Backups, die niemand übt
Backups existieren überall, geprüfte Restores fast nie. „Wir haben Backups" und „wir können wiederherstellen" sind zwei verschiedene Aussagen — die erste beschreibt einen Zustand, die zweite eine Fähigkeit. Die Lücke dazwischen ist fast nie technisch, sondern organisatorisch: fehlende Übung, veraltete Runbooks, Wissen, das das Haus verlassen hat. Der geübte Restore ist der ehrlichste Reifegrad-Indikator, den eine Organisation hat. Die Frage lautet nicht „Haben wir Backups?", sondern „Wann sind wir den Weg zurück zuletzt wirklich gegangen?".
Einleitung
Backups gibt es überall.
In jedem Unternehmen, das ich kenne, läuft irgendwo ein Backup-Job.
Nächtlich, inkrementell, in die Cloud gespiegelt, dreifach redundant.
Die Dashboards sind grün.
Die Häkchen sitzen.
Dann stelle ich eine Frage.
Wann lief der letzte echte Restore?
Und es wird still.
Was ein Backup verspricht
Ein Backup verspricht, dass Daten wiederkommen.
Das ist das ganze Versprechen.
Nicht, dass Daten gesichert werden — das ist nur die Hälfte.
Sondern dass sie sich zurückholen lassen, wenn es darauf ankommt.
Den ersten Teil kann man messen.
Der Job lief, die Datei liegt da, die Größe stimmt.
Den zweiten Teil kann man nur einlösen.
Und eingelöst wird er fast nie geübt.
Zwei verschiedene Dinge
„Wir haben Backups” und „wir können wiederherstellen” sind zwei verschiedene Aussagen.
Die erste beschreibt einen Zustand.
Die zweite eine Fähigkeit.
Ein Zustand existiert, ob man hinsieht oder nicht.
Eine Fähigkeit existiert nur, solange man sie ausübt.
Der Unterschied fällt nicht auf, solange nichts passiert.
Er fällt mit voller Wucht auf, sobald etwas passiert.
Die Lücke ist organisatorisch
Die meisten Restore-Probleme sind keine technischen Probleme.
Das Band war lesbar.
Der Snapshot war konsistent.
Was fehlte, war anderes:
- Niemand wusste, in welcher Reihenfolge die Systeme zurückkommen müssen.
- Das Runbook beschrieb eine Infrastruktur von vor drei Jahren.
- Die Person, die den Prozess im Kopf hatte, war nicht mehr im Haus.
- Der Schlüssel zum verschlüsselten Backup lag im System, das gerade weg war.
Keine dieser Lücken ist ein Defekt der Technik.
Jede ist eine Lücke in der Übung.
Backup als Ritual
Ein ungeübtes Backup ist eine rituelle Handlung.
Man führt es aus, weil man es ausführt.
Es fühlt sich an wie Vorsorge.
Das grüne Häkchen beruhigt.
Und Beruhigung ist das Falsche, was ein Backup leisten sollte.
Ein Backup soll keine Sicherheit fühlbar machen.
Es soll eine Fähigkeit nachweisbar machen.
Der Unterschied zwischen beidem zeigt sich an dem Tag, an dem der Restore zum ersten Mal echt sein muss.
Wenn Aufsicht erzwingt, was Vernunft nahelegt
Es gibt Branchen, in denen das nicht mehr der Diskretion überlassen ist.
BAIT, DORA, NIS2 — die Kürzel wechseln, der Kern ist derselbe.
Wer reguliert ist, muss Wiederherstellung nicht behaupten, sondern vorführen.
Regelmäßig, dokumentiert, mit Zeugen.
Man kann das als Bürokratie lesen.
Man kann es auch als das lesen, was es ist:
Eine Aufsicht, die erzwingen muss, was Vernunft längst nahelegt.
Dass ein Restore, der nie gelaufen ist, kein Restore ist.
Sondern eine Hoffnung mit Zeitstempel.
Zentrale Beobachtung
Der geübte Restore ist ein Reifegrad-Indikator.
Nicht das Vorhandensein eines Backups.
Nicht die Zahl der Kopien.
Nicht die Hochglanz-Architektur des Sicherungskonzepts.
Sondern die schlichte Frage, ob jemand den Weg zurück schon einmal gegangen ist.
Organisationen, die das regelmäßig tun, sehen anders aus.
Sie haben kürzere Runbooks.
Sie haben weniger Helden und mehr Verfahren.
Und sie schlafen am Tag der Störung ruhiger — weil der Tag nichts Neues ist.
Abschlussgedanke
In einem früheren Text habe ich gefragt, was ein System überlebensfähig macht.
Eine der Antworten war: dass es mit der Abwesenheit derer rechnet, die es gebaut haben.
Ein Backup, das niemand übt, rechnet mit dem Gegenteil.
Es setzt voraus, dass am Tag X jemand da ist, der weiß, wie es geht.
Genau diese Voraussetzung ist die unzuverlässigste von allen.
Die ehrliche Frage bleibt deshalb dieselbe.
Nicht: „Haben wir Backups?”
Sondern: „Wann sind wir den Weg zurück zuletzt wirklich gegangen?”
Wer die Frage nicht beantworten kann, hat keine Backups.
Er hat Dateien, von denen er hofft, dass sie Backups sind.