Zum Inhalt

Backup-Strategie Fortgeschrittene

Backup-Strategie für Fortgeschrittene

Das Hauptkapitel hat die Grundlagen gelegt: 3-2-1-Regel, Backup-Software, erster Restore-Test. Dieser Deep Dive geht einen Schritt weiter – für alle, die verstehen wollen, wie eine wirklich robuste Backup-Strategie aussieht, was im Ernstfall zählt und wie man einen Restore-Test so durchführt, dass er tatsächlich etwas beweist.

Backup-Typen: Voll, inkrementell, differenziell

Nicht jedes Backup ist gleich aufgebaut. Die meisten modernen Backup-Programme kombinieren verschiedene Backup-Typen automatisch – aber wer versteht, was dahintersteckt, kann seine Software besser konfigurieren und im Ernstfall schneller handeln.

Vollbackup (Full Backup) Ein Vollbackup sichert alle ausgewählten Daten vollständig – unabhängig davon, was sich seit dem letzten Backup geändert hat. Es ist die einfachste und robusteste Form: Zur Wiederherstellung brauchst du genau eine Sicherungskopie. Der Nachteil ist der Speicherbedarf und die Zeit – ein tägliches Vollbackup von 500 GB ist für die meisten Selbständigen unpraktisch.

Inkrementelles Backup Ein inkrementelles Backup sichert nur die Dateien, die sich seit dem letzten Backup – egal ob Voll- oder inkrementell – geändert haben. Das spart Speicherplatz und Zeit erheblich. Der Nachteil: Zur Wiederherstellung brauchst du das letzte Vollbackup plus alle seither erstellten inkrementellen Backups in der richtigen Reihenfolge. Fehlt auch nur eines, ist die Wiederherstellung unvollständig.

Differenzielles Backup Ein differenzielles Backup sichert alle Dateien, die sich seit dem letzten Vollbackup geändert haben – unabhängig von zwischenzeitlichen differenziellen Backups. Das ist ein Kompromiss: größer als inkrementell, aber zur Wiederherstellung brauchst du nur das letzte Vollbackup und das letzte differenzielle Backup.

Was in der Praxis empfehlenswert ist: Die meisten modernen Backup-Programme (Time Machine, Arq, Duplicati) arbeiten intern mit inkrementellen Backups, präsentieren dem Nutzer aber eine einfache Oberfläche mit Zeitstempeln. Das ist der beste Ansatz für Selbständige: automatisch, platzsparend, und die Komplexität der Typen ist intern gelöst.

Merksatz: Verstehe, wie deine Backup-Software intern arbeitet – insbesondere wie eine Wiederherstellung abläuft. Was du nicht kennst, kannst du im Ernstfall nicht bedienen.

Versionierung: Wie viele Versionen brauchst du wirklich?

Das Hauptkapitel empfiehlt mindestens 30, besser 90 Tage Versionshistorie. Hier ist die Begründung, warum das so wichtig ist – und wie du die richtige Tiefe für dich bestimmst.

Das Problem der stillen Datenbeschädigung Nicht jeder Datenverlust ist sofort sichtbar. Eine Datenbank kann korrumpiert sein, ohne dass du es sofort merkst. Eine Ransomware-Infektion kann Dateien verschlüsseln, die du erst Wochen später öffnest. Ein Bearbeitungsfehler in einem wichtigen Dokument kann unbemerkt gespeichert werden. Wenn dein Backup nur die letzten sieben Tage kennt, sind all diese Szenarien nicht abgedeckt.

Faustregel für die Versionstiefe: - Arbeitsdateien (Dokumente, Tabellen, Projekte): mindestens 90 Tage - Systemdaten und Konfigurationen: mindestens 30 Tage - E-Mail-Archive: mindestens 1 Jahr - Steuerrelevante Daten und Buchführung: mindestens 10 Jahre (gesetzliche Aufbewahrungspflicht)

Speicherbedarf ist kein Argument mehr Cloud-Backup ist erschwinglich geworden – aber in Deutschland und Europa sieht die Anbieterlandschaft anders aus als in den USA, und DSGVO-Konformität ist ein eigenständiges Auswahlkriterium.

Für Selbständige in Deutschland bieten sich vor allem folgende Optionen an:

  • IONOS HiDrive / STRATO HiDrive: Deutsche Rechenzentren, DSGVO-konform, ISO 27001-zertifiziert. Reiner Cloud-Speicher, der als Backup-Ziel mit Software wie Duplicati oder Arq genutzt werden kann. Preislich liegen beide im einstelligen Euro-Bereich pro Monat für typische Datenmengen – aktuelle Preise auf den jeweiligen Websites vergleichen, da sich Tarife regelmäßig ändern.
  • IONOS Cloud Backup (powered by Acronis): Vollständige Backup-Lösung mit deutschem Rechenzentrum, clientseitiger Verschlüsselung, Versionshistorie und Wiederherstellungsfunktionen. Eher für Nutzer geeignet, die eine schlüsselfertige Lösung suchen.
  • Backblaze Personal Backup: US-amerikanischer Anbieter mit einem Rechenzentrum in Amsterdam. Günstig und unbegrenzt, aber kein europäischer Anbieter. Für Berufsgeheimnisträger und bei besonders sensiblen Daten ist ein europäischer Anbieter vorzuziehen.
  • Duplicati + selbst gewählter Speicher: Open-Source-Backup-Software, die mit nahezu jedem Cloud-Speicher (HiDrive, Backblaze B2, Wasabi, S3-kompatible Dienste) zusammenarbeitet. Volle Kontrolle, clientseitige Verschlüsselung, kostenlos.

Empfehlung: Wer die Wahl hat, bevorzugt einen Anbieter mit deutschen oder europäischen Rechenzentren und einem unterzeichneten AVV. Das vereinfacht die DSGVO-Compliance erheblich und vermeidet Fragen zu Drittlandtransfers. Aktuelle Preise direkt beim Anbieter prüfen – der Markt ist in Bewegung.

Verschlüsselung von Backups – kein optionales Extra

Ein Backup enthält alle deine sensiblen Daten: Kundenkommunikation, Finanzdaten, Verträge, Passwörter, Fotos. Ein unverschlüsseltes Backup, das in die falschen Hände gerät, ist eine vollständige Datenpanne im Sinne von Art. 33 DSGVO.

Lokale Backups: Externe Festplatten sollten verschlüsselt sein – entweder durch die Backup-Software selbst oder durch Verschlüsselung des gesamten Laufwerks (BitLocker To Go unter Windows, FileVault-kompatible Verschlüsselung unter macOS). Eine externe Festplatte, die unverschlüsselt im Büro liegt, ist bei einem Einbruch ein vollständiger Datenverlust.

Cloud-Backups: Nie ein Cloud-Backup ohne clientseitige Verschlüsselung einrichten. Das bedeutet: Die Verschlüsselung findet auf deinem Gerät statt, bevor die Daten den Cloud-Anbieter erreichen. Der Anbieter sieht nur verschlüsselte Datenpakete – er kann nicht auf deine Daten zugreifen, auch wenn er dazu aufgefordert wird.

Arq Backup, Duplicati und Restic unterstützen clientseitige Verschlüsselung standardmäßig. Backblaze Personal Backup verschlüsselt ebenfalls clientseitig mit einem optionalen privaten Schlüssel – aktiviere diese Option, da andernfalls Backblaze technisch Zugang zu deinen Daten hat.

Warnung: Wer den Verschlüsselungsschlüssel verliert, verliert sein Backup unwiederbringlich. Bewahre den Schlüssel bzw. das Passwort an einem sicheren, vom Backup getrennten Ort auf – zum Beispiel im Notfalldokument oder in einem Passwort-Manager.

Die 3-2-1-Regel erweitern: 3-2-1-1-0

Die klassische 3-2-1-Regel ist ein guter Ausgangspunkt. Für höhere Sicherheitsanforderungen gibt es eine Erweiterung, die in der professionellen IT zunehmend als Standard gilt: 3-2-1-1-0.

  • 3 Kopien der Daten
  • 2 verschiedene Medientypen
  • 1 Offsite-Kopie
  • 1 Offline- oder Air-Gap-Kopie (physisch getrennt, nicht erreichbar)
  • 0 Fehler bei der Wiederherstellung – verifiziert durch regelmäßige Restore-Tests

Die entscheidende Ergänzung ist die Offline-Kopie: ein Backup, das nicht dauerhaft mit dem Netz oder dem Computer verbunden ist. Das kann eine externe Festplatte sein, die nach dem Backup-Lauf physisch abgezogen wird, oder ein Cloud-Backup mit aktiviertem Object Lock (unveränderliche Aufbewahrung für einen definierten Zeitraum).

Die 0 Fehler sind der häufig übersehene Teil: Ein Backup-System ist erst dann vollständig, wenn regelmäßig bewiesen wurde, dass die Wiederherstellung funktioniert.

Der Restore-Test: So machst du ihn richtig

Ein Backup, das nie getestet wurde, ist eine Hoffnung. Ein getestetes Backup ist eine Garantie.

Was viele falsch machen: Sie öffnen die Backup-Software, sehen grüne Häkchen, und nennen das einen Test. Das ist keiner. Ein echter Test bedeutet: Daten aus dem Backup tatsächlich wiederherstellen und prüfen, ob sie vollständig und korrekt sind.

Stufe 1: Datei-Restore (monatlich, 10 Minuten)

  1. Wähle eine zufällige Datei aus deinem Backup – am besten eine, die du regelmäßig verwendest.
  2. Stelle sie an einem anderen Speicherort wieder her (nicht am Originalort – du willst das Original nicht überschreiben).
  3. Öffne die Datei und prüfe, ob sie vollständig und korrekt ist.
  4. Prüfe das Datum der wiederhergestellten Version – kommt sie wirklich aus dem Backup und nicht aus dem Cache?
  5. Dokumentiere: Datum, wiederhergestellte Datei, Ergebnis.

Stufe 2: Ordner-Restore (vierteljährlich, 30 Minuten)

  1. Wähle einen ganzen Ordner – zum Beispiel dein Projektordner des letzten Monats.
  2. Stelle ihn vollständig an einem temporären Speicherort wieder her.
  3. Prüfe Dateianzahl und Gesamtgröße gegen das Original.
  4. Öffne mehrere Dateien aus verschiedenen Unterordnern stichprobenartig.
  5. Lösche den temporären Ordner anschließend wieder.

Stufe 3: Vollständiger System-Restore (jährlich, mehrere Stunden)

Das ist der Test, der tatsächlich beweist, dass du im Katastrophenfall wiederhergestellt werden kannst. Er erfordert Vorbereitung:

  1. Vorbereitung: Stelle sicher, dass du einen bootfähigen Wiederherstellungsdatenträger hast (macOS: Recovery-Partition oder externer Datenträger mit macOS; Windows: Wiederherstellungslaufwerk oder Windows-Installationsmedium).
  2. Testumgebung: Idealerweise verwendest du einen zweiten Rechner oder eine virtuelle Maschine – so riskierst du nichts am Produktivsystem. Alternativ: Stelle auf einem leeren externen Datenträger wieder her.
  3. Restore durchführen: Boote vom Wiederherstellungsmedium, verbinde dich mit dem Backup und starte den Restore-Prozess.
  4. Prüfen: Startet das System? Sind alle wichtigen Programme vorhanden? Sind die Daten vollständig?
  5. Zeit messen: Wie lange hat der Restore gedauert? Das ist deine reale Recovery Time – wichtig für die Planung.

Wichtig: Wenn du noch nie einen vollständigen Restore durchgeführt hast, weißt du nicht, ob dein Backup funktioniert. Plane diesen Test einmal jährlich bewusst ein – am besten zu einem ruhigen Zeitpunkt, nicht wenn der Ernstfall eingetreten ist.

Backup-Monitoring: Wissen, dass es läuft

Ein automatisches Backup, das still und heimlich seit Wochen fehlschlägt, schützt nicht. Die meisten Backup-Programme zeigen Fehler nur an, wenn man aktiv nachschaut – oder senden E-Mail-Benachrichtigungen, die im Spam landen.

Mindestanforderungen ans Monitoring:

  • Benachrichtigung bei Fehler: Konfiguriere deine Backup-Software so, dass sie dich aktiv benachrichtigt, wenn ein Backup fehlschlägt – per E-Mail oder Push-Benachrichtigung.
  • Wöchentliche Sichtprüfung: Schaue einmal pro Woche kurz in die Backup-Software und prüfe, ob das letzte Backup erfolgreich war und wann es stattgefunden hat.
  • Kalender-Erinnerung für Tests: Trage die Restore-Tests direkt als Kalendertermine ein. Was nicht im Kalender steht, wird nicht gemacht.

Healthchecks.io ist ein kostenloser Dienst, der für technisch affine Nutzer eine elegante Lösung bietet: Deine Backup-Software sendet nach jedem erfolgreichen Backup einen HTTP-Ping an einen individuellen URL. Bleibt der Ping aus – etwa weil das Backup fehlgeschlagen ist oder der Rechner nicht lief – sendet Healthchecks.io eine Benachrichtigung. Das ist ein einfaches, aber zuverlässiges Dead-Man's-Switch-Prinzip.

Sonderfall: NAS als Backup-Ziel

Ein NAS (Network Attached Storage) im Heimnetz oder Büro ist ein beliebtes Backup-Ziel – praktisch, immer verfügbar, große Kapazität. Es hat aber eine kritische Schwäche: Es ist dauerhaft mit dem Netzwerk verbunden.

Wenn Ransomware deinen Laptop befällt und das NAS als Netzlaufwerk eingebunden ist, kann die Ransomware auch das NAS verschlüsseln. Ein NAS als einziges Backup-Ziel ist deshalb kein ausreichender Schutz.

Empfehlung für NAS-Nutzer:

  • Nutze das NAS als erste Backup-Ebene (schnell, lokal, komfortabel).
  • Ergänze es durch ein Cloud-Backup mit clientseitiger Verschlüsselung als zweite, unabhängige Ebene.
  • Aktiviere auf dem NAS Snapshot-Funktionen (verfügbar bei Synology und QNAP): Snapshots erstellen schreibgeschützte Momentaufnahmen des Dateisystems zu definierten Zeitpunkten. Ransomware kann bestehende Snapshots in der Regel nicht löschen, wenn die Snapshot-Funktion korrekt konfiguriert ist.
  • Aktiviere wenn möglich Object Lock oder WORM auf dem NAS – neuere Synology- und QNAP-Modelle unterstützen dies.

Merksatz: Ein NAS ist ein hervorragendes erstes Backup-Ziel – aber kein Ersatz für ein vom Netz getrenntes oder cloud-basiertes Offsite-Backup.

Checkliste: Backup-Strategie für Fortgeschrittene

  • Ich kenne den Backup-Typ meiner Software (inkrementell/differenziell/voll) und weiß, was ich zur Wiederherstellung brauche.
  • Meine Versionshistorie beträgt mindestens 90 Tage für Arbeitsdateien.
  • Steuerrelevante Daten werden mindestens 10 Jahre aufbewahrt.
  • Alle Backups – lokal und in der Cloud – sind verschlüsselt.
  • Bei Cloud-Backups ist clientseitige Verschlüsselung aktiv – der Anbieter hat keinen Zugang zu meinen Daten.
  • Der Verschlüsselungsschlüssel ist sicher und getrennt vom Backup aufbewahrt.
  • Mindestens eine Backup-Kopie ist offline oder per Object Lock geschützt (3-2-1-1-0).
  • Ich erhalte aktive Benachrichtigungen, wenn ein Backup fehlschlägt.
  • Ich führe monatlich einen Datei-Restore-Test durch und dokumentiere das Ergebnis.
  • Ich führe vierteljährlich einen Ordner-Restore-Test durch.
  • Ich habe mindestens einmal einen vollständigen System-Restore-Test durchgeführt und weiß, wie lange er dauert.
  • Falls ich ein NAS nutze: Snapshots sind aktiviert, und es gibt ein zusätzliches Offsite- oder Cloud-Backup.