# Windows Disaster Recovery: Szenarien & Rettungspläne

TL;DR / Management Summary Disaster Recovery (DR) auf dem Client unterscheidet sich von der einfachen Dateiwiederherstellung. Es geht um die Geschwindigkeit der Wiederherstellung (RTO) nach einem Totalausfall. Wir bereiten uns auf drei Hauptszenarien vor: Hardware-Tod (Bare Metal Restore), Ransomware-Angriff (Sanitized Re-Imaging) und Standort-Verlust (Cloud-Transition). Ein Senior Admin hat für jedes Szenario ein validiertes Runbook in der Schublade.

# 1. Einführung & Strategie

Prävention ist gut, Recovery ist Pflicht.

Ein Desaster ist ein Ereignis, das den normalen Betrieb unmöglich macht. Auf Client-Ebene bedeutet das meist: Der User kann nicht mehr arbeiten.

# Kennzahlen (RTO / RPO)

• RTO (Recovery Time Objective): Wie lange darf die Wiederherstellung dauern? (Ziel: < 4h).
• RPO (Recovery Point Objective): Wie viel Datenverlust ist akzeptabel? (Ziel: < 1h via OneDrive/Sync).

# 2. Szenario 1: Der Hardware-Tod

Mainboard oder SSD defekt.

# Die Herausforderung

Der Laptop startet nicht mehr, BitLocker ist aktiv, die Daten sind physisch auf dem Gerät gefangen.

# Der Rettungsplan

1. Hardware-Tausch: Neues Gerät oder Ersatz-SSD.
2. Standard-Deployment: Rollout des Firmen-Images via PXE/MDT (Artikel 422).
3. Identitäts-Restore: User meldet sich an (AD/Entra ID).
4. Daten-Restore: OneDrive KFM (Artikel 444) zieht die Dokumente automatisch aus der Cloud.
5. Recovery Key: Falls alte Daten gerettet werden müssen -> BitLocker Key aus AD (Artikel 431).

# 3. Szenario 2: Ransomware / Malware-Befall

Komplettkompromittierung.

# Die Herausforderung

Ein Virus hat Admin-Rechte erlangt und das Dateisystem verschlüsselt oder Backups gelöscht.

# Der Rettungsplan (Sanitized Recovery)

1. Isolation: Gerät sofort vom Netzwerk trennen (WLAN aus, LAN ziehen).
2. Forensik: Event-Logs sichern (falls möglich), bevor das Gerät plattgemacht wird.
3. Wipe: Komplette Löschung der Partitionstabelle via diskpart clean. Vertrauen Sie niemals einer “Rücksetz-Funktion” des infizierten OS.
4. Re-Imaging: Neuinstallation aus einer sauberen Quelle (Read-only Share).
5. Integritätsprüfung: Vor dem Daten-Restore sicherstellen, dass die Cloud-Backups nicht ebenfalls infiziert sind.

# 4. Szenario 3: Massen-Ausfall (Patch-Fehler)

Der Admin-Albtraum.

# Die Herausforderung

Ein fehlerhaftes Update (BSOD-Loop) betrifft 500 Clients gleichzeitig (siehe “War Story” Artikel 452).

# Der Rettungsplan (Automation)

1. Triggern von WinRE: Nutzung der automatischen Reparatur.
2. Remote-Fix: Deployment eines “Fix-Scripts” via RMM-Tool oder Starten einer WinPE-Umgebung via Netzwerkboot, die das fehlerhafte Update deinstalliert (dism /remove-package).

# 5. Deep Dive: Offline-Rettung mit WinPE

Der Werkzeugkoffer.

Jeder Admin braucht einen USB-Stick mit einer Custom WinPE, die folgende Tools enthält:

• DISM: Zur Image-Reparatur.
• Explorer++: Für Dateizugriffe ohne ACL-Einschränkungen.
• Netzwerktreiber: Um Daten auf ein NAS zu retten.

# 6. Troubleshooting & “War Stories”

Wenn der Plan auf die Realität trifft.

# Top 3 Fehlerbilder

1. Symptom: Restore bricht ab wegen BitLocker.

   • Lösung: Den Key immer VOR dem ersten Reparaturversuch aus dem AD besorgen.

2. Symptom: User-Daten fehlen trotz Cloud-Sync.

   • Ursache: User hat Daten außerhalb der “Known Folders” gespeichert (z.B. in C:\Projekte).
   • Lösung: GPO-Einschränkung für Schreibrechte auf C: oder Schulung der User.

3. Symptom: PXE-Server ist im Desaster-Fall selbst offline.

   • Lösung: Halten Sie an jedem Standort eine “Offline-Deployment-SSD” mit MDT-Content bereit.

# “War Story”: Der “Double-Wipe” Fehler

Ein Junior-Admin sollte nach einem Virusbefall einen PC neu aufsetzen. Er startete das Deployment, wählte aber versehentlich das falsche Target-Laufwerk – die externe Backup-Platte des Users, die noch am Gerät hing. Ergebnis: Sowohl System als auch das einzige lokale Backup waren gelöscht. Lehre: Trennen Sie Backup-Medien physisch vom Gerät, bevor Sie Imaging-Prozesse starten. Dokumentieren Sie diesen Schritt explizit in Ihrem DR-Runbook!

# 7. Fazit & Empfehlung

Ein Disaster Recovery Plan ist nur so viel wert wie sein letzter erfolgreicher Test.

• Empfehlung: Führen Sie quartalsweise eine “Rettungs-Übung” durch. Nehmen Sie einen Laptop, löschen Sie die Disk und stoppen Sie die Zeit bis zum voll einsatzfähigen Desktop.
• Wahl: Setzen Sie auf Hybrid-Backup (Lokal für Speed, Cloud für Desaster).

# Anhang: DR-Checkliste für den Admin

1. [ ] Ist der BitLocker Key im AD/Entra ID?
2. [ ] Ist das letzte Backup < 24h alt?
3. [ ] Ist die WinRE Partition funktionsfähig?
4. [ ] Habe ich physischen Zugriff auf das Gerät?
5. [ ] Ist die Internetbandbreite für Cloud-Restore ausreichend?

# Referenzen

• NIST: Guide to Business Continuity
• Microsoft: Windows 10/11 Recovery Options
• BSI: Notfallmanagement-Leitfaden