gerade im Urlaub ist.
-
Branchen-Compliance abgedeckt
Spezifische Anforderungen Ihrer Branche sind erfüllt: HACCP (Lebensmittel), GAMP 5 (Pharma), VAIT (Versicherung), TISAX (Automotive), NIS2 (kritische Infrastruktur). Ohne branchen-spezifische Doku scheitern Sie im nächsten Audit.
So bewerten Sie Ihr Ergebnis
Zählen Sie, wie viele der 14 Punkte Sie klar mit „Ja" beantworten können. Überall wo Sie zögern oder „weiß ich nicht" denken, haben Sie eine offene Lücke.
Score-Auswertung
Was Sie als Nächstes tun können
Wenn die Selbst-Auswertung Lücken aufgedeckt hat, sind drei Schritte sinnvoll – in dieser Reihenfolge:
1. Restore-Test einplanen. Nicht später als „in den nächsten 30 Tagen". Wählen Sie ein nicht-kritisches System (Test-Datenbank, alte VM) und testen Sie den vollständigen Wiederherstellungs-Weg.
2. Off-Site-Lücken schließen. Wenn alle Kopien im selben Gebäude liegen, ist eine Off-Site-Kopie der nächste Schritt. Das geht heute mit Cloud-Object-Storage oder einem zweiten Standort wirtschaftlich.
3. Verantwortlichkeiten schriftlich festhalten. 30 Minuten an einem Vormittag reichen, um zu klären, wer was prüft. Das ist die billigste Maßnahme mit dem höchsten Hebel.