„Wir haben doch ein Backup.” — Einer der häufigsten Sätze in Beratungsgesprächen, wenn das Thema digitale Langzeitarchivierung aufkommt. Oft ist gemeint: Wir sind sicher, falls etwas schiefgeht. Das ist richtig — und es ist nicht das, was Archivierung leistet.

Backup und Archivierung lösen unterschiedliche Probleme und ergänzen sich. Wer eines durchs andere ersetzt, riskiert auf der einen Seite Datenverlust nach Lösch-Fehlern, auf der anderen Seite den schleichenden Verlust von Inhalten durch Format-Obsoleszenz, Bit-Rot und fehlende Metadaten.

Das typische Szenario

Eine Sammlungsdatenbank wird täglich gesichert; Backups rotieren über 90 Tage. Vor sechs Monaten hat eine Mitarbeiterin versehentlich einen ganzen Bestand gelöscht. Das Backup hilft nicht — der Lösch-Vorgang liegt jenseits der Rotation. Selbst wenn er drin wäre: Die Sammlung lag als nicht-normalisierte Original-Files vor, ohne Erhaltungs-Metadaten, ohne Provenienz, ohne Migrations-Plan. In zehn Jahren wäre dasselbe Backup vielleicht nicht mehr lesbar — weil das Quellsystem obsolet ist und niemand mehr weiss, in welchem Container welcher Datentyp steckt.

Backup hätte den Lösch-Vorfall verhindern können, wenn die Rotation länger wäre. Archivierung hätte den Bestand robust durch die Jahrzehnte gebracht. Beides nötig — keines reicht allein.

Vergleich

AspektBackupDigitale Archivierung
ZweckWiederherstellung nach Ausfall, Fehler, Ransomwarelangfristige Verfügbarkeit der Information
ZeithorizontStunden bis wenige MonateJahrzehnte bis Jahrhunderte
Datei-Format1 : 1 wie in Produktionnormalisiert auf archivtaugliche Formate (PDF/A, FFV1, TIFF, WAV)
Metadatenminimal — Snapshot-Zeit, Dateipfadreich: deskriptiv, technisch, administrativ, Provenienz
Integritätsprüfungimplizit (Restore-Test)explizit, periodisch (Fixity-Checks gegen Hash-Manifeste)
Format-Obsoleszenznicht adressiert — Backup folgt der Produktionaktiv beobachtet → Migration / Normalisierung
Lebenszyklusrotiert, wird gelöschtunveränderlich (AIP), dauerhaft
Storage-Strategieonline / near-online, oft an einem Standortmehrfach repliziert an geografisch getrennten Standorten
Zugriffnur Restore-Workflow für ITrecherchierbar, ausspielbar als DIP
DisziplinIT-OperationsArchivische Erhaltungspraxis nach OAIS

Was Backup leistet — und was nicht

Backup beantwortet die Frage: „Was passiert, wenn jetzt etwas schiefgeht?”

Klassische Kriterien:

  • RPO (Recovery Point Objective) — wie viel Datenverlust ist akzeptabel? Stunden? Ein Tag?
  • RTO (Recovery Time Objective) — wie lange darf die Wiederherstellung dauern?
  • 3-2-1-Regel — 3 Kopien, 2 verschiedene Medien, 1 ausserhalb des Standorts.
  • Rotation — typisch GFS-Schema: täglich/wöchentlich/monatlich/jährlich, mit definierter Aufbewahrung pro Stufe.

Was Backup nicht liefert:

  • Keine Format-Strategie: das Backup spiegelt das Produktiv-Format. Verstirbt das Format, ist auch das Backup tot.
  • Keine Provenienz: man weiss, wann der Snapshot gemacht wurde, aber nicht wer den Inhalt erstellt, geändert oder migriert hat.
  • Keine Bit-Rot-Erkennung: ohne expliziten Fixity-Check kann sich ein Speicher-Sektor still verändern, ohne dass es jemand merkt.
  • Endliche Aufbewahrung: vor 5 Jahren gelöschte Datei? Im typischen Backup nicht mehr drin.

Was Digitale Archivierung leistet

Archivierung beantwortet die Frage: „Was muss in 50 Jahren noch verlässlich nutzbar sein?”

Im OAIS-Modell heisst das:

  • Ingest mit Format-Normalisierung — beim Eintritt wird das Original durch Siegfried oder FIDO identifiziert (PRONOM-PUID), via NARA Risk Levels bewertet und auf das Archiv-Zielformat überführt. Bestehender Workflow in unserer Sammlungs-Software Anton kombiniert hier kraenzle-ritter/puidentify (Siegfried-/FIDO-Wrapper) mit kraenzle-ritter/nara-risk (Risk-Lookup pro PUID).
  • AIP-Bildung — das Original (oder die normalisierte Kopie) wandert mit allen zugehörigen Metadaten in ein unveränderliches Archival Information Package, typisch als BagIt-Container, OCFL-Object oder SIP-eCH-0160-Lieferung.
  • Fixity-Check — periodisch werden alle Hashes gegen das Manifest geprüft. Abweichung = Alarm. PREMIS-Event-Eintrag.
  • Provenienz — alle Tätigkeiten am Objekt (Ingest, Validation, Migration, Replication) als PREMIS-Events dokumentiert.
  • Migration vor Obsoleszenz — bevor ein Format unleserlich wird, wird in ein neueres archivtaugliches Format migriert; ebenfalls als PREMIS-Event protokolliert.
  • Recherchierbar / ausspielbar — der Bestand ist nicht nur „da”, sondern findbar und in Nutzungsformate umwandelbar (DIP).

Wo sich beides berührt

Archivierung braucht Backup-Disziplin als Grundschicht:

  • Der Online-Zugriff auf das Archiv muss bei einem Ausfall schnell wieder verfügbar sein → klassisches Backup für die Archiv-Anwendung.
  • Storage-Redundanz (Spiegelung, RAID, geographische Verteilung) ist sowohl Backup- als auch Archivierungs-Anforderung.

Aber: Archivierung ohne Backup-Konzept ist fragil; Backup ohne Archivierungs-Konzept ist langfristig wertlos.

In der Praxis greifen die Strategien ineinander — eine bewährte Konfiguration ist dreifache Replikation an geografisch getrennten Standorten:

Live-Daten → Backup (Tagesgeschäft, RPO/RTO)

              Ingest in Archiv → AIP

                                  Standort 1 (online, primärer Zugriff)
                                  Standort 2 (georedundante Kopie)
                                  Standort 3 (zweite georedundante Kopie)

Drei Kopien an zwei oder drei räumlich getrennten Standorten erfüllen die 3-2-1-Regel und decken Hardware-Ausfall, Standortverlust (Brand, Wasserschaden) und schleichende Korruption ab — letzteres aber nur, wenn periodisch Fixity-Checks gegen die Manifeste laufen und beschädigte Kopien aus den intakten regeneriert werden.

Entscheidungs-Hilfe — was brauche ich für welchen Bestand?

Zwei Fragen helfen meist:

  1. „Was kann ich heute verlieren, ohne dass es jemandem auffällt?” → Backup-Frage. Welche RPO ist akzeptabel? Reicht 24-Stunden-Verlust oder muss es Echtzeit-Spiegelung sein?
  2. „Was muss in 50 Jahren noch lesbar sein, in einer Form, die seine ursprüngliche Aussage erhält?” → Archivierungs-Frage. Welche Formate, welche Metadaten, welche Migrations-Strategie?

Wenn beide Fragen mit „nichts” beantwortet werden — ehrliche Auskunft: dann reicht weder Backup noch Archivierung. Wenn die zweite Frage signifikant ausfällt, braucht es mehr als ein Backup.

Schweiz-Spezifika

  • BAR (Schweizerisches Bundesarchiv) und KOST geben verbindliche Empfehlungen für die digitale Archivierung in der Bundesverwaltung und kantonalen/kommunalen Archiven.
  • eCH-0160 (siehe SIP-eCH-0160) ist die Lieferschnittstelle für SIPs in Schweizer Behördenkontexten.
  • Memoriav koordiniert die Erhaltung audiovisueller Bestände und publiziert ergänzende Format-Empfehlungen (Foto, Film, Video, Ton).
  • Datenschutz: das DSG kann mit Backup-Rotation kollidieren — eine personenbezogene Datenmenge, die heute gelöscht werden muss, darf nicht via 90-Tage-Backup weiter vorgehalten werden. Backup-Konzepte brauchen einen Lösch-/Anonymisierungs-Workflow auch innerhalb der Backup-Kette.
  • DIMAG-Verbund Schweiz als gemeinsame Infrastruktur für viele Kantons- und Gemeindearchive; unsere Schnittstelle Inge verbindet Anton mit Dimag für SIP-Ingest.

Häufige Fallen

  • „Backup = Archiv” — der Klassiker, oft kombiniert mit „wir haben doch eine Cloud”.
  • MP3-Backup statt WAV-Master — verlustbehaftete Kopie als „Sicherung” reicht für die Tagesnutzung, ist aber kein Master.
  • Cloud-Backup ohne Format-Migration: stirbt das Quellformat in 15 Jahren, hilft auch der georedundante S3-Bucket nicht.
  • Replikation ohne Fixity-Check: Bit-Rot passiert auf jeder Speicher-Hardware. Eine zweite oder dritte Kopie nützt nichts, wenn die intakte Version nicht zuverlässig identifiziert werden kann — periodische Hash-Verifikation gegen die Manifeste ist Pflicht.
  • Verschlüsselte Backups ohne dokumentierten Schlüssel-Workflow: in 20 Jahren ist nicht garantiert, dass der Schlüssel noch da, der Algorithmus noch unterstützt oder die Person noch im Haus ist.
  • Backup als Archivierungs-Argument im Förderantrag: Förderorgane (BAR, Memoriav) erwarten Archivierungs-Konzept, kein Backup-Konzept. Wer das verwechselt, bekommt den Antrag zurück.
  • Immutability fehlt im Backup: ein Ransomware-Angriff verschlüsselt auch das Backup-Volume, wenn dieses Online-zugreifbar bleibt. Air-gapped oder WORM-Storage ist hier Pflicht — und gleichzeitig auch der Pfad zur Archivierungs-Disziplin.
  • Lösch-Anforderung im Backup vergessen: DSG-/GDPR-Löschungen müssen auch im Backup-Verlauf nachgezogen werden — sonst ist der „archivierte” Datensatz die nächste Datenschutz-Welle.