Datenschutz zuerst
Surfen Sie mit diesem anonymen Profil weiter oder konfigurieren Sie Ihre

Profil: Anoynm Profil-Id: gentle-brown-spider-work-2049 Cookies: Notwendig: Session & Sicherheit, Analyse, Komfort, Marketing

Die Adresse wird lokal im Browser an die aktuelle Session gekoppelt.

recent.digital
  2. /
  4. /
  6. /

BSI Baustein CON.3 Datensicherung

#Datensicherung#BSI#Backup

Datensicherungskonzept nach BSI CON.3

Torben Zarnick
Themenwelt

Viele Inhalte, klar gegliedert und schnell erreichbar

Nutzen Sie die Themenwelt als kompakten Einstieg: Grundlagen, passende Lösungen, Anbieter und weiterführende Inhalte greifen hier sauber ineinander.

Einstieg Guide

Grundlagen und Einordnung

Wissen 4

Beiträge und Dokumente

Direkt zu den wichtigsten Bereichen 3 Bereiche
Grundlagen und Hintergründe Strukturierter Einstieg Wissensdatenbank 4 Beiträge Verwandte Themen 2 Themen

Einordnung

Grundlagen und Hintergründe

Starten Sie mit dem Überblick und nutzen Sie die weiteren Abschnitte für passende Lösungen, Anbieter und vertiefende Inhalte.

Datensicherungskonzept nach BSI

Die Anforderungen an ein Datensicherungskonzept entsprechend dem Grundschutz sehen folgende Anforderungen vor.

Anforderungsklassen

Das BSI unterscheidet im Grundschutz grundsätzlich in 4 Anforderungsklassen.

  1. Muss-Anforderungen
  2. Soll-Anforderungen
  3. Kann-Anforderungen
  4. Anforderungen bei erhöhtem Schutzbedarf (betrifft unter anderem KRITIS-Unternehmen)

Die Anforderungen betreffen die Zertifizierung für den ISO-kompatiblen Standard des BSI. Die meisten Unternehmen sind zwar nicht an diese Anforderungen gebunden, bieten allerdings eine sehr gute Orientierung.

Anforderungen

Baustein Anforderung Bezeichnung Inhalt
CON.3.A1 MUSS (Basis-Anforderung) Erhebung der Einflussfaktoren für Datensicherungen [Fachverantwortliche, IT-Betrieb] (B) Es muss für jedes System erfasst und systematisch festgehalten und überprüft werden:

1. Speichervolumen

2. Änderungsvolumen

3. Änderungszeitpunkte

4. Verfügbarkeitsanforderungen

5. Integritätsbedarf sowie

6. rechtliche Anforderungen
CON.3.A2 MUSS (Basis-Anforderung) Festlegung der Verfahrensweise für die Datensicherung [Fachverantwortliche, IT-Betrieb] (B Für jedes IT-System im Unternehmen muss ein Verfahren zur Datensicherung festgelegt werden. Dazu muss das Verfahren die Art, Häufigkeit, Zeitpunkte der Backups festlegen und sich mit der Erfassung aus CON.3.A1 decken.

Zusätzlich muss eine Beschreibung festgehalten werden, die die Aufbewahrungs- und Transportrahmenbedingungen und die Art der Speichermedien enthält.
CON.3.A3 MUSS (Basis-Anforderung) entfällt ersatzlos
CON.3.A4 MUSS (Basis-Anforderung) Erstellung eines Minimal datensicherungskonzeptes [IT-Betrieb] (B) Es muss ein Mindestsicherungskonzept erstellt werden, das mindestens enthalten muss:

* Welche Systeme werden gesichert und welche Daten sind darin enthalten

* Wie wird das Backup technisch erstellt und wiederhergestellt

* Welche Parameter sind zu wählen

* Welche Hardware und Software wird zur Datensicherung eingesetzt
CON.3.A5 MUSS (Basis-Anforderung) Regelmäßige Datensicherung [IT-Betrieb] (B) Es müssen Arbeitsanweisungen oder geeignete Automatisierungen erstellt und entsprechend dokumentiert werden, die gewährleisten muss, dass:

* Datensicherungen vor dem Zugriff Dritter geschützt sind

* regelmäßig getestet wird, dass sich Datensicherungen wie gewünscht, in angemessener Zeit, problemlos zurückspielen bzw. wiederherstellen lassen.
CON.3.A6 SOLL (Standard-Anforderungen) Entwicklung eines Datensicherungskonzepts [Fachverantwortliche, ITBetrieb] (S) Das Datensicherungskonzept auf der Grundlage des Minimalsicherungskonzepts (s. Muss-Anforderung) erarbeitet werden, dass mindestens die Punkte enthalten sollte:

* Definitionen zu wesentlichen Aspekten der Datensicherung (z. B. zu differenzierende Datenarten)

* Gefährdungslage (s. Kreuzreferenztabelle zu elementaren Gefährdungen)

* Einflussfaktoren je IT-Systeme

* Datensicherungsplan je IT-Systeme sowie

* relevante Ergebnisse des Notfallmanagements/BCM, insbesondere die Recovery Point Objective (RPO) je IT-System.

* Unterrichtung von betroffenen Mitarbeitern

* Regelmäßige Kontrolle der Umsetzung
CON.3.A7 SOLL (Standard-Anforderungen) Beschaffung eines geeigneten Datensicherungssystems [IT-Betrieb] (S) Für die Auswahl von geeigneten Systemen sollte eine Anforderungsliste erstellt werden und die Auswahl der Software entsprechend nachgehalten werden.
CON.3.A8 SOLL (Standard-Anforderungen) entfällt ersatzlos
CON.3.A9 SOLL (Standard-Anforderungen) Voraussetzungen für die Online-Datensicherung [IT-Betrieb] (S) Für die Datensicherung in Online-Speichern sollten mindestens diese Punkte mit dem Anbieter geregelt sein:

* Gestaltung des Vertrages,

* Ort der Datenspeicherung,

* Vereinbarungen zur Dienstgüte (SLA), insbesondere in Hinsicht auf die Verfügbarkeit,

* geeignete Authentisierungsmethoden,

* Verschlüsselung der Daten auf dem Online-Speicher sowie

* Verschlüsselung auf dem Transportweg.
CON.3.A10 SOLL (Standard-Anforderungen) Verpflichtung der Mitarbeiter zur Datensicherung (S) Alle betroffenen Mitarbeiter sollen entsprechende Arbeitsanweisungen und Dokumentationen bekommen, welche sie bei ihrer Aufgabe zur Datensicherung informiert, z.B. Zu geregelten Zeitpunkten Datensicherungen von bestimmten Inhalten auf bestimmten Systemen manuell durchzuführen und dabei dem entsprechenden Workflow zu folgen.
CON.3.A11 SOLL (Standard-Anforderungen) Sicherungskopie der eingesetzten Software [IT-Betrieb] (S) Für die gesamte eingesetzte Software im Unternehmen sollen, falls rechtlich und technisch möglich, Sicherungskopien angefertigt werden, sodass sie im Notfall wiederhergestellt werden kann. Dabei müssen ebenfalls Lizenzen (Dateien oder Codes) dokumentiert werden.
CON.3.A12 SOLL (Standard-Anforderungen) Geeignete Aufbewahrung der Datenträger von Datensicherungen [ITBetrieb] (S) Wenn zur Sicherung relevante Datenträger innerhalb des Unternehmens aufbewahrt werden müssen, dann soll es einen geeigneten, getrennte Ort geben.
CON.3.A13 Anforderungen bei erhöhtem Schutzbedarf Einsatz kryptografischer Verfahren bei der Datensicherung [IT-Betrieb] (H) Sollte im Rahmen der Risiko-Analyse festgestellt werden, dass es erhöhten Sicherheitsbedarf gibt, dann sollte sichergestellt sein, dass:

* Die Datensicherung geeignet verschlüsselt sind

* Die Datensicherung sich wiederherstellen lässt

* Der kryptographische Schlüssel für Dritte unzugänglich und räumlich getrennt aufbewahrt werden

Quelle / BSI Homepage

Wissensdatenbank

Beiträge, Dokumente und vertiefende Inhalte

Empfohlene Inhalte für den nächsten Schritt und zusätzliche Hintergrundinformationen zum Thema.

Passende Beiträge

4 Beiträge

04.02.2026

Datensicherungen - ein kurzer Einstieg

In diesem Artikel erfahren Sie, warum Backups die höchste Priorität in Ihrem Unternehmen haben sollten. Bei Backups lassen sich keine Kompromisse machen.

04.02.2026

Erstellen eines Datensicherungskonzepts

So erstellt man ein Backup-Konzept für sein Unternehmen

04.02.2026

Das Große Backup-Glossar

Fachbegriffe rund um das Thema Datensicherung, Disaster-Recovery und Wiederherstellung.

04.02.2026

So lösen wir Backup Probleme

Wir sichern einfach das gesamte System. Anstatt einen großen Speicherplatz zu bezahlen, zahlen Sie lediglich die Größe des Systems. Unabhängig vom Speicherplatz, den die Datensicherungen verbrauchen.

Potenziale nicht ungenutzt lassen

Oft bleiben Einsparungen und Optimierungen unentdeckt. Wir zeigen Ihnen unverbindlich, wo mehr für Sie drin ist.

Früh sehen, was später relevant wird

Kleine Schwachstellen bleiben lange unbemerkt – bis sie Auswirkungen haben. Wir geben Ihnen frühzeitig Klarheit, ganz ohne Verpflichtung.

E-Mail rein. Mehr raus.

Wir schreiben Ihnen eine E-Mail, damit wir uns unverbindlich und kostenfrei kennenlernen können.

Kein Newsletter | Antwort vom Experten | Unverbindlich