Digitale Souveränität Public Backup, NIS-2, DSGVO: Was im Ernstfall zählt

Anbieter zum Thema

SEP GmbH

Ceyoniq Technology GmbH

Mein Videotermin Suite | Voigtmann GmbH

The Quality Group GmbH

Viele öffentliche Organisationen verfügen über Backups, setzen DSGVO-Vorgaben um und bereiten sich auf NIS-2 vor. Doch im Ernstfall zeigt sich oft, dass technische Vorsorge allein nicht ausreicht. Entscheidend ist, ob Daten und Systeme schnell, kontrolliert und rechtssicher wiederhergestellt werden können.

Cyberangriffe auf Verwaltungen und kommunale IT-Dienstleister haben in den vergangenen Jahren gezeigt, wie verwundbar der öffentliche Sektor ist. In betroffenen Kommunen waren Bürgerämter, Kfz-Zulassungen oder Sozialleistungen über Wochen nur eingeschränkt arbeitsfähig. Backups waren zwar vorhanden, doch im Ernstfall fehlten klare Prozesse und erprobte Abläufe, um Systeme schnell wieder in Betrieb zu nehmen.

Genau hier entscheidet sich digitale Souveränität: nicht in Konzeptpapieren, sondern in der Frage, ob eine Organisation nach einem Ausfall ihre Aufgaben zeitnah unter eigener Kontrolle und im rechtssicheren Rahmen von DSGVO und NIS-2 wahrnehmen kann.

Backup ist Pflicht, Wiederherstellung ist die Kür

Viele öffentliche Einrichtungen betrachten Datensicherung vor allem als Compliance-Thema. Es existieren regelmäßige Backups, Monitoring-Meldungen stehen auf „grün“ und Richtlinien sind dokumentiert. Die eigentliche Bewährungsprobe findet jedoch selten statt: realistische Wiederherstellungstests über mehrere Systeme, Fachverfahren und Zuständigkeiten hinweg. Im Ernstfall treten dann typische Muster auf:

• Wiederherstellungsabläufe wurden nie unter realen Bedingungen geübt.

• Abhängigkeiten zwischen Fachverfahren, Basisdiensten und Infrastruktur sind nicht transparent.

• Prioritäten für den Wiederanlauf sind nicht von der Leitungsebene entschieden, sondern werden ad hoc verhandelt.

• Externe Dienstleister werden kurzfristig eingebunden, ihre Reaktionszeiten sind aber nicht auf Krisenszenarien ausgelegt.

Das Ergebnis ist häufig kein vollständiger Stillstand, sondern ein eingeschränkter funktionierender Betrieb. Einige Verfahren laufen wieder, andere nicht. Improvisierte Prozesse und Workarounds schaffen kurzfristig Entlastung, erhöhen aber Aufwand und Fehlerrisiken. Für Bürgerinnen und Bürger, die auf Leistungen angewiesen sind, bleibt der Unterschied zum Ausfall meist gering.

Digitale Souveränität

Digitale Souveränität im Backup-Umfeld lässt sich in zwei Kernfragen bündeln:

• Wer hat im Ernstfall die Kontrolle über Daten und Backups – technisch, organisatorisch und rechtlich?

• Wie schnell und geordnet kann die Organisation kritische Verfahren wieder in Betrieb nehmen?

Diese beiden Dimensionen verbinden technische, organisatorische und rechtliche Anforderungen und stehen in direktem Zusammenhang mit DSGVO, NIS-2 und dem Risiko eines Lock-ins.

DSGVO und NIS-2

Die DSGVO fordert den Schutz personenbezogener Daten und die Fähigkeit, deren Verfügbarkeit und Belastbarkeit im Krisenfall sicherzustellen. NIS-2 geht weiter: Betreiber wesentlicher und wichtiger Einrichtungen müssen geeignete Maßnahmen für Business Continuity nachweisen, zu denen explizit Backup Management und Disaster Recovery gehören. Die Leitungsebene wird in die Pflicht genommen, Umsetzung und Wirksamkeit zu überwachen.

Für den öffentlichen Sektor bedeutet das: Eine Backup-Strategie, die nicht nachweisbar auf Wiederherstellungsfähigkeit ausgerichtet ist, birgt nicht nur operative, sondern auch Compliance-Risiken. Wer keine belastbaren Wiederanlaufzeiten definieren und testen kann, läuft Gefahr, regulatorische Anforderungen zu verfehlen, was mögliche rechtliche und politische Folgen nach sich ziehen kann.

(ID:50860520)