Backup testen: Funktioniert Ihre Datensicherung wirklich?
Ein Backup vermittelt Sicherheit. Die Sicherung läuft jede Nacht automatisch, der Status ist grün und gelegentlich trifft sogar eine Erfolgsmeldung per E-Mail ein. Für viele Unternehmen ist das Thema damit erledigt.
Doch genau hier liegt ein weit verbreiteter Irrtum.
Ein erfolgreich erstelltes Backup bedeutet nicht automatisch, dass sich Ihre Daten oder Ihre gesamte IT-Infrastruktur im Ernstfall auch wirklich wiederherstellen lassen.
Viele Schweizer KMU stellen erst nach einem Serverausfall, einer Ransomware-Attacke oder einem Hardwaredefekt fest, dass wichtige Daten fehlen, Sicherungen beschädigt sind oder niemand weiss, wie die Wiederherstellung überhaupt funktioniert. Dann zählt jede Minute.
Warum ein Backup alleine nicht genügt
Fast jedes Unternehmen besitzt heute irgendeine Form von Datensicherung. Vielleicht werden Dateien auf ein NAS kopiert, Microsoft 365 wird genutzt oder der Server wird jede Nacht automatisch gesichert.
Doch ein Backup beantwortet nur eine einzige Frage:
Wurden Daten kopiert?
Es beantwortet jedoch nicht die entscheidende Frage:
Kann Ihr Unternehmen morgen wieder arbeiten?
Zwischen diesen beiden Aussagen besteht ein erheblicher Unterschied. Eine funktionierende Wiederherstellung entscheidet darüber, ob ein Unternehmen nach wenigen Stunden weiterarbeiten kann oder mehrere Tage stillsteht.
Warum viele Backups im Ernstfall versagen
Im Alltag verlassen sich viele Unternehmen auf die grüne Erfolgsmeldung ihrer Backup-Software. Diese zeigt lediglich, dass der Sicherungsvorgang abgeschlossen wurde.
Sie sagt jedoch nichts darüber aus,
- ob alle Daten vollständig gesichert wurden,
- ob Anwendungen korrekt wiederhergestellt werden können,
- ob Datenbanken konsistent sind,
- ob Benutzerrechte erhalten bleiben,
- oder ob die Sicherung überhaupt lesbar ist.
Erst ein Wiederherstellungstest zeigt, ob das Backup tatsächlich einsatzbereit ist.
Die häufigsten Ursachen für fehlgeschlagene Wiederherstellungen
In der Praxis begegnen IT-Dienstleister immer wieder denselben Problemen:
- Es werden lediglich Dateien gesichert, jedoch keine kompletten Systeme.
- Microsoft 365 wird nicht separat gesichert.
- Datenbanken werden während des Betriebs kopiert und sind dadurch inkonsistent.
- Die Backup-Daten liegen auf demselben Server und werden bei einem Cyberangriff ebenfalls verschlüsselt.
- Administrator-Passwörter oder Verschlüsselungsschlüssel fehlen.
- Niemand hat jemals getestet, ob eine Wiederherstellung funktioniert.
Diese Probleme bleiben häufig jahrelang unbemerkt – bis zum Ernstfall.
Warum Backup-Tests für KMU unverzichtbar sind
Ein Backup ist erst dann wertvoll, wenn es erfolgreich wiederhergestellt werden kann.
Deshalb sollte jede Datensicherung regelmässig getestet werden.
Ein professioneller Backup-Test beantwortet unter anderem folgende Fragen:
- Können einzelne Dateien wiederhergestellt werden?
- Funktioniert die Wiederherstellung eines kompletten Servers?
- Wie lange dauert die Wiederherstellung tatsächlich?
- Sind alle Programme danach wieder funktionsfähig?
- Funktionieren Benutzeranmeldungen und Berechtigungen?
- Sind sämtliche Geschäftsdaten vollständig vorhanden?
- Können Mitarbeitende direkt weiterarbeiten?
Erst wenn diese Fragen beantwortet sind, kann von einer funktionierenden Backup-Strategie gesprochen werden.
Microsoft 365 ist kein vollständiges Backup
Viele Unternehmen gehen davon aus, dass Exchange Online, OneDrive, SharePoint und Microsoft Teams automatisch vollständig gesichert sind.
Microsoft schützt zwar die Infrastruktur seiner Cloud-Dienste. Das bedeutet jedoch nicht automatisch, dass versehentlich gelöschte Dateien, überschriebene Dokumente, kompromittierte Benutzerkonten oder langfristig gelöschte Daten jederzeit wiederhergestellt werden können.
Gerade für Unternehmen mit Kundendaten, Verträgen, Buchhaltungsunterlagen oder Projektdokumentationen empfiehlt sich deshalb eine separate Microsoft-365-Datensicherung.
Ransomware verändert die Anforderungen an Backups
Moderne Cyberangriffe versuchen gezielt, Backups zu verschlüsseln oder unbrauchbar zu machen. Deshalb reicht ein klassisches Backup heute oft nicht mehr aus.
Eine moderne Backup-Strategie sollte zusätzlich beinhalten:
- unveränderbare (Immutable) Backups
- getrennte Administrator-Konten
- Mehrfaktor-Authentifizierung
- Offsite-Backups
- regelmässige Wiederherstellungstests
- dokumentierte Notfallprozesse
- kontinuierliches Monitoring
Nur so bleibt eine Datensicherung auch während eines Cyberangriffs verfügbar.
Backup oder Disaster Recovery – wo liegt der Unterschied?
Ein Backup bedeutet, dass Daten gesichert werden.
Disaster Recovery beschreibt den gesamten Prozess, um nach einem Ausfall den Geschäftsbetrieb wiederherzustellen. Dazu gehören Server, virtuelle Maschinen, Netzwerke, Active Directory, Benutzerkonten, Anwendungen und Datenbanken.
Ein Backup ist somit nur ein Teil einer funktionierenden Notfallstrategie.
Checkliste: So testen Sie Ihr Backup richtig
Stellen Sie sich folgende Fragen:
- Sind alle geschäftskritischen Daten im Backup enthalten?
- Wissen Sie, welche Systeme zuerst wiederhergestellt werden müssen?
- Wie lange dauert eine vollständige Wiederherstellung?
- Wann wurde der letzte Restore-Test durchgeführt?
- Ist Microsoft 365 separat gesichert?
- Gibt es eine externe oder unveränderbare Backup-Kopie?
- Sind Backup-Systeme mit MFA geschützt?
- Werden Backup-Fehler automatisch gemeldet?
- Existiert eine Dokumentation für den Notfall?
- Weiss mindestens eine Stellvertretung, wie das Backup wiederhergestellt wird?
Wenn Sie mehrere dieser Fragen nicht eindeutig beantworten können, lohnt sich eine Überprüfung Ihrer Backup-Strategie.
Sind Sie sicher, dass Ihr Backup funktioniert?
Viele Unternehmen investieren in Datensicherungen, testen diese jedoch nie.
Ein kurzer Restore-Test zeigt innerhalb weniger Stunden, ob Ihre Sicherung im Ernstfall wirklich funktioniert oder ob gefährliche Schwachstellen bestehen.
Je früher diese erkannt werden, desto einfacher und kostengünstiger lassen sie sich beheben.
Die häufigsten Fragen an Ihren IT-Partner
Fragen Sie Ihren IT-Dienstleister nicht nur, ob ein Backup vorhanden ist.
Fragen Sie stattdessen:
- Wann wurde die letzte Wiederherstellung getestet?
- Wie lange dauert eine vollständige Wiederherstellung?
- Welche Systeme sind nicht gesichert?
- Sind Microsoft 365, SharePoint und OneDrive im Backup enthalten?
- Gibt es unveränderbare Backups?
- Werden Backup-Jobs überwacht?
- Wie sieht der Ablauf bei einem Ransomware-Angriff aus?
- Existiert ein dokumentierter Notfallplan?
- Wie oft werden Wiederherstellungstests durchgeführt?
Fazit
Ein Backup vermittelt Sicherheit.
Ein getestetes Backup schafft Sicherheit.
Für Schweizer KMU geht es heute nicht mehr nur darum, Daten zu sichern. Es geht darum, den Geschäftsbetrieb nach einem Ausfall möglichst schnell wieder aufnehmen zu können.
Regelmässige Backup-Tests decken Schwachstellen frühzeitig auf, verkürzen Ausfallzeiten und helfen dabei, teure Betriebsunterbrüche zu vermeiden.
Denn am Ende zählt nicht, ob ein Backup vorhanden ist – sondern ob Ihr Unternehmen damit morgen wieder arbeiten kann.
Quellen
- Bundesamt für Cybersicherheit (BACS): https://www.ncsc.admin.ch/
- Microsoft Learn: https://learn.microsoft.com/microsoft-365/
- CISA – Backup Best Practices: https://www.cisa.gov/
- Veeam Data Protection Trends Report: https://www.veeam.com/resources/reports/data-protection-trends.html