recent.digital

BSI Baustein CON.3 Datensicherung

Datensicherungskonzept nach BSI CON.3

Torben Zarnick

Wissensbeitrag

BSI Baustein CON.3 Datensicherung

Der Detailinhalt ist in die Themenwelt eingebettet und bleibt über die Seitennavigation sowie die thematischen Anschlussbereiche erreichbar.

Datensicherungskonzept nach BSI

Die Anforderungen an ein Datensicherungskonzept entsprechend dem Grundschutz sehen folgende Anforderungen vor.

Anforderungsklassen

Das BSI unterscheidet im Grundschutz grundsätzlich in 4 Anforderungsklassen.

  1. Muss-Anforderungen
  2. Soll-Anforderungen
  3. Kann-Anforderungen
  4. Anforderungen bei erhöhtem Schutzbedarf (betrifft unter anderem KRITIS-Unternehmen)

Die Anforderungen betreffen die Zertifizierung für den ISO-kompatiblen Standard des BSI. Die meisten Unternehmen sind zwar nicht an diese Anforderungen gebunden, bieten allerdings eine sehr gute Orientierung.

Anforderungen

Baustein Anforderung Bezeichnung Inhalt
CON.3.A1 MUSS (Basis-Anforderung) Erhebung der Einflussfaktoren für Datensicherungen [Fachverantwortliche, IT-Betrieb] (B) Es muss für jedes System erfasst und systematisch festgehalten und überprüft werden:

1. Speichervolumen

2. Änderungsvolumen

3. Änderungszeitpunkte

4. Verfügbarkeitsanforderungen

5. Integritätsbedarf sowie

6. rechtliche Anforderungen
CON.3.A2 MUSS (Basis-Anforderung) Festlegung der Verfahrensweise für die Datensicherung [Fachverantwortliche, IT-Betrieb] (B Für jedes IT-System im Unternehmen muss ein Verfahren zur Datensicherung festgelegt werden. Dazu muss das Verfahren die Art, Häufigkeit, Zeitpunkte der Backups festlegen und sich mit der Erfassung aus CON.3.A1 decken.

Zusätzlich muss eine Beschreibung festgehalten werden, die die Aufbewahrungs- und Transportrahmenbedingungen und die Art der Speichermedien enthält.
CON.3.A3 MUSS (Basis-Anforderung) entfällt ersatzlos
CON.3.A4 MUSS (Basis-Anforderung) Erstellung eines Minimal datensicherungskonzeptes [IT-Betrieb] (B) Es muss ein Mindestsicherungskonzept erstellt werden, das mindestens enthalten muss:

* Welche Systeme werden gesichert und welche Daten sind darin enthalten

* Wie wird das Backup technisch erstellt und wiederhergestellt

* Welche Parameter sind zu wählen

* Welche Hardware und Software wird zur Datensicherung eingesetzt
CON.3.A5 MUSS (Basis-Anforderung) Regelmäßige Datensicherung [IT-Betrieb] (B) Es müssen Arbeitsanweisungen oder geeignete Automatisierungen erstellt und entsprechend dokumentiert werden, die gewährleisten muss, dass:

* Datensicherungen vor dem Zugriff Dritter geschützt sind

* regelmäßig getestet wird, dass sich Datensicherungen wie gewünscht, in angemessener Zeit, problemlos zurückspielen bzw. wiederherstellen lassen.
CON.3.A6 SOLL (Standard-Anforderungen) Entwicklung eines Datensicherungskonzepts [Fachverantwortliche, ITBetrieb] (S) Das Datensicherungskonzept auf der Grundlage des Minimalsicherungskonzepts (s. Muss-Anforderung) erarbeitet werden, dass mindestens die Punkte enthalten sollte:

* Definitionen zu wesentlichen Aspekten der Datensicherung (z. B. zu differenzierende Datenarten)

* Gefährdungslage (s. Kreuzreferenztabelle zu elementaren Gefährdungen)

* Einflussfaktoren je IT-Systeme

* Datensicherungsplan je IT-Systeme sowie

* relevante Ergebnisse des Notfallmanagements/BCM, insbesondere die Recovery Point Objective (RPO) je IT-System.

* Unterrichtung von betroffenen Mitarbeitern

* Regelmäßige Kontrolle der Umsetzung
CON.3.A7 SOLL (Standard-Anforderungen) Beschaffung eines geeigneten Datensicherungssystems [IT-Betrieb] (S) Für die Auswahl von geeigneten Systemen sollte eine Anforderungsliste erstellt werden und die Auswahl der Software entsprechend nachgehalten werden.
CON.3.A8 SOLL (Standard-Anforderungen) entfällt ersatzlos
CON.3.A9 SOLL (Standard-Anforderungen) Voraussetzungen für die Online-Datensicherung [IT-Betrieb] (S) Für die Datensicherung in Online-Speichern sollten mindestens diese Punkte mit dem Anbieter geregelt sein:

* Gestaltung des Vertrages,

* Ort der Datenspeicherung,

* Vereinbarungen zur Dienstgüte (SLA), insbesondere in Hinsicht auf die Verfügbarkeit,

* geeignete Authentisierungsmethoden,

* Verschlüsselung der Daten auf dem Online-Speicher sowie

* Verschlüsselung auf dem Transportweg.
CON.3.A10 SOLL (Standard-Anforderungen) Verpflichtung der Mitarbeiter zur Datensicherung (S) Alle betroffenen Mitarbeiter sollen entsprechende Arbeitsanweisungen und Dokumentationen bekommen, welche sie bei ihrer Aufgabe zur Datensicherung informiert, z.B. Zu geregelten Zeitpunkten Datensicherungen von bestimmten Inhalten auf bestimmten Systemen manuell durchzuführen und dabei dem entsprechenden Workflow zu folgen.
CON.3.A11 SOLL (Standard-Anforderungen) Sicherungskopie der eingesetzten Software [IT-Betrieb] (S) Für die gesamte eingesetzte Software im Unternehmen sollen, falls rechtlich und technisch möglich, Sicherungskopien angefertigt werden, sodass sie im Notfall wiederhergestellt werden kann. Dabei müssen ebenfalls Lizenzen (Dateien oder Codes) dokumentiert werden.
CON.3.A12 SOLL (Standard-Anforderungen) Geeignete Aufbewahrung der Datenträger von Datensicherungen [ITBetrieb] (S) Wenn zur Sicherung relevante Datenträger innerhalb des Unternehmens aufbewahrt werden müssen, dann soll es einen geeigneten, getrennte Ort geben.
CON.3.A13 Anforderungen bei erhöhtem Schutzbedarf Einsatz kryptografischer Verfahren bei der Datensicherung [IT-Betrieb] (H) Sollte im Rahmen der Risiko-Analyse festgestellt werden, dass es erhöhten Sicherheitsbedarf gibt, dann sollte sichergestellt sein, dass:

* Die Datensicherung geeignet verschlüsselt sind

* Die Datensicherung sich wiederherstellen lässt

* Der kryptographische Schlüssel für Dritte unzugänglich und räumlich getrennt aufbewahrt werden

Quelle / BSI Homepage

Selcuk Özen

Selcuk Özen

Wenn Sie den Inhalt auf Ihre Situation übertragen möchten, können Sie direkt aus dem Beitrag heraus eine Rückfrage senden.

Passende Lösungen

Preise & Pläne

So schützen Sie Ihr Unternehmen vor Datenverlust

Managed Backup Cloud

ab 0,18 €

/ GigaByte

Details ansehen

✅ Aufbewahrung bis zu 365 Tage

✅ Speicherung in 2 Rechenzentren

✅ Beliebig viele Geräte pro Backup-Cloud

✅ Granulare Wiederherstellung

JTL Wawi Datenbank Backup

ab 19,00 €

/ Datenbank

Details ansehen

✅ JTL Datenbank Backup-Strategie

✅ Hochverfügbare Sicherung

✅ bis zu 42 Sicherungskopien

✅ Schutz vor Malware und Ransomware

Server Backup

ab 79,00 €

/ Server

Details ansehen

✅ Komplette System-Sicherung

✅ Notfall-Wiederherstellung

✅ Speicherplatz-Flat-Rate für 30 Sicherungskopien

✅ Malware Scanner

Weiterlesen

Weitere Inhalte aus derselben Themenwelt

Vertiefende Inhalte und angrenzende Perspektiven aus dem thematischen Kontext.

Weitere passende Inhalte

8 Beiträge

04.02.2026

So lösen wir Backup Probleme

Wir sichern einfach das gesamte System. Anstatt einen großen Speicherplatz zu bezahlen, zahlen Sie lediglich die Größe des Systems. Unabhängig vom Speicherplatz, den die Datensicherungen verbrauchen.

04.02.2026

Das Große Backup-Glossar

Fachbegriffe rund um das Thema Datensicherung, Disaster-Recovery und Wiederherstellung.

04.02.2026

Datensicherungen - ein kurzer Einstieg

In diesem Artikel erfahren Sie, warum Backups die höchste Priorität in Ihrem Unternehmen haben sollten. Bei Backups lassen sich keine Kompromisse machen.

04.02.2026

Checkliste: Datensicherung

Sofort-Analyse mit Ergebnis und Handlungsempfehlungen

04.02.2026

Business Impact Analyse - Einstieg

Asset Management und Business Impact Analyse (Risiko-Analyse): Ein Leitfaden für Unternehmer

04.02.2026

Notfall-Management - Einstieg

Notfall-Management, auch bekannt als Business Continuity Management System (BCMS), stellt sicher, dass der Geschäftsbetrieb im Falle eines Notfalls fortgesetzt werden kann.

04.02.2026

BSI Baustein CON.3 Datensicherung

Datensicherungskonzept nach BSI CON.3

26.06.2024

Richtline: Erstellung eines Datensicherungskonzepts

Ein Beispiel einer Datensicherungsrichtlinie zum Erstellen eines Backup-Konzepts.

Verwandte Themen

Weitere Themenwelten zur Vertiefung

Wenn Sie angrenzende Fragestellungen erkunden möchten, finden Sie hier passende Anschluss-Themen.

Archivierung

Archivierung

Weiterführendes Thema

Archivierung ist das Management von Dokumenten zur einfachen Suche und Finden. Oft hängt es nah mit der GOBD zusammen. Gleichzeitig hat Archivierung handfeste Vorteile im alltäglichen Arbeiten.

Sie möchten den Detailinhalt für Ihr Projekt einordnen?

Wir helfen dabei, den Beitrag in Anforderungen, nächste Schritte und passende Lösungen zu übersetzen.

Selcuk Özen
Selcuk ÖzenAnsprechpartner für Interessenten@selcuk