Anbieter zum Thema

SEP GmbH

Ceyoniq Technology GmbH

Mein Videotermin Suite | Voigtmann GmbH

The Quality Group GmbH

Backup-Strategie

Parallel zur regulatorischen Perspektive wächst die Abhängigkeit von wenigen Infrastrukturanbietern und Dienstleistern. Cloud-Plattformen, spezialisierte Fachverfahrenshersteller und kommunale IT-Dienstleister bilden das Rückgrat der digitalen Verwaltung. Im Normalbetrieb erhöht diese Bündelung die Effizienz, im Ernstfall kann sie jedoch zum Multiplikator des Schadens werden. Souveräne Backup-Strategien müssen deshalb Lock-in-Risiken systematisch betrachten:

• Unter welchem Rechtsraum stehen Daten und Backups?

• Wer verwaltet kryptografische Schlüssel und Identitäten?

• In welchen Formaten liegen Sicherungen vor, und ist ein Anbieterwechsel technisch möglich?

• Wie ist die Wiederherstellung geplant, wenn ein zentraler Dienstleister ausfällt oder nicht verfügbar ist?

Digitale Souveränität setzt voraus, dass Sicherungsdaten im europäischen Rechtsraum liegen, kryptografische Schlüssel in eigener Hand bleiben und Schnittstellen sowie Formate einen Anbieterwechsel ermöglichen. Andernfalls kann eine Entscheidung außerhalb der eigenen Organisation, durch einen regulatorischen Eingriff in ein außereuropäisches Unternehmen, die Handlungs- fähigkeit unmittelbar beeinträchtigen, ohne dass ein technischer Angriff stattgefunden hat.

Um die eigene Lage realistisch einzuschätzen, bietet sich ein strukturierter Blick auf fünf Dimensionen an, die sich in vielen öffentlichen Organisationen bewährt haben:

1. Datenkontrolle und rechtliche Souveränität: Die Kernfrage ist, ob klar ist, wo Backups liegen, welchem Rechtsraum sie unterliegen und wer im Ernstfall darauf zugreifen darf. Entscheidend sind transparente Datenflüsse, vertraglich geregelte Datenverarbeitung im EU-Rechtsraum, eigene Schlüsselgewalt und die Möglichkeit, Daten in portierbaren Formaten zu exportieren. Nur so lassen sich die DSGVO-Anforderungen, rechtliche Souveränität und Unabhängigkeit steuern.

2. Wiederherstellungsfähigkeit (Recovery): Hier geht es um definierte Wiederanlaufzeiten, abgestimmte Prioritäten und geübte Abläufe. Kritische Verfahren benötigen klare Zielwerte für Ausfallzeiten und Datenverlust, dokumentierte Abhängigkeiten zu Basisdiensten sowie regelmäßige Restore Tests unter realistischen Bedingungen. Erst wenn eine Verwaltung weiß, welche Verfahren in welcher Reihenfolge wiederhergestellt werden müssen und dies praktisch erprobt hat, wird aus einem Backup eine Wiederherstellungsstrategie.

3. Abhängigkeiten und Anbieterbindung: Souveränität bedeutet, dass die Wiederherstellung auch dann möglich bleibt, wenn ein einzelner Anbieter nicht verfügbar ist. Multi-Vendor-Strategien, definierte Exit-Szenarien und transparente Einbindung externer Dienstleister in Notfallkonzepte sind dafür zentral. Verträge sollten klare Regelungen für Verfügbarkeit, Support im Krisenfall und Datenexport enthalten. Besonders kritisch sind Konstellationen, in denen Wiederherstellung nur mit proprietären Werkzeugen eines einzigen Anbieters möglich ist.

4. Sicherheit der Backup-Infrastruktur: Backups sind zum Ziel moderner Angriffe geworden. Ransomware versucht gezielt, Sicherungskopien zu verschlüsseln oder zu löschen, bevor produktive Systeme betroffen sind. Schutzmaßnahmen wie physisch oder logisch getrennte Backup-Speicher, manipulationssichere Speicherkonzepte, gehärtete Administratorzugänge und mehrstufige Zugriffskonzepte sind daher unverzichtbar. Nur wenn Sicherungen vertrauenswürdig bleiben, können sie im Ernstfall Grundlage für eine Wiederherstellung sein.

5. Governance und Krisenfähigkeit: Technik allein stellt keine Handlungsfähigkeit her. Digitale Souveränität erfordert klare Verantwortlichkeiten, geübte Entscheidungsstrukturen und eine enge Einbindung der Leitungsebene. Notfallpläne, Kommunikationswege und Rollen müssen nicht nur beschrieben, sondern regelmäßig getestet werden. NIS-2 macht deutlich, dass Leitungen nicht nur zustimmen, sondern Verantwortung übernehmen und Reifegrade aktiv steuern müssen.

(ID:50860520)