sep piwik

Sie haben ein Backup. Aber wären Sie auch handlungsfähig?
  1. Home
  2. News, Blog, Presse & Videos
  3. Aktuelles, Blog, Presse & Videos
  4. Sie haben ein Backup. Aber wären Sie auch handlungsfähig?
News Details

Sie haben ein Backup. Aber wären Sie auch handlungsfähig?

Die meisten Organisationen stellen sich die falsche Frage

Montagmorgen, 7:14 Uhr. Die IT-Abteilung einer kommunalen Verwaltung stellt fest, dass zentrale Fachverfahren nicht erreichbar sind. Die Meldestelle kann keine Auskünfte geben, die Kfz-Zulassung steht still, Sozialleistungen lassen sich nicht bearbeiten. In den Backup-Logs steht: “Letzte Sicherung erfolgreich.” Doch niemand kann sagen, wie lange die Wiederherstellung dauern wird, oder ob sie überhaupt funktioniert.

Das Szenario ist nicht hypothetisch. Es hat sich in deutschen Kommunen in den letzten Jahren mehrfach abgespielt. Und es beginnt fast immer mit derselben Erkenntnis: Backups waren vorhanden. Handlungsfähigkeit war es nicht.

Die entscheidende Frage lautet deshalb nicht: „Haben wir ein Backup?” Sondern: „Was passiert konkret, wenn morgen alles ausfällt?”

Der Moment, in dem Theorie auf Realität trifft

Was in der Theorie geordnet wirkt, zerfällt im Ernstfall oft innerhalb von Stunden. Systeme fallen nicht einzeln aus, sondern gleich mehrere. Fachverfahren, die aufeinander aufbauen, sind plötzlich alle nicht verfügbar. Die IT arbeitet unter Zeitdruck an der Wiederherstellung, während Fachbereiche auf Entscheidungen warten, die niemand treffen kann, weil die Informationsgrundlage fehlt.

Im Landkreis Anhalt-Bitterfeld dauerte dieser Zustand nicht Stunden, sondern Monate. Der Landkreis rief 2021 den Katastrophenfall aus – erstmalig in Deutschland aufgrund eines Cyberangriffs. Ende 2023 traf es über 70 Kommunen in Südwestfalen gleichzeitig, als ein Ransomware-Angriff auf den gemeinsamen IT-Dienstleister die gesamte Verwaltungsinfrastruktur lahmlegte. In beiden Fällen existierten Backups. Was fehlte: die Fähigkeit, daraus schnell und geordnet eine arbeitsfähige Umgebung wiederherzustellen.

In diesem Moment zählt nicht, was dokumentiert ist, sondern nur noch, was tatsächlich funktioniert.

Warum Backup nicht gleich Wiederherstellung ist

Ein Backup bedeutet: Daten wurden gesichert. Wiederherstellung bedeutet: Die Organisation kann wieder arbeiten. Das ist ein grundlegender Unterschied.

Zwischen diesen beiden Zuständen liegen Fragen, die in vielen Organisationen offen sind. In welcher Reihenfolge werden Systeme wiederhergestellt und wer entscheidet das? Wie lange dauert der Wiederanlauf, wenn nicht ein einzelnes System betroffen ist, sondern die gesamte Infrastruktur? Welche externen Dienstleister sind eingebunden, mit welchen Reaktionszeiten? Und was passiert, wenn die Wiederherstellung an einer Stelle scheitert, die vorher niemand bedacht hat?

Was im Ernstfall tatsächlich passiert

In der Praxis entsteht ein typisches Muster: Die IT-Abteilung beginnt mit der Wiederherstellung einzelner Systeme – parallel, unter Druck und oft ohne klare Reihenfolge. Fachbereiche melden sich mit konkurrierenden Prioritäten: Das Melderegister ist dringend, aber auch die Auszahlungen der Sozialhilfe laufen in drei Tagen. Externe Dienstleister werden kurzfristig eingebunden, aber deren Reaktionszeiten und Kapazitäten sind nicht garantiert.

Das Ergebnis ist selten ein vollständiger Stillstand, doch das macht es nicht besser. Was entsteht, ist eine Organisation, die teilweise funktioniert, aber nicht steuerbar ist. Leistungen werden eingeschränkt erbracht, Workarounds entstehen, Fehler häufen sich. Die Verwaltung ist nicht ausgefallen, aber sie ist auch nicht handlungsfähig. Für Bürgerinnen und Bürger, die auf Bescheide, Genehmigungen oder Auszahlungen warten, macht das keinen Unterschied.

Die unterschätzten Schwachstellen

Dabei zeigen sich immer wieder dieselben strukturellen Lücken:

Wiederherstellung wurde nie unter realen Bedingungen getestet. Restore-Prozesse, die im isolierten Test funktionieren, scheitern unter Krisenbedingungen regelmäßig. Zeitdruck, echte Abhängigkeiten zwischen Systemen und die gleichzeitige Wiederherstellung mehrerer Fachverfahren machen den Unterschied und genau diese Bedingungen werden im Testlauf nicht abgebildet. Das BSI empfiehlt in seinen Grundschutz-Bausteinen CON.3 und DER.4 regelmäßige, dokumentierte Restore-Tests unter realistischen Bedingungen. In der Praxis werden diese selten durchgeführt.

Priorisierung ist nicht auf Leitungsebene entschieden. Welche Fachverfahren zuerst wieder verfügbar sein müssen, ist häufig nicht explizit festgelegt. Im Krisenfall entsteht dann ein Verteilungskampf um IT-Ressourcen, der ad hoc und unter Druck entschieden wird, anstatt auf Basis einer vorher getroffenen Leitungsentscheidung.

Abhängigkeiten werden erst im Ernstfall sichtbar. Fachverfahren benötigen Basisdienste, Verzeichnisdienste, Datenbanken und Netzwerkinfrastruktur, die ihrerseits voneinander abhängen. Externe Dienstleister sind in den Wiederanlauf eingebunden, aber deren Reaktionszeiten sind vertraglich oft nicht für Krisenfälle geregelt. Und spezifisches Know-how liegt bei einzelnen Personen, die im Ernstfall nicht erreichbar sein müssen.

Backup-Infrastruktur ist nicht ausreichend geschützt. Moderne Ransomware-Angriffe zielen gezielt auf Sicherungssysteme: Backup-Repositories werden verschlüsselt, Schattenkopien gelöscht, Administrationskonten kompromittiert. Ohne manipulationssichere Sicherungen oder eine technisch getrennte Backup-Infrastruktur steht die Organisation im Angriffsfall vor dem Nichts.

Die Kontrolle über Sicherungsdaten ist ungeklärt. Wer verwaltet die Verschlüsselungsschlüssel: die eigene Organisation oder der Anbieter? In welchem Rechtsraum operiert der Backup-Dienstleister, und welcher Jurisdiktion unterliegen die gespeicherten Daten? Wie schnell kann die Organisation im Ernstfall zu einem alternativen Anbieter wechseln? Diese Fragen werden bei der Beschaffung gestellt, aber nach Vertragsabschluss selten nachgehalten.

Jede dieser Schwachstellen ist für sich genommen beherrschbar. In Kombination führen sie zu einem Kontrollverlust im Krisenfall.

Warum genau hier der Perspektivwechsel notwendig ist

Viele Organisationen behandeln Datensicherung als technische Aufgabe: Systeme sichern, Speicher definieren, Prozesse aufsetzen. Das ist notwendig, aber nicht ausreichend.

Was fehlt, ist die Perspektive der Handlungsfähigkeit und Kontrolle. Wie schnell kann die Organisation wieder arbeiten? Welche Abhängigkeiten bremsen sie im Ernstfall? Wo verliert sie technisch oder rechtlich die Kontrolle über ihre eigenen Daten?

Datensicherung beantwortet die Frage: „Sind unsere Daten noch da?” Handlungsfähigkeit beantwortet eine andere: „Können wir weiterarbeiten – nach unseren eigenen Prioritäten und Regeln?”

Das größte Risiko ist dabei nicht die offensichtliche Schwäche. Es ist die Unsicherheit, die nicht erkannt wird, weil die eigene Wiederherstellungsfähigkeit nie unter realistischen Bedingungen überprüft wurde.

Woran Organisationen ihre reale Situation erkennen

Wie belastbar die eigene Aufstellung ist, zeigt sich nicht an vorhandenen Systemen, sondern an klaren Antworten auf konkrete Fragen.

Wie lange dauert die Wiederherstellung kritischer Verfahren tatsächlich? Wann wurde das zuletzt unter realistischen Bedingungen getestet? Welche externen Abhängigkeiten bestehen im Ernstfall, und mit welchen garantierten Reaktionszeiten? Wer trifft Entscheidungen, auf welcher Grundlage? Und wer hat im Krisenfall die technische und rechtliche Kontrolle über die Sicherungsdaten?

Wer diese Fragen nicht klar beantworten kann, hat Handlungsbedarf.

Der nächste Schritt: vom Gefühl zur Klarheit

Die meisten Organisationen brauchen keine sofortige Transformation. Sie brauchen zuerst Klarheit: Wo stehen wir tatsächlich – technisch, organisatorisch, rechtlich? Welche Risiken sind im laufenden Betrieb nicht sichtbar? Wie belastbar ist die aktuelle Strategie, wenn es darauf ankommt?

Genau dafür gibt es den Souveränitäts-Check. In wenigen Minuten erhalten Sie eine erste Einschätzung: Wie realistisch ist Ihre Wiederherstellungsfähigkeit? Wo bestehen kritische Abhängigkeiten und Kontrollrisiken? Und wo liegen Schwachstellen, die bisher nicht sichtbar waren?

 Souveränitäts-Check starten

Wenn Sie darüber hinaus verstehen möchten, welche konkreten Risiken sich daraus ergeben, und welche Maßnahmen priorisiert werden sollten, lohnt sich eine vertiefende Analyse.

In einem kurzen Austausch erhalten Sie eine strukturierte Einschätzung Ihrer aktuellen Aufstellung sowie konkrete nächste Schritte, um Ihre Handlungsfähigkeit im Ernstfall sicherzustellen.

Gespräch mit Experten vereinbaren

SEP entwickelt und betreibt Backup- und Recovery-Lösungen vollständig im europäischen Rechtsraum – mit dem klaren Ziel, Organisationen im Ernstfall echte Kontrolle und schnelle Wiederherstellung zu ermöglichen.

Zurück
IT Autonomy - European Alternatives | wir sind dabei! 17 Jun 2026 13:00 - 19:30DACH | Event More information Als kalendereintrag speichern
Backup ist Pflicht. Wiederherstellungsfähigkeit entscheidet. 23 Jun 2026 10:00 - 11:00DACH | Online Training More information Als kalendereintrag speichern
SEP Certified Administrator Training | SCA07 Jul 202610:00 - 17:0008 Jul 202609:00 - 16:0009 Jul 202609:00 - 16:00Deutschland | Holzkirchen More information Als kalendereintrag speichern
Verwandte Artikel: