Die richtige Backup-Strategie
Leitfaden: WIE geht man am besten vor?
Leitfaden: Wie legt man die richtige Backup-Strategie fest?
Dazu müssen wir zunächst klären: Was ist eigentlich eine Backup-Strategie? Nun, eine Backup-Strategie ist der übergreifende Plan, wie Daten gesichert und bei Bedarf wieder hergestellt werden. Damit ist die Backup-Strategie auch einer der wichtigsten Bestandteile eines Disaster Recovery-Plans – aber nicht dasselbe. Manche Quellen verstehen unter Backup-Strategie im Grunde die Backup-Methode (z.B. full oder inkrementell, dazu später mehr), mit der gesichert wird. Das ist jedoch zu kurz gesprungen, denn für einen eine richtige Backup-Strategie oder auch einen Backup-Plan gehört mehr. Aber wir wollen hier nicht zu akademisch werden. Also, was gehört zu einer Backup-Strategie?
Eine Backup-Strategie umfasst die folgenden Punkte, die aufeinander aufbauen:
- Festlegung der zu sichernden Daten
- Bewertung der zu sichernden Daten
- Festlegung der Backup-Methode
- Wahl der Backup-Medien
- Planung von Integritäts-Tests
- Planung von Wiederherstellungs-Tests
1. Festlegung der zu sichernden Daten
Die offensichtliche Antwort, auf die Frage, welche Daten gesichert werden sollen, lautet: Server mit Anwendungen, Datenbanken und Dateilaufwerken.
Darüber hinaus gibt es jedoch eine ganze Reihe von Datenquellen, die bei der Betrachtung nicht vergessen werden dürfen. Beispielsweise Cloud-Daten (z.B. Microsoft 365 Daten wie Sharepoint-Bibliotheken oder Teams-Chats). Oder Konfig-Dateien von Firewalls, Routern und Switchen. Oder die Ansagen, Voice-Nachrichten und Konfig-Dateien der TK-Anlage.
Diese Aufzählung bedeutet nicht, dass alle Daten mit exakt derselben Strategie gesichert werden. Aber genau darum geht es in Schritt 2.
2. Bewertung der zu sichernden Daten
Anschließend müssen die Daten klassifiziert und bewertet werden. Hier geht man von den Geschäftsprozessen des Unternehmens aus. Die meisten Geschäftsprozesse funktionieren heutzutage ohne Anwendungen und Daten überhaupt nicht mehr.
Die Frage ist nun, wie lange darf ein Geschäftsprozess „stehen“, bevor ein merkbarer Schaden eintritt? Je kürzer die Zeitspanne, desto enger sind die Takte, in denen gesichert werden muss (RPO – Recovery Point Objective) und umso schneller müssen Daten und Anwendungen wiederhergestellt werden können (RTO – Recovery Time Objective). Aus unserer Sicht ist der Abgleich mit diesen „Business Anforderungen“ der entscheidende Punkt, ob man die richtige Backup-Strategie im Sinne dieses Leitfadens konzipiert hat.
Auch wichtig: Aufbewahrung von älteren Ständen
Eine weitere Fragestellung ist, wie weit die Datensicherung zeitlich zurückgehen muss. Z.B. sind Sicherungen von Dateiservern, die ein halbes Jahr alt sind (zusätzlich zu aktuelleren Sicherungen) eigentlich überflüssig. In Zeiten von Verschlüsselungstrojanern kann es aber tatsächlich durchaus sinnvoll sein, auch auf ältere Datenstände zurückgreifen zu können. Und wenn Daten sich gar nicht mehr ändern, aber aufgrund gesetzlicher Vorgaben zugreifbar sein müssen, spricht man von Archivierung.
3. Festlegung der Backup-Methode
Damit ist z.B. gemeint, wie oft ein „Full Backup“ durchgeführt wird und ob man inkrementell oder differenziell sichern soll. Hierbei spielen Parameter wie Netzwerk-Belastung und Dauer der Sicherungsläufe (Backup-Jobs) eine Rolle.
4. Wahl der Backup-Medien
Ein weiterer Punkt ist die Wahl der Backup-Medien. Hier kommt die oft zitierte 3-2-1-Regel ins Spiel. Diese ist jedoch nicht in Stein gemeißelt, sondern hat sich einfach in der Praxis bewährt – abgesehen davon, dass das Wording eigentlich unlogisch ist.
Die „3“ in der Regel besagt, dass es drei Kopie von Daten geben muss (mit der ersten Kopie sind die Originaldaten gemeint – d.h. die erste Kopie ist eben gar keine Kopie, sondern das Original).
Was die „2“ und die „1“ betrifft: Die Kopien müssen auf unterschiedlichen zwei Medien liegen (also nicht beide Kopien auf demselben Server) und an einem weiteren Standort. Denn der Serverraum kann schließlich von Feuer oder Wassereinbruch zerstört werden, weshalb eine der Kopien an einem anderen Standort aufbewahrt werden muss.
5. Planung von Integritäts-Tests
So, jetzt haben Sie alle Daten in die regelmäßige Datensicherung aufgenommen und diese läuft täglich sauber durch. Dann ist jetzt alles gut, und der Leitfaden für die richtige Backup-Strategie hört hier auf, oder?
Leider nicht ganz. Dann auch bei Backups kann es – wenn auch selten – zu Fehler kommen. Wie in der IT üblich gibt es Fehler, die es nicht geben sollte, die es aber gibt. Zum Beispiel, dass ein Backup nicht mehr lesbar ist. Daher muss man Backups regelmäßig auf ihre Integrität testen. Hierfür gibt es unterschiedliche Methoden, die alle ihre Berechtigung und ihre Vor- und Nachteile haben.
6. Planung von Wiederherstellungs-Tests
Der letzte Punkt unserer Backup-Strategie ist die Frage, wie Backups wieder hergestellt werden. Auch wenn die Daten fehlerfrei sind, so muss man sich überlegen, wie nicht nur Dateien oder einzelne virtuelle Maschinen, sondern auch Anwendungen oder gar die gesamte IT- Infrastruktur wiederhergestellt wird. Und dies wenn möglich testen oder zumindest im Detail vorausplanen. Dieser Teil der Backup-Strategie ist, wie oben erwähnt, auch Bestandteil der Disaster Recovery-Strategie.
Der hier beschriebene Leitfaden für die richtige Backup-Strategie stellt im Grunde eine Zusammenfassung von verschiedenen Quellen dar. Dazu zählt z.B. der Leitfaden „Cybersicherheit für KMU“ des BSI. Frage 3 geht auf das Thema Backup ein.
