Website-Backups, die Sie wirklich retten: 7 Regeln für verschlüsselte Off-Site-Backups
Die meisten „Backups" versagen genau dann, wenn man sie braucht: gleicher Server, nie getestet, keine Verschlüsselung. Hier sind sieben Regeln für Backups, die einen echten Notfall überstehen — und wie Sie aufhören, sie von Hand zu machen.
Jeder hat Backups — bis zu dem Tag, an dem er sie braucht. Dann stellt sich heraus: Das Backup lag auf dem Server, der gerade gestorben ist, lief seit drei Wochen nicht mehr, oder es stellt ein unbrauchbares Chaos wieder her. Ein Backup, das Sie nie getestet haben, ist kein Backup; es ist Hoffnung. Hier sind sieben Regeln, die Hoffnung in etwas verwandeln, von dem Sie sich wirklich erholen können.
1. Automatisieren — sonst passiert es nicht
Ein Backup, an dessen Ausführung Sie denken müssen, ist ein Backup, das still aufhört zu laufen. Planen Sie es. Täglich ist für die meisten Sites ein vernünftiger Standard; stark genutzte Sites wollen häufigere Datenbank-Snapshots. Die einzig gute Backup-Frequenz ist die, über die kein Mensch nachdenken muss.
2. Befolgen Sie 3-2-1
Die klassische Regel gilt weiter: 3 Kopien Ihrer Daten, auf 2 verschiedenen Medien, davon 1 off-site. Klingt übertrieben, bis ein einziger Ausfall — eine kaputte Platte, ein fehlerhaftes Deployment, ein gelöschter Bucket — alles auslöscht, was an einem Ort lag.
3. Bringen Sie es vom Server weg
Das ist der Schritt, den man überspringt. Ein Backup auf demselben VPS wie die Website stirbt mit dem VPS. Schieben Sie Backups in Objektspeicher — einen S3-Bucket, Backblaze B2 oder ein SFTP-Ziel auf einer anderen Maschine. Off-site ist der Unterschied zwischen „wir haben einen Nachmittag verloren" und „wir haben das Geschäft verloren".
4. Verschlüsseln, bevor es den Server verlässt
Ihr Backup enthält alles: Datenbank, Kundendaten, Geheimnisse, Konfiguration. Sobald es Ihren Server verlässt, ist es ein lohnendes Ziel. Verschlüsseln Sie es vor dem Upload (AES-256 ist Standard), und speichern Sie auch die Speicher-Zugangsdaten verschlüsselt. Ein unverschlüsseltes Backup in einem falsch konfigurierten Bucket ist ein Datenleck, das nur darauf wartet zu passieren.
5. Sichern Sie Datenbank und Dateien
Ein reines Datei-Backup stellt eine Website wieder her, die ihre Daten nicht erreicht; ein reines Datenbank-Backup stellt Daten ohne Website wieder her. Sie brauchen beides — Uploads, Konfiguration und Code und die Datenbank — idealerweise nah beieinander erfasst, damit sie konsistent sind.
6. Behalten Sie Versionen, nicht nur „die neueste"
Wenn Ihr einziges Backup das von gestern Abend ist, dann steckt ein Problem, das Sie eine Woche zu spät bemerken — eine beschädigte Tabelle, eine stille Ransomware-Verschlüsselung, eine fehlerhafte Migration — bereits in Ihrem Backup. Behalten Sie ein Aufbewahrungsfenster (z. B. täglich für eine Woche, wöchentlich für einen Monat), um auf vor den Schaden zurückzurollen.
7. Testen Sie Ihre Wiederherstellungen
Der am häufigsten übersprungene Schritt — und der einzige, der beweist, dass der Rest funktioniert hat. Stellen Sie regelmäßig ein Backup an einem Wegwerf-Ort wieder her und prüfen Sie, ob die Website wirklich hochkommt. Eine Wiederherstellung, die Sie nie ausgeführt haben, ist ein Münzwurf an Ihrem schlimmsten Tag.
Der einfache Weg
Von Hand ist das ein Haufen fragiler Klebearbeit: ein Cronjob, mysqldump, ein tar, ein gpg-Schritt, ein aws s3 cp, ein Retention-Skript und ein Wiederherstellungs-Runbook, das niemand geprobt hat. Genau das fault still vor sich hin.
Ein Panel sollte das einfach erledigen. ShadowPanel führt geplante, AES-256-verschlüsselte Backups Ihrer Dateien und Datenbanken direkt zu Ihrem eigenen S3- oder SFTP-Ziel aus, hält eine Historie mit Aufbewahrung vor, speichert Ihre Speicher-Zugangsdaten verschlüsselt — und stellt jeden Snapshot per Klick wieder her. Sie bekommen alle sieben Regeln standardmäßig, statt eines Runbooks, von dem Sie hoffen, dass es noch funktioniert.
Richtig sichern
Kostenlose Stufe — 3 Sites, keine Kreditkarte — und Sie können auf jedem Ubuntu-VPS in etwa zehn Minuten installieren:
curl -fsSL https://shadowpanel.de/install.sh | bash