--- title: "Backup-Architektur für KRITIS: Referenzdesign" date: 2026-02-24T14:35:00+01:00 author: FAST LTA canonical_url: "https://www.fast-lta.de//de/blog/backup-architektur-kritis-referenzdesign" section: "Entries: Articles" --- ### 1. Regu­la­to­ri­scher Rah­men: Was KRI­TIS-Betrei­ber beim Back­up schul­den [\#](#1-regulatorischer-rahmen-was-kritis-betreiber-beim-backup-schulden "1. Regulatorischer Rahmen: Was KRITIS-Betreiber beim Backup schulden") #### KRI­TIS-Dach­ge­setz und NIS2UmsuCG [\#](#kritis-dachgesetz-und-nis2umsucg "KRITIS-Dachgesetz und NIS2UmsuCG") Das KRI­TIS-Dach­ge­setz (in Kraft seit 17. März 2026) und das NIS2UmsuCG (in Kraft seit 6. Dezem­ber 2025) adres­sie­ren Daten­si­che­rung aus zwei unter­schied­li­chen Perspektiven: - **KRI­TIS-Dach­ge­setz:** For­dert phy­si­sche und digi­ta­le Resi­li­enz der Anla­gen und Sys­te­me. Back­ups müs­sen Not­fall­sze­na­ri­en abde­cken, inklu­si­ve Aus­fall des Backup-Anbieters. - **NIS2UmsuCG / §30 BSIG:** For­dert expli­zit Back­up-Manage­ment und Wie­der­her­stel­lung als eine der Kern­an­for­de­run­gen. Regel­mä­ßi­ge Tests der Wie­der­her­stel­lungs­fä­hig­keit sind kei­ne Emp­feh­lung, son­dern Pflicht. KRI­TIS-Betrei­ber gel­ten unter dem NIS2UmsuCG in der Regel als beson­ders wich­ti­ge Ein­rich­tun­gen. Damit addie­ren sich bei­de Anfor­de­rungs­rah­men, und es gilt die höchs­te Buß­geld­ka­te­go­rie: bis 10 Mil­lio­nen Euro oder 2 Pro­zent des welt­wei­ten Jah­res­um­sat­zes, je nach­dem, wel­cher Wert höher ist. #### BSI CON.3: Das Daten­si­che­rungs­kon­zept als Pflicht­do­ku­ment [\#](#bsi-con-3-das-datensicherungskonzept-als-pflichtdokument "BSI CON.3: Das Datensicherungskonzept als Pflichtdokument") Der BSI-Grund­schutz-Bau­stein CON.3 (Daten­si­che­rungs­kon­zept) defi­niert den tech­ni­schen und orga­ni­sa­to­ri­schen Min­dest­stan­dard. Für KRI­TIS-Betrei­ber sind fol­gen­de Anfor­de­run­gen beson­ders relevant: - **Daten­si­che­rungs­pla­nung:** schrift­li­ches Kon­zept mit RPO und RTO je System - **Regel­mä­ßi­ge Tests der Daten­si­che­rung:** Reco­very-Tests mit doku­men­tier­ten Ergebnissen - **Siche­rung vom Netz getrennt:** min­des­tens eine Kopie off­line (3 – 2‑1 – 1‑0-Regel) - **Ver­schlüs­se­lung von Siche­rungs­ko­pien:** Back­ups im Ruhe­zu­stand und bei Über­tra­gung verschlüsselt BSI-Audi­to­ren prü­fen das schrift­li­che Daten­si­che­rungs­kon­zept und abge­leg­te Test­ergeb­nis­se. Feh­len­de Tests oder feh­len­de Off­line-Kopien füh­ren zu Beanstandungen. #### Off­line-Back­up als fak­ti­sche Pflicht [\#](#offline-backup-als-faktische-pflicht "Offline-Backup als faktische Pflicht") Die BSI-Emp­feh­lung zur 3 – 2‑1 – 1‑0-Regel (drei Kopien, zwei Medi­en­ty­pen, eine geo­gra­fisch getrenn­te Kopie, eine off­line, null Feh­ler beim letz­ten Res­to­re-Test) ist für KRI­TIS-Betrei­ber fak­tisch ver­bind­lich: Die Anfor­de­rung nach Ran­som­wa­re-Resi­li­enz und nach­ge­wie­se­ner Wie­der­her­stel­lungs­fä­hig­keit lässt sich ohne Off­line-Kopie nicht glaub­wür­dig erfüllen. --- ### 2. Das KRI­TIS-Back­up-Refe­renz­de­sign: Vier-Tier-Archi­tek­tur [\#](#2-das-kritis-backup-referenzdesign-vier-tier-architektur "2. Das KRITIS-Backup-Referenzdesign: Vier-Tier-Architektur") Eine regu­la­to­risch belast­ba­re Back­up-Archi­tek­tur für KRI­TIS-Betrei­ber besteht aus vier Schichten: **Tier 1: Pri­mär­sys­tem (Pro­duk­ti­on)** - Ser­ver, VMs, Daten­ban­ken, Leitsysteme - Angriffs­flä­che: hoch - Daten flie­ßen per Back­up-Agent in Tier 2 **Tier 2: Online-Backup-Repository** - Pri­mä­res Back­up, schnel­le Wiederherstellung - RPO: 1 bis 4 Stun­den, RTO: unter 1 Stunde - Angriffs­flä­che: mit­tel, da über Cre­den­ti­als erreichbar - Daten flie­ßen per Back­up-Copy-Job in Tier 3 **Tier 3: Air-Gap-Lay­er (phy­sisch oder gal­va­nisch isoliert)** - Silent Brick Sys­tem (Pro oder Max Air) - RPO: 24 Stun­den, RTO: 4 bis 8 Stunden - Angriffs­flä­che: minimal - Off­line außer­halb des Back­up-Fens­ters, kei­ne Netz­werk­ver­bin­dung im Ruhezustand - Aus­ge­wähl­te Daten flie­ßen per Archi­vie­rungs­auf­trag in Tier 4 **Tier 4: WORM-Langzeitarchiv** - Silent Cubes (Hard­ware-WORM) - Betriebs­pro­to­kol­le, Audit-Logs, SCADA-Daten - Auf­be­wah­rung: je nach Sek­tor 5 bis 30 Jahre - Angriffs­flä­che: sehr gering, Daten sind hard­ware­sei­tig unveränderlich #### War­um vier Tier und nicht zwei? [\#](#warum-vier-tier-und-nicht-zwei "Warum vier Tier und nicht zwei?") Tier 2 (Online-Repo­si­to­ry) bie­tet schnel­le Wie­der­her­stel­lung ein­zel­ner Datei­en, ist aber über Netz­werk-Cre­den­ti­als erreich­bar. Ran­som­wa­re mit aus­rei­chen­den Rech­ten kann es löschen oder verschlüsseln. Tier 3 (Air-Gap-Lay­er) ist der Ran­som­wa­re-siche­re Wie­der­her­stel­lungs­pfad. Er ent­hält aktu­el­le Back­up-Daten, ist aber phy­sisch oder gal­va­nisch vom Netz getrennt. Kein Angrei­fer im Pro­duk­ti­ons­netz kann ihn erreichen. Tier 4 (WORM-Archiv) erfüllt die Anfor­de­run­gen an revi­si­ons­si­che­re Lang­zeit­spei­che­rung: Audit-Logs, Pro­to­kol­le und Betriebs­auf­zeich­nun­gen, die unver­än­der­lich auf­be­wahrt wer­den müssen. --- ### 3. Tier 3 im Detail: Air-Gap-Vari­an­ten für KRI­TIS [\#](#3-tier-3-im-detail-air-gap-varianten-f%C3%BCr-kritis "3. Tier 3 im Detail: Air-Gap-Varianten für KRITIS") #### Vari­an­te A: Silent Brick Pro, phy­si­scher Air Gap [\#](#variante-a-silent-brick-pro-physischer-air-gap "Variante A: Silent Brick Pro, physischer Air Gap") Silent Brick Pro-Ein­hei­ten sind phy­sisch aus dem Con­trol­ler X ent­nehm­bar. Nach dem Back­up-Fens­ter wird die Brick-Ein­heit ent­nom­men und in einem sepa­ra­ten Sicher­heits­be­reich gela­gert: Tre­sor, Ser­ver­raum eines zwei­ten Gebäu­des oder dedi­zier­tes Medienarchiv. **Geeig­net für:** - Höchs­te Sicher­heits­an­for­de­run­gen (Behör­den, Energie-Netzleitstellen) - Sze­na­ri­en, in denen auch gal­va­ni­sche Ver­bin­dun­gen als Risi­ko betrach­tet werden - KRI­TIS-Betrei­ber mit phy­si­schen Sicher­heits­zo­nen nach ISO 27001 **Betriebs­an­for­de­rung:** Manu­el­le Ent­nah­me und Ein­la­ge­rung der Bricks. Je nach Back­up-Volu­men und Fre­quenz: regel­mä­ßi­ge Medi­en­ro­ta­ti­on durch IT-Personal. #### Vari­an­te B: Silent Brick Max Air, gal­va­ni­scher Air Gap [\#](#variante-b-silent-brick-max-air-galvanischer-air-gap "Variante B: Silent Brick Max Air, galvanischer Air Gap") Silent Brick Max Air bie­tet gal­va­ni­sche Tren­nung ohne phy­si­sches Ent­neh­men. Die Netz­werk­ver­bin­dung wird im Ruhe­zu­stand auf Hard­ware­ebe­ne unter­bro­chen. Kein Betriebs­sys­tem-Pro­zess und kein Angrei­fer im Netz­werk kann sie reaktivieren. **Geeig­net für:** - Hoch­vo­lu­mi­ge Back­up-Umge­bun­gen (über 100 TB) mit täg­li­chen Backup-Fenstern - Auto­ma­ti­sier­te Back­up-Pro­zes­se ohne manu­el­le Medienrotation - Umge­bun­gen mit strik­ten RTO-Anfor­de­run­gen (kein manu­el­ler Schritt beim Recovery) **Betriebs­vor­teil:** Kein manu­el­ler Ein­griff erfor­der­lich. Geeig­net für 24/​7‑Betrieb ohne dedi­zier­ten Medien-Administrator. #### Wahl zwi­schen Vari­an­te A und B [\#](#wahl-zwischen-variante-a-und-b "Wahl zwischen Variante A und B") - **Air-Gap-Typ:** Pro arbei­tet mit phy­si­scher Ent­nah­me, Max Air mit gal­va­ni­scher Trennung. - **Maxi­ma­ler Schutz:** Pro bie­tet die höchs­te Iso­la­ti­ons­stu­fe, Max Air einen sehr hohen Schutz bei vol­ler Automatisierung. - **Auto­ma­ti­sier­bar­keit:** Pro nur ein­ge­schränkt, Max Air vollständig. - **Back­up-Fens­ter:** Pro fle­xi­bel, Max Air mit defi­nier­tem Zeitfenster. - **Reco­very ohne Per­so­nal vor Ort:** Bei Pro nicht mög­lich (Ent­nah­me aus dem Tre­sor), bei Max Air möglich. - **Emp­feh­lung für KRI­TIS:** Pro bei höchs­ter Sicher­heits­stu­fe, Max Air als Stan­dard für auto­ma­ti­sier­te KRITIS-Umgebungen. --- ### 4. Tier 4 im Detail: WORM-Archi­vie­rung für KRI­TIS-Pflicht­da­ten [\#](#4-tier-4-im-detail-worm-archivierung-f%C3%BCr-kritis-pflichtdaten "4. Tier 4 im Detail: WORM-Archivierung für KRITIS-Pflichtdaten") #### Wel­che Daten müs­sen unver­än­der­lich archi­viert wer­den? [\#](#welche-daten-m%C3%BCssen-unver%C3%A4nderlich-archiviert-werden "Welche Daten müssen unveränderlich archiviert werden?") Für KRI­TIS-Betrei­ber gibt es zwei Kate­go­rien unver­än­der­lich auf­be­wah­rungs­pflich­ti­ger Daten: **Kate­go­rie 1: Audit-Logs und Betriebsprotokolle** Das BSI for­dert mani­pu­la­ti­ons­si­che­re Pro­to­koll­spei­che­rung. WORM-Spei­cher erfüllt die­se Anfor­de­rung durch phy­si­sche Unver­än­der­lich­keit, unab­hän­gig von Admi­nis­tra­tor­rech­ten oder Software-Konfiguration. **Kate­go­rie 2: Sek­tor­spe­zi­fi­sche Aufzeichnungspflichten** Je nach KRI­TIS-Sek­tor gel­ten unter­schied­li­che Aufbewahrungsfristen: - **Ener­gie:** SCA­DA-Logs und Netz­to­po­lo­gie­da­ten, typi­scher­wei­se 5 bis 10 Jah­re (BSIG, EnWG) - **Gesund­heit:** Pati­en­ten­do­ku­men­ta­ti­on 10 Jah­re nach §630f BGB; Strah­len­the­ra­pie-Unter­la­gen 30 Jah­re nach Strah­len­schutz­recht (§85 StrlSchG, §127 StrlSchV) - **Was­ser:** Mess­da­ten und Betriebs­pro­to­kol­le, typi­scher­wei­se 5 bis 10 Jah­re (DVGW-Regel­werk, BSIG) - **Finanz:** Han­dels­bü­cher und Jah­res­ab­schlüs­se 10 Jah­re; Buchungs­be­le­ge bei Ban­ken, Ver­si­che­rern und Wert­pa­pier­in­sti­tu­ten eben­falls 10 Jah­re (HGB, AO, GoBD) - **IT und TK:** Sys­tem-Logs und Inci­dent-Berich­te, typi­scher­wei­se 3 bis 5 Jah­re (BSIG, NIS2) #### War­um Hard­ware-WORM gegen­über Soft­ware-WORM vor­zu­zie­hen ist [\#](#warum-hardware-worm-gegen%C3%BCber-software-worm-vorzuziehen-ist "Warum Hardware-WORM gegenüber Software-WORM vorzuziehen ist") Soft­ware-WORM (Object Lock in S3-kom­pa­ti­blen Sys­te­men, soft­ware­sei­ti­ge Schreib­sper­ren) kann durch Angrei­fer mit aus­rei­chen­den Sys­tem­pri­vi­le­gi­en umgan­gen wer­den. Für regu­la­to­risch gefor­der­te Unver­än­der­lich­keit, die auch im Angriffs­fall gilt, ist Hard­ware-WORM tech­nisch überzeugender. Silent Cubes ver­an­kern den Schreib­schutz in der Hard­ware selbst: Ein­mal geschrie­be­ne Daten las­sen sich weder durch Soft­ware noch durch Admin-Kom­man­dos ver­än­dern oder löschen. Red­un­dan­te Aus­le­gung, kon­ti­nu­ier­li­che Selbst­über­wa­chung und die Migra­ti­on auf neue Gerä­te­ge­ne­ra­tio­nen im lau­fen­den Betrieb sichern die Les­bar­keit über Auf­be­wah­rungs­fris­ten von meh­re­ren Jahrzehnten. --- ### 5. Sek­tor­spe­zi­fi­sche Vari­an­ten des Refe­renz­de­signs [\#](#5-sektorspezifische-varianten-des-referenzdesigns "5. Sektorspezifische Varianten des Referenzdesigns") #### Ener­gie­sek­tor: SCA­DA-Daten und Netz­leit­stel­len [\#](#energiesektor-scada-daten-und-netzleitstellen "Energiesektor: SCADA-Daten und Netzleitstellen") Der Ener­gie­sek­tor hat beson­de­re Anfor­de­run­gen durch die Absi­che­rung von Ope­ra­tio­nal Tech­no­lo­gy (OT): SCA­DA-Sys­te­me, Pro­zess­leit­sys­te­me, Smart-Meter-Infrastruktur. **Beson­der­hei­ten:** - SCA­DA-Sys­te­me erzeu­gen kon­ti­nu­ier­lich Pro­to­koll­da­ten, die revi­si­ons­si­cher archi­viert wer­den müssen - Netz­werk­seg­men­tie­rung zwi­schen IT und OT erfor­dert getrenn­te Back­up-Pfa­de für bei­de Bereiche - Der Air-Gap-Lay­er muss OT-Back­up-Daten ein­schlie­ßen, nicht nur IT-Systeme **Anpas­sung des Referenzdesigns:** - Sepa­ra­ter Back­up-Agent im OT-Netz (netz­werk­seg­men­tiert) - Air-Gap-Back­up für OT-Daten ohne Über­brü­ckung der IT/OT-Seg­men­tie­rungs­gren­ze - WORM-Archi­vie­rung spe­zi­ell für Steue­rungs­pro­to­kol­le und Netzzustandsdaten #### Gesund­heits­sek­tor: Pati­en­ten­da­ten und §203 StGB [\#](#gesundheitssektor-patientendaten-und-203-stgb "Gesundheitssektor: Patientendaten und §203 StGB") Kran­ken­häu­ser und Kli­ni­ken unter­lie­gen neben den KRI­TIS-Anfor­de­run­gen dem beson­de­ren Schutz von Pati­en­ten­da­ten nach §203 StGB. Die Wei­ter­ga­be von Pati­en­ten­da­ten an Cloud-Anbie­ter, deren Mit­ar­bei­ter dar­auf zugrei­fen kön­nen, ist ohne aus­rei­chen­de recht­li­che Grund­la­ge strafbar. **Beson­der­hei­ten:** - Back­up-Sys­te­me für Pati­en­ten­da­ten müs­sen On-Pre­mi­ses bleiben - PACS-Sys­te­me (Bild­ar­chi­vie­rung) erzeu­gen sehr gro­ße Daten­men­gen (Rönt­gen, CT, MRT) mit Lang­zeit­auf­be­wah­rung bis 30 Jahre - KIS-Daten (Kran­ken­haus­in­for­ma­ti­ons­sys­tem) benö­ti­gen schnel­le Wie­der­her­stel­lung (RTO unter 4 Stunden) **Anpas­sung des Referenzdesigns:** - Tier 4 (WORM) spe­zi­ell für Pati­en­ten­ak­ten und Rönt­gen­bil­der dimensioniert - Air-Gap-Lay­er ent­hält voll­stän­di­ge KIS-Kopie für Notfallwiederherstellung - Zugriffs­pro­to­kol­lie­rung auf Daten­satz­ebe­ne mit WORM-gesi­cher­ten Log-Dateien #### Was­ser­sek­tor: Ver­fah­rens­da­ten und Ver­sor­gungs­si­cher­heit [\#](#wassersektor-verfahrensdaten-und-versorgungssicherheit "Wassersektor: Verfahrensdaten und Versorgungssicherheit") Was­ser­ver­sor­ger und Abwas­ser­ent­sor­gung haben beson­ders enge Ver­bin­dun­gen zwi­schen IT-Sys­te­men und phy­si­schen Prozessen. **Beson­der­hei­ten:** - Aus­fall der IT kann direk­te Aus­wir­kun­gen auf die Was­ser­ver­sor­gung haben - Nied­ri­ge­re IT-Bud­gets als Ener­gie oder Gesund­heit bei gleich hohen Anforderungen - DVGW-Regel­werk als ergän­zen­der Anforderungsrahmen **Anpas­sung des Referenzdesigns:** - Dimen­sio­nie­rung für mitt­le­re Daten­men­gen (typisch 10 bis 50 TB) - Prio­ri­sie­rung des Air-Gap-Lay­ers als wich­tigs­tes Schutzelement - Auto­ma­ti­sier­ter Back­up-Pro­zess (Silent Brick Max Air) wegen begrenz­ter IT-Kapazitäten --- ### 6. Aus­le­gungs­pa­ra­me­ter: Wie groß muss was sein? [\#](#6-auslegungsparameter-wie-gro%C3%9F-muss-was-sein "6. Auslegungsparameter: Wie groß muss was sein?") - **RPO Tier 2 (Online):** 1 bis 4 Stun­den, abge­lei­tet aus dem tole­rier­ten Daten­ver­lust bei Produktionsausfall - **RPO Tier 3 (Air Gap):** 24 Stun­den, ent­spre­chend der Back­up-Fre­quenz des Air-Gap-Layers - **RTO Tier 2 (Online):** unter 1 Stun­de für Ein­zel­da­tei- und VM-Res­to­re aus dem Online-Repository - **RTO Tier 3 (Air Gap):** 4 bis 8 Stun­den für den voll­stän­di­gen System-Restore - **Auf­be­wah­rung Tier 2 (Online):** 30 bis 90 Tage als Zeit­rah­men für Ent­de­ckung und Reaktion - **Auf­be­wah­rung Tier 3 (Air Gap):** 90 bis 365 Tage als Puf­fer gegen ver­zö­ger­te Angriffserkennung - **Auf­be­wah­rung Tier 4 (WORM):** sek­tor­spe­zi­fisch 5 bis 30 Jah­re nach gesetz­li­chen Aufbewahrungspflichten - **Reco­very-Test­fre­quenz:** quar­tals­wei­se, abge­lei­tet aus BSI CON.3 und den NIS2-Anforderungen #### Kapa­zi­täts­pla­nung (Modell­rech­nung) [\#](#kapazit%C3%A4tsplanung-modellrechnung "Kapazitätsplanung (Modellrechnung)") Die Roh­ka­pa­zi­tät der Air-Gap-Lösung soll­te das 1,5- bis 2‑fache des gesi­cher­ten Daten­vo­lu­mens abde­cken: für Daten­wachs­tum, Ver­sio­ning und Reten­ti­on. Bei­spiel­rech­nung für ein KRI­TIS-Unter­neh­men mit 50 TB pro­duk­ti­ver Daten: - Tier 2 (Online-Repo­si­to­ry): 100 bis 150 TB Roh­ka­pa­zi­tät (mit Deduplizierung) - Tier 3 (Air Gap): 80 bis 120 TB Roh­ka­pa­zi­tät (4 bis 8 Wochenkopien) - Tier 4 (WORM): je nach Sek­tor und Auf­be­wah­rungs­pflicht 50 TB bis meh­re­re hun­dert TB Die­se Wer­te sind eine Modell­rech­nung. Die kon­kre­te Dimen­sio­nie­rung hängt von Ände­rungs­ra­ten, Dedu­pli­zie­rungs­quo­ten und Auf­be­wah­rungs­re­geln ab. --- ### 7. Audit-Check­lis­te: Was BSI-Prü­fer sehen wol­len [\#](#7-audit-checkliste-was-bsi-pr%C3%BCfer-sehen-wollen "7. Audit-Checkliste: Was BSI-Prüfer sehen wollen") Ver­wen­den Sie die­se Check­lis­te zur Vor­be­rei­tung auf BSI-Prü­fun­gen im Bereich Datensicherung: **Doku­men­ta­ti­on** - Schrift­li­ches Daten­si­che­rungs­kon­zept nach BSI CON.3 vorhanden - RPO und RTO für jedes kri­ti­sche Sys­tem dokumentiert - Back­up-Poli­cy mit Fre­quen­zen, Auf­be­wah­rungs­zei­ten und Verantwortlichkeiten - Off­line-Back­up in der Archi­tek­tur expli­zit ausgewiesen **Tech­ni­sche Umsetzung** - Min­des­tens ein Air-Gap-Lay­er (phy­sisch oder gal­va­nisch iso­liert) vorhanden - WORM-Spei­cher für Audit-Logs und Pro­to­koll­da­ten im Einsatz - Sepa­ra­te Admi­nis­tra­tor­kon­ten für Back­up-Sys­te­me (nicht mit Produktions-Credentials) - Ver­schlüs­se­lung der Back­up-Daten im Ruhe­zu­stand und bei Übertragung **Tests und Nachweise** - Reco­very-Test­pro­to­kol­le der letz­ten vier Quar­ta­le vorhanden - Res­to­re-Tests gegen doku­men­tier­te RTO-Zie­le gemessen - Min­des­tens ein voll­stän­di­ger Reco­very-Test im letz­ten Jahr dokumentiert - Test­ergeb­nis­se mit Zeit­stem­pel, Prü­fer und Ergeb­nis archiviert **Betrieb und Monitoring** - Back­up-Erfolgs­quo­te wird über­wacht (Ziel: über 99 Prozent) - Fehl­ge­schla­ge­ne Back­up-Jobs wer­den sofort alarmiert - Kapa­zi­täts­mo­ni­to­ring für alle Back­up-Tiers aktiv - Jähr­li­che Über­prü­fung des Daten­si­che­rungs­kon­zepts eingeplant **Not­fall­pla­nung** - DR-Plan ent­hält Backup-Wiederherstellungsabschnitt - Aus­fall des Back­up-Anbie­ters als Sze­na­rio dokumentiert - DR-Plan off­line ver­füg­bar (gedruckt oder ver­schlüs­sel­tes Medi­um im Tresor) --- ### 8. Imple­men­tie­rungs­pfad: Von der Ist-Ana­ly­se zur BSI-kon­for­men Archi­tek­tur [\#](#8-implementierungspfad-von-der-ist-analyse-zur-bsi-konformen-architektur "8. Implementierungspfad: Von der Ist-Analyse zur BSI-konformen Architektur") 1. **Bestands­auf­nah­me:** Wel­che Daten wer­den gesi­chert, wel­che nicht? (1 bis 2 Wochen) 2. **RPO und RTO je kri­ti­sches Sys­tem defi­nie­ren** (1 Woche) 3. **Daten­si­che­rungs­kon­zept nach BSI CON.3 schrei­ben** (2 bis 3 Wochen) 4. **Air-Gap-Lay­er beschaf­fen und instal­lie­ren (Silent Brick Sys­tem)** (4 bis 8 Wochen) 5. **WORM-Archiv für Pflicht­da­ten kon­fi­gu­rie­ren (Silent Cubes)** (2 bis 4 Wochen) 6. **Ers­ten Reco­very-Test durch­füh­ren und doku­men­tie­ren** (1 Tag) 7. **Test­pro­to­koll-Pro­zess eta­blie­ren (Quar­tals­takt)** (1 Woche) 8. **BSI CON.3‑Konzept mit Test­ergeb­nis­sen fina­li­sie­ren** (1 Woche) Gesamt­dau­er für eine voll­stän­di­ge BSI-kon­for­me Archi­tek­tur: typi­scher­wei­se **12 bis 20 Wochen**, abhän­gig von Beschaf­fungs­pro­zes­sen und vor­han­de­ner Infrastruktur. --- ### Wei­ter­füh­ren­de Res­sour­cen [\#](#weiterf%C3%BChrende-ressourcen "Weiterführende Ressourcen") → IT-Resi­li­enz: Leit­fa­den für wider­stands­fä­hi­ge IT (/de/­b­log/it-resi­li­enz-leit­fa­den/) → KRI­TIS und Daten­sou­ve­rä­ni­tät: Anfor­de­run­gen an kri­ti­sche Infra­struk­tur (/de/­b­log/­kri­tis-daten­sou­ve­rae­ni­tae­t/) → Audit-Vor­be­rei­tung NIS2: Check­lis­te für IT-Lei­ter (/de/­b­log/au­dit-vor­be­rei­tung-nis2-check­lis­te/) → Air Gap als Resi­li­enz-Lay­er: War­um die­se Schicht über alles ent­schei­det (/de/­b­log/air-gap-resi­li­enz-lay­er/) → Silent Brick Sys­tem (/de/­pro­duk­te/­si­lent-brick-sys­te­m/) → Silent Cubes (/de/­pro­duk­te/­si­lent-cube­s/) ### WORM WORM (Write Once, Read Many) bezeichnet ein Speicherprinzip, bei dem Daten einmal geschrieben und danach technisch nicht mehr verändert oder gelöscht werden können — bei Hardware-WORM ist diese Unveränderlichkeit eine physikalische Eigenschaft des Speicher-Controllers, unabhängig von Software, Betriebssystem oder Benutzerprivilegien. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/worm) ### WORM WORM (Write Once, Read Many) bezeichnet ein Speicherprinzip, bei dem Daten einmal geschrieben und danach technisch nicht mehr verändert oder gelöscht werden können — bei Hardware-WORM ist diese Unveränderlichkeit eine physikalische Eigenschaft des Speicher-Controllers, unabhängig von Software, Betriebssystem oder Benutzerprivilegien. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/worm) ### WORM WORM (Write Once, Read Many) bezeichnet ein Speicherprinzip, bei dem Daten einmal geschrieben und danach technisch nicht mehr verändert oder gelöscht werden können — bei Hardware-WORM ist diese Unveränderlichkeit eine physikalische Eigenschaft des Speicher-Controllers, unabhängig von Software, Betriebssystem oder Benutzerprivilegien. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/worm) ### WORM WORM (Write Once, Read Many) bezeichnet ein Speicherprinzip, bei dem Daten einmal geschrieben und danach technisch nicht mehr verändert oder gelöscht werden können — bei Hardware-WORM ist diese Unveränderlichkeit eine physikalische Eigenschaft des Speicher-Controllers, unabhängig von Software, Betriebssystem oder Benutzerprivilegien. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/worm) ### Immutable Storage Immutable Storage bezeichnet Speichertechnologien, die gespeicherte Daten vor nachträglicher Veränderung oder Löschung schützen — wobei der entscheidende Unterschied darin liegt, ob dieser Schutz auf Hardware-Ebene (nicht umgehbar) oder auf Software-Ebene (durch Administratoren mit ausreichenden Rechten umgehbar) durchgesetzt wird. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/immutable-storage) ### WORM WORM (Write Once, Read Many) bezeichnet ein Speicherprinzip, bei dem Daten einmal geschrieben und danach technisch nicht mehr verändert oder gelöscht werden können — bei Hardware-WORM ist diese Unveränderlichkeit eine physikalische Eigenschaft des Speicher-Controllers, unabhängig von Software, Betriebssystem oder Benutzerprivilegien. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/worm) ### WORM WORM (Write Once, Read Many) bezeichnet ein Speicherprinzip, bei dem Daten einmal geschrieben und danach technisch nicht mehr verändert oder gelöscht werden können — bei Hardware-WORM ist diese Unveränderlichkeit eine physikalische Eigenschaft des Speicher-Controllers, unabhängig von Software, Betriebssystem oder Benutzerprivilegien. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/worm) ### Air Gap Ein Air Gap ist die physische Unterbrechung jeder Netzwerkverbindung zwischen einem Backup-System und der übrigen IT-Infrastruktur, sodass das System im Offline-Zustand keine adressierbare Netzwerkschnittstelle besitzt und damit für Ransomware und Angreifer unerreichbar ist. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/air-gap) ### WORM WORM (Write Once, Read Many) bezeichnet ein Speicherprinzip, bei dem Daten einmal geschrieben und danach technisch nicht mehr verändert oder gelöscht werden können — bei Hardware-WORM ist diese Unveränderlichkeit eine physikalische Eigenschaft des Speicher-Controllers, unabhängig von Software, Betriebssystem oder Benutzerprivilegien. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/worm) ### KRITIS KRITIS bezeichnet Organisationen und Einrichtungen, deren Ausfall oder Beeinträchtigung zu erheblichen Versorgungsengpässen oder Gefährdungen der öffentlichen Sicherheit führen würde — KRITIS-Betreiber unterliegen nach §8a BSI-Gesetz verschärften Anforderungen an IT-Sicherheit und müssen diese alle zwei Jahre gegenüber dem BSI nachweisen. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/kritis) ### GoBD Die GoBD (Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff) sind ein BMF-Schreiben, das konkretisiert, wie steuerrelevante Dokumente in Deutschland elektronisch archiviert werden müssen — insbesondere hinsichtlich Unveränderlichkeit, Vollständigkeit und Prüfbarkeit. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/gobd) ### WORM WORM (Write Once, Read Many) bezeichnet ein Speicherprinzip, bei dem Daten einmal geschrieben und danach technisch nicht mehr verändert oder gelöscht werden können — bei Hardware-WORM ist diese Unveränderlichkeit eine physikalische Eigenschaft des Speicher-Controllers, unabhängig von Software, Betriebssystem oder Benutzerprivilegien. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/worm) ### WORM WORM (Write Once, Read Many) bezeichnet ein Speicherprinzip, bei dem Daten einmal geschrieben und danach technisch nicht mehr verändert oder gelöscht werden können — bei Hardware-WORM ist diese Unveränderlichkeit eine physikalische Eigenschaft des Speicher-Controllers, unabhängig von Software, Betriebssystem oder Benutzerprivilegien. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/worm) ### Disaster Recovery Disaster Recovery bezeichnet die strukturierten Prozesse und technischen Maßnahmen, die sicherstellen, dass IT-Systeme nach einem schwerwiegenden Ausfall — Ransomware-Angriff, Hardwareversagen, Rechenzentrumsausfall — innerhalb definierter Zeitrahmen (RTO) mit maximalem Datenverlust (RPO) wiederhergestellt werden können. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/disaster-recovery) ### WORM WORM (Write Once, Read Many) bezeichnet ein Speicherprinzip, bei dem Daten einmal geschrieben und danach technisch nicht mehr verändert oder gelöscht werden können — bei Hardware-WORM ist diese Unveränderlichkeit eine physikalische Eigenschaft des Speicher-Controllers, unabhängig von Software, Betriebssystem oder Benutzerprivilegien. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/worm) ### Air Gap Ein Air Gap ist die physische Unterbrechung jeder Netzwerkverbindung zwischen einem Backup-System und der übrigen IT-Infrastruktur, sodass das System im Offline-Zustand keine adressierbare Netzwerkschnittstelle besitzt und damit für Ransomware und Angreifer unerreichbar ist. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/air-gap) ### Air Gap Ein Air Gap ist die physische Unterbrechung jeder Netzwerkverbindung zwischen einem Backup-System und der übrigen IT-Infrastruktur, sodass das System im Offline-Zustand keine adressierbare Netzwerkschnittstelle besitzt und damit für Ransomware und Angreifer unerreichbar ist. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/air-gap) ### Air Gap Ein Air Gap ist die physische Unterbrechung jeder Netzwerkverbindung zwischen einem Backup-System und der übrigen IT-Infrastruktur, sodass das System im Offline-Zustand keine adressierbare Netzwerkschnittstelle besitzt und damit für Ransomware und Angreifer unerreichbar ist. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/air-gap) ### WORM WORM (Write Once, Read Many) bezeichnet ein Speicherprinzip, bei dem Daten einmal geschrieben und danach technisch nicht mehr verändert oder gelöscht werden können — bei Hardware-WORM ist diese Unveränderlichkeit eine physikalische Eigenschaft des Speicher-Controllers, unabhängig von Software, Betriebssystem oder Benutzerprivilegien. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/worm) ### Air Gap Ein Air Gap ist die physische Unterbrechung jeder Netzwerkverbindung zwischen einem Backup-System und der übrigen IT-Infrastruktur, sodass das System im Offline-Zustand keine adressierbare Netzwerkschnittstelle besitzt und damit für Ransomware und Angreifer unerreichbar ist. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/air-gap) ### WORM WORM (Write Once, Read Many) bezeichnet ein Speicherprinzip, bei dem Daten einmal geschrieben und danach technisch nicht mehr verändert oder gelöscht werden können — bei Hardware-WORM ist diese Unveränderlichkeit eine physikalische Eigenschaft des Speicher-Controllers, unabhängig von Software, Betriebssystem oder Benutzerprivilegien. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/worm) ### WORM WORM (Write Once, Read Many) bezeichnet ein Speicherprinzip, bei dem Daten einmal geschrieben und danach technisch nicht mehr verändert oder gelöscht werden können — bei Hardware-WORM ist diese Unveränderlichkeit eine physikalische Eigenschaft des Speicher-Controllers, unabhängig von Software, Betriebssystem oder Benutzerprivilegien. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/worm) ### Disaster Recovery Disaster Recovery bezeichnet die strukturierten Prozesse und technischen Maßnahmen, die sicherstellen, dass IT-Systeme nach einem schwerwiegenden Ausfall — Ransomware-Angriff, Hardwareversagen, Rechenzentrumsausfall — innerhalb definierter Zeitrahmen (RTO) mit maximalem Datenverlust (RPO) wiederhergestellt werden können. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/disaster-recovery) ### Disaster Recovery Disaster Recovery bezeichnet die strukturierten Prozesse und technischen Maßnahmen, die sicherstellen, dass IT-Systeme nach einem schwerwiegenden Ausfall — Ransomware-Angriff, Hardwareversagen, Rechenzentrumsausfall — innerhalb definierter Zeitrahmen (RTO) mit maximalem Datenverlust (RPO) wiederhergestellt werden können. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/disaster-recovery) ### WORM WORM (Write Once, Read Many) bezeichnet ein Speicherprinzip, bei dem Daten einmal geschrieben und danach technisch nicht mehr verändert oder gelöscht werden können — bei Hardware-WORM ist diese Unveränderlichkeit eine physikalische Eigenschaft des Speicher-Controllers, unabhängig von Software, Betriebssystem oder Benutzerprivilegien. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/worm) ### WORM WORM (Write Once, Read Many) bezeichnet ein Speicherprinzip, bei dem Daten einmal geschrieben und danach technisch nicht mehr verändert oder gelöscht werden können — bei Hardware-WORM ist diese Unveränderlichkeit eine physikalische Eigenschaft des Speicher-Controllers, unabhängig von Software, Betriebssystem oder Benutzerprivilegien. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/worm)