Warum Datensicherung allein nicht ausreicht

Veröffentlicht am

In nahezu jeder Kommune existieren heute Datensicherungen. Server werden automatisch gesichert, externe Speicher eingesetzt oder Backup-Leistungen durch Dienstleister übernommen. Dadurch entsteht schnell das Gefühl, auf Ausfälle ausreichend vorbereitet zu sein.

In der Praxis zeigt sich jedoch regelmäßig ein grundlegendes Problem:

Viele Kommunen wissen zwar, dass Backups erstellt werden – aber nicht, ob Wiederherstellungen tatsächlich funktionieren.

Genau hier liegt der entscheidende Unterschied zwischen einer vorhandenen Datensicherung und einem funktionierenden Wiederanlaufkonzept.

1. Backup bedeutet nicht automatisch Wiederherstellung

Automatische Sicherungsjobs vermitteln häufig Sicherheit. Solange keine Probleme auftreten, wird selten hinterfragt, ob die Daten im Ernstfall tatsächlich nutzbar wären.

Kritisch wird es erst bei:

  • Hardwaredefekten
  • Verschlüsselungstrojanern
  • versehentlichen Löschungen
  • beschädigten Datenbanken
  • Fehlkonfigurationen

Dann zeigt sich häufig, dass:

  • Sicherungen unvollständig waren
  • Wiederherstellungen nie getestet wurden
  • Dokumentationen fehlen
  • Zugänge nicht verfügbar sind
  • Abhängigkeiten unbekannt sind

Praktischer Gegenvorschlag: Nicht nur Backup-Protokolle prüfen, sondern regelmäßige Restore-Tests durchführen.

2. Verantwortlichkeiten bleiben oft unklar

Gerade in kleinen Kommunen ist häufig nicht eindeutig geregelt:

  • wer Backups kontrolliert
  • wer Wiederherstellungen auslösen darf
  • welche Systeme priorisiert werden
  • wie Notfälle organisatorisch behandelt werden

Solange der Alltag funktioniert, fällt das kaum auf. Im Ernstfall entstehen dadurch jedoch erhebliche Zeitverluste und Unsicherheiten.

Besonders problematisch wird es, wenn Wissen ausschließlich bei einzelnen Personen oder externen Dienstleistern liegt.

Praktischer Gegenvorschlag: Klare organisatorische Abläufe definieren – auch für seltene Notfallsituationen.

3. Kritische Systeme werden oft nicht priorisiert

Nicht alle Systeme sind gleich wichtig. Trotzdem werden Datensicherungen häufig pauschal betrachtet, ohne zu definieren:

  • welche Anwendungen zuerst benötigt werden
  • welche Ausfallzeiten akzeptabel sind
  • welche Daten besonders kritisch sind
  • welche Abhängigkeiten zwischen Systemen bestehen

Dadurch kann es passieren, dass technisch zwar Daten vorhanden sind, organisatorisch jedoch keine sinnvolle Reihenfolge für die Wiederherstellung existiert.

Praktischer Gegenvorschlag: Kritische Fachverfahren und Verwaltungsprozesse priorisieren und Wiederanlauf-Reihenfolgen definieren.

4. Externe Datensicherung ersetzt keine eigene Kontrolle

Viele Kommunen nutzen externe Backup-Lösungen oder Rechenzentrumsleistungen. Das kann technisch sinnvoll sein – organisatorisch entsteht jedoch häufig ein neues Risiko:

Die Kommune verlässt sich vollständig darauf, dass „das schon funktioniert“.

Oft fehlen intern nachvollziehbare Informationen darüber:

  • wie lange Sicherungen aufbewahrt werden
  • welche Systeme tatsächlich enthalten sind
  • wie schnell Wiederherstellungen möglich wären
  • welche Leistungen vertraglich abgedeckt sind

Praktischer Gegenvorschlag: Auch bei externen Lösungen regelmäßige Nachweise und Restore-Tests einfordern.

5. Cyberangriffe verändern die Anforderungen

Früher standen häufig Hardwaredefekte oder versehentliche Löschungen im Vordergrund. Heute spielen zusätzlich Verschlüsselungstrojaner und Sicherheitsvorfälle eine zentrale Rolle.

Dadurch steigen die Anforderungen an Datensicherung erheblich:

  • Versionierung
  • unveränderbare Sicherungen
  • räumliche Trennung
  • getrennte Administrationszugänge
  • saubere Berechtigungskonzepte

Viele ältere Backup-Konzepte wurden jedoch ursprünglich nicht für solche Szenarien entwickelt.

Praktischer Gegenvorschlag: Backup-Strategien regelmäßig überprüfen und an aktuelle Sicherheitsanforderungen anpassen.

Ein pragmatischer Ansatz: Wiederherstellung statt nur Datensicherung denken

Gute Backup-Konzepte zeichnen sich nicht dadurch aus, dass möglichst viele Daten gespeichert werden – sondern dadurch, dass Systeme im Ernstfall tatsächlich wieder nutzbar gemacht werden können.

In der Praxis haben sich insbesondere folgende Punkte bewährt:

  • regelmäßige Restore-Tests
  • klare Verantwortlichkeiten
  • Priorisierung kritischer Systeme
  • nachvollziehbare Dokumentation
  • regelmäßige Überprüfung externer Leistungen

Ziel sollte nicht maximale technische Komplexität sein, sondern organisatorisch beherrschbare Wiederanlaufprozesse.

Fazit

Datensicherung allein reicht nicht aus. Entscheidend ist, ob Wiederherstellungen im Ernstfall tatsächlich funktionieren – technisch und organisatorisch.

Viele Risiken entstehen nicht durch fehlende Backups, sondern durch unklare Zuständigkeiten, fehlende Tests und mangelnde Vorbereitung.

Gute Backup-Konzepte beginnen deshalb nicht bei der Frage:

„Werden Daten gesichert?“

Sondern bei der wesentlich wichtigeren Frage:

„Wie schnell und zuverlässig können wir unsere Arbeitsfähigkeit wiederherstellen?“

← zurück zum Blog