CRYPTOITDATACRYPTOITDATA

Datenschutz

Disaster Recovery: Warum ein ungetestetes Backup nicht rettet

Sie haben Backups — aber können Sie wiederherstellen? 2026 zielen Angreifer direkt auf Backup-Kopien. Der Unterschied zwischen Backup und Disaster Recovery, RTO/RPO und Tests.

10 Min. Lesezeit

„Wir haben Backups." Zwei Worte, die jeden Manager beruhigen — und sich am Tag eines echten Vorfalls oft als die teuerste Illusion im Unternehmen erweisen. Denn zwischen einem Backup zu haben und sich daraus wiederherstellen zu können liegt eine Kluft, die die meisten Unternehmen im denkbar schlechtesten Moment entdecken: wenn sie die Daten brauchen und diese nicht zurückkommen.

Ein Backup, das nicht getestet wurde, ist kein Sicherheitsnetz. Es ist eine Annahme. Und 2026 ist diese Annahme gefährlich teuer geworden, weil Angreifer gelernt haben, wo sie genau zuschlagen müssen: nicht nur bei den Produktionsdaten, sondern auch bei den Backup-Kopien, die Sie eigentlich retten sollen.

Backup ist nicht Wiederherstellung

Ein Backup ist eine Kopie der Daten. Disaster Recovery ist die Fähigkeit, das Unternehmen wieder in Betrieb zu bringen — rechtzeitig, vollständig, mit klaren Prozessen. Das sind zwei verschiedene Dinge, und das Erste zu haben garantiert nichts über das Zweite.

Sie können perfekte Kopien Ihrer Daten haben und trotzdem zwei Wochen ausfallen: weil niemand je gemessen hat, wie lange eine vollständige Wiederherstellung dauert, weil das Backup auf genau dem Server liegt, den die Ransomware verschlüsselt hat, weil es kein schriftliches Verfahren gibt und unter Druck alle improvisieren, oder weil die letzte „es hat funktioniert"-Prüfung ein Jahr her ist und der Job seitdem jede Nacht still scheitert. Das Backup ist der Rohstoff. Disaster Recovery ist das Rezept, die Küche und der Koch, der es in der versprochenen Zeit auf den Tisch bringt.

Was die Daten 2025–2026 zeigen

Die Zahlen des letzten Jahres erzählen eine klare Geschichte: Das Problem ist nicht mehr, dass Unternehmen keine Backups haben, sondern dass die tatsächliche Wiederherstellung weit schwieriger ist, als sie aussieht.

  • Fast 9 von 10 Sicherheitsvorfällen bei kleinen Unternehmen betreffen Ransomware, gegenüber etwa 4 von 10 bei großen Konzernen — KMU sind das bevorzugte Ziel, keine Ausnahme.
  • Im Schnitt braucht ein von Ransomware getroffenes Unternehmen rund 24 Tage, um zum Normalbetrieb zurückzukehren. Für viele KMU sind drei Wochen Stillstand tödlich.
  • Nur etwa die Hälfte der Opfer erholt sich in weniger als einer Woche; ein erheblicher Teil braucht über einen Monat, und sehr wenige schaffen es an einem einzigen Tag.
  • In der überwiegenden Mehrheit der Ransomware-Angriffe zielen die Angreifer direkt auf die Backup-Kopien — und kompromittieren sie in über drei Vierteln der Fälle. Das Backup ist keine sichere Ecke mehr, sondern ein Ziel.
  • Unternehmen, die aus intakten Backups wiederherstellen, geben im Schnitt um ein Mehrfaches weniger für die Wiederherstellung aus als solche mit kompromittierten Backups — der Unterschied bemisst sich in Hunderttausenden von Euro.
  • Und dennoch werden viele Wiederherstellungspläne selten oder nie getestet — viele Unternehmen haben nie überprüft, ob ihr Plan tatsächlich funktioniert.

Die Schlussfolgerung steht zwischen den Zeilen: Die Unternehmen, die sich schnell und günstig erholen, sind nicht die mit der teuersten Backup-Software, sondern die, die ihre Wiederherstellung vor der Katastrophe getestet haben. Der Rest zahlt die Rechnung — in verlorenen Tagen, in Geld und im schlimmsten Fall mit der Existenz des Unternehmens selbst.

RTO und RPO: zwei Geschäftsentscheidungen, keine technischen

Jeder ernsthafte Disaster-Recovery-Plan geht von zwei Zahlen aus. Sie werden nicht von einem Techniker, sondern vom Management entschieden — denn sie sind im Kern Entscheidungen darüber, wie viel Risiko sich das Unternehmen leisten kann.

RPO — wie viele Daten Sie verlieren dürfen

Recovery Point Objective ist das maximale Datenfenster, dessen Verlust Sie akzeptieren. Wenn Sie einmal täglich sichern, kann ein Vorfall Sie bis zu 24 Stunden Arbeit kosten. Für die Buchhaltung mag das akzeptabel sein. Für einen Online-Shop oder ein Transaktionssystem kann eine verlorene Stunde verschwundene Bestellungen und Geld bedeuten. Der RPO sagt Ihnen, wie oft Sie Kopien anlegen müssen.

RTO — wie schnell Sie zurück sein müssen

Recovery Time Objective ist die maximal akzeptable Zeit, bis das System wieder funktionsfähig ist. Ein RTO von 8 Stunden und eines von 15 Minuten verlangen völlig unterschiedliche Architekturen — und unterschiedliche Kosten. Der Trick besteht nicht darin, überall „sofortige Wiederherstellung" zu fordern, sondern korrekt zu bestimmen, welche Systeme kritisch sind (die, die das Geschäft stoppen) und welche warten können. In die kritischen investieren Sie; beim Rest sparen Sie.

Ohne diese beiden Zahlen ist „wir haben Backups" eine leere Phrase. Mit ihnen wird das Design zu einer rationalen Entscheidung: Sie wissen genau, wie oft Sie kopieren und wie schnell Sie wiederherstellen müssen — und Sie können überprüfen, ob es Ihnen tatsächlich gelingt.

Warum Backups genau dann versagen, wenn man sie braucht

Wiederherstellungen scheitern selten an einem einzigen spektakulären Grund. Meist ist die Ursache eine davon — banal, aber fatal:

  1. 1Das Backup wurde nie getestet. Der Job „läuft", aber niemand hat je eine vollständige Wiederherstellung versucht. Das erste Mal sollte nicht mitten in der Krise sein.
  2. 2Das Backup liegt neben der Produktion. Eine Kopie auf demselben Server oder Netzwerk wie die Produktionsdaten wird von derselben Ransomware verschlüsselt. Ohne eine externe, unveränderliche Kopie haben Sie kein Backup — Sie haben zwei Opfer.
  3. 3RPO/RTO fehlen. Niemand hat entschieden, wie viel Verlust akzeptabel ist, also kann niemand sagen, ob das aktuelle Backup ausreicht oder ob die Wiederherstellung „rechtzeitig" ist.
  4. 4Es gibt kein Runbook. In der ersten Stunde eines Vorfalls improvisieren Menschen unter Stress. Ohne ein schriftliches Verfahren — wer, was, in welcher Reihenfolge — gehen wertvolle Stunden für Entscheidungen verloren, die im Voraus hätten getroffen werden sollen.
  5. 5Die Aufbewahrung deckt das reale Szenario nicht ab. Manche Angriffe bleiben tage- oder wochenlang verborgen, bevor sie zuschlagen. Wenn Sie nur die letzten Tage an Kopien aufbewahren, riskieren Sie, bereits kompromittierte Daten wiederherzustellen.
  6. 6Das Monitoring fehlt. Ein Backup-Job, der monatelang still scheitert, offenbart das Problem erst bei der ersten Wiederherstellung — also zu spät.

Wie ein Disaster-Recovery-Plan aussieht, der wirklich funktioniert

Ein operativer Plan — kein Plan für die Schublade — hat einige klare Zutaten:

  • RPO und RTO pro System definiert, mit dem Management abgestimmt — nicht eine einzige Zahl für alles.
  • Die 3-2-1-0-Strategie: drei Kopien der Daten, auf zwei verschiedenen Medien, eine extern, mit null Fehlern bei der Überprüfung. Mindestens eine unveränderliche Kopie, die Ransomware weder löschen noch verschlüsseln kann.
  • Regelmäßige Wiederherstellungstests — monatlich für kritische Systeme, vierteljährlich für den Rest — mit Messung der realen Zeiten und Vergleich zum Ziel-RTO.
  • Schriftliche Runbooks: wer die Wiederherstellung auslöst, in welcher Reihenfolge Systeme wiederhergestellt werden, wie kommuniziert und wann eskaliert wird.
  • Für Systeme mit niedrigem RTO ein sekundärer Cloud-Standort und kontinuierliche Replikation (Disaster Recovery as a Service) mit Failover-Übungen.
  • Aufbewahrungs- und Archivierungsrichtlinien im Einklang mit den DSGVO-Anforderungen — bewahren Sie auf, was Sie müssen, löschen Sie automatisch Abgelaufenes, mit vollständigem Audit-Trail.
Ein Backup, das Sie nie wiederhergestellt haben, ist kein Backup — es ist ein Versprechen, das Sie nie überprüft haben. Die einzige Frage, die zählt: Wie lange dauert es tatsächlich, zurückzukehren?

Wie wir arbeiten

In unseren Projekten zum Datenschutz beginnen wir mit einem Business-Impact-Analysis-Workshop, in dem wir mit Ihnen RPO und RTO für jedes System definieren. Anschließend entwerfen wir die 3-2-1-0-Strategie mit einer unveränderlichen Kopie, konfigurieren Backup, Monitoring und Alarmierung und — am wichtigsten — testen die Wiederherstellung nach einem klaren Zeitplan und dokumentieren die realen Zeiten, bis wir den Ziel-RTO erreichen. Für Systeme, die keinen Ausfall tolerieren, fügen wir Cloud-Replikation und getestete Failover-Runbooks hinzu. Da Ransomware heute die Hauptbedrohung für Daten ist, geht der Wiederherstellungsplan Hand in Hand mit Maßnahmen der Cybersicherheit. Wenn Sie herausfinden möchten, wie lange eine vollständige Wiederherstellung in Ihrem Unternehmen tatsächlich dauert, lassen Sie uns 30 Minuten sprechen — ich sage Ihnen konkret, wo Sie exponiert sind.

Fazit

Die Daten 2025-2026 sind eindeutig: Der Unterschied zwischen einem Unternehmen, das einen Vorfall übersteht, und einem, das der Vorfall schließt, ist nicht die Backup-Software, sondern die getestete Wiederherstellung. Backup ist Pflicht, aber unzureichend. Disaster Recovery — mit definiertem RTO und RPO, unveränderlichen Kopien, Runbooks und regelmäßigen Tests — macht aus einer Kopie Ihrer Daten eine echte Garantie, dass Ihr Unternehmen überlebt. Lassen Sie die erste Wiederherstellung nicht mitten in der Krise stattfinden.

Häufige Fragen

Was ist der Unterschied zwischen Backup und Disaster Recovery?+

Ein Backup ist eine Kopie der Daten. Disaster Recovery ist die Fähigkeit, das Unternehmen rechtzeitig und vollständig wieder in Betrieb zu bringen — mit definiertem RTO/RPO, unveränderlichen Kopien, Runbooks und Tests. Sie können ein Backup haben und sich trotzdem nicht wiederherstellen können; umgekehrt geht es nicht.

Wie oft sollten Backups getestet werden?+

Für kritische Systeme empfehlen wir monatliche Wiederherstellungstests; für den Rest vierteljährlich. Wichtig ist nicht nur, dass die Wiederherstellung „funktioniert", sondern wie lange sie dauert — Sie messen die reale Zeit, vergleichen sie mit dem Ziel-RTO und justieren, bis Sie ihn erreichen.

Warum reicht ein gewöhnliches Backup gegen Ransomware nicht mehr aus?+

Weil Angreifer nun direkt auf die Backup-Kopien zielen — in der überwiegenden Mehrheit der Angriffe — und sie oft erfolgreich kompromittieren. Liegt das Backup im selben Netzwerk wie die Produktion, wird es mit ihr verschlüsselt. Sie brauchen mindestens eine externe, unveränderliche Kopie, die ein Angriff nicht löschen kann.

Was sind RTO und RPO, und wer legt sie fest?+

RTO (Recovery Time Objective) ist die maximal akzeptable Zeit bis zur Wiederherstellung des Betriebs; RPO (Recovery Point Objective) ist, wie viele Daten Sie verlieren dürfen. Es sind Geschäftsentscheidungen des Managements auf Basis des tolerierbaren Risikos — keine technischen Einstellungen. Sie steuern das gesamte Wiederherstellungsdesign.

Alle Artikel

Eine konkrete Frage?

30 Minuten, kostenlos. Wir sprechen genau über Ihre Situation.

Beratung buchen