--- title: "Hybride Backup-Architektur: Best Practices für deutsche Unternehmen" date: 2026-01-22T09:35:00+01:00 author: FAST LTA canonical_url: "https://www.fast-lta.de//de/blog/hybride-backup-architektur-datensouveraenitaet" section: "Entries: Articles" --- ### War­um Daten­sou­ve­rä­ni­tät bei Back­up beson­ders rele­vant ist [\#](#warum-datensouver%C3%A4nit%C3%A4t-bei-backup-besonders-relevant-ist "Warum Datensouveränität bei Backup besonders relevant ist") Back­up-Daten sind kei­ne Kopie zwei­ter Klas­se. Sie ent­hal­ten das­sel­be wie die Pro­duk­ti­ons­sys­te­me: Kun­den­da­ten, Finanz­un­ter­la­gen, Kom­mu­ni­ka­ti­on, stra­te­gi­sche Doku­men­te. Wer Back­up-Spei­cher ohne Sou­ve­rä­ni­täts­per­spek­ti­ve wählt, gibt Kon­trol­le über den­sel­ben Daten­be­stand auf, nur mit Zeitverzug. **Drei Rechts­be­rei­che, die Hand­lungs­be­darf erzeugen:** #### CLOUD Act (USA, seit 2018) [\#](#cloud-act-usa-seit-2018 "CLOUD Act (USA, seit 2018)") US-Behör­den kön­nen von US-Unter­neh­men die Her­aus­ga­be von Daten ver­lan­gen, unab­hän­gig davon, wo die Ser­ver phy­sisch ste­hen. Das betrifft alle Anbie­ter mit US-Mut­ter­ge­sell­schaft: AWS, Micro­soft Azu­re, Goog­le Cloud, aber auch vie­le euro­päi­sche SaaS-Anbie­ter, die auf US-Infra­struk­tur aufbauen. Prak­ti­sche Kon­se­quenz: Back­up-Daten, die bei einem US-Anbie­ter lie­gen, unter­lie­gen poten­zi­el­lem Zugriff durch US-Straf­ver­fol­gung, ohne rich­ter­li­che Anord­nung in Deutschland. #### DSGVO (EU, seit 2018) und Schrems II (EuGH, 2020) [\#](#dsgvo-eu-seit-2018-und-schrems-ii-eugh-2020 "DSGVO (EU, seit 2018) und Schrems II (EuGH, 2020)") Der Euro­päi­sche Gerichts­hof hat in Schrems II das Pri­va­cy Shield gekippt, weil US-Über­wa­chungs­recht (Sec­tion 702 FISA, Exe­cu­ti­ve Order 12333) kein aus­rei­chen­des Schutz­ni­veau für per­so­nen­be­zo­ge­ne Daten von EU-Bür­gern garan­tiert. Das EU-US Data Pri­va­cy Frame­work (Ange­mes­sen­heits­be­schluss vom 10. Juli 2023) hat zwar im Sep­tem­ber 2025 vor dem Gericht der EU Bestand gehabt (Abwei­sung der Latom­be-Kla­ge), das Rechts­mit­tel ist aber seit Okto­ber 2025 beim EuGH anhän­gig. Rechts­un­si­cher­heit bleibt. Behör­den, Gesund­heits­ein­rich­tun­gen und Finanz­dienst­leis­ter sind gut bera­ten, per­so­nen­be­zo­ge­ne Daten phy­sisch in der EU zu halten. #### NIS2 (in Deutsch­land: NIS2UmsuCG, in Kraft seit 6. Dezem­ber 2025) [\#](#nis2-in-deutschland-nis2umsucg-in-kraft-seit-6-dezember-2025 "NIS2 (in Deutschland: NIS2UmsuCG, in Kraft seit 6. Dezember 2025)") Das NIS2-Umset­zungs­ge­setz ver­pflich­tet Unter­neh­men in kri­ti­schen und wich­ti­gen Sek­to­ren zu Maß­nah­men für Infor­ma­ti­ons­si­cher­heit und Betriebs­kon­ti­nui­tät. Back­up und Reco­very sind expli­zit adres­siert. Eine Back­up-Stra­te­gie, die voll­stän­dig auf einen ein­zel­nen Cloud-Anbie­ter setzt und damit einen Sin­gle Point of Fail­ure schafft, erfüllt die NIS2-Anfor­de­run­gen an Resi­li­enz nicht. --- ### Das Sou­ve­rä­ni­täts­prin­zip: Wel­che Daten wohin gehö­ren [\#](#das-souver%C3%A4nit%C3%A4tsprinzip-welche-daten-wohin-geh%C3%B6ren "Das Souveränitätsprinzip: Welche Daten wohin gehören") Nicht alle Daten erfor­dern das­sel­be Schutz­ni­veau. Eine prag­ma­ti­sche Ent­schei­dungs­ma­trix hilft, die rich­ti­ge Tier-Zuord­nung zu treffen: - **Kri­ti­sche Betriebs­da­ten** (ERP, Pro­duk­ti­ons­da­ten, Ver­trä­ge): Sou­ve­rä­ni­täts­pflicht sehr hoch, Spei­cher­ort On-Pre­mi­ses in Deutschland/​EU - **Per­so­nen­be­zo­ge­ne Daten nach DSGVO** (Kun­den­da­ten, HR, Pati­en­ten­da­ten): Sou­ve­rä­ni­täts­pflicht hoch, On-Pre­mi­ses oder EU-Cloud ohne US-Bezug - **Regu­lier­te Finanz­da­ten** (Buch­füh­rung, Wirt­schafts­prü­fung): Sou­ve­rä­ni­täts­pflicht hoch, On-Pre­mi­ses und revisionssicher - **Unkri­ti­sche Betriebs­da­ten** (Log-Datei­en, tech­ni­sche Metri­ken): Sou­ve­rä­ni­täts­pflicht nied­rig, flexibel - **Öffent­li­che oder anony­mi­sier­te Daten** (Mar­ke­ting-Sta­tis­ti­ken, Demos): kei­ne Sou­ve­rä­ni­täts­pflicht, beliebig **Leit­fra­ge für die Ein­ord­nung:** Gefähr­det ein Zugriff frem­der Behör­den auf die­sen Daten­satz unse­ren Betrieb, unse­re Kun­den oder unse­re Rechts­kon­for­mi­tät? Wenn ja: On-Premises. --- ### 4‑Tier-Refe­renz­ar­chi­tek­tur mit Sou­ve­rä­ni­täts­be­wer­tung [\#](#4-tier-referenzarchitektur-mit-souver%C3%A4nit%C3%A4tsbewertung "4-Tier-Referenzarchitektur mit Souveränitätsbewertung") #### Tier 1: On-Pre­mi­ses, pri­mä­res Back­up [\#](#tier-1-on-premises-prim%C3%A4res-backup "Tier 1: On-Premises, primäres Backup") **Tech­no­lo­gie:** Dedu­pli­zie­ren­des Back­up-Sys­tem (z. B. Vee­am, Commv­ault), Spei­cher auf On-Pre­mi­ses-Hard­ware mit Stan­dard­pro­to­kol­len (NFS, SMB, iSCSI, S3-kompatibel) **Cha­rak­te­ris­ti­ken:** - Hohe Back­up-Fre­quenz (stünd­lich bis täglich) - Schnel­le Wie­der­her­stel­lung (RTO: Minu­ten bis weni­ge Stunden) - Netz­werk­nah, im eige­nen Rechenzentrum **Sou­ve­rä­ni­täts­be­wer­tung: voll­stän­di­ge Souveränität** - Hard­ware unter eige­ner Kontrolle - Kein Dritt­an­bie­ter-Zugriff - Deut­sches/EU-Recht anwendbar - Kei­ne Egress-Kosten **Schwach­punkt:** Tier 1 ist netz­werk­ver­bun­den. Ein Ran­som­wa­re-Angriff, der das Netz­werk kom­pro­mit­tiert, kann auch Tier-1-Back­ups angrei­fen. Des­we­gen ist Tier 1 allein nicht ausreichend. #### Tier 2: Air-Gap On-Pre­mi­ses (maxi­ma­le Sou­ve­rä­ni­tät + Ran­som­wa­re-Schutz) [\#](#tier-2-air-gap-on-premises-maximale-souver%C3%A4nit%C3%A4t-ransomware-schutz "Tier 2: Air-Gap On-Premises (maximale Souveränität + Ransomware-Schutz)") **Tech­no­lo­gie:** Phy­sisch oder gal­va­nisch vom Netz­werk getrenn­te Back­up-Hard­ware. Zwei tech­nisch ver­schie­de­ne Ansätze: **Phy­si­scher Air Gap (Silent Brick Pro):** Silent Brick Pro-Ein­hei­ten sind phy­sisch aus dem Con­trol­ler X ent­fern­bar. Her­aus­ge­nom­me­ne Bricks sind voll­stän­dig vom Netz­werk getrennt. Kein Angrei­fer, der das Netz­werk kon­trol­liert, kann auf sie zugreifen. **Gal­va­ni­scher Air Gap (Silent Brick Max Air):** Silent Brick Max Air trennt den Spei­cher gal­va­nisch vom Netz­werk, ohne dass ein phy­si­sches Ent­neh­men nötig ist. Die Tren­nung erfolgt auf Hard­ware-Ebe­ne, gesteu­ert durch den Con­trol­ler X. **Sou­ve­rä­ni­täts­be­wer­tung: maxi­ma­le Souveränität** - Phy­sisch unter eige­ner Kontrolle - Im Off­line-Zustand für kein Netz­werk­sys­tem erreichbar - Auch bei voll­stän­di­ger Netz­werk-Kom­pro­mit­tie­rung geschützt - Daten ver­las­sen das Unter­neh­men nie **Ein­satz:** Wöchent­li­che oder monat­li­che Siche­rungs­punk­te; Wie­der­her­stel­lungs­ba­sis nach Ran­som­wa­re-Angriff oder Totalausfall #### Tier 3: WORM-Archiv On-Pre­mi­ses (revi­si­ons­si­cher + sou­ve­rän) [\#](#tier-3-worm-archiv-on-premises-revisionssicher-souver%C3%A4n "Tier 3: WORM-Archiv On-Premises (revisionssicher + souverän)") **Tech­no­lo­gie:** Hard­ware-WORM-Sys­tem, Silent Cubes Silent Cubes sind dedi­zier­te Archiv­sys­te­me mit Hard­ware-WORM: Daten wer­den phy­sisch unver­än­der­lich gespei­chert. Das bedeu­tet, auch ein Admi­nis­tra­tor mit voll­stän­di­gen Sys­tem­rech­ten kann archi­vier­te Daten nicht über­schrei­ben oder löschen. Das ist durch Hard­ware-Design erzwun­gen, nicht nur durch Software-Regeln. **Sou­ve­rä­ni­täts­be­wer­tung: revi­si­ons­si­cher und voll­stän­dig souverän** - Voll­stän­di­ge phy­si­sche Kontrolle - Hard­ware-Immu­ta­bi­li­tät erfüllt gesetz­li­che Auf­be­wah­rungs­pflich­ten (GoBD, HGB, bran­chen­spe­zi­fi­sche Vorgaben) - Kein Cloud-Anbie­ter, kein Dritt­an­bie­ter involviert - Geeig­net für Auf­be­wah­rungs­fris­ten von 6 bis über 30 Jahren **Ein­satz:** Lang­zeit­ar­chi­vie­rung von Finanz­da­ten, Ver­trä­gen, Pati­en­ten­da­ten, behörd­li­chen Unter­la­gen; Erfül­lung von Com­pli­ance-Anfor­de­run­gen, die unver­än­der­li­che Spei­che­rung erfordern #### Tier 4: Geo-Red­un­danz (Optio­nen und Sou­ve­rä­ni­täts-Trade-offs) [\#](#tier-4-geo-redundanz-optionen-und-souver%C3%A4nit%C3%A4ts-trade-offs "Tier 4: Geo-Redundanz (Optionen und Souveränitäts-Trade-offs)") Geo-Red­un­danz, also eine zusätz­li­che Kopie an einem geo­gra­fisch getrenn­ten Stand­ort, schützt vor Sze­na­ri­en, die einen gan­zen Stand­ort betref­fen: Brand, Über­schwem­mung, phy­si­sche Zerstörung. **Opti­on A: Zwei­tes On-Pre­mi­ses-Rechen­zen­trum (sou­ve­rän)** - Voll­stän­di­ge Kon­trol­le, maxi­ma­le Souveränität - Kos­ten: Infra­struk­tur an zwei Standorten - Emp­foh­len für: KRI­TIS-Betrei­ber, Behör­den, Finanz­dienst­leis­ter, Gesundheitssektor **Opti­on B: Colo­ca­ti­on in deut­sche­m/EU-Rechen­zen­trum (sou­ve­rän)** - Hard­ware in eige­nem Besitz, bei einem deut­schen Rechen­zen­trums­an­bie­ter ohne US-Bezug gehostet - Deut­sches Recht anwendbar - Kos­ten: Colo­ca­ti­on-Gebüh­ren, kei­ne Egress-Kos­ten auf eige­ne Hardware **Opti­on C: EU-Cloud-Anbie­ter (ein­ge­schränk­te Souveränität)** - Für unkri­ti­sche Daten und wenn kein zwei­ter Stand­ort mög­lich ist - Anfor­de­run­gen: EU-Rechts­sitz des Anbie­ters, kei­ne US-Mut­ter­ge­sell­schaft, DSGVO-kon­for­me Datenverarbeitung - CLOUD-Act-Risi­ko beach­ten: auch EU-Töch­ter von US-Kon­zer­nen sind nicht geschützt **Opti­on D: US-Cloud-Anbie­ter (für kri­ti­sche Daten nicht empfohlen)** - Voll­stän­di­ger CLOUD-Act-Zugriff möglich - Für kri­ti­sche Unternehmens‑, Kun­den- oder regu­lier­te Daten nicht geeignet **Sou­ve­rä­ni­täts-Trade-off Tier 4 im Überblick:** - Zwei­ter On-Prem-Stand­ort: maxi­ma­le Sou­ve­rä­ni­tät, hohe Kos­ten, geeig­net für KRI­TIS, Behör­den, Finanz - Colo­ca­ti­on (EU, kein US-Bezug): hohe Sou­ve­rä­ni­tät, mitt­le­re Kos­ten, geeig­net für Mit­tel­stand und Healthcare - EU-Cloud (kein US-Bezug): mitt­le­re Sou­ve­rä­ni­tät, nied­ri­ge Kos­ten, nur für unkri­ti­sche Daten - US-Cloud: nied­ri­ge Sou­ve­rä­ni­tät, nicht für kri­ti­sche Daten --- ### Regu­la­to­ri­sche Anfor­de­run­gen je Bran­che [\#](#regulatorische-anforderungen-je-branche "Regulatorische Anforderungen je Branche") #### Gesund­heits­we­sen [\#](#gesundheitswesen "Gesundheitswesen") Pati­en­ten­da­ten unter­lie­gen beson­ders stren­gem Schutz. Neben DSGVO gel­ten län­der­spe­zi­fi­sche Rege­lun­gen (z. B. Daten­schutz­ge­set­ze der Bun­des­län­der für Kran­ken­häu­ser in öffent­li­cher Trä­ger­schaft). Pati­en­ten­da­ten dür­fen in der Regel nicht auf Ser­vern mit US-Rechts­be­zug liegen. Emp­feh­lung: Tier 1 bis 3 voll­stän­dig On-Pre­mi­ses; Tier 4 nur über deut­schen Colo­ca­ti­on-Anbie­ter ohne US-Muttergesellschaft. #### Finanz­dienst­leis­ter [\#](#finanzdienstleister "Finanzdienstleister") DORA (Digi­tal Ope­ra­tio­nal Resi­li­ence Act, gilt seit 17. Janu­ar 2025) ver­pflich­tet Finanz­in­sti­tu­te zu Resi­li­en­z­tests, Inci­dent-Report­ing und Dritt­an­bie­ter-Risi­ko­ma­nage­ment. Cloud-Abhän­gig­kei­ten müs­sen doku­men­tiert und auf Aus­fall­ri­si­ken bewer­tet werden. Die GoBD ver­lan­gen unver­än­der­ba­re Archi­vie­rung steu­er­re­le­van­ter Daten. Hard­ware-WORM erfüllt die­se Anfor­de­rung direkt. Emp­feh­lung: Tier 3 mit Hard­ware-WORM für steu­er­li­che Unter­la­gen; Tier 4 als On-Pre­mi­ses-Colo­ca­ti­on in der EU. #### KRI­TIS-Betrei­ber [\#](#kritis-betreiber "KRITIS-Betreiber") Unter­neh­men in kri­ti­schen Infra­struk­tu­ren (Ener­gie, Was­ser, Trans­port, Ernäh­rung) unter­lie­gen den Vor­ga­ben des BSI-Geset­zes in der Fas­sung des NIS2UmsuCG. Aus­fall­zei­ten sind regu­la­to­risch ein­ge­schränkt; Back­up-Sys­te­me müs­sen nach­weis­bar resi­li­ent sein. Emp­feh­lung: Alle vier Tiers mit voll­stän­dig sou­ve­rä­ner Infra­struk­tur; Tier 4 zwin­gend als zwei­ter phy­si­scher Standort. #### Behör­den und öffent­li­cher Sek­tor [\#](#beh%C3%B6rden-und-%C3%B6ffentlicher-sektor "Behörden und öffentlicher Sektor") Behör­den unter­lie­gen zusätz­lich den IT-Grund­schutz-Anfor­de­run­gen des BSI und lan­des­recht­li­chen Vor­ga­ben. US-Cloud ist für behörd­li­che Daten in der Regel ausgeschlossen. Emp­feh­lung: Voll­stän­dig On-Pre­mi­ses oder über Behör­den­netz (IVBB, Data­port etc.); kei­ne US-abhän­gi­ge Cloud. --- ### Prak­ti­sche Ent­schei­dungs­hil­fe: Wel­che Daten müs­sen On-Pre­mi­ses blei­ben? [\#](#praktische-entscheidungshilfe-welche-daten-m%C3%BCssen-on-premises-bleiben "Praktische Entscheidungshilfe: Welche Daten müssen On-Premises bleiben?") **Pflicht On-Pre­mi­ses (kei­ne Ausnahme):** - Han­delt es sich um Daten, bei denen ein US-Behör­den­zu­griff den Betrieb oder die Com­pli­ance gefährdet? - Unter­lie­gen die Daten einer gesetz­li­chen Auf­be­wah­rungs­pflicht mit Unver­än­der­lich­keits­an­for­de­rung (GoBD, HGB, branchenspezifisch)? - Sind es Pati­en­ten­da­ten, behörd­li­che Unter­la­gen oder KRI­TIS-kri­ti­sche Betriebsdaten? **Emp­foh­len On-Premises:** - Ent­hält der Daten­satz Betriebs- oder Geschäftsgeheimnisse? - Sind Kun­den­da­ten ent­hal­ten, für die Sie gegen­über Drit­ten haften? - Ist die Wie­der­her­stel­lungs­zeit (RTO) so kri­tisch, dass Egress-Kos­ten oder ‑Latenz ein Pro­blem darstellen? **Fle­xi­ble Ent­schei­dung möglich:** - Han­delt es sich um tech­ni­sche Meta­da­ten, anony­mi­sier­te Sta­tis­ti­ken oder öffent­lich ver­füg­ba­re Inhalte? - Gibt es kei­ne regu­la­to­ri­schen Vor­ga­ben, und erzeugt ein Zugriff kei­nen Wettbewerbsnachteil? --- ### Imple­men­tie­rungs­schrit­te für den Ein­stieg [\#](#implementierungsschritte-f%C3%BCr-den-einstieg "Implementierungsschritte für den Einstieg") Eine voll­stän­di­ge 4‑Tier-Archi­tek­tur ent­steht nicht über Nacht. Die­se Schritt­fol­ge redu­ziert Risi­ken schrittweise: **Schritt 1: Bestands­auf­nah­me.** Inven­ta­ri­sie­ren Sie, wel­che Daten wo gesi­chert wer­den, und bewer­ten Sie je Daten­ka­te­go­rie: CLOUD-Act-Risi­ko, Auf­be­wah­rungs­pflicht, RTO/R­PO-Anfor­de­rung. **Schritt 2: Tier-1-Kon­so­li­die­rung.** Stel­len Sie sicher, dass alle kri­ti­schen Daten min­des­tens in Tier 1 (On-Pre­mi­ses) gesi­chert sind. Migrie­ren Sie Back­ups, die aktu­ell bei US-Anbie­tern lie­gen, auf sou­ve­rä­ne On-Premises-Systeme. **Schritt 3: Air-Gap für kri­ti­sche Daten ein­füh­ren.** Iden­ti­fi­zie­ren Sie die Daten­ka­te­go­rien, bei denen Ran­som­wa­re-Schutz und phy­si­sche Iso­la­ti­on unver­zicht­bar sind. Imple­men­tie­ren Sie Tier 2 für die­se Bestände. **Schritt 4: WORM-Archiv für Com­pli­ance-Daten.** Füh­ren Sie Hard­ware-WORM für alle Daten ein, die gesetz­li­che Auf­be­wah­rungs­pflich­ten mit Unver­än­der­lich­keits­an­for­de­rung erfül­len müs­sen. Defi­nie­ren Sie Auf­be­wah­rungs­fris­ten und doku­men­tie­ren Sie die­se in der Verfahrensdokumentation. **Schritt 5: Geo-Red­un­danz nach Sou­ve­rä­ni­täts­prin­zip pla­nen.** Wäh­len Sie Tier 4 auf Basis der Sou­ve­rä­ni­täts­an­for­de­run­gen: zwei­ter Stand­ort, Colo­ca­ti­on oder (nur für unkri­ti­sche Daten) EU-Cloud ohne US-Bezug. **Schritt 6: Regel­mä­ßi­ge Res­to­re-Tests.** Eine Back­up-Archi­tek­tur, die nie getes­tet wur­de, ist kei­ne Ver­si­che­rung. Pla­nen Sie quar­tals­wei­se Res­to­re-Tests über alle Tiers hin­weg und doku­men­tie­ren Sie die Ergebnisse. --- ### Fazit [\#](#fazit "Fazit") Eine hybri­de Back­up-Archi­tek­tur, die Daten­sou­ve­rä­ni­tät ernst nimmt, ist kein Wider­spruch zu moder­ner IT. Sie ist die Kon­se­quenz aus CLOUD Act, DSGVO, NIS2 und den Erfah­run­gen der letz­ten Jah­re mit Ran­som­wa­re und Cloud-Abhängigkeiten. Das 4‑Tier-Modell gibt die Struk­tur vor. Die Sou­ve­rä­ni­täts­be­wer­tung je Tier ent­schei­det, wel­che Tech­no­lo­gie und wel­cher Anbie­ter für wel­che Daten­ka­te­go­rie geeig­net ist. On-Pre­mi­ses bleibt für kri­ti­sche Daten deut­scher und euro­päi­scher Unter­neh­men die ein­zi­ge Lösung, die voll­stän­di­ge Kon­trol­le garantiert. --- ### Wei­ter­füh­ren­de Res­sour­cen [\#](#weiterf%C3%BChrende-ressourcen "Weiterführende Ressourcen") → Was ist Daten­sou­ve­rä­ni­tät? (/de/­b­log/­was-ist-daten­sou­ve­rae­ni­tae­t/) → Mehr­stu­fi­ge Back­up-Archi­tek­tur: Best Prac­ti­ces (/de/­b­log/­mehr­stu­fi­ge-back­up-archi­tek­tur/) → CLOUD Act: Was US-Zugriff auf Ihre Daten bedeu­tet (/de/­b­log/us-cloud-act-erklaer­t/) → NIS2: IT-Resi­li­enz-Anfor­de­run­gen (/de/­b­log/­nis2-it-resi­li­enz-anfor­de­run­gen/) → Logi­scher vs. phy­si­scher Air Gap (/de/­b­log/­lo­gi­scher-vs-phy­si­scher-air-gap/) → WORM-Spei­cher: Grund­la­gen und Tech­no­lo­gie­ver­gleich (/de/­b­log/­worm-spei­cher-grund­la­gen/) ### Air Gap Ein Air Gap ist die physische Unterbrechung jeder Netzwerkverbindung zwischen einem Backup-System und der übrigen IT-Infrastruktur, sodass das System im Offline-Zustand keine adressierbare Netzwerkschnittstelle besitzt und damit für Ransomware und Angreifer unerreichbar ist. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/air-gap) ### Air Gap Ein Air Gap ist die physische Unterbrechung jeder Netzwerkverbindung zwischen einem Backup-System und der übrigen IT-Infrastruktur, sodass das System im Offline-Zustand keine adressierbare Netzwerkschnittstelle besitzt und damit für Ransomware und Angreifer unerreichbar ist. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/air-gap) ### WORM WORM (Write Once, Read Many) bezeichnet ein Speicherprinzip, bei dem Daten einmal geschrieben und danach technisch nicht mehr verändert oder gelöscht werden können — bei Hardware-WORM ist diese Unveränderlichkeit eine physikalische Eigenschaft des Speicher-Controllers, unabhängig von Software, Betriebssystem oder Benutzerprivilegien. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/worm) ### WORM WORM (Write Once, Read Many) bezeichnet ein Speicherprinzip, bei dem Daten einmal geschrieben und danach technisch nicht mehr verändert oder gelöscht werden können — bei Hardware-WORM ist diese Unveränderlichkeit eine physikalische Eigenschaft des Speicher-Controllers, unabhängig von Software, Betriebssystem oder Benutzerprivilegien. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/worm) ### DSGVO Die DSGVO (Datenschutz-Grundverordnung, EU 2016/679) ist die europäische Regulierung zum Schutz personenbezogener Daten — für IT-Infrastruktur besonders relevant in Art. 5 (Grundsätze), Art. 17 (Recht auf Löschung), Art. 28 (Auftragsverarbeiter) und Art. 32 (Sicherheit der Verarbeitung). [Mehr erfahren →](https://www.fast-lta.de//de/glossar/dsgvo) ### DORA DORA (Digital Operational Resilience Act, EU 2022/2554) ist eine EU-Verordnung, die seit Januar 2025 für alle regulierten Finanzmarktteilnehmer gilt und konkrete Anforderungen an IKT-Risikomanagement, Backup-Systeme (Art. 11 und 12), Drittanbieter-Management (Art. 28–30) sowie Incident-Meldung stellt. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/dora) ### GoBD Die GoBD (Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff) sind ein BMF-Schreiben, das konkretisiert, wie steuerrelevante Dokumente in Deutschland elektronisch archiviert werden müssen — insbesondere hinsichtlich Unveränderlichkeit, Vollständigkeit und Prüfbarkeit. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/gobd) ### WORM WORM (Write Once, Read Many) bezeichnet ein Speicherprinzip, bei dem Daten einmal geschrieben und danach technisch nicht mehr verändert oder gelöscht werden können — bei Hardware-WORM ist diese Unveränderlichkeit eine physikalische Eigenschaft des Speicher-Controllers, unabhängig von Software, Betriebssystem oder Benutzerprivilegien. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/worm) ### WORM WORM (Write Once, Read Many) bezeichnet ein Speicherprinzip, bei dem Daten einmal geschrieben und danach technisch nicht mehr verändert oder gelöscht werden können — bei Hardware-WORM ist diese Unveränderlichkeit eine physikalische Eigenschaft des Speicher-Controllers, unabhängig von Software, Betriebssystem oder Benutzerprivilegien. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/worm) ### WORM WORM (Write Once, Read Many) bezeichnet ein Speicherprinzip, bei dem Daten einmal geschrieben und danach technisch nicht mehr verändert oder gelöscht werden können — bei Hardware-WORM ist diese Unveränderlichkeit eine physikalische Eigenschaft des Speicher-Controllers, unabhängig von Software, Betriebssystem oder Benutzerprivilegien. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/worm) ### WORM WORM (Write Once, Read Many) bezeichnet ein Speicherprinzip, bei dem Daten einmal geschrieben und danach technisch nicht mehr verändert oder gelöscht werden können — bei Hardware-WORM ist diese Unveränderlichkeit eine physikalische Eigenschaft des Speicher-Controllers, unabhängig von Software, Betriebssystem oder Benutzerprivilegien. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/worm) ### WORM WORM (Write Once, Read Many) bezeichnet ein Speicherprinzip, bei dem Daten einmal geschrieben und danach technisch nicht mehr verändert oder gelöscht werden können — bei Hardware-WORM ist diese Unveränderlichkeit eine physikalische Eigenschaft des Speicher-Controllers, unabhängig von Software, Betriebssystem oder Benutzerprivilegien. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/worm) ### DSGVO Die DSGVO (Datenschutz-Grundverordnung, EU 2016/679) ist die europäische Regulierung zum Schutz personenbezogener Daten — für IT-Infrastruktur besonders relevant in Art. 5 (Grundsätze), Art. 17 (Recht auf Löschung), Art. 28 (Auftragsverarbeiter) und Art. 32 (Sicherheit der Verarbeitung). [Mehr erfahren →](https://www.fast-lta.de//de/glossar/dsgvo) ### Air Gap Ein Air Gap ist die physische Unterbrechung jeder Netzwerkverbindung zwischen einem Backup-System und der übrigen IT-Infrastruktur, sodass das System im Offline-Zustand keine adressierbare Netzwerkschnittstelle besitzt und damit für Ransomware und Angreifer unerreichbar ist. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/air-gap) ### WORM WORM (Write Once, Read Many) bezeichnet ein Speicherprinzip, bei dem Daten einmal geschrieben und danach technisch nicht mehr verändert oder gelöscht werden können — bei Hardware-WORM ist diese Unveränderlichkeit eine physikalische Eigenschaft des Speicher-Controllers, unabhängig von Software, Betriebssystem oder Benutzerprivilegien. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/worm) ### DSGVO Die DSGVO (Datenschutz-Grundverordnung, EU 2016/679) ist die europäische Regulierung zum Schutz personenbezogener Daten — für IT-Infrastruktur besonders relevant in Art. 5 (Grundsätze), Art. 17 (Recht auf Löschung), Art. 28 (Auftragsverarbeiter) und Art. 32 (Sicherheit der Verarbeitung). [Mehr erfahren →](https://www.fast-lta.de//de/glossar/dsgvo) ### GoBD Die GoBD (Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff) sind ein BMF-Schreiben, das konkretisiert, wie steuerrelevante Dokumente in Deutschland elektronisch archiviert werden müssen — insbesondere hinsichtlich Unveränderlichkeit, Vollständigkeit und Prüfbarkeit. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/gobd) ### DSGVO Die DSGVO (Datenschutz-Grundverordnung, EU 2016/679) ist die europäische Regulierung zum Schutz personenbezogener Daten — für IT-Infrastruktur besonders relevant in Art. 5 (Grundsätze), Art. 17 (Recht auf Löschung), Art. 28 (Auftragsverarbeiter) und Art. 32 (Sicherheit der Verarbeitung). [Mehr erfahren →](https://www.fast-lta.de//de/glossar/dsgvo) ### GoBD Die GoBD (Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff) sind ein BMF-Schreiben, das konkretisiert, wie steuerrelevante Dokumente in Deutschland elektronisch archiviert werden müssen — insbesondere hinsichtlich Unveränderlichkeit, Vollständigkeit und Prüfbarkeit. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/gobd)