Ein Backup ist die Versicherung Ihrer Kanzlei gegen Datenverlust. Anders als bei einer Sachversicherung greift die Versicherung allerdings nur, wenn Sie regelmäßig prüfen, ob das Backup tatsächlich funktioniert. Wir haben gesehen — und gerettet — Kanzleien, die jahrelang Backups gemacht haben, deren Restore am Tag X aber fehlschlug. Das passiert.
Die 3-2-1-Regel — angewendet auf eine Steuerkanzlei
Für eine typische 10-Plätze-Kanzlei sieht unser Standard-Setup so aus:
- Kopie 1 — produktiv: Daten auf dem Server / der NAS, mit RAID-5- oder RAID-6-Schutz. Schützt vor einzelnen Festplatten-Defekten, aber nicht vor Verschlüsselung durch Ransomware oder Hardware-Totalverlust.
- Kopie 2 — tägliches Cloud-Backup: Verschlüsselte inkrementelle Sicherung in ein zertifiziertes deutsches Rechenzentrum. Schützt vor Standortschäden, Diebstahl, Hardware-Defekt der NAS. Wiederherstellung typisch innerhalb 4–24 Stunden.
- Kopie 3 — Quartals-Offline: Vollsicherung auf eine externe Festplatte, die für 90 Tage offline gelagert wird. Schützt vor Ransomware-Angriffen, die alle online erreichbaren Backups kompromittieren — der häufigste Angriffsvektor 2024–2026.
Aufbewahrungsfristen — GoBD und steuerrechtlich
Buchungsbelege müssen nach §147 AO 10 Jahre aufbewahrt werden. Geschäftsbriefe und ähnliche Unterlagen 6 Jahre. Diese Fristen gelten ab Ende des Kalenderjahres, in dem die letzte Eintragung erfolgte.
Für die Backup-Strategie heißt das: Tagesbackups bewahren wir mindestens 14 Tage auf, Monatsbackups 12 Monate, Jahresbackups 10 Jahre. Die Quartals-Offline-Backups halten wir 1 Jahr — danach werden sie überschrieben oder vernichtet. Sehen Sie sich auch unsere Seite zur GoBD-konformen Archivierung an — Backup und revisionssichere Archivierung sind verwandte, aber unterschiedliche Themen.
Ransomware-Resilienz — der Air-Gap
Ransomware-Angreifer suchen gezielt nach Backup-Servern, weil sie ohne Backup mehr Lösegeld erwarten können. Erfolgreiche Angriffe 2024–2026 haben oft NAS-Backups und Cloud-Sync-Backups gleichzeitig kompromittiert, weil sie online erreichbar waren.
Schutz: mindestens eine Backup-Kopie muss offline sein. Das bedeutet eine physische Trennung — externe Festplatte im Tresor, Tape im Bankschließfach, oder eine Cloud-Variante mit unveränderbarer Versionierung (Object-Lock / WORM). Wir setzen je nach Kanzlei-Größe alle drei Varianten ein. Mehr zum Thema in unserer Antivirenlösungen-Seite.
RPO und RTO — was Sie als Kanzlei definieren müssen
RPO (Recovery Point Objective): Wie viel Datenverlust können Sie verkraften? Bei stündlichen Backups: max. 1 Stunde Arbeit verloren. Bei täglichen Backups: bis zu 24 Stunden. Wir empfehlen für Kanzleien in Steuerterminzeiten stündliche Backups der DATEV-Datenbank, in ruhigeren Zeiten reichen 6-Stunden-Intervalle.
RTO (Recovery Time Objective): Wie lange dürfen Sie nach einem Vorfall ausfallen? Für eine produktive Kanzlei realistisch: 4 Stunden für einen Einzelplatz, 24 Stunden für den Server, 72 Stunden für komplette Standort-Wiederherstellung nach Totalausfall. Diese Werte legen wir vertraglich fest.
Was Sie heute tun können
- Prüfen Sie: Wann wurde der letzte erfolgreiche Restore-Test durchgeführt? Wenn die Antwort „weiß ich nicht" lautet, ist das ein ernsthaftes Problem.
- Prüfen Sie: Ist mindestens eine Backup-Kopie offline / physisch getrennt? Wenn nicht, sind Sie gegen Ransomware nur teilweise geschützt.
- Prüfen Sie: Wie lange ist Ihre RTO? Schreiben Sie eine Antwort auf. Wenn sie länger ist als 72 Stunden, sollten Sie sich Sorgen machen.
Wenn Sie unsicher sind, ob Ihre aktuelle Backup-Strategie eine GoBD- und Ransomware-belastung übersteht, vereinbaren Sie ein unverbindliches Backup-Audit über das Kontaktformular. Wir prüfen Ihre Architektur, geben eine Einschätzung und konkrete Verbesserungsschritte.