Bäh!
1. Produktivdaten != Testdaten. Die Nutzung von personenbezogenen Daten für Testzwecke ist weder vom BDSG abgedeckt, noch macht die Nutzung dieser für dich essentiellen "Assets" in einem meist ungeschützten Testsystem wirklich Sinn. Daher ist die Anonymisierung der Produktivdaten Pflicht, wenn du nicht gleich selbst Testdaten erstellen willst, was deutlich einfacher ist.
2. Testsystem sind von Produktivsystemen strikt (=>unterschiedliche Netzwerksegmente ohne Routing, keine gemeinsamen Ressourcen!) zu trennen.
3. Zu einem Backup gehört ein Backup-Konzept, das auch die Wiederherstellung beschreibt. Je nach MTPD (Maximum Tolerable Period of Disruption - die Ausfallsdauer, die für DICH wirtschaftlich verkraftbar ist) entscheidet sich dann deine Backupmethode, wie z.B.
- der Betrieb mehrerer Server an unterschiedlichen Standorten -> Schneller und einfacher Wechsel bei Netzwerkunterbrechungen
- die Sicherung der Maschine -> Schnelle Wiederherstellung durch Bereitstellung der Hardware (Netzwerk?)
- die Sicherung der VM -> Wiederherstellung durch Bereitstellung des OS (Hardware? Netzwerk?)
- die Sicherung der Applikation -> Wiederherstellung durch Bereitstellung der letzten funktionierenden Applikationsversion (OS? Hardware? Netzwerkproblemen?).
- die Sicherung der eigentlichen Daten -> Wiederherstellung der Daten (App? OS? HW? Net? ...)
Die Frage ist also nicht, wie wir das realisieren würden, sondern welche Fälle du abdecken können *musst*, um weiterhin wirtschaften zu können.
4. Backups werden nicht vom Produktivsystem angestoßen. Eine Kompromittierung des Produktivsystems würde sonst zu einer Kompromittierung des Backupsystems führen. Besser ist es, wenn das Backupsystem - hier auch gerne in der Cloud, um eine höhere Ausfallsicherheit bei geringeren eigenen Kosten und gleichzeitiger Sicherheitssteigerung (Backups kann man leicht verschlüsseln - was wiederum nach einem sicheren Schlüsselmanagement schreit!) zu erreichen - eingeschränkte Zugriffsrechte besitzt und sich selbst die Backups zieht. Noch sicherer ginge es nur mit Hilfe Dritter, die dann z.B. die Backups vom einen System machen und auf das andere transferieren.