Databack - Récupération de données
Einen Zuschuss beantragen
DER BLOG

Test der Wiederherstellung von Bandsicherungen für die DORA-Konformität

Die DORA-Verordnung (Digital Operational Resilience Act) verlangt von vielen beaufsichtigten Unternehmen (Banken, Versicherungen, Vermögensverwalter, aber auch kritische IT-Anbieter) den Nachweis, dass sie in der Lage sind, kritische Daten schnell und effektiv wiederherzustellen. Diese Anforderung beschränkt sich nicht auf das Vorhandensein von Backups: Sie verlangt den konkreten Nachweis, dass diese in einem Krisenszenario zugänglich, verifiziert und nutzbar sind.

Während die Backups der ersten Ebene, die oft auf Festplatte oder in der Cloud gespeichert sind, regelmäßig auf ihre Wiederherstellung getestet werden, bleiben die „ultimativen“ Backups auf Bändern, die kalt gelagert werden, oft außerhalb des Validierungsumfangs. Dabei sind es gerade diese Datensätze, die man sich als letzten Ausweg erhofft, wenn die anderen kompromittiert wurden.

Resilienztest: Erwartungen von DORA erfüllen

DORA ändert dies nun: Sie schreibt ausdrücklich vor, dass alle Medien, auch Offline-Bänder, regelmäßig getestet werden müssen. Die von uns gesammelten Rückmeldungen zeigen, dass diese Wiederherstellungen von Datensicherungen im Katastrophenfall oft durch mehrere Faktoren behindert werden:

  • Nicht verfügbare oder veraltete Lesegeräte (nicht gewartete LTO-Lesegeräte (Linear Tape-Open)),
  • Fehlender Sicherungskatalog, der oft in der Produktion gehostet und während des Angriffs zerstört wird,
  • Schwierigkeiten beim schnellen Hochfahren einer VM, die die Wiederherstellung der Daten ermöglicht (VEEAM).

In diesem Rahmen wird Databack regelmäßig gebeten, Testläufe zur Wiederherstellung von Bändern durchzuführen, mit einem doppelten Ziel: die tatsächliche Nutzbarkeit der kalt gespeicherten Daten zu überprüfen und Ergebnisse zu liefern, die direkt in einem DORA-Compliance-Audit verwendet werden können.

Ziel: Auditieren der tatsächlichen Wiederherstellungsfähigkeit von Backups

Im Rahmen unseres Coachings arbeiten wir regelmäßig mit Organisationen zusammen, die ihre Fähigkeit zur Wiederherstellung kritischer Daten aus archivierten Bandsicherungen, die oft als „ultimative Sicherung“ angesehen werden, überprüfen wollen. Diese Tests werden in der Regel ausgelöst, um dieDORA-Konformität zu überprüfen,den Notfallwiederherstellungsplan zuaktualisieren oder die Ausfallsicherheit unabhängig zu überprüfen.

Das Ziel ist klar: zu beweisen, dass bei einem Totalverlust des Informationssystems eine zuverlässige Wiederherstellung möglich bleibt, selbst wenn die üblichen Werkzeuge (Produktionsinfrastruktur, Backup-Katalog, ursprüngliche virtualisierte Umgebung) fehlen.

Dazu wenden wir eine standardisierte Methode an:

Jeder Schritt wird gemessen, zeitlich gesteuert und dokumentiert, um einen vollständigen Bericht zu erstellen und die Aktualisierung des ARP zu speisen.

Dieser Wiederherstellungstest ermöglicht nicht nur die Überprüfung der Nutzbarkeit der Daten im kalten Zustand, sondern liefert auch konkrete Anhaltspunkte für die Überarbeitung des ARP und die Festlegung realistischer Wiederherstellungszeiten. Er ist auch ein Hebel zur direkten Einhaltung der DORA-Anforderungen, die regelmäßige Ausfallsicherheitstests für alle Medien, einschließlich Offline-Archive, vorschreiben.

Erfahrungsberichte: Zwischen operativen Unwägbarkeiten und rigoroser Methode

Tests zur Wiederherstellung von Bändern bringen oft Überraschungen mit sich, selbst in Umgebungen, die auf den ersten Blick unter Kontrolle sind. Unsere Interventionen haben mehrere wiederkehrende Hindernisse aufgezeigt, die die Wiederherstellungskapazität verlängern können, wenn nicht vorausschauend gehandelt wird.

Zu den häufigsten Schwierigkeiten gehört die Mobilisierung der Bänder als Spannungspunkt. Die Koordination mit IT-Teams und Drittarchivierern wird dann zu einem entscheidenden Erfolgsfaktor.

Auch der Katalog spielt eine entscheidende Rolle: Ohne einen aktuellen, ausgelagerten Sicherungskatalog wird jede Wiederherstellung zu einer blinden Übung. Das Fehlen eines solchen Katalogs oder seine Nichtverfügbarkeit in Krisensituationen verlängert die Wiederherstellungszeiten erheblich und erhöht das Risiko von Fehlern, unabhängig vom Rahmen der Übung.

Methodologie des Restaurationstests

Um diesen Zwängen gerecht zu werden, hat DATABACK ein methodisches Vorgehen entwickelt, das in drei Phasen gegliedert ist:

1- Build & Setup-Phase

Wir analysieren im Vorfeld den technischen Kontext des Kunden: Format der Datensicherungen, verwendete Tools, logistische Einschränkungen, Art der zu testenden Spiele. Ergänzend und über die Wiederherstellungsmechanik hinaus bieten wir auch eine allgemeine Beratung zum Prozess an. Dieser Schritt ermöglicht es, die Testinfrastruktur vorzubereiten und den Umfang des anstehenden Tests genau zu definieren.

2- Durchführung des Wiederherstellungstests

Nach der Sammlung der Bänder wird eine Wiederherstellung in einer isolierten Umgebung durchgeführt, ohne das IS des Kunden zu beeinträchtigen. Dieser Prozess ist vollständig instrumentiert: Jeder Schritt wird zeitlich gesteuert, jede Anomalie wird dokumentiert.

3- Abgabe des Konformitätsberichts

Der Kunde erhält einen umfassenden Bericht, der die beobachteten RTO/RPO-Metriken, das wiederhergestellte Volumen, eventuell festgestellte Ausfälle und konkrete Empfehlungen zur Verbesserung der Wiederherstellungsszenarien enthält. Dieser Bericht wird in der mit dem Kunden vereinbarten Häufigkeit (jährlich oder vierteljährlich) erstellt, je nach dem Grad der gesetzlichen oder geschäftlichen Anforderungen.

DATABACK-Ansatz: Was Sie in Ihren Aufsichtstools nie sehen werden

Die ersten Wiederherstellungstests, die wir auf kalten Bändern durchgeführt haben, haben signifikante Abweichungen zwischen den theoretischen Annahmen zur Wiederherstellung und der Realität vor Ort aufgezeigt. Diese Abweichungen sind zwar selten in den Dashboards der Backup-Tools sichtbar, können aber im Katastrophenfall direkte Auswirkungen haben.

Logistik und RTO: Eine oft unterschätzte Diskrepanz

Eine der wichtigsten Erkenntnisse betrifft die Anpassung der RTO (Recovery Time Objective), die oft unterschätzt wird. Denn über die reine technische Wiederherstellungsdauer hinaus muss in die Wiederherstellungsfrist nun auch :

  • Die Zeit, zu der die Wiederherstellungsanfrage ausgelöst wird (Koordination mit internen Teams und/oder dem Drittarchivierer),
  • Die logistischen Verzögerungen, die mit der physischen Bereitstellung der Bänder verbunden sind,
  • Die Zeit, die für die Vorbereitung der Test- oder Wiederherstellungsumgebung benötigt wird.

Diese logistische Verkettung, die in den ursprünglichen Szenarien selten berücksichtigt wurde, kann die anvisierten Fristen verdoppeln oder sogar verdreifachen, insbesondere wenn die Medien ausgelagert werden oder die Wiederherstellungsinfrastruktur dringend neu aufgebaut werden muss.

Beschädigtes Inkrement: ein typischer Fall, der bei einem Wiederherstellungstest beobachtet wurde

Ein weiterer konkreter Fall, der bei einem Test beobachtet wurde, war die Entdeckung eines teilweise beschädigten Backup-Inkrements. Diese Anomalie, die von den verwendeten Backup-Tools nicht gemeldet wurde, hätte bis zu einem echten Wiederherstellungsversuch unbemerkt bleiben können. Seine Entdeckung während des Tests führte dazu, dass dieser Satz als Grundlage für die Wiederherstellung ausgeschlossen und der Umfang der als zuverlässig eingestuften Daten angepasst wurde.

Sicherungskatalog: ein oft vernachlässigtes Bindeglied

Ein weiterer, oft unterschätzter, aber für den Erfolg eines Wiederherstellungstests zentraler Punkt ist schließlich der Status und die Verfügbarkeit des Backup-Katalogs. Dieser Katalog, der den Inhalt der Bänder, ihr Datum, ihre Struktur und ihren geschäftlichen Nutzen genau identifiziert, ist eine direkte Voraussetzung für die Geschwindigkeit und Zuverlässigkeit jedes Wiederherstellungsvorgangs.

Damit die Tests realistisch und verwertbar sind, muss der Katalog vollständig, aktuell und auch außerhalb der Produktionsumgebung zugänglich sein. In vielen Fällen wird der Katalog jedoch auf der gleichen Infrastruktur wie das Haupt-IS gehostet. In Krisensituationen, insbesondere nach einer Kompromittierung oder dem Verlust des Zugriffs, wird die Wiederherstellung des Katalogs zu einer unumgänglichen Vorstufe, die zu Verzögerungen führen kann.

Ein unbrauchbarer Katalog zwingt die Teams, blind durch Dutzende von Bändern zu navigieren, was zu mehr manuellen Eingriffen führt. Aus diesem Grund integrieren wir in unsere Vorbereitungsphase systematisch eine Katalogprüfung und sensibilisieren unsere Kunden dafür, diese Schlüsselkomponente in einen sicheren Bereich auszulagern oder zu replizieren, der unabhängig von der Produktion und den herkömmlichen Backups ist.

Diese Rückmeldungen verdeutlichen den operativen Nutzen des Wiederherstellungstests: Er validiert nicht nur die technische Kette, sondern bringt auch die blinden Flecken des Wiederherstellungsplans ans Licht– jene, die weder in den Richtlinien noch in den Dashboards auftauchen, sondern nur in der realen Prüfung.

Fazit: Restaurieren heißt beweisen

Ein Backup ohne Wiederherstellungstest ist nur eine Illusion von Sicherheit, wie Samuel Durand, technischer Leiter bei DATABACK, regelmäßig betont. Man muss sie auch finden, lesen, verstehen und vor allem rechtzeitig wiederherstellen können.

Das Testen von Wiederherstellungen bedeutet, eine Bestandsaufnahme der blinden Flecken zu machen und die hinter den theoretischen Verfahren verborgenen Lücken aufzudecken. Es ist auch eine Governance-Übung an der Schnittstelle zwischen IT, Compliance und Fachbereichen.

Diese Vorgehensweise muss zu einem Reflex werden: Sie lässt sich nicht im Moment der Katastrophe improvisieren. Deshalb begleiten wir unsere Kunden auf dem Weg zu wiederkehrenden, dokumentierten und von den Endnutzern validierten Tests der Ausfallsicherheit.

Und auch wenn das Band heute immer noch eines der zuverlässigsten Medien für die ultimative Datensicherung ist, muss es auch wirklich offline sein. Wir haben Fälle beobachtet, in denen ein Angreifer, nachdem er die Überwachungsumgebung kompromittiert hatte, methodisch die Kontrolle über den Bandroboter übernahm, um jede Kassette einzeln zu löschen. Das physische Trennen der Medien bleibt eine Mindestanforderung, um ihre Integrität zu gewährleisten.

Bei der Datensicherung ist der einzige gültige Beweis die erfolgreiche Wiederherstellung.

23 Juni 2025
Zurück zum Blog

Liste der letzten Artikel

BLEIBEN WIR IN KONTAKT

DEN NEWSLETTER ABONNIEREN

Wenn Sie Ihre E-Mail-Adresse angeben, erklären Sie sich damit einverstanden, den Newsletter von Databack zu erhalten. Sie können sich jederzeit über die Abmeldelinks, die unter den veröffentlichten Inhalten zu finden sind, abmelden. Sie können konsultieren Unsere Politik der Vertraulichkeit dédiée pour en savoir plus.
Databack Linkedin