Backup- und Wiederherstellungskonzept: Vorlage (ISO 27001 / NIS2)
Ohne funktionierendes Backup ist ein Ransomware-Angriff existenzbedrohend. Diese kostenlose Vorlage strukturiert Ihr Backup- und Wiederherstellungskonzept mit RPO/RTO, der 3-2-1-Regel und verpflichtenden Wiederherstellungstests, fertig zum Anpassen.
Worum geht es?
Ein Backup-Konzept legt fest, welche Daten wie oft gesichert werden, wo die Sicherungen liegen und wie schnell nach einem Ausfall wiederhergestellt werden kann. Es ist Pflichtbestandteil eines ISMS und einer der zehn NIS2-Maßnahmenbereiche.
Kern der Vorlage sind zwei Kennzahlen je System: RPO (maximal tolerierbarer Datenverlust) und RTO (maximal tolerierbare Ausfallzeit). Sie steuern, wie häufig gesichert und wie priorisiert wiederhergestellt wird.
Enthalten sind die 3-2-1-Regel inklusive unveränderbarer Offsite-Kopie gegen Ransomware, Vorgaben zu Umfang, Frequenz und Aufbewahrung, Verschlüsselung sowie ein eigener Abschnitt zu Wiederherstellungstests, ohne die ein Backup nur eine Vermutung ist.
Was die Vorlage enthält
Zweck & Geltungsbereich
Welche Systeme und Daten das Konzept abdeckt
RPO & RTO
Wiederherstellungsziele je System festlegen
3-2-1-Strategie
3 Kopien, 2 Medien, 1 Kopie offsite und immutable
Umfang & Frequenz
Was, wie oft und wie lange gesichert wird
Verschlüsselung & Zugriff
Geschützte, getrennte Ablage der Sicherungen
Wiederherstellungstests
Regelmäßiger Nachweis, dass die Wiederherstellung funktioniert
Die Vorlage eignet sich für alle Organisationen, besonders für von NIS2 betroffene Unternehmen und ISO-27001-Kandidaten. Ergänzen Sie die konkreten Systeme mit ihren RPO/RTO-Werten und terminieren Sie die Tests.
Häufige Fehler beim Ausfüllen
Backup nie wiederhergestellt
Ein Backup ohne getesteten Restore ist wertlos. Erst der erfolgreiche Wiederherstellungstest belegt die Wirksamkeit.
Keine Offline-/Immutable-Kopie
Sind alle Sicherungen online erreichbar, verschlüsselt Ransomware sie mit. Mindestens eine Kopie muss offline oder unveränderbar sein.
RPO/RTO nicht definiert
Ohne Wiederherstellungsziele lässt sich weder die Backup-Frequenz noch die Priorität im Ernstfall begründen.
Vorlage pflegen kostet Zeit. Es geht auch automatisch.
Dies ist eine gekürzte Muster-Fassung. In CompliantDesk führen Sie Backup-Vorgaben, RPO/RTO je Asset und die Nachweise der Wiederherstellungstests verknüpft, mit Versionierung, SHA-256-Nachweis der Fassung und dokumentierter Mitarbeiter-Bestätigung.
Häufig gestellte Fragen
Was bedeutet die 3-2-1-Regel?
Drei Kopien der Daten auf zwei verschiedenen Medien, davon eine ausgelagert. Moderne Varianten ergänzen eine unveränderbare (immutable) oder offline gehaltene Kopie als Schutz gegen Ransomware.
Was ist der Unterschied zwischen RPO und RTO?
RPO ist der maximal tolerierbare Datenverlust (wie viel Zeit zwischen letztem Backup und Ausfall). RTO ist die maximal tolerierbare Ausfallzeit bis zur Wiederherstellung.
Wie oft sollte ich Wiederherstellungen testen?
Mindestens jährlich, kritische Systeme häufiger. Wichtig ist, dass der Test dokumentiert wird und Schwachstellen im Prozess sichtbar macht.
Weiterführend
Compliance ohne Excel-Chaos
CompliantDesk führt VVT, Risiken, Richtlinien und Nachweise in einem System, mit gemeinsamem Kern-Modell für ISO 27001, NIS2 und DSGVO. Sehen Sie es in einer kurzen Demo.
