Backup & Disaster Recovery
Backup ist das eine. Wiederherstellung ist das, was im Ernstfall zählt. Wir kümmern uns für Praxen und KMU in Nordthüringen um eine Backup-Strategie, die einen Ransomware-Angriff übersteht – 3-2-1-Regel, immutable Backups, regelmäßige Restore-Tests.
Warum klassisches Backup heute nicht mehr reicht
Moderne Angreifer sind nicht dumm. Sie verschaffen sich Zugriff, warten Wochen, schauen sich um. Dann verschlüsseln sie nicht nur das Produktivsystem, sondern auch jedes Backup, das sie über das Netzwerk erreichen können – NAS im selben LAN, gemounteter Backup-Share, USB-Platte, die nach dem Lauf nicht abgesteckt wurde. Alles weg.
Wir sehen das in der Region öfter, als uns lieb ist. Eine Praxis im Südharz, ein Handwerksbetrieb im Eichsfeld, ein mittelständischer Zulieferer – die Muster ähneln sich. Das eigentliche Problem ist selten der erste Angriff. Es ist die fehlende Wiederherstellung danach.
Häufige Irrtümer
- 💽 "Wir haben doch RAID, das ist unser Backup." Falsch
- 📋 "Wir haben Schattenkopien, das reicht." Falsch
- ☁️ "OneDrive hat doch Versionierung." Falsch
Die 3-2-1-Regel – und warum heute 3-2-1-1-0 gilt
Klingt simpel. Wird trotzdem selten sauber umgesetzt. Häufiger Fall: zwei NAS im selben Serverraum gelten als "zwei Medien". Tun sie aber nicht – ein Wasserschaden oder ein Ransomware-Lauf trifft beide.
Die 3-2-1-Regel
Die moderne Erweiterung heißt 3-2-1-1-0. Die zusätzliche 1 steht für eine offline oder unveränderliche Kopie (Air-Gap oder immutable Backup), die 0 für null Fehler im Restore-Test. Heißt: Sie haben es nicht nur gesichert, Sie haben es nachweislich wiederhergestellt.
- 3× Kopien – Original plus zwei Backups
- 2× Medien – Lokale Platte und Cloud
- 1× Offsite – Kopie außerhalb des Standorts
- 1× Immutable – Air-Gap oder unveränderlich
- 0× Fehler – Im Restore-Test
Immutable Backup
Ein immutable Backup ist eine Sicherung, die in einem definierten Zeitraum nicht mehr verändert oder gelöscht werden kann. Auch nicht vom Admin. Auch nicht von einem Angreifer mit gestohlenen Zugangsdaten.
- 🐧 Hardened Repository – Veeam Hardened Linux Repository mit Unveränderlichkeit auf Dateisystemebene – für lokale Backup-Systeme.
- 🔒 S3 Object Lock – Über AWS S3 Object Lock oder Immutability-Policies in Azure und Microsoft 365 Backup – in der Cloud.
- 💿 WORM-Storage – Spezialisierte Hardware-Lösungen mit eingebauter WORM-Funktion (Write Once Read Many).
Microsoft 365 – wird nicht automatisch gesichert
Microsoft schützt die Infrastruktur, aber Ihre Daten in Exchange Online, SharePoint, OneDrive und Teams sind nicht im Sinne einer Datensicherung gesichert. Eine versehentlich gelöschte Mail nach 30 Tagen, ein Ransomware-Lauf über OneDrive-Sync, ein verärgerter Ex-Mitarbeiter, der Postfächer leerräumt – Microsoft bringt das nicht zurück.
- Wir richten ein eigenes Cloud-Backup ein, das täglich automatisiert läuft. Daten landen in einem unveränderlichen Speicher, getrennt vom Microsoft-Tenant. Einzelne Mails, Dateien oder ganze Postfächer in Minuten wiederhergestellt.
Restore-Test: Das Einzige, was wirklich zählt
Ein Backup, das nicht regelmäßig wiederhergestellt wurde, ist kein Backup. Es ist eine Hoffnung. Wir prüfen in festen Intervallen: einzelne Dateien zurückholen, eine VM in isolierter Umgebung hochfahren, eine Datenbank auf einem Testsystem mounten. Nicht "es hat gepiept", sondern: gesehen, dass es läuft. Die Sicherung läuft seit Jahren grün, niemand schaut hin – im Ernstfall leere Container, weil die Anwendung Schreibrechte verloren hat. Solche Geschichten gibt es.
- Backup-Software: Veeam, Synology oder native Lösung?
- Wir sind nicht ideologisch festgelegt. Für virtualisierte Umgebungen mit VMware oder Hyper-V ist Veeam unsere erste Wahl – erprobt, detaillierte Restore-Optionen (VMs, Dateien, Mails, Datenbank-Tabellen). Für kleinere Umgebungen sind Synology-NAS mit Active Backup oder Bordmittel oft die wirtschaftlich vernünftige Option. Wichtig ist nicht das Logo auf der Software – wichtig ist, dass sie läuft, überwacht wird und die Wiederherstellung getestet ist.
Ransomware-Schutz – Backup ist die letzte Verteidigungslinie
E-Mail-Filter & Endpoint-Schutz
Fängt den ersten Angriff ab – Phishing-Mails, manipulierte Anhänge, bekannte Malware-Signaturen.
Patch-Management
Schließt bekannte Schwachstellen, bevor sie ausgenutzt werden. Monatlich, kontrolliert, mit Fallback.
Netzwerksegmentierung
Ein infizierter Client kommt nicht direkt an Server und Backups. Laterale Bewegung wird gebremst.
Multi-Faktor-Authentifizierung
Für alle administrativen Zugänge. Gestohlene Passwörter reichen allein nicht mehr aus.
Immutable Backup
Der Notausgang, wenn alles andere durchschlägt. Unveränderlich, getrennt, getestet.
RTO & RPO
RTO und RPO – die zwei Werte, die alles bestimmen
- RPO: Definiert den maximal akzeptablen Datenverlust. Ein RPO von vier Stunden heißt: im Ernstfall verlieren Sie maximal vier Stunden Arbeit. Für eine Praxis-Verwaltung, in der den ganzen Tag dokumentiert wird, ist das schon viel. Für eine Buchhaltung, in der einmal am Tag gebucht wird, eher unkritisch.
- RTO: Die Zeit, die Sie brauchen, bis das System wieder läuft. Ein RTO von zwei Stunden heißt: zwei Stunden nach dem Ausfall arbeiten Sie wieder. Für eine Praxis sind zwei Tage Ausfall existenzgefährdend. Wir setzen realistische Werte fest und sagen Ihnen das vorher, nicht hinterher.
DSGVO, GoBD, NIS-2 & Cyber-Versicherung
Anforderungen, die wir von Anfang an mitdenken – nicht hinterher anflicken.
Arztpraxen DSGVO & §203 StGB
Patientendaten unterliegen der ärztlichen Schweigepflicht, der DSGVO und KBV-Richtlinien. Backups müssen verschlüsselt sein, der Speicherort ist relevant. Wir setzen das mit Cloud-Anbietern um, die in Deutschland oder im EU-Raum hosten.
KMU & Buchhaltung GoBD
Buchhaltungsunterlagen, Kundendaten, Konstruktionsdaten – wenn das weg ist, steht der Betrieb. GoBD-konforme Archivierung von Geschäftsbelegen gehört zur Backup-Planung dazu.
Regulierte Unternehmen NIS-2 ab 2024
NIS-2 weitet den Kreis betroffener Unternehmen deutlich aus – Zulieferer, Gesundheitsanbieter, kommunale Dienstleister. Backup- und Wiederherstellungsfähigkeit gehört zu den Pflichten. Unsicher ob betroffen? Wir schauen das im Erstgespräch durch.
Policen & Fragebögen Cyber-Versicherung
Versicherungsfragebögen fragen nach Backup-Strategie, Netztrennung und MFA. Wer die Fragen nicht ehrlich mit Ja beantworten kann, zahlt höhere Prämien oder bekommt im Schadensfall keine Leistung. Wir richten Konzepte so aus, dass die Antworten stimmen.
Backup für Arztpraxen: PVS, KIM und Telematik
Praxen sind kein normaler Mittelstand. Die IT in einer Hausarztpraxis im Eichsfeld oder einer Zahnarztpraxis in Heiligenstadt hat Spezialthemen, die wir bei Backup-Konzepten mitdenken müssen.
- PVS – Praxisverwaltungssystem: CGM, Medistar, Tomedo, Charly – jedes hat eigene Backup-Schnittstellen. Manche Datenbanken dürfen im laufenden Betrieb nicht dateibasiert gesichert werden, ohne dass die Konsistenz leidet. Wir kennen die gängigen Systeme und nutzen die Hersteller-Vorgaben.
- KIM-Postfächer & Schlüsselmaterial: Kommunikation im Medizinwesen: Postfächer und Schlüsselmaterial gehören ins Backup. Geht das Schlüsselmaterial verloren, ist die Wiederherstellung der KIM-Kommunikation aufwendig bis unmöglich.
- TI-Konnektoren & Konfiguration: Konnektoren und Kartenterminals selten Backup-relevant im engeren Sinn – aber die Konfiguration muss dokumentiert sein. Ein Konnektor-Ausfall blockiert die gesamte Patientenaufnahme.
Typisches Setup
Backup-Strategie prüfen lassen
Wir schauen uns Ihre aktuelle Situation an und sagen Ihnen, was standhält – und was nicht. Erstgespräch kostenfrei.