Beispiel-Projektdokumentation (kommentiert)

1.1 Projektumfeld

Die Müller GmbH ist ein mittelständischer Logistik-Dienstleister mit 35 Mitarbeitenden und einer IT-Infrastruktur aus 12 produktiven Servern (8 Windows Server 2019/2022, 3 Linux, 1 Speicher-Appliance). Geschäftskritisch sind das ERP-System (Sage), die Lagerverwaltung (eigene Anwendung), das Dateiarchiv und die Postfächer von Microsoft 365.

1.2 Auftrag und Ziele

Der Auftraggeber – Herr Schulz, IT-Leitung – beauftragte die Konzeption und Umsetzung eines neuen Backup-Systems. Die bestehende, dezentrale Bandsicherung wird seit ihrer Einführung 2018 nicht mehr regelmäßig auf Restore-Fähigkeit geprüft, der Wartungs-Aufwand übersteigt zwei Stunden pro Woche, und ein Off-Site-Schutz gegen Ransomware fehlt vollständig.

Folgende Ziele wurden vereinbart (SMART formuliert):

• Z1: Tägliche Sicherung aller 12 produktiven Server bis 03:00 Uhr Lokalzeit (MUST).
• Z2: Recovery Time Objective (RTO) ≤ 4 Stunden für jedes Einzelsystem (MUST).
• Z3: Recovery Point Objective (RPO) ≤ 24 Stunden (MUST).
• Z4: Off-Site-Kopie verschlüsselt in einer EU-Cloud-Region (MUST, DSGVO).
• Z5: Monatlich automatisierter Restore-Test eines zufällig ausgewählten Systems (SHOULD).

1.3 Abgrenzung

Nicht im Scope des Projekts sind: Endgeräte-Backup (separates Folge-Projekt geplant), Backup der externen SaaS-Dienste (M365-Backup wird in einem späteren Sprint adressiert) sowie die Schulung der Endanwender (durch interne Schulungs-Abteilung).

Die Ist-Analyse stützt sich auf drei Erhebungs-Methoden: ein strukturiertes Interview mit Herrn Schulz (Anhang A1), eine Sichtung der vorhandenen Wartungs-Doku und Ticket-Statistik 2024-2025 (Anhang A2) sowie eine technische Bestandsaufnahme der bestehenden Bandsicherung am 11.03.2026.

3.1 Bestehende Backup-Lösung

Die aktuelle Lösung besteht aus drei eigenständigen LTO-6-Bandlaufwerken, die jeweils nachts pro Server-Gruppe Vollsicherungen auf wechselnde Bänder schreiben. Die Bänder werden montags-freitags getauscht, ein 14-Tage-Zyklus wird mündlich kommuniziert, aber nicht systematisch dokumentiert. Verschlüsselung der Bänder ist nicht aktiv.

3.2 Identifizierte Schwachstellen

3.3 Mengen-Gerüst

Gesamtes zu sicherndes Volumen: ca. 4,2 TB (Datenbank-Cluster 1,8 TB, Dateiarchiv 1,5 TB, restliche Server 0,9 TB). Jährliches Wachstum laut Trend-Analyse rund 18 %. Spitzen-Schreibrate beim Vollback­up ca. 280 MB/s (gemessen mit iostat).

4.1 Anforderungen

Aus den identifizierten Schwachstellen (Kap. 3.2) wurden folgende Anforderungen abgeleitet und nach MoSCoW priorisiert (Auszug; vollständige Tabelle Anhang A3):

4.2 Lösungs-Varianten

Drei Architektur-Varianten wurden gegenübergestellt:

Variante A: Veeam B&R On-Prem mit NAS + Tape

Lokaler Veeam-Server, primäres Backup auf NAS-Appliance, sekundäre Sicherung auf wöchentliche LTO-9-Bänder. Vorteil: Datenhoheit, schnellster Restore. Nachteil: Bänder weiterhin im Haus, hoher CapEx.

Variante B: Backup-as-a-Service (Cloud)

Vollständig externalisiertes Backup über Anbieter (z. B. Acronis, Backblaze). Vorteil: kein eigener Backup-Server, OpEx statt CapEx. Nachteil: Bandbreite, US-Anbieter-Risiken, langsamerer Restore bei großen Datenmengen.

Variante C: Hybrid (Empfehlung)

Veeam B&R lokal mit primärem Backup auf NAS, zusätzlich verschlüsselte Kopie nach AWS S3 (Region eu-central-1, Frankfurt). Erfüllt sowohl die Anforderung an schnellen lokalen Restore (RTO < 4 h) als auch den Off-Site-Schutz und die DSGVO-Konformität (EU-Region).

4.3 Auswahl-Begründung (Nutzwertanalyse)

Eine Nutzwertanalyse mit sechs gewichteten Kriterien (vollständig Anhang A4) führt zu folgendem Ergebnis: Variante C 7,50 Pkt., Variante A 6,80 Pkt., Variante B 6,35 Pkt. Variante C wird daher zur Umsetzung empfohlen.

4.4 Wirtschaftlichkeit

Quantifizierbarer Nutzen: Reduktion Wartungs-Aufwand um 1 h/Woche × 52 Wo × 65 €/h = 3 380 € p.a. Plus Risiko-Schutz vor Ransomware-Vorfall (BSI-Lagebericht 2024: mittlere Schadenshöhe in vergleichbaren KMU ca. 95 000 €; Eintritts-Wahrscheinlichkeit konservativ 5 % p.a. → erwarteter jährlicher Schaden ca. 4 750 €, der durch die Off-Site-Kopie signifikant reduziert wird).

5.2 Konfiguration der Backup-Software

Für die Backup-Jobs wurde eine 3-Tier-Strategie umgesetzt: tägliche inkrementelle Sicherungen, wöchentliche synthetische Vollsicherungen und monatliche Archiv-Sicherungen. Die Aufbewahrungs-Zeiten wurden gemäß der mit dem Auftraggeber abgestimmten Anforderung konfiguriert: 30 Tageskopien, 12 Wochenkopien, 7 Jahreskopien. Die Aufbewahrungs-Dauer von 7 Jahren für Archiv-Sicherungen ist steuerrechtlich nach § 147 AO begründet.

Die Backup-Jobs wurden Server-Gruppen-basiert organisiert, um Last-Spitzen zu vermeiden und die maximale Backup-Fenster-Größe von 4 Stunden einzuhalten. Tabelle 5.1 zeigt die Job-Verteilung; die vollständige Job-Definition liegt als Anhang A6 bei.

Verschlüsselung wurde mit AES-256 auf Repository-Ebene aktiviert (Anforderung A2). Der zugehörige Master-Schlüssel wird über das interne Passwort-Management (KeePass mit MFA-geschütztem Master-Passwort) verwaltet. Ein Auszug der zugehörigen Repository-Konfiguration:

# /etc/veeam/repository-prod.conf (Auszug)
repository:
  name: REPO-PROD-01
  path: /backup/repo-01
  encryption: aes-256
  immutability: enabled
  immutability_period_days: 7
  retention:
    daily: 30
    weekly: 12
    yearly: 7

Die Aktivierung der Immutability über 7 Tage stellt sicher, dass auch ein kompromittierter Admin-Account Backup-Dateien innerhalb dieser Frist nicht löschen oder verschlüsseln kann – ein wesentlicher Baustein des Ransomware-Schutzes.

5.6 Aufgetretene Probleme und Lösungen

Problem 1: Während des ersten Vollsicherungs-Laufs brach der Job für den SQL-Server nach ca. 40 % mit der Fehlermeldung VSS error 0x80042308 ab. Eine Analyse mit vssadmin list writers ergab, dass der SqlServerWriter im Status „Failed" stand. Die Lösung bestand in einem Neustart der Dienste SQL Server VSS Writer und Volume Shadow Copy, danach lief der Backup-Job vollständig durch. Als Folge-Maßnahme wurde ein Monitoring der VSS-Writer-Status in das Monitoring-Konzept aufgenommen (vgl. Kap. 5.5).

Problem 2: Die Lizenz-Aktivierung des Cloud-Connectors verzögerte sich beim Hersteller um zwei Werktage. Als Workaround wurde während der Wartezeit die Konfiguration und Verschlüsselungs-Logik der lokalen Repositories vorgezogen. Dadurch konnte der Gesamtverzug auf eine Phase begrenzt werden (vgl. Kap. 2.1, Soll-Ist-Vergleich).

6.1 Test-Konzept

Das Test-Konzept deckt alle MUST-Anforderungen (Kap. 4.1) ab. Es kombiniert Funktionstests (Backup-Job läuft durch), Restore-Tests (Wiederherstellung in einer separaten Test-Umgebung), Sicherheits-Tests (Verschlüsselung und Immutability) und einen Last-Test (Vollsicherung mit Produktiv-Datenmenge im Wartungsfenster).

6.3 Test-Fälle (Auszug)

6.4 Auswertung

Von neun durchgeführten Test-Fällen wurden acht initial bestanden, einer (TF-06, Mail-Alarmierung) zeigte einen Konfigurations-Fehler im Mail-Relay auf. Nach Korrektur der Smarthost-Einstellungen (siehe Konfigurations-Auszug Anhang A8) verlief der Re-Test erfolgreich. Alle MUST-Anforderungen sind damit nachweislich erfüllt.

6.5 Abnahme

Die Abnahme erfolgte am 21.04.2026 im Beisein des Auftraggebers (Hr. Schulz), des Ausbildungs-Beauftragten (Hr. Vogel) und der Verfasserin. Geprüft wurden im Live-Test: ein Datei-Restore aus dem Vortags-Backup, der Status der Cloud-Kopie und die Funktion der Mail-Alarmierung. Das unterschriebene Abnahme-Protokoll liegt als Anhang A9 bei.

8.1 Zielerreichung

Alle MUST-Anforderungen aus dem Soll-Konzept (Kap. 4.1) wurden erfüllt: 12 produktive Server werden täglich gesichert, das gemessene RTO im Komplett-Restore-Test (TF-04) liegt mit 3 h 18 min innerhalb der Vorgabe von 4 Stunden, das RPO von 24 Stunden ist durch die tägliche inkrementelle Sicherung gewährleistet, und die Off-Site-Kopie in der AWS-Region eu-central-1 erfüllt die DSGVO-Anforderung. Die SHOULD-Anforderung A4 (Wartungs-Aufwand ≤ 1 h/Woche) konnte sogar deutlich unterboten werden (durchschnittlich 25 min/Woche im ersten Betriebsmonat). Die COULD-Anforderung A8 (Self-Service-Restore) wurde aus Zeitgründen ausgegliedert und ist als Folge-Sprint für Q3/2026 geplant.

8.2 Reflexion und Lessons Learned

Methodisch hat sich die frühe Wirtschaftlichkeits-Betrachtung in Variante C als hilfreich erwiesen – sie ermöglichte ein faktenbasiertes Gespräch mit dem Auftraggeber, der ursprünglich Variante B (rein cloudbasiert) bevorzugt hatte. Im Nachhinein hätte ich die Lizenz-Beschaffung für den Cloud-Connector bereits in der Konzept-Phase abschließen sollen, anstatt parallel zur Realisierung zu starten. Die zweitägige Verzögerung wäre damit vermeidbar gewesen.

Persönlich nehme ich aus dem Projekt zwei zentrale Erkenntnisse mit: Erstens, dass externe Abhängigkeiten (Lizenz-Provider, Cloud-Onboarding, Auftraggeber-Termine) systematisch als Risiko-Position in der Projekt-Steuerung geführt werden müssen – nicht erst, wenn sie zum Problem werden. Für künftige Projekte werde ich eine Abhängigkeits-Matrix als festen Bestandteil der Initialisierungs-Phase einführen. Zweitens hat sich gezeigt, dass ehrlich dokumentierte Fehlschläge (wie der initiale Mail-Alarm-Test TF-06) am Ende den Verbesserungs-Prozess strukturieren – das werde ich auch in den Folge-Projekten als Praxis beibehalten.

8.3 Ausblick

Folgende Schritte sind nach Projekt-Abschluss vorgesehen:

1. Q3/2026: Implementierung des Self-Service-Restore-Moduls (offene COULD-Anforderung A8).
2. Q4/2026: Erweiterung auf M365-Backup (separates Projekt, Verantwortung intern bei IT-Leitung).
3. Ab Q2/2026 quartalsweise: Restore-Übung mit zufällig ausgewähltem System, eingebettet in das bestehende Wartungs-Fenster. Dies adressiert die im Fazit erkannte Gefahr, dass ein eingerichtetes Backup ohne regelmäßige Restore-Übung über die Zeit „blind" wird.

Das Projekt schließt die zu Beginn identifizierten Schwachstellen vollständig (S1–S6) und führt zu einer messbar verbesserten Daten-Sicherheit der Müller GmbH. Die wirtschaftliche Bewertung (vgl. Kap. 4.4) bestätigt die Investition vor allem über den reduzierten Wartungs-Aufwand und das deutlich verringerte Risiko eines Ransomware-Vorfalls.