Die grosse Herausforderung bei einer Backup-Strategie ist es, die Auswirkungen eines Datenverlustes realistisch vorherzusehen. Um eine Datensicherung zielführend zu gestalten, sollten die Anforderungen des Unternehmens bekannt sein. Zwei der wichtigen Hilfsgrössen dabei sind RTO (Recovery time objective) und RPO (Recovery point objective). Der RTO ist die maximale Länge, bis ein System oder Service nach einem Ausfall wiederhergestellt sein muss. Wenn ein Unternehmen festlegt, dass der RTO lediglich zwei Stunden betragen darf, dann müssen viel höhere Investitionen getätigt werden, um eine komplette Wiederherstellung der Daten zu erreichen, als wenn dieser zwei Wochen dauern darf.

RPO ist definiert als die maximale Datenmenge - gemessen an der Zeit -, die nach einer Wiederherstellung, einem Ausfall oder einem vergleichbaren Ereignis verloren gehen kann, bevor der Datenverlust das für eine Organisation akzeptable Mass überschreitet. Diese Kennzahl gibt die Häufigkeit von Backups vor, welche erstellt werden müssen.
Ausserdem sollte eine Klassifikation der IT-Systeme, Applikationen und Daten anhand einer Bestandesaufnahme gemacht werden. Dabei sind die folgenden vier Kategorien relevant:
- Geschäftskritisch – muss gesichert werden
- Geschäftskritisch – unterliegt gesetzlichen oder internen Regelungen
- Nicht geschäftskritisch – soll aber auch gesichert werden
- Nicht geschäftskritisch – keine Sicherung
- Wieviel Zeit darf verstreichen, bis das System oder die Daten wieder zur Verfügung stehen (RTO)?
- Wieviel Datenverlust darf maximal entstehen – reicht ein Backup-Stand pro Tag oder wären mehrere Sicherungen täglich sinnvoller (RPO)?
- Wie lange müssen die Backups aufbewahrt werden und gibt es gesetzliche oder betriebliche Anforderungen?
- Gibt es unterschiedliche Verfügbarkeitsanforderungen für einzelne Systeme?
- Welche Zeitfenster stehen für Backups zur Verfügung und gibt es Anforderungen bezüglich des laufenden Betriebs für die Backupfenster?
- In welcher Granularität müssen die Backups vorhanden sein? (Bspw. 14x tägliche, 3x monatliche, 3x vierteljährliche Backups)
- Wie ist die Vertraulichkeit der Daten?
- Wie sollen die Backupdaten aufbewahrt werden?
- 3 Kopien der Daten (Live, Backup, Kopie des Backups)
- 2 verschiedene Medien
- 1 Backup Offsite
- 0 Errors (bspw. Restore Tests)