March 29, 2026

8.7 Konfigurationssicherung und Backup auf Cisco-Geräten einfach erklärt

Die Konfigurationssicherung und das Backup auf Cisco-Geräten gehören zu den wichtigsten Grundlagen eines sicheren und stabilen Netzwerkbetriebs. In der Praxis wird Netzwerksicherheit oft zuerst mit Firewalls, ACLs, SSH oder VLANs verbunden. Diese Themen sind wichtig, doch ein weiterer zentraler Schutzfaktor wird häufig unterschätzt: die Fähigkeit, eine funktionierende und vertrauenswürdige Gerätekonfiguration schnell wiederherzustellen. Router, Switches und andere Cisco-Komponenten sind nicht nur Hardware, sondern in hohem Maß durch ihre Konfiguration definiert. Darin stecken IP-Adressen, Routinginformationen, VLAN-Zuordnungen, Managementzugänge, Sicherheitsregeln, Banner, AAA-Einstellungen und viele weitere betriebsrelevante Details. Geht diese Konfiguration verloren, wird versehentlich überschrieben oder durch einen Sicherheitsvorfall manipuliert, kann das direkte Auswirkungen auf Verfügbarkeit, Integrität und Betriebssicherheit des gesamten Netzwerks haben. Für CCNA, Netzwerkpraxis und Cybersecurity ist es deshalb entscheidend zu verstehen, wie Konfigurationen auf Cisco-Geräten gesichert, gespeichert, geprüft und im Ernstfall wiederhergestellt werden.

Table of Contents

Warum Konfigurationssicherung im Netzwerk so wichtig ist

Ein Cisco-Gerät ist ohne seine Konfiguration nur begrenzt nützlich

Ein Router oder Switch kann technisch völlig in Ordnung sein und trotzdem für den Betrieb praktisch wertlos werden, wenn seine Konfiguration fehlt oder beschädigt ist. Die eigentliche Logik des Geräts liegt in den gesetzten Parametern: Welche Interfaces aktiv sind, welche VLANs existieren, welche Routen verwendet werden, welche ACLs greifen und wie der Managementzugang abgesichert ist.

  • IP-Adressierung und Interface-Status gehen verloren
  • Routing- und Switching-Logik fehlt
  • Managementzugänge müssen neu aufgebaut werden
  • Sicherheitsregeln und Segmentierung sind nicht mehr konsistent

Deshalb ist eine Konfigurationssicherung kein optionaler Komfort, sondern eine betriebliche Notwendigkeit.

Backups schützen nicht nur vor Hardwareausfall

Viele verbinden Backups zuerst mit defekter Hardware. In der Realität gibt es jedoch deutlich mehr Gründe, warum eine gesicherte Cisco-Konfiguration gebraucht wird. Dazu gehören Fehlkonfigurationen, fehlgeschlagene Änderungen, versehentliches Löschen, Softwareprobleme, Sicherheitsvorfälle oder der Austausch eines Geräts.

  • Fehler bei Changes oder Wartung
  • versehentliches Überschreiben von Einstellungen
  • Rückkehr zu einem stabilen Zustand nach Störung
  • Wiederherstellung nach Sicherheitsvorfällen
  • schneller Ersatz bei Hardwaretausch

Was auf Cisco-Geräten überhaupt gesichert werden muss

Running Configuration und Startup Configuration

Auf Cisco-Geräten sind zwei Konfigurationszustände besonders wichtig: die laufende Konfiguration und die Startkonfiguration. Die running-config enthält den aktuell aktiven Zustand im Arbeitsspeicher. Die startup-config ist die beim nächsten Neustart geladene Konfiguration, typischerweise im NVRAM gespeichert.

Diese Unterscheidung ist grundlegend:

  • running-config zeigt, wie das Gerät jetzt arbeitet
  • startup-config bestimmt, wie das Gerät nach einem Reload startet

Wer Backups sicher und konsistent erstellen will, muss diesen Unterschied sauber verstehen.

Nicht nur die Konfiguration selbst ist relevant

Neben der eigentlichen Konfiguration sind je nach Umgebung auch andere Informationen wichtig. Dazu gehören Softwarestände, Lizenzinformationen, dokumentierte Topologiebezüge, Inventardaten und gegebenenfalls ergänzende Dateien. Für die Grundsicherung im CCNA- und Praxisumfeld steht aber klar die Gerätekonfiguration im Mittelpunkt.

Running-Config und Startup-Config richtig verstehen

Änderungen wirken oft zuerst nur im Running-Config

Wenn ein Administrator auf einem Cisco-Gerät Änderungen vornimmt, passieren diese zunächst meist in der laufenden Konfiguration. Das Gerät arbeitet dann mit der neuen Einstellung, aber diese ist noch nicht automatisch dauerhaft gespeichert. Genau das führt in der Praxis häufig zu Problemen: Nach einem Neustart ist die Änderung plötzlich verschwunden.

Zur Prüfung dienen diese Befehle:

show running-config
show startup-config

Mit diesen Kommandos lässt sich vergleichen, was aktuell aktiv ist und was beim Neustart geladen würde.

Ohne Speichern ist eine Änderung nicht dauerhaft

Eine der wichtigsten Grundregeln in Cisco-Umgebungen lautet: Änderungen am Running-Config müssen bewusst in das Startup-Config übernommen werden, wenn sie dauerhaft erhalten bleiben sollen. Dafür wird klassisch verwendet:

copy running-config startup-config

Alternativ ist auch die Kurzform write memory bekannt, in modernen Umgebungen ist copy running-config startup-config jedoch meist die klarere und didaktisch sauberere Variante.

Warum lokale und externe Backups beide wichtig sind

Startup-Config ist noch kein echtes Backup

Ein häufiger Anfängerfehler ist die Annahme, dass ein gespeichertes Startup-Config bereits ein vollwertiges Backup sei. Das ist nur teilweise richtig. Es schützt vor dem Verlust von Änderungen beim Neustart, aber nicht vor Hardwareausfall, Diebstahl, Beschädigung des Geräts oder vollständiger Kompromittierung.

  • Startup-Config liegt auf dem Gerät selbst
  • bei Geräteschaden kann es verloren gehen
  • bei Diebstahl oder Totalausfall hilft es nicht mehr
  • bei Manipulation durch Angreifer kann auch das lokale Backup betroffen sein

Deshalb braucht es zusätzlich externe Sicherungen.

Externe Backups ermöglichen echte Wiederherstellung

Ein extern gesichertes Backup liegt außerhalb des Geräts und kann daher auch dann verwendet werden, wenn der Router oder Switch selbst nicht mehr verfügbar ist. Genau das ist für Wiederherstellung, Geräteaustausch und Incident Response entscheidend.

Typische externe Ablageorte sind:

  • TFTP-Server in Test- oder Laborumgebungen
  • SFTP- oder SCP-basierte Ablagen in sichereren Umgebungen
  • zentrale Konfigurationsmanagement-Systeme
  • dokumentierte, geschützte Backup-Repositorys

Konfigurationen manuell sichern

Die einfachste Methode für kleine Umgebungen

In kleinen Netzen oder Laboren wird die Konfigurationssicherung häufig manuell durchgeführt. Das ist zwar nicht optimal für große Umgebungen, aber didaktisch sehr wertvoll, weil man dabei versteht, wie Cisco-Geräte Konfigurationen behandeln. Eine manuelle Sicherung kann zum Beispiel über die CLI und einen externen Server erfolgen.

Ein klassischer Befehl lautet:

copy running-config tftp:

Danach fragt das Gerät typischerweise nach der IP-Adresse des TFTP-Servers und nach dem Dateinamen.

Auch die Startkonfiguration kann gezielt exportiert werden

Wenn nicht nur der aktuelle, sondern der dauerhaft gespeicherte Zustand gesichert werden soll, kann auch direkt das Startup-Config exportiert werden:

copy startup-config tftp:

Das ist besonders nützlich, wenn geprüft werden soll, welcher Konfigurationsstand nach einem geplanten Neustart tatsächlich erhalten bleibt.

Backup-Ziele und Protokolle richtig einordnen

TFTP ist einfach, aber sicherheitstechnisch begrenzt

TFTP wird im Lernumfeld und in kleinen Testinstallationen häufig verwendet, weil es einfach einzurichten und leicht zu verstehen ist. Aus Sicherheitssicht ist TFTP jedoch problematisch, da es keine starke Authentifizierung oder Verschlüsselung bietet. Für produktive Umgebungen sollte diese Methode daher nur sehr bewusst oder gar nicht eingesetzt werden.

  • einfach zu konfigurieren
  • gut für Lern- und Laborszenarien
  • keine Transportverschlüsselung
  • keine robuste Zugriffskontrolle

SCP und SFTP sind für sichere Umgebungen geeigneter

In professionelleren Szenarien sind sichere Dateiübertragungswege vorzuziehen. Wenn Cisco-Plattform und Umgebung es unterstützen, sind SCP oder SFTP deutlich besser geeignet, weil sie Authentifizierung und Verschlüsselung mitbringen. Gerade wenn Konfigurationsdateien sensible Zugangsdaten, IP-Pläne oder Managementinformationen enthalten, ist das besonders wichtig.

Warum Cisco-Konfigurationsbackups sicherheitskritisch sind

Konfigurationsdateien enthalten sensible Informationen

Eine Cisco-Konfiguration ist nicht nur ein technisches Betriebsartefakt, sondern oft auch ein sensibles Sicherheitsdokument. Darin stehen Managementschnittstellen, lokale Benutzer, AAA-Bezüge, ACLs, SNMP-Informationen, Banner, VLAN-Designs, Routinglogik und andere sicherheitsrelevante Details. Wer Zugriff auf solche Dateien erhält, gewinnt oft ein sehr gutes Bild der internen Infrastruktur.

  • Management-IP-Adressen
  • Benutzerkonten und AAA-Kontext
  • ACL- und Segmentierungslogik
  • SNMP- oder Logging-Konfiguration
  • Topologie- und Interface-Struktur

Backups müssen daher genauso geschützt werden wie andere kritische Unternehmensdaten.

Backups selbst brauchen Zugriffsschutz

Ein häufiger Fehler ist, Backups zwar regelmäßig zu erstellen, aber ungeschützt abzulegen. Damit wird aus einer Sicherheitsmaßnahme schnell ein neues Risiko. Backup-Repositorys sollten daher nur für klar definierte Administratoren zugänglich sein und idealerweise verschlüsselt oder zumindest in kontrollierten Verwaltungsnetzen betrieben werden.

Wichtige Grundregeln für gute Cisco-Backups

Regelmäßig sichern, nicht nur im Notfall

Ein Backup ist nur dann wirklich nützlich, wenn es aktuell genug ist. Wenn die letzte Sicherung mehrere Monate alt ist, aber inzwischen viele VLANs, ACLs oder Routinganpassungen hinzugekommen sind, wird die Wiederherstellung unnötig schwierig. Deshalb sollten Backups regelmäßig und nachvollziehbar durchgeführt werden.

  • nach jeder wichtigen Änderung
  • vor geplanten Wartungsarbeiten
  • nach erfolgreichen freigegebenen Changes
  • regelmäßig als Teil des Betriebsprozesses

Versionierung und Benennung sauber halten

Ein Backup ist deutlich wertvoller, wenn klar erkennbar ist, von welchem Gerät, aus welchem Zeitraum und aus welchem Anlass es stammt. Unklare Dateinamen wie backup1.cfg sind in der Praxis wenig hilfreich. Besser sind strukturierte Namen mit Gerät, Datum und gegebenenfalls Change-Bezug.

  • Gerätename im Dateinamen
  • Datum und Uhrzeit
  • gegebenenfalls Standort oder Rolle
  • optional Hinweis auf Change oder Wartung

Konfigurationen vor und nach Changes sichern

Vorher-Nachher-Vergleich ist im Betrieb sehr wertvoll

Eine besonders gute Praxis besteht darin, Konfigurationen vor einer Änderung und nach erfolgreicher Umsetzung zu sichern. Dadurch ist nicht nur eine schnelle Rückkehr möglich, sondern auch ein sauberer Vergleich zwischen Alt- und Neuzustand. Das hilft bei Fehlersuche, Audit und späterer Nachvollziehbarkeit.

Typischer Ablauf:

  • aktuellen Stand prüfen
  • Backup vor der Änderung exportieren
  • Change umsetzen
  • Ergebnis prüfen
  • neuen stabilen Stand erneut sichern

Rollback wird dadurch deutlich einfacher

Wenn eine Änderung fehlschlägt oder unerwartete Nebeneffekte erzeugt, ist ein klar dokumentierter vorheriger Konfigurationsstand oft der schnellste Weg zurück zu einem bekannten, funktionierenden Zustand. Gerade in produktiven Netzen spart das Zeit und reduziert das Risiko improvisierter Korrekturen.

Wiederherstellung einer Cisco-Konfiguration

Backups sind nur wertvoll, wenn die Rücksicherung beherrscht wird

Ein häufig unterschätzter Punkt ist, dass ein Backup nur die halbe Arbeit ist. Ebenso wichtig ist die Fähigkeit, es korrekt zurückzuspielen. Wenn ein Administrator zwar Konfigurationsdateien besitzt, aber im Ernstfall nicht sicher weiß, wie sie auf ein Gerät übertragen und aktiviert werden, hilft das Backup nur begrenzt.

Eine typische Rücksicherung kann zum Beispiel erfolgen mit:

copy tftp: running-config

oder mit:

copy tftp: startup-config

Welche Methode sinnvoll ist, hängt vom Szenario ab. Das Einspielen in die laufende Konfiguration kann direkte Auswirkungen haben. Das Einspielen in die Startkonfiguration ist eher für einen kontrollierten Neustartkontext gedacht.

Wiederherstellung sollte planvoll und nicht hektisch erfolgen

Gerade in Störungsfällen ist der Druck hoch. Trotzdem sollte nicht blind irgendeine Datei eingespielt werden. Entscheidend ist, dass klar ist, welcher Sicherungsstand geeignet ist, ob die Hardwareplattform vergleichbar ist und ob sich Umgebungsbedingungen seit dem Backup verändert haben.

  • richtige Backup-Version auswählen
  • Gerätemodell und Softwarestand beachten
  • Auswirkungen auf laufende Verbindungen bedenken
  • möglichst kontrollierte Wartungsfenster nutzen

Wichtige Show-Befehle für Konfigurationssicherung und Kontrolle

Running- und Startup-Zustand vergleichen

Für die tägliche Praxis sind einige Show-Befehle besonders wichtig, um Sicherungs- und Speicherzustände zu prüfen:

show running-config
show startup-config
show version
dir flash:

show running-config zeigt den aktuellen Betriebszustand, show startup-config den beim Neustart vorgesehenen Zustand. show version liefert zusätzlichen Kontext zu Softwarestand und Uptime. Mit dir flash: kann geprüft werden, welche Dateien lokal auf dem Gerät liegen.

Auch Änderungsdisziplin muss sichtbar bleiben

Zur betrieblichen Sicherheit gehört außerdem, zu wissen, ob Änderungen tatsächlich gespeichert wurden. Ein sehr häufiger Ablauf ist daher:

show running-config
show startup-config
copy running-config startup-config

So lässt sich prüfen und absichern, dass ein stabiler Zustand nicht nur aktiv, sondern auch persistent ist.

Backup und Incident Response

Nach Sicherheitsvorfällen ist ein vertrauenswürdiger Referenzstand entscheidend

Wenn ein Cisco-Gerät im Rahmen eines Sicherheitsvorfalls manipuliert wurde, ist ein sauberes Konfigurationsbackup besonders wertvoll. Es dient dann nicht nur der Wiederherstellung, sondern auch als Referenz für die Frage, was verändert wurde. Gerade bei kompromittierten Managementzugängen, gelöschten ACLs oder veränderten SSH- und AAA-Einstellungen ist das entscheidend.

  • Vergleich zwischen Soll- und Ist-Zustand
  • schnellere Wiederherstellung eines vertrauenswürdigen Zustands
  • bessere Forensik und Change-Nachvollziehbarkeit

Backups sollten deshalb unveränderbar oder besonders geschützt sein

Wenn ein Angreifer nicht nur das Gerät, sondern auch den Backup-Speicher manipulieren kann, sinkt der Wert der Sicherung drastisch. Deshalb sollten produktive Sicherungsorte besonders geschützt, möglichst getrennt und nur für definierte Administratoren erreichbar sein.

Typische Fehler bei Cisco-Backups

Nur lokal speichern und das für ausreichend halten

Ein sehr häufiger Fehler ist, sich auf das Startup-Config zu verlassen und kein externes Backup zu führen. Das genügt für einfache Neustarts, aber nicht für Hardwareverlust, Totalfehler oder Incident-Szenarien.

Änderungen werden durchgeführt, aber nicht gesichert

Ebenso häufig ist das Gegenteil: Eine Änderung funktioniert zunächst, wird aber nicht dauerhaft gespeichert. Nach einem ungeplanten Neustart ist die neue Konfiguration verschwunden. Auch das kann gravierende Folgen haben, vor allem bei Sicherheitsanpassungen oder Routingänderungen.

Backups werden erstellt, aber nie getestet

Ein Backup-Prozess ist nur dann belastbar, wenn gelegentlich geprüft wird, ob Wiederherstellung und Dateikonsistenz tatsächlich funktionieren. Nur Dateien zu sammeln, ohne je ihre Nutzbarkeit zu überprüfen, schafft eine trügerische Sicherheit.

Warum dieses Thema für CCNA und Netzwerkpraxis unverzichtbar ist

Konfigurationssicherung ist ein Kernbestandteil professioneller Administration

Viele Ausfälle und Sicherheitsprobleme lassen sich deutlich schneller beherrschen, wenn eine saubere Sicherungsstrategie vorhanden ist. Gerade in Cisco-Umgebungen ist das Thema grundlegend, weil Konfiguration und Betrieb eng miteinander verknüpft sind. Wer Routing, VLANs, ACLs, SSH und AAA schützt, muss auch deren Wiederherstellung beherrschen.

  • Backups schützen Verfügbarkeit
  • gesicherte Konfigurationen unterstützen Integrität
  • saubere Ablage schützt vertrauliche Managementdaten
  • Wiederherstellungskompetenz erhöht Betriebssicherheit

Gute Netzwerksicherheit braucht immer auch Wiederherstellbarkeit

Am Ende zeigt dieses Thema sehr deutlich, dass Sicherheit nicht nur aus Prävention besteht. Ein professionelles Netzwerk muss auch auf Fehler, Ausfälle und Vorfälle vorbereitet sein. Konfigurationssicherung und Backup auf Cisco-Geräten schaffen genau diese Grundlage: Sie machen das Netzwerk nicht nur sicherer im Betrieb, sondern auch widerstandsfähiger im Ernstfall.

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab/GNS3

Ich biete professionelle Unterstützung im Bereich Netzwerkkonfiguration und Network Automation für private Anforderungen, Studienprojekte, Lernlabore, kleine Unternehmen sowie technische Projekte. Ich unterstütze Sie bei der Konfiguration von Routern und Switches, der Erstellung praxisnaher Topologien in Cisco Packet Tracer, dem Aufbau und Troubleshooting von GNS3- und EVE-NG-Labs sowie bei der Automatisierung von Netzwerkaufgaben mit Netmiko, Paramiko, NAPALM und Ansible. Kontaktieren Sie mich jetzt – klicken Sie hier.

Meine Leistungen umfassen:

  • Professionelle Konfiguration von Routern und Switches

  • Einrichtung von VLANs, Trunks, Routing, DHCP, NAT, ACLs und weiteren Netzwerkfunktionen

  • Erstellung von Topologien und Simulationen in Cisco Packet Tracer

  • Aufbau, Analyse und Fehlerbehebung von Netzwerk-Labs in GNS3 und EVE-NG

  • Automatisierung von Netzwerkkonfigurationen mit Python, Netmiko, Paramiko, NAPALM und Ansible

  • Erstellung von Skripten für wiederkehrende Netzwerkaufgaben

  • Dokumentation der Konfigurationen und Bereitstellung nachvollziehbarer Lösungswege

  • Konfigurations-Backups, Optimierung bestehender Setups und technisches Troubleshooting

Benötigen Sie Unterstützung bei Ihrem Netzwerkprojekt, Ihrer Simulation oder Ihrer Network-Automation-Lösung? Kontaktieren Sie mich jetzt – klicken Sie hier.

Related Articles

23.8 Moderne Sicherheitskonzepte im Überblick zusammengefasst

Anhang E → Zusätzliche Lernressourcen für Cybersecurity und Cisco

24.1 Multiple-Choice-Fragen zu den Grundlagen der Cybersecurity mit Lösungen

24.2 Fragen zu Netzwerkprotokollen und Angriffen mit Lösungen

24.3 Fragen zu ACLs und Segmentierung mit ausführlichen Lösungen

24.4 Fragen zu Firewalls und IDS/IPS mit Lösungen

24.5 Fragen zu Kryptografie und Zugriffskontrolle mit Lösungen

24.6 Fragen zu Monitoring und Incident Response mit Lösungen

24.7 Ausführliche Lösungen zu allen CCNA-Cybersecurity-Fragen

24.8 Lernerfolg bewerten: Deinen Cybersecurity-Fortschritt richtig prüfen

Fazit → CCNA Cybersecurity erfolgreich lernen: Die wichtigsten Erkenntnisse auf einen Blick

Botschaft an die Leser → Dein Weg in die Cybersecurity beginnt jetzt