- Die Datensicherungsrichtlinie ist das strategische Steuerungsdokument, das die Grundsätze der Datensicherung verbindlich festlegt. Sie ergänzt das technische Backup-Konzept.
- Vier Fragen bilden den Kern: Wer ist verantwortlich? Was wird gesichert? Wie oft? Wohin?
- RTO und RPO müssen für jede Systemkategorie definiert und mit der Geschäftsführung abgestimmt sein. Die IT allein kann diese Entscheidung nicht treffen.
- Cloud-Dienste und SaaS-Anwendungen sind explizit einzubeziehen. Die Annahme, der Cloud-Anbieter sichere die Daten, ist ein verbreiteter und gefährlicher Irrtum.
- Restore-Tests und deren Dokumentation sind das wichtigste Kriterium im Audit. Ein Backup ohne Restore-Test ist eine unbewiesene Hypothese.
Die vier Fragen, die deine Datensicherungsrichtlinie beantworten muss
Wenn ein Auditor nach deiner Datensicherung fragt, will er keine technischen Konfigurationsdetails sehen. Er will wissen, ob du die vier grundlegenden Fragen beantwortet hast und ob die Antworten dokumentiert, freigegeben und den Verantwortlichen bekannt sind.
Wer ist für die Datensicherung verantwortlich? Nicht „die IT", sondern namentlich benannte Personen mit klar definierten Aufgaben.
Was wird gesichert? Nicht „alles", sondern eine differenzierte Aufstellung, die den Schutzbedarf der Daten berücksichtigt.
Wie oft wird gesichert? Nicht „regelmäßig", sondern konkrete Intervalle, die sich aus den geschäftlichen Anforderungen an die Wiederherstellbarkeit ableiten. Die Grundlage dafür liefert eine saubere RPO- und RTO-Definition.
Wohin wird gesichert? Nicht „auf den Backup-Server", sondern eine durchdachte Strategie mit lokaler, externer und idealerweise offline Sicherung.
Die Datensicherungsrichtlinie ist das Dokument, das diese Fragen verbindlich beantwortet. Sie bildet den strategischen Rahmen, innerhalb dessen die IT die technische Umsetzung plant und durchführt.
Abgrenzung zum Backup-Konzept
Die Datensicherungsrichtlinie und das Backup-Konzept werden häufig in einen Topf geworfen, erfüllen aber unterschiedliche Funktionen.
Die Datensicherungsrichtlinie (Policy) richtet sich an alle Stakeholder: Geschäftsführung, Fachabteilungen, IT, ISB. Sie definiert Grundsätze, Verantwortlichkeiten und Mindestanforderungen auf einem abstrakten Niveau. Sie wird von der Geschäftsführung freigegeben und ist Teil des ISMS-Dokumentationsrahmens.
Das Backup-Konzept richtet sich an die IT-Abteilung. Es enthält die technische Umsetzung: konkrete Backup-Jobs, Zeitpläne, eingesetzte Software, Speichersysteme, Netzwerkarchitektur, Wiederherstellungsanleitungen. Es wird vom IT-Leiter verantwortet.
In einem kleinen Unternehmen mit einer überschaubaren IT-Landschaft können beide Dokumente zusammengefasst werden. In größeren Organisationen ist die Trennung sinnvoll, weil die Richtlinie seltener geändert wird als das Konzept (neue Server, neue Backup-Software, geänderte Zeitpläne).
Wer: Verantwortlichkeiten definieren
Der häufigste Fehler bei Datensicherungsrichtlinien: Verantwortlichkeiten werden nicht oder nur vage zugewiesen. „Die IT kümmert sich" reicht nicht. Jede Aufgabe braucht eine benannte Rolle und im Idealfall eine namentliche Zuordnung.
Geschäftsführung
Die Geschäftsführung gibt die Richtlinie frei, stellt die notwendigen Ressourcen (Budget, Personal, Infrastruktur) bereit und trägt die Gesamtverantwortung für die Datensicherung als Teil des ISMS. Sie entscheidet über akzeptable Risiken (z.B. wenn ein System aufgrund technischer Einschränkungen nicht die definierten RPO-Werte erreicht).
Informationssicherheitsbeauftragter (ISB)
Der ISB erstellt und pflegt die Datensicherungsrichtlinie, überwacht die Einhaltung, berichtet an die Geschäftsführung und initiiert den jährlichen Review. Er koordiniert die Abstimmung zwischen IT und Fachabteilungen bezüglich der Anforderungen.
IT-Leitung
Die IT-Leitung verantwortet die technische Umsetzung der Richtlinie im Backup-Konzept, die Beschaffung und den Betrieb der Backup-Infrastruktur und die Einhaltung der definierten Sicherungsintervalle und Aufbewahrungsfristen.
Backup-Administrator
Der Backup-Administrator führt die tägliche operative Arbeit durch: Überwachung der Backup-Jobs, Reaktion auf Fehlermeldungen, Durchführung von Restore-Tests, Dokumentation der Ergebnisse und Eskalation bei Problemen.
Fachabteilungen
Die Fachabteilungen definieren die geschäftlichen Anforderungen an Verfügbarkeit (RTO) und Datenverlust-Toleranz (RPO) für ihre Daten und Systeme. Sie melden neue Datenbestände an, die in die Sicherung aufgenommen werden müssen, und validieren bei Restore-Tests, dass die wiederhergestellten Daten korrekt und vollständig sind.
Stellvertreterregelung
Jede der genannten Rollen muss einen benannten Stellvertreter haben. Die Richtlinie stellt sicher, dass die Datensicherung auch bei Urlaub, Krankheit oder Personalwechsel lückenlos funktioniert.
Was: Sicherungsumfang festlegen
Die Richtlinie definiert, welche Daten und Systeme gesichert werden, und zwar nicht als erschöpfende Liste (die wäre sofort veraltet), sondern als Klassifizierungsschema mit klaren Zuordnungskriterien.
Systemkategorien und Sicherungsanforderungen
| Kategorie | Beschreibung | Sicherungsintervall | RPO | RTO | Beispiele |
|---|---|---|---|---|---|
| Geschäftskritisch | Systeme, deren Ausfall den Geschäftsbetrieb innerhalb von Stunden gefährdet | Mehrfach täglich | ≤ 1 Stunde | ≤ 4 Stunden | ERP, Finanzbuchhaltung, Kundendatenbank, E-Mail |
| Wichtig | Systeme, deren Ausfall den Geschäftsbetrieb innerhalb von Tagen beeinträchtigt | Täglich | ≤ 24 Stunden | ≤ 24 Stunden | Fileserver, DMS, Projektmanagement, Intranet |
| Standard | Systeme mit geringer unmittelbarer Geschäftsrelevanz | Wöchentlich | ≤ 7 Tage | ≤ 72 Stunden | Entwicklungsumgebungen, Testsysteme, Archive |
| Nicht sicherungsrelevant | Systeme, die jederzeit neu aufgesetzt oder aus anderen Quellen wiederhergestellt werden können | Keine Sicherung | n/a | n/a | Lokale Caches, temporäre Dateien, öffentlich verfügbare Daten |
Die Zuordnung der konkreten Systeme zu den Kategorien erfolgt gemeinsam durch die IT und die jeweilige Fachabteilung und wird im Backup-Konzept oder einem Anhang zur Richtlinie dokumentiert. ISMS Lite liefert die relevanten Datensicherungs-Controls aus ISO 27001, BSI IT-Grundschutz und weiteren Frameworks — jeweils mit praxisnahen Umsetzungsempfehlungen, die als Grundlage für die Systemkategorisierung dienen.
Was gesichert werden muss
Die Richtlinie stellt klar, dass die Sicherung mindestens folgende Elemente umfasst:
- Anwendungsdaten: Datenbanken, Dateien, E-Mails, Dokumente
- Systemkonfigurationen: Server-Konfigurationen, Netzwerk-Konfigurationen, Firewall-Regeln
- Active Directory / Identity Provider: Benutzerkonten, Gruppenrichtlinien, Berechtigungen
- Zertifikate und Schlüssel: TLS-Zertifikate, Signaturschlüssel, Backup-Verschlüsselungsschlüssel (separat gesichert!)
- Konfigurationen der Sicherheitsinfrastruktur: Firewall-Regeln, IDS/IPS-Konfiguration, SIEM-Konfiguration
Cloud-Dienste und SaaS
Dieser Punkt verdient besondere Aufmerksamkeit, weil er in vielen Richtlinien fehlt. Die Annahme, dass Cloud-Anbieter die Daten automatisch sichern, ist weit verbreitet und gefährlich.
Microsoft 365, Google Workspace, Salesforce und andere SaaS-Dienste schützen ihre Infrastruktur, nicht deine Daten. Gelöschte E-Mails, SharePoint-Dokumente oder CRM-Datensätze sind nach einer begrenzten Aufbewahrungsfrist (typischerweise 30 bis 93 Tage) unwiederbringlich verloren.
Die Richtlinie muss festlegen, dass SaaS-Daten in die Datensicherungsstrategie einbezogen werden und dass für jeden Cloud-Dienst geprüft wird, ob eine separate Backup-Lösung notwendig ist.
Wie oft: Sicherungsintervalle und -methoden
Die Häufigkeit der Sicherung ergibt sich direkt aus dem RPO (Recovery Point Objective), also der maximal akzeptablen Datenverlustmenge. Wenn das RPO einer Stunde entspricht, muss mindestens stündlich gesichert werden.
Sicherungsmethoden
Die Richtlinie definiert die zugelassenen Sicherungsmethoden:
Vollsicherung: Komplette Kopie aller Daten. Basis jeder Sicherungsstrategie. Aufgrund des hohen Speicher- und Zeitbedarfs typischerweise wöchentlich oder monatlich.
Inkrementelle Sicherung: Sichert nur die Änderungen seit der letzten Sicherung (egal welchen Typs). Speichereffizient, aber die Wiederherstellung erfordert die vollständige Kette aller inkrementellen Sicherungen seit der letzten Vollsicherung.
Differentielle Sicherung: Sichert alle Änderungen seit der letzten Vollsicherung. Einfachere Wiederherstellung als inkrementell (nur Vollsicherung plus letzte differentielle Sicherung nötig), aber wachsender Speicherbedarf.
Kontinuierliche Datensicherung (CDP): Echtzeit-Sicherung jeder Änderung. Für geschäftskritische Systeme mit RPO nahe null.
Snapshot: Zeitpunktbezogene Kopie eines Speichervolumens oder einer virtuellen Maschine. Schnell erstellt und wiederhergestellt, ersetzt aber keine vollständige Datensicherung.
Empfohlene Standardkombination
Für die meisten mittelständischen Unternehmen hat sich bewährt:
- Geschäftskritisch: Tägliche inkrementelle Sicherung, wöchentliche Vollsicherung, zusätzlich CDP oder untertägige Snapshots
- Wichtig: Tägliche inkrementelle oder differentielle Sicherung, wöchentliche Vollsicherung
- Standard: Wöchentliche Vollsicherung
Die Sicherungsfenster (Zeiträume, in denen die Sicherung läuft) müssen so geplant sein, dass sie den Produktivbetrieb nicht beeinträchtigen. Bei 24/7-Systemen sind inkrementelle Sicherungen oder CDP der einzig praktikable Weg.
Wohin: Speicherorte und Redundanz
Die Richtlinie muss die Speicherstrategie definieren. Der Goldstandard ist die 3-2-1-Regel, erweitert um Offline-Schutz:
Lokale Sicherung (Primär)
Erste Sicherungskopie auf lokalen Speichersystemen (dedizierter Backup-Server, NAS, SAN). Vorteile: schnelle Sicherung und Wiederherstellung. Die Richtlinie fordert, dass lokale Backup-Speicher in einem separaten Netzwerksegment stehen und nicht mit denselben Credentials erreichbar sind wie die Produktivsysteme.
Externe Sicherung (Offsite)
Zweite Sicherungskopie an einem geografisch getrennten Standort. Optionen: zweiter Unternehmensstandort, externes Rechenzentrum, Cloud-Backup-Dienst. Die Richtlinie definiert Mindestanforderungen: Standort in der EU (oder Drittland mit Angemessenheitsbeschluss), Verschlüsselung bei Übertragung und Speicherung, AVV mit dem Dienstleister, SLA für Wiederherstellungszeiten.
Offline-Sicherung (Air-Gapped)
Dritte Sicherungskopie auf einem Medium, das physisch vom Netzwerk getrennt ist. Bandmedien, externe Festplatten in einem Tresor oder ein Speichersystem, das nur während der Sicherung verbunden wird. Dieser Punkt ist seit der Zunahme von Ransomware-Angriffen nicht mehr optional. Die Richtlinie sollte Offline-Sicherung mindestens für geschäftskritische Systeme als Pflicht definieren, idealerweise als Immutable Backups.
Verschlüsselung
Alle Sicherungskopien, die das Unternehmensgebäude verlassen (Offsite, Cloud, Bandtransport), müssen verschlüsselt sein. Die Richtlinie verweist auf die Kryptografie-Richtlinie für die zulässigen Algorithmen (Mindeststandard: AES-256) und legt fest, dass die Verschlüsselungsschlüssel getrennt von den Sicherungsdaten aufbewahrt werden.
Aufbewahrungsfristen
Die Richtlinie definiert Mindestaufbewahrungsfristen für Sicherungskopien:
| Sicherungsart | Mindestaufbewahrung |
|---|---|
| Tägliche Sicherungen | 30 Tage |
| Wöchentliche Sicherungen | 90 Tage |
| Monatliche Sicherungen | 12 Monate |
| Jährliche Sicherungen | 7 Jahre (oder länger, je nach gesetzlicher Anforderung) |
Die Fristen berücksichtigen sowohl geschäftliche Anforderungen als auch gesetzliche Aufbewahrungspflichten (HGB, AO) und datenschutzrechtliche Löschpflichten (DSGVO). Die Richtlinie verweist auf das Löschkonzept für die Abstimmung zwischen Aufbewahrung und Löschung.
Restore-Tests
Restore-Tests sind der Lackmustest jeder Datensicherung. Die Richtlinie muss sie als verbindliche Pflicht definieren, nicht als optionale Empfehlung.
Häufigkeit: Geschäftskritische Systeme vierteljährlich, wichtige Systeme halbjährlich, Standardsysteme jährlich.
Umfang: Sowohl Einzeldatei-Restores als auch vollständige Systemwiederherstellungen. Bei Datenbanken muss die Konsistenz nach dem Restore geprüft werden.
Dokumentation: Jeder Restore-Test wird protokolliert: Datum, System, Backup-Datum, benötigte Zeit, Ergebnis, festgestellte Probleme. Die Protokolle werden aufbewahrt und im Audit vorgelegt.
RTO-Validierung: Die tatsächliche Wiederherstellungszeit wird mit dem definierten RTO verglichen. Abweichungen werden eskaliert und führen zu Anpassungen im Backup-Konzept.
Fachabteilungsbeteiligung: Bei Restore-Tests geschäftskritischer Systeme validiert die Fachabteilung, dass die wiederhergestellten Daten korrekt, vollständig und nutzbar sind.
Monitoring, Reporting und Eskalation
Die Richtlinie regelt die laufende Überwachung:
Tägliches Monitoring: Jeder Backup-Job wird automatisiert überwacht. Der Backup-Administrator prüft täglich die Ergebnisse und bestätigt die Prüfung.
Fehlerbehandlung: Fehlgeschlagene Sicherungen werden sofort analysiert und nachgeholt. Wiederholte Fehler werden an die IT-Leitung eskaliert.
Reporting: Monatliche Berichte über den Status der Datensicherung fließen in das Management-Review. Der Bericht enthält: Erfolgsquote der Backup-Jobs, durchgeführte Restore-Tests, offene Probleme, Compliance-Status der Richtlinie.
Kapazitätsplanung: Die IT überwacht die Speicherauslastung und plant Kapazitätserweiterungen rechtzeitig, bevor Sicherungen aufgrund von Platzmangel fehlschlagen.
Sonderfälle
Mobile Endgeräte
Laptops und mobile Geräte, die außerhalb des Unternehmensnetzwerks genutzt werden, müssen ebenfalls in die Datensicherungsstrategie einbezogen werden. Die Richtlinie kann vorgeben, dass geschäftliche Daten auf mobilen Geräten nicht lokal gespeichert, sondern ausschließlich auf zentralen, gesicherten Systemen (Cloud-Laufwerke, DMS) abgelegt werden. Alternativ wird eine Client-Backup-Lösung eingesetzt, die Laptops auch über VPN oder Internet sichert.
Datenbanken
Datenbanken erfordern spezielle Sicherungsmethoden (Dumps, Log-Shipping, Replikation), um konsistente Sicherungen zu gewährleisten. Die Richtlinie verweist auf das Backup-Konzept für die technischen Details und fordert, dass Datenbank-Restores als Teil der Restore-Tests die Konsistenz und Integrität der wiederhergestellten Daten nachweisen.
Virtuelle Infrastruktur
Bei virtualisierten Umgebungen definiert die Richtlinie, ob VM-Level-Backups (gesamte VM), Application-Level-Backups (Daten innerhalb der VM) oder eine Kombination gefordert sind. VM-Snapshots allein sind kein vollwertiges Backup und dürfen nicht als Ersatz für eine reguläre Sicherung dienen.
Beispielgliederung
- Zweck und Geltungsbereich
- Begriffe und Definitionen - RPO, RTO, Vollsicherung, inkrementell, differentiell, CDP
- Normative Grundlagen - ISO 27001 A.8.13, NIS2 Art. 21 Nr. 3, BSI IT-Grundschutz
- Grundsätze - 3-2-1-Regel, Verschlüsselungspflicht, Restore-Test-Pflicht
- Verantwortlichkeiten - Geschäftsführung, ISB, IT-Leitung, Backup-Admin, Fachabteilungen
- Systemkategorien und Anforderungen - Klassifizierungstabelle mit RPO, RTO, Intervall
- Sicherungsumfang - Daten, Konfigurationen, Schlüssel, Cloud-Dienste
- Sicherungsmethoden - Voll, inkrementell, differentiell, CDP, Snapshot
- Speicherorte - Lokal, Offsite, Offline, Verschlüsselung
- Aufbewahrungsfristen
- Restore-Tests - Häufigkeit, Umfang, Dokumentation, RTO-Validierung
- Monitoring und Eskalation
- Reporting - Monatsbericht, Management-Review
- Sonderfälle - Mobile Geräte, Datenbanken, VMs, SaaS
- Ausnahmen und Risikoakzeptanz
- Überprüfung und Aktualisierung
- Inkrafttreten und Freigabe
Von der Richtlinie zum zuverlässigen Schutzschirm
Die Datensicherungsrichtlinie ist eines der Dokumente, die im Ernstfall über das Fortbestehen deines Unternehmens entscheiden können. Ein Ransomware-Angriff, ein Hardwareausfall, ein menschlicher Fehler: All das ist beherrschbar, wenn die Datensicherung funktioniert. Und sie funktioniert nur dann zuverlässig, wenn die Grundsätze dokumentiert, die Verantwortlichkeiten klar und die Prozesse regelmäßig getestet sind.
ISMS Lite unterstützt dich dabei mit 583 Controls aus 11 Frameworks, darunter alle relevanten Datensicherungs-Anforderungen mit praxisnahen Umsetzungsempfehlungen. Die lokale KI generiert deine Richtlinie, die integrierte Versionierung dokumentiert jede Änderung und der Freigabe-Workflow sorgt für eine saubere Genehmigung. So wird die Datensicherungsrichtlinie vom Pflichtdokument zum wirksamen Steuerungsinstrument.
Weiterführende Artikel
- Backup-Richtlinie schreiben: Aufbau, Inhalt und Beispiel
- Datensicherung nach BSI: Das 3-2-1-Prinzip und warum es allein nicht reicht
- Backup-Strategie und Restore-Tests: So sicherst du Daten richtig
- Business-Impact-Analyse (BIA): Kritische Prozesse identifizieren
- Richtlinien-Lifecycle: Von der Erstellung bis zur Außerkraftsetzung