Dass Backups ein elementarer Bestandteil des täglichen Produktivbetriebes sind, ist allerorten eine Selbstverständlichkeit. Das umfasst nicht nur das Vorhandensein bloßer Sicherungskopien, sondern auch ein Konzept, das beispielsweise regelmäßige Wiederherstellungstests vorsieht. "Keiner will Backups, alle wollen Restore" gilt längst als Bonmot der IT und mancher Admin hat die Bedeutung dahinter auf die harte Tour gelernt. Wer nämlich nicht regelmäßig verifiziert, dass angelegte Backups sich auch tatsächlich wieder einspielen lassen, steht schlimmstenfalls mit heruntergelassener Hose und leeren Händen da.

Und trotz eines Backupkonzepts, das auch Restore-Tests umfasst, klaffen in der Strategie zur Datensicherung oft Lücken. Genaueres Hinsehen lohnt sich und bei Fra- gen danach, wo denn eigentlich überall Backups der wichtigsten Daten liegen, wird das Gespräch oft einsilbig. Eine Sicherung, so heißt es dann, liegt zentral auf einem NAS, eine andere auf Platten im Safe. Das ist aber nicht tagesaktuell, denn das tägliche Kopieren des Backups auf eine USB-Platte ist mühsam und geschieht deshalb nur wöchentlich. Im Zweifelsfall sind die Verantwortlichen aber bereit, eine Reise zurück in der Zeit hinzunehmen, wenn nicht gleich die Existenz des Unternehmens auf dem Spiel steht.

Backupkonzepte, die nur lokale Datensicherungen vorsehen, verletzen die 3-2-1-Regel. Diese gibt drei Kopien aller Daten vor, die auf mindestens zwei ver- schiedenen Speichermedien lagern und von denen mindestens eine außerhalb des Standortes liegt, an dem die Daten üblicherweise zum Einsatz kommen. Gerade letzterer Punkt ist wichtig, denn alle Backups sind vergebens, wenn sie im Rahmen desselben katastrophalen Ereignisses abhanden kommen.

Was mancherorts als abwegige Überlegung gilt, ist gar nicht so undenkbar. Stellen wir uns etwa vor, die Büros einer Firma fielen einem verheerenden Feuer zum Opfer. Dann wären mit hoher Wahrscheinlichkeit die Backupdaten auf dem NAS ebenso bloß noch ein Häufchen Asche wie die im Safe. Und selbst wenn die Sicherungen dort nicht endgültig zerstört wären vergehen Tage oder Wochen bis Feuerwehr, Brandermittler und Versicherungsvertreter mit ihren Tätigkeiten vor Ort fertig sind.

Ähnlich katastrophal kann ein Einbruchsdiebstahl sein. Nehmen Bösewichte sowohl das NAS mit als auch den Tresor mit den Backups, um ihn später in Ruhe bearbeiten zu können, waren alle Bemühungen vergebens. IT-Verantwortliche können dem Problem mit einem tonnenschweren Safe begegnen, der nicht einfach abzutransportieren ist. Oder sie nutzen die Vorteile der Cloud geschickt, um zu geringen Kosten Offsite-Backups der eigenen Daten zu erstellen. Dabei gibt es allerdings ein paar Details zu beachten.

Um das Backupkonzept um hybride Aspekte zu erweitern, müssen Sie zunächst Art und Umfang der zu sichernden Daten erfassen. Dabei ist es wichtig, in alle Richtungen zu denken: Am offensichtlichsten sind für viele Administratoren die lokalen Daten auf den Anwender-PCs. Für diese findet sich das primäre Backup häufig auf einem lokalen NAS oder einem zentralen Server im Unternehmen. Dies allein erfüllt allerdings noch keinen einzigen der drei Aspekte der 3-2-1-Regel. Auch die Daten auf Servern liegen den Administratoren meist am Herzen, insbesondere die tatsächlichen Nutzdaten. Wer flächendeckend auf Automation setzt, stellt einen großen Teil seiner Umgebung notfalls darüber wieder her – für Nutzdaten funktioniert das aber nicht. Der Inhalt einer MySQL-Datenbank etwa ist üblicherweise zu sichern. Und auch hier ist die 3-2-1-Regel anwendbar.

Deutlich seltener auf dem Schirm haben viele Admins Daten, die bereits in der Cloud liegen. Nutzen Sie beispielsweise Microsoft 365 oder Google Workspace, tun Sie gut daran, auch von diesen Daten valide Backups zu haben – und zwar an mehreren Orten. Das indes gestaltet sich bereits deutlich komplexer als das Sichern einer lokalen Windows-Instanz. Denn die Daten lassen sich etwa von Google Drive nicht so herunterladen, wie sie dort abgelegt sind. Exportieren lässt sich allenfalls eine DOCX-Datei eines Textdokumentes, die in Microsoft Word oder LibreOffice hoffentlich funktioniert.

Die Krux bei der Sache ist nun, dass von der Art der zu sichernden Daten abhängt, welche Werkzeuge für hybride Backupszenarien infrage kommen. Die genutzten Tools bestimmen auch, wie die Daten gegen den Einblick Dritter zu schützen sind und wo sie letztlich lagern. Eine allgemeingültige Aussage über zu nutzende Sicherungswerkzeuge lässt sich somit nicht formulieren. Stattdessen ist auch für das Ablegen von zusätzlichen externen Backups ein Konzept nötig, das bestenfalls verschiedene Werkzeuge kombiniert – und dabei jeweils auf die besten Vertreter der Zunft setzt. Spezialisierte Werkzeuge gibt es dabei für NAS-Laufwerke, Serverdaten, Clients und praktisch auch für jedes andere denkbare Szenario.

Um es noch einmal deutlich zu sagen: Aus Backupsicht sind die besten Daten jene, die Sie gar nicht sichern müssen, weil sie generisch wiederherstellbar sind. Das umfasst bei typischen Clients das Betriebssystem in Kombination mit einem Automationswerkzeug. Alternativ kann ein an die lokalen Bedürfnisse angepasstes Installationsabbild für Windows & Co. zum Einsatz kommen. Ganz gleich für welchen Weg Sie sich entscheiden, sollte am Ende des Installationsvorgangs ein System stehen, auf dem alle nötigen Programme installiert und so weit wie möglich eingerichtet sind.

Dabei ist allerdings zu beachten, dass die Infrastruktur für die Automation selbst entsprechend zu sichern ist. Im Fall einer Katastrophe genügt es dann, ein Ersatzgerät mit dem gewünschten Abbild wiederherzustellen und im nächsten Schritt die Backupsoftware ihren Dienst verrichten zu lassen. Für Clients existieren dabei – je nach Betriebssystem und Version – verschiedene Ansätze, von denen viele auf das Erstellen hybrider Sicherungen ausgelegt sind.

Besonders hervorzuheben ist an dieser Stelle Kopia [1], denn dieses plattformübergreifende Werkzeug funktioniert für alle gängigen Betriebssysteme. Es hat auch eine der größten Sammlungen unterstützter Speicherziele – dies umfasst neben Amazon S3 oder damit kompatiblen Speichern auch Azure Blob Storage, Backblaze B3, Google Cloud Storage und andere Ziele, wenn diese WebDAV oder SFTP sprechen. Mittels des Rclone-Plug-ins lassen sich zudem Backups auf Google Drive oder OneDrive von Microsoft ablegen. Besonders praktisch ist, dass Kopia eine integrierte Verschlüsselungsfunktion bietet.

Spätestens jetzt ist der passende Moment, sich ein Ziel zum Ablegen der Offsite-Backups auszusuchen. Die naheliegendste Variante sind die Onlinespeicher der großen Cloudanbieter AWS, Azure und Google Cloud. Doch diesen ist gemein, dass sie US-amerikanische Konzerne sind und es für europäische Unternehmen mithin ein implizites Risiko darstellt, dort Daten abzulegen. Das gilt sowohl im Hinblick auf das Thema Datenverfügbarkeit als auch in Sachen Datenschutz. Die aktuelle US-Regierung gilt nicht gerade als verlässlich. Entsprechend ist es ein implizites Risiko, Offsite-Backups eigener Daten auf dem offiziellen S3 oder bei Azure oder Google zu hinterlegen. Werden jene Dienste zum Spielball in einem Wirtschaftskonflikt, stehen die hinterlegten Daten schlimmstenfalls nicht mehr zur Verfügung.

Die gute Nachricht ist, dass europäische Alternativen in vielen Varianten zur Verfügung stehen. Die Open Telekom Cloud etwa bietet auch einen S3-kompatiblen Speicher wie OVH in Frankreich, Cleura aus Schweden oder StackIt aus Deutschland. Kopia funktioniert mit eben jenen Diensten ebenso wie mit dem originalen S3. Dasselbe gilt für die meisten anderen Backuptools, die das Sichern von Daten per S3 ermöglichen.

Überhaupt ist der Einsatz einer Software für das inkrementelle Sichern von Dateien mit Verschlüsselungsfunktion und einem S3-Speicher der einfachste Weg, Offsite-Backups zu erstellen. Beachten müssen Sie dann lediglich, den genutzten Schlüssel der Verschlüsselung ebenfalls an mehreren Orten zu sichern. Im Zweifelsfall empfiehlt es sich sogar, diesen separat in einem Bankschließfach zu hinterlegen. Denn im äußersten Notfall ist der Schlüssel zusammen mit den Daten der Pfad zur erfolgreichen Wiederherstellung.

Sie sollten diese zentrale Frage nach dem zusätzlichen Standort für eine weitere Sicherungskopie frühzeitig klären. Denn davon hängt auch die Wahl der Backupwerkzeuge und -konzepte ab. Nicht jedes Programm lässt sich mit jedem Dienst nutzen und manche – gerade kommerzieller Provenienz – unterstützen nicht alle benötigten Features. Verschlüsselte Backups beispielsweise muss die genutzte Software aktiv anlegen können, die Funktion ist aber nicht immer ab Werk eingebaut. Sind Sie sich also frühzeitig im Klaren darüber, wo letztlich Daten in welcher Form lagern sollen, machen Sie sich das Leben deutlich leichter.

Infrage kommen meist ohnehin recht offensichtliche Kombinationen. Setzen Sie etwa verstärkt auf Hyperscaler, lagern dort viele Meta- wie Nutzdaten, die Sie an mindestens einem Standort außerhalb der Cloud sichern müssen – oder zumindest bei einem anderen Anbieter. Es ist dann durchaus denkbar, Backups der Daten aus AWS verschlüsselt auf Google Drive zu platzieren oder die Metadaten aus Azure in verschlüsselter Form in S3 zu sichern. Komplementär kommt natürlich auch die Ablage auf der lokalen Infrastruktur in Betracht. Die muss mittels eines standardisierten Verfahrens wie WebDAV oder NFS erreichbar sein, damit die Backupsoftware sie entsprechend verwenden kann.

Geht es hingegen um das Sichern vor allem lokaler Daten, kommt primär die Cloud in verschlüsselter Variante ins Spiel. Wobei auch hier der On-Premises-Ansatz natürlich möglich bleibt. Möchten Sie beispielsweise die Backups des NAS aus Büro 1 an einem weiteren Standort sichern, installieren Sie ein baugleiches NAS in Standort 2 und richten zwischen den Geräten eine Synchronisation ein. Dabei müssen Sie lediglich darauf achten, dass die gegebene Netzwerkinfrastruktur mit dem entstehenden Datenverkehr zurechtkommt. Ist Ihre Firma mit 50 MBit/s im Downstream und 10 MBit/s im Upstream angebunden hat, wie es in Deutschland in vielen Gegenden leider noch immer üblich ist, kann das NAS beim Kopieren der Backupdaten regelmäßig die Leitung blockieren. Wie wir es auch drehen und wenden: Zuvorderst sollten Sie sich auf die Suche nach einer geeigneten Lokation für Offsite-Backups machen, erst dann geht die restliche Planung über die Bühne.

NAS-Speicher können eine zentrale Rolle in einem Backupkonzept spielen. Das gilt auch, wenn dieses die 3-2-1-Regel beherzigt und Kopien von Daten an anderen Standorten vorsieht. Denn beispielsweise bieten die Geräte der beiden Hersteller Synology und Qnap gleich mehrere Funktionen für Offsite-Backups. Die unterstützen sowohl das redundante Ablegen von Daten aus der Cloud als auch das redundante Speichern lokaler Daten an einem anderen Standort. Die folgenden Beispiele sollen das verdeutlichen.

Um beispielsweise sicherzugehen, dass Daten aus der Cloud in lokaler Kopie auch auf der eigenen Infrastruktur vorliegen, greifen Sie zu "Synology Cloud Sync" oder "Hybrid Backup Sync" (HBS) von Qnap. Beide Werkzeuge zeichnet aus, dass sie lokale Inhalte einerseits in die Cloud laden und dortige Daten andererseits in lokaler Kopie anlegen. Zudem finden sich für die Geräte beider Hersteller umfassende Werkzeuge für die einzelnen Hyperscaler-Dienste. Im App-Store von Synology beispielsweise Tools, die Backups der Daten von Google Drive oder Microsoft 365 lokal anlegen können. Die kommunizieren dann zum Teil auch unmittelbar mit den APIs der jeweiligen Dienste, was die Administration deutlich erleichtert.

Ein Problem kann bei Cloud Sync oder HBS allerdings sein, dass die Werkzeuge keine verschlüsselten Backups erledigen. Im Kontext von geschäftlichen Daten eignen sie sich folglich vor allem, um Inhalte aus der Cloud auch lokal zu sichern. Alternativ steht es dem Administrator frei, als "Cloud" nicht einen Hyperscaler zu nutzen, sondern einen entfernten Server unter der eigenen Fuchtel. Das kann beispielsweise NextCloud oder ownCloud mit aktiviertem WebDAV sein. Auch diese Protokolle beherrschen die Tools beider Hersteller nämlich problemlos.

Wie bereits angesprochen, bieten die NAS-Laufwerke beider Hersteller zudem umfangreiche Funktionen, um Daten miteinander auszutauschen. Verwalten Sie also mehrere Standorte (und dort jeweils eine performante Leitung), richten Sie eine Replikation dazwischen ein und erledigen das Offsite-Backup-Thema dadurch umfassend. De facto ist dieser Ansatz einer der leichtesten für eine vollständige und flexible Datensicherheit über die Grenzen einer Site hinweg. Wer zu den etwas höherpreisigen Geräten der Hersteller greift, bekommt auch Funktionen wie NFS, NVMe-over-Fabric (NVMe-oF) oder iSCSI. Dadurch lässt sich das Offsite-Backup-Thema auch für an das NAS angeschlossene Dienste wie virtuelle Instanzen abhaken.

Setzen Sie auf die Bordmittel von Linux, sollten Sie ebenfalls über ein NAS nachdenken – allerdings eines der Marke Eigenbau. So lassen sich etwa die Geräte von Asustor problemlos mit freien NAS-Umgebungen wie FreeNAS verwenden. Solche Konstrukte können als Backupziel etwa für TimeMachine ebenso zum Einsatz kommen wie für dateibasierte Backups für Windows. Hier existiert grundsätzlich die Option, Daten zwischen verschiedenen Geräten mittels Werkzeugen wie rsync zu spiegeln. Der eigentliche Backupjob ist dabei stets lokal implementiert, doch um das Kopieren der Daten kümmert sich das NAS autark.

Von zentraler Bedeutung sind natürlich ebenfalls die Backups der Daten auf den firmeneigenen Servern. Im Grunde ist es dabei auch unerheblich, ob sich diese Maschinen virtuell in der Cloud befinden oder auf eigener Hardware vor Ort. Weil der Administrator auf die Cloud selbst aber praktisch keinen Einfluss hat, empfiehlt es sich, die Daten von dort an mindestens einer Stelle auf eigener Infrastruktur zu lagern, idealerweise aber an mehreren. Welche technischen Konzepte dabei zum Einsatz kommen können, hängt stark von der Strategie ab.

Schwierig wird es, wenn Sie sich bei Cloud-Workloads auf die Backupwerkzeuge der jeweiligen Plattform verlassen. So bringt etwa DBaaS (Database-as-a-Service) bei allen Hyperscalern ein eigenes Backupfeature mit. Dieses legt die Sicherung dann aber in Form von Snap- shots des jeweiligen Volumes direkt in der Umgebung an.

Wollen Sie diese Daten auslesen und an einen anderen Ort kopieren, greifen Sie zur Backupanwendung, die Sicherungen von Cloud-Volumes des jeweiligen Anbieters unterstützt, die Backups dann verpackt und an einen anderen Ort kopiert. Open-Source-Werkzeuge wie Bareos oder Bacula sind hier ebenso valide Kandidaten wie proprietäre Anwendungen wie Veeam, SEP Sesam oder Acronis. Praktisch allen Kandidaten ist gemein, dass sie eine Vielzahl von Protokollen und Standards sowohl für die Datenquellen als auch die Backupziele unterstützen.

Alternativ können Sie zu klassischen Open-Source-Mitteln greifen. Kopia haben wir bereits erwähnt und mit seiner nativen S3-Schnittstelle fertigt es auf Servern Backups von Laufwerken, Dateisystemen oder einzelnen Diensten an, die es dann auf Wunsch verschlüsselt in die Cloud lädt.

Eine Alternative ist Duplicati [2], das ebenfalls eine native S3-Schnittstelle mitbringt. Möchten Sie lieber auf eigener Infrastruktur arbeiten und dafür ein NFS- oder Samba-Dateisystem per Netzwerk einsetzen, sind Sie mit BorgBackup [3] ebenfalls gut bedient. Das Tool bietet einerseits dateibasierte Backups und verfügt andererseits über eine eingebaute Kopierfunktion für mehrere Zeilen. Es ist vollständig mittels Kommandozeile zu steuern und kommt ohne eigenes GUI daher.

Hybride Backups sind ein guter Weg, um die Sicherheit von Daten über die Grenzen eines Standortes hinweg zu gewährleisten. An Möglichkeiten und Werkzeugen mangelt es dabei nicht und praktisch alle relevanten Werkzeuge – Open Source oder proprietär – bieten Unterstützung für alle gängigen Hyperscaler-Protokolle (insbesondere S3) ebenso wie für verschiedene Formate von Volumes und lokale Protokolle (NFS, Samba).

Das Zünglein an der Waage dürfte für die meisten Konzepte entsprechend eher die Frage sein, wo die Daten sicher lagern sollen. Mit einem Werkzeug, das Daten vor dem Upload zuverlässig verschlüsselt, ist die Cloud eine gute Alternative für Unternehmen, die günstig eine große Menge Speicherplatz benötigen und keine eigene Infrastruktur dafür betreiben möchten. Wer die Souveränität über die eigenen Daten anstrebt, findet in NAS-Laufwerken Erfüllung, die für relativ kleines Geld zu haben sind aber dennoch zuverlässig und gut funktionieren. Das alles zeigt: Offsite-Backups sind dank der Cloud heute kein teurer Spaß mehr und technisch gut zu realisieren. Gute Planung ist allerdings mehr als die halbe Miete und hybride Backups müssen fixer Teil des jeweiligen Sicherungskonzepts sein.