×
ZUR STARTSEITE
Fachinformatiker Apps
Lern_Apps AP2_Lernplan FISI_Tools
Cherry Apps
Cherry_Apps Arcade_Tresor Magic_Apps
© 2026 by magicode
Tag 13: Backup & Datensicherung

IHK-Vorbereitung · Fachinformatiker Systemintegration

Tag 13: Backup & Datensicherung

AP Teil 1 – Relevanz

AP1 + AP2

Beide Prüfungsteile sowie die Projektdokumentation betroffen

Kernthemen

5 Blöcke

Typen · 3-2-1 · Snapshots · Versionierung · Restore-Test

Warum Datensicherung?

Ziele der Datensicherung

Datensicherung schützt primär das Schutzziel Verfügbarkeit, aber auch Integrität (Wiederherstellbarkeit unverfälschter Daten). Sie ist Pflichtbestandteil jedes IT-Sicherheitskonzepts und gesetzlich relevant (z.B. HGB Aufbewahrungspflichten, DSGVO).

  • Schutz vor Datenverlust durch Hardware-Ausfall, Ransomware, versehentliches Löschen, Naturkatastrophen
  • Einhaltung gesetzlicher Aufbewahrungsfristen (HGB: 6–10 Jahre)
  • Grundlage für Business Continuity / Disaster Recovery
  • Nachweis gegenüber Kunden, Behörden, Auditoren
Abgrenzung: Wichtige Begriffe

Backup · Archivierung · Replikation

Backup Wiederherstellbare Kopie aktueller Daten. Ziel: schnelle Wiederherstellung nach Verlust. Daten können überschrieben werden. Zeitlich begrenzte Aufbewahrung.
Archivierung Langfristige, unveränderliche Aufbewahrung (WORM). Für Compliance und Nachweispflichten. Daten werden aus dem Produktivsystem ausgelagert. Nicht für schnellen Restore gedacht.
Replikation Synchrone oder asynchrone Spiegelung auf ein zweites System (z.B. RAID 1, Storage-Replikation). Kein Schutz vor logischen Fehlern oder Ransomware – Fehler werden live mitrepliziert!
Snapshot Momentaufnahme des Systemzustands (z.B. VM, LUN, Dateisystem). Kein vollständiges Backup – Daten liegen weiterhin auf demselben Speicher.
Prüfungsrelevant

Kennzahlen: RPO und RTO

  • RPO – Recovery Point Objective: Maximaler tolerierbarer Datenverlust in Zeit gemessen. „Wie alt darf das Backup maximal sein?" → Je kleiner der RPO, desto häufiger muss gesichert werden.
  • RTO – Recovery Time Objective: Maximale tolerierbare Ausfallzeit. „Wie lange darf die Wiederherstellung dauern?" → Beeinflusst Wahl der Backup-Strategie und Medien.

💡 Prüfungstipp: RPO und RTO werden oft in Fallbeispielen abgefragt: „Ein Unternehmen kann max. 4 Stunden Datenverlust tolerieren und muss in 2 Stunden wiederhergestellt sein – wie lauten RPO und RTO?"

BSI IT-Grundschutz · CON.3

Backup-Strategien im Überblick

Die Wahl der Backup-Strategie beeinflusst Speicherbedarf, Dauer der Sicherung und Dauer der Wiederherstellung. In der Prüfung werden diese drei Typen häufig in Tabellenform verglichen.

Vollsicherung Full Backup

Alle Daten werden vollständig gesichert – unabhängig davon, ob sie sich seit der letzten Sicherung geändert haben.

✓ Einfache Wiederherstellung (1 Band) ✓ Vollständiger Datenstand ✗ Hoher Speicherbedarf ✗ Lange Sicherungsdauer
Differenziell Differential Backup

Sichert alle Daten, die sich seit der letzten Vollsicherung geändert haben. Wächst mit der Zeit, bis zur nächsten Vollsicherung.

✓ Schnellere Sicherung als Voll ✓ Restore: nur Voll + letzte Differenz ✗ Wächst täglich an ✗ Redundante Daten
Inkrementell Incremental Backup

Sichert nur die Daten, die sich seit der letzten Sicherung (egal welcher Art) geändert haben. Kleinste Datenmenge pro Sicherungslauf.

✓ Geringster Speicherbedarf ✓ Schnellste Sicherung ✗ Restore: Voll + alle Inkremente ✗ Komplexe Wiederherstellung
Spiegelung / Mirror Mirror Backup

Exakte Kopie des Quellsystems. Gelöschte Dateien werden auch im Backup gelöscht. Kein Versionsverlauf. Eher Replikation als Backup.

✓ Immer aktueller Stand ✓ Schneller Zugriff ✗ Kein Schutz vor Löschen/Ransomware ✗ Kein Versionsverlauf

Vergleich: Restore-Aufwand je Strategie

Strategie Speicherbedarf Sicherungsdauer Restore-Aufwand Benötigte Datenträger
Vollsicherung Hoch Lang Gering 1
Differenziell Mittel Mittel Mittel 2 (Voll + Diff)
Inkrementell Gering Kurz Hoch Voll + alle Inkremente

Generationenprinzip (Großvater-Vater-Sohn)

Klassisches Rotationsschema für Backup-Medien:

  • Sohn (täglich): Tägliche Inkrementell- oder Differenzialsicherungen, Mo–Do. Medien werden wöchentlich wiederverwendet.
  • Vater (wöchentlich): Vollsicherung freitags. Medien werden monatlich wiederverwendet.
  • Großvater (monatlich): Vollsicherung am Monatsende. Langfristige Aufbewahrung (z.B. 1 Jahr).

💡 Mindestens 9 Medien werden benötigt: 4 Söhne + 4 Väter + 1 Großvater (laufender Monat). Bei 12 Großvätern für Jahresarchiv entsprechend mehr.

Goldene Regel der Datensicherung

Die 3-2-1-Regel

Die 3-2-1-Regel ist der international anerkannte Mindeststandard für eine robuste Backup-Strategie. Sie schützt vor Hardware-Ausfall, lokalem Desaster und Ransomware gleichzeitig.

3
Kopien
Mindestens 3 Kopien der Daten (1 Original + 2 Backups)
2
Medientypen
Auf mindestens 2 verschiedenen Speichermedien (z.B. HDD + Tape)
1
Extern
Mindestens 1 Kopie extern / off-site (anderer Brandabschnitt, Cloud, externes RZ)
Erweiterung: 3-2-1-1-0

Moderne Erweiterung der Regel

Im BSI-Kontext und bei modernen Backup-Lösungen (z.B. Veeam) wird die Regel erweitert:

  • +1 (Offline / Air Gap): Eine Kopie komplett offline oder per Air Gap vom Netzwerk getrennt – unveränderlich für Ransomware-Schutz (z.B. WORM-Band, Offline-NAS)
  • +0 (Zero Errors): Keine Fehler bei Restore-Tests. Das Backup gilt erst als valide, wenn ein erfolgreicher Restore-Test dokumentiert wurde.

Backup-Medien im Vergleich

Medium Kapazität Geschwindigkeit Lebensdauer Einsatz
Magnetband (LTO) bis 45 TB (LTO-9) Mittel (sequenziell) 30+ Jahre Archiv, Off-Site, Großvater
Festplatte (HDD/NAS) bis 20+ TB Hoch 3–5 Jahre Tages-/Wochenbackup, schneller Restore
SSD bis 8+ TB Sehr hoch ~5 Jahre Schneller Restore, Business Critical
Cloud (Object Storage) Unbegrenzt skalierbar Netzwerkabhängig Solange bezahlt Off-Site-Kopie, Disaster Recovery
Optisch (Blu-Ray/M-Disc) bis 100 GB Gering 100+ Jahre (M-Disc) Langzeitarchiv, WORM

Aufbewahrungsfristen (gesetzlich)

  • 10 Jahre: Handelsbücher, Inventare, Jahresabschlüsse, Buchungsbelege (HGB § 257)
  • 6 Jahre: Empfangene Handelsbriefe, Kopien abgesandter Handelsbriefe (HGB § 257)
  • DSGVO: Löschpflicht nach Zweckerfüllung – Backup-Konzept muss Löschkonzept beinhalten

💡 Prüfungstipp: Aufbewahrungsfrist und Datenschutz widersprechen sich scheinbar. Lösung: Archivierte Daten dürfen nicht aus dem Archiv gelöscht werden, solange die gesetzliche Frist läuft – aber auf neuen Zugriff darf verzichtet werden.

Virtualisierung & Storage

Snapshots

Ein Snapshot ist eine Momentaufnahme (Point-in-Time-Kopie) des Zustands eines Systems, einer VM oder eines Dateisystems zu einem bestimmten Zeitpunkt.

  • Copy-on-Write (CoW): Original-Daten bleiben unverändert. Nur geänderte Blöcke werden in einen Delta-Bereich geschrieben. Spart Speicher, hat aber Performance-Impact.
  • Redirect-on-Write (RoW): Neue Daten werden an neue Speicherorte geschrieben, Zeiger auf Originaldaten bleiben. Geringerer Performance-Impact beim Schreiben.
  • VM-Snapshots (VMware, Hyper-V): Erfassen RAM, Festplatten-Zustand und Gerätestatus. Ermöglichen schnelles Rollback nach Updates/Tests.

⚠️ Wichtig: Ein Snapshot ist kein Backup! Er liegt auf demselben Speicher. Bei Storage-Ausfall oder Ransomware sind Snapshot und Original gleichzeitig verloren.

Snapshot vs. Backup: Abgrenzung

Kriterium Snapshot Backup
Speicherort Gleicher Datenträger Separates Medium
Schutz bei Storage-Ausfall Nein Ja
Schutz bei Ransomware Eingeschränkt Ja (wenn offline)
Erstellungszeit Sekunden Minuten bis Stunden
Restore-Zeit Sehr schnell Minuten bis Stunden
Anwendungsfall Vor Update/Patch, kurzfristig Langfristige Datensicherung
Versionierung

Datei- und Systemversionierung

Versionierung ermöglicht es, frühere Zustände von Dateien oder Systemen wiederherzustellen – auch ohne vollständige Backup-Wiederherstellung.

V

Dateisystemversionierung (VSS / Shadow Copy)

Windows Volume Shadow Copy Service (VSS) erstellt automatisch Schattenkopien auf NTFS-Volumes. Benutzer können frühere Versionen einzelner Dateien selbst wiederherstellen. Im Hintergrund nutzt die meisten Windows Server Backups ebenfalls VSS.

V

Git / Versionskontrolle (für Code)

Versionierungssystem für Quellcode und Konfigurationsdateien. Jeder Commit ist ein Snapshot. Branches ermöglichen parallele Entwicklung. Bei FiSi: relevant für Konfigurationsmanagement und IaC.

V

Backup-Software Versionierung

Moderne Backup-Lösungen (Veeam, Acronis, Bacula) behalten mehrere Versionen (Restore Points). Retentionpolicies legen fest, wie viele Versionen wie lange aufbewahrt werden (z.B. 7 tägliche, 4 wöchentliche, 12 monatliche Restore Points).

V

WORM-Speicher (Write Once Read Many)

Einmal beschriebene Daten können nicht geändert oder gelöscht werden. Einsatz bei gesetzlich vorgeschriebenen Archivierungspflichten und als Ransomware-Schutz (Immutable Backup).

Kritischer Punkt

„Ein Backup, das nicht getestet wurde, ist kein Backup."

Der Restore-Test ist der Beweis, dass eine Datensicherung tatsächlich funktioniert. Ohne regelmäßige, dokumentierte Tests kann im Ernstfall nicht auf das Backup vertraut werden. Der BSI IT-Grundschutz (CON.3) schreibt Wiederherstellungstests explizit vor.

Ablauf eines Restore-Tests

1. Planung und Dokumentation

Testumfang festlegen (vollständige Systemwiederherstellung oder einzelne Dateien?), Testumgebung bereitstellen, Zuständigkeiten klären, Zeitfenster planen.

2. Backup-Medium und -Version auswählen

Backup aus dem Produktivsystem auswählen. Verschiedene Alter testen (aktuell, eine Woche alt, ein Monat alt). Medium auf Lesbarkeit prüfen (kein Bit Rot).

3. Wiederherstellung in Testumgebung

Restore in isolierter Umgebung durchführen (nicht in Produktion!). Bei VM: Restore in separates vLAN / Testnetzwerk. Zeit und Schritte protokollieren → RTO-Messung.

4. Konsistenzprüfung und Funktionstest

Sind alle Daten vollständig? Datenbank-Integrität prüfen (DBCC CHECKDB, mysqlcheck). Anwendungen starten und Kernfunktionen testen. Hashwert-Vergleich mit Original wo möglich.

5. Dokumentation und Bewertung

Ergebnis dokumentieren: was wurde wiederhergestellt, wie lange dauerte es, welche Fehler traten auf. RTO und RPO mit Anforderungen abgleichen. Bei Abweichungen: Backup-Konzept anpassen.

BSI CON.3

Anforderungen an das Backup-Konzept (BSI CON.3)

  • CON.3.A1: Erhebung der Einflussfaktoren (Datenvolumen, Änderungsrate, RPO/RTO, Aufbewahrungsfristen)
  • CON.3.A2: Festlegung der Verfahrensweise für die Datensicherung (Verantwortlichkeiten, Strategien)
  • CON.3.A3: Datensicherung unter Berücksichtigung der Schutzbedarfsanalyse
  • CON.3.A4: Erstellung eines Minimal-Backup-Konzepts
  • CON.3.A5 (erhöhter Schutzbedarf): Regelmäßige Wiederherstellungstests sind verpflichtend und zu dokumentieren
  • CON.3.A10: Datensicherungen verschlüsseln (besonders bei externen und Cloud-Backups)

Disaster Recovery – Notfallwiederherstellung

  • Business Continuity Plan (BCP): Übergeordnetes Konzept – wie wird der Betrieb bei Ausfall aufrechterhalten?
  • Disaster Recovery Plan (DRP): Konkreter Plan zur Wiederherstellung der IT-Infrastruktur nach einem Disaster (Brand, Überschwemmung, Ransomware-Angriff)
  • Warm Standby: Reservesystem ist einsatzbereit, aber nicht laufend synchronisiert. Umschaltzeit: Stunden.
  • Hot Standby: Reservesystem läuft parallel synchron. Umschaltzeit: Sekunden bis Minuten. Teuer.
  • Cold Standby: Hardware vorhanden, aber Restore aus Backup erforderlich. Umschaltzeit: Stunden bis Tage.

Merkhilfe: Typische Prüfungsfragen

  • „Was versteht man unter der 3-2-1-Regel?" → 3 Kopien, 2 Medientypen, 1 extern
  • „Nennen Sie den Unterschied zwischen vollständiger, differenzieller und inkrementeller Sicherung."
  • „Warum ist ein Snapshot kein Backup?" → Gleicher Speicher, kein Schutz vor Storage-Ausfall
  • „Was ist RPO / RTO?" → Recovery Point / Time Objective
  • „Warum sind Restore-Tests notwendig?" → Nur getestete Backups sind verlässlich, BSI CON.3 Pflicht
  • „Was ist das Generationenprinzip?" → Großvater-Vater-Sohn-Rotation der Backup-Medien
  • „Was ist WORM und wozu dient es?" → Write Once Read Many, Manipulationsschutz, Compliance
  • „Nennen Sie den Unterschied zwischen Backup und Archivierung." → Backup: Restore, kurzfristig; Archiv: Langzeit, unveränderlich, Compliance