Datensicherung ist in der Praxis eine Kette aus Entscheidungen: Was genau wird gesichert, in welcher Form, in welchen Zeitabständen, auf welches Medium und wie lange bleiben Stände verfügbar. In IT-Umgebungen prallen dabei unterschiedliche Anforderungen aufeinander – geringe Backup-Fenster, begrenzter Speicher, Compliance-Vorgaben, Schutz vor Ransomware sowie definierte Ziele für Wiederherstellungszeit (RTO) und maximalen Datenverlust (RPO). Gleichzeitig unterscheiden sich Workloads stark: Dateiserver, virtuelle Maschinen, Datenbanken oder Endgeräte verhalten sich beim Sichern und Wiederherstellen nicht gleich. Viele Ausfälle werden nicht durch den fehlenden Backup-Job verursacht, sondern durch ungeeignete Verfahren, unpassende Aufbewahrung oder Medien, die im Ernstfall zu langsam, nicht verfügbar oder kompromittiert sind. Aus Sicht der Leserinnen und Leser stellt sich daher sehr konkret die Frage, welche Sicherungsmethode und welche Aufbewahrungsstrategie unter realen Randbedingungen die beste Balance aus Speicherbedarf, Wiederherstellbarkeit und Angriffsresistenz liefert – und welche Konsequenzen sich daraus für Medien wie NAS, externe Festplatten oder Cloud-Speicher ergeben.
Inhaltsverzeichnis
- Backup-Methoden im Direktvergleich: Vollbackup, inkrementell, differenziell, Snapshot, Image- und Dateisicherung
- Aufbewahrung und Versionierung: GFS, 3-2-1, Immutable Storage, Offline-Kopien und Löschkonzepte
- GFS (Großvater-Vater-Sohn): Strukturierte Generationen und Rollups
- 3-2-1-Regel und Varianten: Kopien, Medien, Offsite und Isolationsgrad
- Immutable Storage und WORM: Retention als technische Kontrolle
- Offline-Kopien und Air Gap: Physische und logische Entkopplung
- Löschkonzepte, Retention-Tuning und rechtssichere Nachvollziehbarkeit
- Speichermedien und Wiederherstellung: NAS, externe HDD/SSD, Tape und Cloud sowie typische RTO/RPO-Profile
- NAS (Network Attached Storage): schneller Restore im LAN, begrenzte Offline-Eigenschaften
- Externe HDD/SSD: luftgetrennter Transport, aber Prozess- und Verschleißrisiken
- Tape (LTO): robustes Offline-Medium für große Datenmengen und lange Aufbewahrung
- Cloud Object Storage: hohe Haltbarkeit, flexible Immutability, aber Restore durch Bandbreite limitiert
- Praxisnahe Zuordnung: Welche Medienkombinationen zu welchen RTO/RPO-Zielen passen
Backup-Methoden im Direktvergleich: Vollbackup, inkrementell, differenziell, Snapshot, Image- und Dateisicherung
Backup-Methoden unterscheiden sich weniger durch das Etikett als durch das, was im Wiederherstellungsfall tatsächlich vorliegt: ein vollständiger Datenbestand, eine Kette aus Änderungsständen, ein blockbasierter Punkt-in-Zeit-Zustand oder ein bootfähiges Systemabbild. Entscheidend sind dabei drei technische Achsen: Granularität (Datei vs. Volume vs. System), Abhängigkeiten (einzelnes Set vs. Ketten), sowie Konsistenzmechanismen (Anwendungs-/Dateisystem-Quiescing, Copy-on-Write, Changed-Block-Tracking). Die Wahl einer Methode sollte diese Achsen sichtbar machen, weil sie Speicherbedarf, Wiederherstellbarkeit und Fehlertoleranz unmittelbar prägen.
Vollbackup, inkrementell, differenziell: klassische Sicherungssätze
Das Vollbackup erzeugt einen in sich geschlossenen Sicherungssatz und minimiert Abhängigkeiten: Für eine Wiederherstellung genügt ein einziges Backup-Set. Der Preis liegt in hohem Datenvolumen und längeren Sicherungsfenstern. Inkrementelle Backups speichern nur Änderungen seit dem letzten Backup (egal ob Voll- oder inkrementell) und reduzieren damit Datenmenge und Laufzeit, erhöhen jedoch die Kettenabhängigkeit: Für eine Wiederherstellung werden das letzte Vollbackup und alle nachfolgenden Inkremente benötigt; ein fehlendes oder korruptes Kettenglied kann den Restore vereiteln. Differenzielle Backups speichern Änderungen seit dem letzten Vollbackup; die Datenmenge wächst bis zum nächsten Vollbackup, dafür bleibt die Wiederherstellung typischerweise auf Vollbackup plus letztes Differential begrenzt.
Konsistenz hängt bei dateibasierten Verfahren stark von Applikationsintegration ab. Datenbanken oder Mailstores benötigen quiesced Zustände bzw. applikationskonsistente Sicherungen; ansonsten entsteht zwar ein „kopierter“ Datenstand, aber kein garantiert wiederherstellbarer. In virtualisierten Umgebungen kann Changed-Block-Tracking die Erstellung inkrementeller/differenzieller Sicherungen beschleunigen, ohne die logische Abhängigkeit der Restore-Kette aufzulösen.
Snapshot-Verfahren: schnell, aber kein Ersatz für ein Backup
Snapshots sind punktuelle Zustände eines Volumes oder einer VM, meist blockbasiert über Copy-on-Write oder Redirect-on-Write. Sie sind in der Regel platzsparend zu Beginn, wachsen aber mit jeder Änderung, weil geänderte Blöcke zusätzlich vorgehalten werden müssen. Ihre Stärke liegt in sehr kurzen Erstellungszeiten und schnellen Rollbacks. Ihre Schwäche ist die Bindung an dasselbe Storage-System und häufig an dieselbe Fehlerdomäne: Hardwaredefekte, Ransomware mit Zugriff auf Snapshot-APIs oder logische Korruption können Snapshot-Bestände ebenso treffen. Snapshots eignen sich daher primär als kurzfristige Schutzschicht und als Beschleuniger für Backups (z. B. Snapshot als konsistenter Ausgangspunkt, danach asynchrones Kopieren in ein Backup-Repository).
- Typische Snapshot-Eigenschaft: Erstellung in Sekunden bis Minuten; Wiederherstellung oft als Rollback oder Klon, ohne Dateiauswahl.
- Häufige Abhängigkeit: Funktioniert nur innerhalb derselben Storage-/Hypervisor-Plattform; Export erfordert zusätzliche Schritte (z. B. Backup-Job aus Snapshot heraus).
- Risikoquelle: Hohe Änderungsraten lassen Snapshot-Speicher schnell wachsen; fehlendes Monitoring führt zu Volume-Engpässen und Performanceeinbußen.
Image-Sicherung vs. Dateisicherung: Systemwiederherstellung und Granularität
Eine Image-Sicherung (Block-/Volume-Image) erfasst Partitionen oder ganze Datenträger so, dass ein System inklusive Bootloader, Betriebssystem, Treibern und Konfiguration wiederherstellbar ist. Damit verkürzt sich die Zeit bis zur Wiederanlaufbarkeit (Bare-Metal-Recovery), allerdings steigt der Speicherbedarf, und die Rücksicherung einzelner Dateien ist ohne Mount/Restore-Explorer oft umständlicher. Dateisicherungen arbeiten auf Datei- und Ordnerobjekten, ermöglichen feingranulare Restores und reduzieren bei geeigneter Deduplizierung die Datenmenge über viele Versionen, können jedoch ein vollständiges System nur über zusätzlichen Installations- und Rekonstruktionsaufwand reproduzieren.
In der Praxis entsteht häufig eine Schichtung: Images für Betriebssysteme und „goldene“ Systemstände, Dateisicherungen für Nutzdaten und Projektdaten, dazu Applikations-Backups oder Transaktionslog-Sicherungen für Datenbanken. Entscheidend bleibt, dass die gewählte Methode die geforderte Wiederherstellungsart abdeckt: Bare Metal, vollständiges Volume, Applikationsobjekt oder einzelne Datei.
| Methode | Sicherungsumfang | Typische Abhängigkeiten | Speicherbedarf (relativ) | Restore-Eigenschaften |
|---|---|---|---|---|
| Vollbackup | Gesamter Datenbestand im Scope | Keine Kette; Set für sich nutzbar | Hoch | Schneller und robuster Restore; große Sicherungsfenster |
| Inkrementell | Änderungen seit letztem Backup | Kette aus Vollbackup + alle Inkremente | Niedrig bis mittel | Restore benötigt mehrere Sets; anfälliger bei fehlenden Segmenten |
| Differenziell | Änderungen seit letztem Vollbackup | Vollbackup + letztes Differential | Mittel (wachsend bis nächstes Vollbackup) | Restore meist schneller als inkrementell; Backup-Volumen nimmt zu |
| Snapshot | Blockzustand eines Volumes/VM | An Storage/Plattform gebunden; CoW/Row-Mechanik | Niedrig zu Beginn, abhängig von Änderungsrate | Sehr schneller Rollback; begrenzte Portabilität |
| Image-Sicherung | Partition/Datenträger (blockbasiert) | Treiber/Hardware-Abstraktion je nach Tool; ggf. CBT | Mittel bis hoch | Bare-Metal und schnelles System-Recovery; Datei-Restore oft via Mount |
| Dateisicherung | Dateien/Ordner (objektbasiert) | Abhängig von Index/Metadaten; optional VSS/App-Plugins | Niedrig bis mittel (gut mit Dedupe) | Sehr granular; kompletter Systemaufbau dauert länger |
Entscheidungskriterien für die Methodenauswahl
Methoden lassen sich zuverlässig über Kriterien vergleichen, die im Störfall messbar sind. Dazu zählen die maximale Kettenlänge (und damit die Anzahl zu lesender Backup-Objekte), die Portabilität des Sicherungsformats (Restore auf abweichende Hardware oder in eine VM), sowie die Fähigkeit, konsistente Applikationszustände zu erfassen. Ebenso relevant sind operative Faktoren: Prüfbarkeit über regelmäßige Restore-Tests, Fehlerisolation (ein beschädigtes Set darf nicht mehrere Wiederherstellungspunkte gefährden) und die Möglichkeit, Ransomware-resistente Kopien zu erzeugen, etwa über unveränderliche Repositories oder offline ausgelagerte Medien.
- RTO-orientierte Wahl: Image-Sicherung oder Snapshot-basierte Workflows verkürzen die Zeit bis zur Systemverfügbarkeit; dateibasierte Verfahren liefern dafür die feinere Auswahl einzelner Objekte.
- Kettenrisiko: Inkrementelle Strategien reduzieren das tägliche Volumen, verlangen aber konsequente Verifikation (z. B. Prüfsummen, regelmäßige vollständige Restore-Proben) und ein Design, das Ketten nicht unnötig verlängert.
- Konsistenzanforderung: Für transaktionsbasierte Systeme sind applikationskonsistente Sicherungen oder ergänzende Log-Backups erforderlich; reine Dateikopien genügen oft nur für „cold data“.
- Wiederherstellungsgranularität: Dateisicherungen unterstützen typischerweise die Wiederherstellung einzelner Dateien und Versionen; Images benötigen dafür meist einen Zwischenschritt (Mount/Extract) und passen besser zu vollständigen System-Restores.
Aufbewahrung und Versionierung: GFS, 3-2-1, Immutable Storage, Offline-Kopien und Löschkonzepte
Aufbewahrung und Versionierung bestimmen, ob Backups über reine Wiederherstellbarkeit hinaus auch gegen Bedienfehler, Ransomware, schleichende Datenkorruption und Compliance-Anforderungen bestehen. Entscheidend sind nachvollziehbare Aufbewahrungsfenster, definierte Versionstiefen je Datenklasse sowie technische Kontrollen, die Löschung oder Manipulation von Sicherungen erschweren. In der Praxis treffen organisatorische Regeln (Retention) auf mechanische Effekte wie Backup-Frequenz, Änderungsrate, Medienwechsel und Replikationsverzögerungen.
GFS (Großvater-Vater-Sohn): Strukturierte Generationen und Rollups
Das GFS-Modell organisiert Sicherungen in Generationen, typischerweise als tägliche („Sohn“), wöchentliche („Vater“) und monatliche oder jährliche („Großvater“) Stände. Kernmechanismus ist das Rollup: Ältere Generationen ersetzen jüngere in größeren Zeitabständen, wodurch die Anzahl langfristig aufzubewahrender Wiederherstellungspunkte begrenzt bleibt. GFS passt besonders gut zu Daten mit klaren Berichts- oder Abrechnungszyklen, weil sich Aufbewahrungsfristen entlang von Kalendergrenzen sauber definieren lassen.
Technisch relevant ist, dass GFS unabhängig von der Backup-Methode (Voll, inkrementell, differenziell, Snapshot-basierte Ketten) umgesetzt werden kann. Allerdings steigen mit längeren Ketten die Abhängigkeiten bei der Wiederherstellung. Viele Umgebungen kombinieren deshalb GFS mit regelmäßigen synthetischen Vollsicherungen oder konsolidierten Images, um Kettenlängen zu begrenzen und Restore-Zeiten zu stabilisieren.
- Typisches Raster: täglich 14 Stände („Sohn“), wöchentlich 8 Stände („Vater“), monatlich 12–36 Stände („Großvater“) mit Rollup am Wochen- bzw. Monatswechsel; die tatsächlichen Werte folgen Datenkritikalität und regulatorischen Fristen.
- Wiederherstellungsfenster: nahe Zeitpunkte werden fein aufgelöst (gute Granularität), während Langzeitstände gröber werden; bei forensischen Anforderungen sollte die Rollup-Logik dokumentiert und unverändert nachvollziehbar sein.
- Kettenrisiko minimieren: Begrenzung der Inkrement-Kette (z. B. durch synthetisches Vollbackup oder regelmäßige „Fulls“) reduziert Restore-Abhängigkeiten und verringert die Wahrscheinlichkeit, dass ein einzelnes defektes Segment mehrere Zeitpunkte unbrauchbar macht.
- Kalenderlogik: GFS wird häufig an Kalenderwochen/Monate gekoppelt; dadurch entstehen zum Monatsultimo zusätzliche Lastspitzen (Konsolidierung, Vollsicherung, Snapshot-Lock), die in Backup-Fenstern und Storage-IO berücksichtigt werden müssen.
3-2-1-Regel und Varianten: Kopien, Medien, Offsite und Isolationsgrad
Die 3-2-1-Regel adressiert Ausfallklassen: mindestens drei Kopien der Daten, auf mindestens zwei unterschiedlichen Medientypen, mindestens eine Kopie extern (Offsite). In modernen Umgebungen wird die Regel oft präzisiert, weil „Offsite“ nicht automatisch „isoliert“ bedeutet: Replizierte Kopien können durch identische Berechtigungen, gemeinsame Schlüssel oder durch sofortige Synchronisation ebenfalls kompromittiert werden.
Bewährt haben sich Erweiterungen wie „3-2-1-1-0“: eine zusätzliche Kopie offline oder immutable sowie null Backup-Fehler durch regelmäßige Verifikation. Praktisch heißt das, dass neben der reinen Anzahl der Kopien auch Trennung von Identitäten (separate Accounts/Tenants), getrennte Schlüsselverwaltung und zeitverzögerte Replikation geplant werden.
| Regel / Baustein | Ziel | Typische Umsetzung | Häufige Stolperstelle |
|---|---|---|---|
| 3 Kopien | Redundanz gegen Defekte und Bedienfehler | Primärdaten + lokales Backup + Offsite-Backup | „Kopie“ ist logisch, nicht nur physisch: identische Admin-Rechte gefährden alle Kopien |
| 2 Medienarten | Schutz vor systematischen Medienfehlern | Disk (NAS/Object) + Band oder Disk + Cloud-Object | Gleicher Storage-Stack (z. B. identische Firmware/Controller) bleibt ein gemeinsamer Ausfallpunkt |
| 1 Offsite | Schutz vor Standortverlust | zweites Rechenzentrum, Cloud-Region, Tresor | Synchrone Spiegelung kann Malware-Änderungen sofort übernehmen |
| 1 offline oder immutable | Schutz vor Löschung/Manipulation | WORM/Retention-Lock, Air-Gap-Band, offline gelagerte HDD | Immutable ohne saubere Schlüssel- und Rollen-Trennung ist nur eingeschränkt wirksam |
| 0 Fehler (Verifikation) | Sicherstellen der Wiederherstellbarkeit | regelmäßige Restore-Tests, Hash-/CRC-Checks, automatisierte Backup-Jobs mit Alarmierung | Erfolgreiche Sicherung ersetzt keinen getesteten Restore |
Immutable Storage und WORM: Retention als technische Kontrolle
Immutable Storage verhindert Änderungen an Backup-Objekten für eine definierte Retentionsdauer. Umsetzungen reichen von WORM-fähigen Object-Stores (Object Lock/Retention), über Appliances mit unveränderlichen Snapshots bis zu bandbasiertem WORM. Wirkungsvoll ist Immutability nur, wenn sie gegen privilegierte Konten abgesichert ist: getrennte Rollen für Backup-Erstellung und Retention-Administration, mehrstufige Freigaben und separate Identitäten reduzieren das Risiko, dass Angreifer die Retention verkürzen oder Schlüssel kompromittieren.
Für die Praxis zählt die genaue Semantik: „Compliance Mode“ (nicht verkürzbar) ist stärker als „Governance Mode“ (unter bestimmten Rechten übersteuerbar). Zusätzlich beeinflussen Legal Holds, Objektversionierung und Lifecycle-Regeln, ob Daten zwar unveränderlich, aber dennoch zu früh entfernt werden. Retention sollte deshalb als Policy mit nachvollziehbarer Änderungshistorie betrieben werden, nicht als einmalige Konfiguration.
- Rollen- und Identitätstrennung: getrennte Konten/Tenants für Backup-Write und Retention-Administration; für Cloud-APIs gilt das Prinzip minimaler Rechte, z. B. getrennte Rollen für
PutObjectund Retention-Änderungen. - Schlüsselstrategie: bei serverseitiger Verschlüsselung mit kundenseitiger Schlüsselverwaltung (KMS/HSM) müssen Schlüssel-Deletion und Key-Rotation als eigenes Risiko behandelt werden; ohne Schlüssel ist ein immutable Backup praktisch nicht wiederherstellbar.
- Versionierung vs. Immutability: Objektversionierung erleichtert das Zurückspringen auf frühere Stände; Immutability schützt diese Stände vor Löschung. Ohne Immutability kann ein Angreifer Versionen erzeugen und anschließend alle Versionen entfernen, sofern Berechtigungen dies zulassen.
Offline-Kopien und Air Gap: Physische und logische Entkopplung
Offline-Kopien zielen auf Entkopplung vom produktiven Identitäts- und Netzwerkraum. Klassisch wird dies mit Bandrotation erreicht; praktikabel sind auch periodisch getrennte Wechseldatenträger oder ein „air-gapped“ Repository, das nur zeitweise oder nur eingehend erreichbar ist. Entscheidend ist die Angriffsoberfläche: Ein Repository, das dauerhaft gemountet oder mit denselben Domänenkonten verwaltet wird, erfüllt den Offline-Anspruch nicht, auch wenn es räumlich getrennt steht.
Offline-Strategien beeinflussen die Wiederherstellungszeit (Transport, Laden, Katalogisieren) und erfordern disziplinierte Prozesse: Medienwechsel, Lagerung, Zugriffskontrolle und regelmäßige Lesetests. Bei Bändern kommen Aufbewahrung im Tresor, klare Chain-of-Custody und ein Katalog-Export für den Katastrophenfall hinzu.
Löschkonzepte, Retention-Tuning und rechtssichere Nachvollziehbarkeit
Löschkonzepte für Backups müssen technische Notwendigkeiten (Kapazität, Kettenkonsistenz) und rechtliche Anforderungen (Aufbewahrungsfristen, Löschpflichten, Sperrfristen) zusammenbringen. Bei inkrementellen Ketten kann das Entfernen einzelner Wiederherstellungspunkte Folgestände unbrauchbar machen; Löschung erfolgt dann bevorzugt als Ablauf ganzer Kettensegmente oder über konsolidierende Mechanismen. Bei Snapshots ist zusätzlich zu prüfen, ob Applikationskonsistenz, Changed-Block-Tracking und Snapshot-Limits die Historie begrenzen.
Ein belastbares Retention-Tuning startet mit Datenklassen: produktionskritische Systeme, Kollaborationsdaten, Endgeräte, Archive. Daraus ergeben sich RPO/RTO-abhängige Versionstiefen sowie getrennte Retention-Pools (z. B. „kurz, schnell“ auf Disk und „lang, günstig“ auf Objekt/Band). Löschläufe sollten protokolliert und gegen Manipulation geschützt werden; ebenso wichtig sind Nachweise, dass Retention nicht nur konfiguriert, sondern wirksam ist (Audit-Logs, Sperrmechanismen, Restore-Proben aus älteren Ständen).
- „Right to be forgotten“ vs. Backups: Löschpflichten lassen sich häufig nicht als punktuelle Löschung aus bestehenden Backups umsetzen, ohne die Integrität zu gefährden; üblich sind definierte Maximal-Retentions und kontrollierte Wiederherstellung mit nachgelagerter Löschung in der produktiven Datenbasis.
- Aufbewahrung nach Datenklasse: getrennte Policies für
Tier-0-Systeme (Identity, KMS), Geschäftssysteme und unkritische Daten vermeiden Überaufbewahrung und senken die Angriffsfläche durch weniger lang lebende Wiederherstellungspunkte. - Verifikation der Löschung: Lifecycle- und Purge-Jobs benötigen Monitoring; ein „Delete“ auf Anwendungsebene kann bei Object-Storage-Versionierung nur einen Delete-Marker setzen, während frühere Versionen weiter existieren.
- Manipulationssichere Protokolle: Audit-Logs zu Retention-Änderungen, Löschläufen und Restore-Aktionen sollten in ein separates Log-Ziel geschrieben und gegen nachträgliche Änderungen abgesichert werden, z. B. über Write-Once-Policies oder dedizierte Log-Archive.
Speichermedien und Wiederherstellung: NAS, externe HDD/SSD, Tape und Cloud sowie typische RTO/RPO-Profile
Die Wahl des Speichermediums prägt die Wiederherstellbarkeit stärker als viele Backup-Formate. Bandbreite, IOPS, Latenz, Fehlertoleranz, Offline-Fähigkeit und Betriebsprozesse bestimmen, ob aus einer „vorhandenen Sicherung“ auch ein belastbarer Wiederanlauf wird. RTO (Recovery Time Objective) beschreibt die maximal tolerierbare Wiederherstellungsdauer, RPO (Recovery Point Objective) den maximal tolerierbaren Datenverlust in Zeit. Medienarten liefern dafür typische Profile, die sich je nach Netz, Datenvolumen, Automatisierung und Disziplin im Handling deutlich verschieben können.
NAS (Network Attached Storage): schneller Restore im LAN, begrenzte Offline-Eigenschaften
Ein NAS ist in der Praxis häufig der primäre Backup-Zielspeicher für Dateisicherungen, Backup-Repositories und auch für dedizierte Backup-Appliances. Die Stärke liegt in planbaren Wiederherstellungszeiten über das lokale Netzwerk: viele kleine Dateien profitieren von guten Metadaten-Operationen, große Images von hohem Durchsatz. Risiken entstehen vor allem durch die Kopplung an die Domäne beziehungsweise an das gleiche Sicherheits- und Strom-/Standortprofil wie die Produktivsysteme. Ohne zusätzliche Maßnahmen bleibt ein NAS gegenüber Ransomware anfällig, wenn es per SMB/NFS/iSCSI dauerhaft erreichbar ist oder Backup-Credentials zu weitreichend sind.
Sinnvolle technische Gegenmaßnahmen sind unveränderbare Repositories (WORM/Immutability, je nach Hersteller), restriktive Netzwerksegmentierung und getrennte Admin-Identitäten. Für Restore-Tests ist ein NAS besonders geeignet, weil sich Wiederherstellungen regelmäßig und ohne Medienwechsel durchführen lassen. Gleichzeitig sollte die Planung einkalkulieren, dass ein NAS selbst ausfallen kann; RAID ersetzt kein Backup und ist für RTO/RPO nur relevant, wenn der Ausfall des Zielsystems den Restore blockiert.
Externe HDD/SSD: luftgetrennter Transport, aber Prozess- und Verschleißrisiken
Externe Laufwerke werden oft für eine zusätzliche Offline-Kopie genutzt (Wechselplatten-Prinzip) oder für die initiale Seed-Kopie großer Datenmengen. Der größte Sicherheitsvorteil entsteht, wenn das Medium nach dem Backup physisch getrennt aufbewahrt wird; damit sinkt die Angriffsfläche gegenüber netzwerkbasierten Erpressungstrojanern. Die Kehrseite liegt im operativen Handling: Kennzeichnung, Rotationsplan, sichere Lagerung, Transport und die Vermeidung von Fehlbedienung sind entscheidend. Bei SSDs kommt die höhere Stoßfestigkeit hinzu, jedoch bleibt die Kapazität pro Euro oft schlechter als bei HDDs; für Langzeitlagerung sind beide nur dann geeignet, wenn regelmäßige Integritätsprüfungen und Austauschzyklen organisiert sind.
- Typische Einbindung: Wechselmedium für Offline-Kopie, z. B. Backup-Export auf
/mnt/backup-offline/mit anschließendem Aushängen überumount /mnt/backup-offline. - Hauptvorteil: Physische Trennung (Air Gap) nach dem Schreiben; reduziert Risiko durch kompromittierte Backup-Server oder persistente Netzwerkzugriffe.
- Hauptrisiko: Prozessfehler (falsche Platte, zu seltene Rotation, unverschlüsselte Lagerung) und Hardware-Ausfälle; Integritätschecks (z. B. regelmäßige Verify-Jobs) sollten fest eingeplant sein.
- RTO-Auswirkung: Restore-Zeiten hängen stark von Schnittstelle (USB 3.x/Thunderbolt), Dateianzahl und Verschlüsselung ab; Medienwechsel und Transport verlängern die RTO oft stärker als der reine Datendurchsatz.
Tape (LTO): robustes Offline-Medium für große Datenmengen und lange Aufbewahrung
Band ist im Enterprise-Umfeld weiterhin ein Standard für kostengünstige Kapazität, lange Aufbewahrung und echte Offline-Fähigkeit. Ransomware-Szenarien lassen sich damit gut adressieren, wenn Bänder nach dem Backup aus der Library entfernt oder logisch/physisch write-protected werden. Tape erfordert jedoch mechanische Infrastruktur (Library/Drives), Medienmanagement und regelmäßige Restore-Übungen, weil der Restore-Prozess sequenziell und damit bei vielen kleinen Objekten oder bei zufälligen Zugriffsmustern langsamer ist als Disk. Für die Wiederherstellung ganzer Systeme oder großer Datenblöcke kann Tape gut skalieren, wenn parallel mehrere Laufwerke verfügbar sind und der Katalog konsistent gepflegt wird.
Für RTO ist entscheidend, ob ein „Staging“ auf Disk vorgesehen ist (Disk-to-Disk-to-Tape) und wie schnell benötigte Bänder verfügbar sind (Onsite/Offsite, Kurierlauf, Vaulting). Für RPO ist Tape meist an längere Sicherungsintervalle gekoppelt; sehr niedrige RPOs erfordern ergänzende Verfahren wie Replikation, Journaling oder häufige inkrementelle Sicherungen auf Disk mit zusätzlicher Tape-Kopie.
Cloud Object Storage: hohe Haltbarkeit, flexible Immutability, aber Restore durch Bandbreite limitiert
Cloud-Ziele (typischerweise Object Storage) eignen sich für Offsite-Kopien, zentrale Backup-Repositories und langfristige Aufbewahrung. Sicherheitsrelevant sind mandantenfähige Zugriffsmodelle, getrennte Identitäten, MFA und unveränderbare Ablage (Object Lock/WORM, je nach Provider). Der wichtigste praktische Engpass ist die Wiederherstellung: RTO wird häufig nicht durch die Cloud selbst, sondern durch WAN-Bandbreite, Egress-Architektur, Entschlüsselung und die Zahl paralleler Streams bestimmt. Bei sehr großen Restores kann ein vorab definiertes Verfahren für Massendaten-Transfer (physische Import/Export-Dienste, falls verfügbar) die tatsächliche Wiederanlaufzeit entscheidend beeinflussen.
Für RPO liefern Cloud-Ziele gute Voraussetzungen, wenn Backups häufig und automatisiert übertragen werden können und die Upload-Fenster stabil bleiben. Bei verteilten Standorten ist zudem relevant, ob zentral gesichert oder lokal voraggregiert wird (z. B. lokales Repository mit anschließender Kopie in die Cloud). Ohne durchdachtes Identity- und Key-Management kann Cloud-Speicher jedoch neue Single Points of Failure schaffen, etwa durch kompromittierte API-Schlüssel oder fehlerhafte Lifecycle-Policies.
| Medium | Typisches RTO-Profil | Typisches RPO-Profil | Technische Leitplanken für Restore-Fähigkeit |
|---|---|---|---|
| NAS (on-prem) | Minuten bis Stunden, abhängig von Datenmenge, IOPS und Netzwerk (1/10/25/40 GbE) | Stunden bis Tage (Backup-Intervall), bei häufigen inkrementellen Jobs auch darunter | Netzsegmentierung, getrennte Credentials, Immutability/Snapshots nur als Zusatzschutz, regelmäßige Restore-Tests |
| Externe HDD/SSD (offline) | Stunden bis Tage, oft dominiert durch Medienwechsel/Transport und manuelle Abläufe | Meist Tage (Rotation), in Ausnahmefällen Stunden bei diszipliniertem Wechselplan | Verschlüsselung, klare Rotation/Labeling, sichere Lagerung, Integritätsprüfung, dokumentierte Restore-Schritte |
| Tape (LTO) | Stunden bis Tage; sequentieller Zugriff und Bandbereitstellung prägen die Dauer | Häufig Tage/Wochen (Archiv/Retention), für niedrige RPO ergänzende Disk-/Replikationsschicht sinnvoll | Katalog/Konsistenz, Offsite-Logistik, regelmäßige Lesetests, ausreichende Laufwerksanzahl, definierte Staging-Strategie |
| Cloud Object Storage | Stunden bis Tage; WAN-Bandbreite und Parallelisierung limitieren, Egress-Architektur relevant | Stunden bis Tage; bei kurzen Intervallen und stabilen Uploads auch niedriger | Object Lock/WORM, getrennte Accounts/Keys, MFA, Lifecycle-Policies mit Change-Control, Restore-Runbooks und Bandbreitenplanung |
Praxisnahe Zuordnung: Welche Medienkombinationen zu welchen RTO/RPO-Zielen passen
Die meisten Umgebungen erreichen belastbare RTO/RPO-Ziele nicht mit einem einzigen Medium, sondern mit abgestuften Kopien: schnelle Wiederherstellung aus Disk/NAS, plus eine isolierte Kopie (Tape oder Cloud mit Immutability) für Katastrophenfälle. Dabei sollte die Restore-Reihenfolge feststehen: zuerst kritische Identitäts- und Verzeichnisdienste, dann Virtualisierungs-/Storage-Layer, anschließend Applikationen und Daten. Das Speichermedium entscheidet, ob dieser Ablauf parallelisiert werden kann oder ob Engpässe (WAN, sequentielles Tape) die Reihenfolge erzwingen.
- Niedrige RTO (min–h) bei moderatem RPO (h): Primär-Repository auf NAS/Disk, plus Offsite-Kopie in Cloud oder auf Tape; Restore primär aus NAS, Offsite nur für Standortverlust oder kompromittierte Primärkopie.
- Moderate RTO (h) bei strengem RPO (min–h): Backup allein reicht oft nicht; zusätzlich kontinuierliche Replikation oder Applikations-Logshipping, während NAS/Cloud/Tape die Rückfallposition für konsistente Stände und Langzeitaufbewahrung liefert.
- Archiv- und Compliance-lastige Profile: Tape oder Cloud-Archivebenen mit WORM, klare Aufbewahrungs- und Löschprozesse; RTO wird akzeptiert länger, dafür zählt Nachweisbarkeit (unveränderbare Aufbewahrung, Audit-Trails).
- Ransomware-resiliente Grundlinie: Mindestens eine Kopie, die nicht mit Standard-Adminrechten löschbar ist, z. B. Object Lock oder Offline-Tape/Wechselplatte; Wiederherstellungsfähigkeit regelmäßig durch isolierte Restore-Übungen validieren.
Meroth IT-Service ist Ihr lokaler IT-Dienstleister in Frankfurt am Main für kleine Unternehmen, Selbstständige und Privatkunden
Kostenfreie Ersteinschätzung Ihres Anliegens?
Werbung
(**) UVP: Unverbindliche Preisempfehlung
Preise inkl. MwSt., zzgl. Versandkosten