· Ratgeber  · 4 Min. Lesezeit

Backup, das wirklich funktioniert: Warum Restore-Tests entscheiden

Fast jede Praxis und jedes KMU hat eine Datensicherung, aber die wenigsten testen die Wiederherstellung. Warum erst der Restore-Test aus einem Backup echten Schutz macht.

Fast jede Praxis und jedes KMU hat eine Datensicherung, aber die wenigsten testen die Wiederherstellung. Warum erst der Restore-Test aus einem Backup echten Schutz macht.

Die meisten Backups laufen, bis man sie braucht. In Praxen und KMU ist eine Datensicherung fast immer vorhanden, aber selten getestet. Im Schadensfall (Ransomware, Hardware-Defekt, Fehlbedienung) zeigt sich dann: Das Backup ist unvollständig, wurde von der Ransomware mitverschlüsselt oder lässt sich schlicht nicht zurückspielen. Genau in dem Moment, in dem alles davon abhängt.

Warum ein ungetestetes Backup kein Backup ist

Ein Backup ist kein Selbstzweck. Die einzige Frage, die zählt, lautet: Kommen die Daten im Ernstfall wirklich zurück? Ein grünes Häkchen in der Backup-Software beantwortet diese Frage nicht. Es sagt nur, dass ein Sicherungsjob gelaufen ist, nicht, ob die Sicherung vollständig, lesbar und wiederherstellbar ist.

Deshalb arbeite ich mit automatisch getesteten Restores: Sicherungen werden regelmäßig probeweise zurückgespielt, und das Ergebnis wird dokumentiert. So ist belegt, dass die Wiederherstellung wirklich klappt, bevor es darauf ankommt.

Die 3-2-1-Regel als Fundament

Ich sichere nach der bewährten 3-2-1-Regel:

  1. Drei Kopien Ihrer Daten,
  2. auf zwei verschiedenen Medien,
  3. davon eine außer Haus (EU-Offsite).

Die Offsite-Kopie schützt gegen den Standort-Totalausfall, etwa Brand, Wasserschaden oder Diebstahl. Wichtig dabei: Ihre Daten bleiben on-premise beziehungsweise in der EU, keine US-Cloud, kein Vendor-Lock-in. Technisch setze ich auf offene Werkzeuge wie Restic und den Proxmox Backup Server.

Immutability: der Schutz gegen Ransomware

Moderne Ransomware verschlüsselt nicht nur Ihre Arbeitsdaten, sie sucht gezielt nach erreichbaren Sicherungen und macht diese gleich mit unbrauchbar. Dagegen helfen unveränderliche (immutable), verschlüsselte Sicherungen: Sie können nachträglich nicht überschrieben oder mitverschlüsselt werden. Damit bleibt im Angriffsfall eine saubere Kopie übrig, aus der sich Ihre Systeme wiederherstellen lassen.

Was §390 SGB V von Praxen verlangt

Für Arzt- und Zahnarztpraxen ist das Thema keine Kür: §390 SGB V (vormals §75b) erfordert eine regelmäßig geprüfte Datensicherung. Ein Backup, das nie getestet wurde, erfüllt diesen Anspruch nicht. Zu meinem Backup gehört deshalb ein §390-/DSGVO-Nachweisbericht, den Sie der KZV oder einem Prüfer vorlegen können. Was die IT-Sicherheitsrichtlinie sonst noch verlangt, habe ich im Beitrag §390 SGB V verständlich erklärt zusammengefasst. Ich gebe die Anforderungen verständlich wieder, das ersetzt keine Rechtsberatung.

So starten Sie, ohne großes Projekt

Der Einstieg ist bewusst niedrigschwellig:

  1. Kurz-Inventarisierung: Welche Daten und Systeme gibt es, welche Wiederherstellungsziele gelten?
  2. Basis-Backup aktivieren, inklusive erstem Restore-Test.
  3. Bei Bedarf erweitern: getrennte Kopie nach 3-2-1, EU-Offsite-Replikation oder Überführung in einen Wartungsvertrag.

Preislich beginnt das Basis-Backup ab 29 €/Monat (bzw. ab ca. 9 €/Arbeitsplatz und Monat), Server ab 49 €/Monat. Die Einrichtung ist bei bis zu 30 Systemen kostenlos (nach Inventarisierung), der Einstieg ist monatlich kündbar, Speicher wird nach Volumen berechnet, Preise netto. Bei größeren Umgebungen ist eine Standard-Laufzeit von 12 Monaten üblich.

In allen Stufen enthalten sind die verschlüsselte, automatische Sicherung, unveränderliche (immutable) Ablage, der automatisch getestete Restore, Aufbewahrung und Versionierung nach Ihrer Vorgabe sowie der Nachweisbericht. Die Stufe Plus ergänzt die getrennte Kopie nach 3-2-1 für Praxen und KMU mit Servern, die Offsite-Option schützt zusätzlich gegen den Standort-Totalausfall. Und wenn es doch einmal ernst wird, übernehme ich die Wiederherstellung: in der Basis-Stufe nach Aufwand, in den größeren Stufen mit inkludiertem Kontingent beziehungsweise inklusive.

Backup ist der Anfang, nicht das Ende

Ein getestetes Backup ist der wichtigste einzelne Baustein, aber eben ein Baustein. Wer zusätzlich wissen will, ob Server, Updates und Festplatten im Alltag gesund sind, kombiniert das Backup mit laufender Überwachung: Mehr dazu auf der Seite IT-Monitoring & Wartung. So fallen viele Probleme auf, bevor überhaupt ein Restore nötig wird.

Mein Rat, ganz unabhängig davon, ob Sie mit mir arbeiten: Fragen Sie Ihren jetzigen Dienstleister (oder sich selbst) drei Dinge. Wann wurde zuletzt eine Wiederherstellung getestet? Gibt es eine Kopie außer Haus? Und kann die Sicherung von Ransomware mitverschlüsselt werden? Wenn eine dieser Antworten unklar ist, haben Sie kein Backup, sondern eine Hoffnung.

Sichern Sie sich nachweislich ab. Verschlüsselt, ransomware-resistent, mit automatisch getestetem Restore und §390-Nachweis, ab 29 €/Monat, monatlich kündbar. Alle Details und Stufen finden Sie auf der Seite Backup & Datensicherung.

Alex Jabi, Jabi IT

Alex Jabi

Ich betreue IT, Informationssicherheit und Datenschutz für KMU und Praxen an der Bergstraße und im Odenwald, persönlich, dokumentiert und ohne Cloud-Zwang.

Mehr über mich
Zurück zum Ratgeber