CompliantDesk

A.8 Technologische Maßnahmen

A.8.13

Sicherung von Informationen (Backup)

ISO 27001NIS2TISAXBSI

Sicherungskopien von Informationen, Software und Systemen müssen gemäß einer vereinbarten Sicherungsrichtlinie erstellt und regelmäßig getestet werden.

Was fordert dieses Control?

Sicherungskopien von Informationen, Software und Systemen müssen gemäß einer vereinbarten Sicherungsrichtlinie erstellt und regelmäßig getestet werden.

Warum ist das wichtig?

Backups sind die letzte Verteidigungslinie gegen Ransomware, Ausfälle und Fehler. Nur getestete, geschützte Sicherungen garantieren eine echte Wiederherstellbarkeit.

Cross-Standard-Mapping

StandardControl-IDRelevanz
NIS2Art. 21 (2)Direkt
TISAX5.2.7Direkt
BSICON.3Direkt

Was der Auditor erwartet

  1. 1Backup-Richtlinie mit Umfang, Frequenz und Aufbewahrung
  2. 2Schutz der Backups (offline/immutable) gegen Ransomware
  3. 3Regelmäßige Wiederherstellungstests

Audit-Checkliste

Dokumente

  • Backup-Konzept

    Was, wie oft, wie lange und wohin gesichert wird

Nachweise

  • Restore-Testprotokolle

    Erfolgreiche, dokumentierte Wiederherstellungen

Interviews

  • IT-Betrieb

    Backup-Überwachung und Vorgehen bei Restore

Technisch

  • Backup-Status

    Erfolgreiche Jobs, Offline-/Immutable-Kopien

Praxis-Tipps zur Umsetzung

1

3-2-1-Regel

Drei Kopien, zwei Medien, eine extern bzw. offline/immutable.

2

Restore testen

Regelmäßig echte Wiederherstellungen durchführen, nicht nur Backups prüfen.

3

Vor Ransomware schützen

Mindestens eine unveränderbare oder getrennte Kopie vorhalten.

Häufige Fehler

Nie getestet

Backups laufen, lassen sich aber im Ernstfall nicht zurückspielen.

Online erreichbar

Alle Backups sind im Netz und werden von Ransomware mitverschlüsselt.

Häufig gestellte Fragen

Was ist die 3-2-1-Regel?

Drei Datenkopien auf zwei verschiedenen Medien, davon eine ausgelagert oder offline.

Wie schützt man Backups vor Ransomware?

Über unveränderbare (immutable) oder physisch getrennte Offline-Kopien.

Wie oft Restores testen?

Regelmäßig, mindestens jährlich und nach wesentlichen Änderungen der Systeme.

So hilft CompliantDesk bei A.8.13

Hinterlegen Sie das Backup-Konzept als Kontrolle und planen Sie Restore-Tests als wiederkehrende Termine im Kalender mit Nachweisablage.

Demo buchen NIS2-Check Gratis

Verwandte Controls

A.5.30

IKT-Bereitschaft für Geschäftskontinuität

A.8.14

Redundanz von informationsverarbeitenden Einrichtungen

A.8.7

Schutz vor Schadsoftware