Decision guide · Backup, Recovery und Disaster Recovery

Backup- und DR-Lösung auswählen: strukturiert unter NIS2, DORA und BAIT

Eine Backup- und Disaster-Recovery-Entscheidung steht heute selten allein. Ransomware-Resilienz, Immutability, schnelle Wiederherstellung kritischer Services und EU-Datenresidenz sind die vier Achsen, gegen die jede Lösung scheitern oder bestehen kann. NIS2 Art. 21 Buchstabe c und DORA Art. 11 erwarten dokumentierte BCM- und Recovery-Strategie mit getesteten Backups, nicht nur eine Backup-Software.

TL;DR

Backup-Entscheidung 2026 ist eine Ransomware-Entscheidung. Immutability und getestete Recovery sind nicht-verhandelbare Dealbreaker.

Who owns this decision

CIO und CISO gemeinsam, mit Datenschutz, Betrieb, Anwendungs-Owner und Geschäftsleitung im Lenkungskreis. Bei DORA-Scope zusätzlich CRO und Audit.

Key criteria to weight

Immutability und Air-Gap
Ransomware kann moderne Backup-Repositories oft mit-verschlüsseln. Echte WORM- oder Air-Gap-Fähigkeit ist Dealbreaker.
RTO und RPO pro Service
BIA-getrieben. Ohne RTO/RPO-Werte ist die Lösung nicht messbar.
EU-Datenresidenz und Schlüssel-Hoheit
Pflicht-Logik unter DORA Art. 28-30 für kritische Funktionen.
Recovery-Testing-Automatisierung
DORA Art. 11 und NIS2 Art. 21 verlangen regelmäßige Tests. Manuell ist nicht skalierbar.
Skalierung pro TB und pro VM/Workload
Wirtschaftlich kritisch, bestimmt Vertragspreis und Eskalations-Pfad.
Integration in SIEM und SOC
Backup-Anomalien (z.B. Restore-Failures, Tampering) müssen ins Detection-Stack.

Step-by-step decision flow

1
BIA und Skopus
Business Impact Analyse pro kritischer Anwendung, RTO/RPO-Werte, Datenklassen. Mengen- und Wachstums-Schätzung 3 Jahre.
2
Architektur-Entscheidung
3-2-1-1-0-Regel oder modernere 4-3-2-Architektur. On-prem vs. Cloud vs. Hybrid. Sovereign-Cloud-Frage.
3
Anbieter-Longlist
Marktführer Veeam, Rubrik, Cohesity, Commvault, Veritas. Plus Cloud-native Druva, AWS Backup, Azure Backup, Google. Plus DACH-Anbieter wie SEP.
4
Shortlist und PoC
3-5 Anbieter, jeweils Recovery-Test einer realen kritischen Anwendung unter Last.
5
Memo und Freigabe
Decision Memo mit Kriterien, Dealbreakern, Stakeholder-Alignment, Residualrisiken. Readiness Score >70 vor Beschaffungsfreigabe.

Compliance note

NIS2 Art. 21 Buchstabe c fordert Business Continuity, Backup-Management und Krisenmanagement. DORA Art. 11 fordert eine Business Continuity Policy mit getesteten Backups, Recovery- und Failover-Plänen. BAIT BTO 4 verlangt Notfall-Konzepte und Wiederanlauf-Tests. Pflicht-Belege: BIA, Backup-Konzept, Recovery-Plan, Testprotokolle, dokumentierte Entscheidung zur Lösungs-Wahl.

Common pitfalls

!Backup-Software wird gekauft, BCM-Konzept folgt erst später. Reihenfolge umdrehen.
!Immutability wird angenommen, weil 'Cloud'. WORM oder echte Air-Gap muss vertraglich und technisch belegt sein.
!Recovery-Tests werden zugesagt, aber nie gemacht. Audit findet keine Testprotokolle. NIS2/DORA-Finding.
!Schlüssel-Hoheit bleibt beim Anbieter. CLOUD-Act-Risiko unaddressiert.

FAQ

Was ist die 3-2-1-1-0-Regel?

Drei Kopien der Daten, auf zwei verschiedenen Medien, eine davon offsite, eine davon offline oder immutable, null Fehler beim regelmäßigen Recovery-Test. Erweiterung der klassischen 3-2-1-Regel um Ransomware-Resilienz und Test-Disziplin.

Reicht Cloud-Backup für NIS2 und DORA?

Nur wenn Immutability nachweisbar ist, Schlüssel-Hoheit klar geregelt ist und Recovery-Tests dokumentiert laufen. Reine Cloud-Backups ohne Air-Gap reichen typischerweise nicht, weil sie bei Identity-Kompromittierung mit-verschlüsselt werden können.

Wie oft muss Recovery getestet werden?

DORA Art. 25-26 verlangt jährliche Resilienz-Tests. NIS2 Art. 21 verlangt regelmäßige Wirksamkeits-Prüfung. Praxis-Empfehlung: vierteljährliche Restore-Tests für kritische Anwendungen, jährlicher End-to-End-DR-Test über den ganzen Stack.

Passende Entscheidungs-Guides

Relevante Branchen

Run this decision in DecisionOS →What is DecisionOS?