Backup & Restore in der Produktion erklärt

Backup & Restore bezeichnet im industriellen Umfeld die Sicherung und Wiederherstellung aller produktionskritischen Systeme, Daten und Konfigurationen – von der SPS-Steuerung über Maschinenparameter bis zur Edge-Gateway-Konfiguration. Anders als in der klassischen IT genügt es nicht, Dateien zu sichern: Ein OT-Backup muss den exakten Betriebszustand einer Anlage reproduzierbar konservieren, damit nach einem Ausfall, Cyberangriff oder Bedienfehler dieselbe Anlage unter denselben Bedingungen wieder läuft.

Warum OT-Backup eine eigene Disziplin ist

In der klassischen IT bedeutet Restore: Server hochfahren, Software installieren, Daten einspielen, fertig. In der Operational Technology ist das ein gefährliches Missverständnis.

Eine CNC-Maschine, eine Schweißanlage oder eine Abfüllanlage hat keinen Betriebszustand, der sich aus einem Daten-Backup allein rekonstruieren lässt. Parameter-Sets, Rezepturen, Kalibrierungsdaten, Schnittstellen-Konfigurationen, SPS-Ladderprogramme und Firmware-Versionen bilden zusammen den produktionsfähigen Zustand der Anlage. Fehlt auch nur eine Komponente oder stimmt eine Versionsnummer nicht, läuft die Anlage entweder gar nicht – oder, gefährlicher, sie läuft mit falschen Parametern.

Falsche Parameter bedeuten in der Fertigung nicht nur Ausschuss. Bei Drucksystemen, Dosieranlagen oder sicherheitsrelevanten Prozessen kann das physischen Schaden an Anlagen oder Personen verursachen.

Was in der OT gesichert werden muss

Ein OT-taugliches Backup ist kein einzelnes Backup – es ist ein Backup-Konzept, das mehrere Systemebenen gleichzeitig adressiert:

Ein Backup, das nur die Datenbank des MES sichert, aber die SPS-Programme vergisst, ist kein OT-Backup – es ist ein partielles IT-Backup mit gefährlicher Lücke.

Die drei Backup-Typen und ihre Relevanz im OT-Umfeld

Vollbackup: Sicherung des gesamten Systems. Höchste Wiederherstellungssicherheit, höchster Speicherbedarf und längste Backup-Dauer. Im OT-Umfeld für Maschinensteuerungen empfohlen, da Differenzen zu einem Teilbackup kritische Inkonsistenzen erzeugen können.

Inkrementelles Backup: Nur die seit dem letzten Backup geänderten Daten werden gesichert. Schnell und speichereffizient – aber der Restore erfordert das Einspielen aller inkrementellen Stufen in korrekter Reihenfolge. In Produktionsumgebungen unter Zeitdruck fehleranfällig.

Snapshot-basiertes Backup: Für Cloud-MES und virtuelle Maschinen der Standard. Der gesamte Systemzustand wird zu einem definierten Zeitpunkt eingefroren. Ermöglicht sehr niedrige RPO-Werte und schnelle Wiederherstellung. Im OT-Umfeld anwendbar für Edge-Systeme und Software-Komponenten, nicht für Hardware-nahe SPS-Konfigurationen.

Praxis-Warnung: Der Restore-Test, der nie stattfindet

Das häufigste und folgenreichste Problem im industriellen Backup-Management ist nicht das fehlende Backup – es ist der fehlende Restore-Test.

In der Praxis werden Backups eingerichtet, laufen jahrelang automatisch und werden nie auf Wiederherstellbarkeit geprüft. Dann kommt der Ernstfall: Die Anlage fällt aus, das Backup wird eingespielt – und schlägt fehl. Ursachen sind korrupte Backup-Dateien, inkompatible Firmware-Versionen nach einem zwischenzeitlichen Hersteller-Update oder fehlende Lizenzdateien, die nicht Teil des Backups waren.

Ein Backup ohne regelmäßigen Restore-Test ist kein Backup – es ist die Illusion eines Backups.

Mindeststandard für produktionskritische Systeme: jährlicher Full-Restore-Test unter realistischen Bedingungen, dokumentiert mit Zeitstempel, Ergebnis und verantwortlicher Person. Für besonders kritische Anlagen empfiehlt sich ein halbjährlicher Zyklus.

Praxisbeispiel: Steuerungsausfall nach Firmware-Update

Ein mittelständischer Metallverarbeiter führt ein Firmware-Update an einer Abkantpresse durch. Das Update läuft fehlerhaft ab, die Steuerung startet nicht mehr. Der Produktionsleiter verweist auf das Backup – das letzte vollständige SPS-Backup wurde vor 14 Monaten erstellt.

In diesen 14 Monaten wurden Parametersätze für drei neue Blechprodukte eingespielt und manuell angepasst. Diese Änderungen existieren nur in der Maschine – nicht im Backup. Das Einspielen des alten Backups stellt die Anlage zwar technisch wieder her, aber ohne die neuen Produktparameter. Die Neueinrichtung der Parameter dauert zwei Arbeitstage, die Produktion steht.

Hätte ein automatisches, monatliches SPS-Backup mit versionierter Parametermigration existiert, wäre der Datenverlust auf maximal einen Monat begrenzt und die Wiederanlaufzeit auf wenige Stunden reduziert gewesen.

Restore im OT-Kontext: Was „funktioniert" wirklich bedeutet

Ein Restore ist im OT-Kontext erst dann erfolgreich, wenn vier Bedingungen gleichzeitig erfüllt sind:

1. Technischer Betrieb: Die Anlage startet, kommuniziert und führt Bewegungen aus.

2. Parametrische Korrektheit: Alle Prozessparameter, Toleranzgrenzen und Rezepturen entsprechen dem Stand vor dem Ausfall – nicht dem Stand des letzten Backups, wenn dazwischen Änderungen stattfanden.

3. Systemintegration: Edge-Gateway, MES-Anbindung und Netzwerkkommunikation funktionieren wie zuvor. Daten fließen korrekt in die Qualitätsdokumentation und Traceability.

4. Regulatorische Nachweisfähigkeit: Der Restore-Vorgang selbst ist dokumentiert – wer hat wann was eingespielt, welche Version wurde verwendet, welche Tests wurden nach dem Restore durchgeführt. Ohne diese Dokumentation kann ein Audit die Integrität der Daten nach dem Restore in Frage stellen.

Zusammenhang mit RPO, RTO und High Availability

Backup-Strategie und Disaster-Recovery-Kennzahlen sind direkt verknüpft:

Ein niedriger RPO erfordert häufige oder kontinuierliche Backups – klassische Nacht-Backups sind für RPO-Werte unter einer Stunde nicht ausreichend. Ein niedriger RTO erfordert automatisierte Restore-Prozesse – manuelle Wiederherstellung aus Bändern oder Archiven ist mit RTO-Zielen unter zwei Stunden in der Regel nicht kompatibel.

Für besonders kritische Systeme – Produktions-MES, Leitstand, Qualitätsdatenplattform – ist Backup allein nicht ausreichend. High Availability-Architekturen mit Warm- oder Hot-Standby-Systemen sind die Voraussetzung, um RTO-Werte unter 30 Minuten zu erreichen. Backup & Restore ist die Absicherung für Szenarien, in denen auch die HA-Architektur versagt – zum Beispiel bei einem Ransomware-Angriff, der aktive Replikation ausnutzt, um auch das Standby-System zu verschlüsseln.

FAQ: Backup & Restore in der OT-Praxis

1. Können SPS-Programme wie normale Dateien gesichert werden? Nicht ohne Weiteres. SPS-Programme liegen in herstellerspezifischen Formaten vor und erfordern oft das Backup-Werkzeug des Herstellers. Siemens TIA Portal, Beckhoff TwinCAT und Rockwell Studio 5000 haben jeweils eigene Export- und Sicherungsroutinen. Ein allgemeines Datei-Backup des Dateisystems reicht in der Regel nicht aus, um ein SPS-Programm vollständig und wiederherstellbar zu sichern.

2. Wie oft müssen OT-Backups gemacht werden? Das hängt vom RPO ab. Für Produktionsdaten und Qualitätsprotokolle sollten Backups mindestens stündlich erfolgen, idealerweise kontinuierlich repliziert. Für Maschinenkonfigurationen und SPS-Programme empfiehlt sich ein automatisiertes Backup bei jeder Änderung sowie ein periodisches Vollbackup mindestens monatlich.

3. Dürfen OT-Backups in die Cloud? Ja – mit klaren Voraussetzungen. Die Datenübertragung muss verschlüsselt erfolgen, der Cloud-Speicher muss Zugriffsrechte auf autorisierte Personen beschränken, und der Anbieter muss nachweisen können, dass Daten in der vereinbarten geografischen Region verbleiben. Für Backups mit Produktionsrezepturen oder Know-how-relevanten Parametern ist eine Bewertung nach Betriebsgeheimnisschutz empfehlenswert.

4. Was ist der Unterschied zwischen einem OT-Backup und einem IT-Backup? Ein IT-Backup sichert primär Daten und Softwarezustände. Ein OT-Backup muss darüber hinaus Hardware-nahe Konfigurationen, firmware-abhängige Parameter und physische Systemzustände erfassen – und bei der Wiederherstellung sicherstellen, dass Versionskonsistenz zwischen Firmware, Parametern und Programmen gewährleistet ist. Ein IT-Restore ist gescheitert, wenn Dateien fehlen. Ein OT-Restore ist gescheitert, wenn die Anlage falsch produziert.

5. Welche Normen adressieren OT-Backup explizit? IEC 62443-2-1 beschreibt Anforderungen an Backup- und Recovery-Prozesse als Teil des industriellen Sicherheitsmanagementsystems. ISO 22301 (Business Continuity) liefert den übergeordneten Rahmen. Für Produktionssysteme in regulierten Industrien – Pharma (FDA 21 CFR Part 11), Automotive (IATF 16949), Medizintechnik (ISO 13485) – sind spezifische Anforderungen an die Dokumentation von Backup- und Restore-Vorgängen normativ verankert.

Strategischer Mehrwert

Ein professionelles OT-Backup-Konzept ist keine IT-Infrastrukturmaßnahme – es ist Betriebsresilienz. Der Unterschied zwischen einem Unternehmen, das nach einem Cyberangriff in zwei Stunden wieder produziert, und einem, das drei Wochen offline bleibt, liegt in den meisten Fällen nicht an der Qualität der Firewalls. Er liegt daran, ob vollständige, getestete und versionierte Backups aller relevanten OT-Komponenten existieren – und ob der Restore-Prozess so oft geübt wurde, dass er im Ernstfall unter Druck funktioniert.