Zum Hauptinhalt springen
CENEDRIL WIKI
EN
Annex A · Technologische Kontrolle

A.8.13 — Informationssicherung

Aktualisiert am 3 Min. Geprüft von: Cenedril-Redaktion
A.8.13 ISO 27001ISO 27002BSI CON.3

Das Backup lief jede Nacht. Drei Jahre lang. Dann kam der Ransomware-Angriff, und bei der Wiederherstellung stellte sich heraus: Die Datenbank-Dumps waren seit acht Monaten leer, weil ein Berechtigungsproblem den Export verhinderte. Niemand hatte die Backups jemals getestet. A.8.13 fordert regelmäßig gepflegte und getestete Backups, die eine zuverlässige Wiederherstellung ermöglichen.

Ein Backup ohne Wiederherstellungstest ist eine Hoffnung, kein Schutz. Die Kontrolle umfasst Richtlinien, Durchführung, Verschlüsselung und den Nachweis, dass die Wiederherstellung tatsächlich funktioniert.

Was verlangt die Norm?

  • Backup-Richtlinie erstellen. Frequenz, Umfang, Speicherort, Aufbewahrungsdauer und Verschlüsselung für alle kritischen Systeme definieren.
  • Regelmäßige Sicherung. Backups werden automatisiert und regelmäßig erstellt — die Frequenz richtet sich nach der maximal tolerierbaren Datenverlustzeit (RPO).
  • Wiederherstellungstests. Backups werden regelmäßig auf Vollständigkeit und Wiederherstellbarkeit getestet.
  • Physische Trennung. Mindestens eine Backup-Kopie wird an einem vom Produktionsstandort getrennten Ort aufbewahrt.
  • Cloud-Backups prüfen. Bei Cloud-Diensten sicherstellen, dass die Backup- und Wiederherstellungsmechanismen den Anforderungen entsprechen.

In der Praxis

RPO und RTO pro System definieren. Recovery Point Objective (RPO): Wie viel Datenverlust ist maximal tolerierbar? Recovery Time Objective (RTO): Wie schnell muss das System wieder laufen? Diese Werte bestimmen Backup-Frequenz und Wiederherstellungsverfahren.

Backup-Monitoring einrichten. Jeder Backup-Job wird überwacht. Fehlgeschlagene Jobs lösen sofort einen Alarm aus. Ein Dashboard zeigt den aktuellen Backup-Status aller kritischen Systeme.

Wiederherstellungstests dokumentieren. Mindestens quartalsweise einen vollständigen Wiederherstellungstest für kritische Systeme durchführen. Der Test wird protokolliert: Welches System? Welches Backup? Wie lange dauerte die Wiederherstellung? War das Ergebnis vollständig?

Immutable Backups gegen Ransomware. Mindestens eine Backup-Kopie in einem unveränderlichen Speicher (Write Once Read Many, Object Lock) ablegen. Ransomware kann diese Kopie nicht verschlüsseln oder löschen.

Typische Audit-Nachweise

Auditoren erwarten bei A.8.13 typischerweise diese Nachweise:

  • Backup-Richtlinie — dokumentierte Backup-Strategie mit RPO/RTO (→ IT-Betriebsrichtlinie im Starter Kit)
  • Backup-Übersicht — welche Systeme werden wie oft gesichert, wo gespeichert
  • Backup-Monitoring-Berichte — Nachweis erfolgreicher und fehlgeschlagener Jobs
  • Wiederherstellungstest-Protokolle — dokumentierte Tests mit Ergebnissen
  • Verschlüsselungsnachweis — Nachweis, dass Backups verschlüsselt werden

KPI

Anteil der kritischen Systeme mit dokumentierten Backups und getesteten Wiederherstellungsverfahren

Gemessen als Prozentsatz: Wie viele deiner kritischen Systeme haben ein aktuelles Backup und einen innerhalb der letzten 12 Monate erfolgreich durchgeführten Wiederherstellungstest? Ziel: 100%.

Ergänzende KPIs:

  • Backup-Erfolgsrate (Anteil erfolgreicher Jobs, Ziel: über 99%)
  • Mittlere Wiederherstellungszeit im Test (Abgleich mit RTO)
  • Anteil der Systeme mit Immutable-Backup-Kopie

BSI IT-Grundschutz

A.8.13 mappt auf den BSI-Baustein für Datensicherung:

  • CON.3 (Datensicherungskonzept) — der Kernbaustein. Verlangt ein dokumentiertes Datensicherungskonzept mit Definition von Sicherungsarten (voll, inkrementell, differentiell), Aufbewahrungsfristen, Speicherorten und regelmäßigen Wiederherstellungstests.
  • CON.1 (Kryptokonzept) — Verschlüsselung der Backup-Medien als Teil des Kryptokonzepts.

Verwandte Kontrollen

Quellen

Häufig gestellte Fragen

Wie oft müssen Backups getestet werden?

Die Norm nennt keine feste Frequenz. Bewährte Praxis: Kritische Systeme quartalsweise, alle anderen mindestens jährlich. Der Test muss eine vollständige Wiederherstellung umfassen — ein Backup, das nicht wiederhergestellt werden kann, ist wertlos.

Muss ich Backups verschlüsseln?

Wenn die gesicherten Daten vertraulich sind (und das sind sie fast immer), ja. Unverschlüsselte Backups sind ein Datenleck, das darauf wartet zu passieren. Verschlüsselung schützt vor unbefugtem Zugriff bei Diebstahl oder Fehlversand des Backup-Mediums.

Reicht ein Cloud-Backup als einzige Sicherung?

Die 3-2-1-Regel empfiehlt: 3 Kopien, auf 2 verschiedenen Medien, davon 1 an einem anderen Standort. Ein Cloud-Backup erfüllt die Standorttrennung, aber du brauchst zusätzliche Kopien. Prüfe außerdem die SLA des Cloud-Anbieters für Wiederherstellungszeiten.