Datensicherung ist längst kein reines IT-Thema mehr. Sie ist wichtiger Bestandteil von unternehmerischer Verantwortung und damit sowohl Führungs- als auch Steuerungsaufgabe. Die Geschäftsführung und IT-Leitung eines Unternehmens stehen heute gemeinsam in der Pflicht, Risiken realistisch einzuordnen und vorausschauend Entscheidungen zu treffen, die die Handlungsfähigkeit des Unternehmens sichern.

Cyberangriffe, Systemausfälle oder menschliche Fehler sind Teil der Realität moderner Organisationen. Die entscheidende Frage lautet nicht mehr, ob es zu einem Vorfall kommt, sondern wie klar Rollen, Verantwortlichkeiten und Erwartungen definiert sind, wenn es passiert.

In der Praxis zeigt sich häufig eine gefährliche Lücke: Die Geschäftsführung geht davon aus, dass die IT das Thema „im Griff hat“. Die IT-Leitung wiederum geht davon aus, dass Rahmenbedingungen, Prioritäten und Risikobereitschaft auf Managementebene geklärt sind. Dazwischen entsteht eine trügerische Sicherheit, bis der Ernstfall eintritt.

In diesem Expert Talk sprechen wir mit Marc Hurrelmann, Geschäftsführer der Midland IT, und Jenny Sassenberg, Product Ownerin für Terra Cloud Backup bei Midland IT, darüber, wie Datensicherung heute richtig einzuordnen ist. Aus Sicht der Produktverantwortung beleuchtet Sassenberg die Schnittstelle zwischen Geschäftsführung und IT-Leitung: Welche Entscheidungen gehören auf die Management-Ebene, wo braucht es klare Leitplanken für die IT und was Unternehmen konkret tun müssen, um im Ernstfall nicht nur Daten, sondern auch Vertrauen und Handlungsfähigkeit zu sichern.

Viele Geschäftsführungen verlassen sich darauf, dass „die IT das schon regelt“. Ab welchem Punkt wird dieses Vertrauen riskant und welche Verantwortung trägst du als Geschäftsführer ganz konkret, wenn Systeme stillstehen und Entscheidungen unter Zeitdruck getroffen werden müssen?

Hurrelmann: Vertrauen in die eigene IT ist richtig, aber blindes Vertrauen ist riskant. Es wird spätestens dann gefährlich, wenn Verantwortung nicht mehr bewusst wahrgenommen, sondern stillschweigend delegiert wird. Als Geschäftsführer trage ich die Gesamtverantwortung: Nicht nur für den Datenschutz, sondern auch für die Informationssicherheit und vor allem für die Verfügbarkeit unserer Systeme. Und genau das ist auch regulatorisch relevant.

Mit der Datenschutz-Grundverordnung (DSGVO) und der NIS-2-Richtlinie werden Anforderungen an IT-Sicherheit und Resilienz klar formuliert. Was bedeutet das für Unternehmen?

Hurrelmann: Es geht nicht nur darum, Daten zu schützen, sondern auch darum, ein lauffähiges System sicherzustellen. Die Sicherstellung der Betriebsfähigkeit ist damit keine rein technische Aufgabe mehr, sondern eine gesetzliche Verpflichtung auf Managementebene.

Die Frage ist nicht: Haben wir ein Backup? Die Frage ist: Wie lange können wir ohne unsere Systeme überleben?

Hier kommen Begriffe wie RTO und RPO ins Spiel …

Hurrelmann: Genau, und die gehören nicht nur ins IT-Handbuch, sondern auf den Tisch der Geschäftsführung.

RTO (Recovery Time Objective) beschreibt, wie viel Zeit vergeht, bis ein System wieder betriebsfähig ist. Ohne funktionierendes Backup ist das häufig gar nicht realistisch möglich. Und selbst mit Backup kann der Wiederanlauf Tage dauern. Für manche Unternehmen reicht das bereits, um in existenzielle Schwierigkeiten zu geraten.

RPO (Recovery Point Objective) beschreibt, auf welchen Zeitpunkt wir im Ernstfall zurückspringen. Also: Wie viele Daten verlieren wir?

Der kritische Punkt liegt im Zusammenspiel beider Werte, richtig?

Hurrelmann: Vereinfach gesagt: Die Differenz zwischen RPO und RTO ist der reale wirtschaftliche Schaden. Wenn dieser Zeitraum zu groß ist, drohen Umsatzverluste, Vertragsstrafen, Imageverlust und im schlimmsten Fall Insolvenz. Hinzu kommt: Backup ist heute keine Absicherung mehr nur gegen Feuer, Wasser oder menschliches Fehlverhalten. Wir sprechen schließlich auch von gezielten Cyberangriffen, industrieller Zerstörung und Datendiebstahl.

Backups werden dadurch also noch wichtiger?

Hurrelmann: Ein funktionierendes Backup ist heute die einzige echte Rückversicherung gegen digitale Existenzbedrohung. Wie hoch dieses Risiko ist, kann die IT allein gar nicht bewerten. Sie kennt Systeme, aber nicht zwangsläufig die betriebswirtschaftlichen Auswirkungen oder den Imageschaden.

Deshalb müssen Geschäftsführung und IT gemeinsam definieren: Welche Systeme sind geschäftskritisch? In welcher Reihenfolge werden sie wiederhergestellt Welchen Ausfall können wir uns leisten – und welchen nicht?

Solche Fragen sollten nicht erst unter Zeitdruck im Ernstfall beantwortet werden. Idealerweise werden Notfallpläne bereits im Voraus erstellt und regelmäßig getestet. In der Praxis zeigt sich jedoch häufig, dass sie erst nach einem eingetretenen Vorfall ausgearbeitet werden. Ein sauber strukturiertes und getestetes Backup bildet dabei die Grundlage jeder realistischen Notfallplanung.

Wenn ein Unternehmen nach einem Vorfall stunden- oder tagelang eingeschränkt handlungsfähig ist: Welche geschäftlichen Folgen werden aus deiner Erfahrung am häufigsten unterschätzt: etwa gegenüber Kunden, Partnern oder Mitarbeitenden?

Hurrelmann: Viele unterschätzen nicht den technischen Schaden, sondern den organisatorischen.“ Wenn alles verschlüsselt ist, beginnt nicht zuerst die Technik zu brennen, sondern die Organisation.

Plötzlich stellen sich Fragen wie:

Wer kommuniziert mit Mitarbeitenden?
Wer informiert Kunden und Partner?
Wer meldet den Vorfall bei der zuständigen Datenschutzbehörde?
Wer spricht mit der Presse?
Wer koordiniert externe IT-Forensik?
Wer unterstützt konkret bei der Wiederherstellung?

Und häufig ist genau das nicht klar definiert. Gerade im Kontext der DSGVO ist die Kommunikation mit der zuständigen Landesdatenschutzbehörde innerhalb enger Fristen verpflichtend. Parallel erwarten Kunden Transparenz. Mitarbeitende sind verunsichert. Lieferketten geraten ins Stocken.

Ist ein IT-Ausfall also in Wahrheit eine Unternehmenskrise?

Hurrelmann: Absolut. Zusätzlich wird häufig ein praktischer Aspekt unterschätzt: Nach einem Sicherheitsvorfall können Systeme für eine forensische Analyse isoliert werden, etwa durch IT-Forensiker oder im Rahmen von Prüfungen durch Versicherungen oder Datenschutzbehörden. Während dieser Analysephase stehen die betroffenen Systeme meist nicht zur Verfügung. Daraus ergeben sich zentrale Fragen: Wie schnell kann Ersatz bereitgestellt werden? Wer hat Zugriff auf Wiederanlauf-Dokumentationen, wenn zentrale Systeme nicht erreichbar sind? Die eigentliche Herausforderung besteht daher nicht nur in der Wiederherstellung der Daten, sondern auch in der strukturierten Koordination des Wiederanlaufs.

Im Ernstfall entscheidet nicht Technik allein, sondern Klarheit über Zuständigkeiten. Unternehmen, die das vorher definiert haben, handeln strukturiert. Alle anderen reagieren hektisch und verlieren wertvolle Zeit.

Woran kann eine Geschäftsführung heute realistisch erkennen, ob ihre Backup-Strategie zur eigenen Risikobereitschaft passt oder ob sie sich auf Annahmen verlässt, die im Ernstfall nicht tragen würden?

Hurrelmann: Für die Unternehmensleitung ist es wichtig, zentrale Kennzahlen wie RTO und RPO zu verstehen und einordnen zu können. Auch wenn dies oft eine eher ungeliebte, aber notwendige Aufgabe ist, bildet dieses Verständnis die Grundlage für eine belastbare Backup- und Notfallstrategie. Eine solche Strategie erkennt man nicht allein an der Existenz einer technischen Lösung, sondern an einem strukturierten und dokumentierten Konzept.

Dazu gehört:

• Eine klare Übersicht aller Server und Systeme
• Die Zuordnung zu Geschäftsprozessen
• Die Definition von RPO und RTO pro Prozess
• Eine Priorisierung für die Wiederherstellung
• Ein schriftlicher Notfallplan

Entscheidend ist vermulich die Transparenz?

Hurrelmann: Korrekt. Ein Backup-Konzept muss so strukturiert sein, dass es auch außerhalb der IT verstanden wird. Aber Dokumentation allein reicht nicht. Erst regelmäßige Recovery-Tests und Notfallübungen zeigen, ob Theorie und Praxis übereinstimmen. „Ein Backup, das nie getestet wurde, ist eine Annahme und keine Sicherheit.“ Geschäftsführung und IT müssen regelmäßig gemeinsam prüfen:

• Passen unsere Wiederanlaufzeiten noch zur heutigen Geschäftsdynamik?
• Haben sich Prozesse verändert?
• Sind neue Systeme hinzugekommen?
• Ist unsere Risikobereitschaft realistisch oder nur optimistisch?

Am Ende ist Datensicherung also keine technische Disziplin, sondern eine strategische Entscheidung?

Hurrelmann: Cyberresilienz beginnt nicht im Serverraum. Sie beginnt im Management.

Wenn Cyberresilienz im Management beginnt, entscheidet sich ihre Wirksamkeit in der operativen Umsetzung. Denn zwischen strategischer Entscheidung und technischer Realität entsteht häufig genau jene Lücke, die im Ernstfall sichtbar wird: Zuständigkeiten sind unklar, Prioritäten nicht abgestimmt, Annahmen nie getestet.

Wie diese Schnittstelle in der Praxis funktioniert und wo sie regelmäßig brüchig wird, erlebt Jenny Sassenberg täglich in ihrer Rolle als Product Ownerin für Terra Cloud Backup.

Sie arbeitet genau dort, wo Management-Vorgaben auf technische Umsetzung treffen. Und sie sieht, warum Backup zwar oft vorhanden ist, aber nicht automatisch Handlungsfähigkeit bedeutet.

Danke, Marc. Dann haken wir doch gleich direkt bei Jenny Sassenberg nach!

Marc Hurrelmann, Geschäftsführer der Midland IT GmbH

Jenny, du arbeitest an der Schnittstelle zwischen Geschäftsführung und IT-Leitung. Wo entstehen beim Thema Datensicherung in der Praxis die größten Missverständnisse und warum werden sie oft erst sichtbar, wenn es bereits kritisch wird?

Sassenberg: Das größte Missverständnis ist: Backup bedeutet nicht automatisch, dass alles läuft. Viele denken, die Existenz eines Backups reicht und dabei schützt es nur die Daten, nicht den laufenden Geschäftsbetrieb. In der Praxis fällt das oft erst auf, wenn es wirklich kritisch wird:

• Eine versehentlich gelöschte Datei und jeder hat schon mal lokal etwas gelöscht. Im Netzlaufwerk kann es aber problematisch werden, z. B. wenn Stundenzettel nachgeholt werden müssen.
• Ein fehlerhaftes Update, wie z.B. eine einzelne falsche Datei führte zu massiven Betriebsstörungen.
• Ransomware und hier gibt es zwei Gruppen: die, die es schon getroffen hat, und die, die es noch treffen wird.

Wenn ich dann ein Backup wiederherstellen muss, merke ich: Wir brauchen Zeit dafür.

Und wie lässt sich das auflösen?

Sassenberg: Hier kommt RTO ins Spiel: Die Zeitspanne, bis Systeme wieder einsatzbereit sind. RPO beschreibt, wie viele Daten wir maximal verlieren können. Beides ist nicht abstrakt, sondern praxisnah: Wir sehen in Tests oft, dass die Zeit oder der Datenverlust größer ist als erwartet. Nur wenn man das misst, kann man rechtzeitig Anpassungen planen.

Ein Backup existiert, aber der Betrieb steht trotzdem und das merkt man erst, wenn es ernst wird. Regelmäßige Restore-Tests zeigen genau, wie lange es dauert, und ermöglichen realistische Abstimmung zwischen Management und IT.

Was geht typischerweise schief, wenn Datensicherung ausschließlich als technische Aufgabe verstanden wird und welche strategischen Entscheidungen fehlen dann auf Management-Ebene?

Sassenberg: Backup allein hilft nicht, wenn niemand weiß, was zuerst wiederhergestellt werden muss.“ Die IT priorisiert technische Systeme, das Management denkt in Geschäftsprozessen. Ohne Abstimmung kann das zu unnötigen Stillständen führen. Zusätzlich wird Backup oft als Kostenfaktor behandelt, nicht als Risikoinvestition.

Das führt zu:

• zu kurzen Aufbewahrungszeiten
• fehlenden Offsite-Kopien
• keiner unveränderbaren Strategie

Ich würde mir wünschen, wir betrachten Backup wie eine Versicherung und man hofft, sie nie zu brauchen, aber wenn doch, entscheidet sie über Stabilität.

Wichtige strategische Fragen, die geklärt sein müssen:

• Wer trifft Entscheidungen im Ernstfall?
• Welche Systeme werden in welcher Reihenfolge wiederhergestellt?
• Ist die Kommunikationskette klar definiert?

Ohne diese Klarheit bleibt Backup reine Technik und keine Resilienz.

Im Ernstfall zeigt sich also, ob eine Datensicherung wirklich funktioniert. Welche Annahmen erweisen sich dabei besonders häufig als falsch und was sollten Unternehmen heute anders organisieren, um im Krisenfall handlungsfähig zu bleiben?

Sassenberg: Die meisten denken: Uns wird es nicht treffen. Dabei kann es jedes Unternehmen erwischen. Besonders Ransomware greift gezielt Backup-Systeme an. Eine weitere Fehleinschätzung: „Wir sind in wenigen Stunden wieder online.“

Die Realität: Zuerst Analyse und Forensik, dann Entscheidung über Wiederherstellungspunkt, Prüfung der Daten und das kostet Zeit. Hier merkt man oft, dass RTO und RPO in der Praxis länger oder größer sind als gedacht. Wer das vorher getestet hat, kann realistisch planen und handeln.

Was sollten Unternehmen heute regeln?

Sassenberg: Das lässt sich relativ kurz zusammenfassen:

• Backup als Management-Thema behandeln
• Zielwerte festlegen: Wie viel Datenverlust und Ausfallzeit ist tolerierbar?
• Isolierte, unveränderbare Backups einsetzen
• Regelmäßige Restore-Tests durchführen, Zeiten messen, Prozesse dokumentieren

Wenn Backup nur als technische Pflicht gesehen wird, wird es im Ernstfall zum geschäftlichen Risiko. Datensicherung ist kein Projekt mit Enddatum. Sie ist ein fortlaufender Entscheidungsprozess über Risiko, Verantwortung und Handlungsfähigkeit. Wer heute nicht klar definiert, was im Ernstfall passieren soll, überlässt diese Entscheidungen dem Zufall oder der Situation selbst.

Der entscheidende Unterschied liegt nicht darin, ob ein Backup existiert, sondern ob es unter realen Bedingungen funktioniert: Sind Verantwortlichkeiten geklärt? Wurden Wiederherstellungsziele realistisch definiert? Wissen alle Beteiligten, was im Ernstfall von ihnen erwartet wird?

Unternehmen, die sich jetzt ehrlich mit ihrer Datensicherungsstrategie auseinandersetzen, sichern sich nicht nur technisch ab. Sie gewinnen Klarheit, Handlungsfähigkeit und Vertrauen – intern wie extern. Und das nicht erst nach einem Vorfall, sondern genau jetzt.

Die zentrale Frage lautet daher: Sind wir vorbereitet, wenn es wirklich darauf ankommt und nicht nur: Sind unsere Daten gesichert?

Danke für das aufschlussreiche Gespräch!

Jenny Sassenberg, Product Ownerin für Terra Cloud Backup bei Midland IT

Fazit.