Fast jedes Unternehmen hat heute ein Backup, das „Erfolg" meldet. Die grünen Häkchen im Dashboard sind beruhigend: Die Jobs laufen nachts, enden ohne Fehler, jemand schaut ab und zu drauf und nickt zufrieden. Das Problem ist: Ein Backup-Job, der „grün" endet, und ein Backup, aus dem Sie tatsächlich wiederherstellen können, sind zwei verschiedene Dinge — und der Abstand dazwischen misst sich genau am Tag des Vorfalls, wenn es zu spät ist, ihn herauszufinden.
Ein Backup-Audit beginnt genau mit dieser unbequemen Frage: nicht „Haben Sie ein Backup?", sondern „Können Sie beweisen, dass Sie daraus wiederherstellen — vollständig und rechtzeitig?". Der Unterschied ist nicht semantisch. Es ist der Unterschied zwischen dem Überleben eines Ransomware-Angriffs und der Schließung des Unternehmens.
Was die Daten aus 2025-2026 zeigen
Die jüngsten Statistiken sind unangenehm konsistent. Berichte aus 2025 zeigen, dass nur etwa 61% der Wiederherstellungsversuche das gewünschte Ergebnis erreichen — mit anderen Worten, fast 4 von 10 Restores scheitern, wenn Sie die Daten tatsächlich brauchen. Und der Hauptgrund ist nicht schlechte Technik, sondern dass niemand sie vorher geprüft hat: Über 60% der Organisationen führen keine regelmäßigen Restore-Übungen durch, und nur die Hälfte testet ihren Wiederherstellungsplan überhaupt einmal im Jahr.
Wenn der Moment der Wahrheit kommt, wird die Lücke brutal. Eine Veeam-Studie mit 1.300 Organisationen ergab, dass nur 10% nach einem Vorfall mehr als 90% ihrer Daten wiederherstellten, während 57% weniger als die Hälfte zurückholten. Noch aufschlussreicher: Über 60% der Unternehmen glauben, sich innerhalb von Stunden erholen zu können, aber nur etwa 35% schaffen es tatsächlich. Der Rest stellt unter Druck fest, dass „wir haben ein Backup" kein Plan war — sondern eine Hoffnung.
Ein nicht verifiziertes Backup ist kein Backup. Es ist eine Annahme, die Sie zum allerersten Mal genau an dem Tag testen, an dem Sie sich keinen Fehler leisten können.
Warum ein „grüner Job" lügt
Ein Backup-Job meldet, dass er die Daten kopiert hat — nicht, dass Sie sie wieder verwenden können. Zwischen beiden verbirgt sich eine ganze Liste stiller Fehler, die ein grünes Dashboard nie erkennt:
- Beschädigte oder unvollständige Dateien: Der Job endet „erfolgreich", aber das Archiv ist beschädigt, eine Datenbank inkonsistent, oder genau die kritischen Dateien fehlen.
- Ungetesteter Restore: Niemand hat je versucht, die Daten zurückzuholen, also weiß niemand, wie lange es dauert oder ob es funktioniert.
- Undefinierte RPO/RTO: Sie wissen nicht, wie viele Daten Sie verlieren dürfen, noch wie schnell Sie betriebsbereit sein müssen — also können Sie nicht wissen, ob das aktuelle Backup ausreicht.
- Für den Angreifer erreichbares Backup: Liegt das Backup im selben Netz mit denselben Zugangsdaten, verschlüsselt Ransomware es zusammen mit der Produktion. Studien zeigen, dass rund 96% der Ransomware-Angriffe direkt die Backup-Kopien ins Visier nehmen.
- Abdeckungslücken: Laptops der Mitarbeiter, Microsoft-365-/Google-Workspace-Postfächer, SaaS-Apps oder neue Server sind gar nicht im Backup — weil niemand den Scope aktualisiert hat.
- Konfigurations-Drift: Das Backup wurde vor zwei Jahren korrekt eingerichtet, aber seither haben sich Server, Lizenzen und Prioritäten geändert, und niemand hat nachgeprüft.
Keines dieser Probleme erscheint als Fehler. Sie alle leben ruhig hinter dem grünen Häkchen — bis zu dem Tag, an dem sie zählen.
Was ein Backup-Audit prüft
Ein Backup-Audit schaut nicht aufs Dashboard und glaubt Ihnen aufs Wort. Es inventarisiert Ihre reale Strategie und stellt sie auf die Probe. Konkret deckt ein ernsthaftes Audit sieben Bereiche ab:
1. Ein echter Restore-Test, nicht auf dem Papier
Das Herzstück. Es werden tatsächlich Daten wiederhergestellt — Dateien, eine Datenbank, eine virtuelle Maschine — und auf Integrität und Nutzbarkeit geprüft. Ohne Restore-Test ist alles andere Theorie. Hier tauchen die meisten Überraschungen auf.
2. RPO- und RTO-Validierung gegen den realen Bedarf
RPO (wie viele Daten Sie verlieren dürfen) und RTO (wie schnell Sie zurückkehren müssen) sind keine technischen Einstellungen, sondern Geschäftsentscheidungen. Das Audit misst, wie lange eine Wiederherstellung tatsächlich dauert, und vergleicht sie mit dem, was das Unternehmen sich leisten kann — nicht mit dem, was es hofft.
3. Vollständige Datenabdeckung
Geprüft wird, was ins Backup kommt und, wichtiger noch, was NICHT: Server, Datenbanken, Endgeräte, aber auch Cloud-Daten. Viele Unternehmen nehmen fälschlich an, Microsoft 365 oder Google Workspace „sichern sich selbst" — die Verantwortung für Ihre Daten bleibt bei Ihnen.
4. Unveränderlichkeit und Isolierung (Anti-Ransomware)
Mindestens eine Kopie muss unveränderlich oder air-gapped sein — von einem Angreifer nicht löschbar oder verschlüsselbar, selbst wenn er Administratorrechte erlangt. Es ist die Verteidigungslinie, die Ransomware von einer Katastrophe in eine Unannehmlichkeit verwandelt; unveränderliche Kopien verkürzen die Wiederherstellungszeit deutlich (Studien nennen etwa 42%).
5. Aufbewahrung und Versionen
Wie lange Sie Kopien aufbewahren und wie viele Versionen Sie haben, ist enorm wichtig. Viele Angriffe lauern wochenlang; ist die Aufbewahrung zu kurz, sind Ihre einzigen Kopien bereits infiziert. Das Audit prüft, ob Sie zu einem sauberen Punkt vor der Kompromittierung zurückkehren können.
6. Verschlüsselung und Datenstandort
Das Backup muss verschlüsselt sein (bei Übertragung und im Ruhezustand), und der Datenstandort muss bekannt und konform sein — zunehmend wichtig unter NIS2 und DSGVO, die erwarten, dass Daten in der EU gehalten werden und nachweislich nicht manipuliert werden können.
7. Dokumentation, Runbook und ein Verantwortlicher
Wer stellt wieder her, von wo, in welcher Reihenfolge, mit welchen Zugangsdaten? Steht die Antwort nur im Kopf einer Person, die am Tag des Vorfalls im Urlaub ist, haben Sie keinen Plan. Das Audit prüft, ob ein schriftliches Runbook und ein klarer Verantwortlicher existieren.
Wie oft sollten Backups getestet werden
Die klassische 3-2-1-Regel (3 Kopien, 2 verschiedene Medien, 1 off-site) entwickelte sich 2025 weiter zu 3-2-1-1-0: eine weitere unveränderliche/offline Kopie und — entscheidend — „0 Fehler", also automatisierte Überprüfung, die bestätigt, dass das Backup tatsächlich wiederherstellbar ist. Ein nicht verifiziertes Backup zählt nicht.
Eine praktische Testkadenz, an die Kritikalität der Systeme angepasst:
- 1Monatlich — Wiederherstellungsprüfung von Dateien und alltäglichen Daten.
- 2Vierteljährlich — Wiederherstellungstest auf Anwendungsebene für kritische (Tier-1-)Systeme.
- 3Jährlich — eine vollständige Failover-Übung der gesamten Umgebung als Probe für einen echten Katastrophenfall.
Backup, Restore und Compliance (NIS2)
Für immer mehr Unternehmen ist das Testen des Backups nicht mehr nur gute Praxis, sondern Pflicht. Die NIS2-Richtlinie verlangt über Artikel 21 ausdrückliche Business-Continuity-Richtlinien einschließlich Backup-Management und Disaster Recovery. In der Praxis erwarten Prüfer Nachweise: eine dokumentierte Backup-Richtlinie mit RPO/RTO, Restore-Tests mit gemessenen Zeiten, mindestens eine unveränderliche Kopie und Daten in der EU. Die Sanktionen für wesentliche Einrichtungen erreichen bis zu 10 Millionen Euro oder 2% des weltweiten Umsatzes — ein Grund mehr, dass „wir haben ein Backup" eine Aussage ist, die Sie beweisen und nicht nur aussprechen können.
Vom Audit zu einem Backup, dem Sie vertrauen
Die gute Nachricht ist: Ein Backup-Audit ist schnell und günstig im Vergleich zu dem, was es verhindert. In wenigen Tagen erfahren Sie genau, wo Sie exponiert sind, mit einem priorisierten Schwachstellenbericht und einem Sanierungsplan mit Fristen. Genau das liefern wir im Paket Backup- & Restore-Audit: eine vollständige Bestandsaufnahme Ihrer aktuellen Strategie, einen echten Restore-Test (nicht auf Papier) und einen konkreten Plan. Zeigt das Ergebnis, dass etwas neu aufgebaut werden muss, tun wir das im Rahmen eines Datenschutz-Projekts, mit 3-2-1-1-0-Strategie, unveränderlichen Kopien und getesteten Runbooks.
Der beste Zeitpunkt, um herauszufinden, ob Ihr Backup funktioniert, ist nicht während eines Angriffs. Wenn Sie noch nie einen vollständigen Restore getestet haben, lassen Sie uns 30 Minuten sprechen — ich sage Ihnen konkret, was Sie zuerst prüfen sollten.
Fazit
Das grüne Häkchen im Dashboard sagt Ihnen, dass die Daten kopiert wurden. Es sagt nicht, dass Sie sie zurückholen können. Die Daten aus 2025-2026 zeigen, dass dieser Unterschied die meisten Unternehmen genau dann unvorbereitet trifft, wenn der Einsatz am höchsten ist. Ein Backup-Audit verwandelt „ich hoffe, es geht" in „ich weiß, es geht, weil ich es getestet habe" — und es ist die günstigste Versicherung, die Sie gegen den teuersten Tag im Leben Ihres Unternehmens kaufen können.