KontaktNewsEventsJOBS
BTC AG
BTC GROUP (EN)
KontaktNewsEventsJOBS
Lösungen
Themenwelt
Für alle Branchen
Für alle Branchen
Für alle Branchen
Themenwelt
Sustainability Services Personalwesen Finanz- und Rechnungswesen Enterprise GIS GIS Cloud Services Künstliche Intelligenz in Unternehmen
Für den öffentlichen Sektor
Für den öffentlichen Sektor
Für den öffentlichen Sektor
Themenwelt
Neue Softwaregeneration SAP S/4HANA für Kommunen Digitale Kommune Doppisches Finanzwesen Geschäftspartner Buchhaltung Kommunale Beratung Öffentliches Finanzwesen Rechnungseingang
Für die Energiewirtschaft
Für die Energiewirtschaft
Für die Energiewirtschaft
Themenwelt
Smart Metering CLS Management Virtuelle Kraftwerke Digitalisierung der Niederspannungsnetze SAP S/4HANA für Utilities EVU Cloud Services Gaswirtschaftliche Lösungen Wasserstoff Störungsmanagement SARIS
Für die Industrie
Für die Industrie
Für die Industrie
Themenwelt
B2B-EDI Prozesse EDI-as-a-Service EDI Integration für SAP Stammdatenmanagement SAP Variantenkonfiguration mit der BTC Instandhaltung
Branchen
Themenwelt
Energie
Energie
Energie
Themenwelt
Messstellenbetreiber Shared Service Transportnetzbetreiber Verteilnetzbetreiber Vertrieb Wasserstoff
Industrie und Dienstleister
Industrie und Dienstleister
Industrie und Dienstleister
Themenwelt
Automotive Dienstleister Fertigungsindustrie Handel Konsumgüter Logistik
Öffentlicher Sektor
Öffentlicher Sektor
Öffentlicher Sektor
Themenwelt
Eigenbetriebe und Gesellschaften Kernverwaltung Kommunale IT-Dienstleister Kommunale Wasserwirtschaft Leitstellen Smart City
IT-Services
Themenwelt
Digitale Transformationsberatung
Digitale Transformationsberatung
Digitale Transformationsberatung
Themenwelt
Data Driven Enterprise Change Management Künstliche Intelligenz und Data Analytics Coaching agiler Rollen
Prozessautomatisierung
Prozessautomatisierung
Prozessautomatisierung
Themenwelt
Center of Automation Überblick Prozessautomatisierung Anwendungsfälle RPA im öffentlichen Sektor Anwendungsfälle RPA in der Energiewirtschaft​ Anwendungsfälle RPA in Industrie & Dienstleistung​ Process Mining
Tailored Software Solutions
Tailored Software Solutions
Tailored Software Solutions
Themenwelt
Individuelle Softwareentwicklung im Überblick Digital Customer Experience Individuelle Beratung Softwareentwicklung nach Maß Support und Betrieb System- und Datenintegration
IT-Service
IT-Service
IT-Service
Themenwelt
IT-Services im Überblick IT-Outsourcing Application Services Zuverlässiger IT-Service für KRITIS-Systeme Client Services Service Desk
Cloud
Cloud
Cloud
Themenwelt
Cloud Services im Überblick Cloud Partnerschaften Souveräne Cloud-Services Sovereign Cloud Blog Cloud sicher betreiben Migration & Managed Services Data Analytics on Cloud
Microsoft
Microsoft
Microsoft
Themenwelt
Microsoft Business Workplace Microsoft Collaboration & Culture Microsoft Copilot Microsoft Power Platform Microsoft Azure Cloud Microsoft Lizenz- und Partnermanagement Microsoft Blog
Cyber-Security
Cyber-Security
Cyber-Security
Themenwelt
Security Awareness Security Operations Center Threat- & Vulnerability Management Notfallmanagement Penetrationstests NIS2 SAP Security Check ISMS Beratung und Audit ISO 27001:2022 UPDATE Cyber-Sicherheits-Check
Projekte
Projekte
Projekte
Themenwelt
Atlassian Projektmanagement Testmanagement Qualitätsmanagement
SAP
Themenwelt
SAP S/4HANA
SAP S/4HANA
SAP S/4HANA
Themenwelt
SAP & das intelligente Unternehmen SAP Signavio SAP-LeanIX SAP Partner Packaged Solutions BTC-Scoringmodell Ready, Steady, Go SAP S/4HANA für Utilities SAP S/4HANA für Kommunen SAP Supply Chain Management RISE with SAP GROW with SAP
SAP Technologies & Cross Services
SAP Technologies & Cross Services
SAP Technologies & Cross Services
Themenwelt
Services und Lösungen SAP BTP Videos und Webinare SAP Technologie Blog
Geschäftsprozesse mit SAP
Geschäftsprozesse mit SAP
Geschäftsprozesse mit SAP
Themenwelt
SAP S/4HANA Enterprise Management Customer Engagement Management SAP Human Capital Management SAP SuccessFactors DSGVO-konforme Verwaltung Ihrer Daten X-Rechnung mit SAP
Analytics
Analytics
Analytics
Themenwelt
SAP Datasphere SAP Embedded Analytics SAP Analytics Cloud
Asset Management
Asset Management
Asset Management
Themenwelt
Instandhaltung im Unternehmen Instandhaltung mit SAP SAP Service Cloud SAP Field Service Management SAP Maintenance Geographical Enablement Framework (GEF)
Branchenlösungen und BTC AddOns
Branchenlösungen und BTC AddOns
Branchenlösungen und BTC AddOns
Themenwelt
Energiewirtschaft SAP S/4HANA für KMUs SAP Variantenkonfiguration in der Industrie Öffentlicher Sektor Unterstützung von Kernprozessen​ Instandhaltung und Kundenservice​ Redispatch in SAP IS-U
Betrieb, Service und Support
Betrieb, Service und Support
Betrieb, Service und Support
Themenwelt
SAP Application Management SAP Security Check
SAP Know-how
SAP Know-how
SAP Know-how
Themenwelt
SAP Blog SAP Webinare SAP Insights
Angebote
Über uns
Themenwelt
Was uns ausmacht Wir strecken gerne unsere Nasen in den frischen Wind.
Was uns ausmacht Wir strecken gerne unsere Nasen in den frischen Wind.
Was uns ausmacht
Themenwelt
Success Stories Arbeiten - mal anders Nachhaltigkeit bei BTC Ausgezeichnet Diversity-Management Zertifizierungen
Wer wir sind Die BTC AG in Zahlen-Daten-Fakten - ein Überblick
Wer wir sind Die BTC AG in Zahlen-Daten-Fakten - ein Überblick
Wer wir sind
Themenwelt
BTC Gruppe Governance Unsere Standorte
Mit wem wir zusammenarbeiten Ein solides Netzwerk zahlt sich immer aus - finden wir.
Mit wem wir zusammenarbeiten Ein solides Netzwerk zahlt sich immer aus - finden wir.
Mit wem wir zusammenarbeiten
Themenwelt
Partnernetzwerk Innovation Lieferant werden
Karriere
Themenwelt
Bewerben bei BTC
Bewerben bei BTC
Bewerben bei BTC
Themenwelt
Stellenangebote FAQ Ansprechpartner*innen
Arbeiten bei BTC
Arbeiten bei BTC
Arbeiten bei BTC
Themenwelt
Unternehmenskultur Mitarbeiter*innen-Storys Benefits Karrierewege und Weiterbildung Standorte
Einsatzbereiche
Einsatzbereiche
Einsatzbereiche
Themenwelt
Alle Einsatzbereiche SAP Karriere bei BTC Die Software Factory
Ausbildung bei BTC
Ausbildung bei BTC
Ausbildung bei BTC
Themenwelt
Azubi Blog Ausbildung Duales Studium Praktikum Ausbildungswelt Zukunftstag
Sovereign Cloud Blog
zurück zur Übersicht

Backup & Disaster Recovery als Fundament digitaler Souveränität

Thema: Security

Jannis Lueken / Alexander Krecker

Digitale Souveränität entscheidet sich nicht im Normalbetrieb, sondern im Ausnahmefall. Wenn Cloud-Dienste ausfallen, regulatorisch gesperrt werden oder durch Angriffe kompromittiert sind, zeigt sich, ob Organisationen tatsächlich handlungsfähig bleiben. Backup und Disaster Recovery gelten oft als reine Betriebspflicht – dabei sind sie ein zentraler Baustein souveräner Cloud-Strategien. Wer hier die Prioritäten falsch setzt, verliert im Ernstfall nicht nur Daten, sondern Kontrolle.

1. Souveränität zeigt sich im Ausnahmefall

Digitale Souveränität wird häufig entlang von Vertragsklauseln, Datenstandorten oder Verschlüsselungsmechanismen diskutiert. Diese Aspekte sind notwendig, aber nicht hinreichend. Die entscheidende Frage lautet nicht, wer im Normalbetrieb Zugriff auf Systeme und Daten hat, sondern wer im Ernstfall handlungsfähig bleibt.Wenn Cloud-Dienste ausfallen, Konten gesperrt werden oder regulatorische Vorgaben den Zugriff einschränken, zeigt sich, ob Organisationen ihre Daten tatsächlich besitzen – oder ob sie diese faktisch nur nutzen dürfen, solange der Anbieter verfügbar und kooperationsbereit ist. Souveränität ist daher weniger ein statischer Zustand als vielmehr die operative Fähigkeit zur unabhängigen Wiederherstellung.

2. Daten sichern ist nicht gleich Daten besitzen: Wer hat im Notfall das Sagen?

Backups bilden das Fundament jeder digitalen Sicherheit. In der Praxis entstehen jedoch oft neue Abhängigkeiten: Wer Daten zwar sichert, dabei aber anbietergebundene Formate nutzt oder die Verschlüsselungsschlüssel beim Cloud‑Provider belässt, schafft einen „goldenen Käfig“. Damit ist gemeint, dass die Daten zwar vorhanden sind, ihre Nutzbarkeit aber untrennbar an die Infrastruktur des Anbieters gekoppelt bleibt. Technische Sicherheit ist gegeben, die Handlungsfähigkeit im Notfall jedoch nicht – denn ohne aktive Dienste, Lizenzen oder Unterstützung des Anbieters lassen sich die Daten nicht eigenständig wiederherstellen oder nutzen.

Ein souveränes Backup-Konzept geht daher über die grundlegenden Anforderungen etablierter Sicherheitsstandards hinaus und berücksichtigt drei zentrale Kriterien:

Unabhängige Dateiformate: Standards fordern grundsätzlich die regelmäßige Sicherung und Prüfung von Daten (vgl. ISO 27001:2022 A.8.13; BSI IT-Grundschutz CON.3). Das Ziel eines souveränen Konzepts ist jedoch eine Wiederherstellung, die unabhängig von aktiven Hersteller-Lizenzen bleibt. Hierbei gilt es jedoch, den Trade-off zwischen Portabilität und Effizienz individuell abzuwägen.
Alleinige Kontrolle über die Schlüssel: Der BSI IT-Grundschutz (CON.1) verlangt ein schlüssiges Kryptokonzept. Für die digitale Souveränität bedeutet dies konsequenterweise, dass die Schlüsselhoheit vollständig bei der Organisation verbleiben sollte. Werden Schlüssel durch den Anbieter verwaltet, erhöht das die Abhängigkeit und lässt theoretische Zugriffsmöglichkeiten durch Dritte offen, was die Souveränität im Ernstfall untergräbt.
Klarheit über Ort und Recht: Im Rahmen einer sicheren Cloud-Nutzung, wie sie etwa der BSI IT-Grundschutz (OPS.2.2) thematisiert, ist Transparenz über den Speicherort essenziell. Es empfiehlt sich, dass eindeutig nachvollziehbar ist, wo die Sicherungen liegen und welchem Recht sie unterliegen. Bestenfalls befinden sich die Kopien in einem getrennten, rein europäischen Rechtsraum, um nicht denselben Zugriffsmöglichkeiten ausgesetzt zu sein wie die Primärdaten.
Ein Backup ist nur dann souverän, wenn die Organisation die Wiederherstellung vollständig und unabhängig vom Cloud-Anbieter durchführen kann.

3. Backup & Disaster Recovery als Souveränitätskriterium

Das EU Cloud Sovereign Framework sieht die Fähigkeit zum eigenständigen Betrieb und Wiederanlauf als wesentlichen Baustein digitaler Souveränität und bewertet hierfür Kontinuität, Unabhängigkeit von Drittstaateneinfluss und Resilienz (EU Cloud Sovereignty Framework: SOV‑4, SOV‑2, SOV‑3).
Hieraus ergeben sich zentrale Leitfragen für die Strategie:

1. Kann die Organisation ihre Systeme ohne Unterstützung des Cloud-Anbieters wiederherstellen?
2. Sind Datenformate und Automatisierungen so gestaltet, dass ein Plattformwechsel möglich ist?
3. Verfügt das eigene Team über die notwendigen Skills, um den Recovery-Prozess ohne den Support des Anbieters operativ zu steuern?

Wenn eine Wiederherstellung nur funktioniert, weil der Cloud-Anbieter hilft, Support-Tickets priorisiert oder regulatorische Ausnahmen gelten, ist die Souveränität faktisch nicht gegeben.

4. RPO & RTO: branchenspezifische Realitäten

Die Definition von Recovery Point Objective (RPO) und Recovery Time Objective (RTO) bildet den Kern des Business Continuity Managements (BCM) und wird normativ unter anderem in ISO 22301 sowie in NIST SP 800‑34 beschrieben. RPO und RTO sind dabei keine rein technischen Kennzahlen, sondern Managemententscheidungen über akzeptables Risiko, Priorisierung von Geschäftsprozessen und Investitionen in Resilienz.

RPO und RTO definieren, wie viel Datenverlust akzeptabel ist und wie schnell Systeme nach einem Ausfall wieder verfügbar sein müssen. Welche Zielwerte angemessen sind, hängt jedoch stark vom jeweiligen Nutzungskontext, der Kritikalität der unterstützten Prozesse sowie den regulatorischen Rahmenbedingungen ab. Entsprechend unterscheiden sich die Anforderungen an Backup‑ und Wiederherstellungsarchitekturen erheblich.

In Bereichen mit hohem Schutzbedarf können bereits kurze Ausfallzeiten oder geringe Datenverluste erhebliche Auswirkungen auf Versorgungssicherheit, Sicherheit von Menschen oder rechtliche Verpflichtungen haben. Hier sind sehr geringe RPOs, kurze RTOs, ein hoher Automatisierungsgrad sowie möglichst geringe externe Abhängigkeiten erforderlich. In anderen Kontexten sind längere Wiederanlaufzeiten akzeptabel, sofern Nachvollziehbarkeit, Datenhoheit, Revisionssicherheit oder langfristige Verfügbarkeit gewährleistet bleiben.Diese unterschiedlichen Anforderungen führen in der Praxis zu einer Bandbreite an Umsetzungsmodellen – von stark kontrollierten On‑Premise‑ oder hybriden Architekturen mit klar definierten Wiederanlaufpfaden bis hin zu Hybrid‑ oder Cross‑Cloud‑Ansätzen, die technologische Abhängigkeiten reduzieren und Exit‑Szenarien absichern.

Entscheidend ist daher nicht ein branchenübergreifender Standard, sondern die bewusste Ableitung von RPO‑ und RTO‑Zielen aus dem individuellen Risikoprofil einer Organisation. Souveräne Backup‑ und DR‑Strategien entstehen dort, wo technische Möglichkeiten, organisatorische Fähigkeiten und regulatorische Anforderungen konsistent zusammengeführt werden.

5. Cross-Region vs. Cross-Cloud

Die Frage nach Cross-Region- oder Cross-Cloud-Strategien wird zunehmend auch regulatorisch adressiert. Der EU Data Act fordert explizit Exit-Fähigkeit und technische Portabilität, während das EU Cloud Sovereignty Framework die Unabhängigkeit von einzelnen Anbietern als Bewertungskriterium heranzieht.

Cross-Region-Strategien erhöhen die technische Resilienz innerhalb eines Cloud-Anbieters. Sie schützen wirksam vor lokalen oder regionalen Ausfällen, etwa wenn eine Availability Zone oder eine gesamte Region durch Infrastrukturprobleme, Netzwerkausfälle oder physische Schäden nicht verfügbar ist. Für diese technischen Szenarien sind Cross-Region-Backups und -Deployments eine bewährte und notwendige Maßnahme zur Erhöhung der Verfügbarkeit.

An den grundlegenden Abhängigkeiten vom Anbieter ändern Cross-Region-Ansätze jedoch nichts. Alle Regionen basieren weiterhin auf denselben Infrastruktur- und Software-Stacks, nutzen identische zentrale Steuerungs- und Identitätsmechanismen und unterliegen demselben vertraglichen und rechtlichen Rahmen. Ausfallszenarien, die den Anbieter als Ganzes betreffen – etwa globale Control-Plane-Störungen, Account-Sperrungen, Insolvenz oder regulatorische Einschränkungen auf Unternehmensebene – können durch Cross-Region nicht abgefangen werden. In diesen Fällen sind tatsächlich alle Regionen eines Anbieters gleichermaßen betroffen.

Cross-Cloud-Strategien setzen daher an einer anderen Stelle an. Sie replizieren Daten und Wiederanlauf-Logiken in eine technisch und rechtlich unabhängige Umgebung, etwa in eine europäische Sovereign Cloud oder ein eigenes Rechenzentrum. Dadurch entsteht eine echte Ausweichfähigkeit für genau jene Szenarien, die über rein technische Regionalausfälle hinausgehen und die Exit-Fähigkeit oder den Zugriff auf den Anbieter insgesamt betreffen.

Der Aufwand und Kosten für Cross-Cloud kann erheblich höher sein. Er erfordert standardisierte und portable Architekturen, einen hohen Automatisierungsgrad sowie klar definierte Verantwortlichkeiten und regelmäßig getestete Wiederanlaufprozesse. Der strategische Gewinn liegt jedoch in realer Handlungsfreiheit im Ernstfall. Cross-Cloud-Ansätze machen Anbieterunabhängigkeit, Portabilität und Exit-Fähigkeit nicht nur vertraglich, sondern auch technisch belastbar und zahlen damit direkt auf regulatorische Anforderungen ein.

6. Compliance und Backup-Daten

Aus Sicht der Compliance gelten Backups als vollwertige Datenverarbeitungen. Damit greifen hier grundsätzlich die gleichen Anforderungen wie für Primärsysteme, wobei man bei Themen wie Löschpflichten oder Auskunftsrechten deutlich differenzierter hinschauen muss. In Prüfungen nach DSGVO, NIS2 oder dem BSI IT-Grundschutz werden Backup-Umgebungen deshalb immer öfter als eigenständige Schutzobjekte bewertet.

Backup-Daten unterliegen oft sogar strengeren Regeln als die Live-Systeme, weil sie ganze Datenbestände über lange Zeiträume abbilden und somit besonders schützenswert sind. Fachlich gibt es hier jedoch wichtige Nuancen, die man kennen sollte. Auskunftsrechte nach Artikel 15 der DSGVO müssen zum Beispiel meistens nicht direkt aus den Backup-Archiven erfüllt werden, da dies oft einen unverhältnismäßigen Aufwand bedeuten würde. Beim Löschen ist die Lage komplexer, denn in einem fertigen Backup kann man nicht einfach einzelne Datenpunkte entfernen, ohne die Kette zu zerstören. Hier braucht es kluge Ansätze wie das logische Löschen oder fest definierte Zyklen zum Überschreiben, um den rechtlichen Vorgaben gerecht zu werden.

Für die Praxis leiten sich daraus einige zentrale Anforderungen ab:

• Klare Regeln für Speicherort und Zugriffsberechtigungen, um Verfügbarkeit und Schutz der gesicherten Daten sicherzustellen.
• Durchdachte Löschkonzepte, die den Spagat zwischen technischer Funktionsfähigkeit und datenschutzrechtlichen Anforderungen abbilden.
• Eine nachvollziehbare Dokumentation des Wiederherstellungsprozesses, damit Abläufe im Ernstfall überprüfbar und auditierbar sind.
• Konsequente Verschlüsselung, bei der die Organisation vollständig über die Schlüsselhoheit verfügt.

Ein sorgfältiger Umgang mit diesen Punkten sorgt dafür, dass Backup‑Umgebungen sowohl technisch zuverlässig als auch rechtlich sauber betrieben werden können.

Fazit

Digitale Souveränität ist keine abstrakte Eigenschaft von Cloud-Verträgen, Zertifikaten oder Datenstandorten. Sie manifestiert sich in der operativen Freiheit, auch bei einem Totalausfall oder einem plötzlichen Anbieterwechsel handlungsfähig zu bleiben.

Backup und Disaster Recovery sind damit kein nachgelagertes Betriebsthema, sondern ein zentraler Bestandteil von Governance, Risikomanagement und unternehmerischer Verantwortung. Proprietäre Formate, anbieterabhängige Wiederherstellungsprozesse oder fremdkontrollierte Schlüssel untergraben diese Fähigkeit – selbst dann, wenn der Normalbetrieb stabil und regelkonform erscheint.

Das Ziel ist eine Cloud-Architektur, bei der:

• Daten unabhängig vom Primäranbieter wiederherstellbar sind
• Wiederanläufe ohne externe Abhängigkeiten funktionieren
• rechtliche und regulatorische Anforderungen auch im Notfall eingehalten werden,
• und Exit- sowie Migrationsszenarien technisch realisierbar bleiben.

Die entscheidende Frage lautet daher nicht, wie leistungsfähig eine Cloud im Alltag ist, sondern: Können wir unsere geschäftskritischen Systeme auch dann wieder in Betrieb nehmen, wenn unser Hauptanbieter nicht mehr zur Verfügung steht.
Organisationen, die diese Frage heute fundiert beantworten können, verfügen über echte digitale Souveränität – und schaffen damit die Grundlage für eine langfristig tragfähige Cloud‑Strategie.

Wir unterstützen Sie gerne bei der Entwicklung einer Backup- und Recovery Strategie. Sprechen Sie uns an: Jetzt Termin vereinbaren!

Share
Kontakt
Alena Mattfeldt
Senior Consultant Cloud Services

Telefon +49 (0)174 9258355
cloud@btc-ag.com
Kontakt
BTC AG
  • {{ suggestion }}
{{ searchResults.length }} Ergebnisse für: {{ submittedSearchString }}
{{ result.name }}
{{ result.content }}
Klick